Die sozialen Netzwerke eröffnen neue Möglichkeiten für die Ansprache der Kunden. Sie können aber auch Einfallstore für Virenangriffe und Ausspähung sein, deshalb sollten die Betriebe nicht zu sorglos agieren. Von Hardo Holz und Bernd Steinle
Soziale Medien werden in vielen Firmen zum festen Bestandteil der Unternehmenskommunikation. Sie setzen Netzwerke wie Facebook und Xing sowie Microblogging-Dienste wie Twitter für Marketing, Pressearbeit und Kundenservice ein. Wie die Studie „Social Media in deutschen Unternehmen“ des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) zeigt, nutzt in Deutschland inzwischen fast die Hälfte aller Unternehmen die neuen Kommunikationskanäle, und ihre Anzahl steigt stetig.
Ganz ohne Risiko sind die Aktivitäten in den sozialen Netzwerken allerdings nicht. Es besteht die Gefahr, dass Mitarbeiter interne Informationen herausgeben, dass vertrauliche Daten ausspioniert und gestohlen werden. Nicht jeder Freund oder Follower muss lautere Absichten haben; die Medien eignen sich nämlich auch hervorragend für Social Engineering-Angriffe: Mitarbeiter sollen mit plausiblen Anliegen dazu gebracht werden, Informationen über das statthafte Maß hinaus an Dritte weiterzugeben oder aber Dateien zu öffnen oder Links anzuklicken, über die Computer-Schädlinge im Unternehmensnetz platziert werden. In jüngster Zeit machen insbesondere gezielte Angriffe von sich reden, über die ein Unternehmen oder eine kleine Gruppe von marktführenden Unternehmen ausspioniert werden sollen.
Ähnlich wie beim Einsatz privater Smartphones und anderer Geräte für dienstliche Belange wirkt bei Social Media die Macht des Faktischen: Ein Verbot wird sich in den seltensten Fällen als praktikabel erweisen. Es geht deshalb darum, Vorkehrungen zu treffen, die die Nutzung kanalisieren und die Risiken verringern. Da in sozialen Netzwerken Menschen agieren, sind Fehler in der Kommunikation die größte Gefahr; Maßnahmen müssen zunächst hier ansetzen. Das Entscheidende sind unternehmensweite Richtlinien, die für alle Mitarbeiter den Rahmen für ihre Aktivität in den Netzen abstecken. Regelmäßige Schulungen helfen den Mitarbeitern, Fallen zu vermeiden, und statten sie mit einer Portion gesundem Misstrauen aus.
Trotzdem funktioniert angemessener Schutz nicht ohne technische Lösungen. Zur Sicherstellung der Integrität von Daten und Systemen gehören die Verschlüsselung der vertraulichen Daten im Unternehmen, der Schutz vor Schadcodes und die Überwachung von Zugängen und Zugriff sowie der Informationen, die nach draußen gegeben werden – also Verfahren, die in allen Unternehmen bekannt und weitgehend etabliert sind. Das Arbeiten mit den sozialen Medien braucht keine neuen, speziellen technischen Schutzlösungen, es können sich jedoch Schwerpunkte verschieben die es sinnvoll machen, bestehende Schutzkonzepte zu überdenken.
Virenschutz verbessern
Je häufiger die Mitarbeiter im Internet unterwegs sind, desto größer ist das Risiko, dass Computerschädlinge ins Unternehmensnetz gelangen. Schutzmaßnahmen sollten sich daher in erster Linie auf deren Abwehr konzentrieren. Das beginnt für die Systemadministration beim möglichst zeitnahen Einspielen von Sicherheitsupdates und Patches. Sehr hilfreich sind URL-Blocker, die den Zugriff auf bekannte Malware- und Phishing-Seiten verhindern. Die Systeme erhalten automatisch Aktualisierungen und können damit nahezu in Echtzeit auf neue Bedrohungen reagieren. Virenschutz auf den Arbeitsplatzrechnern gehört zu den Selbstverständlichkeiten. Die Schutzwirkung verbessert sich deutlich, wenn zusätzlich ein Netzwerkschutz eingesetzt wird, der den Datenverkehr prüft und gegebenenfalls reinigt.
Firewalls verhindern anhand festgelegter Regeln unerwünschte Netzwerkzugriffe und senken dadurch das Risiko von Schadcodes. Moderne Systeme, die unter der Bezeichnung „Next Generation Firewalls“ auf den Markt gekommen sind, verfügen über Zusatzfunktionen wie Malware-Schutz oder eine Suchmöglichkeit nach Begriffen oder Zahlenmustern. Allerdings ist zu berücksichtigen, dass die Leistung sinkt, wenn die Zusatzfunktionen genutzt werden. Je nach Bedarf fahren Unternehmen dann mit spezialisierten Einzellösungen günstiger. Von den multifunktionalen Produkten profitieren in erster Linie Großunternehmen, die den Aufwand für die gewählten Funktionen ohnehin betreiben müssen.
Die besten Regeln helfen nur bedingt, wenn nicht überwacht werden kann, ob sie auch eingehalten werden. Die Zugriffsregelungen auf die neuen Dienste technisch zu hinterlegen und so ihre Einhaltung sicherzustellen, lässt sich mit überschaubarem Aufwand durch Firewalls und Proxys als Verbindung zwischen den unterschiedlichen Netzen bewerkstelligen. In Großunternehmen und Unternehmen mit sehr spezifischen Sicherheitsanforderungen kann es sinnvoll sein, dass auch die Inhalte überwacht werden, die die Mitarbeiter nach draußen kommunizieren. Damit DLP-Lösungen (Data Loss Prevention, Data Leakage Prevention) den Abfluss sensibler Informationen verhindern können, müssen alle Daten im Unternehmen entsprechend bewertet sein, was sich nur für wenige Unternehmen lohnt. Alle anderen sind mit den gängigen Sicherheitslösungen gut ausgestattet, die sich ohne hohen Zeit- und Administrationsaufwand bedienen lassen.
