Chefsache Digitaler Wandel

Ein Artikel von Lothar Lochmaier, Fachjournalist, Berlin | 15.07.2019 - 11:38
social_media.jpg

Der Umgang mit sozialen Netzwerken will gelernt und dauernd beherrscht sein

Matthias Platzeck, der frühere Ministerpräsident des Landes Brandenburg, kehrte Facebook bereits im Herbst 2011 den Rücken zu, als er sein Nutzerprofil aus dem weltweit größten sozialen Netzwerk wieder entfernte. Der Politiker beendete damals seine Mitgliedschaft aus anhaltender Sorge um den mangelnden Datenschutz.

Acht Jahre später hat sich die Situation deutlich zugespitzt: Vom Datenschutzskandal um gehackte Daten im Jahr 2019 waren deutlich mehr relevante Zielpersonen betroffen, wie etwa der Grünen-Politiker Robert Habeck, der sich – ebenso wie der SPD-Politiker Platzeck – wieder von den sozialen Netzwerken verabschiedete.

Und dazu bedurfte es nicht einmal des professionellen Know-hows von kriminellen Organisationen. Denn ein 20-jähriger Schüler veröffentlichte, scheinbar ohne große Programmierkenntnisse – ­lediglich mit einer gewissen Hartnäckigkeit ausgestattet – zu Jahresbeginn sensible Nutzerdaten in mehreren Hundert Fällen. Nicht wenige Passwörter der Internetnutzer sind leicht zu erraten. Auch gibt es im Darknet genügend professionelle Angriffstools zu erschwinglichen Preisen. Offenbar war es so für den 20-jährigen Schüler – mit ein bisschen Akribie – ein leichtes Spiel, an die Zugangsdaten prominenter Personen zu gelangen. Derartige Fälle werfen, neben den gar nicht an die Öffentlichkeit gelangten Fällen, auch für Banken und Finanzdienstleister einige konzeptionelle Fragen auf, als potenzielle Hüter der Kundenschätze. In diesem Fall zur IT-Architektur rund um Security und Datenschutz.

Cybersecurity beginnt bei Social Media

Als weltgrößtes soziales Netzwerk steht Facebook ohnehin im Rampenlicht. So haben die Sicherheitsexperten von Cisco Talos in den letzten Monaten mehrere Gruppen mit fragwürdigen und illegalen Aktivitäten auf Facebook entdeckt und verfolgt.

Der Security-Dienstleister Talos ermittelte 74 Gruppen auf Facebook, deren Mitglieder verdächtige Aktivitäten im Internet durchführen. Dazu gehören etwa der Verkauf und Handel mit gestohlenen Bank- und Kreditkarteninformationen, der Diebstahl und Verkauf von Konto­informationen von Websites sowie das Anbieten von E-Mail-Spamming-Tools und -Diensten. Doch derartige Schwachstellen nutzen nicht nur professionelle Akteure.

Das oben genannte Beispiel des jugendlichen Einzeltäters verdeutlicht zum einen, wie sich in jüngster Zeit die Netzgemeinde in Gegner und Befürworter polarisiert. Die euphorische Aufbruchsphase erweist sich mittlerweile als systemischer Pferdefuß. Denn es sind die Mitglieder oftmals selbst, die durch ihr nicht bewusstes Auftreten in den sozialen Netzwerken dazu beitragen, dass sich das Problem in jüngster Zeit erheblich zuspitzt.

Man mag es kaum glauben: Fast die ­Hälfte der bei Facebook registrierten ­Nutzer gibt anderen Mitgliedern aus der virtuellen Gemeinschaft bereitwillig jede ­erdenkliche Information preis, etwa E-Mail-Adresse, Geburtsdatum oder Telefonnummer. Die Gefahr, durch Spam und Fake-News zum Opfer zu werden, hat sich sogar weiter in die sozialen Netzwerke hinein verlagert, wie die zahlreichen Angriffe über Bots auf diverse Facebook-Konten verdeutlichen. Dadurch sind Unternehmen umso mehr gefordert, eine konsistente betriebliche Sicherheitsstrategie im gesamten Netzwerk umzusetzen.

Nutzer benötigen mehr Aufmerksamkeit

Einige private Benutzerprofile von Mitarbeitern enthalten Details von Produkten und Projekten, an denen diese gerade arbeiten, bis hin zu persönlichen Schlüsselqualifikationen. Zudem legen manche Angestellte ihre beruflichen Verbindungen so detailliert offen, so dass sich daraus Rückschlüsse zu Geschäftspartnern und Kunden ziehen lassen. 

Experten fanden sogar heraus, dass ein Mitarbeiter in einem weltweit zugänglichen Blog-Eintrag den programmiertechnischen Quellcode diskutierte, den er ein Jahr zuvor für sein Unternehmen geschrieben hatte. In diesem öffentlich zugänglichen Tagebuch teilte der Angestellte immerhin mit, dass der Code wahrscheinlich das Patent eines Mitbewerbers verletzen würde.

Den Nutzern von Social-Networking-Portalen ist deshalb zu raten, die Sichtbarkeit persönlicher Informationen erheblich einzuschränken. Mehr Transparenz und Information sorgen aber auch innerhalb der Unternehmen für ein wachsendes Problembewusstsein. 

Technische Angriffswerkzeuge lassen sich mittlerweile hoch automatisiert steuern. Die passende Spionagesoftware liest etwa die Nutzerprofile von Social-Networking-Seiten aus. Angesichts dieser mit betrieblichen Anwendungen und ­Datenschätzen interagierenden sozialen Netzwerkumgebung stellt sich eine Reihe von Fragen:

  • Wie regelt das Management inner­betrieblich die Nutzung sozialer Netzwerke?
  • Wo liegen Schwachstellen der Betreiber?
  • Wie kann man die interne Abwehr am besten aufstellen?
  • Wieweit lässt sich gerade das zwischen privater und beruflicher Nutzung angesiedelte Handling von Social Media an externe Dienstleister auslagern?
  • Was eignet sich überhaupt dafür, was weniger?

Wie sieht eine praktikable Security Governance aus, die sich um den Schutz relevanter Informationen gruppiert, aus der eine wirkungsvoll gestaltete IT-Compliance abgeleitet werden kann?

Fazit: Nur Datensparsamkeit hilft weiter

Auch automatisierte Sicherheitslösungen haben in den letzten Jahren erhebliche Fortschritte gemacht. So lässt sich ein Großteil der Webseiten mit entsprechenden Softwarewerkzeugen nicht nur in Echtzeit analysieren und klassifizieren, sondern auch der Zugriff auf verdächtige Inhalte sofort sperren, wenn dynamische Prüfroutinen anhand von fein granularen Kontrollmechanismen etwaige Schwachstellen aufspüren.

Dennoch entbindet auch der zukünftige Einsatz intelligenter Systeme – etwa im Rahmen der „Künstlichen Intelligenz“ – den Nutzer nicht von seinem alltäglichen Pflichten. Sprich jeder einzelne Mitarbeiter trägt konkrete Verantwortung, durch Umsicht im Arbeitsalltag dazu beizutragen, die Ressource Information im Unternehmen zu schützen.

Deshalb sollte das Augenmerk des IT-Managements darauf ausgerichtet sein, die Mitarbeiter an potenziellen Schwachstellen für die Belange der IT-Compliance zu sensibilisieren, und zwar durch eine feinmaschig strukturierte Prioritätenliste, je nach individuellem Verantwortungs­bereich.

Fortlaufende Informationstransparenz und gezielte Schulung sorgen dafür, ­relevante Bestimmungen auch am „Frontend“ der Prozesslandschaft zu beachten. Von etwaigen Illusionen befreien sollten sich dabei jene Finanzdienst­leister, dass sich die IT-Sicherheit grundsätzlich an einen externen Dienstleister „auslagern“ ließe.

Für den Schaden ist jedes Unternehmen selbst verantwortlich, für den Überblick über die gesamte Prozesslandschaft einschließlich der relevanten Richtlinien bei Social Media also letztlich das Top-Management. Die Chefetage sollte sich immer wieder mit den Risiken einer selektiv nach außen geöffneten sozialen Netzwerkkommunikation befassen.