Sie sind hier: Startseite IT & Kommunikation Klarer Kompass für Social Media gefragt
Benutzerspezifische Werkzeuge
Artikelaktionen
IT-Sicherheit

Klarer Kompass für Social Media gefragt

Die Nutzung von sozialen Netzwerken wie Facebook, Google+ oder Twitter hat einerseits längst die Mitte der Gesellschaft erreicht. Mit der wachsenden Verbreitung erhöht sich jedoch die „Störanfälligkeit“ – auch weil Mitglieder oftmals blauäugig in punkto Datenschutz und -sicherheit agieren. Deshalb sollte der Wildwuchs unterschiedlicher Anwendungen gerade an der Schnittstelle zur betrieblichen Informationstechnologie produktiv kontrolliert und gesteuert sein, ohne jedoch mit allzu strengen Verbotsregeln zu operieren. | Lothar Lochmaier

Mit Matthias Platzeck, dem Ministerpräsidenten des Landes Brandenburg, verlor Facebook im Herbst 2011 einen weiteren prominenten Kunden, der sein Nutzerprofil aus dem weltweit größten sozialen Netzwerk (800 Mio Mitglieder) wieder entfernte. Der Politiker beendete seine Mitgliedschaft aus anhaltender Sorge um den mangelnden Datenschutz. Das Beispiel verdeutlicht, wie sich in den letzten Monaten die Netzgemeinde in Gegner und Befürworter polarisiert.

Es sind vor allem staatliche Institutionen und Datenschutzbeauftragte von Unternehmen, die neben konzeptionellen Mängeln auf der Plattform mit rund 20 Mio Mitgliedern in Deutschland die geringe Transparenz in der Datensicherheit monieren. Umstritten ist unter anderem, welche Informationen Facebook speichert und welche Informationen das Unternehmen etwa gezielt für Werbezwecke auswertet oder gar an Dritte weiter reicht. Die zunehmende öffentliche Kritik führte einerseits bereits im vergangenen Jahr dazu, dass die Portalbetreiber in punkto Datenschutz einige Zugeständnisse einräumten, um den laxen Umgang mit der Privatsphäre einzudämmen.

Gleichwohl sind die Gegner dadurch keineswegs verstummt, weil die Plattform nach Ansicht der Kritiker den Schutz der Persönlichkeitsrechte und Nutzerdaten auch weiterhin auf die leichte Schulter nimmt. Mit Blick auf den für das laufende Jahr angekündigten Börsengang versprach der Primus deshalb, künftig seine Mitglieder noch stärker in den Datenschutz einzubinden, etwa indem das Portal gerade bei grundlegenden Nutzereinstellungen die vorherige ausdrückliche Zustimmung der Nutzer einholt. Zudem soll eine unabhängige Datenschutzkommission das Unternehmen Facebook künftig sehr viel stärker und regelmäßig kontrollieren, bei seiner schwierigen Gratwanderung zwischen öffentlicher und privater Datennutzung.

Auch Finanzbranche betroffen
Die Kehrseite der Medaille dabei ist, dass es die Mitglieder oftmals selbst sind, die durch ihr häufig nicht bewusstes Auftreten in den sozialen Netzwerken dazu beitragen, dass sich das Problem in jüngster Zeit erheblich zugespitzt hat. Ein Beispiel: Fast die Hälfte der bei Facebook registrierten Nutzer gibt anderen Mitgliedern aus der virtuellen Gemeinschaft bereitwillig jede erdenkliche Information preis, etwa E-Mail-Adresse, Geburtsdatum oder Telefonnummer.

Auch die Gefahr durch Spam zum Opfer zu werden, hat sich weiter in die sozialen Netzwerke hinein verlagert, wie die neuesten Angriffe auf diverse Facebook-Konten verdeutlichen. So verbreiteten Nutzer innerhalb kürzester Zeit pornografische oder äußerst gewalttätige Bilder, ohne dies selbst zu bemerken. Deren rasche Verbreitung zeigt nicht nur die mangelnden Sicherheitsmechanismen bei Facebook auf, sondern auch das nach wie vor fehlende Problembewusstsein der Anwender im Umgang mit Spam-Mails. Dennoch dürfte der Boom der sozialen Netzwerke weiterhin anhalten, was die Definition einer konsistenten betrieblichen Sicherheitsstrategie nicht gerade einfacher macht.

Was folgt daraus? Zum einen sind auch Banken durch die Aufweichung der Grenzlinie zwischen privater und beruflicher Nutzung bei diversen Netzwerken von steigenden Risiken betroffen. Zum anderen kann das soziale Netzwerk selbst zum Schauplatz von Angriffen werden. Zu spüren bekam dies im vergangenen November (2011) beispielsweise die Bank of America (BofA). Auf dem als Konkurrenzdienst zu Facebook vom Suchmaschinenkonzern Google gestarteten Dienst Google+ legten Unbekannte einen manipulierten Unternehmensauftritt an.

Der Identitätsdiebstahl zur führenden Großbank in den USA enthielt neben einem täuschend echt aussehenden Logo sowie Kontaktadresse vor allem diffamierende Einträge zum Geschäftsgebaren der Bank. In diesem Fall dauerte es über eine Woche, bis es dem Betreiber von Google+ gelang, das Double zum originalen Firmenauftritt wieder aus dem Netz zu entfernen.

Aktuelles Beispiel für den Missbrauch sozialer Netzwerke als Erpressungsinstrument: Im Zuge der Protestwellen an der Wall Street durch die Bewegung „Occupy Wallstreet“ haben Hackeraktivisten private Daten von Banklenkern öffentlich zugänglich gemacht. Die Initiatoren drohten an, für jeden während einer Kundgebung festgenommenen Demonstranten neue Daten zu veröffentlichen. Als erste  Betroffene in diesem Szenario diente die Führungsspitze der New York Community Bank bzw. der Vorsitzende der Washington Mutual Bank, von denen persönliche Daten publiziert wurden. So stellte die Aktivistengruppe „Anonymous“ deren mobile Telefonnummern, Adressen und beruflichen Bezüge ins Internet – wenngleich auf veralteter Datenbasis.

Unabhängig von diesem Szenario sind soziale Netzwerke weiterhin häufig das Ziel von Phishing-Kampagnen. Das Forschungsteam des IT-Sicherheitsanbieters Eleven beobachtet immer wiederkehrende Wellen von E-Mails, die sich ganz gezielt an die Nutzer von Facebook, My-Space, StudiVZ und anderen Netzwerken richten. Unter anderem weiterhin im Visier der Spammer sind Kreditkartenanbieter oder Online-Bezahlsysteme. Phishing-Versuche alten Stils gibt es dagegen nur noch sehr selten.

Nutzer benötigen mehr Aufmerksamkeit
Eine bedenkliche Schwachstelle ist angesichts der aktuellen Bedrohungs-Szenarien der blauäugige Umgang mit sensiblen Daten. So ergab ein virtueller Testlauf mit Hilfe eines fiktiven Nutzers „Freddie“ durch den Sicherheitsspezialisten Sophos, dass fast die Hälfte der bei Facebook registrierten Nutzer auf Anfrage persönliche Informationen mitteilte. Drei Viertel aller untersuchten Nutzer gaben mindestens die E-Mail Adresse an. Bei 84 % aller untersuchten Accounts ließ sich das Geburtsdatum ablesen. Immerhin noch 78 % der Facebook-Mitglieder gaben die derzeitige Anschrift oder den Wohnort preis.

Zu finden sind in den sozialen Netzwerken neben der ausführlichen Darstellung von schulischen Ausbildungsgängen auch gezielte Beschreibungen zum Arbeitsplatz. So listet jeder vierte Nutzer dort sein aktuelles Instant-Messaging-Profil. Einige der Benutzerprofile enthalten sogar Details von Produkten, an denen die Mitarbeiter arbeiten, bis hin zu persönlichen Schlüsselqualifikationen. Zudem legen manche Angestellte ihre beruflichen Verbindungen so detailliert offen, dass sich daraus Rückschlüsse zu Geschäftspartnern und Kunden ziehen lassen.

Die Folge dieser neuen Freizügigkeit und meist schleichend registrierten „sozialen Entblätterung“ ist, dass soziale Netzwerke zum El Dorado für kriminelle Akteure aller Art werden. Da täglich neue User bei Facebook einen Zugang beantragen, lässt sich das Missbrauchspotenzial nur allzu leicht ermessen, wenn Cyberkriminelle an zusätzliche persönliche Informationen gelangen, die sie für Phishing-Attacken oder zur betrieblichen Datenspionage nutzen.

Den Nutzern von Social-Networking-Portalen ist deshalb zu raten, die Sichtbarkeit persönlicher Informationen erheblich einzuschränken. Gefordert sind zudem die Portalbetreiber der Internetseiten, indem sie – wie beim Online Banking mit Hilfe von Richtlinien und Warnhinweisen der Fall – die Nutzer aktiv auf etwaige Risiken und Nebenwirkungen von sozialen Netzwerken aufmerksam machen. Mehr Transparenz und Information sorgt auch innerhalb der Unternehmen für ein wachsendes Problembewusstsein.

Neben Facebook auch Google betroffen
Denn kriminelle Akteure heuern immer wieder Mittäter über soziale Netzwerke an, die sie beim Phishing als Strohmänner für verdeckte Online-Überweisungen einsetzen. Ein anderer Zweck liegt in der Wirtschaftsspionage. Über Google-Groups etwa lassen sich Diskussionsbeiträge von Mitarbeitern rekonstruieren, die dort häufig unter ihren beruflichen Kennungen agieren. Die oftmals technisch orientierten Expertenbeiträge und Anfragen sind ein offenes Buch, um die IT-Infrastruktur eines Unternehmens auszuloten.

Auch der Trend zu personalisierten Suchmaschinen erhöht das Risiko. Schließlich sind dort bereits Angaben von mehren hundert Millionen Menschen indexiert. Oftmals braucht es nicht den großen Lauschangriff mit Hilfe von Social Engineering. Experten fanden sogar heraus, wie ein Mitarbeiter in einem weltweit zugänglichen Blog-Eintrag den programmiertechnischen Quellcode diskutierte, den er ein Jahr zuvor für sein Unternehmen geschrieben hatte. In diesem öffentlich zugänglichen Tagebuch teilte der Angestellte immerhin mit, dass der Code wahrscheinlich das Patent eines Mitbewerbers verletzen würde.

Eine weitere Variante zur Ausforschung von Benutzerdaten, Personenhistorie oder unternehmensrelevanten Informationen sind technische Werkzeuge. Die passende Spionagesoftware liest etwa per Webcrawler die Nutzerprofile von Social-Networking-Seiten wie Facebook, Myspace und LinkedIn aus. Angesichts einer weit verzweigten, häufig interagierenden sozialen Netzwerkumgebung stellt sich mit Blick auf die organisatorische Aufstellung von Banken demzufolge eine Reihe von freilich nicht pauschal lösbaren Fragen:

  • Wie regelt das Management innerbetrieblich die Nutzung sozialer Netzwerke?
  • Wo liegen Schwachstellen der Betreiber?
  • Wie kann man die interne Abwehr am besten aufstellen?
  • Wieweit lässt sich gerade das zwischen privater und beruflicher Nutzung angesiedelte Handling von Social Media an externe Dienstleister auslagern?
  • Was eignet sich überhaupt dafür, was weniger?
  • Wie sieht eine praktikable Security Governance aus, die sich um den Schutz relevanter Informationen gruppiert, aus der eine wirkungsvoll gestaltete IT-Compliance abgeleitet werden kann?


Nur Datensparsamkeit hilft weiter
So nützlich sich das Internet als Instrument der sozialen Kontaktpflege erwiesen hat, so vorsichtig sollten Nutzer ihre eigenen Profile darstellen. Für jeden privaten User und Mitarbeiter beginnt der Schutz bei einem umsichtigen Umgang mit den eigenen Daten. Pseudonyme etwa lassen keine allzu simplen Rückschlüsse auf die Herkunft oder den Namen zu. Sicherheitsexperten raten bei Kontaktanfragen von Unbekannten außerdem dazu, erst einmal rückzufragen, wer über die „virtuelle Eingangstür“ an der privaten Wohnungstür anklopft.

Schließlich öffnet man auch nicht jedem Fremden gleich die Türe. Den Unternehmen wiederum ist der Rundum-Blick in alle Seitenfenster und Nebeneingänge zu empfehlen. Es sind praktikable und alltagstaugliche Richtlinien zur Nutzung von Online-Netzwerken an der Grenzlinie zwischen privater und geschäftlicher Nutzung zu definieren. Von gänzlichen Verboten raten Sicherheitsexperten jedoch ab. Diese wirken sich unter Umständen sogar kontraproduktiv aus. Ganz abgesehen davon gehören entsprechende Sicherheitslösungen zum Schutz vor Spam- und Hacker-Angriffen im Unternehmensnetzwerk zum Standard.

Automatisierte Sicherheitslösungen haben hier in den letzten Jahren erhebliche Fortschritte gemacht. So lässt sich ein Großteil der Webseiten mit entsprechenden Softwarewerkzeugen nicht nur in Echtzeit analysieren und klassifizieren, sondern auch der Zugriff auf verdächtige Inhalte sofort sperren, wenn dynamische Prüfroutinen anhand von granularen Kontrollmechanismen etwaige Schwachstellen aufgespürt haben. Dennoch entbindet dies jeden einzelnen Mitarbeiter nicht von seiner konkreten Verantwortung, durch Umsicht im Arbeitsalltag dazu beizutragen, die Ressource Information im Unternehmen zu schützen.

Das schwächste Glied in der Kette bleibt jedoch der Anwender. Dies gilt umso mehr, als die intensive Verbreitung von sozialen Netzwerken wie Facebook & Co. sowie mobile Anwendungen den Datenschutz deutlich erschweren. Deshalb sollte das Augenmerk beim IT-Management darauf ausgerichtet sein, die Mitarbeiter an potenziellen Schwachstellen für die Belange der IT-Compliance zu sensibilisieren, und zwar durch eine feinmaschig strukturierte Prioritätenliste, je nach individuellem Verantwortungsbereich. Fortlaufende Informationstransparenz und eine gezielte Schulung sorgen zudem dafür, dass relevante Bestimmungen auch am „Frontend“ der Prozesslandschaft beachtet werden.

Allgemein und unabhängig von der geschäftlichen Ausrichtung gilt wiederum für alle Finanzdienstleister die grundsätzliche Devise, dass sich IT-Sicherheit nur bis zu einem gewissen Grad an einen externen Dienstleister auslagern lässt. Für den Überblick über die gesamte Prozesslandschaft einschließlich der relevanten Richtlinien bei Social Media bleibt letztlich das Top-Management zuständig, das sich eingehend mit den Risiken, aber auch den großen Chancen einer selektiv nach außen geöffneten sozialen Netzwerkkommunikation befassen sollte.

Service
Konkrete Empfehlungen hinsichtlich der Nutzung (mobiler) sozialer Netzwerke spricht die europäische Cyber-Security-Agentur ENISA aus: www.enisa.europa.eu/act/ar/deliverables/2010/onlineasithappens
 

Lothar Lochmaier ist Fachjournalist in Berlin.
Der Artikel ist erschienen in der Ausgabe 02/2012
IT & Kommunikation Trends
Online-Werbung behauptet sich
»
Litfasssäulen im Web
Peer-to-Peer-Geschäfte
»
Wichtige Wettbewerber
PR in neuen Medien ergänzt klassische Pressearbeit
»
Online-Portale liegen im Trend
Marken in Sozialen Medien
»
Erhöhte Chancenvielfalt
Anzeige
Stichwort
  • »Cyber-Kriminalität: Gefahrenzone World Wide Web: Viren-Autoren und Spam-Urheber agieren mit enormer krimineller Energie, so der Sicherheitsspezialist Message Labs in seinem Security Report für das Jahr 2009. Der Bericht zeigt, dass Botnets zwar Rückschläge erlitten, doch durch Überlebenskünstler-Qualitäten leider wieder schnell auf die Beine gekommen sind.
Buchtipp (IT)