Auf dem "Marktplatz" von Transformation Consulting International GmbH (TCI) Anfang Dezember 2011 in München wurde angeregt, einen „Security Kompass“ ins Leben zu rufen, der in regelmäßiger Folge interessante Sicherheitsthemen diskutiert, die im Zuge neuer IT-Entwicklungen entstehen und bei Transformationsprojekten zu beachten sind.
Oliver Foitzik, Herausgeber des Wirtschaftsportals AGITANO, hat die TCI-Security-Experten Holger Schellhaas (HSC) und Manfred Scholz (MSC), die diese Initiative gestartet haben, zum Thema „Social Media aus der Perspektive der IT-Security“ interviewt.
Welche Rolle spielt denn IT-Security bei den Transformationsprojekten, die TCI zu Social Media durchführt?
HSC: Das eigentlich Neue an Social Media ist die „Many-to-Many“-Kommunikation, die persönlich und in Echtzeit in Online-Netzwerken stattfindet. Social Media nutzen kollektive Intelligenz und bieten gegenüber klassischen Medien eine neue Qualität des Informationsaustausches „zu jeder Zeit und an jedem Ort“.
MSC: Dem Nutzen stehen damit auch beträchtliche Risiken gegenüber, denen durch entsprechende Verhaltensregeln und durch bewusstseinsbildende Maßnahmen begegnet werden muss. In der Praxis wird diese Thematik meist gänzlich außer Acht gelassen bzw. stark vernachlässigt. Hier setzt TCI genau hier an.
Social Media ist aktuell in aller Munde. Wo sehen Sie die Chancen und Risiken beim Einsatz von Social Media in Unternehmen?
MSC: Im Prinzip sind Social Media sogenannte Web 2.0 Applikationen, die es Benutzern ermöglichen, gemeinsam Inhalte zu erstellen und zu gestalten und über Web 2.0 Plattformen, wie RSS, Blogs, Feeds, Podcasts, Wikis, Instant Messaging, zu verteilen. Social Media dienen dabei nicht nur dem Austausch von Informationen zur eigenen Befindlichkeit mit Internet-„Freunden“, sondern sie eröffnen Unternehmen ganz neue Möglichkeiten im Vertrieb, in der Kundeninteraktion und der Präsentation gegenüber der Öffentlichkeit. Viel zu wenig wird noch die Nutzung von Social Media im Unternehmen selbst und unternehmensübergreifend mit Partnern und Lieferanten beachtet, worüber sich die Art und Weise, wie Mitarbeiter miteinander arbeiten und kommunizieren, verändern und verbessern kann.
HSC: Rund zwei von drei Kreditinstituten haben nach einer Studie des F.A.Z-Institutes bis heute in die Kundenkommunikation über soziale Netzwerke investiert. Kunden können in Zukunft z.B. auf Community-Portalen wie Facebook Zugriff zu ihrem persönlichen Konto- und Finanzmanagement erhalten. Die Eröffnung von „Facebook“-Filialen von Banken und mobile Applikationen im Service für Versicherungskunden, die diese in einer persönlichen Notsituation unterstützen – wie „Notruf-Apps“ und „Unfall-Apps“ – zeigen aber auch deutlich die Risiken.
MSC: Facebook definiert ganz unverblümt in seinen Nutzungsbedingungen, dass das Geschäftsmodell auf der Vermarktung der von Benutzern eingestellten Informationen basiert. Das Zitat lautet: "Du gibst uns eine nicht-exklusive, übertragbare, unterlizenzierbare, gebührenfreie, weltweite Lizenz für die Nutzung jeglicher IP-Inhalte, die du auf oder im Zusammenhang mit Facebook postest."
Heißt dies, dass der Benutzer auch bei der Anwendung solcher Social Media Dienste riskiert, dass seine Daten von Facebook für deren Zwecke verwendet werden können?
HSC: Chancen und Risiken der Nutzung von Social Media Diensten hängen ganz wesentlich davon ab, wie diese genutzt werden. Bei der privaten Nutzung genauso wie bei der Nutzung durch die Mitarbeiter von Unternehmen. Wenn die oben genannten „Apps“ die persönlichen Daten nicht „end-to-end“ verschlüsselt übertragen, dann besteht prinzipiell ein Risiko, dass diese bei Facebook landen. Und wenn ein Mitarbeiter beim Informationsaustausch über Social Media unternehmensinterne Regeln und Kommunikationsstandards verletzt, dann wird es dem Mitarbeiter ähnlich ergehen, wie wenn er beleidigende E-Mails verschickt.
MSC: Immer, wenn die Nutzung von Social Media über Marketing-Aspekte hinaus geht und Geschäftsprozesse abgebildet werden, gibt es Risiken, die man mit etablierten Verfahren in den Griff kriegen kann. Diese werden aber heute noch viel zu wenig beachtet.
Überwiegen beim Einsatz von Social Media im Unternehmen die Chancen gegenüber den Risiken?
HSC: Es geht um „Awareness“. Jedem Benutzer von Social Media sollte bewusst sein, dass die erzielbaren Vorteile nur bei entsprechender Sorgfalt im Umgang die erwähnten Risiken übertreffen. Dann ist die Bilanz positiv.
Und wie schafft TCI diese „Awareness“?
MSC: TCI bietet hierfür ein spezielles „Social Media Security Assessment“ an. Bei diesem werden die Risiken und die vom Unternehmen getroffenen Gegenmaßnahmen analysiert, bewertet und entsprechende Empfehlungen zur Verminderung der ermittelten Risiken ausgearbeitet.
HSC: Darauf aufbauend begleiten wir die Unternehmen bei der Entwicklung unternehmensinterner Richtlinien und bei der Einführung von Kennzahlen zur Steuerung der erfolgreichen Umsetzung. Damit unterstützen wir Unternehmen dabei, die Maßnahmen treffen, damit die Risiken durch eine kontrollierte Nutzung von Social Media durch die eigenen Mitarbeiter auf ein vertretbares Maß reduziert werden können.
Meine beiden Herren, vielen Dank für das interessante Gespräch.
Das Interview führte Oliver Foitzik (Herausgeber AGITANO / Geschäftsführer FOMACO GmbH).
Zu den Interviewpartner:
Manfred Scholz ist Geschäftsführer der SEC4YOU Advanced IT-Audit Services Ges.m.b.H in Österreich und Partner der TCI Transformation Consulting International GmbH und seit mehr als 15 Jahren international in der IT-Revision und IT-Beratung tätig. Er ist Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) und aktives Mitglied in themenspezifischen Arbeitskreisen (u.a. Institut für Interne Revision IIA Austria, ISACA Information Systems). Der Schwerpunkt seiner Beratungstätigkeit liegt in der Erfassung komplexer Compliance-Anforderungen im IT-Bereich und die Übertragung in die tägliche Praxis unter Berücksichtigung wirtschaftlicher Aspekte. Um diesen Herausforderungen gerecht zu werden ist er aktiv in fachlichen Arbeitskreisen bzw. in Normungsgremien vertreten und gibt diese Erfahrungen gerne als Autor von Fachartikeln oder als Vortragender bei Konferenzen und Seminaren weiter.
Holger Schellhaas ist selbständiger Managementberater und Trainer in München und Partner der TCI Transformation Consulting International GmbH. Er ist spezialisiert auf Prozess- und Risiko-Management (COSO, COBIT), Qualitätsmanagement (Six Sigma) und IT-Governance (BSC) einschließlich Begleitung der Veränderungsprozesse in den Unternehmen. Gemeinsam mit der SEC4YOU Advanced IT-Audit Services Ges.m.b.H., Österreich, führt er außerdem regelmäßige IT-Audits nach ISO27001, COBIT und ITIL durch und unterstützt Unternehmen dabei, die Einhaltung gesetzlicher und regulatorischer Vorgaben nicht nur zu gewährleisten, sondern sie auch in Erfolg umzumünzen. Herr Schellhaas ist studierter Diplommathematiker mit mehr als 25 Jahren Praxis als Manager, Berater und Softwareentwickler. Er ist Autor zahlreicher Veröffentlichungen und gefragter Referent und Moderator auf in- und ausländischen Konferenzen, Seminaren und Kongressen.
