|
Das Web 2.0 fordert geradezu dazu auf, die virtuelle Gemeinschaft mit persönlichen oder exklusiven Informationen zu unterhalten. In Facebook steht das Gerücht des Tages, auf Flickr die Fotos von der Firmenparty und bei YouTube sind witzige Clips vom Firmenchef zu sehen – tagelang das Tischgespräch in der Mittagspause. Das Einpflegen oder Verlinken öffnet aber auch neue Einfallstore für Schädlinge. Für IT-Abteilungen wird es immer schwieriger, Web-2.0-Anwendungen im Firmennetz zu kontrollieren.
In einer Umfrage des Software-Herstellers AVG gaben 86 Prozent an, soziale Netzwerke wie Facebook, teils zu Hause, teils am Arbeitsplatz zu nutzen. Beinahe jeder Fünfte hat bereits Erfahrung mit Identitätsdiebstahl gemacht und fast die Hälfte sind Opfer von Malware-Infektionen geworden.
Trotzdem halten es selbst die IT-Verantwortlichen für wenig praktikabel, den Zugang zu Web-2.0-Anwendungen schlicht zu sperren. Michael Scheffler vom Sicherheitsspezialisten Websense schätzt, dass über 60 Prozent der IT-Verantwortlichen im Gegenteil davon überzeugt sind, das Business profitiere vom Web 2.0. Wie entgehen die Unternehmen also dem Dilemma, einerseits ein Sicherheitsrisiko einzugehen, andererseits das Geschäft auszubremsen, wenn die Web-2.0-Anwendungen gesperrt sind? Machen Sie sich die grössten Gefahren bewusst.
1. Unwissende Mitarbeiter
Nur Mitarbeiter, die mögliche Gefahren im Web 2.0 kennen, können Fehler vermeiden und verantwortungsvoll mit ihren Freiheiten, zum Beispiel in Facebook, umgehen. So haben etwa Firmeninternas im sozialen Netz nichts verloren. Sorgen Sie für Awarness im Unternehmen, etwa durch Schulungen, und geben Sie entsprechende Richtlinien aus.
2. Unwissende Unternehmen
Viele Unternehmen wissen schlicht zu wenig darüber, welche Anwendungen eigentlich in ihrem Firmennetz laufen. Ein einfaches Monitoring verschafft den Überblick – auch um zu prüfen, ob Spassanwendungen wie Facebook oder YouTube den unternehmenskritischen Programmen die Bandbreite stehlen.
3. Externe Anwendungen
Unternehmen nutzen immer häufiger extern gehostete Anwendungen, zum Beispiel webbasierte CRM
-Tools. Sicherheitslücken dort sind für Hacker besonders attraktiv, da sie an sensible, unternehmensinterne Daten gelangen. Vergewissern Sie sich, dass Ihr Hosting-Provider geeignete Sicherheitsvorkehrungen trifft.
4. Externe Mitarbeiter
Unternehmen müssen immer öfter auch Aussendienstler, die über ihr Handy zugreifen, in ihren Firmenschutzschild integrieren. Das Gleiche gilt für Mitarbeiter, die von zu Hause über ihre privaten Notebooks zugreifen. In beiden Fällen müssen geschäftliche Aktivitäten und Anwendungen getrennt von den persönlichen Programmen behandelt werden. So ist etwa das unternehmensweite Outlook-Adressbuch für den Abgleich mit der Xing-Kontaktliste zu sperren.
5. Vermeintliche Sicherheit
In zunehmendem Mass sind auch Seiten mit Schadcode verseucht, die die Firmenschutzschild als seriös einstuft, etwa solche von bekannten Unternehmen. Werden diese nicht vom Virenscanner geprüft, kann schlimmstenfalls bereits beim Besuch der Homepages Malware in das Firmennetz eindringen. Auch sind bestehende Firewalls oft nicht in der Lage, zum Beispiel per SSL verschlüsselten Webverkehr auf Schadprogramme zu prüfen. Dies machen sich Angreifer zunutze, um sensible Informationen abzugreifen. Überprüfen Sie deshalb im Browser, ob und welche Zertifizierungen diese Seiten besitzen.
6. Vermeintlicher Werbeeffekt
Die öffentliche Meinung ist für den Absatz von Produkten bares Geld wert. Marketing-Mitarbeiter halten es deshalb ab und an für eine glänzende Idee, eine Fangruppe in Facebook einzurichten oder enthusiastische Blogeinträge im Vorfeld eines Verkaufsstarts zu fabrizieren, um Konsumenten neugierig zu machen. Firmen, die ihre Produkte von den eigenen Mitarbeitern auf öffentlichen Plattformen mit positiven Beurteilungen überschütten lassen, laufen aber immer Gefahr, entdeckt zu werden. Dann kehrt sich die Stimmung ins Negative um – der Schaden für Unternehmen ist dann oft grösser als der Nutzen.
7. Passwort-Leichtsinn
Nahezu jede Web-2.0-Plattform verlangt ein Passwort, der Zugang zum Firmennetz auch. Einige Anwender nutzen für das eine und das andere Login die gleichen Codewörter. Fällt der Mitarbeiter auf einen Phishing-Trick herein, sind beide Zugänge gefährdet. Administratoren in Unternehmen sind gut beraten, mit temporären Passwörtern zu arbeiten, sodass der Anwender seine Login-Daten regelmässig ändern muss.
