Mitmachen oder verbieten: Soziale Netzwerke in Unternehmen

Soziale Netze können spürbaren Nutzen bringen. Trotzdem lassen sich die Risiken nicht einfach wegdiskutieren. Wer die Firma wie online vertreten soll, ist auch bei Experten umstritten. ZDNet zeigt Beispiele und Anhaltspunkte auf.

Soziale Netzwerke sind heute nicht nur fester Bestandteil im privaten Bereich. Auch im Geschäftsalltag haben sie inzwischen ihren angestammten Platz. In den Top 100 Firmen weltweit ist Studien zufolge zu 65 Prozent Twitter im Einsatz, 54 Prozent nutzen Facebook, 50 Prozent Youtube, 33 Prozent betreiben einen Corporate Blog. Die Intensität ist jedoch je nach Kontinent und Land verschieden.

Aber sie verbreiten sich überall in flottem Tempo: Wie eine Studie von Osterman Research^[1] aus dem Juli 2010 belegt, postete im Juni jeder der 190 Millionen Twitter-Nutzer im Durchschnitt 10,3 Tweets pro Monat. Im Februar 2008 waren es noch 475.000 Twitterer - ein Zuwachs um das Vierhunderfache in 28 Monaten. Ähnlich bei Facebook: Während im Februar 2008 rund 20 Millionen Facebook-Nutzer registriert waren, schwoll die Zahl bis Juni 2010 auf über 500 Millionen an, rund 25 Mal mehr.

Die Osterman-Studie untersuchte auch die Aktivitäten der Firmennetzwerker und wie diese sich auf das Unternehmen auswirken können - im positiven wie im negativen Sinne. Denn dass sich die sozialen Netzwerker nicht nur am privaten PC oder Smartphone vergnügen, sondern ihre neu entdeckte Lieblingsbeschäftigung auch mit in die Firma bringen, bedeutet für Firmenchefs Freud´ und Leid gleichermaßen. Anlass zur Freude bieten die Netze, weil die Mitarbeiter damit schneller, unbürokratischer und flexibler kommunizieren als mit herkömmlichen Mitteln, etwa E-Mail. Ihre Kontakte und Postings über Facebook, Youtube, Twitter oder Linkedin können dazu beitragen, dass die Marke einer Firma gestärkt wird. Es lassen sich damit schnell Kundenmeinungen und -stimmungen einfangen, sie können die Kompetenz einer Firma untermauern und Brand Awareness erzeugen.

Vodafone begrenzt Imageschaden

Dazu ein aktuelles Beispiel: Vodafone^[2] hat Anfang August eine neue Firmware für das HTC Desire^[3] verteilt. Statt dem von vielen Kunden erwarteten Update auf Android 2.2^[4] handelte es sich dabei jedoch um eine auf Android 2.1 basierende Firmware mit zahlreichen Bugs und aufdringlichem Vodafone-Branding. Dazu gehörte etwa der Vodafone-Startbildschirm und "Zugangssoftware" für die Vodafone-360-Services^[5], darunter Update App, Musik, MyWeb und Shop. Ärgerlich für die Kunden: Diese Dienste ließen sich nicht ohne weiteres abschalten oder entfernen^[6], reduzierten die Akkulaufzeit erheblich, sorgten teilweise für Probleme beim SMS-Empfang, veränderte die Startseite des Browsers und installierte zusätzliche Bookmarks.

Die Quittung dafür folgte auf dem Fuße: Auf der Facebook-Seite^[8] von Vodafone äußerten zahlreiche Nutzer ihren Unmut, einer rief die Facebook-Gruppe "Stoppt Vodafone! Wir wollen Froyo für Desire ohne Branding!^[9]" ins Leben und für englischsprachige Nutzer gibt es die Gruppe "Say No To Vodafone 360 Spamware On The HTC Desire^[10]". Die haben zwar nur gut 100 beziehunsgweise etwas über 500 Mitglieder, aber die reichten aus, um die Medien auf das Thema aufmerksam zu machen. Unter anderem berichtete auch BBC darüber.

Nach kurzem Sträuben hat Vodafone dann eingelenkt^[11]: Man werde ein Update auf Android 2.2 ohne Vodafone-360-Services herausbringen. "Wir haben auf das Feedback unserer Kunden bezüglich des aktuellen 360-Android-2.1-Updates gehört und einige Änderungen am Roll-out-Plan vorgenommen", so ein Vodafone-Sprecher gegnüber gegenüber TechRadar^[12]. Vodafone hat in diesem Fall also davon profitiert, bei Facebook selbst aktiv gewesen zu sein: Der Auftritt wurde von den Kunden als Anlaufstelle für Beschwerden genutzt. So war Vodafone schnell im Bilde, konnte reagieren und den Image-Schaden begrenzen.

Der Einsatz im Business-Bereich hat aber neben dem offensichtlichen Nutzen auch eine dunkle Seite: Mit ihm geht auch ein sehr reales Gefahrenpotenzial einher, denn die Tools machen die halbwegs sichere Bastion des Unternehmensnetzwerkes verletzbar und das lose Mundwerk der Social Networker offenbart ganz nebenbei Firmeninternas oder ist dem Image der Firma abträglich.

Über Facebook ist es zum Beispiel unglaublich einfach für Mitarbeiter, vertrauliche Informationen aus dem Unternehmen oder despektierliche Details über Vorgesetzte und Mitarbeiter nach draußen zu geben - sei es absichtlich oder unabsichtlich. Im ungünstigen Falle weichen die offizielle Corporate Identity und die Facebook-Botschaften voneinander ab und irritieren die Kunden.

Das Facebook-Desaster von Virgin Atlantic

Ein Beispiel dafür ist das Facebook-Desaster^[14] der Fluggesellschaft Virgin Atlantic^[15] vor einiger Zeit. Die damals rund 7000 Mitglieder von Virgin Atlantic bei Facebook^[16] konnten lesen, wie Flugbegleiter die Sicherheitsstandards des Unternehmens als mangelhaft kritisierten und die Fluggäste als "Prols" beschimpften. Zum Eklat kam es, als die Luftlinie ihnen kündigte^[17].

Die öffentlich gewordenen Entlassungen zeigen was geschieht, wenn in Firmen ohne übergreifende interne Netzwerke und Kommunikationsstrukturen ein Machtvakuum entsteht. Es gibt nämlich eine Wechselwirkung zwischen einem gut organisierten internen Netzwerk, wo sich Mitarbeiter auch einmal ganz ungeniert ausweinen und ihren Kummer abladen dürfen, und dem nach außen orientierten sozialen Netzwerk. Oder anders gesagt: Es wäre in der guten alten Zeit wohl keinem Unternehmen eingefallen, die Zettel aus dem Kummerkasten neben der Betriebskantine in ihren Anzeigenkampagnen zu veröffentlichen.

Robin Sage: Datensammeln auf hohem Niveau

Ein zweites Problem ist das einfache Datensammeln in den Netzwerken. Werden die Informationen aus allen verwendeten Social Networks miteinander in Relation gesetzt, erhält ein aufmerksamer Beobachter sehr detaillierte Infos über die Firma, vom Organigramm bis hin zu internen Prozessen.

Wie das sogar in eigentlich agbeschotteten Umgebungen geht, hat der Sicherheitsexperte Thomas Ryan erst kürzlich am Beispiel der fiktiven Person Robin Sage^[18] eindrucksvoll demonstriert: Er sammelte mit diesem Charakter im Dezember 2009 und Januar 2010 über soziale Netzwerke eine ganze Reihe von Kontakten zu Angestellten von US-Militär und -Sicherheitsbehörden, denen er teils vertrauliche Informationen entlockte. Nur wenige der "Freunde" überprüften die Angaben im Profil von "Robin Sage" - obwohl das einfach gewesen wäre, zum Beispiel stimmte schon die angegebene Telefonnumemr nicht.

Ein rechtliches Problem kann zudem entstehen, wenn die sozialen Netzwerkprogramme sozusagen als halboffizieller Kommunikationskanal für das Unternehmen dienen: Denn dann ist es gesetzlich verpflichtend, diese Mitteilungen auch vorschriftsmäßig zu archivieren. Das ist ein schwieriges Unterfangen, da diese Netzwerke die Messages nur für kurze Zeit aufbewahren.

Letztendlich öffnen unsachgemäß und unreglementiert eingesetzte soziale Netzwerke in Unternehmen auch Hackern Tür und Tor, darüber Malware in die Firma einzuschleusen. Denn die eingesetzten Security-Tools müssen speziell darauf ausgelegt sein, die Protokolle von Social Networks zu überwachen. Aber die arbeiten teilweise mit cleveren Tricks, um Firmenfirewalls unbemerkt zu umgehen.

Alle sind sich einige, dass soziale Netzwerke aus den Unternehmen nicht mehr wegzudenken sind. Die Büchse der Pandora ist geöffnet. Mit allen Vorteilen, auf die weder Mitarbeiter noch Firmenchefs verzichten wollen und allen Nachteilen und Gefahren, die sie mit sich bringen. Eine Grundregel der Osterman-Marktforscher lautet deshalb, die soziale Netzwerktätigkeit der Mitarbeiter intensiv zu beobachten und auf keinen Fall sich selbst zu überlasse: Social Networking braucht fachgerechtes Management.

Zu diesem Social-Network-Management gehört im ersten Schritt, zu überprüfen, wie und wofür die Tools im eigenen Unternehmen überhaupt eingesetzt werden. Im zweiten Schritt sollten Regeln aufgestellt werden, was und auf welche Weise in Facebook, Youtube oder im Firmenblog kommuniziert werden soll und darf. Konzerne, die etwa gegenüber der Presse akribische "Sprechberechtigungsregeln" pflegen, erlauben es ihren Bloggern - die durchaus manchmal Praktikantenstatus haben können - im Firmenblog blauäugig und unzensiert Geschichten zu erzählen.

Dies verhindern eindeutige Policies und Zuständigkeiten. Aber wie die Ostermann-Studie zeigt (siehe Grafik unten) haben diese bisher nur wenige Firmen auch für Social Networking eingeführt. Und ob diese eingehalten werden, muss natürlich ebenfalls regelmäßig überprüft werden. Das bedeutet eine Balance zu finden, zwischen dem was erlaubt, erwünscht und verboten ist.

Aber auch die technische Abteilung ist gefordert: Da Social-Networking-Tools ein willkommenes Einfallstor für Schadsoftware sind, heißt es für die Verantwortlichen, Sicherheitstools und -Technologien zu evaluieren, die diese Gefahren in den Griff bekommen.

Ende Juli tagte in München unter der Ägide des Hightech Presseclubs eine Expertenrunde mit Teilnehmern aus der Industrie und Fachinstitutionen zum Thema "Sicher in sozialen Netzen". Schwerpunkt war der Einsatz von Xing, LinkedIn, Facebook und Twitter in Unternehmen. "Kaum sind Management und Mitarbeiter in sozialen Netzen drin, schon startet die Diskussion über Gefahren und Probleme, interne Regelwerke, Online-Reputation, Daten- und IT-Sicherheit. Also alle wieder raus aus den Netzen und Schotten dicht? Oder drin bleiben, aber anders?" Wie Unternehmen optimal mit Social Networks umgehen, wollten die Experten ausdiskutieren.

Interessante Frage, doch wenig Ergebnis. Denn um es vorweg zu nehmen, auch den eingeladenen Experten fehlten die zündenden Ideen, um das Dilemma aus dem Weg zu räumen. Zumindest einige interessante Anregungen konnten die Zuhörer aber mit nach Hause nehmen.

"Wir müssen Bewusstsein bei den Anwender schaffen: Was ich nicht in der Zeitung lesen will, sollte auch nicht in einem Sozialen Netzwerk stehen", meint Markus Bernhammer, Geschäftsführer von Sophos Deutschland. Seiner Ansicht nach bergen soziale Netzwerke für ein Unternehmen eindeutig ein reales Gefahrenpotenzial: Für die Datensicherheit, für die Integrität und das Image der Firmen. "Ich bin durchaus der Meinung, dass sich Anwender für das Problem sensibilisieren lassen. Schließlich haben auch viele Autofahrer den Gurt aus Vernunft angelegt, nicht, weil sie Strafe zahlen mussten, wenn sie es unterlassen. Aber ich gebe zu, es geht langsam voran."

Bernhammer fordert die Netzwerk-Betreiber auf, die Nutzer intensiv zu informieren um ihnen das nötige Wissen zu vermitteln, sich richtig zu verhalten. Denn die Anwender seien ahnungslos und tappten in die Fallen. "Ein Lösung wäre etwa, bei neuen Mitgliedern in Sozialen Netzwerken, die Rechte nur schrittweise freizugeben - wie etwa ein PS-limitiertes Auto für Anfänger. Erst wenn man sich im Social Network auskennt, kann man den vollen Umfang selbständig nutzen."

Auch die Firmen-IT sei gefordert. Sie müsse Prophylaxe betreiben: Der Nutzer braucht Systeme, die die Infektion verhindert. Die Unternehmen sollen - etwa durch Virtualisierung - Bereiche abkoppeln, in denen sensible Daten liegen. Auch Verschlüsselung nehme Datensammlern die Lust.

Noch konsequenter als Sophos setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die Aufklärung der Nutzer von Social Networks. Sie sollten sich mehr in Zurückhaltung üben und Vorsicht walten lassen - beim Anklicken unbekannter Seiten und sichere sowie unterschiedliche Passwörter verwenden. Um die Anwender aufzuklären verteilt das Amt Broschüren und informiert auf seiner Website. Für die User sollte es selbstverständlich sein, auch die AGBs zu lesen, im Umkehrschluss müssten die Betreiber diese allgemeinverständlich formulieren und die Nutzer zuverlässig über Änderungen informieren.

"Wir müssen mit unserer Botschaft die breite Masse der User erreichen. Die Betreiber müssen wettbewerbsübergreifend Lösungen für mehr Sicherheit finden und Mindeststandards in der Selbstverpflichtung einhalten", fordert BSI-Präsident Michael Hange. "Schließlich haben wir in Deutschland im Gegensatz zu anderen Ländern einen gültigen Datenschutz."

Ins gleiche Horn stößt Dieter Kempf, Präsidiumsmitglied des Bitkom, Vorstandsvorsitzender von Deutschland sicher im Netz e.V. und Vorstandsvorsitzender der Datev. Auch seiner Ansicht nach müssen User mündig gemacht und aufgeklärt werden - etwa mit verständlichen AGBs. "Es gibt in Deutschland konkrete Vorgaben und Sicherheitsbestimmungen und die Betreiber sind erst einmal gefordert, diese zu beachten. Derzeit dienen AGBs dazu, ihren Verfassern den Rücken freizuhalten, nicht dazu, die Kunden zu informieren. Das gleiche gilt für die Datenschutzbestimmungen. Auch die müssen verständlicher werden."

"Soziale Netzwerke sind eine wunderbare Art, persönliche Schad-Software zu verteilen und die Freunde auszuspionieren. Nachdem wir das Spam-Problem ganz gut im Griff haben, heißt das neue Spiel infizierte Websites. Und das funktioniert mit sozialen Netzwerken hervorragend: Es wird verlinkt auf einen Download, den der Freund unbedingt haben will: Voilà - Schadsoftware angekommen. Ein perfektes Beispiel viralen Marketings," schildert Wieland Alge, Geschäftsführer von Barracuda Networks, die Lage aus einer Sicht.

Anders als Sophos-Chef Bernhammer, BSI-Präsident Hange und Bitkom-Sprecher Kempf hält Alge es aber für ein aussichtsloses Unterfangen, die Anwender zu missionieren. "Was etwa in den AGBs steht, ist den Usern unglaublich egal, die lesen nicht einmal Gebrauchsanweisungen für ihren Staubsauger.“ Deshalb seien etwa auch Empfehlungen illusorisch, die der BSI den Betreiber der Netzwerke macht.

Für seinen Pessimismus gibt Alge auch einen Grund an: "Als das BSI die Zertifizierung 'MCert' herausgegeben hat, die wirklich verlässlich Sicherheit garantiert, hat das niemand im Geschäftsleben interessiert. Dabei hätte es lächerliche 100 Euro gekostet. Deshalb bezweifle ich, dass wir es irgendwann erleben, dass User der Sicherheit Priorität einräumen." Seiner Ansicht nach gibt es keine realistische Vorgehensweise, die Erfolg verspricht. Prinzipiell habe die Security-Industrie für alle Arten von Threats Antworten und Lösungen. Aber diese würden vielfach nicht eingesetzt, da sie die Firmen als zu aufwändig empfänden.

Betreiber müssen bei den Usern Vertrauen schaffen

"Die Betreiber von sozialen Netzwerken müssen gewährleisten, dass die Daten der User bei ihnen sicher sind", findet Johannes Mainusch, Vice President Operations der Xing AG. "Unsere Kommunikation hat sich grundlegend verändert. Wir erhalten via Netz sehr schnell Informationen und können Referenzen einholen. Dafür sind soziale Netzwerke eine ideale Plattform."

Aber diese Art von Kommunikation setze Vertrauen und Selbstbestimmung voraus. Es müsse auch auf dieser Plattform klar sein, wer darf mithören und wer nicht, wer welche Einblick haben darf und was weitgehend privat bleibt. Diese Sicherheit müsse auch ein Betreiber von sozialen Netzwerken seinen Usern garantieren - etwa wie beim Online-Banking. "Sie müssen sicherstellen, dass es private Kanäle gibt und dass diese auch verlässlich funktionieren. Das ist die Grundlage für das Vertrauen bei den Usern, das man nicht verordnen oder erbetteln kann, sondern das man sich erwerben muss."

Kein "Lex Facebook" notwendig

Der Xing-Manager ist dabei in einer vergleichsweise komfortablen Situation. Ein Versuch des Netzwerks zur Werbefinanzierung^[21] wurde bereits vor Jahren von den Nutzern abgelehnt und daher wieder weitgehend verworfen. Auch die Diskussionen zum Datenschutz der Mitglieder^[22] wurde schon vor drei Jahren geführt. Inzwischen scheint das Unternehmen ein tragfähiges Geschäftsmodell^[23] gefunden zu haben, das ohne die bei den aus den USA stammenden Netzwerken herrschende Datensammelwut auskommt.

Dennoch weist auch Mainusch darauf hin, dass die User mehr Bewusstsein für die Materie entwickeln und auch die eigenen Daten kontrollieren müssten, die sie nach außen geben: "Ihnen muss klar sein, dass öffentliche Darstellungen extrem weit kommuniziert werden und nicht mehr zurück zu holen sind." Seiner Ansicht nach braucht es jedoch kein "Lex Facebook": "Meine Forderung lautet, erst einmal die bestehenden Datenschutzbestimmungen zu nutzen." Anschließend sei mit öffentlichen Diskussionen und Debatten für mehr Transparenz zu sorgen und alle noch offenen Fragen zu beantworten."

URLs in diesem Artikel:
[1] = http://www.ostermanresearch.com
[2] = http://www.vodafone.de
[3] = http://www.zdnet.de/mobiles_arbeiten_mit_handheld_pda_handy_smartphone_besser_als_googles_nexus_one_htc_desire_im_test_review-20000153-41530176-1.htm
[4] = http://www.zdnet.de/mobiles_arbeiten_mit_handheld_pda_handy_smartphone_android_2_2_mehr_tempo_und_nuetzliche_business_funktionen_story-20000103-41532757-1.htm
[5] = http://www.vodafone.de/privat/360.html
[6] = http://www.zdnet.de/mobiles_arbeiten_mit_handheld_pda_handy_smartphone_htc_desire_so_entfernt_man_aggressives_provider_branding_story-20000103-41535969-1.htm
[7] = http://www.zdnet.de/galerie/41522076/web-2-0-nutzung-in-unternehmen.htm#sid=41536177
[8] = http://www.facebook.com/vodafoneDE?v=wall
[9] = http://www.facebook.com/group.php?gid=144976148854647
[10] = http://www.facebook.com/pages/Say-No-To-Vodafone-360-Spamware-On-The-HTC-Desire/143316162362864?ref=ts
[11] = http://www.zdnet.de/news/mobile_wirtschaft_htc_desire_vodafone_bringt_froyo_ohne_360_services_story-39002365-41536090-1.htm
[12] = http://www.techradar.com/news/phone-and-communications/mobile-phones/vodafone-htc-desire-update-expected-in-7-10-days-708953
[13] = http://www.zdnet.de/galerie/41515272/malware-in-sozialen-netzen.htm#sid=41536177
[14] = http://www.zdnet.de/it_business_bizz_talk_virgin_atlantic_social_network_als_pr_katastrophe_story-39002398-39340229-1.htm
[15] = http://www.virgin-atlantic.com/
[16] = http://www.facebook.com/virginatlantic
[17] = http://www.independent.co.uk/news/uk/home-news/virgin-atlantic-sacks-13-staff-for-calling-its-flyers-chavs-982192.html
[18] = http://en.wikipedia.org/wiki/Robin_Sage
[19] = http://www.zdnet.de/galerie/41516053/die-datenschutzgefahren-in-sozialen-netzwerken.htm#sid=41536177
[20] = http://www.zdnet.de/galerie/39187651/datenjagd-in-sozialen-netzwerken.htm#sid=41536177
[21] = http://www.zdnet.de/news/wirtschaft_telekommunikation_mitglieder_protestieren_gegen_werbung_in_xing_story-39001023-39160012-1.htm
[22] = http://www.zdnet.de/news/wirtschaft_sicherheit_security_datenschutz_mitglieder_kritisieren_neues_xing_feature_story-39001024-39159549-1.htm
[23] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_xing_verlust_trotz_umsatz__und_mitgliederwachstums_story-39001020-41529867-1.htm
[24] = http://www.zdnet.de/galerie/41527243/so-kommen-google-und-facebook-an-private-daten.htm#sid=41536177