SECURITY POLICIES

So machen Sie Ihre Mitarbeiter Security-fit für Social-Media

Lesedauer 7 Min.

Ein Foto posten, eine News teilen oder eigene Erlebnisse veröffentlichen: Social Media gehört zum täglichen Leben vieler Mitarbeitenden einfach dazu. Was im privaten Umfeld kein Problem ist, kann eines auf der Arbeit werden. Nämlich dann, wenn Informationen von und über die Firma unvorsichtig in die Welt gesetzt werden. Entsprechende Regeln sollte die Geschäftsführung entwickeln.

Fotos von Büroschreibtischen und Firmengebäuden, weitergeleitete Posts von Kollegen oder mal einfach die eigene, berufliche Meinung rausposaunen: Die meisten Arbeitnehmer lassen ihre Follower in sozialen Netzwerken an ihrem dienstlichen Leben teilhaben. Die wenigsten denken daran, dass das Teilen von arbeitsbezogenen Inhalten unter Umständen dem Arbeitgeber schaden und sogar die Sicherheit des Unternehmens schwächen kann. Beim Posten und Teilen unterscheiden viele nicht mehr zwischen privat und dienstlich. Zwangsläufig beachten Mitarbeitende immer seltener die Grenze zwischen dem, was geteilt werden darf, und dem, was dem Arbeitgeber schaden kann. Zu groß ist die Lust auf Likes und Kommentare, als dass man sich darüber ernsthaft Gedanken macht. Manchmal reicht schon ein zufälliges Foto vom Schreibtisch eines Mitarbeiters aus, um die Sicherheit des Unternehmens zu schwächen, da sensible Informationen, die sich im Hintergrund befinden, aufgenommen werden können.

Auch durch das Veröffentlichen von Informationen über Kollegen, die Firma oder Kunden serviert man Hackern freiwillig die Daten auf dem Präsentierteller, die sie für ihre sogenannten „Social Engineering“-Angriffe benötigen.

Mit der geregelten Nutzung der sozialen Medien am Arbeitsplatz - d. h. der Nutzung von Plattformen während der Arbeitszeit, der Freigabe arbeitsbezogener Inhalte oder der Anmeldung bei Social-Media-Apps über die Geräte des Unternehmens - werden sich die meisten Unternehmen früher oder später auseinandersetzen müssen. Eine Untersuchung des Pew Research Center hat ergeben, dass zwar 74 Prozent der Erwachsenen soziale Medien nutzen, aber 73 Prozent der Unternehmen ihren Mitarbeitern keine offiziellen Richtlinien für deren Nutzung geben. Eine funktionierende Social-Media-Richtlinie bewahrt Unternehmen vor Schaden und Mitarbeitende vor ungewolltem Ärger.

1. Legen Sie das Ziel Ihrer Social-Media-Richtlinie fest 

Social-Media-Richtlinien können zahlreiche Funktionen haben. Legen Sie daher bei deren Ausarbeitung zunächst die Ziele fest, die Sie als Unternehmen zu erreichen hoffen. Die Richtlinie sollte in erster Linie die Cybersicherheit Ihres Unternehmens und Ihrer Mitarbeiter erhöhen; sie kann aber auch den Ruf Ihrer Marke schützen. Sie können sich ausschließlich auf die arbeitsbezogenen Inhalte konzentrieren, die Ihre Mitarbeiter teilen, oder auch Vorschläge gegen Beiträge mit problematischen Themen wie Rassismus, Frauenfeindlichkeit oder Diskriminierung machen. Wenn Sie von Anfang an Ihre Ziele kennen, können Sie besser entscheiden, welche Punkte Sie aufnehmen wollen und wie allgemein oder speziell Ihre Richtlinie sein soll.

2. Ziehen Sie die Grenze zwischen dem, was sicher und dem, was riskant ist 

Ihre Mitarbeiter sollten keine Geschäftsgeheimnisse, persönliche Informationen über ihre Kollegen oder die Kunden Ihres Unternehmens, unangekündigte Geschäftspläne oder sogar berufliche Fragen online weitergeben. Aber auch scheinbar harmlose Bilder vom Arbeitsplatz, wie beispielsweise Fotos vom Schreibtisch, können unsicher sein. Scheinbar unwichtige Details - wie Dokumente, Haftnotizen oder die Fenster auf dem Bildschirm - können personenbezogene Daten enthalten und den Arbeitgeber, die Mitarbeiter oder die Kunden in Gefahr bringen. In Ihrer Richtlinie sollte klar unterschieden werden zwischen Informationen, die problemlos veröffentlicht werden können, und Daten, welche die Sicherheit Ihres Unternehmens und Ihrer Mitarbeiter möglicherweise beeinträchtigen. Um es Ihren Mitarbeitern einfacher zu machen, sollten Sie eine Reihe von vorab genehmigten Beiträgen erstellen, an denen sich Ihre Mitarbeiter orientieren können. Bestimmen Sie zudem einen Ansprechpartner, an den sich Ihre Mitarbeiter im Zweifelsfall wenden können.

3. Richtlinien sollten sich auch mit spezifischen sozialen Medien befassen 

Es gibt nicht die eine, allumfassende Richtlinie für alle Social Media-Aktivitäten. Oftmals bedarf es auch spezieller Regelungen, denn die sozialen Netzwerke unterscheiden sich recht deutlich: Sowohl in der Art und Weise, wie sie arbeiten als auch in den angebotenen Apps. Einige können als sicherer angesehen werden als andere – beispielsweise in puncto Datenschutz oder Datensicherheit. Unbedingt beachten: Zu den sozialen Medien gehören auch persönliche Blogs oder Webseiten, die durch unsachgemäße Einstellungen anfällig für Hacker sind. Daher sollten Sie Ihre Richtlinie so anpassen,

  • dass sie die verschiedenen Plattformen abdeckt
  • welche Sicherheitsbestimmungen Sie von Ihren Mitarbeitern erwarten
  • wie sie ihre Konten mit sicheren Passwörtern und Multi-Faktor-Authentifizierung (MFA) schützen
  • und welche Datenschutzeinstellungen Sie empfehlen.

4. Besprechen Sie die Nutzung von sozialen Medien während der Arbeitszeit

Ihre Richtlinie sollte das Thema zur Nutzung von Social-Media-Apps während der Arbeitszeit aufgreifen. In einigen Fällen können die Plattformen sogar produktiv für die Kommunikation zwischen Mitarbeitern genutzt werden. Auch als Informationsquelle sind Facebook & Co. sehr wertvoll. Sie können Ihnen bei der Recherche nach Daten und Fakten helfen oder sogar Lösungen für arbeitsbezogene Probleme beinhalten. Idealerweise finden Sie für Ihre Belegschaft die richtige Balance, Social-Media-Plattformen sinnvoll zu nutzen und sich gleichzeitig auf die Arbeit und die Cybersicherheit zu konzentrieren.

5. Konzentration auf die riskanten (aber üblichen) Aktivitäten

Neben dem Austausch von Informationen dienen Social Media-Apps auch für die Nutzung interaktiver Inhalte. Diese Aktivitäten können ein größeres Risiko darstellen, weil sie möglicherweise Malware enthalten/verbreiten oder für Phishing genutzt werden. Ihre Social-Media-Richtlinie sollte Ihre Mitarbeiter davon abhalten, auf unbekannte Links oder Nachrichten von verdächtigen Konten zu klicken. Eine weitere beliebte Aktivität - insbesondere auf Facebook - sind Quizspiele. Diese können die Zeit schneller vergehen lassen und fühlen sich manchmal wie ein lustiges Interview an. Was viele dabei nicht wissen: Ihre Antworten werden nicht immer vertraulich behandelt. Als negatives Paradebeispiel gilt dafür die Facebook-Quiz-App namens „Most Used Words“. Sie gab in ihren Bedingungen an, dass der Nutzer mit seiner Zustimmung den Entwicklern die Erlaubnis erteilt, seine Daten an Dritte zu verkaufen - einschließlich Name, Bilder, Freunde, den gesamten Facebook-Verlauf und sogar die IP-Adresse und Besonderheiten des Geräts. Die in Quizspielen geteilten Informationen können auch von Betrügern zum Erraten von Passwörtern verwendet werden. Daher sollte die Vermeidung dieser Aktivitäten ein wesentlicher Schritt zur Wahrung der Cybersicherheit Ihres Unternehmens sein.

6. Betonen Sie die Vorteile von Social-Media-Richtlinien  

In einer Umfrage des Cyber Readiness Institute gaben 22 Prozent der Arbeitnehmer zu, die Cybersicherheitsrichtlinien ihres Unternehmens täglich oder wöchentlich zu ignorieren oder zu umgehen. Die Gründe dafür sind vielfältig. Vielleicht sind sie sich der möglichen Vorteile der Aufrechterhaltung ihrer Cybersicherheit nicht vollständig bewusst. Möglicherweise wissen sie gar nicht, wo sie die Richtlinien finden können. Oder sie betrachten die Richtlinie einfach als eine Reihe von optionalen Empfehlungen. Um diese Vernachlässigung zu verhindern, sollten Sie Ihr Regelwerk leicht zugänglich machen, damit sie die Mitarbeiter jederzeit einsehen können. Aus Gründen der Transparenz und des Verständnisses sollten Sie entsprechende Schulungen anbieten, in denen Sie die einzelnen Punkte Ihrer Richtlinie erläutern, begründen und die Vorteile darstellen.

7. Bleiben Sie auf dem Laufenden 

Da sich die Technologien ständig weiterentwickeln, werden Ihre Mitarbeiter im Laufe der Zeit mit neuen Problemen konfrontiert werden. Arbeiten Sie daher mit Ihrem IT-Team zusammen, beobachten Sie gemeinsam die Welt der sozialen Netzwerke und reagieren Sie zeitnah auf mögliche Veränderungen. Planen Sie auch regelmäßige Besprechungen mit Ihren Mitarbeitern sowie regelmäßige Schulungen, um immer up to date zu bleiben. Letztlich gehört Ihre Social-Media-Richtlinie regelmäßig auf den Prüfstand, um sie aktuellen Herausforderungen anzupassen.