Sünde 3: Der Umgang mit "Social Media"
Sascha Pfeifer von Sophos und Christian Wirsig sind sich mit dem Eset-Sicherheitsexperten Jab Vrabec einig, wenn es um den Einsatz der sogenannten neuen Social Networks im Unternehmensumfeld geht:
-
"Web 2.0-Anwendungen wie Facebook, Twitter, Xing und Apps gehören zum Standardrepertoire in deutschen Büros."
-
"Allerdings existieren nur sehr selten Regelungen für die Nutzung dieser Art von Medien und Netzwerken."
-
"Auch wenn es im Hinblick auf die Sicherheit für die IT-Verantwortlichen zunächst attraktiv erscheint, den Zugang zu diesen Netzwerken und Anwendungen einfach komplett zu unterbinden, kann dies keine Lösung sein."
Foto: Bär/Schlede
IT-Abteilungen verschrecken auf diese Art "Digital Natives" sowie junge Mitarbeiter und verspielen viel Legitimität, die sie anderweitig benötigen. Da bringt es deutlich mehr Gewinn bei der Sicherheit, wenn IT-Fachleute die Mitarbeiter über die Gefahren aufklären. So konnten alle Experten gerade bei zahlreichen Gesprächen in kleineren und mittelständischen folgende Problematik feststellen: Viele Unternehmen beschäftigt die Frage, wie sie ihren Mitarbeitern die verantwortungsbewusste Nutzung von Web-2.0-Tools gestatten können, ohne zu große Sicherheitsrisiken einzugehen oder die Einhaltung von Richtlinien zu gefährden.
Welche Lösungen kann es bei dieser Problematik für die Unternehmen geben? Im Mittelpunkt sollte hier immer die Frage stehen, wie Unternehmen soziale Medien auf sichere Weise nutzen können. Ein grundsätzliches Verbot wird sich, von wenigen Ausnahmen einmal abgesehen, als nicht praktikabel erweisen. Formelle Richtlinien zur Regelung des Zugriffs und der Verwaltung sozialer Medien sind dabei entscheidend.
Ein wichtiger Punkt, den IT-Verantwortliche hier nicht übersehen sollten: Soziale Netzwerke sind auch mögliche Plattformen für Informationslecks durch Mitarbeiter, die freiwillig Informationen an Dritte weitergeben: Stichwort Social Engineering. Dabei weiß Olaf Mischkovsky von Symantec zu berichten, dass die Angriffe gegen interne Anwender, also Nutzer innerhalb der Firmen, immer zielgerichteter werden. Zudem werden diese Attacken mit persönlichen Inhalten aus Social Media-Plattformen angereichert. Hier sollten IT-Verantwortliche und die Administratoren vor allen Dingen auf einen Weg setzen:
-
"Mit Schulungen und einer gewachsenen Security-Awareness lassen sich viele Gefahren dieser Art auf organisatorischem Weg durchaus wirkungsvoll eindämmen."
Was sollten IT-Administratoren gerade in Hinblick auf die sozialen Netzwerke und Web-2.0-Anwendungen noch beachten?
Mathias Knops spricht im Zusammenhang mit dieser Sicherheitssünde eine Lücke an, die leider allzu häufig nicht ernst genommen wird:
-
"So werden gängige Netzwerkprotokolle wie HTTP/FTP-Uploads, Webmail-Services und soziale Netzwerke wie Twitter und Facebook oftmals überhaupt nicht überwacht."
-
"Anwender können mit Absicht oder aus reiner Unwissenheit so nahezu jede Datei mit beliebiger Größe über einen derartigen Kanal - teils unbemerkt - an eine beliebige Stelle im Internet kopieren oder versenden."
Hier können moderne Firewall-Lösungen, die den Datenverkehr auch auf der Anwendungsschicht (Layer 7 des Netzwerkprotokolls) überprüfen, ebenso wie sogenannte Web-Gateways eine Lösung darstellen. Spezielle Lösungen zur Überwachung aller Vorgänge (Bild 11) bieten zudem die Möglichkeit, gezielt Web-2.0-Anwendungen zu regulieren und zu überwachen.