Problem 1 bis 5
Problem 1: Richtlinien für soziale Medien
Firmen und deren IT-Verantwortliche, die sich Gedanken über den sicheren Einsatz von Social Networks machen, müssen zunächst einmal Richtlinien für die Nutzung aufstellen. Die beiden wichtigsten Fragen werden dabei zunächst sein:
-
Wer in der Firma darf diese Medien (in Namen der Firma) nutzen?
-
Was dürfen diese Personen sagen?
Hier gilt noch viel stärker als in allen anderen Bereichen, die sich rund um die IT-Sicherheit drehen: Ausbildung, Training und umfassende Information der Mitarbeiter sind unbedingt notwendig.
Problem 2: Die Menschen sind ein Angriffsziel
Ein altes Administratorsprichwort sagt, dass das eigentlich Problem der IT vor dem Bildschirm sitzt - dies gilt im verstärkten Maße für den Einsatz von sozialen Netzwerken und Medien: Diese Techniken sind besonders gut für Angriffe geeignet, die nach dem Prinzip des "Social Engineering" vorgehen. Mitarbeiter, die beispielsweise zu viele persönliche Informationen im Profil ihrer Facebook-Seite preisgeben, können so leicht zum Angriffsziel werden.
Auch eine unbedachte Aussage über Firmeninterna, die über den Twitter-Account veröffentlicht wird, kann schnell ernste Folgen haben - besonders, wenn es um börsennotierte Unternehmen geht. Hier gilt, wie schon beim Problem 1: Gezielte Schulungen der Mitarbeiter zu verantwortungsbewusstem Einsatz organisieren und klare Richtlinien kommunizieren, die festlegen, was gesagt werden darf.
Problem 3: Mix von privaten und geschäftlichen Aktivitäten
Für viele Firmen läuft der Einstieg in die sozialen Netze so ab, dass die Mitarbeiter zunächst ihre privaten Twitter- und/oder Facebook-Accounts nutzen, um auch über Belange der Firma zu informieren. Kann es da verwundern, wenn sie später auch die privaten und geschäftlichen Aktivitäten vermischen?
Allen Angestellten sollte aber klar sein, dass sie in Social Networks ihre privaten von den geschäftlichen Daten ebenso trennen müssen, wie sie es auch auf einem geschäftlichen Notebook oder Smartphone tun.
Problem 4: Kontrolle der Webseiten und Internet-Aktivitäten
Administratoren sollten immer versuchen, den Internet-Verkehr und damit auch den Zugriff auf Webseiten zu analysieren und zu protokollieren. Dazu gehören unter anderem Seitenaufrufe und Datenmengen: Wer ruft welche Webseiten auf? Welche Datenmengen werden transferiert?
Solche Daten können selbst dann, wenn sie nur anonymisiert erhoben werden, schnell Aufschluss darüber geben, wo möglicherweise Schwachstellen bestehen und welche Dienste überproportional häufig aufgerufen werden. So kann der Administrator jedenfalls schon einmal grundsätzlich feststellen, welcher der Dienste (beziehungsweise welche Webseite) ein Problem verursacht. Inhaltliche Kontrollen sind so aber nicht möglich!
Problem 5: Kontrolle der mobilen Geräte und Anwendungen
Ein Punkt, der gerade bei der Überwachung sozialer Netze und Medien im Firmenumfeld gerne außer Acht gelassen wird, sind die mobilen Geräte und Anwendungen:
-
Social Media und mobile Geräte sind eng miteinander verbunden - in puncto IT-Sicherheit sind indes gerade diese Geräte alles andere als fortschrittlich.
-
Immer mehr Mitarbeiter gehen auch mit ihren Smartphones oder Tablets direkt ins Firmennetz und nutzen dann die entsprechenden Dienste und Netze.
Hier gilt es eindeutig festzulegen, ob solche Geräte grundsätzlich im Firmennetzwerk zum Einsatz kommen dürfen. Mittels Richtlinien sollten IT-Verantwortliche bestimmen, ob und wie soziale Netzwerke über diese Geräte verwendet werden können.