| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Social Media ist mehr als nur ein Hype. Wäre Facebook eine Nation, dann stünde sie auf Rang drei der größten Länder der Erde – auch die Anzahl der minütlich per Twitter versandten Kurznachrichten belegt eindringlich, dass "Social Media" längst bei den Web-Nutzern angekommen ist.
Auch für Unternehmen gibt es reichlich gute Gründe, auf Facebook aktiv zu werden oder Firmenmeldungen per Twitter zu verteilen: Die Marktforscher von Gartner gehen davon aus, dass bis 2012 50 % aller Unternehmen weltweit auf einen öffentlichen – also nicht von der Unternehmens-IT kontrollierten – Microblogging-Dienst wie Twitter setzen werden. Es existieren handfeste wirtschaftliche Interessen in Organisationen im Zusammenhang mit den Web-2.0-Angeboten – und kein IT-Sicherheitsverantwortlicher kann sich dem Thema guten Gewissens verschließen.
Dennoch zeigt die aktuelle <kes>/Microsoft-Sicherheitsstudie 2010, dass es in 76 % der befragten Unternehmen kein Sicherheitskonzept zum richtigen Umgang mit Social Networks und Web-2.0-Diensten gibt – vorhanden sind spezifische Konzepte nur bei etwa einem Viertel der 135 Befragten. Das lässt den Schluss zu, dass die Mitarbeiter nicht über die zahlreichen Gefahren für Unternehmensdaten informiert wurden und somit Gefahr laufen, einer der innerhalb von Facebook & Co. grassierenden Betrugsmaschen zum Opfer zu fallen.
Facebooknutzer weltweit verbringen pro Monat 500 Milliarden Minuten auf dieser Website – eine so gigantisch hohe Zahl, dass ein Zugriff ausschließlich von privaten PCs, Notebooks oder Smartphones ausgeschlossen erscheint. In Deutschland stieg die Zahl der aktiven Facebooknutzer binnen zehn Monaten um mehr als 100 %: Waren es zu Beginn des Jahres 2010 noch unter sechs Millionen, griffen Ende September schon zwölf Millionen Deutsche auf den Dienst zurück. Das ist ein Viertel der 48 Millionen Bürger, denen die Bundesregierung hierzulande den Zugriff aufs Internet attestiert. Rein statistisch gibt es also in jedem Unternehmen – ganz gleich, wie groß es ist – reichlich Mitarbeiter, die sich in verschieden hoher Frequenz allein in diesem einen sozialen Netzwerk tummeln.
Firmenmitarbeiter greifen aller Wahrscheinlichkeit nach auch über das Unternehmensnetzwerk und mit ihren Firmencomputern auf Facebook zu. Denn eine radikale Zugriffssperre lässt sich aus verschiedenen Gründen kaum durchsetzen: Zum einen wäre es sicherlich demotivierend für die Mitarbeiter, wenn sie tagsüber von der Kommunikation mit ihrem sozialen Umfeld abgeschnitten sind. Ein simples Verbot nutzt ohnehin wenig, wie eine vom Netzwerkausrüster Cisco in den USA durchgeführte Befragung ergeben hat: 50 % der Arbeitnehmer, denen per Regelung der Zugriff auf Web-2.0-Dienste untersagt wurde, ignorieren dieses Verbot geflissentlich und tummeln sich dennoch auf den betreffenden Webseiten.
Zum anderen bauen viele Organisationen inzwischen selbst auf soziale Netzwerke, um mit den eigenen Kunden in einen Dialog zu treten oder auch Produkte zu bewerben. Einer Studie der Unternehmensberatung Accenture zufolge nutzt die "Generation Y" – also die Mitarbeiter, die bereits mit dem Internet aufgewachsen sind – soziale Netzwerke sieben Stunden pro Woche zur geschäftlichen Kommunikation. Auf den Klassiker E-Mail greift diese Klientel hingegen nur für vier Stunden pro Arbeitswoche zurück. Damit ist klar, dass die Risiken, die von den täglich neu in den Web-2.0-Diensten auftauchenden Cyber-Betrügereien ausgehen, auch in die Firmennetzwerke schwappen.
Daran ändert auch die erfreulich hohe Zahl an Unternehmen nichts, die laut <kes>/Microsoft-Sicherheitsstudie 2010 Regelungen zur dienstlichen Nutzung privater IT-Systeme getroffen haben: Über das gesamte Teilnehmerfeld sind dies 74 %. Bei kleineren und mittleren Unternehmen (KMU) sind es 65 %, bei den üblicherweise regelungsfreudigeren Großunternehmen sogar 82 %.
Eine solche Policy ist prinzipiell natürlich sehr sinnvoll. Insbesondere im Zusammenhang mit Mobil-PCs steigt die Produktivität der Mitarbeiter deutlich, wenn sie das Gerät gleichfalls für Privates nutzen dürfen. Denn dadurch bleibt die Erreichbarkeit auch für dienstliche Belange wie E-Mails, die nach Feierabend noch eintrudeln, außergewöhnlich hoch – der Unternehmens-Computer wird ja nicht heruntergefahren und durch das private Modell ersetzt. Selbst wenn der Mitarbeiter also nach Dienstschluss rein privaten Surfunternehmungen nachgeht, wird er doch sehr wahrscheinlich noch auf eingehende Nachrichten reagieren oder zwischendurch vielleicht einen Report ins unternehmenseigene CRM-System stellen.
Ohne hinreichendes Wissen auf Seiten der Mitarbeiter ist eine solche Regelung aber nicht der Weisheit letzter Schluss: Ohne durch Schulungen mit den zahlreichen Facetten der Online-Betrügereien vertraut gemacht worden zu sein, kann der private oder berufliche Facebook-Nutzer oder Twitter-Fan meist nicht mit Bedacht durch die Cyber-Welt wandern. Nur wer um die konkreten Fallstricke weiß, handelt mit Vorsicht.
Diese Vorsicht ist auch deshalb so wichtig, weil sich viele Anwender in der vermeintlichen Sicherheit wiegen, auf legitimen Webseiten abseits der düsteren Ecken des Cyberspace unterwegs zu sein. Solche "Sicherheit" ist jedoch trügerisch, da beispielsweise Facebook durch seine zahlreichen Möglichkeiten wie dem ausgeklügelten Application-Programming-Interface-(API)-Konzept auch anfällig gegenüber technisch ausgefuchsteren, schwerer erkennbaren Betrugsmaschen ist.
Wie groß das Risiko tatsächlich ist, geht aus einem anderen Teil der <kes>/Microsoft-Sicherheitsstudie 2010 hervor: Der größte Teil der Befragten sieht an der Spitze der Gefahrenbereiche "Irrtum und Nachlässigkeit eigener Mitarbeiter" – erst danach folgen Spionage, Probleme mit Software und Hacking. Diese Aussagen machen deutlich, dass die Studienteilnehmer die eigenen Kollegen als größtes Risiko für die Datensicherheit ansehen. Natürlich kann man das Risikopotenzial durch die einschlägigen Hard- und Softwaremechanismen senken, insbesondere dann, wenn die Technik unterstützt wird von einer gut gepflegten IT-Governance. Gänzlich eindämmen lassen sich die Gefahren, die vom Risikofaktor Mensch ausgehen, hierdurch aber nicht!
IT-Sicherheitsverantwortliche sollten verinnerlichen, dass die per Facebook & Co. verbreiteten Betrügereien in erster Linie die menschlichen Schwächen missbrauchen. Erst in einem zweiten Schritt werden Details oder Schwachstellen der Technik – beispielsweise veraltete Softwareversionen oder falsch konfigurierte Systeme – aufs Korn genommen. Zuerst wird durch Kitzeln von Neugier oder Sensationslust versucht, den Anwender zu einem unbedarften und unbedachten Klick auf einen Link zu verführen. In Aussicht gestellt werden reißerische Videos, die unvermeidlichen Sex-Fotos oder Gewinnspiele – also sämtlich Betrugsmuster, die schon zu Zeiten von "Web 1.0" gang und gäbe waren und jetzt ein Revival erleben.
Die Folgen des Klicks sind vielfältig: über Phishing-Attacken per Online-Formular bis hin zum Versuch, den PC des potenziellen Opfers mit Schadsoftware zu infizieren. Die <kes>/Microsoft-Sicherheitsstudie 2010 belegt, dass Malware eine Top-Gefährdung auf hohem Niveau bleibt, die viel Aufwand erfordert: Die Anzahl der Vorfälle und Geschädigten nahm in der aktuellen Stichprobe wieder zu – dennoch sprechen viele Indikatoren dafür, dass die Gegenmaßnahmen generell fruchten und Viren, Würmer und Trojanische Pferde zunehmend beherrschbarer werden.
Angesichts der vielfältigen Malware-Variationen sollte man diese Hoffnung aber nicht unnötig auf die Probe stellen, indem eine aus sozialen Netzwerken "überschwappende" Flut von Schadsoftware in Kauf genommen wird. Empfehlenswerter ist es, der Technik umfangreiches Wissen zur Seite zu stellen – und zwar in den Köpfen der Mitarbeiter, die sich aus den verschiedensten Gründen im Web 2.0 tummeln.
Michael Kranawetter (CISA, CISM, CIPP) ist Chief Security Advisor bei Microsoft Deutschland.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2010#6, Seite 22
tag:kes.info,2007:lp:2010-6-B
|