Social Media Security – Richtlinien für mehr Datensicherheit in Sozialen Netzwerken

Zahlreiche Unternehmen öffnen sich zunehmends den Möglichkeiten der Sozialen Medien. Neben eigenen Aktivitäten in den Bereichen Marketing, PR, Vertrieb oder auch Support, erlauben einige Unternehmen ihren Mitarbeitern auch die Nutzung der Sozialen Medien am Arbeitsplatz.

Sinnvollerweise werden entsprechende Maßnahmen mit Social Media Guidelines oder einer entsprechenden Policy begleitet.

Mit einigen rechtlichen Implikationen, die dabei abgebildet werden sollten, habe ich mich in diesem Blog bereits mehrfach ausführlich auseinandergesetzt.

Ein Aspekt, der bei den meisten Unternehmen bei ihrer zu begrüßenden Öffnung gegenüber den Sozialen Medien aber zu kurz kommt und auch in den Guidelines in zahlreichen Fällen nicht abgebildet wird, ist der der Datensicherheit bzw. IT Sicherheit (nachfolgend auch als Social Media Security bezeichnet). So zeigt eine aktuelle Studie, dass die meisten Unternehmen den Risiken der zunehmenden und perspektivisch wohl unvermeidlichen Nutzung der Sozialen Medien schutzlos ausgeliefert sind.  Dabei  sind Mitarbeiterschulungen zur Förderung des Bewußtseins für Datensicherheit und entsprechender Medienkompetenz die effektivsten Maßnahmen zur Risikovermeidung.

Social Media Security meint dabei den Schutz vertraulicher Informationen des Unternehmens aber auch der eigenen Daten der Mitarbeiter bei der Nutzung von Social Media, unabhängig davon ob diese am Arbeitsplatz erlaubt ist oder eben „nur“ über mobile Endgeräte oder von zuhause stattfindet.

Dabei werden die potentiellen Risiken von Social Media von den Mitarbeitern, aber auch von einigen Unternehmen unterschätzt. Dabei soll es in dem nachfolgenden Beitrag nicht darum gehen, vor der ohnehin unvermeidlichen Entwicklung zu Sozialen Medien zu warnen oder abzuschrecken. Auch in Deutschland werden die Unternehmen dieses Phänomen mittelfristig nicht ausschließen können. Insofern sollten die Mitarbeiter sensibilisiert werden, um bestehende Risiken zu minimieren.

A. Sicherheitsrisiken in und über die Sozialen Medien

Sozialen Medien setzen da an, wo für Hacker, Phisher & Co das Angriffspotenzial am größten ist: beim Menschen.

Solange die Mitarbeiter nicht mit der notwendigen Kompetenz agieren, können technische Maßnahmen zur Förderung der Datensicherheit  stets über das „Einfallstor“ Mensch ausgehebelt werden.

Typische Risiken im Internet:

Einige dieser Risiken stellen auch reale Gefahren für elementare Unternehmenswerte dar. Der Schutz des eigenen Know-Hows bzw. entsprechender Betriebs- und Geschäftsgeheimnisse ist in unserer wissens- und innovationsgetriebenen Wirtschaft ebenso elementar, wie die Verhinderung von Ausfällen der eigenen IT-Infrastruktur (auch eigene interne Plattformen) .

Auch das Risiko von Identitätsdiebstahl  in und über Soziale Netzwerke wird in Zukunft wohl noch stärker zunehmen.

Mit der wachsenden Bedeutung von Social Media ist eine aktueller Entwicklung zu beobachten, nach der versucht wird, auch immer mehr Angriffe über Twitter, Facebook & Co in die Unternehmen hineinzutragen. Darüberhinaus sind die meisten Unternehmen auch nach § 9 BDSG verpflichtet, die notwendigen technische und organisatorische Maßnahmen für eine entsprechende Datensicherheit zu gewährleisten.

Die Integration entsprechender Hinweise auf Social Media Security in die neu aufgesetzten Social Media Guidelines oder auch bestehende IT-Richtlinien sind elementar um die steigende Bedeutung entsprechender Kanäle abzusichern.

B. Social Media Security Guidelines – Wichtige Regelungsgegenstände für mehr Datensicherheit

Auf Grundlage unserer langjährigen Erfahrung möchten wir nachfolgend einige der wesentlichen Regelungspunkte auflisten, die in Social Media Guidelines angesprochen und/oder  in entsprechenden IT-Datensicherheitsrichtlinien der Unternehmen aufgenommen bzw. in Schulungen oder web-based Trainings (WBT) gegenüber den Mitarbeitern integriert werden sollten.

  • Keine Preisgabe vertraulicher Informationen bzw. von Betriebs- und Geschäftsgeheimnissen des Unternehmens

Die Preisgabe von Betriebs- und Geschäftsgeheimnissen ist in § 17 UWG sogar mit Geld- und Freiheitsstrafen belegt. Auch Kündigungen oder andere arbeitsrechtliche Folgen sind denkbar. Dennoch zeigt sich immer wieder, dass Mitarbeiter sich in Zeiten von Social Media bei Facebook, XING & Co bei Chat- und Nachrichtenfunktionen privat und so sicher fühlen, mit Kollegen oder auch gegenüber Dritten auch über vertrauliche Informationen des Unternehmens auszutauschen.  Manche Funktionen und Netzwerke der Sozialen Medien sind jedoch für Hackingangriffe oder Identitätsdiebstahl durchaus anfällig. Unternehmen sollten entsprechend relevante Informationen deshalb über eine dringend notwendige Sensibilisierung der Mitarbeiter besser schützen.

  • Zurückhaltung mit persönlichen Informationen

Vielen Mitarbeitern fehlt das Bewußtsein für die Reichweite, die Äußerungen und Inhalte in und über Social Media erreichen können. Häufig fehlt die nötige Medienkompetenz um die verfügbaren Privatsphäreeinstellungen der Sozialen Netzwerke so zu konfigurieren, dass Inhalte auch nur da ankommen und verbleiben, wo sie ankommen sollen. Entsprechende Guidelines und/oder Schulungen können die Mitarbeiter so oft „vor sich selbst“ schützen.

  • Sichere Passwortgestaltung

Bis heute verwenden zahlreiche Internetnutzer die selben Zugangsdaten für sämtliche Plattformen. Einmal auf einer Webseite gehackt oder offengelegt, können Dritte auf sämtliche Plattformen (auch geschäftliche Werkzeuge) zugreifen und Mißbrauch betreiben. Man sollte den Mitarbeitern deshalb unter anderem empfehlen, voreingestellte Passwörter zu ändern, nicht nur ein Passwort für alle Zugänge zu verwenden und konkrete Hinweise für die sichere Gestaltung (Zeichenzahl, möglichst Gross- und Kleinschreibung/Zahlen/Sonderzeichen)zu geben.

  • Beschäftigung mit den Nutzungs- und Datenschutzbestimmungen des jeweiligen Netzwerkes

Die Nutzungsbedingungen (Terms of Service) von Facebook & Co bestimmen das (Rechts-)verhältnis zwischen den Nutzern und dem jeweiligen Plattformbetreiber. Die Datenschutzbestimmungen regeln welche Daten das jeweilige Netzwerk wie verwenden darf. Die Auseinandersetzung mit diesen Dokumenten oder die Vermittlung der wesentlichen Themen schaffen Bewußtsein und Medienkompetenz bei den Mitarbeitern und damit schlussendlich mehr Sicherheit für das Unternehmen.

  • Kenntnis der Profil- und Privatsphäreeinstellungen

Die Privatsphäreeinstellungen bestimmen, wer welche geposteten Inhalte lesen kann. Von der Grundeinstellung sind die Postings in aller Regel öffentlich. Nur mit der Kenntnis der Einstellungen und der entsprechenden Umsetzung können die Mitarbeiter die Reichweite ihrer Postings „kontrollieren“.

  • Kritisches Hinterfragen und Nachfragen bei Kontaktanfragen

Identitätsdiebstahl (also die Übernahme fremder Accounts) ist ein häufiges Phänomen der Sozialen Medien. Und auch die Gefahr von Social Engineering, also der versuchten Erschleichung von Vertrauen über künstliche oder gefälschte Profile mit der Zielsetzung bestimmte Handlungsweisen auszulösen (z.B. die Preisgabe vertraulicher Informationen der Unternehmens) nimmt zu. Mitarbeiter sollten daher angehalten werden, auf außergewöhnlichen Kontaktaufnahmen oder Anfragen vorsichtig zu sein und die fremden Profile genauestens auf deren Authentizität zu untersuchen oder diese zu melden.

  • „Think Twice“ vor Informations- und Datenweitergabe

Aus den oben stehenden Gründen sollten die Mitarbeiter inbesondere bei der Weitergabe von sensiblen Informationen eine besondere Vorsicht walten lassen bzw. bei Unsicherheit einen kompetenten Ansprechpartner beiziehen können.

  • Vorsicht bei Drittanbieteranwendungen mobil wie auch innerhalb Sozialer Netzwerke

Innerhalb der Sozialen Netzwerke werden immer mehr Drittanwendungen genutzt. Die modernen Geräte wie ipad & Co  bieten ebenfalls zahlreiche Drittaplikationen, denen häufig weitreichende Zugriffsrechte eingeräumt werden. Die Mitarbeiter sollte vor Installation und Datenfreigabe daher stets die Seriosität der Entwickler von Anwendungen („Apps“)

  • Links nicht wahllos klicken

Häufig werden Links von den „Freunden“ bei Facebook & Co gepostet. Diese Tatsache gewährleistet nicht, dass die Zielseite vertrauenswürdig und ungefährlich ist. Hacker und Spammer nutzen (mit Maßnahmen wie Like-Jacking) immer stärker auch die Vertrauensbasis die die Sozialen Netzwerke bieten. Verkürzte Links machen Zielseiten oft unklar. Hier sollte das Bewußtsein der Mitarbeiter geschärft werden.

  • Öffentliche Terminals möglichst vermeiden, in jedem Fall ausloggen

Mitarbeiter sollten von öffentlichen Terminals (z.B. in Internetcafes) nicht auf Firmenzugänge zugreifen. Dass sie sich danach ausloggen, sollte aber auch bei etwaigen Notfällen selbstverständlich sein.

C. Resumee

Die oben stehenden Punkte fassen einige der wesentlichen IT Sicherheitshinweise zusammen, die für die Gewährleistung einer sicheren Nutzung des modernen Internet elementar sind.

Unsere Erfahrung bei entsprechenden Schulungen in unterschiedlichen Unternehmen zeigen, dass das Problembewußtsein nur bei einem Teil der Mitarbeiter vorhanden ist. Konkrete Hinweise in entsprechenden Richtlinien oder Schulungen werden – auch wegen dem eigenen Bedürfnis nach mehr Absicherung – oft dankbar aufgenommen. Damit können die Mitarbeiter ihre eigenen Accounts, Daten und Informationen, aber auch die des Unternehmens vor einigen der zentralen Risiken bewahren.

Die Thema Datensicherheit sollte im Hinblick auf die zunehmende Nutzung der Sozialen Medien, aber auch mobiler Endgeräte unbedingt angegangen bzw. bei vorhandenen Regelungen überarbeitet werden.

Weiterführend:

Social Media Guidelines (TEIL 1) – Warum Unternehmen und Mitarbeiter klare Richtlinien brauchen

Social Media Guidelines (TEIL 2) – Kritische Analyse der SAP Social Media Participation Richtlinien

Social Media Guidelines (TEIL 3) – Praxishinweise zur Einführung von Richtlinien

Interview in der ZEIT Online “Verbote sind keine Lösung” Social Media Richtlinien – (Rechtliche) Leitplanken schaffen Medienkompetenz

Gerne stehen wir bei weitergehenden Fragen, Unterstützungsbedarf bei der Erstellung entsprechender Sicherheitsrichtlinien für Facebook, Twitter & Co oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter 0711 228 54 50 für eine unverbindliche Anfrage zur Verfügung.

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 860 40 025 oder via E-Mail carsten.ulbricht@menoldbezler.de zur Verfügung.