New York City verbietet TikTok auf städtischen Geräten

[Michael Reimann]

Michael Reimann
New York City zieht die Zügel an: Die Verwaltung der Metropole verbietet die Nutzung der App TikTok auf allen städtischen Geräten.

Die städtischen Behörden haben nun 30 Tage Zeit, die App von allen dienstlichen Geräten zu entfernen. Dieser Schritt folgt unmittelbar nach einer Überprüfung durch das NYC Cyber Command.

Ein städtischer Beamter berichtete, dass die Untersuchung des NYC Cyber Command ergeben hat, dass TikTok „eine Sicherheitsbedrohung für die technischen Netzwerke der Stadt darstellt“. Ab sofort dürfen städtische Mitarbeiter die App nicht mehr herunterladen oder nutzen. Auch der Zugriff auf die TikTok-Website von städtischen Geräten aus ist nun untersagt.

Die Stadt nimmt Datenschutz ernst​

„Soziale Medien sind hervorragend, um die New Yorker miteinander und mit der Stadt zu verbinden“, sagte ein Sprecher des New Yorker Rathauses in einer Erklärung an The Verge am Mittwoch. Er fügte hinzu: „Wir müssen jedoch sicherstellen, dass wir diese Plattformen immer auf sichere Weise nutzen.“ Das NYC Cyber Command prüft und entwickelt dem Sprecher zufolge regelmäßig proaktive Maßnahmen, um die Daten der New Yorker sicher zu halten.

Entscheidung im Einklang mit nationalen Richtlinien​

Die Stadt beruft sich bei diesem Verbot auf die Richtlinien des US Office of Management and Budget, die von der Nutzung von TikTok auf Regierungsgeräten abraten, sowie auf ein Bundesgesetz, das die App Anfang dieses Jahres verboten hat.

Seit mehr als drei Jahren versucht der Kongress, ein landesweites Verbot von TikTok durchzusetzen. Die Begründung: Die App und ihr chinesischer Eigentümer, ByteDance, könnten die gesammelten Daten zur Spionage gegen Amerikaner verwenden.

Reaktionen anderer US-Staaten​

Nicht nur New York City ergreift Maßnahmen gegen TikTok. Einige US-Bundesstaaten haben TikTok bereits auf Regierungsgeräten verboten. In einigen Fällen versuchen die Gouverneure, noch weiter zu gehen. Im Mai unterzeichnete beispielsweise der Gouverneur von Montana, Greg Gianforte, ein Gesetz, das die App im gesamten Bundesstaat verbietet. Montana war damit der erste US-Staat, der einen solchen Schritt unternahm. Kurz nachdem das Gesetz in Kraft trat, reichten TikTok-Nutzer und das Unternehmen selbst Klage gegen den Staat ein. Sie argumentieren, dass das Gesetz die Meinungsfreiheitsrechte der Bürger Montanas verletzt.

Bereits im Jahr 2020 verbannte der Bundesstaat New York TikTok durch eine interne Richtlinie von staatlichen Geräten. Diese Politik erlaubte allerdings einigen New Yorker PR-Plattformen, die App zu Marketingzwecken zu nutzen.

Quelle: The Verge

Den Artikel im Magazin lesen.


Achtung Meinung: TikTok ist für mich wie die Pest. Nicht nur die Inhalte damit kann man ja notfalls noch leben. Sondern wie es die Menschen verändert. Quer durch alle Schichten sinkt auch dank TikTok die Aufmerksamkeitsspanne auf ein Minimum. Das werden wir sicher noch alle zu spüren bekommen.

Abgesehen davon, dass die Verbindungen zu China mehr als nur lästig sind.

Vor mir aus kann der Mist gerne weg.

 

[Benutzer 250503]

Wenn sie sich genau so daran halten wie unsere Politiker können sie sich den angeblich ernst genommen Datenschutz rahmen lassen und in die Abstellkammer hängen

trotz Verbot genutzt

Regierungsmitglieder nutzen außerdienstliche Handys für TikTok

Laut den Antworten auf parlamentarischen Anfragen der SPÖ. Kritik kommt von der Opposition

www.derstandard.at

Interessant das sie aus dem damaligen Artikel die Fr. Edtstadler als Symbolfoto wieder entfernt haben warum wohl

 

[MichaNbg]

Auf ihren reinen Privatgeräten kann jeder machen was er will. Solche Apps haben aber auf geschäftlichen Devices nichts zu suchen. Auf politischen schon gar nicht. Selbst wenn man die jeweiligen Gerätschaften "auch privat nutzen darf".

Geht ja vor allem darum, vertrauliche Informationen des Dienst- oder Geschäftsgebrauchs zu schützen. Was viel schlimmer ist, dass Politiker, Management und Arbeitnehmer berufliche und politische Dinge auch über private Endgeräte regeln. An dieser Stelle sollte viel härter angesetzt und sanktioniert werden.

Wenn sich die Politiker privat gern entblößen und das Hirn auf Minimalflamme eindampfen wollen, bitte. Kann man ihnen nicht verbieten. Gehen da halt den Weg der normalen Bevölkerung.

Hätte es nie für möglich gehalten, aber diese 30 bis 60 Sekunden (?) Clips sind wirklich wie Crack. Egal ob da TikTok drauf steht, Instagram oder YouTube Shorts. Wahnsinn wie die das Gehirn umprogrammieren können. Richtig, richtig problematisch.

 

[Benutzer 250503]

Auf ihren reinen Privatgeräten kann jeder machen was er will. Solche Apps haben aber auf geschäftlichen Devices nichts zu suchen. Auf politischen schon gar nicht. Selbst wenn man die jeweiligen Gerätschaften "auch privat nutzen darf".

Aber nicht wenn die Dienstlichen Belange auf den privaten Geräten abgearbeitet werden. Das unterliegt den Regelungen der jeweiligen Dienstverträge. In der Regel gehst du bei uns wenn du erwischt worden bist Dienstliches vor allem Bild, Ton, Video und Dokumente per einschlägiger Dienste versendet hast ein Fall für den Disziplinarausschuss und führte in einigen Fällen zur fristlosen Entlassung.

Problem an der Geschichte ist, sie predigen Wasser,saufen Wein, denken sie sind unverwundbar, was vor allem bei unserer Regierung in den letzten Jahren immer wieder Amüsant zu sehen war, durch die Medien ging und auch die Gerichte beschäftigte.

 

[alex34653]

Das Problem, das ich aber auch seh (und das bitte wertfrei zu betrachten): Je mehr auf dienstlichen Geräten verboten bzw. umständlicher gelöst wird, umso eher wird auf private - die keinerlei Kontrolle mehr unterliegen - ausgewichen.

 

[Benutzer 250503]

umso eher wird auf private - die keinerlei Kontrolle mehr unterliegen - ausgewichen.

Das ist der Irrglaube der Anwender und wenn die ganzen Chat und Sozial Media Affären die bei uns Hoch geschwappt sind eines klar zeigen, selbst unsere Volksvertreter sind zu dumm dazu die Finger davon zu lassen.🤣

Wir brauchen ganz sicher nicht auf die Jugend zu zeigen, die meisten brauchen nur in den Spiegel zu schauen.

 

[MichaNbg]

Das Problem, das ich aber auch seh (und das bitte wertfrei zu betrachten): Je mehr auf dienstlichen Geräten verboten bzw. umständlicher gelöst wird, umso eher wird auf private - die keinerlei Kontrolle mehr unterliegen - ausgewichen.

Natürlich bauen sich Anwender Umwege. Aber dies auch egal wie freizügig oder lasch man etwas baut. Irgendwas findet sich immer, das man uuuuuuunbedingt braucht weil sonst kann man ja gaaaaaaaaar nicht mehr arbeiten.

Da hilf nur konsequent Daten so zu verschlüsseln, dass sie nur auf geschäftichen/dienstlichen Devices entschlüsselt werden können und lückenlos alle Systeme auf auffällige Aktivitäten zu monitoren sowie, wo Dateien auftauchen und wer versucht hat sie dort zu öffnen. Mit entsprechenden arbeitsrechtlichen oder strafrechtlichen Konsequenzen. Davor schrecken Unternehmen aber zurück, weil es Aufwand bedeutet
a) Aufwand bei der Erarbeitung einer tragfähigen und praktikablen Strategie. Was man sich überlegt muss ja auch wirklich umsetzbar sein und darf nicht in Bürokratie ausarten. Die Balance und Umsetzbarkeit ist entscheidend. Man muss also viel Hirnschmalz investieren
b) Umsetzung und späterer Betrieb der Lösung muss jemand leisten. Implementierung kostet Zeit und Personal, Weiterentwicklung und Monitoring im laufenden Betrieb muss auch gewährleistet sein
c) Gefundene Verfehlungen müssen auch geahndet werden. Da jaulen dann gleich wieder BR und Gewerkschaften.

Also wie immer in der IT ... "oh das Kostet Zeit, Geld und Personal? Ja dann...." Und solange das so ist, heißt es alle paar Tage "ja also wir verstehen auch nicht, wie diese Unterlagen abhanden kommen konnten und wie man es schaffte unsere Kundendatenbank abzuziehen" oder auch "es tut mir leid, dass ich einen privaten eMail-Server betrieben habe über den geheime Regierungsunterlagen liefen und nun in den Händen fremder Geheimdienste sind".

 

[alex34653]

Natürlich bauen sich Anwender Umwege. Aber dies auch egal wie freizügig oder lasch man etwas baut. Irgendwas findet sich immer, das man uuuuuuunbedingt braucht weil sonst kann man ja gaaaaaaaaar nicht mehr arbeiten.

Das sehe ich nicht ganz so. Es muss sich um ein ausgewogenes Verhältnis handeln. Firmen/Dienstgeber halsen ihren Angestellten Devices auf, die sie oftmals gar nicht wollen. Die sollen sie tw in ihrer privaten Zeit betreuen (laden/über ihr privates WLAN updaten etc), aus sollen sie jederzeit erreichbar sein (klar, sie „dürfen“ das Device ja auch privat mit sich führen. Andererseits will man es so einschränken dass nichts mehr damit zu machen ist - aber eben nicht

Da hilf nur konsequent Daten so zu verschlüsseln, dass sie nur auf geschäftichen/dienstlichen Devices entschlüsselt werden können und lückenlos alle Systeme auf auffällige Aktivitäten zu monitoren sowie, wo Dateien auftauchen und wer versucht hat sie dort zu öffnen.

so, denn dann würde sich der letzte das Device nicht mehr angreifen sondern ausschließlich im Büro liegen lassen.

Und würde Geld kosten.

Mit entsprechenden arbeitsrechtlichen oder strafrechtlichen Konsequenzen.

Also versucht man die Verantwortung auf den Einzelnen abzuputzen.

 

[MichaNbg]

Andererseits will man es so einschränken dass nichts mehr damit zu machen ist -

In aller Regel hast du darauf auch nichts anderes als geschäftliches zu tun.

so, denn dann würde sich der letzte das Device nicht mehr angreifen sondern ausschließlich im Büro liegen lassen.

Und würde Geld kosten.

Geschäftlich/Dienstliche Daten haben auf privaten und unmanaged Geräten nichts verloren. Da gibt es IMHO überhaupt keine Debatte.

Also versucht man die Verantwortung auf den Einzelnen abzuputzen.

Die Verantwortung, dass Daten auf umautorisierten Geräten liegen, liegt selbstverständlich bei demjenigen, der sie dorthin kopiert.


Arbeitgebern haben dich a) so auszustatten, dass du arbeitsfähig bist haben aber auch b) die Verantwortung relevante Daten so zu schützen, dass sie nicht in falsche Hände geraten. Und dazu gehören bereits Kundenkontaktdaten.

Wenn dein AG das so nicht lebt, ggf. wechseln. Schaut ja grad gut für Fachkräfte aus

 

[alex34653]

Und das ist eben nicht richtig (wie bereits beschrieben). Meine Erfahrung ist dass die Geräte - obwohl es technisch durchaus möglich wäre - nicht so beschränkt werden dass sie ausschließlich dienstlich/beruflich zu verwenden sind (obwohl dies möglich wäre).

Will man nicht, der Arbeitnehmer soll das Gerät ja auch privat nutzen. Würde man es zu sehr einschränken würde der es wohl nur während seiner Arbeitszeit nutzen.

Und wenn die Installation möglich ist, obwohl sie dienstgeberseitig verhinderbar wäre, so sehe ich den durchaus in der Pflicht. Wenn ich als Dienstgeber einem User unrechtmäßigerweise Admin-Rechte einräume darf ich mich nicht wundern wenn diese genutzt werden.

Worauf ich hinaus will: Diese “Verbote“ finde ich lächerlich. Verunmöglicht die Downloadbarkeit/Verwendbarkeit wenn ihr der Meinung seid dass die App auf Dienst-/Firmenhandys nix zu suchen hat (was ich, nebenbei bemerkt, durchaus nachvollziehen kann).

 

[Benutzer 250503]

Worauf ich hinaus will: Diese “Verbote“ finde ich lächerlich. Verunmöglicht die Downloadbarkeit/Verwendbarkeit wenn ihr der Meinung seid dass die App auf Dienst-/Firmenhandys nix zu suchen hat (was ich, nebenbei bemerkt, durchaus nachvollziehen kann).

Wenn in Dienstverträgen diese Regelung nachweislich zu Kenntnisgracht wird und diese Unterschrieben wird, ist dies nicht notwendig. Die Dienstverträge sind in der Regel auch so verfasst, dass eben auch sämtlichen Klauseln über die externe Verarbeitung von dienstlich relevanten Informationen und Daten klar reguliert ist. Das Gelesene verstehen ist meist das Problem und das danach Handeln die nächste Hürde.

 

[SomeUser]

In aller Regel hast du darauf auch nichts anderes als geschäftliches zu tun.

Nur ist die Welt nun mal nicht so schwarz-weiß, wie man es sich gerne im stillen Kämmerlein ausdenkt. Ich nehme mal - und das ist wirklich nur ein ganz oberlichflächliches, ganz simples - Beispiel: Ist surfen, z.B. Newsseiten, auch mit den Apps der Newsseiten in dieser Ansicht erlaubt? Ich z.B. *muss* mich über politische, rechtliche und wirtschaftliche Entwicklungen informieren, da es sich direkt auf meine Mandanten auswirken könnte und wenn ich es nicht tun würde, könnte es einen berufsrechtlichen Verstoß darstellen.
Gleiches gilt für irgendwelche Tech-Foren oder oder oder...
Die Grenzen zwischen den ausschließlich privat und ausschließlich geschäftlich genutzten Diensten können, je nach Arbeitsumfeld, schnell verwischen und eben nicht mehr so leicht zu trennen sein. Und sie wird dadurch befeuert, dass es - wenn wir mal an deine Ambitionen denken einfach alles wild zu loggen (und damit zu überwachen) - es Mitbestimmungsrechte der kollektiven Arbeitsvertretung gibt, datenschutzrechtliche Vorgaben gibt und Arbeitgeber selbst, ebenfalls nicht ohne Grund, Sachen wir "Bring your own device" nutzen (wollen!).

Geschäftlich/Dienstliche Daten haben auf privaten und unmanaged Geräten nichts verloren. Da gibt es IMHO überhaupt keine Debatte.

Das magst du gerne so sehen, verkennt aber nun mal immer mehr und mehr die Realität. Man kann davon halten was man will, aber sich einfach auf den Punkt zurück zu ziehen, dass das so nicht sein darf, schließt einen dann letztlich einfach nur faktisch aus der Realität aus.
Ich persönlich kann zwar diese Realität kritisieren, schaue dann aber lieber, was Möglichkeiten des Umgangs bzw. Reaktion sein könnten, als mich in mein Wolkenkukucksheim einzusperren.

Die Verantwortung, dass Daten auf umautorisierten Geräten liegen, liegt selbstverständlich bei demjenigen, der sie dorthin kopiert.

Nö. Auch das ist nicht so einfach. Es ist ja auch durchaus möglich, dass sie dort nur hingelangen konnten, weil jemand anderes seinen Job nicht richtig, fahrlässig oder wie auch immer gemacht hat und die Daten daher durch jemanden dort hin kopiert werden konnten, der er sich schlicht nicht besser wusste.

 

[MichaNbg]

Halten wir fest: der Mitarbeiter/Politiker soll tun und lassen dürfen, was er will, weil so halt die Realität ist. Und wenn dann aber was passiert, dann sind andere daran schuld, die ihn nicht daran gehindert haben.

Gut dass wir darüber gesprochen haben.

 

[SomeUser]

Halten wir fest: der Mitarbeiter/Politiker soll tun und lassen dürfen, was er will, weil so halt die Realität ist. Und wenn dann aber was passiert, dann sind andere daran schuld, die ihn nicht daran gehindert haben.

Gut dass wir darüber gesprochen haben.

Kannst du ganz kurz den Teil zitieren, wo ich das geschrieben habe?

Nicht? Ok, dachte ich mir.

Was du offensichtlich nicht begreifen willst: Ich bin grundsätzlich auf deiner Seite. Ich würde eine strikte Trennung von Geräten und Daten für privaten und geschäftlichen Bereich begrüßen, weil es vieles einfacher macht. Aber nur weil ich gerne etwas hätte, kann ich nicht blind auf diesem Standpunkt bestehen, wenn die Welt um mich herum sich anders entwickelt.
Wenn ich also weiß, dass solche Trennungen - aus welchen Gründen auch immer - nicht funktioniert, muss ich die Frage stellen, wie ich dem Idealbild bestenfalls am nächsten komme oder wie ich generell mit den erwachsenden Risken umgehe. Hint: Mit dem Fuß aufstampfen und sagen "Ich will das aber so nicht", hilft da nicht.

Und das betrifft dann gleich eine Vielzahl von Ebenen, mit denen man sich auseinander setzen muss: Neben technischen, auch organisatorische, soziale, rechtliche, ... Wenn du da also einfach sowas reinwirfst wie "Das muss dann halt alles geloggt werden", ist das halt ganz schnell ziemlich unfundierter Dummfug, weil damit eben auch möglicherweise kollektivrechtliche Bestimmungen und Datenschutzbestimmungen berührt werden, die das schlicht *verbieten*. Und auch da kannst du dann drei Mal mit dem Fuß auftreten, das ändert aber nichts an den Fakten.

 

[MichaNbg]

Kannst du ganz kurz den Teil zitieren, wo ich das geschrieben habe?

Das ist einfach die Zusammenfassung deiner obigen aussagen.

Was du offensichtlich nicht begreifen willst: Ich bin grundsätzlich auf deiner Seite. Ich würde eine strikte Trennung von Geräten und Daten für privaten und geschäftlichen Bereich begrüßen, weil es vieles einfacher macht. Aber nur weil ich gerne etwas hätte, kann ich nicht blind auf diesem Standpunkt bestehen, wenn die Welt um mich herum sich anders entwickelt.
Wenn ich also weiß, dass solche Trennungen - aus welchen Gründen auch immer - nicht funktioniert, muss ich die Frage stellen, wie ich dem Idealbild bestenfalls am nächsten komme oder wie ich generell mit den erwachsenden Risken umgehe. Hint: Mit dem Fuß aufstampfen und sagen "Ich will das aber so nicht", hilft da nicht.

Das funktioniert problemlos. Das Unternehmen bzw. die Behörde muss es nur wollen und auch durchsetzen. Wobei das "Durchsetzen" an sich auch keine große Hürde ist.

Durchgängige Verschlüsselung, Conditional Access Rules auf die jeweiligen Ressourcen, DLP, etc. etc. - alles da, man muss es eben einsetzen. Und damit kommen wir wieder zu meinem Punkt weiter oben: Das kostet Zeit, Ressourcen und Personal.
Nicht mehr. Es ist kein Hexenwerk.

Und wenn ich das richtig implementiere, können meine MA hindernislos auf ihren geschäftlichen Devices arbeiten, kommen aber nicht mehr vom privaten System aus auf Unternehmens-/Regierungs-/Behörden-Daten. Und sollten sie versuchen, sie über eMail, Dropbox oder USB-Stick zu kopieren, können sie am Ziel entweder nicht öffnen und/oder dein Sicherheitsteam erhält eine Meldung.
(natürlich muss dies vorher klar organisatorisch geregelt sein, dass so etwas verboten ist)

Wenn du da also einfach sowas reinwirfst wie "Das muss dann halt alles geloggt werden", ist das halt ganz schnell ziemlich unfundierter Dummfug, weil damit eben auch möglicherweise kollektivrechtliche Bestimmungen und Datenschutzbestimmungen berührt werden, die das schlicht *verbieten*. Und auch da kannst du dann drei Mal mit dem Fuß auftreten, das ändert aber nichts an den Fakten.

Stimmt. Dieser Absatz ist ziemlich "umfundierter Dummfug".

Selbstverständlich kann ich als Unternehmen monitoren und loggen, sogar sehr weitreichend und engmaschig. Das wird auch getan und ist aus verschiedensten Gründen sogar geboten. Reicht von "möchte ich haben" über "muss ich sogar haben, sonst falle ich durchs Audit". Welcher Anwender hat sich zu welchem Zeitpunkt auf welchem System eingeloggt, auf welche Daten wurde zugegriffen, welches System hat wann wohin Verbindungen aufgebaut, gab es Zugriffsversuche von nicht autorisierten Systemen, wurde außerhalb meiner Umgebung versucht Daten zu entschlüsseln, wer hat versucht Unternehmensdokumente per eMail nach extern zu schicken und wohin etc. etc.

Diese Daten kann und darf ich nicht nur erheben, ich muss es in vielen Szenarien sogar. Es ist schlicht und ergreifend vorgeschrieben.

Der springende Punkt ist: ich darf diesen Datenschatz nicht zur Leistungskontrolle oder persönlicher Überwachung verwenden. Deshalb erhält in gut organisierten und gesetzeskonformen Unternehmen das Management oder direkte Führungskräfte keinen Zugriff darauf. Auch nicht Human Ressourcen oder der BR. Nur die für Systemsicherheit zuständigen bzw. das Compliance Department.

Diese Daten dienen zur Prüfung, ob Zugriffe legitim sind, ob Daten abfließen, zur Überwachung ob das Unternehmen gerade angegriffen oder unterwandert wird oder falls das Unglück geschah zur Forensik, um nachzuvollziehen, wie es passierte und entsprechende Lücken stopfen zu können.

Falls du Tipps benötigst, welche Produkte es am Markt gibt und wie die zusammenspielen ...