Da ein nicht trivialer Teil der Washingtoner Gesetzgeber TikTok nicht vertrauen wollte, hielt der vorläufige US-Sicherheitschef des sozialen Netzwerks dort am Montag einen Vortrag darüber, wie sich die amerikanische Tochtergesellschaft der chinesischen Firma ByteDance einer vertrauenswürdigen Prüfung unterziehen wird.
„Das Ziel hier ist es, ein enormes Maß an Aufsicht zu haben, sodass Sie sich nicht auf unser Wort verlassen müssen“, sagte Will Farrell, Interims-Sicherheitsbeauftragter bei TikTok US, in einer Keynote auf der State of the Net Tech-Policy-Konferenz.(Öffnet in einem neuen Fenster)
In kurzen 15 Minuten – einer komprimierten Präsentation, die Farrell „eine Art Motorradfahrt durch ein Kunstmuseum“ nannte – führte er die Teilnehmer durch „Projekt Texas(Öffnet in einem neuen Fenster),“ TikToks Versuch mit seinem US-Partner Oracle, seinen Code und seine Daten durch eine Firewall gegen Eingriffe der chinesischen Regierung oder anderer Personen zu schützen.
Die erste von fünf Säulen beginnt mit einer neuen Verwaltungseinheit im US-Zweig des Organigramms von TikTok: TikTok US-Datensicherheit(Öffnet in einem neuen Fenster). Es wird von „einem völlig unabhängigen Vorstand“ geleitet, sagt Farell, der aus drei Personen ohne vorherige Zugehörigkeit zu TikTok oder ByteDance besteht. Sie müssen eine treuhänderische Verantwortung gegenüber der US-Regierung haben und von der US-Regierung genehmigt werden.
„Das geht über das hinaus, was heute ein Technologieunternehmen tut“, so Farrell, der anmerkt, dass die FBI ihn effektiv feuern könnte, wenn sie mit seiner Arbeit nicht zufrieden wären. “Es ist viel näher an staatlichen Auftragnehmern.”
Die zweite Säule besteht aus einer Reihe von technologischen Kontrollen, um die US-Operationen von TikTok gegen mögliches Schnüffeln aus dem Ausland zu schützen. „Wir haben alles, was TikTok ist, isoliert und in der Oracle-Cloud repliziert“, sagt er und fügt hinzu, dass die mobile App in einer Oracle-Sandbox betrieben wird, die nur bestimmte Datenflüsse zulässt.
Drittens weist Farrell auf ein Software-Integritätsregime hin, das den TikTok-Code prüfen lässt und Oracle in eine Gatekeeper-Rolle für mobile App-Updates versetzt, um sicherzustellen, dass diese Programme keine heimliche Überwachung durchführen.
„Jede einzelne Codezeile muss von Oracle und einem anderen von der US-Regierung zertifizierten Drittanbieter geprüft werden“, sagt Farrell.
Der Entwicklungszyklus der mobilen Apps von TikTok wird wiederum in eine Art Schutzverwahrung bei Oracle gestellt: „Oracle wird die App tatsächlich kompilieren, und sie werden sie von Hand an Apple und Google liefern.“
Farrell ging nicht darauf ein, wie diese zusätzlichen Überwachungszyklen Bugfixes aufhalten könnten, wenn Forscher das nächste Mal eine Schwachstelle in der App finden.
Die vierte Säule umfasst die Inhaltsempfehlung und -moderation von TikTok, auf die Kritiker als mögliche Wege für chinesische Propaganda hingewiesen haben. Farrell erklärt, dass ein von Dritten geprüfter Content Advisory Council die Systeme prüfen wird, die unerwünschte Inhalte herausfiltern und Inhalte empfehlen und fördern, die von seinen Algorithmen als angenehm erachtet werden.
Von unseren Redakteuren empfohlen
„Sie werden jedes einzelne dieser Moderationsmodelle überprüfen“, sagt er. Er ergänzte dies in einer Antwort auf eine Publikumsfrage: „Wir werden das erste Unternehmen sein, das alle seine KI-Modelle öffnet.“
Die fünfte Säule wird aus „mindestens sieben unabhängigen Dritten“ bestehen, die die US-Aktivitäten von TikTok überwachen, beginnend mit dem Ausschuss für Auslandsinvestitionen in den Vereinigten Staaten. CFIUS kann einen ausländischen Eigentümer zwingen, einen US-Vermögenswert zu verkaufen, wie es 2019 der Fall war, als es die chinesische Firma Beijing Kunlun Tech dazu zwang, die Gay-Dating-App Grindr zu veröffentlichen.
Unklar ist, ob diese Umzüge oder das scheinbar vergleichbare, für Europa geplante „Project Clover“ (as berichtet von Das Wall Street Journal(Öffnet in einem neuen Fenster) am Montag) wird ausreichen, um unbehagliche Politiker in den USA, Kanada, zu besänftigen europäische Unionund andere Teile des Westens.
In der Zwischenzeit müssen die US-Gesetzgeber noch nahe daran sein, ein Datenschutzgesetz zu verabschieden, das den Handel mit personenbezogenen Daten, die von Smartphone-Apps gesammelt werden, eindämmen könnte – eine Informationsflut, die China und die meisten anderen Länder mit ausreichenden Mitteln nach Belieben nutzen können.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.