Web 2.0 mit Risiken und Nebenwirkungen

Das Web 2.0, wie das Internet mit «sozialem» Anstrich heute gerne genannt wird, ist in Firmen bereits Alltag: Mitarbeiter bloggen, was das Zeug hält, unterhalten persönliche Profile in Foren wie My-Space und Xing, tauschen Filme über Youtube aus und chatten mit Kollegen via Instant Messaging. Daneben benutzen sie eines der vielen Web-Mailangebote, vereinbaren Termine über einen Online-Kalender und verfassen Dokumente in WWW-basierten Applikationen wie «Google Text und Tabellen». Im besten Fall fördern diese Angebote die Produktivität der Angestellten, weil sie soziale Netze knüpfen und für die Arbeit wichtige Informationen austauschen können. Im schlimmsten Fall werden sie missbraucht, sei es von Hackern, sei es von den Mitarbeitern selbst, indem sie über die Web-2.0-Kanäle Geschäftsgeheimnisse weitergeben.

«Das Web 2.0 ist von seiner Struktur her gefährlich», meint Symantec-Sicherheits-Experte Candid Wüest. «Die Leute geben immer mehr persönliche Informationen preis. Das ermöglicht zum einen den Diebstahl von Identitäten, zum anderen lassen sich diese Informationen für Social-Engineering-Angriffe verwenden.»

Tatsächlich präsentieren viele Nutzer auf Netzwerkseiten wie My-Space oder Xing persönliche Infos quasi auf dem silbernen Tablett: Vom Geburtsdatum, über Adresse und Telefonnummer bis hin zu Hobbys, Geschäftspartnern und Freunden. «Mit diesen Angaben ist dann Social Engineering ein Kinderspiel», pflichtet Martin Pivetta von McAfee bei. Mit den entsprechenden Daten versehen könne man sich als Headhunter oder als Bekannter eines Geschäftspartners ausgeben und gewinne im Nu das Vertrauen des Angesprochenen, führt Pivetta aus.

Ganz ähnlich verhalte es sich beim Bloggen, erklärt er. Die Webtagebücher seien eine Fundgrube für die Sozialingenieure. «Hier erfährt man beispielsweise, dass der Mitarbeiter einer Firma letzten Samstag eine Grillparty veranstaltet hat und gerne Corona-Bier trinkt», führt Pivetta aus. Mit solchen Informationen sei dann die Kontaktaufnahme viel einfacher, weil schnell gemeinsame Gesprächsthemen gefunden werden können.

Doch Wüest sieht weitaus grössere Gefahren am Horizont: So könnten sich über die Inhalte, wie etwa Videofilmchen, Schädlinge verbreiten. «Noch sind die Attacken Spielereien. Doch schon bald können sie als für grössere Angriffe dienen», weiss Wüest. Derzeit werden die Dienste nur noch nicht in dem Mass genutzt, als dass sie für professionelle Schädlingsschreiber interessant wären, ist sein Fazit.

Die Gefahren des Web 2.0 sind also durchaus bekannt. Doch wie können sich Firmen davor schützen? Sollen sie alle Web-2.0-Services verbieten, wie dies bei einigen Finanzinstituten bereits der Fall ist? Für viele Branchen und Unternehmen ist dies kaum durchsetzbar - denn sie leben selbst vom Informationsaustausch via Blogs.

Deshalb empfiehlt etwa Arabella Hallawell von der Gartner-Group, Blogging-Richt-linien für die Mitarbeiter zu formulieren, diese zu publizieren und einheitlich anzuwenden. «Die Firmen müssen dabei oft nur bestehende Policies wie Verhaltenskodexe überarbeiten und hinsichtlich Blogs und Community-Sites wie My-Space und Youtube anpassen», meint sie.

Doch mit Richtlinien allein könne ein Unternehmen kaum verhindern, dass sich etwa Geschäftsgeheimnisse plötzlich in der Blogosphäre wiederfänden, warnt Hallawell. Daher empfiehlt sie zusätzlich den Einsatz spezieller Lösungen, welche Inhalte analysieren und filtern. Solche CMF-Systeme (Content Monitoring and Filtering) sind in der Lage, in den Datenströmen nach bestimmten Wörtern und Phrasen zu suchen. Zudem schlagen diese Wächter Alarm, wenn ein Firmenangehöriger Geschäftsgeheimnisse weiterreicht oder sich sonst in irgend einer Art online unflätig verhält. Zu den Herstellern entsprechender Verfahren gehören Tablus, Reconnex, Vontu, Websense, Port Authority, Fidelis, Vericept sowie Clearswift.

Laut Netzwerksicherheitsexperte und Buchautor Mark Rhodes-Ousley stecken diese Systeme allerdings allesamt noch in den Kinderschuhen und sind sehr aufwändig zu warten. So müssten etwa spezialisierte Mitarbeiter all jene Textpassagen untersuchen, welche die Systeme unter Quarantäne gesetzt haben. «Zudem ist fraglich, wie zuverlässig eine Lösung, die nach einzelnen Schlagwörtern sucht, kompromittierende Inhalte herausfiltern kann», meint er. Schliesslich hätte noch keiner der Hersteller ein Verfahren entwickelt, mit dem etwa zu verhindern wäre, dass heikle Bilder, Filme oder Tondokumente ihren Weg ins Web fänden.

Die Schwächen solcher Systeme sind aber nicht nur technischer Natur, gibt Tim Bray, Leiter der Abteilung Web-Techniken bei Sun Microsystems, zu bedenken. Er ortet vielmehr Management-Defizite. «Wer meint, er brauche Filtertechniken, um zu verhindern, dass Mitarbeiter das Ansehen der Firma schädigen, hat ein Führungsprob-lem, das mit technischen Mitteln nicht gelöst werden kann», ist er überzeugt.

Sun war eine der ersten Firmen, die nicht nur eine hauseigene Bloggingseite (www.blogs.sun.com) aufgebaut hat, auf der sich bis zu 3000 aktive Blogger tummeln. Das Unternehmen hat auch frühzeitig entsprechende Richtlinien formuliert. Diese können unter www.sun.com/aboutsun/media/blogs/ policy.html eingesehen werden.

«Ohne unsere aktiven Blogger hätten wir nicht den engen Kontakt zu unserer Anwendergemeinschaft aufbauen können», ist Bray überzeugt. Und dies sei ein solch wichtiges Gut, dass man die möglichen Gefahren gerne in Kauf nehme, argumentiert der Sun-Spezialist.