In den Sicherheitsprognosen des Security for Business Innovation Council (SBIC) gehört Social Media zu den Top-Risiken in 2013. Es drohen Social-Engineering-Attacken, manipulierte Links, ungewollter Datenabfluss und Datenabschöpfung durch Internetkriminelle. Ein Verbot der betrieblichen Nutzung sozialer Netzwerke steht für viele Unternehmen trotzdem nicht zur Debatte.
Im Gegenteil: 56 Prozent der werbetreibenden Unternehmen in Deutschland planen sogar eine Steigerung ihres Budgets für Social Media, so das Ergebnis der aktuellen Studie "Social Media in Unternehmen" des BVDW (Bundesverband Digitale Wirtschaft).
Aktuelle Sicherheitsempfehlungen wie die Forrester-Studie "Manage the Risk of Social Media" und die PwC-Studie "Security for Social Networking" raten zum Einsatz technischer Lösungen, um die Nutzung von Social Media stärker abzusichern.
Wir zeigen Ihnen, was spezialisierte Security-Tools für Social Media leisten können - vom Reputationsmanagement und Viren-Scan über Verschlüsselung und Monitoring bis hin zur Messung der Nutzersensibilisierung.
1. Reputation von Profilen und Apps
Soziale Netzwerke wie Facebook bieten nicht nur Profile, Pages und Nachrichtenfunktionen. Auch Apps stehen zur Auswahl, zum Beispiel im Facebook App Center. Ähnlich wie die Apps bei mobilen Betriebssystemen können aber auch diese Apps heimlich Nutzerdaten sammeln.
Einblicke in mögliche App-Risiken auf Facebook bietet zum Beispiel der App Advisor von secure.me. Dieses Tool zeigt für jede untersuchte Facebook-App an, auf welche Daten des Nutzers die App zugreifen möchte, welche Daten der Kontakte des Nutzers betroffen sein können, wie die App von Nutzern bewertet wird und ob es bereits konkrete Datenschutz- oder Sicherheitswarnungen anderer Nutzer zu der App gibt.
Secure.me prüft auch ausgewählte Nutzerprofile oder die komplette Kontaktliste, ob sich unter den Posts oder Aktivitäten Verdächtiges oder Gefährliches entdecken lässt. So warnt das Tool beispielsweise vor manipulierten oder verseuchten Links in Profilen und Nachrichten. Auch die Posts des Nutzers selbst werden analysiert, um vor der Weitergabe sensibler Inhalte zu warnen.
Schließlich macht secure.me den Nutzer auf mögliche Probleme für die Online-Reputation aufmerksam - dazu gehören auch peinliche Fotos des Nutzers auf anderen Facebook-Profilen. Um das zu bewerkstelligen, setzt die App unter anderem Gesichtserkennungsfunktionen ein.
2. Scannen von Links und Dateien
Soziale Netzwerke bieten interne Nachrichtenfunktionen, die die gleichen Risiken wie E-Mail aufweisen: manipulierte Hyperlinks, verseuchte Dateianhänge und Spam.
Sicherheitswerkzeuge wie BitDefender Safego, Defensio 2.0 von Websense, ESET Social Media Scanner, Norton Safe Web und das Zscaler Likejacking Prevention-Tool helfen dabei, diese Angriffsversuche zu erkennen und abzuwehren.
Defensio 2.0 prüft zum Beispiel Facebook-Nachrichten auf Spam-Charakter und analysiert das Risiko durch Links in Facebook-Nachrichten, bevor der Empfänger diese anklickt. BitDefender Safego prüft ebenfalls Nachrichten und Inhalte in Facebook auf Spam- und Malware-Verdacht.
Norton Safe Web untersucht Links in Facebook auf mögliche Schadsoftware. Das Zscaler Likejacking Prevention-Tool prüft Facebook-Like-Buttons auf Webseiten, ob sich dahinter ein Angriffsversuch oder Betrug versteckt.
Der ESET Social Media Scanner prüft das Profil des Nutzers und seiner Kontakte, ob dort gefährliche Links oder Dateien enthalten sind. Die Facebook-App ist Teil von ESET Smart Security 6, kann aber auch direkt im Facebook App Center aktiviert werden.
3. Verschlüsselung vertraulicher Nachrichten
Anwender nutzen Social Media zunehmend für den Austausch sehr sensibler Nachrichten und Inhalte. Im Regelfall gehörten diese - wenn sie überhaupt auf die virtuelle Reise geschickt werden sollten - in eine verschlüsselte E-Mail. Die bloße Begrenzung des Empfängerkreises auf definierte Kontakte im sozialen Netzwerk (wie Facebook-Freunde) stellt de facto keine Datensicherheit her.
Dennoch lassen sich auch Nachrichten im Social Web verschlüsseln. Eine entsprechende Lösung bietet zum Beispiel Scrambls. Als Plug-in für alle großen Browser zu haben, lässt sich Scrambls für verschiedene Dienste nutzen. Das Werkzeug verschlüsselt eine Nachricht innerhalb des Browsers und überträgt sie erst danach nach Facebook oder andere Social-Dienste wie auch Blogs. Der Nutzer entscheidet, welche Empfänger die Nachricht entschlüsseln können. Diese müssen Scrambls jedoch ebenfalls als Browser-Erweiterung installiert haben. Ist das nicht der Fall, können sie lediglich einen chiffrierten Code sehen. Positiv: Da sich die Berechtigung zum Lesen einer Scrambls-Nachricht nachträglich wieder entziehen lässt, lassen sich Posts in sozialen Netzwerken und Blogs so mit einer Art Haltbarkeit versehen. Gegen einen Screenshot oder eine lokale Sicherung der Botschaft hilft das aber natürlich nicht.
4. Regelung von Berechtigungen
Die Zuständigkeiten und Aufgaben bei der betrieblichen Nutzung von Social Media müssen sich auch in den Berechtigungen innerhalb der Firmenkonten bei Facebook, Twitter oder LinkedIn niederschlagen (Need-to-Know-Prinzip).
Die Berechtigungen für definierte Teammitglieder lassen sich für mehrere soziale Netzwerke zentral vergeben. Möglich wird dies durch ein Social-Media-Dashboard wie HootSuite als zentrale Management-Plattform.
HootSuite Enterprise bietet für Unternehmen neben einem granularen Berechtigungssystem auch eine Sicherheitsprüfung der betrieblichen Nutzerprofile. Unterstützt wird insbesondere die zentrale Verwaltung von Profilen auf Twitter, Facebook, LinkedIn, Google+, Foursquare und Myspace.
5. Monitoring von Social Media
Interne Sicherheitsrichtlinien zur Verwendung von sozialen Netzwerken und Blogs helfen wenig, wenn ihre Einhaltung nicht stichprobenartig kontrolliert werden kann. Auch für diese Kontrollen gibt es spezialisierte Lösungen wie EdgeWave Social als Teil von iPrism Web Security, Cisco Web Security Appliance, Blue Coat PacketShaper, IBM Network Security Appliance und Zyxel ZyWALL USG Security Appliance.
Welche Social-Media-Angebote genau unterstützt werden, unterscheidet sich bei den verschiedenen Tools und Appliances. Gemeinsam ist den Lösungen der Ansatz, die Zugriffe einzelner Nutzer auf definierte Social-Media-Dienste überwachen und vorgegebenen Regeln entsprechend behandeln zu können. Ist es einem Mitarbeiter zum Beispiel verboten, bestimmte Inhalte auf Facebook zu veröffentlichen, lässt sich genau das im Firmennetzwerk blockieren. Der Zugang zu Unternehmenskonten bei sozialen Netzwerken oder Blogs kann gesteuert, die Nutzeraktivitäten in Social Media protokolliert werden. Somit stehen immer umfassende Monitoring-Berichte zur Verfügung.
Aus Sicht des Beschäftigtendatenschutzes ist es jedoch wichtig, solche Lösungen nur für stichprobenartige Kontrollen zu nutzen, wenn kein konkreter Verdacht auf Missbrauch von Social Media vorliegt. Eine vollständige Transparenz der Nutzeraktivitäten darf nicht das Ziel sein, vielmehr sind die Nutzerdaten anonymisiert zu sammeln. Vorsicht ist insbesondere geboten, wenn der betriebliche Internetzugang auch privat von den Beschäftigten genutzt werden darf.
6. Sensibilisierung der Nutzer
Werden durch das Monitoring der Social-Media-Aktivitäten Abweichungen von den internen Vorgaben (Social Media Policy) festgestellt, sollte die Sensibilisierung der Nutzer weiter intensiviert werden.
Auch dafür stehen Tools zur Verfügung. So bietet Sophos ein kostenloses Toolkit für interne Awareness-Maßnahmen im Bereich Social Media mit vorbereiteten Präsentationen, Grafiken und Videos. Enthalten sind auch Leitfäden und Richtlinien zum Social-Media-Einsatz, die auf das eigene Unternehmen angepasst werden können.
Ein sogenanntes Social Media Security Awareness Barometer kommt von SAI Global. Dahinter verbirgt sich ein englischsprachiges Online-Tool, das die Nutzer mit verschiedenen Situationen konfrontiert, die bei der Social-Media-Verwendung auftreten können, und im Anschluss die Antworten der Nutzer auf die gestellten Fragen bewertet. Da die Nutzer im Rahmen der Simulation mit den Richtlinien zu Social Media gedanklich arbeiten, kann die Sensibilisierung für die Risiken gesteigert werden.
Fazit: Mit Awareness und Tools gegen Social Media Risiken
Ähnlich wie die eingangs erwähnte BVDW-Umfrage kommt auch die IBM-Studie "The Business of Social Business" zu dem Ergebnis, dass die meisten Unternehmen ihre Ausgaben für Social Business weiter steigern wollen. Das meiste Budget ist auch laut dieser Studie für das Marketing eingeplant.
Unter Marketing bei Social Media sollten die Unternehmen aber auch die Datenschutzsensibilisierung der Nutzer und den Einsatz spezieller Security Tools verstehen. Wer die eigenen Kunden und Mitarbeiter vor gefährlichen Social Apps und manipulierten Links bewahrt, schützt immer auch seinen guten Ruf im Social Business.
Den zahlreichen Risiken bei Social Media stehen vielfältige Security- Tools gegenüber. Diese warten nur auf ihren Einsatz - zum Teil sogar kostenlos. (sh)