Security agility- dynamic policy creation and rollout
D Brack Newsletter Security Zone June July 2010
1. Social Media Networks
Schlechte News verbreiten sich schneller als eine Pandemie CEO’s und
CIO's Albtraum: jetzt braucht es klare Strukturen, Prozesse und Re-
gelwerke.
Social Media werden im Kontext grob in folgende Kategorien
dieses Artikel nur in moderater unterteilen:
technischer Tiefe erläutert, die
Schwerpunkte liegen vielmehr • Social Networks: Persönliche
auf der Betrachtung der Social und Berufliche Informationen,
Media im Geschäftsumfeld, den Mitgliedschaften (LinkedIn,
damit involvierten Risiken und Xing, FaceBook)
wie man am bestem damit um- • Blogs: Online Tagebücher zum
geht. Dieser Artikel richtet sich Teil mit interaktivem Inhalt
an CEO, CIO, CTO, Security • Wikis: Elektronische Enzyklo-
Officer (CISO), Risiko-, Compli- pedias um bestimmte Themen
ance Manager, Betriebliche Da- (Wikipedia, Bizwiki)
tenschutzverantwortliche, Hu- • Podcasts: Online Audio und
man Resources und Mitverant- Video Inhalte (iTunes)
wortliche bei der Formulierung • Online Forums: Virtuelle
der Social Communities,
Media Stra- Es ist keine Frage, die Firmen oder Pri-
tegie. Social soziale Vernetzung hat vate Forums,
Dominique C. Brack Media ist unser Leben durchdrun- Themenbezogen
eine Trend- gen - sowohl auf persön- • Content Sharing
EC Council Instructor,
bezeichnung licher wie auf professio- Communities:
Reputelligence
respektive neller Ebene. Tauschen und
ein Sammel- Produzieren von
begriff für „Soziale Netzwerke“ Inhalten Photos (flickr), vide-
im Internet. Ganz ähnlich wie os (YouTube) und bewertete
beim Begriff „Web 2.0“ werden Inhalte( Digg, StumbleUpon,
darunter vor allem Kommunika- Del.icio)
tions- und Interaktionsangebote • Microblogging: Inhalte meist
im Internet zusammengefasst. für Mobile Geräte, Mitglied-
Der Begriff "Web 2.0" wurde schaften limitierte Länge Text-
ungefähr im Jahr 2004 geprägt eingaben (Twitter 140 Zei-
und zwar an einer Konferenz die chen)
von O'Reilly Media organisiert Unternehmen und Mitarbeiter
wurde. Mittlerweile gibt es zahl- nutzen mittlerweile immer öfter
lose Social Media Social Media Dienste wie XING,
Angebote mit unterschied-lichen Facebook oder Twitter für die
Ziel-setzungen. Zu den erfolg- Eigenwerbung und das Knüpfen
reichsten Plattformen gehören geschäftlicher Kontakte. Es ist
Facebook, LinkedIn, Xing, Flickr davon auszugehen, dass diese
und natürlich Twitter. Die Soci- sozialen Kommunikationskanäle
al-Media-Landschaft lässt sich im Netz auch in den nächsten
Jahren weiter an Bedeutung
1
2. gewinnen werden. Ein Bekann- einem Greenpeace Schweiz ter Bremsen. Im Hinblick auf
ter von mir lässt sogar seine Flashmob am 25. Mai 2010. schlechte Publicity online, gibt
Turnschuhe Statusmeldungen Punkt 12.15 Uhr liessen sich es nicht viel schlimmeres als die
auf Facebook kreieren. über 100 Personen auf der be- Katastrophe von BP im Golf von
lebten Tramhaltestelle beim Mexiko. Eine Suche nach "BP
Bellevue in Zürich wie vom Blitz Ölpest" auf YouTube liefert über
getroffen auf den Boden fallen 900 Videos über die Katastro-
und blieben regungslos liegen. phe und letzte Woche war BP
Der Spuk war nach rund 3 Mi- eine der Marken, über die am
nuten vorbei. Der Chef twittert meisten ge-twittert wurde.
noch kurz von der Konferenz Image Schäden und Reputati-
und die Personalabteilung ons- Verluste sind an der Ta-
durchsucht das Internet nach gesordnung schon fast Stun-
Informationen über einen Kan- denordnung in der Welt der So-
didaten der sich morgen vor- cial Medias. Wenn früher von
stellt. einem Lauffeuer gesprochen
Bin ich als Unternehmen oder wurde kann heute in der digita-
Mitarbeiter auch davon betrof- len Welt von schon fast von
fen? Diese Frage lässt sich ganz Lichtgeschwindigkeit in Bezug
einfach beantworten. auf das Tempo in dem sich
Nachrichten verbreiten gespro-
Social Media und die Busi- chen werden. Eine Meldung hier
ness Welt sind bereits un- per E-Mail versendet oder auf
trennbar miteinander ver- das Web z.Bsp. in den Blog ge-
bunden in gleichen Massen stellt, ist in Sekunden fast über-
wie wenn jemand ins Wasser all auf der Welt abrufbar. Wurde
des Swimmingpools pinkelt - früher am Stammtisch oder
das kann auch nicht mehr beim Frisör geklatscht, dann
getrennt werden. wusste es -wenn es schlimm
kam -noch das nächste Dorf
Er besitzt die Software von Nike Die Frage ist also nicht aber in der digitalen Welt weiss
die Aufzeichnungen über sein ob; sondern in welcher es von Wooloomaloo (Australi-
Lauftraining macht, Zeit, Di- Weise man von den en) bis Guiyu (China) jeder in
stanz etc. diese Daten werden Auswirkungen der Sekundenbruchteilen. Nutzt
dann automatisch auf Facebook Social Media man all diese Faktoren im Posi-
geladen wenn er Zuhause online betroffen ist. tiven können sensationelle Re-
geht. Ein Risikofaktor, Spielerei Einige bemerkenswerte sultate erreicht werden, bei Ba-
oder Business nutzen? Die Zu- Fakten über Social Media. Ja- rack Obama spricht man auch
kunft wird es zeigen was heute wohl es gibt all diese Geschich- nicht zu unrecht vom ersten
abstrakt erscheint kann morgen ten aus der Welt des Internet, sogenannten Facebook Präsi-
eine neue Form der Kommuni- einem Mitarbeiter sei gekündigt denten.
kation und Interaktion sein. worden wegen einer unbedach-
Ähnliche Gefühle kommen hoch ten Äusserung auf Twitter oder Heutige Unternehmen be-
wenn man das Phänomen eines Facebook betreffend seinem finden sich in einem Glas-
Flashmob genauer betrachtet. Arbeitgeber. Vor nicht allzu lan- haus; ein einziger unzu-
Über die Social Media Plattform ger Zeit war Dell in den negativ friedener Kunde, ehemali-
werden Leute aufgefordert zu Schlagzeilen, weil die Batterien ge oder aktuelle Mitarbei-
einem bestimmten Zeitpunkt an in den Laptops überhitzten und ter können erhebliche
einem Bestimmten Ort oder wo Feuer gefangen haben. Ich den- Schäden herbeiführen. Es
Sie gerade sind, eine Handlung ke da auch an Toyota und die gibt keinen digitalen Ra-
zu vollführen. So geschehen bei Rückrufaktion wegen fehlerhaf- diergummi mit dem man
2
3. Ungenauigkeiten tilgen kommt man so leicht an so de- zur Stufe Regierung wollen oder
kann. taillierte Informationen. Werden müssen Einfluss nehmen. Der
die einzelnen Datenquellen ag- Problem Lebenszyklus kann auf
Die Vorteile der Social Media- gregiert gewinnt man ein Ein- verschiedenste Probleme ange-
Angebote sind offensichtlich. drückliches Bild über eine Per- wandt werden. In der digitalen
Meist kostenlos für den Benut- son, Firma oder Produkt. Welt der Social Media läuft die-
zer bieten sie die Möglichkeit, ser Prozess innerhalb von Stun-
neue Kontakte zu knüpfen oder Wieso haben sich sogar den bis sogar Minuten ab. Das
alte Freundschaften aufzufri- namhafte Unternehmungen ist das eigentliche Problem oder
schen. Veröffentlichen von Bil- die Finger verbrannt? Was Risiko im Umgang mit den So-
dern und Texten und Ortsunab- ist den eigentlich das Pro- zialen Medien, man hat nicht
hängig miteinander zu chatten. blem? genug Zeit richtig und effektiv
Hackern, Virenschreibern und zu reagieren. Daher ist ein Risi-
Spammern ist dies selbstver- Die Grafik beschreibt den Pro- kobasierender und Proaktiver
ständlich nicht verborgen ge- blem Lifecycle. Auf der vertika- Ansatz zu empfehlen. Der CLM
blieben. Mit Hilfe von gefälsch- len Achse ist die Zeit dargestellt (Career Limiting Move) Punkt
ten oder „gekidnappten“ Profilen auf der horizontalen Achse die auf der Grafik, ist ein Bereich in
missbraucht eine wachsende Anzahl Involvierter Personen dem die meisten nicht wieder
und das öffentli- gut zu machenden Fehler kreiert
che Interesse. Die werden (anm. Fehler passieren
rote und blaue nicht einfach). Befindet man
Kurve die fast sich während dem Problem Life-
gespiegelt zuein- cycle innerhalb der CLM Zone ist
ander verlaufen, es wichtig seinen Weisungen,
beschreiben einer- Richtlinien und Notfallplänen
seits den Einfluss strikte zu folgen, das Problem
den man auf ein muss sofort de-eskaliert werden
Problem hat und um eine weitere Verschärfung
andererseits den der Situation zu verhindern.
Formalismus mit
dem man einem Eine Risikobasierende
Problem begegnen Sichtweise - Sind dies
muss. In der An- wirklich neue Risiken? Po-
fangsstufe eines tenter Multiplikator mit
Zahl von Cyber-Kriminellen die Problems hat man Elefanten Gedächtnis.
Bühne „Social Media“ für unter- einen sehr grossen Einfluss
schiedliche Angriffsszenarien. kann den Schaden oder die Eigentlich sind die Risiken rund
Social Media-Plattformen bieten Ausbreitung klein halten und um die sozialen Netzwerke kei-
nur scheinbar einen geschützten der Formalismus hält sich in ne neuen Risiken, aber es kann
Raum vor Viren und Trojanern. Grenzen. Eskaliert das Problem einige der bestehenden Risiken
Tatsächlich kursieren und schwindet der direkte Einfluss aufgrund der Natur des Medi-
verbreiten sich Computerschäd- und der For- ums (Verbrei-
linge in sozialen Netzwerken malismus Eigentlich sind die Risiken tungs-
sehr erfolgreich. Der Wurm steigt (zu gut rund um die sozialen geschwindikeit und
„Koobface“, infizierte die PCs Deutsch das Netzwerke keine neuen Flächendeckung)
zahlloser Facebook-Anwender Problem glei- Risiken. erhöhen. Das Risi-
bereits sehr erfolgreich. Die tet einem ko der Verwen-
Zahl der Angriffe ist steigend. wortwörtlich aus der Hand). Mit dung von Social Media Tools
Social Media Seiten sind eine fortschreitender Zeit wird der intern ist viel tiefer als das Risi-
Schatztruhe für massives Da- Formalismus noch höher und ko, mit externen Tools zu arbei-
tamining, nirgendwo sonst immer mehr Gruppierungen bis ten. Interne Tools sind norma-
3
4. lerweise auf Servern innerhalb meisten Mitarbeiter die damit die Integrität und Vertraulich-
der Firewall gehostet, so dass verbunden Risiken richtig ein- keit von Unternehmensinforma-
man weiss, dass die Kommuni- schätzen. tionen geschützt werden, ande-
kation sich auf das interne Um- rerseits
feld beschränkt und der Zugang Die Integration der Social- der Nutzen des Internets und
entsprechenden begrenzt wer- Media-Politik im Unter- der Social Media zur Erhaltung
den kann. Im Gegensatz dazu, nehmen der Wettbewerbsfähigkeit, zum
wenn die Mitarbeiter externe Junge Mitarbeiter fordern von Aufbau von Beziehungen und
Blogging oder Microblogging- ihren künftigen Arbeitgebern zur Wettbewerbsdifferenzierung
Sites nutzen, können ihre Bei- aktuelle Tools und genutzt werden.
träge von jedermann gelesen Technik. Unternehmen sind
werden. Ein weiteres Risiko be- deshalb gefordert, eine Brücke Wie kreiere ich eine wir-
steht darin, dass einige dieser zwischen alter und neuer Ar- kungsvolle Social Media
Seiten Datenschutzrichtlinien beitswelt zu schlagen. Bei der Politik
haben, praktisch ohne Rechte Gestaltung der Social-Media- Eine wirksame „Social Media“
auf Privatsphäre, einige Sites Politik sollten auch diese Fakto- Politik adressiert das Unterneh-
beanspruchen auch das Eigen- ren berücksichtigt werden. Die men wie auch die Bedürfnisse
tum an sämtlichen Inhalten in Uni- und Fachhochschule Ab- der individuellen Mitarbeiter in
permanenter Weise, einschließ- gänger von heute sind sich den der Interaktion mit sozialen Me-
lich des Rechts um die Informa- Umgang mit dieser Technik ge- dien. Dies wird nicht nur durch
tionen mit Dritten zu teilen. wohnt. Unternehmen die strikte ein gemeinsames Verständnis
Hier ist eine Liste von Mass- alles unterdrücken und verbie- über die Rechte und Erwartun-
nahmen die ein Unternehmen ten, werden im hart umkämpf- gen der Arbeitgeber, Mitarbeiter
anwenden kann und sollte um ten Arbeitsmarkt für Talente und Kunden erreicht, sondern
das Risiko möglichst gering zu eventuell einige Punkte verlie- auch durch ein geschärftes Ver-
halten. ren. ständnis des technologischen
• Erarbeiten eines Bewusstsein Wandels und sozialen Dynamik,
über die Sozialen Netzwerke Beteiligen Sie die Mitarbeiter am der wir unterworfen sind. Mitar-
und deren Stellenwert Prozess einer Social-Media- beiter können, sei es unabsicht-
• Überwachung Ihres Unter- Politik. Lassen Sie sie nicht Op- lich oder vorsätzlich, durch die
nehmens (Name, Marke, Pro- fer spielen, eine partizipative Nutzung von Social Media Dien-
dukt) z.Bsp. mit Google Alerts, Rolle bei der Formulierung der sten zu einer Gefahr für die ei-
Technorati und anderen Werk- Politik erhöht die Akzeptanz um gene Online-Reputation werden.
zeugen. ein vielfaches. Egal ob man Aus diesem Grunde empfiehlt es
• Überprüfung von entspre- schlussendlich im Unternehmen sich die Einführung von soge-
chenden Kommentaren und Social Networking verbietet, nannten Social Media Guidelines
Rückverfolgung von Track- erlaubt oder eine gezielte Nut- voranzutreiben. Diese Richtlini-
backs (Links zu Ihrer Firma zung zulässt – man muss sich en werden für den Mitarbeiter
oder Produkt Mar- auf jeden erstellt und enthalten Vorgaben
ke, etc.), ange- Eine wirksame „Social Fall damit und Handlungsempfehlungen
messene Reaktion Media“ Politik adressiert auseinan- zum Umgang mit sozialen Medi-
zu negativen das Unternehmen wie dersetzen en, soweit hierbei ein Unter-
Kommentaren. auch die Bedürfnisse der und sich nehmensbezug besteht. Es ist
• Erwägen Sie die individuellen Mitarbeiter. über die der übliche schwierige Balance-
Verwendung von Vor- und akt, einerseits Gefahren abzu-
Überwachungssoftware. Nachteile für das Unternehmen wenden, um einen reibungslo-
• Erstellen Sie Social-Media Wei- klar werden. Das Aufsetzen ei- sen Geschäftsverkehr zu ge-
sungen und Richtlinien. ner Social Networking Policy ist währleisten, und andererseits
• Ausbildung und Schulung der komplex und muss wohl über- Mitarbeiter durch Zugriffsverbo-
Mitarbeiter und des Kaders. legt sein. Ausgewogenheit ist te auf bestimmte Webseiten
Gehen Sie nicht davon das die gefordert, denn einerseits muss nicht zu sehr einzuschränken.
4