Master Thesis "Bedrohungen Bei Der Individuellen Nutzung Von Sozialen Netzwerken Im B2B Kontext" Autor: Guenther R. Neukamp

Bedrohungen bei der individuellen Nutzung von sozialen Netzwerken im B2B Kontext
Welche spezifischen Bedrohungen ergeben sich fr Unternehmen aus der individuellen Nutzung von sozialen Netzwerken im WWW, wie Facebook, XING und LinkedIn, als Beziehungsmanagement Tool der MitarbeiterInnen im B2B Kontext im Lichte von Enterprise 2.0.
Master Thesis zur Erlangung des akademischen Grades Master of Science MSc Im Universittslehrgang MSC Interactive Media Management 3 verfasst von Gnther R. Neukamp
Eingereicht am Department fr Interaktive Medien und Bildungstechnologien der Fakultt fr Bildung und Medien an der Donau Universitt Krems Betreuer: Univ.-Lektor Mag. Aga Kwiecinski
Tag der mndlichen Prfung: 16.9.2011
Krems, September 2011
Abstract Digital Natives sind in den Unternehmen angekommen. Die Sozialisierung dieser jungen Menschen mit Massenmedien hat Soziale Netzwerke im `WWW wie `Facebook, `XING und `LinkedIN zu natrlichen Kommunikationsinstrumenten fr alle gemacht. Wirtschaftliche Entscheidungsprozesse im B2B Geschft werden stark durch persnliche Beziehungen beeinflusst. Die Pflege dieser Beziehungen findet heute unter anderem in diesen Sozialen Netzwerken statt. Unternehmen und MitarbeiterInnen mssen die Bedrohungen fr Unternehmen und die eigene Person kennen. Es mssen entsprechende Vorkehrungen getroffen werden, um die Vorteile dieser Netzwerke ohne Schaden fr das eigene Unternehmen zu nutzen. Die Ergebnisse der Forschungsarbeit bilden einerseits die Grundlage fr die Entwicklung von individuellen `Social Media Richtlinien. Andererseits sind sie eine Hilfestellung fr RisikomangerInnen, bei der Beurteilung der Risiken dieser Sozialen Netzwerke als Beziehungsmanagementinstrument in Unternehmen.
Digital Natives have `landed in the companies. Young people are socialized with mass media. Social networks, like `Facebook, XING and `LinkedIN, are now common communication instruments for everyone. Personal relations have a major impact on economic B2B decision processes. Today relationship management is also done in these social networks. A company and its employees have to know the threats for the company and for themselves. They have to take necessary precautions to use the advantages of social networks without harm for his company. The results of this research are fundamental for the development of individual `Social Media Guidelines and support to risk managers, evaluating social networks as relationship management tools in companies.
Vorwort Ich hatte als Manager in den Branchen Industrierohstoffe, Verpackung, Industriedienstleistungen, Personalentwicklung und Business Consulting immer wieder die Aufgabe die persnliche Beziehung zwischen MitarbeiterInnen des eigenen Unternehmens und anderer Unternehmen zu frdern, zu entwickeln und zu pflegen. Seit 2006 befasse ich mich beruflich mit Social Media Aktivitten zur Untersttzung der Akquisition und Kundenbindung von Unternehmen im Bereich Business Consulting, Software und Industrie. Im Jahr 2008 absolvierte ich den 5. Strategischen Fhrungslehrgang im Auftrag der sterreichischen Bundesregierung und des Nationalen Sicherheitsrates, welcher sich auch intensiv mit Corporate Security und Cyber Crime Herausforderungen auseinandersetzt. Seit 2008 bin ich nebenberuflich Lektor an der FH Campus Wien im Bachelorstudium Integriertes Sicherheitsmanagement und im Masterprogramm Corporate Security und Risikomanagement fr die Themen Verhandlungstechnik, Fhrung und Prsentationstechnik. Zahlreiche Unternehmen sind bis heute nicht auf die Social Media Aktivitten ihrer MitarbeiterInnen vorbereitet. Damit lag das Forschungsfeld fr meine Master These auf der Hand. Ich widme diese Arbeit meiner 88jhrigen Gromutter, die mir von Kindesbeinen an immer fest zur Seite steht. Sie kann nur wenig mit den Inhalten dieser Arbeit anfangen, aber ohne ihre Untersttzung wre ich nicht wer ich heute bin. Danke!
Inhaltsverzeichnis 1. Einleitung
1.1. Ausgangssituation und Zielsetzung - 1 1.2. Aufbau dieser Masterthesis - 4
2. Begriffsdefinition und Theoretische Grundlagen

2.1. Unternehmensrisiken und Bedrohungen - 5 2.2. Soziale Netzwerke - 16 2.2.1. Die Zeit vor `facebook, `XING und `LinkedIn - 16 2.2.2. `facebook - 18 2.2.3. `XING - 28 2.2.4. `LinkedIn - 34 2.3. Enterprise 2.0 - 34 2.4. B2B Beziehungsmanagement - 36
3. Forschungsmethoden
3.1. Literarische Forschung - 40 3.1.1. How to avoid Facebook & Twitter Disasters (Null, 2009) - 40 3.1.2. Facebook, Myspace & Co (Zimmer, 2009) - 45 3.1.3. Gesamte Rechtsvorschrift fr Urheberrechtsgesetz (Bundesgesetz, 2011) - 46 3.1.4. Safer Surfing (saferinternet.at, 2011) und internet sicher nutzen (ispa, 2011) - 48 3.1.5. Arbeitsrecht fr die betriebliche Praxis (Mayrhofer, 2011)
- 51
3.1.6. Building A World-Class Compliance Program (Biegelman, 2008) - 53 3.1.7. Unsere Kommunikation der Zukunft (Scoble, et al., 2007) - 54 3.1.8. Gefahren durch Wirtschafts- und Industriespionage fr die sterreichische Wirtschaft (BMI, 2010) - 55 3.1.9. Infoblatt Elektronische Abwehr (Abwehramt, 2006) - 56 3.1.10. Sophos Security report 2011 (Sophos, 2011) - 57 3.1.11. Implementing Solutions to Social Medias Security Risks (Security Directors Report, 2010) - 61 3.1.12. Cisco 2010 Annual Security Report (Cisco, 2010) - 61 3.1.13. Industriespionage 2.0 Soziale Netzwerke und Ihre Auswirkungen auf die Firmensicherheit (Poller, 2008) - 63 3.1.14. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World (Haid, 2010) - 64 3.1.15. 10 THINGS you should know now about. SOCIAL MEDIA SECURITY (Reisinger, 2009) - 65 3.1.16. Informationstechnologie Sicherheitstechnik NORM ISO/IEC ISO 27001 (ON sterreichisches Normungsinstitut, 2008) - 66 3.2. Forschungsabschluss 3.2.1. Schwachstellen, Bedrohungen, Straftaten - 72 3.2.2. Grnde fr Social Media Unternehmensrichtlinien und Sicherheitsmanahmen - 74 3.2.3. Allgemeine Handlungsempfehlungen fr MitarbeiterInnen in Sozialen Netzwerken - 75 3.2.4. Unternehmensseitige Handlungsempfehlung bei der Nutzung von Sozialen Netzwerken durch MitarbeiterInnen - 77 3.2.5. Besondere Handlungsempfehlungen fr Unternehmen in sensiblen Industrien mit hoher Relevanz fr potentielle Angreifer - 82
4. Anhnge
4.1. Literaturverzeichnis - 83 4.2. Abbildungsverzeichnis 86
1. Einleitung
1.1. Ausgangssituation und Zielsetzung Unternehmen im `Business to Business (B2B) Bereich verlangen von ihren MitarbeiterInnen den Aufbau und die Pflege von persnlichen Beziehungen zu MitarbeiterInnen und EntscheidungstrgerInnen von KundInnen, LieferantInnen und anderen GeschftspartnerInnen. Persnliche Beziehungen haben groe Bedeutung fr den Erhalt bestehender Kundenbeziehungen: Lastly, it was found that commitment in a relationship can be enhanced if clients do not regard services on offer from alternative service providers as more attractive than those offered by their current service provider. (Theron & Terblanche & Boshoff, 2008 S. 1007) Fr viele Unternehmen stellt der persnliche Austausch ber private B2B Austauschplattformen eine kostengnstige Form des Informationsaustausches dar. (vgl. Chinn & Unkle, 2006 S. 1) Eine fr persnliche B2B Kontakte optimierte Austauschplattform ist die Social Media Plattform `XING: Zielgruppe dieser Plattform sozialer Software sind berufsttige Personen, die ihr Kontaktnetzwerk (Partner, Kunden, Freunde, Interessenten, ExKollegen, Ex-Kommilitonen etc.) online pflegen. Um Mitglied zu werden, mssen Internetnutzer das 18. Lebensjahr vollendet haben. (wikipedia, 2011 S. 1) XING ist lt. eigenen Angaben Marktfhrer in der DACH- Region (Deutschland, sterreich, Schweiz) im B2B Segment mit 4,69 Mio. NutzerInnen (vgl. Mller, 2011 S. 7) Weltweiter Marktfhrer im persnliche B2B Austausch ist lt. eigenen Angaben die Social Media Plattform `LINKEDIN: LinkedIn operates the worlds largest professional network on the Internet with more than 100 million members in over 200 countries and territories< <More than half of LinkedIn members are currently located outside of the United States. (Linkedin, 2011 S. 1)
Master Thesis Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext, Gnther R. Neukamp, 2011
Neben den dezidierten B2B Social Media Plattformen werden B2B Beziehungen auch auf der allgemeinen Social Media Plattform `FACEBOOK gepflegt: sterreich wies per 31. Dezember 2010 einen neuen Rekordmitgliederbestand von 2.258.020 Personen aus. Am 27. November 2008 waren lediglich 224.780 Personen in sterreich auf Facebook registriert. (wikipedia, 2011, Seite 1) Die Nutzung von `Facebook in sterreich stieg demnach im Zeitraum von November 2008 bis Dezember 2010 um ber 1000%. Nicht zuletzt deswegen stellt sich also die Frage, warum sich auch Unternehmen mit dem Phnomen der Social Media Plattformen auseinandersetzen sollten, und welche Bedeutung diese aus Sicht der ArbeitgeberInnen haben. Denn eine neue Generation von MitarbeiterInnen verndert den Kommunikationsbedarf von Unternehmen: It is now clear that as a result of this ubiquitous environment and the sheer volume of their interaction with it, todays students think and process information fundamentally differently from their predecessors. These differences go far further and deeper than most educators suspect or realize. < <As we shall see in the next instalment, it is very likely that our students brains have physically changed and are different from ours as a result of how they grew up. But whether or not this is literally true, we can say with certainty that their thinking patterns have changed. I will get to how they have changed in a minute. What should we call these new students of today? Some refer to them as the N-[for Net]-gen or D-[for digital]-gen. But the most useful designation I have found for them is Digital Natives. Our students today are all native speakers of the digital language of computers, video games and the Internet. (Prensky, 2001 S. 1) Die `Digital Natives sind in den Unternehmen angekommen. Wenn wir von dieser Generation den Aufbau und die Pflege von persnlichen Beziehungen verlangen, mssen wir auf Grund der intensiven Sozialisation durch Massenmedien - die Sozialen Funktionen von Massenmedien bercksichtigen: Roland Burkart unterteilt diese in soziale, politische und konomische Funktionen. Als Soziale Funktionen definiert er Sozialisationsfunktion, soziale Orientierungsfunktion, Rekreationsfunktion und
Integrationsfunktion. (vgl. Burkart, 2002 S. 382) `Digital Natives sehen dementsprechend Social Media Plattformen als natrliche Form der Kommunikation und Beziehungspflege. `Digital Natives sind mit Wikis, Blogs und Social Networks aufgewachsen und unterscheiden kaum mehr zwischen virtueller und realer Welt. Unternehmen sind gut beraten, die Web-Ureinwohner ernst zu nehmen. Denn sie knnen nicht weniger als unsere Gesellschaft verndern< <Besonders Unternehmen mit konservativen Strukturen fllt es schwer, sich mit den Bedrfnissen der Digital Natives anzufreunden: Fr viele der jetzt jungen Netzgeneration stellt der `Nine-to-Five-Job ein Relikt aus Zeiten der Industrialisierung dar. Als Netzwerkarbeiter befinden sich viele ihrer Kollegen und Kontakte in verschiedenen Zeitzonen, sie bevorzugen flache Hierarchien, das Recht auf Mitbestimmung, Transparenz und Herausforderungen. Dafr bieten sie flexible Prozessstrukturen und arbeiten oft hoch effizient (Neef Schroll & Theis, 2009, Seite 1) Unternehmen stehen damit vor der Herausforderung die Risiken der Nutzung von Social Media Plattformen durch ihre MitarbeiterInnen zu bewerten und darauf abgestimmte Manahmen zu ergreifen. Die Verbindung der Erfahrungen im B2B Beziehungsmanagement, Social Media und Corporate Security fhrt den Verfasser dieser Master Thesis zu folgender wissenschaftlicher Fragestellung: Welche organisatorischen Manahmen sind seitens eines Unternehmens empfehlenswert um die allgemeinen Unternehmensrisiken bei der Nutzung von Social Media Plattformen durch MitarbeiterInnen als B2B Beziehungsmanagementtool zu reduzieren? Die gegenstndliche Arbeit befasst sich nicht mit den technischen Risiken, welche sich fr die IT Infrastruktur aus der Nutzung von Social Media Plattformen durch MitarbeiterInnen ergeben.
1.2. Aufbau dieser Master Thesis Die Methodik ist eine (reine) Literaturarbeit, die - wie fr die neuen, interaktiven Medien ja nicht ungewhnlich - interdisziplinren Fragestellungen, z.B. aus dem Bereich Corporate Security und Risikomanagement (und damit bereits von ihrem grundstzlichen Methodenansatzpunkt her dezidiert NICHT empirisch), gewidmet sein kann. Aufgrund des Themas ist die Einbeziehung von Onlineartikeln inkl. Wikipedia ausdrcklich seitens der Studiengangs Leitung zulssig. Die Arbeit umfasst ca. 86 Textseiten
2. Begriffsdefinition & Theoretische Grundlagen

Als Vorbereitung der Forschungsarbeit ist es wichtig Begriffe, Kontext und Besonderheiten zu beschreiben. Besondere Spezifika sind zu erlutern aber auch die eigene Position und Perspektive zu beleuchten. 2.1. Unternehmensrisiken und Bedrohungen Es gibt unterschiedliche Herangehensweisen bei der Gliederung von Unternehmensrisiken: Unternehmensrisiken oder unternehmerische Risiken knnen als Risikoprofil mit einer Rangfolge in einem Geschftsbericht verffentlicht werden. Beispiele aus solchen Geschftsberichten unterscheiden Projektrisiken, Produktrisiken, Marktrisiken, Sonstige Betriebsrisiken, Organisations- und Governance-Risiken, Risiken der strategischen Planung, Personalwirtschaftliche Risiken, konomische Risiken, Finanzrisiken, Kommunikations- und Informationsrisiken. (Joerg Schultze-Bohl Dipl.Inform., 2011 S. 1) Das Information Security Management von Bell Labs baut auf die Informationssicherheitsnorm ISO/IEC 27001:2005 auf und gliedert Risiken in folgende Klassen: ISO/IEC 27001:2005 Annex A contains control objectives and security controls. These control requirements were derived from ISO/IEC 17799:2005 [3], clauses 5 to 15. The 11 clauses or major sections include: Security policy, Organizing information security, Asset management, Human resources security, Physical and environmental security, Communications and operations management, Access control, Information systems acquisition, development and maintenance, Information security incident management, Business continuity management and Compliance. (McGee Bastry Chandrashekhar Vasireddy Flynn, 2007 S. 40) Interne Auditoren unterstreichen bereits 2008 erstmals die Bedeutung von ISO 27000 neben Ènterprise Risk Management (ERM) und `Fraud Risk Management (FRM): The 2008 Internal Audit Capabilities and Needs Survey from Protiviti found that among internal auditors, the top technical competencies in need of improvement were ISO 27000, enterprise risk management (ERM) and fraud risk management (FRM).
Chief audit executives (CAE) constituted more than a third of the 516 audit professionals who participated in the study. CAEs also named ISO 27000, the certification standard for information security developed by the International Organisation for Standardization, as their top competency in need to improvement, followed by COSO and FRM. (protiviti.com, 2008 S. 25) Risikomanagement zhlt nach wie vor nicht zu den Top Prioritten der Vorstnde und Fhrungskrfte in Unternehmen: The top priority for boards in 2010 is strategic planning and oversight, noted by 67.5% of respondents, followed by corporate performance and valuation for 41.5% of directors. Risk and crisis oversight, executive talent management and leadership development and CEO succession are other top board priorities. The level of risk in corporate strategy is appropriate for 86.8% of respondents, although 32.4% of management teams do not have a comprehensive risk assessment and 11.7% of directors are not asked to approve the risk profile in the corporate strategy. (NACD Research, 2010 S. 44) Viele der Risiken im Bereich Social Media sind fr Auenstehende undurchsichtig und schwer greifbar. Das erschwert die Kommunikation der damit verbundenen Unternehmensrisiken zustzlich.
Der Eintritt in neue Marktpltze wie Social Media Plattformen erfordert beim Risikomanagement hnliche Sorgfalt wie der Eintritt in Emerging Markets: Of course, the risks of investment may simply be too great to justify entry into certain political zones. But in many cases investors who explicitly recognize the dynamism of the environment and implement appropriate strategies to address it will find the risks quite manageable. (Henisz & Zelner, 2010 S. 95) Fr das Risikomanagement im Bereich Social Media Plattformen heit das Bewusstsein fr die Dynamik und schwierige Beherrschbarkeit zu entwickeln und transportieren. - Wenn ich wei, dass ich mich auf dnnem Eis bewege, werde ich es entsprechend vorsichtig tun.
Risiken sind nicht einfach zu eliminieren: But < dont believe that its easy to eliminate a risk. When you buy insurance, for example, what youre really buying is an option to make a claim against somebody you hope will be good for the payment. So youve just converted one kind of risk into another. (Kaplan, 2009 S. 73)
RisikomanagerInnen mssen auch Risiken in Kauf nehmen: A credible risk manager also has to be a risk taker. If you keep saying no, you will go out of business. (Hofmann, 2009 S. 75)
Die Grenzen des Risikomanagements zeigen sich auch sehr gut im Finanzsektor. Legionen von RisikomanagerInnen in Banken und Versicherungen versuchen Risiken abzuschtzen. Die Lehren aus dem schnelllebigen Finanzsektor knnen auch im Zusammenhang mit Risikomanagement fr Unternehmen im Umgang mit Social Media Plattformen hilfreich sein: To manage risk effectively, you have to choose the right data and metrics and have a clear sense of how all the moving parts work together. Risk managers routinely make six fundamental mistakes: Relying on historical data. Risk-management modelling involves extrapolating from the past, but rapid financial innovation in recent decades has made history an imperfect guide. EXAMPLE Historical data were of little use in estimating the impact of the recent fall in house prices, because those data didnt cover a period during which the market saw a downturn while a large number of subprime mortgages were outstanding. (Stulz, 2009 S. 89) Interaktive Soziale Netzwerke wie `Facebook, `XING und `LinkedIn sind erst wenige Jahre alt. Die Lebenszeit der Strukturen und Funktionalitten ist uerst kurz und permanent im Umbruch begriffen. Focusing on narrow measures. Many financial institutions use daily measures to track risk. These underestimate a firms exposure, because they assume that assets can be sold quickly, limiting the firms losses within a day.
EXAMPLE Financial crises involve a dramatic withdrawal of liquidity from securities markets, leaving firms exposed for weeks or months on positions they cannot easily unwind. (Stulz, 2009 S. 89) Die Konzentration auf wenige Parameter zur Erfassung von Risiken ist bei der Komplexitt von Interaktiven Medien schwierig. Massive Reputationsschden oder Know How Diebstahl knnen oft nur mit groem Aufwand behoben werden. Overlooking knowable risks. Risk managers simply overlook many types of risk and sometimes even create them. EXAMPLE Investors in Russia tried to hedge the risk of a collapse in the ruble by taking currency positions with Russian banks. But they failed to recognize that a shock to the banking system would threaten those banks ability to meet their commitments. (Stulz, 2009 S. 89) RisikomanagerInnen bersehen Risiken oder kreieren sie selbst: Der Einsatz vermeintlich schtzender Technologie, schafft unter Umstnden erst den Zugang fr neue Bedrohungen spter mehr dazu. Overlooking concealed risks. People responsible for incurring risk often dont report it sometimes deliberately, but often unintentionally. Organizations have a tendency to expand unreported risks. EXAMPLE If traders receive a share of the profits they generate but do not have to defray the losses, they have an incentive to take risks, which is easier to do if the risks are unmonitored. (Stulz, 2009 S. 89) Verantwortliche fr die Sicherheit unterlassen es aus unterschiedlichsten Grnden Risiken zu berichten. Die Tendenz von Organisationen gewisse Risiken nicht zu berichten, wird gerade bei unbekannten Themen, wie Sozialen Netzwerken, bis zum Bekanntwerden von Schadensfllen in der ffentlichkeit verstrkt. Failing to communicate. Risk-management systems will provide little protection if risk managers dont communicate clearly. EXAMPLE The Swiss bank UBS attempted to explain its subprime and housing exposures in an overly complex way and to the wrong audience. (Stulz, 2009 S. 89)
Eine klare Kommunikation der potentiellen Risiken ist gerade bei der Kommunikation mit Menschen ohne Bezug zu interaktiven Sozialen Netzwerken schwierig. Meinungen vieler Executive ManagerInnen schwanken, vor allem je nach persnlicher Affinitt zu neuen Medien, zwischen Verbot und selektiver Freigabe. Not managing in real time. Risks can change sharply and quickly with daily fluctuations in the stock market. EXAMPLE Managers, holding a barrier call option, that doesnt check the risk throughout the day may fail to put appropriate hedges in place. (Stulz, 2009 S. 89) Bedrohungen durch soziale Netzwerke sind im Extremfall, in ihrer Auswirkung auf Unternehmen, vergleichbar mit unerwarteten globalen Krisen oder atomaren Strfllen. Die Vorhersehbarkeit ist uerst schwierig:
Black Swan Events sind die Feinde konventioneller RisikomanagerInnen: Black Swan events are almost impossible to predict. Instead of perpetuating the illusion that we can anticipate the future, risk management should try to reduce the impact of the threats we dont understand. WE DONT LIVE in the world for which conventional risk-management textbooks prepare us. No forecasting model predicted the impact of the current economic crisis, and its consequences continue to take establishment economists and business academics by surprise. Moreover, as we all know, the crisis has been compounded by the banks socalled risk-management models, which increased their exposure to risk instead of limiting it and rendered the global economic system more fragile than ever. Low-probability, high-impact events that are almost impossible to forecast we call them Black Swan events are increasingly dominating the environment. Because of the internet and globalization, the world has become a complex system, made up of a tangled web of relationships and other interdependent factors. Complexity not only increases the incidence of Black Swan events but also makes forecasting even ordinary events impossible. All we can predict is that
companies that ignore Black Swan events will go under. (Taleb Goldstein & Spitznagel, 2009 S. 78-79)
Die Auseinandersetzung mit dem `Black Swan Event hilft uns Risikomanagementanstze zu relativieren: Warum in aller Welt machen wir so viele Vorhersagen? Noch schlimmer aber auch interessanter: Weshalb sprechen wir nicht darber, wie gut unsere bisherigen Vorhersagen waren? Wieso sehen wir nicht, dass uns die groen Ereignisse (fast) immer entgehen? Das nenne ich den Skandal bei den Vorhersagen. (Taleb, 2007 S. 174)
Das Beispiel Sony zeigt die Komplexitt des Risikomanagements in der Social Media Welt: Im April 2011 brach fr Playstation User der Mythos SONY zusammen: Ein - Black Swan Event - hat massive Reputationsschden verursacht: Super-GAU im Playstation Network - Hacker stehlen Sony Millionen Kundendaten - Seit Tagen ist Sonys Online-Plattform Playstation Network nicht erreichbar. Jetzt ist bekannt, warum. Ein digitaler Super-GAU. Nach einem Angriff auf Sonys Playstation Network (PSN) fielen Hackern Passwrter und Adressen von 75 Millionen Kunden in die Hnde vielleicht sogar deren Kreditkarten-Informationen. Betroffen ist neben dem PSN auch der Video- und Musikservice Qriocity. Eine unbekannte Person habe sich Zugang zu persnlichen Daten wie Name, Adresse, E-Mail-Adresse, Geburtsdatum der Nutzer verschafft, so Sony. Auch Zugangsdaten und Passwrter seien nach derzeitigem Kenntnisstand ausgespht worden, mglicherweise ebenfalls die Liste der Kufe. Obwohl es derzeit keine Anzeichen dafr gibt, dass auf Kreditkarten-Informationen widerrechtlich zugegriffen wurde, knnen wir diese Mglichkeit nicht gnzlich auer Betracht lassen, warnte Sony. Die Kunden sollten nun besonders wachsam sein, um keinem Betrug aufzusitzen, und ihr Konto kontrollieren. (Computerwelt, 2011 S. 1) Das Mission Statement von Sony, Sony is committed to developing a wide range of innovative products and multimedia services that challenge the way consumers access and enjoy digital entertainment. By ensuring synergy
10
between businesses within the organisation, Sony is constantly striving to create exciting new worlds of entertainment that can be experienced on a variety of different products. (Sony, 2011 S. 1) , wurde damit aus Risikomanagement Perspektive komplett in Frage gestellt.
Wurden die Risiken des unbefugten Zugriffes auf Passwrter und Adressen von 75 Millionen Kunden entsprechend bewertet und gemanagt? In dem Computerweltartikel am 27.4.2011 (Computerwelt, 2011 S. 1) wird bereits die Mglichkeit eingerumt, dass auch auf Kreditkarteninformationen von KundInnen Zugriff bestand. Anfang Juni 2011 kam es zum nchsten Zwischenfall: Andy Bloxham Reporter des telegraph beziffert am 3.6.2011, anlsslich dieses neuerlichen Angriffes auf Sony, die aktuellen Schadensabschtzungen: <Hackers have attacked Sony and stolen the private details of more than a million people in the latest security breach to hit the electronics giant. (Bloxham, 2011 S. 1) In diesem Artikel beziffert er in Folge den Schaden fr Sony aus dem zuvor beschriebenen Super-GAU: The latest hack comes just over a month after Sony's enormous PlayStation Network was attacked. In that incident the data of about 70m customers was stolen, in what is thought to have been the largest hack in history. The network has only come back online in recent weeks, with the cost of the fallout estimated at more than 900m. (Bloxham, 2011 S. 1) Die Schadensumme wird so im Juni 2011 mit umgerechnet (1 = 117,38 Yen) 1 Mrd beziffert, das ist fast das Vierfache operating income der Sony Corporation im Jahr 2010. (vgl. Sony, 2010 S. 54) Die Anpassung des net income vom 23.5.2011 - im vorlufigen Endergebnisses fr das Geschftsjahr 2011 (endete am 31.3.2011) - auf Grund der Auswirkungen des Erdbebens von Fukushima liegt bei umgerechnet 3 Mrd . (vgl. SONY, 2011 S. 1) Die Bezeichnung des Sony Playstation hack als Super-GAU scheint damit durchaus gerechtfertigt.
11
Dieses Beispiel zeigt die Verwundbarkeit moderner Kommunikationstechnologien. Jeder Nutzer von Social Media Plattformen muss sich der Risiken bewusst sein und dementsprechend handeln. So berichtete Google Anfang Juni 2011 <it had detected and disrupted a campaign aimed at stealing passwords of hundreds of Google email account holders including senior U.S. government officials, Chinese activists, and journalists. (IBTimes, 2011 S. 1) Der unbefugte Zugriff auf persnliche Daten zhlt damit zu den grten Herausforderungen bei Social Media Netzwerken. Die Untersuchungen dieser Masterthese befassen sich vor allem mit User seitigen Vorkehrungen um sich mglichst sicher auf Social Media Plattformen zu bewegen. Die technischen Aspekte sind vielfltig und mssen von den IKT Verantwortlichen des jeweiligen Unternehmens bercksichtigt werden. Was ist nun das grte userseitige Risiko bei der Nutzung von Social Media Plattformen? Remember that the biggest risk lies within us: We overestimate our abilities and underestimate what can go wrong. The ancients considered hubris the greatest defect, and the gods punished it mercilessly. Look at the number of heroes who faced fatal retribution for their hubris: Achilles and Agamemnon died as a price of their arrogance; Xerxes failed because of his conceit when he attacked Greece; and many generals throughout history have died for not recognizing their limits. Any corporation that doesnt recognize its Achilles heel is fated to die because of it. (Taleb Goldstein & Spitznagel, 2009 S. 81) Das grte Risiko ist der Mensch. Um die Unternehmensseitigen Risiken bei der Nutzung von Social Media Plattformen durch MitarbeiterInnen zu erarbeiten mssen wir auch einige Cyber Crime spezifische Bedrohungen beleuchten: Am 23.9.2001 wurde in Budapest die Convention of Cybercrime (dt. bereinkommen ber Computerkriminalitt) verabschiedet vgl. (Europe, 2001 S. 1): Der Europarat unterscheidet darin:
12
Straftaten gegen die Vertraulichkeit, Unversehrtheit und Verfgbarkeit von Computerdaten und -systemen wie rechtswidrigen Zugang, rechtswidriges Abfangen, Eingriff in Daten, Eingriff in ein System, Missbrauch von Vorrichtungen. Computerbezogene Straftaten wie computerbezogene Flschungen, computerbezogener Betrug. Inhaltsbezogene Straftaten wie solche mit Bezug zur Kinderpornographie. Straftaten in Zusammenhang mit Verletzungen des Urheberrechts und verwandter Schutzrechte Weitere Formen der Verantwortlichkeit und Sanktionen wie Versuch und Beihilfe oder Anstiftung, Verantwortlichkeit juristischer Personen und Sanktionen und Manahmen (vgl. Europe, 2001 S. 3-7)
Im Jahr 2007 definiert Europol im Rahmen eines Threat Assessment des High Tech Crime Center (vgl. Europol, 2007 S. 6) Typologien von Bedrohungen: The involvement of criminal organisations in high tech crimes Botnets and crimewares Phishing & Identity Theft Phishing is a type of social engineering over the internet that yields plenty of revenue for criminal organisations. This social engineering is combined with technical artifices with the aim of stealing personal and financial data. The crimes that are conceived consist of fraud and identity theft. (Europol, 2007 S. 27) Pharming Another kind of dangerous electronic social engineering, very similar to phishing, is called Pharming which is more difficult to detect because it consists of the manipulation of the Domain Name Server (DNS) that at the moment of the resolving IP address, the user is re directed to a fraudulent site. (Europol, 2007 S. 29) Vishing The latest phishing evolution which yields illicit money for organised crime in this area is called Vishing which is not web-based but consists of perpetrating fraud using VOIP. In other words, a dialler calls customers and an automatic voice starts pretending to be the financial institute; it then requests credit card numbers including the
13
Card Validation Code (CVV). The frauds over IP are becoming more and more widespread. (Europol, 2007 S. 30-31) SMiShing Even less countermeasures can be adopted when facing one of the main criminal threats that will worry LEA in the immediate future, namely SMiShing41. In other words, this latest threat attacks mobile phones, connected to the internet. The user receives a link to a web site and when clicking a Trojan enters into action with imaginable consequences in the mobile phones content. (Europol, 2007 S. 30) Critical Information Infrastructures Cyber terrorism Trafficking of Child Pornography Images on the Internet Drugs Trafficking on the Internet
Anfang 2011 stellt Europol - im Threat Assessment zum Thema Internet Facilitated Organized Crime (vgl. Europol, 2011 S. 2) - weitere Bedrohungstypologien vor: The Digital Underground Economy There is now a sophisticated and self-sufficient digital underground economy, in which data is the illicit commodity. Stolen personal and financial information used, for example, to gain access to existing bank accounts and credit cards, or to fraudulently establish new lines of credit has a monetary value. Not only credit card details and compromised accounts, but also information such as addresses, phone numbers, social security numbers, full names and dates of birth are retailed in this market. (Europol, 2011 S. 5) Cybercriminal Business Models Cybercrime 2.0 Web 2.0 is the term often used to describe the on-going transition of the World Wide Web from a collection of websites to a fully-fledged computing platform which has spawned a second generation of Internet based services such as social networking sites, wikis, and real-time communication tools that emphasize online collaboration and sharing among users. This has both been of great benefit to the general public and provided new and creative opportunities for the digital underground economy. Significant in this regard is the ability of web developers and users themselves to draw web page content from a number of different
14
sources: just as Facebook users are able to embed videos from YouTube or photos from Flickr on their profile pages, and application developers are able to market tools and games to the users of social networking sites, so also do cybercriminals inject malicious code into posted items and share links to phishing and pharming websites, exploiting the trust of users who consider themselves to be in a closed network of acquaintances. An increase in crimeware delivery through social networking sites has been one of the key trends in recent years. (Europol, 2011 S. 6-7) Social Engineering Social engineering the act of manipulating people into performing actions or divulging confidential information is a key feature both of hacker culture and of many cybercriminal modi operandi: when engaged in phishing and its variants, criminals commonly seek to persuade recipients that they represent organisations requiring verification of customers personal data; spoof websites are designed which replicate legitimate online services such as banking, to dupe customers into inputting their account details; social engineering even plays on the fears of Internet users that they will fall prey to this very tactic, manipulating them into paying for rogue anti-virus software which can otherwise be obtained for free, is useless, or in fact contains crimeware. (Europol, 2011 S. 7) Auf Basis dieser Risikobersicht und der beschriebenen Bedrohungslagen werden im folgenden Kapitel die Grundlagen Sozialer Netzwerke beschrieben.
15
2.2. Soziale Netzwerke 2.2.1. Die Zeit vor `Facebook, XING und linkedIn Michael Gallas Dissertation mit dem Titel Social Relationship Management in Internet-based Communication and Shared Information Spaces aus dem Jnner 2004 beschreibt die World Wide Web (WWW) Social Media Ideen im Jahr 2003: Communication and collaboration based on the internet are important factors in business, research, and everyday life. The term virtualization denotes the phenomenon that more and more aspects of our lives take place online. In todays markets, companies have to be quick and flexible in order to be successful. One of the strategies to achieve this is the virtualization of organizations, leading to the abolishment of classical spatial and temporal constraints and to a greater flexibility. The dynamic collaboration of small, modular organizational units is the key idea of this strategy. The partnering problem becomes the pivotal point in such organization networks, raising the question of how to assess the trustworthiness of personally unknown potential partners. Similarly, in online auction houses, customers often do not know whether to trust vendors with respect to the quality of the goods offered. Traditionally, such problems are solved by exploring the personal social network and looking for trusted persons who know the person or organization in question. Yet, due to the increasing variety of communication media, it is difficult to keep aware of all people in ones personal social network. Therefore it is necessary to support the management of social relationships. The goal of this thesis is the development of a general framework for social relationship management. Starting from observations concerning the aforementioned virtualization tendencies, this work examines internet-based communication and shared information spaces with respect to the kinds of social network data that can be extracted from them. Existing approaches to social relationship management are discussed. Such systems, however, concentrate on only one or very few kinds of social relationships and thus only manage special aspects of a users social network. Therefore, a general representation of social relationships is needed which allows for the combination of various kinds of relationships and sources of social network data.
16
On the basis of this analysis and the characterization of social relationships in terms of sociology, this work introduces a formal model of social relationships based on semantic web technologies. The main design goals of this formalization are fostering interoperability, independence from proprietary applications, extensibility, and integration of privacy protection. Building upon the formalization of social relationships, a multiagent system for distributed relationship management is developed. Agents act on behalf of one or several persons and exchange relationship information in order to answer queries initiated by their users or by applications. (Galla, 2004 S. 5)
Im Februar 2004 war dann Facebook erstmals zugnglich... das war der Zeitpunkt an dem sich das World Wide Web neu erfand:
Das Web 2.0 wurde durch Facebook massentauglich.

Der Begriff Web 2.0 wurde im Dezember 2003 in der US-Ausgabe `Fast-Forward 2010 The Fate of IT des CIO Magazin, eines Fachmagazins fr IT-Manager, in dem Artikel `2004 The Year of Web Services von Eric Knorr, Chefredakteur des IDG Magazins ÌnfoWorld, erstmals gegenber einer breiten ffentlichkeit erwhnt. < Der Begriff Web 2.0 bezieht sich neben spezifischen Technologien oder Innovationen wie Cloud Computing primr auf eine vernderte Nutzung und Wahrnehmung des Internets. Die Benutzer erstellen, bearbeiten und verteilen Inhalte in quantitativ und qualitativ entscheidendem Mae selbst, untersttzt von interaktiven Anwendungen. Um die neue Rolle des Nutzers zu definieren, hat sich mittlerweile der Begriff `Prosumer durchgesetzt. Die Inhalte werden nicht mehr nur zentralisiert von groen Medienunternehmen erstellt und ber das Internet verbreitet, sondern auch von einer Vielzahl von Nutzern, die sich mit Hilfe sozialer Software zustzlich untereinander vernetzen. Im Marketing wird versucht, vom Push-Prinzip (Stoen: aktive Verteilung) zum Pull-Prinzip (Ziehen: aktive Sammlung) zu gelangen und Nutzer zu motivieren, Webseiten von sich aus mit zu gestalten. (Wikipedia, 2011 S. 1)
17
2.2.2. Facebook Facebook (dt. sinngem Studenten-Jahrbuch) ist eine Website zum Erstellen und Betreiben sozialer Netzwerke, die der Facebook Inc. mit Sitz im kalifornischen Palo Alto gehrt. Die Plattform war im Februar 2004 erstmals zugnglich und erreichte im Januar 2011 nach eigenen Angaben 600 Millionen aktive Nutzer weltweit. Anfang Mai 2011 betrug der Mitgliederbestand 674,1 Millionen. In Deutschland wird das Netzwerk mittlerweile von 17,6 Millionen Menschen genutzt (Stand: 30. April 2011). Deutschland hat damit Kanada berholt und steht erstmals in den Top10 der Lnder mit den meisten aktiven Nutzern, die Schweiz liegt auf dem 46. Rang (2,6 Millionen Mitglieder) und sterreich auf dem 48. Rang (2,5 Millionen Mitglieder). (wikipedia, 2011 S. 1) Facebook dominiert heute - als das Massenmedium - den Markt der `Sozialen Netzwerke. Soziale Netzwerke wie Facebook, MySpace & Co zhlen zu den aktuellen Erfolgsgeschichten im Internet. Facebook hat es mittlerweile in sterreich auf Platz 4 der beliebtesten Websites geschafft. (Zimmer, 2009 S. 3) Facebook Funktionen Jeder Benutzer verfgt ber eine Profilseite, auf der er sich vorstellen und Fotos oder Videos hochladen kann. Auf der Pinnwand des Profils knnen Besucher ffentlich sichtbare Nachrichten hinterlassen oder Notizen/Blogs verffentlichen. Alternativ zu ffentlichen Nachrichten knnen sich Benutzer persnliche Nachrichten schicken oder chatten. Freunde knnen zu Gruppen und Events eingeladen werden. Facebook verfgt zudem ber einen Marktplatz, auf dem Benutzer Kleinanzeigen aufgeben und einsehen knnen. Durch eine Beobachtungsliste wird man ber Neuigkeiten, z. B. neue Pinnwandeintrge auf den Profilseiten von Freunden informiert. Die Benutzer auf Facebook sind in Universitts-, Schul-, Arbeitsplatz- und Regionsnetzwerke eingeteilt. (wikipedia, 2011 S. 1) Seit 2004 haben sich neben Facebook eine Vielzahl anderer Social Media Plattformen etabliert, welche mittlerweile mit Facebook interagieren knnen. Exemplarisch seien hier `YouTube und `Twitter erwhnt. Voraussetzung dafr war die ffnung der Plattform fr Anwendungen von Drittanbietern:
18
Facebook Applikationen (dt. Anwendungen) Das Unternehmen ffnete im Mai 2007 seine Plattform fr Anwendungen von Drittanbietern. Entwicklern steht ber die Facebook Plattform eine Programmierschnittstelle (API) zur Verfgung, mit der sie Programme schreiben knnen, die sich dem Design von Facebook anpassen und nach Erlaubnis der Nutzer auf deren Daten zugreifen knnen. Facebook-Mitglieder knnen die angebotenen Programme in ihre Profilseiten integrieren. Die Bandbreite umfasst Spiele und andere Kommunikationsanwendungen. Nach Unternehmensangaben waren im Oktober 2009 mehr als 350.000 Applikationen verfgbar. Allerdings erreicht nur ein kleiner Teil davon mehr als 100.000 Nutzer im Monat. Mit ber 75 Millionen aktiven Nutzern ist das Onlinespiel FarmVille die derzeit beliebteste Facebook-Applikation. (wikipedia, 2011 S. 1) Die Facebook Applikationen gliedern sich in Wirtschaft, Ausbildung, Unterhaltung, Freunde & Familie, Spiele, Nur zum Spa, Lebensstil, Sport, Hilfsmittel. (vgl. Facebook, 2011 S. 1) Beobachter bewerten die ffnung der Plattform als wichtigen Schritt, um die Attraktivitt von Facebook zu erhhen und damit die Nutzerzahl zu steigern. Allerdings wuchs das Angebot derart rasant, dass Nutzer ber die Unbersichtlichkeit klagten. Einige Applikationen sind vor allem darauf ausgelegt, sich mglichst schnell zu verbreiten. Das Unternehmen geht mittlerweile gegen Application Spam vor, indem es im Rahmen eines sogenannten Verification Program vertrauenswrdige und sichere Anwendungen besser platziert und ihnen ein entsprechendes Logo verleiht. (wikipedia, 2011 S. 1)
19
Diese Applikationen fragen den Benutzer um Zustimmung zur Nutzung persnlicher Daten: Am Beispiel `FarmVille kann man diesen Vorgang einfach beschreiben: Das Profil von `FarmVille bietet einen Button `Zur Anwendung an.
Abbildung 1: Facebook Startseite der Anwendung 'Farmville'; Quelle: (Farm Ville, 2011)
Bettigt man diesen Button ffnet sich ein Menpunkt Ànfrage fr Genehmigung . Bettigt man den Button `Zulassen hat die Anwendung Zugriff auf die entsprechenden Daten.
Abbildung 2: Facebook Zugriffsfreigaben fr die Anwendung 'Farmville'; Quelle: (Farm Ville, 2011)
Will man dies nicht, muss man den Ànwendung verlassen Button bettigen und kann die Anwendung nicht aktivieren.
20
Im Fenster Ànfrage fr Genehmigung erteilt man (im Beispiel `FarmVille) die Genehmigung zum Zugriff auf Name, Profilbild, Geschlecht, Netzwerke, Nutzerkennnummer, Freundesliste und alle anderen Informationen, die ich mit Allen teile. Das heit an dieser Stelle gewinnen die Privatsphre-Einstellungen an Bedeutung. Nutzer von Facebook finden Ihre Privatsphre-Einstellungen auf ihrer Profil Seite, dafr bettigen Sie zunchst den Knopf `Profil bearbeiten.
Abbildung 3: Facebook Profil des Verfassers; Quelle: (Facebook, 2011)
Damit erscheint die Menseite `Profil bearbeiten. Die fr die Sicherheit wichtigen `Privatsphre-Einstellungen finden Sie wenig auffllig am Ende der links unter dem Facebook logo befindlichen Menpunkte.
Abbildung 4: Facebook Einstellungen 'Profil bearbeiten'; Quelle: (Facebook, 2011)
Bettigen Sie den blau unterlegten Menpunkt `PrivatsphreEinstellungen, damit sind Sie auf der entsprechenden Menseite.
21
Abbildung 5: Facebook Privatsphreeinstellungen; Quelle: (Facebook, 2011)
Auf die Menseite `Benutzerdefinierte-Einstellungen kommt man nach Bettigung des blau unterlegten Hinweises darauf. Hier besteht die Mglichkeit individuelle Zugriffseinstellungen vorzunehmen.
22
Abbildung 6: Facebook' Privatsphre-Einstellungen Benutzerdefinierte Einstellungen; Quelle: (Facebook, 2011)
Wenn wir zu den allgemeinen Privatsphre-Einstellungen zurckkehren mssen wir noch einen sehr zentralen Menpunkt erlutern. Dieser Menpunkt findet sich am Ende der Menansicht Ànwendungen und Webseiten Bearbeite deine Einstellungen fr<.
Abbildung 7: Facebook - Privatsphre-Einstellungen fr 'Anwendungen und Webseiten'; Quelle: (Facebook, 2011)
23
Dieser Button fhrt zum entsprechenden Menpunkt `Whle deine Privatsphre-Einstellungen aus > Anwendungen, Spiele und Webseiten. Hier besteht die Mglichkeit bereits installierte Anwendungen zu deaktivieren, die Sichtbarkeit von Informationen ber die Nutzung von Anwendungen zu definieren und vor allem den Zugriff von sogenannten Partner Webseiten zu genehmigen.
Abbildung 8: 'Facebook' Privatsphre - 'Anwendungen, Spiele und Webseiten'; Quelle: (Facebook, 2011)
Der Zugriff auf Daten die durch `Freunde zugnglich sind lsst sich hier zum Beispiel deaktivieren. Der Button Èinstellungen bearbeiten fhrt zum entsprechenden Men.
Abbildung 9: 'Facebook' Privatsphre, 'Fr Freunde zugngliche Informationen'; Quelle: (Facebook, 2011)
24
Ein besonderes Augenmerk sei hier auf die Einstellungen Ùmgehende Personalisierung gelegt. In diesem Bereich wird der Zugriff von sogenannten `Partneranwendungen geregelt. Diese Partneranwendungen erhalten derzeit bei Aktivierung vollen wechselseitigen Zugriff: `Bing, `Pandora, `TripAdvisor, `Yelp, `Rotten Tomatos, `Clicker, `Scribd und `Docs. (Vgl. Facebook, 2011)
Abbildung 10: 'Facebook' Privatsphre, 'Umgehende Personalisierung'; Quelle: (Facebook, 2011)
In aller Stille integrierte `Facebook eine Funktionalitt, welche die automatische Gesichtserkennung standardmig auf alle Fotos in Facebook anwendet. Laut Bloomberg Business Week wird derzeit seitens der Europischen Union die mgliche Verletzung von Datenschutzrechten untersucht. (vgl. Bodoni, 2011 S. 1).
Abbildung 11: 'Facebook' berblick Privatsphre-Einstellungen; Quelle: (Facebook, 2011)
Diese Funktionalitt lsst sich durch die Entfernung des seitens Facebook automatisch markierten Feldes links neben dem Text
25
`Freunde von Personen, die in meinen Fotos und Beitrgen markiert wurden, knnen diese sehen deaktivieren. Nichts desto trotz sind diese Daten fr Facebook verfgbar. - Sollte eine befugte Behrde oder Unbefugte - Zugriff auf diese Daten haben, lsst sich innerhalb von Bruchteilen einer Sekunde ein visuelles Personenprofil erstellen. Damit stellen sich die Fragen: Wie sicher sind Daten in den Hnden von Unternehmen wie `Facebook? Wer hat tatschlich Zugriff auf diese Daten? Wie werden diese Daten genutzt? Wie wird der Zugriff auf diese Daten geschtzt? Wie gut sind diese Daten gegen illegale Aktivitten geschtzt? Eine weitere Herausforderung an die Datensicherheit stellt `FacebookConnect dar, damit bietet das Unternehmen `Facebook seit 2008 die Mglichkeit zur Einmalanmeldung an, d.h. andere Websites verlangen von identifizierten `Facebook-Nutzern keine gesonderte Anmeldung. `Facebook Profilinhalte werden von diesen Drittportalen teilweise bernommen. Lt. Facebook untersttzen derzeit 240.000 Websites und Gerte diese Anmeldeoption. Ungefhr 60 Mio Nutzer weltweit greifen bereits auf diese Mglichkeit zurck. Diese und andere `Facebook Anwendungen wie `Facebook-Open Graph, diverse Mobile Clients fr Windows Mobile, BlackBerry, Apple iPhone/iPod touch, S60, Android, HP webOS, bada,< untersttzen die Konvergenzstrategie des Unternehmens. Die Mglichkeit die Standortdaten der Nutzer - ber Mobile Clients und die in moderne Mobiltelefonen und Smartphones vorhandenen GPS Module in Applikationen zu integrieren wird mit `FacebookPlaces ermglicht. (vgl. wikipedia, 2011 S. 1) Und wahrscheinlich sind zum Zeitpunkt der Verffentlichung dieser Master Thesis wieder zahlreiche neue Mglichkeiten verfgbar. Nutzer von Facebook mssen aufmerksam einschlgige Nachrichten verfolgen um ber neue Funktionalitt oder Applikation informiert zu sein, welche unbekannten Dritten persnliche Daten zugnglich zu machen. Wie verdient Facebook Geld?
26
Bei der Verfolgung von Straftaten ist ein zentrales Element von Ermittlungen die Aufgabe Follow the money. Darum muss man kurz beleuchten wie Facebook Geld verdient: Facebook ist sehr zurckhaltend mit der Verffentlichung von Geschftszahlen und Umsatzzahlen. Die Haupteinnahmen drften aus Werbeeinnahmen erwirtschaftet werden. Das Unternehmen èmarketer geht in seinen Einschtzungen von einer weiteren Verdopplung der Anzeigenumstze von `Facebook im Jahr 2011 gegenber 2010 aus. Der Umsatz 2010 lag demnach bei etwa 1,86 Mrd. U$D. (vgl. emarketer, 2011 S. 1)
Abbildung 12: 'Facebook' Erlsanalyse; Quelle: (emarketer, 2011)
Darber hinaus erzielt Facebook laut `facebookbiz Erlse aus dem Verkauf virtueller Gter. Die Margen fr Facebook sollen hier bei bis zu 33% liegen. (vgl. facebookbiz, 2011 S. 1). Die grten Markenauftritte drften auch fr die hchsten Anzeigenumstze stehen: Coca Cola, Disney, Starbucks, MTV, Oreo, Red Bull, Converse All Stars, Skittles, iTunes und Playstation haben jeweils zwischen 13,1 und 25,8 Mio Fans. (vgl. wikipedia, 2011 S. 1)
27
2.2.3. XING XING (bis Ende 2006: openBC) ist eine webbasierte Plattform, in der natrliche Personen vorrangig ihre geschftlichen (aber auch privaten) Kontakte zu anderen Personen verwalten knnen. Es wird vom gleichnamigen Unternehmen, der XING AG, betrieben. Die Bezeichnung `XING wurde aus Grnden der Internationalisierung gewhlt, da der alte Name OpenBC das englische Krzel fr `v. Chr. enthielt. Der neue Name XING ist zwar ebenfalls mehrdeutig, soll aber zumindest negative Assoziationen vermeiden. So bedeutet das Wort auf Chinesisch ès funktioniert, ès klappt ( xng). Auf Englisch steht es als Abkrzung fr Crossing, Kreuzung, was als Begegnung von Geschftskontakten gesehen werden kann. In einem Interview erklrte der openBC-Grnder Lars Hinrichs, die Aussprache nicht vorgeben zu wollen. In offiziellen Firmenvideos wird im Deutschen die Aussprache `XING gewhlt, also nicht `Crossing. Das System zhlt zur sogenannten sozialen Software und ist eines von mehreren webbasierten sozialen Netzwerken. Kernfunktion ist das Sichtbarmachen des Kontaktnetzes; beispielsweise kann ein Benutzer abfragen, ber `wie viele Ecken also ber welche anderen Mitglieder er einen anderen kennt, dabei wird das sogenannte Kleine-Welt-Phnomen sichtbar. Daneben bietet das System zahlreiche Community-Funktionen wie Kontaktseite, Suche nach Interessengebieten, Unternehmenswebseiten und 39.004 deutschsprachigen Gruppen. < XING wurde 2003 unter dem Namen OpenBC (Open Business Club) durch Lars Hinrichs gegrndet und zhlte laut Geschftsbericht Ende des 1. Quartals 2010 gut 9 Millionen Benutzer, davon 700.000 mit Premium Account. 43 % der Basis-Mitglieder (3,74 Mio.) stammten 2009 aus Deutschland, sterreich und der Schweiz (DACH), davon geschtzte 3 Mio. allein aus Deutschland. (wikipedia, 2011 S. 1) Der Geschftsbericht fr das 1. Quartal 2011 weist 4.686.000 MitgliederInnen in der DACH Region aus, 731.000 MitgliederInnen bezahlen fr die Mitgliedschaft. (vgl. XING, 2011)
28
Das heit in der DACH Region bezahlen 15,59% der MitgliederInnen.
Abbildung 13: 'XING' Mitgliederentwicklung; Quelle: (XING, 2011)
Der Groteil der Erlse kommt durch zahlende Mitglieder, aber durch E-Recruiting werden bereits 24,3% der Gesamterlse erwirtschaftet. Dieser Bereich verzeichnet die hchsten Wachstumsraten.
Abbildung 14: 'XING' Umsatzentwicklung; Quelle: (XING, 2011)
(vgl. XING, 2011 S. 1)
29
XING - Funktionsweise XING ist im Gegensatz zu `Facebook nur in einer Basisvariante kostenfrei. In der Basisversion ist es mglich Ein eigenes Profil anzulegen Kontakte zu knpfen, verwalten, merken und ihnen Nachrichten zu schicken Neuigkeiten aus dem Netzwerk zu verfolgen Gruppen beizutreten und zu grnden Events zu besuchen und zu organisieren Die Stichwortsuche mittels Namen, Unternehmen und Interessen durchzufhren
Zahlreiche wichtige Funktionen, wie eine bersicht ber die Profilbesucher, die Mglichkeit Nachrichten an Nicht-Kontakte zu schicken Erweiterte Suchoptionen
sind nur mit der kostenpflichtigen Premium Mitgliedschaft verfgbar. Die Kosten belaufen sich hier auf 5,95 pro Monat (Stand Juni 2011) bei einer 1 Jahres Premiummitgliedschaft. Mit einer sogenannten Recruiter Mitgliedschaft, zum Preis von 29,95 pro Monat bei einer 1 Jahres Recruiter Mitgliedschaft, lassen sich zustzlich High Potentials effizient recherchieren Kandidaten-Informationen direkt im Suchergebnis scannen Professionelle Kontaktpflege und verwaltungstools nutzen
(vgl. XING, 2011) XING bietet die Mglichkeit Kontakte mittels bekannter E-mail Adresse, Webmailzugang fr Google Mail, Yahoo Mail und Microsoft Hotmail oder der Kontaktdateien von Microsoft Outlook oder Lotus Notes
einfach zur Teilnahme an XING einzuladen.
30
Darber hinaus werden Einladungslinks fr die E-Mail-Signatur angeboten, welche man einfach selbst generieren kann. (vgl. XING, 2011)
XING Gruppen Gruppen ermglichen den TeilnehmerInnen die Mglichkeit MitgliederInnen zu finden, welche hnliche berufliche oder fachliche Interessen teilen. In 53 Offiziellen XING Branchen-Gruppen, 167 Offiziellen XING RegionalGruppen gibt es starken Zulauf ohne wirkliche Filter fr den Beitritt. Die Anzahl der Gruppen nach Gliederungsbegriffen gibt einen berblick ber die Strukturierung: 3.478 Branchen, 1.376 Events, 3.086 Firmen, 3.151 Sport und Freizeit, 288 Geographie und Umwelt, 2.361 Gesellschaft und Soziales, 3.447 Hochschulen, 3.695 Internet und Technologie, 2.131 Jobs und Karriere, 1.369 Kunst und Kultur, 3.049 Regionales, 1.026 Schulen, 2.401 Themen, 3.405 Verbnde und Organisationen, 4.476 Wirtschaft und Mrkte, 852 Wissenschaft, 14 XING Die Gruppenfunktionalitten gliedern sich vor allem in die sogenannte Startseite, welche den Gruppeninhalt beschreibt, Foren, welche dem Austausch innerhalb einer Gruppe dienen und eine bersicht Gruppenmitglieder, die die Mitglieder einer Gruppe zeigen. (vgl. XING, 2011 S. 1)
XING - Jobs und Karriere Im Bereich Jobs und Karriere findet man Jobempfehlungen, Nachrichten aus dem Netzwerk die Mglichkeit zur Job-Schnellsuche, auf Job-Kategorien zuzugreifen Jobs ausgewhlter Unternehmen zu finden. Persnliche Suchprofile knnen angelegt und verwaltet werden. (vgl. XING, 2011 S. 1)
31
Die alte Version von XING
Abbildung 15: 'XING' Alte Benutzeroberflche; Quelle: (XING, 2011)
wurde am 6.Juni 2011 durch eine vollkommen neue Oberflche mit intuitiverer Benutzeroberflche ersetzt. Das heit NutzerInnen finden sich einfacher zurecht und werden mit Symbolen ans Ziel gefhrt.
Abbildung 16: 'XING' Neue Benutzeroberflche; Quelle: (XING, 2011)
32
XING-Sicherheitseinstellungen Bei XING gibt es im Bereich Meine Einstellungen einen Unterpunkt Privatsphre. Die BenutzerIn hat hier die Mglichkeit die Einstellungen Meine Privatsphre, Neues aus ihrem Netzwerk und Externe Applikationen zu bearbeiten.
Abbildung 17: 'XING' Privatsphre-Einstellungen; Quelle: (XING, 2011)
Es gibt hier zahlreichen einfache Mglichkeiten die Privatsphre zu schtzen. Die Erklrungen sind klar und einfach zugnglich. NutzerInnen knnen damit schnell entscheiden, welche Informationen sie wem zugnglich machen.
33
2.2.4. LinkedIn Bei LinkedIn handelt es sich um den Weltmarktfhrer im Bereich berufsbezogener Sozialer Netzwerke. Nach eigenen Angaben betreibt LinkedIn das grte professionelle Netzwerk im Internet mit mehr als 100 Mio. Mitgliedern in ber 200 Staaten. In Europa wird die Mitgliederanzahl mit 20 Mio. angegeben. In der DACH Region liegt die Anzahl der Mitglieder nach Eigenangaben bei nur 1 Mio.. LinkedIn hat damit nur maximal 25% der Mitgliederanzahl von XING in dieser Region. (vgl. LinkedIn, 2011 S. 1) Die Funktionalitten bei LinkedIn sind den Funktionalitten von XING sehr hnlich. LinkedIn hat auch hnliche Einstellungsmglichkeiten fr die Privatsphre. In der DACH Region wird LinkedIn vor allem von Menschen im internationalen Kontext auerhalb der DACH Region, zustzlich zu XING, verwendet. Seit 2010 greift LinkedIn den XING `Heimmarkt` massiv an. (vgl. Handelsblatt, 2010 S. 1) 2.3. Enterprise 2.0 Blumauer, Kaltenbck und Koller definieren Ènterprise 2.0` als Synonym der letzten Jahre fr innovative Kommunikations- und Arbeitsablufe in Unternehmen. (Blumauer, et al., 2010 S. 11) Wikipedia verweist vor allem auf den Harvard Professor Andrew P. McAfee: Der Begriff Enterprise 2.0 geht auf einen Artikel des Harvard-Professors Andrew P. McAfee zurck. In seinem Artikel "Enterprise 2.0: The Dawn of Emergent Collaboration" beschreibt Andrew McAfee, Professor an der Harvard Business School, wie Social Software im Unternehmenskontext eingesetzt werden kann, um die Zusammenarbeit der Mitarbeiter zu untersttzen (McAfee 2006a). Unter dem Begriff SLATES (deutsch: Schiefertafeln; SLATES steht fr die Abkrzung von Search, Links, Authoring, Tags, Extensions and Signals in Anlehnung an die Abkrzung WIMP) fasst er die Prinzipien, Merkmale und Eigenschaften von Web 2.0Werkzeugen zusammen. Er argumentiert, dass das Auffinden von Informationen (Search) im Internet nachweislich viel besser funktioniert als in Intranets, weil die Masse der Nutzer durch Links Informationen
34
strukturieren und bewerten, die von Suchmaschinen ausgewertet werden. Durch eine vergleichbare Masse an Strukturen, die von Mitarbeitern mit Hilfe von einfachen Autoren-Tools (Authoring) und Verschlagwortung (Tags) erstellt werden, knnten Unternehmen die Vorteile der Wisdom of Crowds nutzen. In dem Nutzungsdaten fr automatisierte Inhaltsvorschlge (Extensions) verwendet werden, knnen thematisch hnliche Inhalte leichter entdeckt werden (Nutzer, die diesen Beitrag spannend fanden, fanden auch...) und Signale wie RSS-Feeds (Signals) machen nderungen verfolgbar. McAfee verwendet den Begriff fr Web-2.0-Technologien zur Erzeugung, gemeinsamen Nutzung (sharing) und Verfeinerung von Informationen, mit denen Wissensarbeiter in Unternehmen ihre Vorgehensweisen und Ergebnisse sichtbar machen (McAfee 2006a, S. 23). In der Definition in (McAfee 2006b) dehnt er den Nutzerkreis auf unternehmensbergreifende Kommunikation aus: Ènterprise 2.0 is the use of emergent social software platforms within companies, or between companies and their partners or customers` MCAFEE 2006B Richter und Koch erweitern den Begriff unter Bezugnahme auf einen Information-Week-Artikel und die Enterprise-2.0-Konferenz 2007 um die notwendigen Vernderungen der Unternehmenskultur: Ènterprise 2.0 bedeutet vielmehr die Konzepte des Web 2.0 und von Social Software nachzuvollziehen und zu versuchen, diese auf die Zusammenarbeit in den Unternehmen zu bertragen.` RICHTER UND KOCH (2007), S. 16 Buhse und Stamer beschreiben aufgrund von Erfahrungen im eigenen Unternehmen die notwendigen strategischen nderungen in Marketing und Public Relations, die sich aus dem Einsatz von Social Software ergeben. Sie pldieren fr eine ehrlichere Kommunikationskultur, bei der auch die Auenkommunikation von den Mitarbeitern gemacht wird und das Management lediglich Themen lanciert und Richtungen vorgibt. Bisher zentral gesteuerte Bereiche wie Markenfhrung und Public Relations mssen in dieser Hinsicht neu berdacht werden. (Wikipedia, 2011) Blumauer, Kaltenbck und Koller sehen Internet communities bzw. soziale Netzwerke als die populrsten Anwendungen im Web. Sie sind integraler Bestandteil jeder Corporate Communication Strategie geworden. (vgl. Blumauer, et al., 2010 S. 56)
35
2.4. B2B - Beziehungsmanagement B2B ist die Abkrzung fr `Business to Business` und beschreibt Beziehungen zwischen Unternehmen. Beziehungen des Unternehmens zu Konsumenten engl. `Business to Consumer` werden B2C abgekrzt. (vgl. Kirchgeorg, Manfred, 2011 S. 1) Nachfolgend beleuchte ich mit einigen Modellen die Relevanz von persnlichen Beziehungen im B2B Kontext: Ein konzeptionelles Modell nach Theron, Terblanche and Boshoff beschreibt die Qualitt der Beziehung im B2B Bereich als Funktion von Vertrauen, Kommunikation, gemeinsamen Werten und der Attraktivitt von Alternativen. (vgl. Theron & Terblanche & Boshoff, 2008 S. 1000) .
Abbildung 18 Conceptual Model nach Theron, Terblanche, Boshoff 2008; Quelle: (Theron & Terblanche & Boshoff, 2008)
Die Ergebnisse einer empirischen Studie zur Untersuchung der Relevanz der verschiedenen Faktoren besttigte fr den B2B Bereich die Bedeutung der Faktoren auf die Qualitt der Beziehung zwischen Unternehmen. In der Studie wurde Vertrauen als Hauptfaktor fr die Kundenbeziehungsqualitt und damit als wesentlicher Baustein fr erfolgreiches Beziehungsmanagement herausgearbeitet. (vgl. Theron & Terblanche & Boshoff, 2008 S. 1005) Des Weiteren wurde die wachsende Bedeutung elektronischer Medien als Kommunikationsmittel im B2B bereits 2008 unterstrichen, wenngleich die persnliche Komponente nicht vernachlssigt werden darf. (vgl. Theron & Terblanche & Boshoff, 2008 S. 1005)
36
Ein weiteres konzeptionelles Modell nach Gonzales, Hoffman, Ingram und LaForge beschreibt das Kundenreaktivierungsmanagement und die Bedeutung fr den Beziehungsverkauf: Der Prozess der Kundenreaktivierung basierend auf einer entsprechenden Reaktivierungskultur, Fehleranalyse, Reaktivierungsstrategie, berwachung, Bewertung, Feedback soll zu einer entsprechenden Kundenentwicklung und Verbesserung der finanziellen Situation des jeweiligen Kundengeschftsfalles fhren. (vgl. Gonzales, et al., 2010 S. 224-225)
Abbildung 19 Conceptual Model nach Gonzales, Hoffman, Ingram und LaForge; Quelle: (Gonzales, et al., 2010)
Im Zuge der darauffolgenden empirischen Untersuchung wird die Bedeutung einer Reaktivierungskultur, die Analyse von Dienstleistungsfehlern, die Implementierung einer Reaktivierungsstrategie untermauert. (vgl. Gonzales, et al., 2010 S. 226-227) All diese Anstze bauen auf enge persnliche Beziehungen zwischen MitarbeiterInnen des verkaufenden und kaufenden Unternehmens. Dies besttigt auch eine Studie im Rahmen der Excellence-BarometerForschung hat die `forum!` Marktforschung GmbH in Kooperation mit der Universitt fr Publizistik in Mainz die Rationalitt von Entscheidungsprozessen im B2B Bereich untersucht. 300 Top EntscheiderInnen der Industrie wurden befragt (vgl. Becker, 2011 S. 26) : Kaufentscheidung werden sehr emotional gefllt. Einige Prmissen zur Gestaltung eines objektiven Entscheidungsprozesses sind in der Realitt kuferseitig nur sehr schwer zu realisieren: Die Transparenz der Anbietermrkte lsst sich nicht oder nur mit unzumutbarem ressourcenaufwand herstellen, eine unsystematische Vorgehensweise bei der Auswahl neuer Anbieter ist daher effizienter
37
und erfolgversprechender. Die eigentliche Verhandlungssituation lsst sich kaum normativ gestalten und auch kaum kontrollieren.
Die Differenzierung ber die Produkte beziehungsweise die Leistung funktioniert in hoch entwickelten Investitionsgtermrkten nicht mehr. (vgl. Becker, 2011 S. 27)
Abbildung 20 Aussagen in einer Befragung zum Kaufverhalten von B2B Kunden; Quelle: (Becker, 2011)
Kunden sind bereit fr gute Qualitt und besseren Service einen hheren Preis zu zahlen. Emotionale Bindung spielt im B2B Geschft eine entscheidende Rolle. Die Typologien gem dem `forum!` Modell beschreibt die fr hohe emotionale Bindung zugnglichen Kunden als Fans, Sympathisanten oder Gefangene. Dieser Gruppe gehren nach Einschtzung dieser Studie zumindest 64% der Befragten an. (vgl. Becker, 2011 S. 24-28)
38
Abbildung 21 Verteilung der Kundentypen gem `forum!` Modell der Kundentypologien; Quelle: (Becker, 2011)
Die gegenstndliche Studie besttigt damit dass wichtige Entscheidungen aus dem Bauch gefllt werden. (vgl. Becker, 2011 S. 24-28)
39
3. Forschungsarbeit
Auf Grund beschrnkt vorhandener Forschungsarbeiten zu dieser Fragestellung steht die Sichtung und Bewertung von themenrelevanter Literatur unterschiedlichster Quellen, mit hoher Relevanz fr Unternehmen, im Mittelpunkt meiner Arbeit. 3.1. Literarische Forschung 3.1.1. How to avoid Facebook & Twitter Disasters (Null, 2009) Christopher Null stellt in seinem gleichnamigen Artikel die wichtigsten Tcken bei der Benutzung von sozialen Netzwerken vor: (vgl. Null, 2009 S. 97-103)
Oversharing With the boss (Null, 2009 S. 98) Problem: Eine Mitarbeiter oder eine Mitarbeiterin ist offiziell krank, aber auf `Facebook dokumentiert sie Aktivitten die den damit verbundenen Regelungen widersprechen. Lsungsvorschlag: Integriert man MitarbeiterInnen, Vorgesetzte oder KollegInnen in den Freundeskreis bei `Facebook so empfiehlt er diese in Gruppen zusammenzufassen und entsprechende Zugriffs Berechtigungen fr diese Gruppen zu vergeben. (vgl. Null, 2009 S. 98) Auch KundInnen oder GeschftspartnerInnen sollten nicht alle persnlichen Details einer Mitarbeiters oder Mitarbeiterin kennen. He knows Where You Live (Null, 2009 S. 99) Problem: Exfreunde oder Bekannte die man nicht mehr persnlich Treffen will finden den Wohnort des Accountbesitzer oder der Accountbesitzerin heraus. Lsung: Den Zugriff auf persnliche Daten regelt man mittels der Privatsphre-Einstellungen. (vgl. Null, 2009 S. 99) Dasselbe gilt auch fr aufdringliche GeschftspartnerInnen.
40
The Stalker Problem (Null, 2009 S. 100) Problem: Ein akzeptierter Kontakt hinterlsst nicht akzeptable Nachrichten an der Pinnwand der Accountinhaberin oder belstigt die Accountinhaberin. Lsung: zunchst kann man den Kontakt aus dem eigenen Profil entfernen. Darber hinaus besteht die Mglichkeit unerwnschte Personen zu blockieren bzw. das eigene Profil temporr oder dauerhaft aus der Suche durch Facebook Mitglieder auszuschlieen. Durch Einstellung der Beschrnkung der Auffindbarkeit des eigenen Profils auf `nur Freunde knnen Stalker ebenfalls ausgeschlossen werden. (vgl. Null, 2009 S. 100) Vertrauliche Inhalte, nicht fr die ffentlichkeit bestimmte Inhalte, zwischen der Benutzerin und GeschftspartnerInnen werden unter Umstnden von einer Geschftspartnerin am Profil der Benutzerin gepostet. Too Many Pieces of Flair (Null, 2009 S. 100) Problem: Man akzeptiert zu viele `Geschenke oder andere `Verbindungsanfragen von `Facebook Applikationen/Anwendungen. Damit kommt es hufig zu Belstigungen der eigenen Kontakte mit lstigen und teilweise anstigen Angeboten. Lsung: Anklicken des `Schreibgert / Bearbeiten Icons und Anklicken der Auswahl Èntfernen. Anwendungen, welche die Anwenderin selbst installiert hat muss man im Bereich Ànwendungen entfernen. (vgl. Null, 2009 S. 101) Damit kann es zur Belstigung von GeschftspartnerInnen kommen. Shoulda Been Working (Null, 2009 S. 101) Problem: Die Anwenderin verbringt viel Zeit in einer Spielapplikation von Facebook. Ohne Information postet die Applikation den High Score
41
im Facebook Profil der Anwenderin. Damit ist die missbruchliche Ttigkeit whrend der Arbeitszeit dokumentiert. Konsequenzen durch die ArbeitgeberIn sind damit mglich. Lsung: Deaktivierung der Mglichkeit von Drittanwendungen im Profil der BenutzerIn zu posten. (vgl. Null, 2009 S. 101) Auf KundInnen und GeschftspartnerInnen wirkt es nicht professionell, whrend der Arbeitszeit Spiele zu spielen. Die Ernsthaftigkeit und Zuverlssigkeit kann hier angezweifelt werden. The Tell-Tale Heart (Null, 2009 S. 101) Problem: Man ndert den Beziehungsstatus zu einer Person und lst damit eine missverstndliche Information an die eigenen Kontakte aus. Die EmpngerInnen knnten annehmen man wre auf Beziehungssuche. Lsung: Man kann alle Beitrge vom eigenen Profil lschen. Bewegt man den Cursor ber den zu lschenden Eintrag erscheint ein Feld `Remove. Nach Bettigung dieses Buttons verschwindet der Eintrag von der eigenen Pinwand. (vgl. Null, 2009 S. 101) Missverstndliche, geschftsschdigende oder unangenehme Beitrge haben auf der eigenen Pinwand nichts verloren, sofern sie fr GeschftspartnerInnen zugnglich sind. Smile for the Camera (Null, 2009 S. 101) Problem: Auf `Facebook wird ein Foto verffentlicht, welches die NutzerIn nicht gut trifft, bzw. in einer verfnglichen nicht fr die breite ffentlichkeit bestimmten Art und Weise zeigt. Lsung: Man kann Fotos, welche von anderen NutzerInnen auf Facebook verffentlicht werden und einen selbst abbilden nicht einfach lschen. In diesem Fall empfiehlt es sich die andere NutzerIn freundlich aufzufordern dieses Foto zu entfernen. Eine Verffentlichung solcher Fotos stellt eine Verletzung ihrer
42
Persnlichkeitsrechte dar und erfordert ihre ausdrckliche Zustimmung. Aber man kann den Verweis auf die NutzerIn (`tag) auf Fotos auf denen man selbst markiert ist in den Privatsphre Einstellungen generell deaktivieren oder beim jeweiligen Foto selbst entfernen. (vgl. Null, 2009 S. 101-102) Fr GeschftspartnerInnen knnen zu persnliche Einblicke ins Privatleben irritierend bis verstrend wirken. Youre Not an Advertisement (Null, 2009 S. 102) Problem: Drittanwendungen verwenden den Namen einer NutzerIn als Werbung in Form von Spam an Kontakte der NutzerIn. Lsung: Drittanwendungen keinen Zugriff erlauben. (vgl. Null, 2009 S. 102) Belstigungen von GeschftspartnerInnen durch Drittanwendungen belasten die persnliche Beziehung zu diesen. Spam Central (Null, 2009 S. 102) Problem: `Scammers, `Phishers and `Spammers versenden Nachrichten an `Facebook Freunde. Kriminelle verschaffen sich Zugriff auf Passwort und ùser name. In Folge versendet man ber den so kontrollierten Account links zu sogenannten phising sites URL mit der Hoffnung mehr Accounts bernehmen zu knnen. Lsung: Konventionelle Sicherheits Software hilft hier relativ wenig. Die Empfehlung ist es hier `Gesunden Menschenverstand anzuwenden und sehr sensibel auf ungewhnliche Nachrichten, links oder Einladungen zu reagieren. (vgl. Null, 2009 S. 102) Die Belstigung von GeschftspartnerInnen kann von diesen auch als Belstigung und Nachlssigkeit ausgelegt werden. Linking Twitter with Facebook Can be Trouble (Null, 2009 S. 102) Problem: Die Verknpfung von `Twitter und `Facebook fhrt dazu, dass jede auf `Twitter gepostete Kleinigkeit auch auf `Facebook gepostet wird. Die Kontakte auf `Facebook werden damit in einer fr `Facebook
43
ungewhnlichen Frequenz mit Statusmeldungen bombardiert. Das fhrt unter Umstnden dazu, dass ihre `Facebook Nachrichten von Ihren Kontakten unterdrckt werden. Lsung: berdenken Sie eine Verknpfung von `Facebook und `Twitter bzw. trennen Sie die beiden Anwendungen. (vgl. Null, 2009 S. 102) Aus diesem Artikel lassen sich die folgenden ersten situationsabhngigen Handlungsempfehlungen fr MitarbeiterInnen in sozialen Netzwerken ableiten: Zusammenfassung von Kontakten auf Facebook nach beruflichen Gruppen und Vergabe von entsprechenden Zugriffsberechtigungen fr Gruppen. Sorgfltige Wahl der Privatsphre-Einstellungen. Blockieren der Auffindbarkeit des Profils fr Suchmaschinen und Facebook Mitglieder, welche keine Freunde sind. Kein Akzeptieren oder Besttigen von Geschenken oder Einladungen von Anwendungen. Anwendungen die eigene Kontakte belstigen knnten entfernen. Deaktivierung der Mglichkeit von Drittanwendungen im Profil der BenutzerIn zu posten. Entfernung von geschftsschdigenden, missverstndlichen oder unangenehmen Eintrgen von der eigenen Pinwand. Blockieren der Mglichkeit der Markierung der NutzerIn auf Fotos. Nicht auf verdchtige Nachrichten, `links oder Einladungen von Kontakten reagieren. Es knnte sich um Spam handeln. Trennung der `Twitter und `Facebook Accounts, falls die Frequenz der `Twitter Nachrichten die Facebook Kontakte berfordern knnte.
44
3.1.2. Facebook, Myspace & Co (Zimmer, 2009) Das sterreichische Institut fr angewandte Telekommunikation fhrte im Auftrag der Kammer fr Arbeiter und Angestellte Wien im Mai 2009 eine Untersuchung von Sozialen Netzwerke durch. Das Konzept stammt von Daniela Zimmer, die Durchfhrung erfolgte durch das sterreichische Institut fr angewandte Telekommunikation. Die gegenstndliche Publikation erklrt Soziale Netzwerke und gibt KonsumentInnen Tipps zur Handhabung. (vgl.Zimmer, 2009 S. 1). In Ergnzung zu 3.1.1. empfiehlt die Studie beim Anlegen eines Profiles in einem sozialen Netzwerk unter der Rubrik `Bevor Sie ein Soziales Netzwerk anlegen:
So wenige Daten wie mglich preisgeben Berufliches und Privates zu trennen, zum Beispiel XING fr Berufliches Sichere Passwrter zu verwenden, als Beispiel wird die Methode der Passwortbildung aus ganzen Stzen empfohlen: èin sichere Passwort hat mindestens 8 Zeichen! ergibt das Passwort: èsphm8z
Unterschiedliche NutzerInnen-Namen und Passwrter in jedem Netzwerk, die Nutzung unterschiedlicher Passwrter in unterschiedlichen Netzwerken reduziert bei Missbrauch das Risiko
Vorsicht bei der Nutzung von sozialen Netzwerken ber ffentliche Netze, neben XING verwenden nur wenige soziale Netzwerke entsprechende Verschlsselungen
Nutzungsbestimmungen (AGBs) lesen Virenschutzprogramme verwenden und regelmig aktualisieren
(vgl. Zimmer, 2009 S. 16-17)
45
Unter dem Titel Ùrheberrechte bercksichtigen wird auf die Bestimmungen des Urheberrechtes hingewiesen, insbesondere bei der Verffentlichung von Musik, Fotos, Texten oder Filmen hingewiesen. (vgl. Zimmer, 2009 S. 25) Diesen Aspekt werde ich im folgenden Abschnitt nher beleuchten.
3.1.3. Gesamte Rechtsvorschrift fr Urheberrechtsgesetz (Bundesgesetz, 2011) Gem gegenstndlichem Bundesgesetz wird der Begriff des Werkes definiert und auch auf `Neue und Àlte Medien eingegangen Werke der Literatur und der Kunst <eigentmliche Schpfungen auf den Gebieten der Literatur, der Tonkunst, der bildenden Knste und der Filmkunst. Werke der Literatur <einschlielich Computerprogrammen Werke der bildenden Knste <die Werke der Lichtbildkunst (Lichtbildwerke) Werke der Filmkunst Bearbeitungen Sammelwerke Freie Werke Verffentlichte Werke <sobald es mit Einwilligung des Berechtigten der ffentlichkeit zugnglich gemacht worden ist. Erschienene Werke
(vgl. Bundesgesetz, 2011 S. 1-3) Gem 10(1) ist der Urheber eines Werkes, wer es geschaffen hat. Im Zuge des Gesetzes wird vom Urheberrecht zwischen folgenden Rechten unterschieden: Verwertungsrechte Vervielfltigungsrecht Verbreitungsrecht Vermietung und Verleihen Folgerecht Senderecht Vortrags-, Auffhrungs- und Vorfhrungsrecht Zurverfgungstellungsrecht
46
Ein Zuwiderhandeln rumt dem Urheberrechtsinhaber bestimmte Rechte zur Durchsetzung seiner Ansprche ein Unterlassungsanspruch Beseitigungsanspruch Urteilsverffentlichung Anspruch auf angemessenes Entgelt Anspruch auf Schadenersatz und Herausgabe des Gewinnes Anspruch auf Rechnungslegung Anspruch auf Auskunft Einstweilige Verfgungen Haftung des Inhabers eines Unternehmens 88.(1) Wird der einen Anspruch auf angemessenes Entgelt (86) begrndende Eingriff im Betrieb eines Unternehmens von einem Bediensteten oder Beauftragten begangen, so trifft die Pflicht zur Zahlung des Entgeltes den Inhaber des Unternehmens. (2) Hat ein Bediensteter oder Beauftragter im Betrieb eines Unternehmens diesem Gesetz zuwidergehandelt, so haftet, unbeschadet einer allflligen Ersatzpflicht dieser Personen, der Inhaber des Unternehmens fr den Ersatz des dadurch verursachten Schadens (87, Absatz 1 bis 3), wenn ihm die Zuwiderhandlung bekannt war oder bekannt sein musste. Auch trifft ihn in einem solchen Falle die Pflicht zur Herausgabe des Gewinnes nach 87, Absatz 4. (vgl. Bundesgesetz, 2011 S. 33) Soziale Netzwerke bergen zahlreiche Mglichkeiten zur Urheberrechtsverletzung: D.h. Unternehmen mssen geeignete Vorkehrungen treffen um durch die Handlungen ihrer MitarbeiterInnen in Sozialen Netzwerken - fr keine Urheberrechtsverletzungen haftbar gemacht werden knnen. Dafr muss die Kenntnis der Grundlagen des Urheberrechtes bei Mitarbeiterinnen sichergestellt werden
47
3.1.4. Safer Surfing (saferinternet.at, 2011) und Internet sicher nutzen (ispa, 2011) Tipps & Tricks zum sicheren Umgang mit dem Internet, entstand in Kooperation zwischen ÌAT sterreichisches Institut fr angewandte Telekommunikation und ÌSPA Internet Service Providers Austria Verband der sterreichischen Internet-Anbieter finanziert durch Mitteln des `bmwfi - Bundesministerium fr Wirtschaft, Familie und Jugend und der Èuropischen Union. (vgl. saferinternet.at, 2011 S. 1-3) Im Kapitel So surfst Du sicher gibt der Ratgeber zunchst 10 allgemeine Tipps zum Surfen im Internet: 1. Auch im Web gibt es Regeln 2. Schtze deine Privatsphre 3. Nicht alles ist wahr 4. Urheberrechte beachten 5. Das Recht am eigenen Bild 6. Quellenangaben nicht vergessen 7. Umsonst gibts gar nichts 8. Online Freunde niemals alleine Treffen 9. Computer schtzen 10. Wenn Dir etwas komisch vorkommt sag es! (vgl. saferinternet.at, 2011 S. 6-7) Zusammenfassend kann man daraus den folgenden Schluss ableiten und gem der Definition zu Punkt 1 zitieren: Alles, was man im `richtigen Leben nicht tun sollte oder nicht tun darf, soll man auch im Internet bleiben lassen (saferinternet.at, 2011 S. 6) Im Internet bewegt man sich in einem neuen Forum, wie in einem fremden Land. In bestehenden Sozialen Netzwerken gibt es oft eigene Benimmregeln. (vgl. saferinternet.at, 2011 S. 10) Im `richtigen Leben nennt man die Fhigkeit mit fremden Kulturen umzugehen vereinfacht ìnterkulturelle Kompetenz, dieselbe Fhigkeiten sind auch beim Eintritt in fremden Foren, Communities oder Netzwerken notwendig.
48
Dazu ist es hilfreich sich mit dem Kommunikationswissenschaftler Blumer und dessen 3 Prmissen in Zusammenhang mit dem Symbolischen Interaktionismus (vgl. Burkart, 2002 S. 432) auseinanderzusetzen: 1. Menschen handeln den `Dingen ihrer Umwelt (Personen, Gegenstnden, Zustnden, Ereignissen, Ideen <etc.) gegenber auf der Grundlage der Bedeutungen, welche diese Dinge fr sie besitzen, 2. Die Bedeutung dieser `Dinge entsteht in bzw. wird abgeleitet aus den sozialen Interaktionen, die Menschen miteinander eingehen. 3. Diese Bedeutungen werden dann in einem interpretativen Prozess im Zuge der Auseinandersetzung mit diesen `Dingen bentzt und gegebenenfalls auch wieder verndert (Blumer, 1973 S. 80-146) Aktivitten in fremden Netzwerken bedingen damit die Fhigkeit Communities und ihren symbolischen Interaktionismus zunchst zu verstehen und in Folge anzuwenden. Oft beschreiben `community-guidelines oder die sogenannte `Netiquette , die Kurzform fr Network Etiquette, die wichtigsten Spielregeln. (vgl. saferinternet.at, 2011 S. 10). Ein Versto gegen diese Spielregel kann Reputationsschden fr das Unternehmen verursachen. MitarbeiterInnen knnen sich speziell in Communities schnell strafbar machen. Einige Delikte seien hier explizit aufgefhrt: Beleidigung ble Nachrede Verleumdung
(vgl. saferinternet.at, 2011 S. 16-17) Besonders werden 3 Punkte fr den Umgang mit persnlichen Daten hervorgehoben: Das Internet vergisst nicht Der erste Eindruck zhlt Ein Paradies fr Datensammler
(vgl. saferinternet.at, 2011 S. 37) Haben MitarbeiterInnen sogenannte `Location Based Services oder `Check-In Services aktiviert ist der Aufenthaltsort fr z.B. Facebook Kontakte sichtbar. (vgl. ispa, 2011 S. 38). Ist die Mitarbeiterin mit
49
GeschftspartnerInnen vernetzt so sehen diese den Aufenthaltsort und die Aktivitten der Mitarbeiterin. Dies kann sich fr den Unternehmenserfolg negativ auswirken. Ich zitiere hier Schranner Beschaffen Sie sich die wichtigen Informationen < Professionelle Verhandler bereiten sich intensiv auf eine Verhandlung vor. Wissen ist Macht. < Bereits vor der Verhandlung bieten sich gute Mglichkeiten zur Informationsgewinnung: Internet < MitarbeiterInnen befragen (Schranner, 2002 S. 32-33) Er fordert auch Lassen Sie Ihren Verhandlungspartner beobachten (Schranner, 2002 S. 34) Die Nutzung von `Location based Services erleichtert der Geschftsparterin die Verhandlungsvorbereitung, das Social Engineering und die geeignete `Rapport- oder engl. `pacing- Taktik. Unternehmen mssen sicher stellen dass MitarbeiterInnen professionell Kommunizieren (online und offline) die rechtlichen Rahmenbedingungen fr die Begehung der Delikte Beleidigung, ble Nachrede und Verleumdung kennen. die Konsequenzen der Weitergabe vertraulicher Geschftsdaten oder von Geschftsgeheimnissen kennen symbolischen Interaktionismus in den verschieden relevanten Netzwerken verstehen und anwenden verhandlungsrelevante und datenschutzrelevante Informationen kennen und schtzen die Nutzung von `location based oder `Check-In Services unterbinden solange es keine risikoevaluierte Unternehmensstrategie diesbezglich gibt
50
3.1.5. Arbeitsrecht fr die betriebliche Praxis (Mayrhofer, 2011) Um die allgemeinen Pflichten und Verantwortlichkeiten der Mitarbeiterin eines Unternehmens auch bei der Nutzung von Sozialen Netzwerken anzuwenden, mssen wir diese nher untersuchen: Die wichtigsten Rechtsgrundlagen fr Arbeitsverhltnisse in sterreich sind Angestelltengesetz (wenn Angestellter) und sonstige arbeitsrechtliche Vorschriften Kollektivvertrag Betriebsvereinbarung Einzelvereinbarungen 1151-1164 ABGB (Allgemeine Brgerliche Gesetzbuch)
(vgl. Mayrhofer, 2011 S. 33) Darber hinaus ist das seit 2004 gltige GIBG (`Gleichbehandlungsgesetz) zu bercksichtigen. (vgl. Mayrhofer, 2011 S. 51). Durch die Aktivitten von MitarbeiterInnen in Soziale Netzwerken kann es zu Allgemeinen Belstigungen und sexuellen Belstigungen (Mayrhofer, 2011 S. 53) durch den Arbeitgeber oder Dritte kommen. In Folge kann dies zu Schadenersatzansprchen oder Reputationsschden fr das Unternehmen fhren. ArbeitnehmerInnen sind verpflichtet, sobald die entsprechenden Rechtsgrundlagen eingehalten werden, arbeitsbezogene Weisungen des Arbeitgebers zu befolgen. Eine beharrliche Weigerung der ArbeitnehmerInnen zur Befolgung dieser Anordnung oder Weisung kann einen Entlassungsgrund darstellen. (vgl. Mayrhofer, 2011 S. 57-58) Damit erhalten Social Media Richtlinien als Weisung oder Anordnung eine entsprechende Rechtsbasis. Die Arbeitnehmerin ist zu Verschwiegenheit von Geschfts- und Betriebsgeheimnissen verpflichtet. Eine Verletzung dieser Pflicht kann einen Entlassungsgrund darstellen. (vgl. Mayrhofer, 2011 S. 59)
51
Entlassungsgrnde fr angestellte MitarbeiterInnen knnen sich durch Aktivitten in Sozialen Netzwerken darber hinaus ergeben, dass die Mitarbeiterin ohne rechtmigen Hinderungsgrund durch lngere Zeit die Arbeitsleistung unterlsst oder sich gerechtfertigten Anordnungen des Arbeitgebers nicht fgt oder versucht, andere MitarbeiterInnen zum Ungehorsam gegen den Arbeitgeber zu verleiten Ttlichkeiten, Verletzungen der Sittlichkeit oder erhebliche Ehrverletzungen gegen den Arbeitgeber, dessen Stellvertreter, deren Angehrige oder andere MitarbeiterInnen desselben Betriebes begeht. (vgl. Mayrhofer, 2011 S. 219) Umgekehrt knnen sich aus Aktivitten von anderen MitarbeiterInnen oder des Arbeitgebers im Sozialen Netzwerk Grnde fr einen berechtigten vorzeitigen Austritt einer Mitarbeiterin ergeben: Wenn sie ihre Arbeit nicht ohne Schaden fr Gesundheit und Sittlichkeit fortsetzen kann, der Arbeitgeber nicht den ihm obliegenden Verpflichtungen zum Schutz des Lebens, der Gesundheit oder der Sittlichkeit nachkommt Oder der Arbeitgeber sich Ttlichkeiten, Verletzungen der Sittlichkeit oder erheblicher Ehrverletzungen gegenber der Mitarbeiterin oder deren Angehrige zu Schulde kommen lsst. (vgl. Mayrhofer, 2011 S. 234) Diesbezgliche Entscheidungen und Vereinbarungen fallen auch in das Mitwirkungsrecht des Betriebsrates. (vgl. Mayrhofer, 2011 S. 318) Damit ergeben sich folgende Handlungsfelder: Sicherstellung und Aufklrung der MitarbeiterInnen ber die Rechtsgrundlagen und die daraus resultierenden Pflichten Erarbeitung und Vereinbarung einer Social Media Richtlinie als Anordnung oder Weisung Geeignete Belehrung neueintretender MitarbeiterInnen Einbeziehung des Betriebsrates berwachung und Management der Einhaltung von Social Media Richtlinien in der betrieblichen Praxis
52
3.1.6. Building A World-Class Compliance Program (Biegelman, 2008) Darber hinaus ergeben sich aus Compliance und Ethik Programmen weitere Verpflichtungen. Diese Verpflichtungen kann sich ein Unternehmen mittels eines `CSR (Corporate Social Responsibility) Programmes selbst auferlegen oder bekommt es von regulatorischer Seite auferlegt. Beispiele dafr sind zum Beispiel in den Vereinigten Staaten die SEC, DOI, Federal Sentencing Guidelines, The McNulty Memo, Criminal and civil prosecutions. (vgl. Biegelman, 2008 S. 14)
Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008)
Daraus ergeben sich fr manche Unternehmen spezifische Zusatzerfordernisse: Bercksichtigung von regulatorischen Erfordernissen fr die Verffentlichung von Unternehmensinformationen in brsennotierten oder selbstverpflichteten Unternehmen bei der Erstellung von Social Media Richtlinien.
53
3.1.7. Unsere Kommunikation der Zukunft (Scoble, et al., 2007) Der Verfasser zitiert zu Beginn des Kapitels `Wie man gemobbt wird Philip Kotler: Gutes Marketing beruht teilweise auf dem Befolgen der Regeln. Groartiges Marketing beruht hufig auf dem Bruch mit den Regeln. (Scoble, et al., 2007 S. 257) Um jedoch Irritationen zu vermeiden empfiehlt er Treffen Sie keine Aussagen, die nicht zum PR Image passen. Lassen Sie keine finanziellen oder anderen vertraulichen Informationen durchsickern Stren Sie nicht den Arbeitsfrieden, indem Sie Kollegen und Vorgesetzte verrgern Verffentlichen Sie vorab keine Neuigkeiten, das bedeutet unerwartete Mehrarbeit fr das PR-Team Waschen Sie keine schmutzige Wsche Schaffen Sie keine rechtlichen Verpflichtungen Beschdigen Sie nicht das Verhltnis Ihres Unternehmens zu Partnern, Wettbewerbern oder anderen Instanzen, die nachhaltige Folgen fr ihr Unternehmen haben knnten.
(vgl. Scoble, et al., 2007 S. 259) Sollten diese Verhaltensgrundstze nicht bereits Bestandteil des Ùnternehmensleitbildes oder des `Code of Conduct sein, so lassen sich diese auch in die Social Media Richtlinien integrieren. Daraus empfiehlt sich die Integration von kooperationsfokussierten Kommunikationsrichtlinien und Handlungsbefugnissen in die Social Media Richtlinien.
54
3.1.8. Gefahren durch Wirtschafts- und Industriespionage fr die sterreichische Wirtschaft (BMI, 2010) Das BMI (Bundesministerium fr Inneres) hat in Kooperation mit der FH Campus Wien und Untersttzung der WKO (Wirtschaftskammer sterreich) und IV (Industriellenvereinigung) eine Studie zur Bedrohunglage in sterreichischen Unternehmen durchgefhrt: 31% der befragten sterreichischen Unternehmen geben an bereits Opfer von Wirtschafts- und Industriespionage geworden zu sein. (vgl. BMI, 2010 S. 4). Die Zahlen der Studie zeigen, dass das grte Risiko im Bereich Wirtschaftsund Industriespionage von den eigenen MitarbeiterInnen ausgeht. (vgl. BMI, 2010 S. 8) Social Engineering is a methodology that allows an attacker to bypass technical controls by attacking the human element in an organization. There are many techniques commonly used in social engineering including but not limited to Trojan and phishing email messages, impersonation, persuasion, bribery, shoulder surfing, and dumpster diving. Hackers rely on social engineering attacks to bypass technical controls by focusing on the human factors. Social engineers often exploit the natural tendency people have toward trusting others who seem likeable or credible, deferring to authority or need to acquiesce to social conformity. (Applegate, 2009 S. 40) Schulung der MitarbeiterInnen auf das Erkennen und Handeln bei Social Engineering Attacken.
55
3.1.9. Infoblatt Elektronische Abwehr (Abwehramt, 2006) Das Abwehramt des Bundesministeriums fr Landesverteidigung erklrt das Entstehen einer Gefahr/Bedrohung durch Menschen aus folgenden Grnden: Fehlendes Bewusstsein Unkenntnis Nachlssigkeit Bewusste Schdigung durch unehrliche oder verrgerte MitarbeiterInnen Spionage
(vgl. Abwehramt, 2006 S. 5) Als Angreifer werden Staatliche Nachrichtendienste Konfliktparteien Wirtschaftsunternehmen Organisierte Kriminalitt Staatsgefhrdende Organisationen Private Informationsdienste oder Detektive und Medienvertreter
genannt. (vgl. Abwehramt, 2006 S. 12) Dieses Bedrohungsbild lsst sich durchaus auch auf die Privatwirtschaft anwenden (siehe 2.1.). Unternehmen in sensiblen Industrien mit hoher Relevanz fr Angreifer sollten individuelle Corporate Security bzw. InformationssicherheitsRisk- Assessments durchfhren bevor Social Media Plattformen durch MitarbeiterInnen benutzt werden drfen.
56
3.1.10. Sophos Security report 2011 (Sophos, 2011) By preying on our curiosity, cybercriminals are able to use psychological traps to profit from unsuspecting users of technology (Sophos, 2011 S. 2) Im Kapitel Ìdentifying the threats werden aktuelle Bedrohungen beschrieben: Ein groes Risiko stellt derzeit `Fake anti-virus softwaredar. Vgl. (Sophos, 2011 S. 5) Andere Angreifer nutzen Ìnternet marketing techniques , welche von der Industrie zur Optimierung der Suchmaschinenergebnisse verwendet werden (SEO). (vgl. Sophos, 2011 S. 6) Im Bereich `Social engineering techniques on social networks werden verschieden aktuelle Trends beschrieben wie zum Beispiel `clickjacking auch ÙI redressing genannt. Unsichtbare layer berlagern sichtbare Informationen und holen sich damit den `click ab. Hier wird das Standardarsenal der Social Engineering Techniken verwendet: Kompromittierende Bilder von Stars, wichtige Nachrichtenmeldungen, Unterhaltungsevents, Geschichten ber Selbstmorde, Haiattacken, usw. (vgl. Sophos, 2011 S. 7) Eine abgewandelte Form von `clickjacking ist die auf Facebook verwendete Form das sogenannte `likejacking. Dabei wird die like Funktion von Facebook genutzt. Darber hinaus hat der `Survey scam hohe Bedeutung. Bei dieser Form des Angriffes erlaubt die Benutzerin aus Interesse an einer Drittanwendung - den Zugriff auf die persnlichen Daten. In Folge versendet der Angreifer Mails an die Kontakte der BenutzerIn. Durch sogenannte Àffiliate Marketing Systeme verdient der Angreifer Geld und die Kontakte der BenutzerIn werden belstigt. (vgl. Sophos, 2011 S. 8) Sophos hebt einige Punkte in einem 10 Punkte Ratgeber hervor: Sophos appelliert in diesem Ratgeber an die Erfahrung und den Verstand der Benutzerin bei der Bewertung von Informationen: Prfe auf Wahrscheinlichkeit das etwas wahr ist Wie wahrscheinlich ist das nur ich der Empfnger dieser Nachricht bin?
57
Was schn und attraktiv ist nicht zwingend wahr. Sei geduldig. Viele Benutzerinnen klicken viel zu schnell auf ein interessantes link. Bevor die Identitt des Gegenbers nicht klar ist darf man keinesfalls persnlichen Daten oder Firmeninformationen bermitteln
Mittels email drfen keine persnlichen Daten oder Firmendaten bermittelt werden. Solche Anforderungen von AnbieterInnen sind hchst verdchtig.
Falls man nicht sicher ist ob ein email vom richtigen Absender kommt sollte man unbedingt die Richtigkeit durch direkte Kontaktaufnahme berprfen. Die Kontaktinformationen des Mails drfen dafr nicht herangezogen werden. Man muss sich die Kontaktinformationen selbst beschaffen.
berprfen Sie doppelt die URLs von Webseiten die Sie besuchen, einige `phising websites sehen dem Original tuschend hnlich aber unterscheiden sich in einem kleinen Detail in der URL.
Wenn man der Sicherheit einer Website nicht vertraut, sollte man an diese Website keine Informationen bermitteln. Seien Sie misstrauisch bei unerwnschten Telefonanrufen oder Emails in denen Sie nach Informationen ber MitarbeiterInnen gefragt werden.
(vgl. Sophos, 2011 S. 8) Aber auch klassische Sicherheitsprobleme, wie Passwrter spielen eine groe Rolle: Despite the increasing sophistication and availability of alternatives, simple passwords remain the most common form of user authentication. Many online sites and services continue to rely on passwords alone to prove that the person interacting with them is who they claim to be. Weaknesses in this approach represent a serious hole in security. < Far too many people use simple and easily-guessed passwords like `123456, `password and `qwerty (Sophos, 2011 S. 14-15) Eine der groen Herausforderungen der nchsten Jahre liegt laut Sophos beim Mobilen Endgert und Smartphone: According to Gartner analysts, òne in six people will have access to a high-tech mobile device by the end of 2010. In the last few years, weve
58
witnessed a radical change in the way we access and use the Internet. The rapid upswing in sophistication of mobile technology resulted in a swift change in the way we provide mobile content and interact with it. However, this change brings with it a wealth of new problems for security. In our new, always-connected age, maintaining the integrity and privacy of networks, business data and personal information is increasingly important and difficult. (Sophos, 2011 S. 16) `Facebook,` XING und `LinkedIn bieten sowohl ìPhone als auch Àndroid Apps (Applikationen) an. Damit werden von vielen BenutzerInnen smtliche Kontakte in den drei Netzwerken am Mobiltelefon miteinander verlinkt und abgespeichert. Facebook, by far the largest social networking system and the most targeted by cybercriminals, has a major problem in the form of its app system. Any user can create an application, with a wide range of powers to interact with data stored on user pages and cross-site messaging systems, and these applications, like survey scams, can then be installed and run on any users page. (Sophos, 2011 S. 23)
Abbildung 23 Facebook app verification demand and privacy concerns; Quelle: (Sophos, 2011)
Sophos untermauert die Unsicherheit von Applikationen in `Facebook im Oktober 2010 mit einer Umfrage: Auf die Frage ob Facebook dem Beispiel von Apple folgen soll und nur verifizierte Applikationen den Zutritt gewhren soll antworten ber 95% mit ja. (vgl. Sophos, 2011 S. 46) Die Wichtigkeit der Privatsphreeinstellungen bei Facebook wurde in der Umfrage mittels der Frage `Do you think you will quit Facebook over
59
privacy concerns von 76% mit `das habe ich bereits, `wahrscheinlich deswegen oder `mglicherweise beantwortet. (vgl. Sophos, 2011 S. 46) Theres still a long way to go. Too many people are too willing share anything they can think of on their social networking pages, with no thought of the possible consequences. And many people unthinkingly click on an email attachment or link because it comes in from a friend or colleagues email address. We need to balance caution and sensible precautions with usability. Users need to be able to trust that online purchases and other payments will be safe and secure, that their banks will look after their money and that their purchases will reach them. Without this trust, we would be afraid to communicate or conduct any transaction online. Yet, as Ben Franklins old adage says, Àn ounce of prevention is worth a pound of cure. (Sophos, 2011 S. 46) Die Sensibilisierung und Ausbildung der BenutzerInnen von Sozialen Netzwerken reduziert demnach die Kosten fr die Abwehr von Angriffen massiv. the bad guys are focusing more and more on social engineering tricks and social sites to find and exploit new victims (Sophos, 2011 S. 48) Ergnzen und przisieren wir auf Basis der Erkenntnisse des Sophos Reports: Vermittlung und berprfung des Problembewusstseins und Wissens der MitarbeiterInnen in Bezug auf die aktuellen Bedrohungen in Sozialen Netzwerken sicheres Passwortmanagement im Bereich Sozialer Medien Sicherheitsbedrohungen durch die Nutzungen der Android und iPhone Apps auf Mobilen Endgerten Social Engineering Fallen
Neu auftauchende Sicherheitsrisiken durch Mobile Endgerte, Social Media Applikationen und Privatsphre Einstellungen mssen frhzeitig erkannt laufend bewertet werden
60
3.1.11. Implementing Solutions to Social Medias Security Risks (Security Directors Report, 2010) Die Gliederung einer Social Media Policy knnte sich wie folgt gliedern: personal use in the workplace (whether it's allowed, what's appropriate, and nondisclosure of business-related information); personal use outside the workplace (posting of business-related information, disclaimers if identifying employer, dangers from posting too much personal info); and business use (if it's allowed, approval process for using it, scope of information that can be discussed, and disallowed activities, like installation of applications). (Security Directors Report, 2010 S. 6)
Die Unterscheidung zwischen persnlicher Nutzung am Arbeitsplatz, persnliche Nutzung auerhalb des Arbeitsplatzes und beruflicher Nutzung hilft bei der differenzierten Betrachtung.
3.1.12. Cisco 2010 Annual Security Report (Cisco, 2010) Im September 2010 wurden weltweit spam emails von LinkedIn versandt, welche geflschte Erinnerungsnachrichten enthielten. Wenn die Benutzerin die angegebenen `links anklickte installierte man eine `Zeus Datendiebstahls Software die auf persnliche Bankinformationen zugreift. Am Tag des Versandes dieser SPAM Email kam es zum dahin bisher grten Versand von SPAM weltweit. 24% des weltweiten SPAMs betrafen die geflschte LinkedIn Nachricht. (vgl. Cisco, 2010 S. 15)
Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010)

61
Auch Cisco verffentlichte 2010 Tipps zur Vermeidung von Social Engineering Angriffen. Die 7 tdlichen Schwchen: Sex Appeal (Sexuelle Anziehungskraft; <masquerading as an attractive men or women) Greed (Gier; <too good to be true) Vanity (Eitelkeit; <the victim has been chosen for a special offer) Trust (Vertrauen; <siehe LinkedIn Email) Sloth (Faulheit; <its easy to click on a link, instead of calling the bank) Compassion (Mitgefhl; <somebody says he is stranded somewhere and needs money) Urgency (Dringlichkeit; <act now < time is running out)
(vgl. Cisco, 2010 S. 19) Die Sensibilisierung fr die Problematik Social Engineering sollte mglichst eindrucksvoll erfolgen. Cisco beschreibt die erfolgreiche `public awarness Kampagne der National Cyber Security Alliance: `Stop.Think.Connect.
Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011)
Auch geschftliche Netzwerke wie XING oder LinkedIn knnen Opfer von Angriffen werden. Emotionen sind die Grundlagen fr Social Engineering Angriffe. Emotional sollte auch die Sensibilisierung der MitarbeiterInnen sein.
62
3.1.13. Industriespionage 2.0 Soziale Netzwerke und Ihre Auswirkungen auf die Firmensicherheit (Poller, 2008) Das Fraunhofer Institut fr Sichere Informationstechnologie (SIT) fasst in diesem Bericht eine Studie im Zeitraum Mrz bis August 2008 zusammen. Ergnzend zu dem bisherigen Ergebnisse findet sich hier eine interessante Zusammenfassung zu den Mglichkeiten der Einflussnahme durch Arbeitgeber. (vgl. Poller, 2008 S. 12) Diese Fragestellung hat auch heute noch ihre Berechtigung bei der Definition von Social Media Richtlinien. Im Rahmen eines Social Media Richtlinie sollte definiert werden, welche firmenbezogenen Daten drfen eingegeben werden? welche Zugriffskontrollen sind fr bestimmte Daten zu konfigurieren? (geschlossene Gruppen) welche Daten drfen aus der Plattform empfangen werden? (Beschrnkungen mglich soweit Dienstrechner oder Firmen Smartphone), Bsp. Synchronisierung von Outlook mit XING oder LinkedIn welche dienstlichen Vorgnge drfen ber die Plattform abgewickelt werden? Plattformspezifische Einschrnkungen? Problem der Authentizitt von Kommunikations- und InteraktionspartnerInnen? (vgl. Poller, 2008)
63
3.1.14. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World (Haid, 2010) In ihrem Artikel beschreibt Amy E. Haid besondere Herausforderungen bei der Nutzung von Social Media unter Bercksichtigung der FINRA (Financial Industry Regulatory Authority). Mitgliedsfirmen mssen gem der FINRA Regel 07-59 die elektronische Kommunikation von Mitgliedsfirmen berprfen und berwachen. Social Networking Seiten wie `Facebook werden seitens FINRA als statisch und interaktiv klassifiziert. Die berwachung von statischen Inhalten folgt klaren Regeln (Begutachtung vor Verffentlichung und Speicherung bei FINRA<). Bei dynamischen interaktiven Inhalten wie `Facebook, `LinkedIn und `Twitter ist es unverhltnismig komplexer sich diesen klaren Regeln anzupassen. (vgl. Haid, 2010 S. 1-2) Deshalb gibt FINRA spezifische Empfehlungen fr die Finanzwirtschaft: If brokers and advisers venture to provide recommendations and advice to customers via social media tools, they should exercise extreme caution to: (1) Adequately obtain complete customer information; (2) Dispense recommendations and advice to that customer alone (if possible, attempting to prevent it from being unintentionally shared with additional persons via the brokers or advisers homepage and privacy settings); (3) Include all required disclosures; and (4) Fully comply with requirements to document and retain all information relevant to the communications. (Haid, 2010 S. 4) Eine Aufzhlung der wichtigsten Inhalte einer Social Network Guideline fr die Finanzwirtschaft ist sehr stark rechtlich geprgt: Brand use compliance; Intellectual property; Privacy; Anti-money laundering;
64
Corporate disclosures; Jurisdictional limitations for different licenses; Prior approval for posts; Use of approved templates or canned communications; Limiting or prohibiting investment related communication; Disclosing site use to supervisor/compliance; Prohibiting use for securities-related purposes; and Training requirements for social media users. (vgl. Haid, 2010 S. 6) Daraus ergibt sich: Informationspflichten gem Konsumentenschutzgesetz, Finanzmarktgesetzen oder andere Beratungsverpflichtungen mssen durch geeignete Dokumentation auch in Sozialen Netzwerken sichergestellt werden. Die Einhaltung von branchenspezifische Gesetzen und Richtlinien muss in den Social Media Richtlinien sorgfltig und rechtsverbindlich bercksichtigt werden.
3.1.15. 10 THINGS you should know now about. SOCIAL MEDIA SECURITY (Reisinger, 2009) Don Reisinger bringt es auf den Punkt UNVEILED THREATS - The threat of outbreaks coming from social networks is real. Without some sort of corporate policy and safeguards in place, sensitive data can leak out through social networks. (Reisinger, 2009 S. 1) Social Media Unternehmensrichtlinien und Sicherheitsmanahmen sind bei der Nutzung von Sozialen Netzwerken notwendig um den Verlust sensibler Daten zu verhindern.
65
3.1.16. Informationstechnologie Sicherheitstechnik NORM ISO/IEC ISO 27001 (ON sterreichisches Normungsinstitut, 2008) Diese Internationale Norm wurde entwickelt, um ein Modell fr die Einrichtung, die Umsetzung, den Betrieb, die berwachung, die berprfung, die Instandhaltung und die Verbesserung eines Informationssicherheits-Managementsystems (ISMS) bereitzustellen. Die Einfhrung eines ISMS sollte eine strategische Entscheidung fr eine Organisation sein. Die Gestaltung und Umsetzung eines ISMS hngen von den Bedrfnissen und Zielen, Sicherheitsanforderungen, eingesetzten Verfahren sowie Gre und Struktur der Organisation ab. Erwartungsgem ndern sich diese Faktoren und die sie untersttzenden Systeme im Laufe der Zeit. Es wird daher angenommen, dass die Umsetzung des ISMS den Bedrfnissen der Organisation angepasst wird, zB erfordert eine einfache Situation auch eine einfache ISMS-Lsung. Diese Internationale Norm kann von beteiligten Internen und Externen verwendet werden, um zu bewerten, inwieweit eine Organisation die Anforderungen erfllt. (ON sterreichisches Normungsinstitut, 2008 S. 5) Die gegenstndliche Norm befasst sich ganzheitlich mit dem Schutz von Information in Unternehmen. Die gegenstndliche Norm definiert zunchst Begriffe wie Vermgenswert, Verfgbarkeit, Vertraulichkeit, Informationssicherheit, Informationssicherheits-Ereignis, Informationssicherheits-Vorfall, Informationssicherheits-Managementsystem (ISMS), Integritt, Restrisiko, Risikoakzeptanz, Risikoanalyse, Risikobewertung, Risikoevaluierung, Risikomanagement, Risikobehandlung und Erklrungen zur Anwendbarkeit. (vgl. ON sterreichisches Normungsinstitut, 2008 S. 8) Die gegenstndliche Arbeit befasst sich im Sinne dieser Definitionen mit: Bedrohungen fr Vermgenswerte, durch die Verfgbarkeit und Anwendung von Sozialen Netzwerken wie Facebook, XING und LinkedIn - im persnlichen Arbeitsumfeld und Privatbereich von MitarbeiterInnen - in Unternehmen, welche im B2B Geschft ttig sind, sowie daraus resultierende allgemeine ISMS - Handlungsfelder fr Unternehmen.
66
Unternehmen die ein ISMS einrichten mchten oder bereits eingefhrt haben bentigen Kenntnis ber potentielle Bedrohungen fr Vermgenswerte. Im Rahmen der Identifizierung der Risiken ist die Identifizierung der Bedrohung fr diese organisationseigenen Vermgenswerte (ON sterreichisches Normungsinstitut, 2008 S. 11) sowie die Identifizierung der Schwachstellen, die durch diese Bedrohung ausgenutzt werden knnten; < (ON sterreichisches Normungsinstitut, 2008 S. 11) ein wesentlicher Teil der Arbeit.
Zahlreiche Manahmenziele und Manahmen der ISO/IEC 27001 werden durch eine Social Media Richtlinie berhrt bzw. mssen von dieser bercksichtigt werden (vgl. ON sterreichisches Normungsinstitut, 2008 S. 20-36): Dokument zur Informationssicherheit-Politik mssen unter Umstnden in der Enterprise 2.0 adaptiert werden. Die berprfung der Informationssicherheits-Politik muss bei der Nutzung immer tglich neuer Web Applikationen, Mobiler Endgerte durch MitarbeiterInnen praktikabel geregelt werden. Das Engagement des Managements fr Informationssicherheit sollte sich durch Untersttzung der Verantwortlichen durch Vorbildwirkung manifestieren. Die Koordination der Informationssicherheit beim Umgang mit Sozialen Medien bedingt entsprechende Kompetenzen in diesem Bereich, die Zuweisung der Verantwortlichkeiten der Informationssicherheit fr im Fremdbesitz bzw. Fremdeinfluss befindliche Web 2.0 Applikationen bedingt vor allem sehr viel Verantwortung bei der Benutzerin. Der Genehmigungsprozess fr informationsverarbeitende Einrichtungen wird bei der Nutzung bestimmter Sozialer Netzwerke, Mobile Apps gesondert zu regeln sein. Vertraulichkeits-Vereinbarungen in Dienstvertrge mssen ggf. adaptiert werden, bzw. Ergnzungen vereinbart werden. Gute Kontakte zu Behrden (Bundeskriminalamt) und Kontakte zu speziellen Interessensgruppen (ispa, saferinternet, Google, Facebook,
67
XING, LinkedIn) ermglichen schnelle Reaktionen auf Angriffe oder Missbrauch. Die unabhngige berprfung der Informationssicherheit durch externe Profis ist auch bei der Nutzung von sozialen Netzwerken zu empfehlen. Die Identifizierung von Risiken in Zusammenhang mit Externen kann durch Geheimhaltungsvereinbarungen mit Schadensersatzanspruch und ausschlielicher Beauftragung von sicherheitsberprften gut beleumundeten Unternehmen vereinfacht werden. Das Adressieren von Sicherheit im Umgang mit Kunden und die Sicherheit in Vereinbarungen mit Dritten haben vor allem mit Bewusstsein bei MitarbeiterInnen zu tun. Inventar, Eigentum und die zulssige Nutzung der Vermgenswerte z.B. Unternehmensprofile in Sozialen Netzwerken, Medien des Unternehmens, MitarbeiterInnen Fotos o.. ist in der Praxis auch sehr stark vom Verhalten der einzelnen Mitarbeiterin abhngig. Die berprfung von MitarbeiterInnen vor Einstellung ins Unternehmen sollte um einen Dimension Social Media erweitert werden und die Zustimmung der Mitarbeiterin zu Beschftigungsbedingungen mit verbindlichen Social Media Richtlinien sind vor Einstellung einzuholen. Die Verantwortlichkeiten des Managements fr die Einhaltung der Richtlinien ist klar zu regeln. Das Bewusstsein sowie Ausbildung und Schulung fr Informationssicherheit und den Umgang mit Sozialen Medien im Web 2.0 muss seitens der Unternehmen sichergestellt werden. Zeitgeme Disziplinarverfahren mit einem geeigneten Eskalationsstufenmodell bei Versten sollten als Konsequenz bei Zuwiderhandeln konsequent umgesetzt werden. Die Verantwortlichkeiten bei der Beendigung der Beschftigung mssen entsprechend adaptiert werden, insbesondere ist bei der Rckgabe von Vermgenswerten auch die bergabe des Zuganges und der Verfgung ber immaterielle Vermgenswerte - die von MitarbeiterInnen in ihrer Arbeitszeit bzw. dienstlich geschaffen wurden oder in deren Verfgung stehen zu regeln. Zahlreiche SEO Manahmen sind mit sind mit
68
komplexen Verknpfungen unterschiedlichster Web 2.0 Anwendungen verbunden der Zugriff auf diese Drittanwendungen erfolgt sehr oft ber `Facebook Connect. Die Aufhebung von Zugangs- bzw. Zugriffsrechten hat aus diesem Grund berlegt zu erfolgen. Emailadressen sind wesentlicher Bestandteil von Zugriffsrechten auf Social Media Anwendungen und sollten aus diesem Grund keinesfalls unwiderruflich gelscht werden. Die Entfernung von Eigentum wie zum Beispiel Firmenprofile in Sozialen Netzwerken muss auch virtuell verhindert werden. Dokumentierte Betriebsverfahren fr Soziale Netzwerke mssen geschaffen werden. Das nderungsmanagement wird bei der individuellen Nutzung tglich neuer Webapplikationen, Mobile Apps, etc. mit neuen Anstze zu regeln sein. Die Aufgabentrennung zum Beispiel ein 4-Augenprinzip wird in der aktuellen Social Media schwer umzusetzen sein. Die Erbringung, berwachung, berprfung der Dienstleistungen durch Dritte (Facebook, XING, LinkedIn,<) ist bei teilweise kostenfreien Diensten uerst schwierig zu realisieren, da viele dieser Dienstleister in ihren AGBs smtliche Haftungen von sich weisen. Der Schutz gegen Schadsoftware gewinnt in Soziale Netzwerke eine neue Dimension MitarbeiterInnen erlauben Drittsoftware Zugriff bei Installation Zugriff auf unterschiedlichste Daten. Der Schutz vor Datenverlust wird bei Kontaktdaten in Sozialen Netzwerken welche von Dritten kontrolliert werden vor allem fremdbestimmt erfolgen. Das Gleiche gilt fr den Umgang mit Information wie Speicherung, Verteilung, etc.. Bei eigenen Datenverarbeitungssystemen definierte Anweisungen und Verfahren zum Austausch von Information sind in Sozialen Netzwerken nur schwer kontrollierbar, der Schutz von elektronischen Nachrichten ist dementsprechend schwierig. Groes Augenmerk muss auf die Sicherheit des elektronischen Geschftsverkehres und Online-Transaktionen gelegt werden, da sich
69
ber Soziale Netzwerke und Mobile Endgerte Schadsoftware sehr einfach verbreitet. Die Integritt ffentlich zugnglicher Information muss natrlich auch in Sozialen Netzwerken sichergestellt werden. Firmenprofile mssen von darauf geschulten und autorisierten MitarbeiterInnen oder externen AuftragnehmerInnen verwaltet werden. Die Verfahren zur richtlinienkonformen berwachung, Zugriffskontrolle, Beschaffung, Entwicklung und Wartung von Informationssystemen Management von Informationssicherheits-Ereignissen- und Schwchen Betriebliches Kontinuittsmanagement
mssen bei der Einbeziehung von Sozialen Netzwerken in die Geschftsprozesse (Kundenbeziehungs-Management, Customer Relationship-Management, Kundenreaktivierungsprozesse) dementsprechend adaptiert werden. Ein besonderes Augenmerk muss bei der Implementierung einer Social Media Richtlinie auf die Einhaltung von Verpflichtungen gelegt werden. Die NORM ISO/IEC ISO 27001 unterscheidet hier: Einhaltung gesetzlicher Verpflichtungen Identifizierung der anwendbaren Gesetze Rechte an geistigem Eigentum Schutz von organisationseigenen Aufzeichnungen Datenschutz und Geheimhaltung von personenbezogenen Informationen Verhinderung des Missbrauchs von informationsverarbeitenden Einrichtungen Regelungen von kryptographischen Manahmen
Einhaltung von Sicherheitsanweisungen und -standards sowie technischer Vorgaben Einhaltung von Sicherheitsanweisungen und standards
70
berprfung der Einhaltung technischer Vorgaben
berlegungen zu Audits von Informationssystemen Manahmen fr Audits von Informationssystemen Schutz von Auditwerkzeugen fr Informationssysteme
(vgl. ON sterreichisches Normungsinstitut, 2008 S. 20-36)
Die NORM ISO/IEC ISO 27001 bietet mit dem Anhang A `Manahmenziele und Manahmen eine geeignete Struktur zur detaillierten Analyse firmenspezifischer Bedrohungen, dem Erkennen notwendiger Bereiche fr individuelle Zieldefinitionen und Verankerungspunkte fr konkrete Manahmen bei der Erstellung einer individuellen Social Media Richtlinie.
71
3.2. Forschungsabschluss
Abbildung 26: Forschungsabschluss Stichworte im berblick
3.2.1. Schwachstellen, Bedrohungen, Straftaten Die Schwachstellen bei der Benutzung von Sozialen Netzwerken wie Facebook, XING und LinkedIn wie< einfacher Zugriff auf Social Media Profile durch unsicheres Passwortmanagement der BenutzerInnen im Bereich Sozialer Medien immer perfekter konstruierte Social Engineering Fallen laufend neu auftauchende Sicherheitsrisiken durch Mobile Endgerte und Social Media Applikationen von unsicheren Drittanbietern Sicherheitsbedrohungen durch die Nutzung der Android und iPhone Apps auf Mobilen Endgerten vernderte Privatsphre Einstellungsoptionen bergreifende Zugriffsmglichkeiten zwischen unterschiedlichen Social Media Anwendungen Mangelnde Kenntnisse der BenutzerInnen und wenig Bewusstsein fr potentielle Gefahren
sind Angriffspunkte fr stark boomende Bedrohungen wie The involvement of criminal organisations in high tech crimes Botnets and crime wares Phishing & Identity Theft Pharming
72
Vishing SMiShing Critical Information Infrastructures Cyber terrorism Trafficking of Child Pornography Images on the Internet Drugs Trafficking on the Internet The Digital Underground Economy Cybercriminal Business Models Cybercrime 2.0 Social Engineering (techniques on social networks) Fake anti-virus software Internet marketing techniques Clickjacking Likejacking Survey scam
Damit werden unterschiedliche Cybercrime Straftaten begangen Straftaten gegen die Vertraulichkeit, Unversehrtheit und Verfgbarkeit von Computerdaten und systemen Computerbezogene Straftaten Inhaltsbezogene Straftaten Straftaten in Zusammenhang mit Verletzungen des Urheberrechts und verwandter Schutzrechte Weitere Formen der Verantwortlichkeit und Sanktionen
aber auch andere Straftaten wie Spionage, Industriespionage, Betrug, Erpressung, Entfhrung, Menschenhandel, Kindesmissbrauch, Wiederbettigung, Terrorismus, Geldwsche usw. vorbereitet oder begangen.
73
3.2.2. Grnde fr Social Media Unternehmensrichtlinien und Sicherheitsmanahmen Soziale Netzwerke beeinflussen den Unternehmenserfolg in unterschiedlichen Bereichen. Social Media Unternehmensrichtlinien und Sicherheitsmanahmen bei der Nutzung von Sozialen Netzwerken sind notwendig weil Soziale Netzwerke sind perfekte Datenquellen fr Verbrechen. Der Verlust sensibler Daten und die Begehung von Verbrechen muss verhindert werden: Kriminelle Aktivitten in Sozialen Netzwerken kann MitarbeiterInnen, Unternehmen und GeschftspartnerInnen massiven Schaden zufgen. Vertrauen, Kommunikation und gemeinsamen Werte bestimmen neben der Attraktivitt der Alternativen die Qualitt von Geschftsbeziehungen im B2B Geschft. Aktivitten von MitarbeiterInnen und Unternehmen Sozialen Netzwerken beeinflussen den Erfolg von Unternehmen im B2B Bereich: Beziehungsmanagement 2.0 findet auch im Internet statt. Unternehmen haften fr die Einhaltung rechtlicher und regulatorischer Vorgaben und besonderer Selbstverpflichtungen durch ihre MitarbeiterInnen und das Unternehmen. Speziell erwhnt sei hier das Urheberrechte, Datenschutz, Finanzmarktvorschriften, Beleidigung, ble Nachrede, Arbeitsrecht, Corporate Social Responsibility. Verhandlungsbestimmende Unternehmensinformationen, Know How und andere Vermgenswerte mssen geschtzt werden. Gesprchsabschpfung, elektronische Aufklrung und andere Spionageverfahren nutzen Social Engineering zur Zielerreichung. MitarbeiterInnen mssen auf das Erkennen und die Abwehr solcher Aktivitten vorbereitet werden.
74
3.2.3. Allgemeine Handlungsempfehlungen fr MitarbeiterInnen in Sozialen Netzwerken Ohne Bercksichtigung spezifischer Unternehmensrisiken ergeben sich einige allgemeingltige Handlungsempfehlungen fr MitarbeiterInnen in sozialen Netzwerken:
Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen fr MitarbeiterInnen
So wenige Daten wie mglich preisgeben (`Need-to-know) Restriktiver Umgang mit den Privatsphreeinstellungen Sichere Passwrter verwenden Unterschiedliche Passwrter fr die verschieden Sozialen Netzwerke verwenden Zusammenfassung von beruflichen Gruppen und Vergabe von entsprechende Zugriffsberechtigungen fr Gruppen Blockieren der Mglichkeit der Markierung der Mitarbeiterin auf Fotos Trennung von Facebook und Twitter wenn `tweet Frequenz zu hoch fr Facebook. Blockieren der Auffindbarkeit des Profils fr Suchmaschinen und ggf. NetzwerkmitgliederInnen Deaktivierung der Mglichkeit fr Drittanwendungen im Profil der Benutzerin zu posten Berufliches und Privates trennen (z.B. nur berufliches in XING und LinkedIn) Anonymisiertes Profil in Facebook
75
Orientierung an der Netiquette bzw. FAQs um sich sicher und souvern in Sozialen Netzwerken zu bewegen (Vermeidung von Irritationen bei GeschftspartnerInnen)
Kenntnis der jeweiligen AGBs Vorsicht bei der Nutzung von Sozialen Netzwerken ber ffentliche Netze (wenige Netze verwenden entsprechende Verschlsselungen) Entfernung von geschftsschdigenden, missverstndlichen oder beleidigenden Eintrgen von der eigenen Pinwand Keine Nutzung von `location basedoder `check-inServices Keine Nutzung von Drittanwendungen auf Facebook Professionelle Kommunikation, die auch dem Auge kritischer GeschftspartnerInnen standhlt Keine Verwendung von unsicheren oder unbekannten Virenschutzprogrammen (hufige Angriffsquelle) Regelmiger Update der Virenschutzprogramme Sorgfltiger Umgang mit Geschftsinformationen und regelkonformes Verhalten (siehe auch Pflichten von ArbeitnehmerInnen aus Arbeitsvertrgen, Arbeitsrecht, Betriebsvereinbarungen, Urheberrechten, Datenschutzrichtlinien, Wettbewerbsrecht und anderen Gesetzen)
76
3.2.4. Unternehmensseitige Handlungsempfehlungen bei der Nutzung von Sozialen Netzwerken durch MitarbeiterInnen
Abbildung 28: Stichwortsammlung - Handlungsempfehlungen fr Unternehmen
Aus der gegenstndlichen Arbeit lassen sich auch klare Unternehmensseitige Handlungsempfehlungen bei der Nutzung von Sozialen Netzwerken durch MitarbeiterInnen ableiten: Erarbeitung und Vereinbarung einer Social Media Richtlinie als Anordnung, Weisung oder Betriebsvereinbarung Bercksichtigung der Allgemeinen Handlungsempfehlungen (gem 3.2.3) fr MitarbeiterInnen in den Social Media Richtlinien Unterscheidung zwischen persnlicher Nutzung am Arbeitsplatz, persnlicher Nutzung auerhalb des Arbeitsplatzes und beruflicher Nutzung. Vermittlung und berprfung des Problembewusstseins und der Kompetenzen der MitarbeiterInnen in Bezug auf die o Umsetzung der Social Media Richtlinien o Konsequenzen der Weitergabe von vertraulichen oder sensiblen Geschftsinformationen oder Geschftsgeheimnissen o relevanten Rechtsgrundlagen und daraus resultierenden Pflichten o Notwendigkeit von Zugriffskontrollen fr bestimmte Daten (geschlossene Gruppen) o Einschrnkungen in Bezug auf Datenempfang, Installationen oder Verbindungen fr Dienstrechner oder Smartphones aus sicherheitstechnischen Grnden
77
o Einschrnkungen bei der Angabe von firmenbezogenen Daten o Einschrnkungen von dienstlichen Vorgngen auf Social Media Plattformen o Vorgaben fr Firmenprofile in Sozialen Medien o Kenntnis besonderer strafrechtlich relevanter Delikte wie ble Nachrede, Beleidigung, unlauterer Wettbewerb und Urheberrechtsverletzungen o das Erkennen und die Abwehr von Social Media Attacken o geeignete Belehrung neu eintretender MitarbeiterInnen Einhaltung von allgemeinen und branchenspezifischen Gesetzen und Richtlinien (Wettbewerbsrecht, Finanzmarktregelungen, Werbeverbote fr rzte, CSR, etc.) Einhaltung von selbstauferlegten Informations- und Beratungsverpflichtungen, Normen, Dokumentationsverpflichtungen etc. berwachung und Management der Einhaltung von Social Media Richtlinien im Unternehmen Einbeziehung des Betriebsrates Verhinderung von Unternehmensschden durch Urheberrechtverletzungen durch MitarbeiterInnen Emotionale Vermittlung der Gefahren und Bedrohungen schafft Problembewusstsein Um die eigene Organisation auf Soziale Netzwerke optimal vorzubereiten sollten einige Dinge im Unternehmen berprft und adaptiert werden: Adaptierung der Dokumente zur Informationssicherheit-Politik (ISMS) berprfung der Informationssicherheits-Politik bei der Nutzung immer tglich neuer Web Applikationen, Mobiler Endgerte durch MitarbeiterInnen Engagement des Managements fr Informationssicherheit durch Vorbildwirkung Koordination der Informationssicherheit beim Umgang mit Sozialen Medien durch die Zuweisung der Verantwortlichkeiten der Informationssicherheit fr im Fremdbesitz bzw. Fremdeinfluss befindliche Web 2.0 Applikationen wie Soziale Netzwerke Adaptierung des Genehmigungsprozesses fr informationsverarbeitende Einrichtungen wird bei der Nutzung bestimmter Sozialer Netzwerke, Mobile Apps und Drittanwendungen.
78
berprfung und ggf. Ergnzung der Vertraulichkeits-Vereinbarungen in Dienstvertrge Aufbau guter Kontakte zu Behrden (Bundeskriminalamt) und Kontakte zu speziellen Interessensgruppen (ispa, saferinternet, Google, Facebook, XING, LinkedIn).
Die Unabhngige berprfung der Informationssicherheit durch externe Profis bei der Nutzung von Sozialen Netzwerken. Die Identifizierung von Risiken in Zusammenhang mit Externen muss laufend erfolgen da sich Schwachstellen und Bedrohungslagen permanent weiterentwickeln.
MitarbeiterInnen sind fr das das Adressieren von Sicherheit im Umgang mit Kunden und die Sicherheit in Vereinbarungen mit Dritten zu sensibilisieren bzw.
Inventar, Eigentum und die zulssige Nutzung der Vermgenswerte wie Unternehmensprofile in sozialen Netzwerken, Medien des Unternehmens, MitarbeiterInnen Fotos und hnliches sind zu erfassen, schtzen und berprfen.
Die berprfung von MitarbeiterInnen vor Einstellung ins Unternehmen sollte um einen Dimension Social Media erweitert werden und die Zustimmung der Mitarbeiterin zu Beschftigungsbedingungen mit verbindlichen Social Media Richtlinien sind bei der Einstellung einzuholen.
Die Verantwortlichkeiten des Managements fr die Einhaltung der Richtlinien ist klar zu regeln. Das Bewusstsein sowie Ausbildung und Schulung fr Informationssicherheit und den Umgang mit Sozialen Medien im Web 2.0 muss seitens der Unternehmen sichergestellt werden.
Zeitgeme Disziplinarverfahren mit einem geeigneten Eskalationsstufenmodell bei Versten sollten als Konsequenz bei Zuwiderhandeln konsequent umgesetzt werden.
Die Verantwortlichkeiten bei der Beendigung der Beschftigung mssen entsprechend adaptiert werden, insbesondere ist bei der Rckgabe von Vermgenswerten auch die bergabe des Zuganges und der Verfgung ber immaterielle Vermgenswerte - die von MitarbeiterInnen in ihrer Arbeitszeit bzw. dienstlich geschaffen wurden oder in deren Verfgung stehen zu regeln.
Die Aufhebung von Zugangs- bzw. Zugriffsrechten hat berlegt zu erfolgen. Auf Zugriffsrechte von Social Media Anwendungen ist
79
bei der Lschung von MitarbeiterInnen Emailadressen und Profilen Rcksicht zu nehmen. Die Entfernung von Eigentum wie zum Beispiel Firmenprofile in Sozialen Netzwerken muss verhindert werden. Dokumentierte Betriebsverfahren fr die betrieblichen Aktivitten Soziale Netzwerke mssen geschaffen werden. Eine Social Media Richtlinie kann dementsprechend aufgebaut sein. Das nderungsmanagement ist bei der individuellen Nutzung tglich neuer Webapplikationen, Mobile Apps, etc. zu regeln. Die Einhaltung von verbindlichen Aufgabentrennung zum Beispiel einem 4-Augenprinzip ist bei Sozialen Netzwerken geeignet zu regeln. Die Erbringung, berwachung, berprfung der Dienstleistungen durch Dritte ist auch bei Sozialen Netzwerken sicherzustellen. Der Schutz gegen Schadsoftware, Schutz vor Datenverlust ist bei Kontaktdaten in Sozialen Netzwerken sicherzustellen. Das Gleiche gilt fr den Umgang mit Information wie Speicherung, Verteilung, etc.. Anweisungen und Verfahren zum Austausch von Information sind in Sozialen Netzwerken praktikabel zu regeln, der Schutz von elektronischen Nachrichten ist auch hier sicherzustellen. Sicherstellung der Sicherheit des elektronischen Geschftsverkehres und Online-Transaktionen in Sozialen Netzwerken. Die Integritt ffentlich zugnglicher Information muss natrlich auch in Sozialen Netzwerken sichergestellt werden. Die Verfahren zur richtlinienkonformen o berwachung, o Zugriffskontrolle, o Beschaffung, Entwicklung und Wartung von Informationssystemen o Management von Informationssicherheits-Ereignissen und Schwchen o Betriebliches Kontinuittsmanagement mssen bei der Einbeziehung von Sozialen Netzwerken in die Geschftsprozesse (Kundenbeziehungs-Management, Customer Relationship-Management, Kundenreaktivierungsprozesse) dementsprechend adaptiert werden. Die Einhaltung gesetzlicher Verpflichtungen erfordert die o Identifizierung der anwendbaren Gesetze o Rechte an geistigem Eigentum o Schutz von organisationseigenen Aufzeichnungen
80
o Datenschutz und Geheimhaltung von personenbezogenen Informationen o Verhinderung des Missbrauchs von informationsverarbeitenden Einrichtungen o Regelungen von kryptographischen Manahmen Die Einhaltung von Sicherheitsanweisungen und -standards sowie technischer Vorgaben ist entsprechend zu regeln. berlegungen zu Audits von Informationssystemen mssen auch extern verwendete Anwendungen wie Soziale Netzwerke erfassen
81
3.2.5. Besondere Handlungsempfehlungen fr Unternehmen in sensiblen Industrien mit hoher Relevanz fr potentielle Angreifer Unternehmen in sensiblen Industrien sollten individuelle Corporate Security bzw. Informationssicherheits- Risk Assessments durchfhren bevor Social Media Plattformen durch MitarbeiterInnen benutzt werden drfen. Die NORM ISO/IEC ISO 27001 bietet mit dem Anhang A `Manahmenziele und Manahmen eine geeignete Struktur zur, detaillierten Analyse firmenspezifischer Bedrohungen, dem Erkennen notwendiger Bereiche fr individuelle Zieldefinitionen und Verankerungspunkte fr konkrete Manahmen bei der Erstellung einer individuellen Social Media Richtlinie. Bei besonderen Bedrohungslagen empfiehlt sich die Installation eines ISMS (Informationssicherheits Management Systemes) gem NORM ISO/IEC 27001.
Abbildung 29: Kopf NORM ISO/IEC 27001; Quelle: (ON sterreichisches Normungsinstitut, 2008)
82
Literaturverzeichnis
Abwehramt. 2006. Schutz vor Social Engineering. Infoblatt Elektronische Abwehr. 09, 2006. Applegate, Scott D. 2009. Social Engineering: Hacking the Wetware! Information security Journal. 18:40-46, 2009, ISSN: 1939-3555 print / 1939-3547 online. Becker, Roman. 2011. Aus dem Bauch heraus. QZ - Qualitt und Zuverlssigkeit. 56, 2011, Bd. 1. Biegelman, Martin T. 2008. Building A World-Class Compliance Program. Hoboken, New Jersey : John Wiley & Sons, 2008. ISBN 978-0-470-11478-0. Bloxham, Andy. 2011. www.telegraph.co.uk. www.telegraph.co.uk. [Online] 03. 06 2011. [Zitat vom: 05. 06 2011.] http://www.telegraph.co.uk/technology/news/8553979/Sony-hack-private-details-ofmillion-people-posted-online.html. Blumauer, Kaltenbck und Koller. 2010. Enterprise 2.0. Enterprise 2.0. Wien : punkt net.Services, 2010. Blumer, Herbert. 1973. Der methodologische Standort des symbolischen Interaktionismus. Arbeitsgruppe Bielefelder Soziologen. 1973. BMI. 2010. Gefahren durch Wirtschafts- und Industriespionage fr die sterreichische Wirtschaft. Wien : BMI Bundesministerium fr Inneres, 2010. Bodoni, Stephanie. 2011. Bloomberg Businessweek. www.businessweek.com. [Online] Bloomberg, 08. 06 2011. [Zitat vom: 12. 06 2011.] http://www.businessweek.com/news/2011-06-08/facebookto-be-probed-in-eu-for-facial-recognition-in-photos.html. Bundesgesetz. 2011. Bundesrecht konsolidiert: Gesamte Rechtsvorschrift fr Urheberrechtsgesetz. RIS Rechtsinformationssysten. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnu.... BGBl.Nr. 11/1936 und nderungen. Burkart, Roland. 2002. Kommunikations-Wissenschaft. Wien : Bhlau Verlag, 2002. ISBN 3-20599420-5. Chinn & Unkle, Susan j. Chinn, C.Richard Unkle. 2006. Building Dedicated Business-To-Business Relationships: Benefits, Risks, and Lessons Learned. [Hrsg.] American Society for Competitivness. Journal of Global Competitivness. 2006, Bd. 14, S. 84-94. Cisco. 2010. Cisco 2010 Annual Security Report. San Jose : Cisco, 2010. Computerwelt, ul. 2011. Hacker stehlen Sony Millionen Kundendaten. www.computerbild.de. [Online] 27. 04 2011. [Zitat vom: 04. 06 2011.] http://www.computerbild.de/artikel/cbs-News-SpieleHacker-stehlen-Sony-Millionen-Kundendaten-6147786.html. emarketer. 2011. www.emarketer.com. emarketer - digital intelligence. [Online] emarketer, 02 2011. [Zitat vom: 12. 06 2011.] http://www.emarketer.com/Reports/All/Emarketer_2000757.aspx. Europe, Council of. 2001. www.conventions.coe.int. Europarat. [Online] 23. 09 2001. [Zitat vom: 05. 06 2011.] http://www.conventions.coe.int/Treaty/GER/Treaties/Html/185.htm. Europol. 2007. High Tech Crimes within the EU, Threat Assessment 2007. The Hague : Europol, 2007. . 2011. Internet Facilitated Organized Crime. The Hague : Europol, 2011. File No.: 2530-264. Facebook. 2011. facebook Apps. www.facebook.com. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com/apps/directory.php. . 2010. Facebook Debuts More Pivacy Features. Information Today www.infotoday.com. November 2010, S. 3. . 2011. Facebook Profil des Verfassers. www.facebook.com. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com. facebookbiz. 2011. Facebookbiz Werbeanzeigen. www.facebookbiz.de. [Online] facebookbiz, 18. 01 2011. [Zitat vom: 12. 06 2011.] http://www.facebookbiz.de/artikel/facebook-umsatz-werbeanzeigen2010. Farm Ville. 2011. Farm Ville. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com. Galla, Michael. 2004. Social Relationship Management in Internet-based Communication. Dissertation an der Technischen Universitt Mnchen. Mnchen, Bayern, Deutschland : Institut fr Informatik der Technischen Universitt Mnchen, 01 2004.
83
Gonzales, Gabriel, et al. 2010. Sales Organisation Recovery Management and Relationship Selling: Ein konzeptionelles Modell und empirischer Test. Journal of Personal Selling & Sales. XXX, 2010, Bd. 3, summer 2010. Haid, Amy E. 2010. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World: Part 2. The Investment Lawyer. 17, 2010, Bd. 10, October. Handelsblatt. Kapalschinski, Christoph. 2010. 16.11.2010, http://www.handelsblatt.com/unternehmen/it-medien/linkedin-blaest-zum-angriff-aufxing/3640160.html : Verlagsgruppe Handelsblatt GmbH & Co KG, 2010, Bd. Online. Henisz & Zelner, Witold J.Henisz, Bennet A. Zelner. 2010. The Hidden Risks in Emerging Markets. [Hrsg.] Harvard Business Publishing. Harvard Business Review. 04 2010, S. 88-95. Hofmann, Michael. 2009. Managing Risk in The New World. Harvard Business Review. 09 2009, S. 6975. IBTimes. 2011. International Business Times. www.losangeles.ibtimes.com. [Online] 5. 6 2011. [Zitat vom: 5. 6 2011.] http://losangeles.ibtimes.com/articles/157584/20110605/google-china.htm. IkeepSafe. 2011. IkeepSafe - Safe Keeping Blog. www.ikeepsave.org. [Online] ikeepsa, 08. 06 2011. [Zitat vom: 08. 06 2011.] http://www.ikeepsafe.org/cybersecurity/stop-think-connect/. ispa. 2011. internet sicher nutzen - ein leitfaden der ispa. Wien : ispa - Internet Service Provider Austria, 2011. Joerg Schultze-Bohl Dipl.Inform., ff.best.u.vereid.Sachverstaendiger. 2011. Risikofaktoren in der Praxis. www.risikomanager.de. [Online] 14. 05 2011. [Zitat vom: 14. 05 2011.] http://www.risikomanager.de/index.php/unternehmensrisiken/37-corporate-risks/50-risikofaktorenin-der-praxis?format=pdf. Kaplan, Robert S. 2009. Managing Risk in the New World. Harvard Business Review. 09 2009, S. 6975. Kirchgeorg, Manfred. 2011. Wirtschaftslexikon. Wirtschaftslexikon. [Online] Gabler, 03. 06 2011. [Zitat vom: 03. 06 2011.] http://wirtschaftslexikon.gabler.de/Definition/b2b.html. Koch & Schultze, Hope Koch, Ulrike Schultze. 2011. Stuck in the Conflicted Middle: A Role-Theoretic Perspective on B2B E-Marketplaces. MIS Quarterly. March 2011, Bd. 1, 35, S. 123-146. LinkedIn. 2011. About us. www.linkedin.com. [Online] LinkedIn, 04. 06 2011. [Zitat vom: 04. 06 2011.] http://press.linkedin.com/about/. Linkedin. 2011. About us Linkedin. www.linkedin.com. [Online] Linkedin, 04. 06 2011. [Zitat vom: 04. 06 2011.] http://press.linkedin.com/about/. Mayrhofer, Karl. 2011. Arbeitsrecht fr die betriebliche Praxis. Wien : Verlag Weiss, 2011. ISBN 9783-902770-01-1. mbe/AFP. 2011. Focus. www.focus.de. [Online] 29. 04 2011. [Zitat vom: 05. 06 2011.] http://www.focus.de/finanzen/recht/sony-datenraub-noch-keine-hinweise-auf-kreditkartenmissbrauch_aid_622509.html. McGee Bastry Chandrashekhar Vasireddy Flynn, Andrew R. McGee, Frank A. Bastry, Uma Chandrashekhar, S.Rao Vasireddy, and Lori A. Flynn. 2007. Using the Bell Labs Security Framework to Enhance the ISO 17799/27001 Information Security Management System. [Hrsg.] Alcatel Lucent. Bell Labs Technical Journal. 12 2007, S. 39-54. Mller, Patrick. 2011. XING AG Zwischenbericht Q1 2011. Hamburg : XING AG, 2011. NACD Research, STaff. 2010. In Year of Change, Strategy and Risk Top Board Agendas. NACD Directorship. December 2010 2010, Bd. Survey Public Company Corporate Governance, S. 40-44. Neef Schroll & Theis, Andreas Neef, Willi Schroll, Bjrn Theis. 2009. Die Revolution der WebEingeborenen. [Hrsg.] manager magazin online. manager magazin. 18. Mai 2009, S. 1-4. Null, Christopher. 2009. How to avoid Facebook & Twitter Disasters. PCWORLD.COM. August, 2009, 8. ON sterreichisches Normungsinstitut. 2008. Informationstechnologie - Sicherheitstechnik, Informationssicherheits - Managementsysteme - Anforderungen. NORM ISO/IEC 27001. Wien : ON sterreichisches Normungsinstitut, 2008. 2008-03-01. NORM ISO/IEC 27001. Poller, Andrea. 2008. Industriespionage 2.0. Darmstadt : Fraunhofer Institut, 2008.
84
Prensky, Marc. 2001. Digital Natives, Digital Immigrants. [Hrsg.] MCB University Press. On the Horizon. 9, October 2001, Bd. 5, October 2001, S. 1. protiviti.com. 2008. Internal Auditors: ISO 27000 the Top Tech Need. Journal of Accountancy. October 2008, S. 25. Reisinger, Don. 2009. 10 Thingsyou should know now about... SOCIAL MEDIA SECURITY. eWEEK. Ziff Davis Enterprise, 2009, October 5. saferinternet.at. 2011. Safer Surfing. Wien : saferinternet.at, 2011. Schranner, Matthias. 2002. Verhandeln im Grenzbereich. Mnchen : Econ Verlag, 2002. ISBN 3-43018068-6. Scoble, Robert und Israel, Shel. 2007. Unsere Kommunikation der Zukunft. Mnchen : Finanzbuch Verlag GmbH, 2007. ISBN 978-3-89879-257-8. Security Directors Report. 2010. Implementing Solutions to Social medias Security Risks. Security Directors report. August, 2010, www.ioma.com/secure. Sony. 2011. About Sony. www.sony-europe.com. [Online] Sony, 2011. [Zitat vom: 05. 06 2011.] http://www.sony-europe.com/article/id/1178278971157. . 2010. Annual Report 2010. Konan, Japan : Sony Corporation, 2010. SONY. 2011. Sony Announces Revision of Consolidated Forecast for the Fiscal Year Ended March 31, 2011. Tokyo : Sony, 2011. Sony News & Information No: 11-059E. Sophos. 2011. Sophos Security threat report 2011. Abingdon : Sophos, 2011. Stulz, Ren M. 2009. 6 Ways Companies Mismanage Risk. Harvard Business Review. March 2009, S. 86-94. Taleb Goldstein & Spitznagel, Nassim N. Taleb, Daniel G. Goldstein, Mark W. Spitznagel. 2009. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 10 2009, S. 78-81. Taleb, Nassim Nicholas. 2007. Der Schwarze Schwan. New York : Random House, 2007. ISBN 978-3446-41568. Theron & Terblanche & Boshoff, Edwin Theron, Nic S. Terblanche, Christo Boshoff. 2008. The antecedents of relationship commitment in the management of relationships in business-to-business (B2B) financial services. [Hrsg.] Westburn Publishers Ltd. Journal of Marketing Management. 9 2008, Bde. No. 9-10, 24, S. 997-1010. Wikipedia. 2011. Wikipedia ber Ènterprise 2.0. http://de.wikipedia.org. [Online] Wikipedia, 03. 06 2011. [Zitat vom: 03. 06 2011.] http://de.wikipedia.org/wiki/Enterprise_2.0. wikipedia. 2011. Wikipedia ber `facebook. http://de.wikipedia.org. [Online] 15. Mai 2011. [Zitat vom: 15. Mai 2011.] http://de.wikipedia.org/wiki/Facebook. Wikipedia. 2011. Wikipedia ber `Web 2.0. wikipedia. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://de.wikipedia.org/wiki/Web_2.0. wikipedia. 2011. Wikipedia ber `XING. http://de.wikipedia.org. [Online] 15. Mai 2011. [Zitat vom: 15. Mai 2011.] http://de.wikipedia.org/wiki/XING. XING. 2011. Ergebnisse der XING AG Q1 2011. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] http://corporate.xing.com/fileadmin/image_archive/XING_AG_ergebnisse_Q1_2011.pdf. . 2011. XING Freunde, Bekannte und Kollegen einladen. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/app/invite. . 2011. XING Gruppen suchen. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/app/network?op=findgroups. . 2011. XING Jobs und Karriere. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/jobs/. . 2011. XING Premiummitgliedschaft. www.xing.com. [Online] XING AG, 12. 06 2011. [Zitat vom: 12. 06 2011.] https://www.xing.com/app/billing?op=premium_overview;reagent=uplt_96. . 2011. XING Profil des Verfassers. www.xing.com. [Online] 05. 06 2011. Zimmer, Daniela. 2009. Facebook, Myspace & Co. Wien : AK Kammer fr Arbeiter und Angestellte fr Wien, 2009. AK Publikationsnummer 29/2009. . 2009. Facebook, Myspace & Co. Wien : Kammer fr Arbeiter und Angestellte, 2009. 29/2009.
85
Abbildungsverzeichnis
Abbildung 1: Facebook Startseite der Anwendung 'Farmville'; Quelle: (Farm Ville, 2011) ................ 20 Abbildung 2: Facebook Zugriffsfreigaben fr die Anwendung 'Farmville'; Quelle: (Farm Ville, 2011) 20 Abbildung 3: Facebook Profil des Verfassers; Quelle: (Facebook, 2011) ............................................ 21 Abbildung 4: Facebook Einstellungen 'Profil bearbeiten'; Quelle: (Facebook, 2011) ......................... 21 Abbildung 5: Facebook Privatsphreeinstellungen; Quelle: (Facebook, 2011) .................................. 22 Abbildung 6: Facebook' Privatsphre-Einstellungen Benutzerdefinierte Einstellungen; Quelle: (Facebook, 2011) ................................................................................................................................... 23 Abbildung 7: Facebook - Privatsphre-Einstellungen fr 'Anwendungen und Webseiten'; Quelle: (Facebook, 2011) ................................................................................................................................... 23 Abbildung 8: 'Facebook' Privatsphre - 'Anwendungen, Spiele und Webseiten'; Quelle: (Facebook, 2011)...................................................................................................................................................... 24 Abbildung 9: 'Facebook' Privatsphre, 'Fr Freunde zugngliche Informationen'; Quelle: (Facebook, 2011)...................................................................................................................................................... 24 Abbildung 10: 'Facebook' Privatsphre, 'Umgehende Personalisierung'; Quelle: (Facebook, 2011) ... 25 Abbildung 11: 'Facebook' berblick Privatsphre-Einstellungen; Quelle: (Facebook, 2011) ............... 25 Abbildung 12: 'Facebook' Erlsanalyse; Quelle: (emarketer, 2011) ..................................................... 27 Abbildung 13: 'XING' Mitgliederentwicklung; Quelle: (XING, 2011) ..................................................... 29 Abbildung 14: 'XING' Umsatzentwicklung; Quelle: (XING, 2011) .......................................................... 29 Abbildung 15: 'XING' Alte Benutzeroberflche; Quelle: (XING, 2011) .................................................. 32 Abbildung 16: 'XING' Neue Benutzeroberflche; Quelle: (XING, 2011) ................................................ 32 Abbildung 17: 'XING' Privatsphre-Einstellungen; Quelle: (XING, 2011) .............................................. 33 Abbildung 18 Conceptual Model nach Theron, Terblanche, Boshoff 2008; Quelle: (Theron & Terblanche & Boshoff, 2008)................................................................................................................. 36 Abbildung 19 Conceptual Model nach Gonzales, Hoffman, Ingram und LaForge; Quelle: (Gonzales, et al., 2010) ................................................................................................................................................ 37 Abbildung 20 Aussagen in einer Befragung zum Kaufverhalten von B2B Kunden; Quelle: (Becker, 2011)...................................................................................................................................................... 38 Abbildung 21 Verteilung der Kundentypen gem `forum!` Modell der Kundentypologien; Quelle: (Becker, 2011) ....................................................................................................................................... 39 Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008) ................. 53 Abbildung 23 Facebook app verification demand and privacy concerns; Quelle: (Sophos, 2011) ....... 59 Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010) ............................................................. 61 Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011) .......................................... 62 Abbildung 26: Forschungsabschluss Stichworte im berblick .............................................................. 72 Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen fr MitarbeiterInnen ...... 75 Abbildung 28: Stichwortsammlung - Handlungsempfehlungen fr Unternehmen .............................. 77 Abbildung 29: Kopf NORM ISO/IEC 27001; Quelle: (ON sterreichisches Normungsinstitut, 2008). 82
86

Master Thesis "Bedrohungen Bei Der Individuellen Nutzung Von Sozialen Netzwerken Im B2B Kontext" Autor: Guenther R. Neukamp

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Master Thesis "Bedrohungen Bei Der Individuellen Nutzung Von Sozialen Netzwerken Im B2B Kontext" Autor: Guenther R. Neukamp

Uploaded by

Copyright:

Available Formats

Bedrohungen bei der individuellen Nutzung von sozialen Netzwerken im B2B Kontext

Tag der mndlichen Prfung: 16.9.2011

Krems, September 2011

2. Begriffsdefinition und Theoretische Grundlagen

2. Begriffsdefinition & Theoretische Grundlagen

Das Web 2.0 wurde durch Facebook massentauglich.

Abbildung 3: Facebook Profil des Verfassers; Quelle: (Facebook, 2011)

Abbildung 4: Facebook Einstellungen 'Profil bearbeiten'; Quelle: (Facebook, 2011)

Abbildung 5: Facebook Privatsphreeinstellungen; Quelle: (Facebook, 2011)

Abbildung 6: Facebook' Privatsphre-Einstellungen Benutzerdefinierte Einstellungen; Quelle: (Facebook, 2011)

Abbildung 7: Facebook - Privatsphre-Einstellungen fr 'Anwendungen und Webseiten'; Quelle: (Facebook, 2011)

Abbildung 10: 'Facebook' Privatsphre, 'Umgehende Personalisierung'; Quelle: (Facebook, 2011)

Abbildung 11: 'Facebook' berblick Privatsphre-Einstellungen; Quelle: (Facebook, 2011)

Abbildung 12: 'Facebook' Erlsanalyse; Quelle: (emarketer, 2011)

Das heit in der DACH Region bezahlen 15,59% der MitgliederInnen.

Abbildung 13: 'XING' Mitgliederentwicklung; Quelle: (XING, 2011)

Abbildung 14: 'XING' Umsatzentwicklung; Quelle: (XING, 2011)

(vgl. XING, 2011 S. 1)

einfach zur Teilnahme an XING einzuladen.

Die alte Version von XING

Abbildung 15: 'XING' Alte Benutzeroberflche; Quelle: (XING, 2011)

Abbildung 16: 'XING' Neue Benutzeroberflche; Quelle: (XING, 2011)

Abbildung 17: 'XING' Privatsphre-Einstellungen; Quelle: (XING, 2011)

Nutzungsbestimmungen (AGBs) lesen Virenschutzprogramme verwenden und regelmig aktualisieren

(vgl. Zimmer, 2009 S. 16-17)

Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008)

Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010)

Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011)

berprfung der Einhaltung technischer Vorgaben

(vgl. ON sterreichisches Normungsinstitut, 2008 S. 20-36)

Abbildung 26: Forschungsabschluss Stichworte im berblick

Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen fr MitarbeiterInnen

Abbildung 28: Stichwortsammlung - Handlungsempfehlungen fr Unternehmen

You might also like