Sicherheitsrisiko Social Media: Was Unternehmer beachten müssen

Social Media gehört für viele Abteilungen mittlerweile zum Arbeitsalltag. PR, Marketing, Vertrieb und Human Ressources benötigen den Zugang ins soziale Web. Wie also mit den Gefahren umgehen?

„Haben Sie schon gesehen, was ihr Freund über sie schreibt?“ Eine Meldung, die per Twitter wie jede andere in der Reply-Liste auftaucht. Aber dahinter versteckt sich keine Warnung, sondern meist eine Phishing-Attacke, die darauf abzielt, dem User einen Trojaner unterzujubeln, der den Rechner kapert. Für Unternehmen sind solche Attacken ein großes Problem, hängen die Rechner doch alle im Intranet zusammen. Mit einer gezielten Attacke über eine einzige Twitternachricht an einen Arbeitnehmer lässt sich schnell ein sorgsam gestricktes Sicherheitssystem aushebeln. Wie soll man also mit den Social-Media-Angeboten in einer Firma umgehen?

Die Nutzung von Facebook und Co. zu verbieten, ist die einfachste Lösung. Immerhin setzten laut einer Umfrage von Kaspersky Lab 50,2 Prozent aller befragten Firmen auf diese Komplettlösung. Das Problem dabei ist, dass die Angebote im Social-Media-Bereich für viele Abteilungen mittlerweile zum Arbeitsalltag gehören. PR, Marketing, Vertrieb und Human Ressources benötigen den Zugang ins soziale Web. Wie also mit den Gefahren umgehen?

Unternehmen setzen hier auf verschiedene Methoden. Einige erlauben die Nutzung nur auf Smartphones oder Tablets, andere nur auf Rechnern, die nicht mit dem Intranet verbunden sind. Im ersten Fall liegen die Vorteile klar auf der Hand, denn aufgrund der Sicherheitsstruktur von mobilen Endgeräten, beziehungsweise deren Eigenart, Prozesse in sogenannten „Sandboxes“ laufen lassen, ist das Risiko einer Infektion relativ gering. In diesen Sandboxes sind auch Schadprogramme isoliert, sie haben keine Möglichkeit, den Rest des Gerätes zu infizieren. Wird das Programm beendet, also die Sandbox geschlossen, ist auch das Schadprogramm erledigt. Android-Geräte funktionieren ähnlich, hier müssen aber besondere Sicherheitseinstellungen gewährleistet werden, damit keine Programme von unidentifizierten Quellen installiert werden können. Nachteil der Lösung: Sie ist teuer. Tablets kosten viel Geld, um sie aus dem Intranet raus zu halten, braucht man einen UMTS-Anschluss eines Providers, der zusätzliche Kosten verursacht.

Eine kostenintensive, aber sichere Variante ist die Einrichtung eines Gateways im eigenen Netz. Im Unternehmensnetzwerk fingiert der Computer/Server, der als Gateway-Knoten dient, oft gleichzeitig als Proxy-Server und Firewall. Ein Gateway wird oft sowohl mit einem Router kombiniert, der weiß, wohin ein beim Gateway eintreffendes Datenpaket zu leiten ist, sowie mit einem Switch, der für das Datenpaket den physikalischen Pfad ins Gateway oder aus dem Gateway bereitstellt. Mit ihrer Hilfe bekommt die IT-Abteilung Eingriffsmöglichkeiten auf populäre Websites wie Facebook, LinkedIn, Twitter und Youtube.

So lassen sich nun bestimmte Regeln festlegen, zum Beispiel dass ein User zwar auf Facebook kommentieren kann, aber keine Videos und Fotos hochladen oder ansehen darf. Damit hat man dann schon einen Teil der Verbreitungswege von Schadprogrammen eingedämmt.

Doch am Ende nutzen alle Sicherheitsvorkehrungen nichts, wenn der einzelne User einen Fehler macht. Die vermutlich einfachste Lösung ist, die Mitarbeiter nachhaltig zu schulen. Sicherheit im Netz, auch im Umgang mit Facebook und anderen Angeboten, kann vor allem dann hergestellt werden, wenn die Mitarbeiter sich der Gefahren bewusst sind. Es ist leichter die Mitarbeiter regelmäßig durch die IT-Abteilung vor neuen Gefahren zu warnen, als nur komplexe und teuere Schutzmechanismen einzusetzen. Vor allem in Unternehmen, die mit Daten arbeiten, die sehr sicherheitsintensiv sind.

Besonders wichtig sind Schulungen von Mitarbeitern, die über sensitive Informationen verfügen. In einem Posting kann schnell einmal eine Information rausrutschen, die nicht für die Öffentlichkeit gedacht war. Das kann die Mitteilung über ein Meeting sein, aber auch die Information, wo man sich gerade aufhält. Für die Konkurrenz und potenzielle Angreifer sind solche eingestreuten Infohappen eine Goldgrube. Aber auch hier lässt sich mittels Schulungen sehr viel vermeiden. Ebenso, wie man seine leitenden Mitarbeiter darin schult, nicht im Bus oder der U-Bahn über geheime Projekte zu sprechen, kann man diese auch darauf einstellen, im Netz sich besonders vorsichtig zu bewegen.

Schulungen, Gateways und Sicherheitsprotokolle bieten Unternehmen eine wirksame Hilfe im Umgang mit Social Media. Der Aufwand für diese Dinge mag im ersten Moment groß sein, die Vorteile, die das Social Web für die Mitarbeiterkultur und das Unternehmen bringt, wiegen diesen Einsatz aber wieder auf.