Sicherheitsrisiko Social Networks

Facebook und Co. sicher nutzen

14.09.2012
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Problem 1 bis 5

Problem 1: Richtlinien für soziale Medien

Firmen und deren IT-Verantwortliche, die sich Gedanken über den sicheren Einsatz von Social Networks machen, müssen zunächst einmal Richtlinien für die Nutzung aufstellen. Die beiden wichtigsten Fragen werden dabei zunächst sein:

  • Wer in der Firma darf diese Medien (in Namen der Firma) nutzen?

  • Was dürfen diese Personen sagen?

Hier gilt noch viel stärker als in allen anderen Bereichen, die sich rund um die IT-Sicherheit drehen: Ausbildung, Training und umfassende Information der Mitarbeiter sind unbedingt notwendig.

Problem 2: Die Menschen sind ein Angriffsziel

Content-basierte Überprüfung am Web-Gateway: Durch das sogenannte Content Scanning können die Internet-Inhalte, die über das Gateway in die Firma mittels Richtlinien überprüft werden. Dabei kommt auch eine lexikalische Analyse zur Hilfe (Quelle: Clearswift)
Content-basierte Überprüfung am Web-Gateway: Durch das sogenannte Content Scanning können die Internet-Inhalte, die über das Gateway in die Firma mittels Richtlinien überprüft werden. Dabei kommt auch eine lexikalische Analyse zur Hilfe (Quelle: Clearswift)
Foto: Bär/Schlede

Ein altes Administratorsprichwort sagt, dass das eigentlich Problem der IT vor dem Bildschirm sitzt - dies gilt im verstärkten Maße für den Einsatz von sozialen Netzwerken und Medien: Diese Techniken sind besonders gut für Angriffe geeignet, die nach dem Prinzip des "Social Engineering" vorgehen. Mitarbeiter, die beispielsweise zu viele persönliche Informationen im Profil ihrer Facebook-Seite preisgeben, können so leicht zum Angriffsziel werden.

Auch eine unbedachte Aussage über Firmeninterna, die über den Twitter-Account veröffentlicht wird, kann schnell ernste Folgen haben - besonders, wenn es um börsennotierte Unternehmen geht. Hier gilt, wie schon beim Problem 1: Gezielte Schulungen der Mitarbeiter zu verantwortungsbewusstem Einsatz organisieren und klare Richtlinien kommunizieren, die festlegen, was gesagt werden darf.

Problem 3: Mix von privaten und geschäftlichen Aktivitäten

Die traditionellen Anbieter von Sicherheitslösungen sind sich der Gefahren bewusst und beginnen, entsprechende Ergänzungen anzubieten. Die hier zu sehende Bitdefender-Lösung ist dabei gut in die Sicherheitssuite des Herstellers integriert worden.
Die traditionellen Anbieter von Sicherheitslösungen sind sich der Gefahren bewusst und beginnen, entsprechende Ergänzungen anzubieten. Die hier zu sehende Bitdefender-Lösung ist dabei gut in die Sicherheitssuite des Herstellers integriert worden.
Foto: Bär/Schlede

Für viele Firmen läuft der Einstieg in die sozialen Netze so ab, dass die Mitarbeiter zunächst ihre privaten Twitter- und/oder Facebook-Accounts nutzen, um auch über Belange der Firma zu informieren. Kann es da verwundern, wenn sie später auch die privaten und geschäftlichen Aktivitäten vermischen?

Allen Angestellten sollte aber klar sein, dass sie in Social Networks ihre privaten von den geschäftlichen Daten ebenso trennen müssen, wie sie es auch auf einem geschäftlichen Notebook oder Smartphone tun.

Problem 4: Kontrolle der Webseiten und Internet-Aktivitäten

Administratoren sollten immer versuchen, den Internet-Verkehr und damit auch den Zugriff auf Webseiten zu analysieren und zu protokollieren. Dazu gehören unter anderem Seitenaufrufe und Datenmengen: Wer ruft welche Webseiten auf? Welche Datenmengen werden transferiert?

Solche Daten können selbst dann, wenn sie nur anonymisiert erhoben werden, schnell Aufschluss darüber geben, wo möglicherweise Schwachstellen bestehen und welche Dienste überproportional häufig aufgerufen werden. So kann der Administrator jedenfalls schon einmal grundsätzlich feststellen, welcher der Dienste (beziehungsweise welche Webseite) ein Problem verursacht. Inhaltliche Kontrollen sind so aber nicht möglich!

Problem 5: Kontrolle der mobilen Geräte und Anwendungen

Ein Punkt, der gerade bei der Überwachung sozialer Netze und Medien im Firmenumfeld gerne außer Acht gelassen wird, sind die mobilen Geräte und Anwendungen:

  • Social Media und mobile Geräte sind eng miteinander verbunden - in puncto IT-Sicherheit sind indes gerade diese Geräte alles andere als fortschrittlich.

  • Immer mehr Mitarbeiter gehen auch mit ihren Smartphones oder Tablets direkt ins Firmennetz und nutzen dann die entsprechenden Dienste und Netze.

Hier gilt es eindeutig festzulegen, ob solche Geräte grundsätzlich im Firmennetzwerk zum Einsatz kommen dürfen. Mittels Richtlinien sollten IT-Verantwortliche bestimmen, ob und wie soziale Netzwerke über diese Geräte verwendet werden können.