Clubhouse

Clubhouse © Dmitry Mashkin on Unsplash

„Clubhouse will Communities zusammenbringen. Die App erlaubt es Einzelnen, über gemeinsame Interessen zu diskutieren und sich über aktuelle Themen zu informieren. Das Problem ist allerdings, dass die Audiodaten auf einer chinesischen Plattform aufbauen und ein Teil dieser Daten nach China zurückgeschickt wird.

Es ist ziemlich bedenklich, dass Plattformen wie diese auf ziemlich groben Praktiken zur Übertragung von Daten basieren, und dass die Nutzer diese bereits mit der Installation akzeptieren. Verbraucher vertrauen bis zu einem gewissen Grad darauf, dass ihre Mobilgeräte und die installierten Apps von Natur aus sicher sind. Das führt nicht selten dazu, dass die Nutzer ihre Geräte für unbekannte Kommunikationskanäle zur Datenerfassung und zum Datentransfer öffnen. Im Jahr 2020 hatte es ganz ähnliche Probleme bei der Kommunikation von TikTok mit chinesischen IPs gegeben. Damals teilte die Muttergesellschaft ByteDance mit, keine Nutzerdaten an die chinesische Regierung weiterzugeben. Sowohl im Fall von TikTok als auch bei der neuen App Clubhouse können wir aber wohl trotzdem davon ausgehen, dass die chinesische Regierung alles bekommt, wenn sie es denn will.

In diesem Fall haben die Entwickler die App Transport Security standardmäßig deaktiviert. Das bedeutet, dass der Datenverkehr ungesichert ablaufen kann und lediglich schwache Verschlüsselungsstandards verwendet werden können. Das Netzwerkdiagramm aus der Analyse der App zeigt deutlich die hart-codierte Kommunikation mit chinesischen Servern. Wenn die Benutzerdaten tatsächlich an Biometrie-, Sprach- und Datenanalyseunternehmen mit Sitz in China gesendet werden, entspricht das ganz gewiss nicht Best Practices im Umgang mit Daten. IT- und Sicherheitsteams sollten die Datenverarbeitungspraktiken jeder App auf den Geräten der Mitarbeiter verstehen und nachvollziehen können. Einige App-Berechtigungen, mögen dem einzelnen Endbenutzer harmlos erscheinen, aber für ein Unternehmen haben sie unter Umständen schwerwiegende Folgen oder verstoßen sogar gegen Compliance-Richtlinien.

Zudem sollte sich durch den jüngsten Vorfall bei Clubhouse jeder Einzelne daran erinnert fühlen, keine vertraulichen Daten über Kanäle wie diesen weiterzugeben. Mittlerweile wechseln wir nahtlos und ohne groß zu überlegen zwischen der professionellen und privaten Nutzung unserer mobilen Geräte. Damit steigt das Risiko, versehentlich Unternehmensinformationen auf sozialen Medien zu teilen. Und das hat Folgen, selbst wenn es sich um einen anderen Mitarbeiter desselben Unternehmens handelt.

Der Vorfall demonstriert, wie wichtig mobile Sicherheitssysteme sind, die auf riskante Praktiken im Umgang mit Daten hinweisen. Außerdem sollte man soweit als möglich sicherstellen, dass Apps keine Malware einschleppen. Nur dann ist man wirklich davor geschützt, dass Daten abgezogen werden.“