Ein Administrator in China soll alle TikTok-Daten einsehen können. TikTok soll Angestellte rekrutiert haben, die bei chinesischen Staatsmedien angestellt waren. In einem TikTok-Rechenzentrum sollen schlecht überwachte Datenträger herumliegen. Skandal-Meldungen über die Vorgänge hinter den Kulissen der gehypten Video-Plattform gibt es zuhauf. Und erstaunlich viele davon stammen von nur einer Person: der Journalistin Emily Baker-White, die zunächst für Buzzfeed News, heute für Forbes recherchiert.
Quellen innerhalb des Konzerns versorgen Baker-White immer wieder mit Dokumenten und Schilderungen über Missstände, die TikTok am liebsten unter den Teppich kehren möchte. Die Enthüllungen bringen TikTok ins Schwitzen, vor allem in den USA.
Bereits unter Ex-Präsident Trump, nun aber auch unter Präsident Biden, nimmt die US-Regierung TikTok hart heran. Angetrieben von den Enthüllungen nutzt die Regierung TikTok als Teil ihrer Anti-China-Politik und droht mit einem Verbot der Plattform in den USA.
Im Zuge der Enthüllungen ist einigen Verantwortlichen bei TikTok und Mutterkonzern ByteDance offenbar der Kragen geplatzt. Eine Überwachungskampagne sollte ans Licht bringen, mit welchen Quellen sich Baker-White getroffen hat. TikTok hat das später bestätigt. Laut Forbes gerieten allerdings auch Kolleg*innen von Baker-White ins Visier. Eine TikTok-Sprecherin schrieb Forbes auf Englisch:
Das Fehlverhalten bestimmter Personen, die nicht mehr bei ByteDance beschäftigt sind, war ein ungeheuerlicher Missbrauch ihrer Befugnisse, um Zugang zu Daten von Nutzer*innen zu erhalten. Dieses Fehlverhalten ist inakzeptabel und steht nicht im Einklang mit unseren Bemühungen bei TikTok, das Vertrauen unserer Nutzenden zu gewinnen.
Journalist*innen zu überwachen ist ein Tabubruch, aber nicht beispiellos: In der Vergangenheit soll beispielsweise auch Uber unliebsame Reporter*innen ins Visier genommen haben. Emily Baker-White berichtet, wie sie sich und ihre Quellen schützt und wie TikTok noch immer verzweifelt versucht, den Hals aus der Schlinge zu ziehen. Das Interview haben wir übersetzt und hier auch auf Englisch veröffentlicht.
netzpolitik.org: Emily, könnte man sagen, du bist TikToks meistgehasste Journalistin?
Emily Baker-White: Ich hoffe sehr, dass TikTok mich nicht hasst. Aber ich kann natürlich nichts über deren Gefühlswelt sagen.
netzpolitik.org: Wie und warum hat TikTok-Mutterkonzern ByteDance versucht, dich auszuspionieren?
Baker-White: Ich habe vergangenes Jahr eine große Recherche veröffentlicht, sie basierte auf vielen Stunden Audiomaterial von internen TikTok-Meetings. Mein Bericht zeigte: TikTok und ByteDance haben zwar sehr hart daran gearbeitet, Daten von US-Nutzer*innen vor Zugriff aus China abzuschirmen. Aber dennoch konnten in China eine Menge privater Daten abgerufen werden. Das war eine große Sache in den USA, denn die Politik wusste davon nichts. Es war auch das bis dahin größte Leak zu TikTok.
TikTok und ByteDance waren verängstigt und sind ausgerastet. Sie haben eine Untersuchung eingeleitet, um die Quelle des Leaks zu finden. Sie haben mein privates TikTok-Konto herangezogen und auf die mit meinem Konto verknüpften IP-Adressen zugegriffen. Dann haben sie diese IP-Adressen mit jenen IP-Adressen verglichen, die mit den Konten ihrer Mitarbeitenden verknüpft waren. Auf diese Weise lässt sich herausfinden, ob Personen am selben Ort dasselbe WLAN genutzt haben, etwa in einem Café oder einer Bibliothek.
„Ich treffe Quellen mit Stift und Papier“
netzpolitik.org: Konnte TikTok deine Quellen auf diese Weise enttarnen?
Baker-White: Nein. Wenn ich Quellen persönlich treffe, nehme ich keine technischen Geräten mit, weil man nie weiß, wer einen überwacht. Ich treffe Quellen mit Stift und Papier. Man kann mich aber auch auf viele Weisen online kontaktieren, zum Beispiel über Signal, Proton Mail oder SecureDrop.
netzpolitik.org: Wie hast du herausgefunden, dass TikTok dich überwachen wollte?
Baker-White: Ich habe es von einer Quelle innerhalb des Unternehmens erfahren und konnte interne Unterlagen einsehen, die das bestätigen. Obwohl TikTok offenbar nichts gefunden hat, zeigt der Vorfall: Ein Team, das direkt ByteDance unterstellt war, konnte auf meine Daten als US-Bürgerin zugreifen. Einige der Angestellten befanden sich in China.
netzpolitik.org: Die Überwachungsskandal hatte ein Nachspiel, was ist da der aktuelle Stand?
Baker-White: Zunächst glaube ich nicht, dass ich weiterhin überwacht wurde. Das erste, was ich getan habe, war, die TikTok-App von meinem Handy zu löschen. Jetzt ermitteln das US-Justizministerium und das FBI. Ich weiß allerdings nur, dass diese Ermittlungen gerade laufen. TikTok hat außerdem eine Reporterin der Financial Times in London, Cristina Criddle, überwacht, um ihre Quellen aufzudecken.
„Würde nicht sagen, dass so etwas nie wieder passieren könnte“
netzpolitik.org: Journalist*innen überwachen – wie tief ist das im Unternehmen verwurzelt?
Baker-White: Ich weiß nicht, inwieweit das intern bekannt war. Die Erzählung lautet, dahinter steckten bildlich gesprochen ein paar faule Äpfel. Bloß: Manche dieser faulen Äpfel waren Chefs. Einige der Beteiligten hatten hohe Positionen, etwa der Chef für interne Audits Chris Lepitak und die in China ansässige Führungskraft Song Ye, der Lepitak unterstellt war. Sie und andere Beteiligte arbeiten heute nicht mehr im Unternehmen. TikTok und ByteDance haben nach Bekanntwerden der Vorfälle Angestellte gefeuert.
netzpolitik.org: Glaubst du, ByteDance und TikTok haben daraus gelernt und so etwas wird nie wieder passieren?
Baker-White: Ich würde nicht sagen, dass so etwas nie wieder passieren könnte. Es ist ein sehr großes Unternehmen; das höre ich von Leuten, die dort arbeiten. Das Treffen von Entscheidungen kann chaotisch sein, alle bewegen sich schnell und in 100 Richtungen auf einmal. Das ist die Art von Chaos, bei der so etwas passieren kann. Doch nachdem wir die Recherche veröffentlicht hatten, wurde eine Anwaltskanzlei eingeschaltet und Geld für eine interne Untersuchung hingelegt. TikTok und ByteDance haben offengelegt, was passiert ist; sie haben sich an die Presse gewandt und Leute gefeuert. Das hätten die Unternehmen nicht getan, wenn ihnen die Vorfälle völlig egal wären.
netzpolitik.org: TikTok betont immer wieder, es sei kein chinesisches Unternehmen und von ByteDance getrennt. Wie eng sind ByteDance und TikTok wirklich verflochten?
Baker-White: Praktisch sind sie sehr, sehr eng miteinander verflochten – oder waren das zumindest. Einige TikTok-Angestellte hatten E-Mail-Adressen „@bytedance“. Manche erzählten mir, sie bekommen ihre Unterlagen zu Gehalt und Steuern von ByteDance. Auch viele der internen Tools, die Angestellte täglich nutzen, stammen von ByteDance, zum Beispiel VPN oder Team-Software. Einige Angestellte, mit denen ich gesprochen habe, wissen nicht einmal, bei welchem der beiden Unternehmen ihre Kolleg*innen offiziell beschäftigt sind. Das alles ist jedoch nicht automatisch bedenklich. Zunächst war TikTok nur eine von vielen Apps, die ByteDance entwickelt hat. Das Bestreben, TikTok und ByteDance formell voneinander zu trennen, ist etwas sehr Neues.
Daten lassen sich legal bei Brokern einkaufen
netzpolitik.org: Ist TikTok gefährlicher als US-Plattformen wie Facebook und Twitter, oder sind die Gefahren dieselben?
Baker-White: Ich denke, TikTok ist mit vielen ähnlichen Problemen konfrontiert. Zum Beispiel Datenschutz, gefährliche Inhalte, die sich viral verbreiten, oder Desinformationkampagnen, die Menschen beeinflussen sollen. Wir wissen zum Beispiel, dass die russische Regierung unsere Präsidentschaftswahlen 2016 über Facebook beeinflussen konnte. Das ist eine große, beängstigende Angelegenheit! Wenn es um Datenschutz geht, haben wir in den USA keine strengen Gesetze. China müsste nicht einmal Daten von TikTok sammeln, der Staat könnte sie schlicht von einem Datenbroker in den USA einkaufen, und daran ist nichts illegal. Man könnte dem US-Kongress sagen: Wenn es euch mit dem Schutz von Nutzer*innen-Daten ernst ist, dann solltet ihr stärkere Gesetze erlassen. Im Fall von TikTok kommt zu diesen grundlegenden Problemen allerdings noch eine weitere Ebene hinzu, und zwar eine geopolitische.
netzpolitik.org: Ist das Problem, dass China als autoritärer Staat andere Werte hat als eine Demokratie wie die USA?
Baker-White: Ich würde nicht sagen, dass es um Werte geht, sondern um Gesetze. Wenn die US-Polizei zu Meta-Chef Mark Zuckerberg geht und Daten von Facebook-Nutzer*innen verlangt, dann kann Zuckerberg nach dem Durchsuchungsbefehl fragen oder vor Gericht ziehen. Unternehmen in den USA müssen nicht alle Daten herausgeben, sie müssen auch keine Propaganda weit oben im Newsfeed verbreiten. In China gibt es keine derart starken Abwehrmechanismen. Deshalb lautet die Befürchtung, dass sich Mitglieder der chinesischen Regierung an ByteDance-Angestellte in China wenden und alles von ihnen verlangen können, weil sie nicht Nein sagen dürfen.
netzpolitik.org: TikTok betont, dass so etwas noch nie passiert ist. Und TikTok verspricht auch, jeden künftigen Zugriff auf private Daten von US-Nutzer*innen zu verhindern. Dafür möchte TikTok eine neue Infrastruktur namens Projekt Texas schaffen. Ich habe den Eindruck, in der Debatte um ein mögliches TikTok-Verbot in den USA klammert sich der Konzern an Projekt Texas wie an einen Rettungsring.
Baker-White: Ja!
netzpolitik.org: Projekt Texas bedeutet, dass Daten von US-Nutzer*innen nur auf US-Servern gespeichert werden dürfen. Früher hätte man gesagt, sie speichern die Daten bloß in einer anderen „Cloud“; aber TikTok-CEO Shou Zi Chew spricht von „amerikanischem Boden“. Was hältst du von diesem neuen Sprachbild?
Baker-White: Es spielt keine Rolle, wo die Daten physisch gespeichert sind, wenn sie von überall abgerufen werden können. Ich kann ja auch meine privaten E-Mails von überall lesen. Wichtiger als der physische Standort ist die Frage, wer auf die Daten zugreifen darf. Aber Projekt Texas soll auch das berücksichtigen. TikTok sagt, im Rahmen von Projekt Texas könne allein ein Team in den USA auf die Daten zugreifen, und dieses Team sei nicht direkt ByteDance unterstellt. Stattdessen hat TikTok vorgeschlagen, dieses Team könne einem unabhängigen Gremium unterstellt sein, bei dem die US-Regierung und TikTok gemeinsam beteiligt sind. Darüber wird noch verhandelt.
„Politisch punkten“ mit China-Bashing
netzpolitik.org: Kann Projekt Texas tatsächlich etwas verbessern?
Baker-White: TikTok unternimmt große Anstrengungen. Ob es gelingt, kann ich gerade nicht beantworten.
netzpolitik.org: TikTok hat auch versprochen, Forscher*innen Zugang zu internen Daten zu geben. Was versprichst du dir davon?
Baker-White: Momentan lässt sich nicht gesammelt beobachten, ob jemand auf TikTok eine Kampagne zur Beeinflussung der öffentlichen Meinung betreibt. Alle haben ihren persönlichen Feed, es gibt nicht einmal eine Liste der populärsten Videos. Ich hoffe sehr, dass TikTok bald solche Informationen auf sinnvolle Weise mit Forscher*innen teilt.
netzpolitik.org: Und dann war da noch diese bizarre Anhörung von TikTok-CEO Shou Zi Chew vor dem US-Kongress. Er wurde öffentlich gedemütigt. Hattest du Mitleid?
Baker-White: Ich weiß nicht, ob ich das Wort „Mitleid“ verwenden würde. Ich denke, die Abgeordneten waren sehr unfair zu ihm. Sie haben Fragen gestellt und ließen Shou Zi Chew nicht einmal antworten. Ich habe bei der Anhörung nicht viel gelernt. So ist das bei vielen Anhörungen von Tech-Konzernen in den USA. Abgeordnete nutzen die Zeit für eine Show statt Antworten zu finden. Ich glaube, viele Politiker*innen in Washington glauben, sie können politisch punkten, wenn sie über China herziehen.
„Pressesprecherin rief mich morgens an“
netzpolitik.org: Da wir gerade von Fairness sprechen, hat TikTok jemals persönlich bei dir um Entschuldigung gebeten?
Baker-White: Das Unternehmen hat sich erst an mich gewandt, als auch alle anderen Medien über die interne Untersuchung informiert wurden. Eine Pressesprecherin, mit der ich öfter zu tun hatte, rief mich morgens an. Sie sagte mir, dass ich von der Überwachung betroffen gewesen sei und bat um Entschuldigung. Ich wusste das aufrichtig zu schätzen.
netzpolitik.org: Wie hat sich die Überwachungskampagne auf dich und deine Arbeit ausgewirkt?
Baker-White: Das hat mich schon getroffen. Angestellte bei TikTok und ByteDance hatten vielleicht Zugriff auf Daten, die verraten, welche Cafés ich besuche oder welche Videos ich mir angeschaut habe. Aber für andere Menschen kann so etwas eine viel größere Gefahr darstellen als für mich, etwa Angehörige des Militärs oder chinesische Bürger*innen. Dass TikTok und ByteDance in Bedrängnis waren und diese Überwachungskampagne gestartet haben, hat mir gezeigt, von welch großem Interesse unsere Recherche war. Das Wissen über Datenzugriffe aus China wird für viele Regierungen wichtig sein, nicht nur in den USA und der EU. Letztlich hat mich die Überwachungskampagne motiviert, mit noch mehr Eifer über dieses Unternehmen zu berichten.
Könnt ihr bitte zwei verschiedene Feeds je Sprache bereitstellen? Das wär super. Dafür sind RSS-Feeds je erfunden worden. Wer den Artikel in deutsch UND in englisch im Feedreader haben will kann ja dann einfach beide Feeds abonnieren. Vielen Dank.
liebe nadine, dein kommentar wurde wahrgenommen, nur versprechen kann ich dir dazu gerade nichts. dafür sind mir persönlich unsere englischen artikel zu sporadisch. in diesem fall kam es z.b. zweisprachig, weil das interview ohnehin auf engilsch zuerst vorlag. viele liebe grüße o/
Ich sehe das genau so, die Englischen Beiträge sind eher sporadisch. Als Alternative würde ich vorschlagen den RSS Titel z.B. mit einem [EN] am Anfang zu markieren. Dann kann man die leichter erkennen und einfach nicht benutzen. Bei meinem (Livemarks) gibt es das nicht aber andere Feedreader haben evtl. auch eine Filterfunktion mit der man das dann als unerwünscht ausblenden könnte.
Zum Thema selbst mag ich einfach nur sagen das ich Ausspionieren generell für Perfide halte und das eigentliche Problem wieder mal die Datensammelei an sich ist. Keine Daten = Keine (solchen) Probleme. Also sollte man m.E. darauf drängen das jede im Internet aktive Firma gesetzlich und Strafbewehrt dazu verpflichtet wird Datensparsam zu handeln.
Ich meine: Das einzige was für jede Internet-Verbindung nötig ist sind eine Quell-IP, eine Ziel-IP und die Portnummer (TCP/UDP/???). Und diese Daten (die Logs die sie enthalten) müssen nur so lange vorgehalten werden dürfen wie es Technisch absolut notwendig ist. Das würde jede menge weiterer Probleme beheben können und das Behörden aufschreien sie könnten so nicht mehr Ermitteln darf m.E. dabei keine Rolle spielen. Denn was Behörden könnten, das können auch andere (Firmen) – wie dieser Fall erneut belegt.
N.B. Wozu ist TikTok eigentlich sonst gut. Das ist NUR eine Kurzvideo-App oder? Die Menschheit kommt auch ohne so was aus. Und Drogen sind schließlich auch Verboten. :-)
Alle Daten die nicht sicher EndezuEnde verschlüsselt sind werden am Ende auch abgegriffen und misbraucht werden. Wer etwas anderes annimmt muss schon sehr naiv sein. Am Ende lässt sich Datenschutz nur technisch sicher stellen und genau deswegen braucht es mehr Encryption.
Mehr Encryption immer gerne, aber bitte nicht in der Form von okkulten Blackbox-Chips wie TPM oder abgeschotteten Bereichen direkt in der CPU die es-weiß-Gott-allein-was tun. Wir haben schon jetzt eigentlich nur noch die halbe Kontrolle über Hardware in unserem Besitz, und es sieht so aus, als wollte man uns auch das noch ganz aus der Hand nehmen, mit Sachen wie online-only Loginsystemen, erzwungene Cloudspeicherung, oder IP-Kameras die im Heimnetzwerk sind aber trotzdem nur über Herstellerwebseite abrufbar sind – und das meiste an „Smart-“ und IoT-Schund.
Lieber Piraten-Wähler,
Encryption gut und schön, aber das ist nur ein winziger Krümel des großen Kuchens – das relevante sind die Meta-Daten. Und die können immer missbraucht werden. Davor ist man vielleicht sicher als Pirat ohne jegliche Elektronik an Bord im Südpolarmeer – aber dann hat es Gründe, dass sich niemand dafür interessiert.
LG, Doc
Treffen die Vorwüfe aus dem ersten Absatz nicht auf fast alle Firmen zu?
Es ist zwar nicht unmöglich, einen hochrangigen Admin, der wahrscheinlich auch noch Entwicklerrechte hat, vom Zugriff auf Daten, auszuschließen, aber zumindest recht aufwändig. Vor allem, da es sich im geschilderten Fall ja um IP-Adressen / Verbindungsdaten und nicht um Nachrichten etc. handelt, welche idealer Weise End-To-End verschlüsselt sind.
Und die Firma, in der nicht mal ein Datenträger mit potentiell datenschutzrechtlich bedenklichen Daten rumliegt, gibt es vermutlich auch nicht, auch wenn Backups natürlich ebenfalls immer verschlüsselt sein sollten (ob dies hier der Fall war oder ob es nur ein USB-Stick mit einer Excel-Tabelle mit irgendwelchen Daten war, wird ja nicht gesagt).
Und dass Angestellte von ARD, ZDF oder irgendeinem der Dritten (inkl. Radiosender) irgendwann in die Privatwirtschaft wechseln, soll gerüchteweise auch in Deutschland vorkommen.
Ohne die mangelhafte Gewaltenteilung in China unter den Tisch kehren zu wollen: Bezogen auf das Problem des Datenschutzes gibt es in den USA ein ernstes Problem, undzwar sogar explizit gesetzlicher Natur: Der Patriot-Act und der Cloud-Act. Diese Gesetze verpflichten US-Unternehmen zur Herausgabe auch personenbezogener Daten an US-Geheimdienste, und ein Bericht darüber ist verboten. Von rechtlicher Handhabe dagegen ganz zu schweigen. Daran wird wohl auch das aktuell verhandelte PrivacyShield II nichts substanziell ändern. Derart weitreichende Überwachungsgesetze gibt es meiner Kenntnis nach nicht einmal in China. Natürlich bleibt die Frage im Raum, wie die Praxis in China wirklich aussieht. Jedenfalls, ganz so einfach ist es nicht, hier einen berechtigten moralischen Grund für ein Zurückdrängen von TikTok aus den USA zu definieren. Außer eben die jeweiligen Eigeninteressen der Staaten. Euopa sollte sich auf diese destruktiven Spielchen nicht einlassen, das ist Kindergarten und gefährdet ganz nebenbei die internationale Friedenssicherung. Datenschutz unbedingt, aber das gilt bitte für alle.