Soziale Plattformen im Internet sind heutzutage ein wichtiger Bestandteil der digitalen Unternehmenskommunikation. Sie sind bedeutende Instrumente der Kundenpflege und -werbung. Dabei ist eine eigene Social-Media-Strategie empfehlenswert – der Sicherheit halber.
Mittlerweile dürfte sich fast jeder privat oder beruflich auf der einen oder anderen digitalen Social-Media-Plattform bewegen. Ebenso sind immer mehr Unternehmen aus der Gruppenreisebranche dort vertreten und nutzen die Möglichkeiten des Interagierens mit Kunden oder potenziellen Kunden.
Die Firmenpräsenz auf facebook, instagram und Co. ist mittlerweile fester Bestandteil von Marketing, Vertrieb und Customer Relationship Managagement, also der Kundenpflege. Hier kann man ziemlich einfach, bequem und sehr persönlich auf Tuchfühlung mit seinen Kunden gehen. Man kann sie für kommende Reisen begeistern und bekommt direktes feedback zu Urlaubsreisen, die gerade zu Ende gegangen sind. Lob und Kritik gehören dazu und ab und zu muss man als Reiseveranstalter auch für Dinge geradestehen, für die man absolut nichts kann – z. B. für den unfreundlichen Kellner, Verkehrschaos oder schlechtes Wetter.
Soziale Medien sind in puncto Sicherheit eine Herausforderung
Aber die sozialen Medien bergen auch ganz andere Gefahren als Kundenkritik, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont und die oftmals unterschätzt werden: „Privatsphäre und Datenschutz sind längst nicht mehr die einzigen Themen, die im Zusammenhang mit sozialen Medien kontrovers diskutiert werden. Auch (Cyber-)Kriminelle haben die Beliebtheit dieser Plattformen als Chance erkannt“.
Soziale Medien sind – mit Blick auf die IT-Sicherheit – für Unternehmen durchaus eine Herausforderung, so das BSI. Eine potenzielle Gefahr stellt z. B. der Identitätsdiebstahl da. Dabei hacken Kriminelle bestehende Accounts und übernehmen das Profil eines Mitarbeiters oder gar des ganzen Unternehmens und agieren an ihrer Stelle im Netz.
Unter Social Engineering verstehen die IT-Fachleute wiederum ein unreflektiertes und sehr offenes Kommunikationsverhalten der Mitarbeiter auf den Plattformen, das es „Bösen Buben“ leicht macht, an Passwörter oder vertrauliche Informationen heranzukommen. Unter Umständen können Angreifer so nach und nach die Unternehmensstruktur sowie die Beziehungen zu Kunden und Geschäftspartner in Erfahrung bringen. „Häufig bedarf es nicht einmal eines gezielten Angriffs, damit vertrauliche Informationen eines Unternehmens nach außen dringen. Selbst wenn ein Mitarbeiter z. B. in seinem privaten Profil lediglich Bilder veröffentlicht, so können diese unter Auswertung von darin ggf. eingebetteten Geodaten und Korrelation mit Postings des Mitarbeiters durchaus Aufschluss darüber geben, wann sich die Person wo befunden hat und mit welchem Firmenkunden sie z. B. in Kontakt stand“, so das BSI.
Ebenso lassen sich über soziale Medien Schadsoftware transportieren. „In versendeten Nachrichten oder veröffentlichten Postings kann sich, wie in herkömmlichen E-Mails auch, Schadsoftware bzw. ein Link darauf befinden“. Mögliche Angriffsvarianten in diesem Kontext sind Cross-Site-Scripting (XSS), Clickjacking und (Spear)Phishing. Bei ersterem werden nicht vertrauenswürdige Informationen in einen Kontext eingefügt, in dem sie als vertrauenswürdig eingestuft und somit nicht als Gefahr erkannt werden. Bei Clickjacking wird die Darstellung der eigenen Internetseite technisch überlagert und dann der User dazu bewegt, scheinbar harmlose Tastatureingaben oder Klicks auszuführen. Und bei Spearphishing werden Mitarbeiter gezielt mit persönlichem Wissen über sie angesprochen bzw. angelockt, um so die Erfolgswahrscheinlichkeit des eigentlichen Angriffs zu erhöhen. Die Erfolgsquote lag bei einer Studie und entsprechenden Experimenten der Association for Computing Machinery aus dem Jahr 2007 bei 70 %!
Das BSI rät Unternehmen, um diese Gefahren zu minimieren, zu einer eigenen Social-Media-Strategie. Nur so lassen sich auch geeignete Vorgaben mit Blick auf die Sicherheit definieren. „Die Strategie muss in jedem Fall derart gestaltet werden, dass insbesondere die sicherheitsspezifischen Aspekte und Festlegungen mit der Sicherheitsleitlinie des Unternehmens vereinbar sind. Zudem sollte eine regelmäßige Re-Evaluierung der Strategie vorgenommen werden“, betonen die Fachleute des BSI.
Text: Dirk Sanne
Bild: Facebook, twitter, instagram und Co. bieten Unternehmen, Möglichkeiten mit ihren Kunden zu interagieren
Bildquelle: pixabay/LoboStudioHamburg