[Aufmachergrafik: heller, corporate design] Bloggers beware! Tipps für sichere Bloggen im Unternehmensumfeld

Ordnungsmerkmale

erschienen in: <kes> 2007#5, Seite 11

Rubrik: Bedrohung

Schlagwort: Web 2.0

Zusammenfassung: Die Teilnahme an Blogs ist heute auch im professionellen Umfeld keine Seltenheit mehr. Um die Möglichkeiten dieses interessanten neuen Mediums verantwortungsbewusst zu nutzen, sollten Anwender die damit verbundenen Risiken kennen und sich entsprechend umsichtig verhalten.

Autor: Von Michael Scheffler, Hamburg

Ähnlich wie bei anderen so genannten Web-2.0-Anwendungen sind sowohl die Zahl der Blogs und ihrer Benutzer als auch der Einsatz im professionellen Umfeld deutlich gewachsen. Viele Menschen führen auf einer eigenen Website ein persönliches Online-Tagebuch (Web Log, kurz: Blog). Außerdem werden Blogs heute auch direkt von Unternehmen als Kommunikations-Tool genutzt – für PR-/Werbezwecke, den Aufbau von Communities oder die Zusammenarbeit von Team-Mitgliedern.

Aus der Sicht von Unternehmen und Organisationen hat das Bloggen viele potenzielle Vorteile:

Mit anderen Worten: Blogs haben auch aus Sicht der Arbeitgeber eine klare Existenzberechtigung – solange sie verantwortungsvoll genutzt werden. Neben klaren Vorteilen bedeuten aber auch Blogs – wie jede internetbasierte Kommunikation – zugleich erhebliche Risiken für ein Unternehmen. Dazu gehören zum Beispiel:

Bloggen sollte daher wie alle Internet-Aktivitäten in den unternehmenseigenen Sicherheitsrichtlinien zur Internetnutzung abgehandelt werden. Dort sollte klar festgelegt sein, was als akzeptables Benutzerverhalten anzusehen ist – für Rückfragen in Zweifelsfällen oder eine Meldung verdächtiger Vorkommnisse oder Einträge sollten Ansprechpartner in der Personal- oder IT-Abteilung benannt sein.

Feind liest mit

Kein Blogger sollte denken, dass er es im Netz nur mit freundlich gesonnenen Menschen zu tun hat. Man kann nie wissen, wer auch ein "verstecktes" Blog oder Kommentare von Mitarbeitern liest. Ein Blog kann eben nicht nur von einer überschaubaren Gruppe von Kollegen oder Freunden genutzt werden, sondern steht jedem zur Verfügung – auch Mitarbeitern des Wettbewerbs, Journalisten, Analysten und Kunden.

Denn Blogs werden wie alle Web-Inhalte von Suchmaschinen erfasst und überwacht, es gibt sogar spezielle Blog-Suchtools wie Technorati ([externer Link] www.technorati.com). Auch Personen außerhalb des persönlichen oder professionenell Umfelds eines Blogs haben daher leicten Zugriff.

Die vielleicht wichtigsten Regeln für Blogger lauten deswegen: Sag niemals etwas in einem Blog, das du nicht ohne Bedenken in aller Öffentlichkeit sagen könntest. Schreib nichts, was du nicht belegen kannst oder was dein Arbeitgeber nicht erlauben würde. Im Zweifelsfall gilt auch für Blogs: Reden ist Silber, Schweigen ist Gold.

----------Anfang Textkasten----------

Der gute Ton beim Bloggen

Aufgrund des direkten Kontakts und persönlichen Charakters des Mediums herrscht in Blogs häufig ein eher informeller Ton. Unter anderem diesem entspannten Umgang miteinander verdankt das Bloggen wahrscheinlich seine große Beliebtheit. Auch die geschäftliche Kommunikation kann durch Blogs um eine neue Interaktionsebene bereichert werden. Der einzige Haken daran ist, dass der übliche zwanglose Ton beim Bloggen leicht zu einer unprofessionellen oder unangemessenen Ausdrucksweise verführen kann. Gerade im professionellen Umfeld sollte jedem klar sein, dass er nicht alles sagen kann, was ihm gerade durch den Kopf geht! Jeder, der durch Namen, Stellung oder einen Account mit Firmenbezug als Teil einer Organisation erkennbar ist, sollte sich vor der Freigabe eines Blog-Beitrags oder -Kommentars folgende Fragen stellen:

----------Ende Textkasten----------

Keine Privatsache

Jedem Mitarbeiter sollte klar sein, dass sein Auftreten im Internet keine Privatangelegenheit ist, sobald er durch Name, Stellung, E-Mail-Adresse oder seine Äußerungen als Teil eines Unternehmens, einer Organsition oder Behörde erkennbar wird. Die interne Richtlinie zur Internetnutzung sollte hierzu klare Regeln enthalten.

Mitarbeiter, die ein privates Blog führen, sollten zudem darauf hinweisen, dass jegliche Ansichten, die darin zum Ausdruck kommen, nur ihre persönliche Meinung widerspiegeln – das Haus, für das sie tätig sind, sollte dabei natürlich nicht erwähnt werden.

Grundlegende Regeln der Kommunikation sollten sowohl für private wie auch für "Corporate Blogs" gelten:

Keine Verbreitung vertraulicher Informationen
Hierzu gehören auch die Erwähnung von Kunden, Kollegen, Vorgesetzten, Kreditkarten- und Patientendaten, finanzielle Fakten et cetera. Der Schutz vertraulicher Daten auch von Dritten ist in den meisten Ländern gesetzlich vorgeschrieben – Richtlinienverstöße in einem Blog können sowohl für den Mitarbeiter als auch für das Unternehmen ernste Probleme und Kosten bedeuten.
Keine Offenlegung von Geschäftsgeheimnissen
Die Verbreitung beispielsweise von Produktentwürfen, Preisen oder nichtöffentlichen Geschäftsbedingungen kann für ein Konkurrenzunternehmen einen großen Wettbewerbsvorteil bedeuten oder zum Verlust der Voraussetzungen für wertvolle Patentanmeldungen führen.
Keine herabsetzenden oder hetzerischen Äußerungen, keine Verbreitung illegaler oder anstößiger Inhalte
Rassismus, Diffamierung, Sexismus, Pornografie oder Anstiftung zur Gewalt, Einschüchterung oder Intoleranz gegenüber bestimmten Personengruppen müssen tabu sein. Im internationalen Umfeld sind zudem die verschiedenen Regelungen und Befindlichkeiten in verschiedenen Ländern und Kulturzonen zu beachten.
Keine Verbreitung urheberrechtlich geschützten Materials
Hierzu gehören unautorisierte Kopien von Musiktiteln, Bildern, Texten (!), Filmen oder Software. Im Firmen-Blog sollte eine klare Verantwortlichkeit für eine regelmäßige Kontrolle bestehen, die auch Postings von Dritten erfassen muss.

Es erscheint bedeutsam, allen Mitarbeitern klar vor Augen zu führen, dass sie und ihr Auftreten im Netz leicht als "Markenzeichen" des eigenen Hauses (miss-)verstanden werden: Viele Menschen setzen jede Äußerung eines Mitarbeiters mit den Standpunkten des Unternehmens gleich, auch wenn es sich beileibe nicht um eine offizielle Äußerung handelt.

Für Aktivitäten aus dem Unternehmensnetz heraus können zudem auch Content-Security-Lösungen durch geeignete Filterregeln die Einhaltung der internen Richtlinien unterstützen. Hierbei sind einerseits etwaige Mitbestimmungsrechte des Betriebsrats zu beachten. Zum anderen sollte man aber auch die Mitarbeiter direkt über solche Maßnahmen unterrichten und für Verständnis werben, dass damit keine "obrigkeitliche Kontrolle", sondern eine technische Unterstützung für eine verantwortungsbewusste Internetnutzung implementiert wird.

Achtsam verlinken

Nicht nur eigene Inhalte, auch Links, mit denen man Verknüpfungen zu anderen Websites und Äußerungen von Dritten herstellt, können eine Haftung nach sich ziehen. Vor allem Links zu illegalen Inhalten oder Anstoß erregenden Websites, Filmen oder Bildern sollten deutlich untersagt sein. Aber auch ein Link zu einer auf den ersten Blick unauffällig erscheinenden Website oder einem fremden Blog-Eintrag, sollte nicht vorschnell, sondern erst nach aufmerksamer Durchsicht der Site oder zusätzlicher Äußerungen des Betreffenden erfolgen. Allzu leicht können Dritte einen Link im eigenen Blog-Eintrag als Empfehlung verstehen, die sich auch auf weitere Bestandteile des Ziels ausdehnt.

Das Netz vergisst nichts!

Niemand sollte glauben, dass man Fehler im Internet wieder gutmachen kann. Wenn ein Blog-Eintrag erst einmal veröffentlicht wurde, steht es der ganzen Welt frei, dieses Posting zu kopieren oder weiterzugeben, Links dazu anzulegen und darüber – oft inklusive eines Zitates – zu diskutieren. Auch nach dem Editieren oder Entfernen der Urfassung können daher leicht Fragmente oder vollständige Kopien einer Äußerung im Netz verbleiben. Ein "zweites Nachdenken" vor der Veröffentlichung sollte daher zur guten Angewohnheit jedes Bloggers werden.

Für ein Corporate Blog kann es zudem erwägenswert sein, jeden Eintrag vor der Veröffentlichung durch einen Kollegen oder Vorgesetzten zu überprüfen. Ein solches "Vier-Augen-Prinzip" kann viele Probleme und Missverständnisse vermeiden, da mindestens ein zweiter Mitarbeiter einen "unvoreingenommenen" Blick auf den Eintrag wirft, bevor der Verfasser und sein Unternehmen keinen weiteren Einfluss mehr auf die Verbreitung haben.

Kommentare beachten

Auch wer eigene Blogs und Blog-Einträge absolut verantwortungsbewusst verfasst, ist vor unpassenden, heimtückischen oder gar rechtswidrigen Anmerkungen nicht gefeit. In den meisten Blogs landen früher oder später unangenehme oder unangemessene Äußerungen Dritter in den Kommentaren. Diese können rassistischer, sexistischer oder belästigender Natur sein, persönliche Angriffe oder Links zu pornografischen oder illegalen Inhalten enthalten.

Jeder Betreiber sollte sich auch für die Kommentare in seinem Blog verantwortlich fühlen – es kann sich durchaus auch eine juristische Verantwortung oder Mithaftung ergeben. Alle Kommentare – auch in "alten" Einträgen – sollten daher regelmäßig überprüft, beleidigende oder illegale Kommentare entfernt werden. Unverantwortlich handelnden Verfassern sollte man den weiteren Zugriff verweigern, besonders ernste Vorfälle unter Umständen sogar einer rechtlichen Beurteilung unterwerfen.

Ressourcen achten

Einfache textbasierte Blogs sind im Allgemeinen sparsam im Umgang mit IT-Ressourcen wie Speicherplatz und Datenvolumen sowie Bandbreite bei der Übertragung. Sobald jedoch Webcam-Aufzeichnungen, Präsentationen, Musik-, Video- und Multimedia-Dateien veröffentlicht werden, schnellt die Speicher- und Bandbreitennutzung enorm in die Höhe. Dies kann zwar zunächst unbemerkt bleiben, könnte aber irgendwann – möglicherweise unnötige – Erweiterungen des Netzwerks oder der Speicherkapazitäten nach sich ziehen. Die Ressourcennutzung durch Blogs sollte daher auf jeden Fall sorgsam überwacht und gegebenenfalls gesteuert werden.

Gegen Malware sichern

Eine neue Generation von Computer-Viren, -Würmern, Trojanern und anderer Malware steht bereits in den Startlöchern, um Schwachstellen zu nutzen, die durch das Bloggen und andere Web-2.0-Dienste entstehen. Blog-Betreiber wie Blogger sollten daher dieselben Verhaltensregeln beachten, die auch im Umgang mit E-Mail und anderen Internet-Diensten gelten:

Spezifische Web-2.0-Malware ist übrigens keine reine Theorie: Bereits im Oktober 2005 gab es mit Samy den ersten MySpace-Wurm, der Freunde-Listen von Benutzern infiltrierte. Einige weitere Beispiele sind der erste Flash-Wurm (Juli 2006) und eine QuickTime-Wurm-Attacke (Oktober 2006) wiederum auf MySpace sowie der Trojaner "MeSpam", der im Januar 2007 unbemerkt Links zu bösartigen Websites in beliebte Web-Mail-Applikationen einschmuggelte – dagegen wären auch Blogs nicht gefeit.

Fazit

Bloggen ist wie eine Sendung, die an die ganze Welt ausgestrahlt wird und von jedem empfangen werden kann. Man hat keine Kontrolle darüber, wer zu den Empfängern zählt und welche Zielsetzungen diese verfolgen. Auch "unfreundlich" gesinnte Einzelne und Organisationen können Corporate Blogs und die Blog-Postings von Mitarbeitern als Datenquelle nutzen.

Wecken Sie bei Ihren Mitarbeitern ein entsprechendes Sicherheitsbewusstsein und Verständnis für die Überwachung der Internet-Kanäle im eigenen Haus. Appellieren Sie an den gesunden Menschenverstand und ein gesundes Maß an Misstrauen und Wachsamkeit, um teure, peinliche oder illegale Aktivitäten zu vermeiden, die dem Unternehmen und seinem Ansehen schaden könnten.

Die Inhalte dieses Beitrags sind auch als Clearswift-User-Guide "Die 7 Todsünden beim Bloggen – Ein Leitfaden für Mitarbeiter von Unternehmen" auf Deutsch und Englisch kostenlos zur Weitergabe verfügbar; die PDF-Dateien stehen über [externer Link] www.clearswift.com/resources/userguides.aspx zum Download bereit.

Michael Scheffler ist Director of Sale Eastern and Central Europe bei Clearswift.