Maßnahmen gegen Risiken durch Soziale Medien

Autor/Redakteur: Alexei Lesnykh, DeviceLock/gg

Alexei Lesnykh von DeviceLock

Für viele Unternehmen sind Social Media-Dienste zu einem wichtigen Kommunikationsmittel geworden, das zahlreiche geschäftliche Prozesse unterstützt. Die interne und externe Interaktion mit sozialen Netzwerken kann für den Aufbau der Marke, die Stärkung des Unternehmensimages und der Kundenbindung, zum Anwerben und Einstellen neuer Mitarbeiter, zur Förderung der Teamarbeit, zur Abkürzung von Entwicklungszyklen und zur Verbesserung der Reaktionsfähigkeit beim technischen Kundendienst genutzt werden. Personalleiter suchen über LinkedIn und Xing nach geeigneten Kandidaten, F&E-Teams veröffentlichen ihre Entwicklungshandbücher in Unternehmenswikis und das technische Support-Personal verwendet Instant Messaging, um in Echtzeit über kritische Punkte des Produkts zu diskutieren. Sogar das CRM stützt sich schon von Natur aus auf soziale Kommunikation, die an die speziellen Bedürfnisse des Business angepasst ist.

Die rasante Entwicklung der Unterhaltungselektronik hat die “Consumerization” der Unternehmens-IT vorangetrieben und zur Entwicklung des Phänomens “Bring your own computer” (BYOC) geführt. Auch das ist ein Grund, weshalb die Social-Media-Kommunikation in einem Unternehmen unvermeidbar ist. Es ist fast unmöglich, das Bloggen, Chatten oder den Besuch der persönlich bevorzugten sozialen Netzwerke über das eigene Notebook oder Smartphone zu verhindern, wenn diese Geräte für geschäftliche Zwecke verwendet werden.

Schwierigkeiten durch Soziale Medien

Die Social-Media-Nutzung bietet Unternehmen aber nicht nur Vorteile, sie sorgt auch für Probleme. Wie eine der jüngsten Umfragen des Ponemon Institute zu den Risiken von sozialen Netzwerken bestätigt, hat die der genannten Medien im Unternehmen nicht nur die Produktivität der Mitarbeiter und die Bandbreite des Netzwerks reduziert oder die Auseinandersetzung mit bedenklichen Inhalten erforderlich gemacht, sondern auch zwei Sicherheitsbedrohungen stärker in den Vordergrund gerückt – Virus- oder Malware-Infektionen und Datenlecks. Infektionen werden verursacht, wenn die Mitarbeiter Dateien und Daten auf die Computer herunterladen, die sie für geschäftliche Zwecke verwenden. Zu Datenlecks kommt es, wenn die Mitarbeiter zufällig oder ganz bewusst vertrauliche Unternehmensdaten an Ziele senden, die außerhalb des Unternehmensnetzes liegen.

Ein Antivirusprogramm kann zwar das Malware-Risiko erheblich senken – aber keine Datenlecks schließen. Die Datenleck-Szenarien im Zusammenhang mit Social Media sind vielschichtiger. Daher machen sich viele IT-Sicherheitsbeauftragte derzeit Gedanken darüber, wie sie den hierdurch riskierten Datenverlust effektiv bekämpfen können.

Social-Media-Richtlinien werden häufig ignoriert

Zunächst ist eine gut ausgearbeitete und akzeptable Nutzungsrichtlinie für Social Media die Grundvoraussetzung für den sicheren Umgang mit diesen Netzwerken im Unternehmen. Fehler, Neugier, Nachlässigkeit und Fehlverhalten sind allerdings unvermeidliche menschliche Charakterzüge, so dass auch die besten Social Media-Richtlinien häufig nicht vollständig eingehalten werden.

Aus diesem Grund müssen IT-Sicherheitsbeauftragte zusätzlich zu den organisatorischen Maßnahmen eine Sicherheitslösung auswählen und umsetzen, die eine Weitergabe sensibler Unternehmensdaten über ein Datenleck an den Endpunkt-Geräten der Mitarbeiter effektiv verhindert, wenn sie aus persönlichen oder beruflichen Gründen in sozialen Netzen kommunizieren. Die Herausforderung besteht dabei darin, dies zu erreichen, ohne die Social-Media-Sites und -Dienste komplett zu blockieren. Dies könnte nämlich die Produktivität der Mitarbeiter einschränken und ihre Motivation beeinträchtigen.

Eine solche Lösung macht es erforderlich, bei einem Austausch in den sozialen Netzwerken zwischen persönlichen, unternehmensbezogenen, öffentlichen und vertraulichen Informationen zu unterscheiden. Daher muss sie sich auf die Daten konzentrieren und den Inhalt berücksichtigen. Da die legitime Kommunikation im Rahmen von sozialen Netzwerken (das heißt Kommunikation unter Einhaltung der entsprechenden Richtlinien) nicht beeinträchtigt werden darf, muss die Lösung außerdem Entscheidungen treffen und sie unmittelbar umsetzen. Hierzu sind Methoden erforderlich, die den Inhalt in Echtzeit analysieren. Unter den vielen vorhandenen IT-Sicherheitstechnologien kann nur die Data Leak Prevention (DLP) diesen Anforderungen wirklich gerecht werden.