Zwar erkennen Schweizer Unternehmen die neuen Gefahren, die sich durch Social Media fürs Firmennetz auftun – trotzdem geht kaum jemand das Thema konsequent an. Dabei ist das einfacher, als viele glauben.
Der Autor ist Product Manager Security bei der Studerus AG
Für die einen ist Social Media ein Reizwort, für andere ein unersetzbarer Wert der heutigen Gesellschaft. Man mag zu Facebook und Co. stehen, wie man will, ignorieren oder rückgängig machen lässt sich der Trend zum «Social Networking» so oder so nicht mehr. Längst haben die einschlägigen Plattformen auch in der Geschäftswelt Einzug gehalten. Laut einer Studie des Harvard Business Review Analytic Services vom Dezember letzten Jahres nutzen fast zwei Drittel der weltweit befragten rund 2100 Unternehmen soziale Medien oder verfolgen entsprechende Pläne. Das ist auch in der Schweiz nicht viel anders, wie eine Umfrage auf www.computerworld.ch aktuell ergeben hat. Demnach erachten hierzulande 70,4 Prozent Social Media als wichtig bis sehr wichtig für das Unternehmen. 73,2 Prozent sind mit ihrer Firma auch in einem sozialen Netzwerk präsent (siehe Grafik 1), nicht ganz die Hälfte (47,8 Prozent) nutzt Xing, LinkedIn, Facebook etc. beispielsweise aktiv zur Rekrutierung von Mitarbeitern. Allerdings beschränkt sich die Nutzung am Arbeitsplatz meist nicht auf geschäftliche Aufgaben. Dieser unkontrollierte Umgang beschäftigt vor allem die IT-Manager. Sie fürchten zusätzliche Einfalltore für Malware, die sich über die Social-Media-Accounts der Mitarbeitenden im Firmennetz verbreiten könnte. Denn die Plattformen sind nicht so harmlos, wie sie auf den ersten Blick scheinen. So kann es schnell passieren, dass bei einem harmlos anmutenden Link im Hintergrund ein gefährlicher Virus oder Trojaner in Aktion tritt. Websense hat zum Beispiel kürzlich herausgefunden, dass 40 Prozent aller Status-Updates bei Facebook Links enthalten, von denen 10 Prozent tatsächlich auf bösartige Webseiten verweisen. Auch Schweizer Unternehmen waren schon von solchen Sicherheitsvorfällen betroffen: 18,3 Prozent der von Computerworld befragten Unternehmen sah sich schon mindestens einmal mit einem Sicherheitsrisiko konfrontiert, das durch Social Media entstand.
Produktivitätskiller Social Media
Oft sehen die Unternehmen daher beim Thema Social Media derzeit eher die Risiken als die Chancen (siehe Grafik 2) – nicht ganz zu Unrecht. Zwar bieten die sozialen Netzwerke immer mehr Möglichkeiten, die Verkaufsförderung durch eine aktive Community zu unterstützen und so einen Firmennutzen zu generieren (siehe auch Beitrag auf Seite 14). Andererseits bergen die Internetcommunitys aber auch negatives Potenzial. Interaktive Plattformen verleiten
Angestellte, auch während der Arbeitszeit ihre Accounts zu checken und privaten Angelegenheiten nachzugehen. Dies kann die Produktivität beträchtlich einschränken. Zusätzlich leidet darunter gerade bei datenintensiven Inhalten die Bandbreite, das heisst, die Performance des Firmennetzwerks nimmt ab. Als Anbieter von Netzwerktechnologien kennt Studerus aus dem Kundenalltag solche Probleme nur zu gut. Gerade die Verbindungsqualität leidet oft unter Social-Media-Anwendungen. Häufig blockieren unerwünschte Programme die WAN-Leitungen und schwächen so die Stabilität beispielsweise einer Citrix-Verbindung.
Ungelöste Sicherheitsfragen
Einfach abklemmen ist jedoch nur für einige wenige Unternehmen eine Alternative. Über die Hälfte der Umfrageteilnehmer beschränken den Zugriff überhaupt nicht; 29,6 Prozent nur selektiv (siehe Grafik 3). Wer von den Marketing- und Vertriebschancen des Web 2.0 profitieren will, muss seinen Mitarbeitern auch den Zugang dazu verschaffen. Andernfalls bahnen sich die Social-Media-Inhalte eben über private Smartphones und andere mobile Devices unkontrolliert einen Weg ins Unternehmen. Die Mehrheit geht daher firmenintern anders mit dem Thema um. Laut Computerworld-Umfrage verfügen zwar 66,2 Prozent über Richtlinien zur Webnutzung, aber nur 22,5 Prozent auch über spezielle Richtlinien für Social Media.
Massgeschneiderte Lösungen
Dabei bietet der Markt bereits viele massgeschneiderte Lösungen. So können mit einem passenden Content- und Application-Filter gewisse Seiten oder Anwendungen (z.B. Facebook und Farmville) gesperrt, der Zugriff auf eine businessorientierte Seite wie Xing oder LinkedIn jedoch gewährleistet werden. Auch besteht die Möglichkeit, Social-Media-Plattformen nur zu einer gewissen Zeit zu sperren. So werden Angestellte nicht in Versuchung geführt, während der Arbeitszeit zu surfen, können aber während der Mittagspause oder nach Feierabend die gewünschten Seiten aufrufen. Eine weitere Option ist, den Zugriff für die verschiedenen Abteilungen je nach Kosten-Nutzen-Verhältnis verschieden einzustellen. Das Marketing kann dann auf marketingspezifische Anwendungen zugreifen, die Personalabteilung für die Rekrutierung. Für die Buchhaltung hingegen ist der Nutzen von Social Media eher gering, ein Fall von Phishing hätte aber schwerwiegende Folgen. Hier macht es Sinn, den Zugang aus Sicherheitsgründen zu sperren. Auf jeden Fall empfiehlt es sich, das Thema in die firmeninternen Richtlinien aufzunehmen. So beschäftigt sich der Mitarbeiter automatisch mit dem Thema, ist sich der Problematik bewusst und kann gleichzeitig dazu verpflichtet werden, bestimmte Regeln im Umgang mit Social Media einzuhalten. Diese Vorsichtmassnahme eignet sich auch dann, wenn keine Sperrmassnahmen getroffen werden. Die Umsetzung stellt sich oft als heikler Balanceakt heraus. IT-Manager erkennen das Problem zwar, scheitern jedoch bei der Durchsetzung einer doch meist unbeliebten Massnahme. Daher ist eine Entscheidung der Geschäftsleitung dringend notwendig.
Technische Faktoren
Neben firmenpolitischen Entscheidungen spielen auch technische Faktoren eine entscheidende Rolle. Folgende drei Punkte sind unumgänglich:
Firewall: Die eingesetzte Firewall sollte über erweiterte Kontrollfunktionen verfügen und dank Technologien der neusten Generation einen vorbeugenden Schutz des Firmennetzwerks garantieren. Dabei reichen die technischen Massnahmen vom Sperren bestimmter Webseiten anhand der URL über das Durchsuchen der Seiten nach sogenannten Keywords bis zum umfassenden Content-Filter-Service, der Inhalte anhand festgelegter Kategorien filtert.
Endpoint Security: Alle Arbeitsplätze sollten vor Gefahren aus dem Internet wie Spam, Viren und gefährlicher Software geschützt werden.
Backup: Damit der Schaden im Falle eines – trotzdem niemals auszuschliessenden – Angriffs begrenzt bleibt, ist ein zuverlässiges Backup absolut erforderlich. Nach den Erfahrungen unserer Kunden zeigt eine Analyse der am häufigsten aufgerufenen Websites in den meisten Fällen, dass Einschränkungen nötig sind. Wir empfehlen daher, eine solche Analyse durchzuführen, damit der Content-Filter perfekt greift. Parallel dazu lassen sich mit einer aktivierten Application Patrol viele unerwünschte Anwendungen erkennen und durch die Firewall blockieren. Die technischen Möglichkeiten sind also vorhanden. Die Unternehmen sind nun in erster Linie aufgerufen, einen Grundsatzentscheid zu fällen, wie das Thema Social Media firmenintern gehandhabt werden soll.
