Soziale Netzwerke sind heutzutage allgegenwärtig und sehr populär. Privatpersonen und Unternehmen verwenden Facebook, Twitter, Xing, LinkedIn u.a., um mit anderen Benutzern in Kontakt zu treten.
Welche Sicherheitsrisiken ergeben sich daraus?
- Identitätsdiebstahl: Identitätsdiebe finden auf jenen Webseiten viele Informationen über ihre Opfer. Genug Menschen veröffentlichen ihr ganzes Leben in ihren Onlineprofilen. Auch Social Engineering für zukünftige Hackerangriffe wird dadurch deutlich erleichtert.
- Malware: Schadcode (z.B. Viren, Trojaner), der von anderen Benutzern hochgeladen wurde, wird heruntergeladen und ausgeführt.
- Rufschädigung: Ein Mitarbeiter veröffentlicht pikante Fotos von der letzten Weihnachtsfeier.
- Verlust vertraulicher Informationen an Öffentlichkeit oder Konkurrenz: Ein verärgerte oder enttäuschter Mitarbeiter plaudert über Firmeninterna, ein enthusiastischer Mitarbeiter schreibt voreilig über einen bevorstehenden Geschäftsabschluss.
Aus diesen Gründen unterbinden einige Unternehmen mit Hilfe technologischer Mittel vollständig den Gebrauch sozialer Netzwerke, was jedoch oft eine übertriebene Reaktion ist, da soziale Netzwerke auch zahlreiche Vorteile für Unternehmen (z.B. in den Bereichen Marketing, Vertrieb, Kundensupport) bringen können.
Mit nachfolgenden Gegenmaßnahmen kann man die Sicherheitsrisiken, die von sozialen Netzwerken ausgehen, deutlich minimieren:
Technologie
Mehreren Verteidigungsschichten sollten existieren (“Defense in Depth”). Netzwerke (z.B. “Deep Packet Inspection”), Server, lokale PCs (z.B. Anti-Virus, aktualisierte Software), sowie der E-Mail- und Internetverkehr sollten ausreichend geschützt werden, da viele Angriffe heutzutage auf mehreren technologischen Ebenen ablaufen.
Nutzervereinbarungen
Auch wenn eine Nutzervereinbarung nur ein Stück Papier ist, so ist sie doch integraler Bestandteil einer guten Informationssicherheitsstrategie. Erläutern Sie ganz genau, was erlaubt ist und was nicht, und welche Sanktionen bei Zuwiderhandlung drohen. Alle Mitarbeiter (unabhängig von Tätigkeit und Position) sollten diese Vereinbarung unterzeichnen.
Mitarbeiterschulungen
Dies ist eine wichtige präventive Maßnahme. Jeder Mitarbeiter sollte eine derartige Schulung besuchen und die Absolvierung schriftlich bestätigen. Eine derartige Schulung kann in der Gruppe oder online am Computer erfolgen.
Die Mitarbeiter müssen die Risiken für ihre eigenen persönlichen Daten als auch für die Daten und den Ruf des Unternehmens verstehen. Die Schulungen sollten eine allgemeinen Überblick über die Risiken geben, dann die Vorteile sozialer Netzwerke erläutern und ausführliche Beispiele dafür geben, was erlaubt ist und was nicht. Es sollte eine entspannte Atmosphäre herrschen und die Mitarbeiter sollten sich ermutigt fühlen, Fragen zu stellen.