Die FAA — Federal Aviation Administration der USA — teilte ihren Mitarbeitern am Freitag mit: In der nächsten Woche wird das IT-Team automatisch die App „The White House" auf allen dienstlichen iPhones und iPads installieren. Ohne Anfrage, ohne Auswahlmöglichkeit. Die App erscheint einfach auf dem Bildschirm.

Dies ist keine lokale Initiative der Luftfahrtbehörde. Der bundesstaatliche Chief Information Officer Greg Barbaccia hat einen Befehl an die leitenden Informationsdirektoren der Behörden verteilt, um der Regierung zu helfen, die App auf allen dienstlichen Mobilgeräten der Exekutive bereitzustellen. Nach Angaben von Government Executive geht es um Millionen von Telefonen.

Was sich in der App befindet

Die App wurde im März 2025 gestartet mit dem Versprechen, Bürgern einen „ungefilterten" Zugang zu den Prioritäten der Regierung zu geben. Darin enthalten sind Pressemitteilungen, offizielle Medien, eine Auswahl von Nachrichtenartikeln und eine Schaltfläche „Text President Trump", die tatsächlich zu einem Newsletter-Abonnement führt.

Bundesangestellten wird dieselbe öffentliche Version installiert — ohne zusätzliche Funktionen oder Zugriffsstufen. Genau das beunruhigt Cybersicherheitsexperten am meisten.

„Jede Anwendung, die auf einem dienstlichen Gerät installiert ist, schafft möglicherweise einen Hintertürzugang zu Regierungsnetzwerken hinter der Firewall".

— Hashmi, ehemaliger Beamter der General Services Administration (GSA), Zitat nach Government Executive

Zahlen, die nicht mit der Rhetorik übereinstimmen

Eine unabhängige Analyse des Codes und des Netzwerkverkehrs der App, durchgeführt von Forscher atomic.computer, hat ein strukturelles Problem aufgedeckt: Nur 23 % der App-Anfragen gehen an whitehouse.gov — die restlichen 77 % landen bei Drittanbieter-Diensten.

Die Netzwerkanalyse bestätigte: Bei jedem Start der App werden die IP-Adresse, die Zeitzone, das Gerätemodell, die Betriebssystemversion, die Anzahl und Dauer der Sitzungen und ein persistenter eindeutiger Identifikator an den Service OneSignal übertragen — obwohl in der Beschreibung der Berechtigungen angegeben ist „diese App verwendet deinen Standort nicht" und im Privacy-Manifest die Erfassung von Nulldaten erklärt wird.

• Die App übermittelt IP-Adressen, Zeitzonen und andere Benutzerdaten an Drittanbieter-Dienste.
• Unter den entdeckten Sicherheitslücken ist Elfsight, ein in Russland gegründetes Unternehmen, das Widgets für die App bereitstellt, durch das persönliche Daten einiger Mitarbeiter des Weißen Hauses öffentlich zugänglich wurden.
• Keiner der beteiligten kommerziellen Dienste hat eine FedRAMP-Autorisierung — der obligatorische bundesstaatliche Sicherheitsstandard für Cloud-Produkte im öffentlichen Sektor.
• GPS-Tracking war zunächst vorhanden, wurde aber nach öffentlicher Empörung entfernt.

„Propaganda" oder Standardpraxis?

Das Weiße Haus verteidigt die Entscheidung mit einem Standardargument. Sprecherin Olivia Weils erklärte, dass „auf Regierungsgeräten normalerweise vorinstallierte Apps vorhanden sind, die für die tägliche Arbeit von Beamten nützlich sind".

Der ehemalige Regierungstechnikbeamte David Nesting bewertet die Situation anders: „Das ist einfach eine Möglichkeit, alle Bundesbeamten dazu zu zwingen, die gleiche Propaganda zu sehen, die sie unter der Öffentlichkeit verbreiten".

Ein solches Präzedenzfall ist tatsächlich ungewöhnlich: Beamte — sowohl aktuelle als auch ehemalige — bezeichneten diesen Schritt als äußerst ungewöhnlich und sogar gefährlich. Zuvor konnten auf dienstlichen Geräten Kommunikationswerkzeuge wie Teams oder Zoom installiert sein — aber nicht parteiisch gefärbte Inhalte einer bestimmten Regierung.

Falls sich einer der beteiligten Drittanbieter-Dienste als Leckagevektoren herausstellt, wurden offiziell keine Verantwortlichen für die Überprüfung der Sicherheit dieser Entscheidung ernannt.