Von Roland Cloutier, TikTok Chief Information Security Officer

Technische Sicherheitsmechanismen aufzubauen ist ein stetiger Prozess. TikTok ist sich seiner Verantwortung bewusst, die Daten aller Nutzer*innen zu schützen und möchte in Sachen Sicherheit zu jeder Zeit transparent vorgehen. Aktuell überarbeiten wir unsere Sicherheitsinfrastruktur mit einem erfahrenen Team aus Sicherheitsexperten und möchten an dieser Stelle über die neuesten Entwicklungen informieren.

Anfang des Jahres stellte ein Bericht fest, dass viele bekannte Apps aus dem Bereich News und Entertainment Zugriff auf die sogenannten „Clipboards“ der User anfragen. Dafür gibt es zahlreiche Gründe.

Wenn Sie z.B. Text in einer App kopieren und dann einen Browser öffnen, werden die meisten Browser fragen, ob Sie den Text einfügen und direkt zur URL gehen möchten. Dies ist ein Beispiel dafür, wie Browser versuchen, Ihre Benutzerfreundlichkeit zu verbessern - aber dazu muss die App wissen, dass sich eine URL in der Zwischenablage befindet. Es gibt Dutzende von anderen Gründen, warum Apps sehen wollen, ob sich Informationen in der Zwischenablage eines Benutzers befinden. Etwa, um kopierte Texte schneller von einer auf die andere Webseite zu bringen und weitere Aspekte, die das Nutzungserlebnis verbessern, indem zusätzliche Klicks oder Handgriffe gespart werden können.

Im Falle von TikTok ist diese Funktion mit der Integration von Google Ads SDK hinzugekommen. Die Daten wurden dabei nicht an TikTok gesendet. Wir verstehen aber, dass manche Nutzer*innen von der Neuerung verwirrt oder verunsichert waren. Letztlich ging die Änderung von derartigen Drittanbietern von Werbeprogrammen aus, weshalb überhaupt so viele Apps davon betroffen waren. Wir haben reagiert und am 16. April ein Update veröffentlicht, das die Werbeprogramme am Zugriff auf Clipboards hindert.

Vergangene Woche haben TikTok-Nutzer*innen nach dem Launch der Betaversion von iOS14 von ähnlichen Benachrichtigungen berichtet, wenn sie versuchten ein Video zu kommentieren. Erneut ist dies auch bei der Nutzung anderer Apps passiert.

Wir bei TikTok arbeiten kontinuierlich an neuen Features zur Verbesserung unseres Angebots. Wir kümmern uns aktuell darum, Spam zu reduzieren und zu verhindern, dass derselbe Kommentar unter mehrere Hundert Videos gepostet werden kann. Dank unserer Technologie konnten wir diejenigen identifizieren, die andere Nutzer*innen in der Community stören, indem sie sich mit derart aggressiven Methoden selbst promoten oder andere trollen. 

Unser Anti-Spam-Feature haben wir innerhalb der neuen iOS-Version am 22. Mai veröffentlicht, um solchen Spam schneller aufzufinden. Aus technischer Sicht arbeitet diese Anti-Bot-Technologie mit String Matching Validation, also dem Durchsuchen und Abgleich von Zeichenfolgen mit dem Clipboard. Dies diente lediglich dazu herauszufinden, ob Text kopiert und in der App eingefügt wurde. Das Anti-Spam-Programm hat also niemals Daten gesammelt oder vom Gerät der Nutzerin oder des Nutzers gesendet.

Wir können aber nachvollziehen, dass die Benachrichtigung wiederum zu Unsicherheit geführt hat. Wir haben dem App Store letzte Woche ein Update gesendet, um das Feature zu entfernen. Es ist in TikTok Version 16.6.1 vom 27. Juni nicht mehr enthalten. Wie üblich empfehlen wir allen Nutzer*innen, ihre App auf den neuesten Stand zu updaten.

In der Android-Version der App wurde das Anti-Spam-Feature nicht hinzugefügt und wir werden in Zukunft andere Technologien verwenden, um Spam zu erkennen.

Wir entschuldigen uns für die Verwirrung, die die Benachrichtigungen bei unseren Nutzer*innen ausgelöst haben, gerade, nachdem dies sogar zweimal geschehen ist. Wir unterstützen, dass unsere Nutzer*innen Technologien hinsichtlich des Schutzes ihrer Daten kritisch hinterfragen und sind stets offen für Feedback. Wir möchten ein Vorreiter in unserer Industrie sein und unsere Methoden stets offenlegen, in den Dialog treten und stetig weiter dazulernen. 

Deshalb haben wir eine Initiative gestartet, um gründliche Sicherheitsüberprüfungen durch unsere Softwareentwickler*innen durchzuführen und unsere Tests vor Veröffentlichung auszuweiten, um ähnliche Geschehnisse zu vermeiden. Dies hat für unser Team höchste Priorität. Auch werden wir unsere Release-Prozesse für neue Features überarbeiten. 

Als Teil dessen haben in Kooperation mit unseren Partnern insbesondere sämtliche Clipboard-Zugriffe genau überprüft und analysiert. 

Insbesondere haben wir Szenarien untersucht, in denen es jede Art von Zugriffsaktion auf die Zwischenablage geben könnte, die nicht direkt vom Benutzer initiiert wurde. Beispielsweise wäre das Einfügen von Informationen in TikTok eine vom Benutzer initiierte Aktion, die für den Benutzer einen Wert darstellt. In den nächsten Tagen werden wir gemeinsam mit unseren Drittpartnern daran arbeiten, diese Überprüfung abzuschließen und zu bestätigen, dass es keine weiteren derartigen Szenarien gibt. Wir werden in Kürze über unsere Ergebnisse berichten.

Uns ist es wichtig, eine App aufzubauen, die die Privatsphäre ihrer Nutzer*innen achtet und transparent mit ihrer Community umgeht. Wir werden weiterhin berichten, wie wir TikTok in Zukunft verbessern möchten. Im Laufe des Jahres werden wir unser Transparenzzentrum eröffnen, um Experten hinter die Kulissen blicken zu lassen, wie wir unsere Community schützen. Sicherheit ist eine Arbeit, die nie abgeschlossen ist, und wir werden weiterhin jeden Tag daran arbeiten, unserer Community eine sichere und postive Umgebung zu bieten.