Web & Technik + Wirtschaft

Corporate Blogging: IT-Risiko oder Chance?

Social Networking Tools in Ketten? sxc.hu

Blogs, Wikis und Community-Seiten wie MySpace sind für viele von uns bereits zum Alltag geworden. Im privaten Alltag sowie so und zunehmend auch am Arbeitsplatz. Hier muss man jedoch unterscheiden zwischen privater Nutzung während der Arbeitszeit und dem Einsatz im Rahmen der Unternehmenskommunikation. Das Marktforschungs- und Beratungsunternehmen Gartner nennt übrigens die private Nutzung von Web 2.0-Anwendungen vom Arbeitsplatz aus die “Konsumerisierung” der IT-Landschaft.

Diese private Nutzung ist aber nur ein Teil, der die IT-Security Experten eines Unternehmens auf den Plan ruft. Blogs und andere Social Networking Tools sind heute auch Instrumente von Public Relations, Marketing und interner Kommunikation. Aus Sicht der Kommunikation liegen hier neue Chance im direkten Dialog mit Kunden, der Teamzusammenarbeit und dem Austausch von Wissen im Unternehmen.

Aber was heisst das für die IT-Sicherheit?

“Corporate Blogs können tatsächlich ein Sicherheitsrisiko darstellen und bieten Cyberkriminellen zahlreiche Angriffsflächen. Hacker versuchen, Blogs als Drehscheibe zur Verteilung von Schadprogrammen zu nutzen und damit den Ruf eines Unternehmens zu schädigen oder Wirtschaftsspionage zu betreiben”,

sagt François Tschachtli, VP International Operations bei der Norman Data Defense Systems AG. Er empfiehlt deshalb allen Firmen, die Blogs Teil der Unternehmenskommunikation einsetzen wollen, die Sicherheitskonzepte ihrer Server zu überprüfen. Und es ist gerade die Kommunikationsfachleuten so geschätzte Interaktivität, welche auf technischer Seite für Gefahren sorgt: Bereits die Verlinkung mittels URL oder einem Skript reicht aus, um Schadcode zu einzuschleusen. Und Posten von Kommentaren ist bei den meisten Blogs ohne weiteres möglich.

“Aus diesem Grund sollten Blog-Anbieter jeden Inhalt überprüfen, bevor dieser online geht”,

empfiehlt Tschachtli. Ein weiteres Problem besteht darin, dass zahlreiche dynamische Webseiten HTML-Formulare und Javascript verwenden, über die ein Hacker eigene Inhalte in die Webanwendung zu schleusen und eingeschleusten Code ausführen kann.

“Damit keine Sicherheitslücken ausgenützt werden oder Code direkt auf dem Computer ausgeführt werden können empfiehlt es sich, keine Posts zuzulassen, die Javascript-Code enthalten.”

Ebenfalls gesichert werden sollten Newsfeed-Generatoren, damit Blog-Nutzer nicht auf gefälschte Webseiten gelockt werden können, um beispielsweise durch Phishing an Daten zu gelangen. Häufig sind Blog–Plattformen in das Content Management System des Unternehmens integriert, was Sicherheitsmassnahmen umso wichtiger macht.

Social Engineering verdient Beachtung

Neben den Risiken technischer Natur sind aber auch die menschlichen Faktoren nicht ausser Acht zu lassen. Diese lassen sich unter dem Stichwort “Social Engineering” zusammenfassen. Was darunter zu verstehen ist, erklärt ein kürzlich veröffentlichter Artikel in der Schweizer Fachzeitschrift Computerworld sehr anschaulich:

“Das Web 2.0 ist von seiner Struktur her gefährlich“, meint Symantec-Sicherheits-Experte Candid Wüest. “Die Leute geben immer mehr persönliche Informationen preis. Das ermöglicht zum einen den Diebstahl von Identitäten, zum anderen lassen sich diese Informationen für Social-Engineering-Angriffe verwenden.”

Tatsächlich präsentieren viele Nutzer auf Netzwerkseiten wie My-Space oder Xing persönliche Infos quasi auf dem silbernen Tablett: Vom Geburtsdatum, über Adresse und Telefonnummer bis hin zu Hobbys, Geschäftspartnern und Freunden.

“Mit diesen Angaben ist dann Social Engineering ein Kinderspiel”, pflichtet Martin Pivetta von McAfee bei. “Mit den entsprechenden Daten versehen könne man sich als Headhunter oder als Bekannter eines Geschäftspartners ausgeben und gewinne im Nu das Vertrauen des Angesprochenen”, führt Pivetta aus.

Trotzdem Web 2.0-Anwendungen für Business nutzen

Vom Einführen eines Blogs im Unternehmen abzusehen oder den Mitarbeitenden zu verbieten, Social Networks zu nutzen, wäre sicher die falsche Reaktion. Damit würde sich das Unternehmen vom Dialog mit Partnern und Kunden abschneiden. Vielmehr gilt es, einerseits die Vorteile von Blogs und anderen Web 2.0-Anwendungen für Business zu nutzen, andererseits aber auch hinreichende Sicherheitsvorkehrungen zu treffen. Was von verschiedener Seite dringend empfohlen wird, ist das Aufstellen so genannter “Blogging Richtlinien”, welche unternehmensweit gelten. Solche Richtlinien sollten in bestehende Personalbestimmungen eingearbeitet werden. “Solche Regeln haben nichts mit fehlendem Vertrauen in die eigenen Mitarbeiter zu tun, ohne Vertrauen klappt es im Web 2.0 ohnehin nicht”, äusserte sich Rechtsexperte David Rosenthal in einem Beitrag im IT-Magazin Infoweek.ch. Als Mitarbeiter müsse man sich jedoch der Verantwortung dem Arbeitgeber gegenüber bewusst sein, wenn man Beiträge in eigene oder fremde Blogs schreibt, Wikipediaeinträge verfasst oder sich via XING mit anderen Personen vernetzt. Zum Thema Firmengeheimnisse schlägt Rosenthal in seinem “Corporate-Blogging-Knigge” folgendes vor:

“Über die eigene Arbeit darf gesprochen werden, nicht aber über eigene und fremde vertrauliche Informationen. Dies gilt auch für Know-how, soweit dieses nicht allgemein zugängliches Branchenwissen darstellt.”

Eine technische Lösung alleine ist keine Lösung

Doch was kann ein Unternehmen tun, um das Auftauchen von Geschäftsgeheimnissen in der Blogospähre zu verhindern?

“Technische Lösungen mit dem Namen CMF (Content Monitoring System) sind in der Lage in den Datenströmen nach bestimmten Wörtern und Phrasen zu suchen. Jedoch können Sie mit einer solchen Lösung nicht verhindern, dass der Mitarbeiter die Web 2.0 Technologie zu Hause einsetzt”, sagt Wolfgang Sidler, Senior Security Consultant bei der InfoGuard AG.

Eine entsprechende Sensibilisierung der Mitarbeiter zum Thema Web 2.0 wäre hier seiner Meinung nach sinnvoll und würde den Benutzern die Risiken aufzeigen. Nur so könne man das sicherheitsbewusste Verhalten der Mitarbeiter nachhaltig fördern. Aber auch das Management ist gefragt: “Zudem ist es in den meisten Fällen ein Führungsproblem. Eine technische Lösung alleine ist keine Lösung.” Eine ähnliche Meinung vertritt auch Tim Bray, Leiter der Abteilung Web-Techniken bei Sun Microsystems. Unternehmen, welche meinen ihre Angestellten mit Filtersystemen überwachen zu müssen, finden in seinen Augen keine Gnade. So äusserte er sich vor kurzem in der Computerworld:

“Wer meint, er brauche Filtertechniken, um zu verhindern, dass Mitarbeiter das Ansehen der Firma schädigen, hat ein Führungsproblem, das mit technischen Mitteln nicht gelöst werden kann.”

Und was bleibt hier als Fazit zu ziehen?

Trotz verschiedener Sicherheitsproblematiken und rechtlicher Fragen werden sich Corporate Blogs und andere Web 2.0-Anwendungen in der Unternehmenskommunikation weiter durchsetzen. Und wer sich als Unternehmen entscheidet, der Blogospähre fern zu bleiben, muss trotzdem damit leben, dass andere Blogger über das eigene Unternehmen oder die eigenen Produkte schreiben und so ebenfalls zur so genannten “digitalen Reputation” der Firma beitragen. “Die Möglichkeiten, einen Weblog zu manipulieren oder Malware einzuschleusen, sind vielfältig”, fasst Tschachtli zusammen. Schwachstelle Nummer eins bleibe wie bei jeder Anwendung im Internet der Mensch selbst. “Deshalb gilt es neben technischen Vorsichtsmassnahmen und der Einführung von Policies, auch den menschlichen Verstand walten zu lassen.” Und Tim Bray von Sun Microsystems fasst seine Blogging-Erfahrungen so zusammen:

“Ohne unsere aktiven Blogger hätten wir nicht den engen Kontakt zu unserer Anwendergemeinschaft aufbauen können. Und dies ist ein solch wichtiges Gut, dass man die möglichen Gefahren gerne in Kauf nimmt.”