bedeckt München 12°

Datenschutz:Tiktok funkte unerlaubt sensible Android-Daten nach Hause

(200804) -- WASHINGTON, Aug. 4, 2020 -- The logo of TikTok is displayed on the screen of a smartphone on a computer scr

Das Logo der umstrittenen Video-App Tiktok.

(Foto: Liu Jie via www.imago-images.de/imago images/Xinhua)

Wie das "Wall Street Journal" herausfand, schickte die App heimlich die Mac-Adressen von Android-Geräten an die Server der chinesischen Mutterfirma Bytedance. Diese Adresse ist vor allem für Werber interessant.

Von Max Muth

Tiktok hat es gerade nicht leicht. US-Präsident Donald Trump hat sich auf die Video-App eingeschossen und will das Unternehmen aus den USA verbannen, sollte sich der chinesische Mutterkonzern Bytedance nicht auf einen Verkauf an Microsoft einlassen. Der vorgebliche Grund: Tiktok teile Daten mit der chinesischen Regierung und sei deswegen ein nationales Sicherheitsrisiko. Tiktok betont unterdessen unentwegt, man sammle nicht über Gebühr Daten und teile diese auf keinen Fall mit China.

Eine Recherche des Wall Street Journal kommt Tiktok deshalb gerade besonders ungelegen: Die Reporter waren Vorwürfen nachgegangen, dass Tiktok umfangreiche Datensammlungen über die Nutzer an die eigenen Server schickt. Aufgebracht hatte die Vorwürfe ein anonymer Nutzer im Internetforum Reddit. In dem mittlerweile tausendfach kommentierten Post war Tiktok als "Datensammlungswerkzeug, das sich als Social Network verkleidet", bezeichnet worden. Unter anderem werde die Mac-Adresse ausgelesen und weitergeschickt, hieß es da. Der Beweis dafür, den der Verfasser noch schuldig geblieben war, liefert nun das Wall Street Journal.

Die Mac-Adresse eines Geräts (die Abkürzung steht für: Media Access Control) ist so etwas wie das Nummernschild von PCs, Laptops oder Mobiltelefonen. Doch Nummernschilder kann man austauschen, Mac-Adressen nur äußerst schwer. Deshalb sind sie vor allem für die Werbeindustrie interessant: Auch wenn Nutzer die App einmal löschen sollten, lassen sich die gesammelten Daten mithilfe der Mac-Adresse weiter einem Gerät und damit einer Person zuordnen. So bleiben sie wertvoll für Werbepartner.

Apple und Google haben den Wert und die Gefahren solch eindeutiger Identifizierungsmerkmale schon länger erkannt und verbieten deshalb, sie zu sammeln - Apple seit 2013, Google seit 2015. Doch im Android-Ökosystem gibt es Möglichkeiten für Apps, die Nummer dennoch auszulesen. Der kanadische IT-Sicherheitsforscher Joel Reardon stellte 2019 eine Studie vor, wonach 711 der von seinem Team untersuchten Apps unerlaubt die Mac-Adresse weitergaben.

Eine Tiktok-Sprecherin bestätigt die Recherchen

Tiktok ist also bei Weitem nicht die einzige betroffene App. Doch kaum ein Unternehmen ist derzeit so im Fokus wie das soziale Netzwerk mit dem chinesischen Mutterkonzern. Im Fall von Tiktok kommt erschwerend hinzu, dass die App den Datensatz mit der Mac-Adresse zunächst verschlüsselte, bevor es diesen an die Server der Firma schickte. Das deutet darauf hin, dass dem Unternehmen klar gewesen sein dürfte, dass die Sammlung gegen die Android-Regeln verstieß.

IT-Sicherheitsforscher Reardon teilte seine Erkenntnisse über datensammelnde Apps im Juni 2019 mit Google. Dort sei das generelle Problem aber bereits bekannt gewesen. Ein Google-Sprecher sagte der SZ nur, man untersuche die Vorwürfe.

Eine Tiktok-Sprecherin bestätigte aber die Recherchen, die App-Versionen bis November 2019 hätten tatsächlich Mac-Adressen ausgelesen und verschickt. Doch das Unternehmen fühlt sich missverstanden. "Tiktok sammelt nicht mehr Daten als andere mobile Apps, wie auch das Wall Street Journal betont." Die von der Zeitung beanstandete Verschlüsselung der Daten sei aus "Sicherheitsgründen" geschehen. Inwiefern auch die Sammlung der Mac-Adressen zur Sicherheit der Nutzer beitragen sollte und warum sie im November 2019 eingestellt wurde, dazu äußerte sich die Sprecherin nicht im Detail. Nur: "Die aktuelle Tiktok-App sammelt keine Mac-Adressen."

Nutzer, die sich die extrem populäre App seit Ende 2019 heruntergeladen haben, müssen sich offenbar tatsächlich weniger Sorgen machen. Der französische IT-Sicherheitsforscher Baptiste Robert hatte Anfang August die aktuelle Tiktok-Appversion untersucht und war zu dem Schluss gekommen, dass die App derzeit nicht mehr Daten sammelt als vergleichbare Apps.

© SZ/vd
Trump sieht Tiktok als ´Bedrohung"

USA vs. Wechat
:Angriff auf die Über-App

US-Präsident Trump hat Wechat verbannt, die wichtigste App Chinas. Über ein kleines Programm, das viel mehr kann als Europäer gewöhnt sind - und das die US-Regierung als Gefahr sieht.

Von Jannis Brühl und Christoph Giesen

Lesen Sie mehr zum Thema

Zur SZ-Startseite