Upload
gneukamp
View
243
Download
1
Embed Size (px)
DESCRIPTION
Digital Natives sind in den Unternehmen angekommen. Die Sozialisierung dieser jungen Menschen mit Massenmedien hat Soziale Netzwerke im `WWW´ wie `Facebook´, `XING´ und `LinkedIN´ zu natürlichen Kommunikationsinstrumenten für alle gemacht. Wirtschaftliche Entscheidungsprozesse im B2B Geschäft werden stark durch persönliche Beziehungen beeinflusst. Die Pflege dieser Beziehungen findet heute unter anderem in diesen Sozialen Netzwerken statt. Unternehmen und MitarbeiterInnen müssen die Bedrohungen für Unternehmen und die eigene Person kennen. Es müssen entsprechende Vorkehrungen getroffen werden, um die Vorteile dieser Netzwerke ohne Schaden für das eigene Unternehmen zu nutzen.Die Ergebnisse der Forschungsarbeit bilden einerseits die Grundlage für die Entwicklung von individuellen `Social Media Richtlinien´. Andererseits sind sie eine Hilfestellung für RisikomangerInnen, bei der Beurteilung der Risiken dieser Sozialen Netzwerke als Beziehungsmanagementinstrument in Unternehmen.
Citation preview
Bedrohungen bei der individuellen Nutzung von
sozialen Netzwerken
im B2B Kontext
Welche spezifischen Bedrohungen ergeben sich für Unternehmen
aus der individuellen Nutzung von sozialen Netzwerken im WWW,
wie Facebook, XING und LinkedIn, als Beziehungsmanagement Tool
der MitarbeiterInnen im B2B Kontext im Lichte von Enterprise 2.0.
Master Thesis
zur Erlangung des akademischen Grades
Master of Science MSc
Im Universitätslehrgang
MSC Interactive Media Management 3
verfasst von
Günther R. Neukamp
Eingereicht am Department für Interaktive Medien und Bildungstechnologien der
Fakultät für Bildung und Medien an der Donau Universität Krems
Betreuer: Univ.-Lektor Mag. Aga Kwiecinski
Tag der mündlichen Prüfung: 16.9.2011
Krems, September 2011
Abstract
Digital Natives sind in den Unternehmen angekommen. Die Sozialisierung dieser
jungen Menschen mit Massenmedien hat Soziale Netzwerke im `WWW´ wie
`Facebook´, `XING´ und `LinkedIN´ zu natürlichen Kommunikationsinstrumenten
für alle gemacht. Wirtschaftliche Entscheidungsprozesse im B2B Geschäft werden
stark durch persönliche Beziehungen beeinflusst. Die Pflege dieser Beziehungen
findet heute unter anderem in diesen Sozialen Netzwerken statt. Unternehmen und
MitarbeiterInnen müssen die Bedrohungen für Unternehmen und die eigene Person
kennen. Es müssen entsprechende Vorkehrungen getroffen werden, um die Vorteile
dieser Netzwerke ohne Schaden für das eigene Unternehmen zu nutzen.
Die Ergebnisse der Forschungsarbeit bilden einerseits die Grundlage für die
Entwicklung von individuellen `Social Media Richtlinien´. Andererseits sind sie eine
Hilfestellung für RisikomangerInnen, bei der Beurteilung der Risiken dieser Sozialen
Netzwerke als Beziehungsmanagementinstrument in Unternehmen.
Digital Natives have `landed´ in the companies. Young people are socialized with
mass media. Social networks, like `Facebook´, ´XING´ and `LinkedIN´, are now
common communication instruments for everyone. Personal relations have a major
impact on economic B2B decision processes. Today relationship management is also
done in these social networks. A company and its employees have to know the
threats for the company and for themselves. They have to take necessary precautions
to use the advantages of social networks without harm for his company.
The results of this research are fundamental for the development of individual
`Social Media Guidelines´ and support to risk managers, evaluating social networks
as relationship management tools in companies.
Vorwort
Ich hatte als Manager in den Branchen Industrierohstoffe, Verpackung,
Industriedienstleistungen, Personalentwicklung und Business Consulting immer
wieder die Aufgabe die persönliche Beziehung zwischen MitarbeiterInnen des
eigenen Unternehmens und anderer Unternehmen zu fördern, zu entwickeln und zu
pflegen.
Seit 2006 befasse ich mich beruflich mit Social Media Aktivitäten zur Unterstützung
der Akquisition und Kundenbindung von Unternehmen im Bereich Business
Consulting, Software und Industrie.
Im Jahr 2008 absolvierte ich den 5. Strategischen Führungslehrgang im Auftrag der
österreichischen Bundesregierung und des Nationalen Sicherheitsrates, welcher sich
auch intensiv mit Corporate Security und Cyber Crime Herausforderungen
auseinandersetzt.
Seit 2008 bin ich nebenberuflich Lektor an der FH Campus Wien im Bachelorstudium
„Integriertes Sicherheitsmanagement“ und im Masterprogramm „Corporate Security
und Risikomanagement“ für die Themen Verhandlungstechnik, Führung und
Präsentationstechnik.
Zahlreiche Unternehmen sind bis heute nicht auf die Social Media Aktivitäten ihrer
MitarbeiterInnen vorbereitet.
Damit lag das Forschungsfeld für meine Master These auf der Hand.
Ich widme diese Arbeit meiner 88jährigen Großmutter, die mir von Kindesbeinen an
immer fest zur Seite steht. Sie kann nur wenig mit den Inhalten dieser Arbeit
anfangen, aber ohne ihre Unterstützung wäre ich nicht wer ich heute bin. Danke!
Inhaltsverzeichnis
1. Einleitung
1.1. Ausgangssituation und Zielsetzung - 1
1.2. Aufbau dieser Masterthesis - 4
2. Begriffsdefinition und Theoretische Grundlagen 2.1. Unternehmensrisiken und Bedrohungen - 5
2.2. Soziale Netzwerke - 16
2.2.1. Die Zeit vor `facebook´, `XING´ und `LinkedIn´ - 16
2.2.2. `facebook´ - 18
2.2.3. `XING´ - 28
2.2.4. `LinkedIn - 34
2.3. Enterprise 2.0 - 34
2.4. B2B Beziehungsmanagement - 36
3. Forschungsmethoden 3.1. Literarische Forschung - 40
3.1.1. „How to avoid Facebook & Twitter Disasters“ (Null, 2009) - 40
3.1.2. “Facebook, Myspace & Co” (Zimmer, 2009) - 45
3.1.3. „Gesamte Rechtsvorschrift für Urheberrechtsgesetz“ (Bundesgesetz, 2011) - 46
3.1.4. „Safer Surfing“ (saferinternet.at, 2011) und „internet sicher nutzen“ (ispa, 2011) - 48
3.1.5. „Arbeitsrecht für die betriebliche Praxis“ (Mayrhofer, 2011) - 51
3.1.6. „Building A World-Class Compliance Program” (Biegelman, 2008) - 53
3.1.7. “Unsere Kommunikation der Zukunft“ (Scoble, et al., 2007) - 54
3.1.8. „Gefahren durch Wirtschafts- und Industriespionage für die österreichische Wirtschaft“ (BMI,
2010) - 55
3.1.9. „Infoblatt Elektronische Abwehr“ (Abwehramt, 2006) - 56
3.1.10. „Sophos Security report 2011“ (Sophos, 2011) - 57
3.1.11. “Implementing Solutions to Social Media´s Security Risks” (Security Directors Report, 2010) - 61
3.1.12. “Cisco 2010 Annual Security Report” (Cisco, 2010) - 61
3.1.13. “Industriespionage 2.0 – Soziale Netzwerke und Ihre Auswirkungen auf die Firmensicherheit“
(Poller, 2008) - 63
3.1.14. „Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World”
(Haid, 2010) - 64
3.1.15. “10 THINGS you should know now about…. SOCIAL MEDIA SECURITY” (Reisinger, 2009) - 65
3.1.16. “Informationstechnologie – Sicherheitstechnik ÖNORM ISO/IEC ISO 27001“ (ON
Österreichisches Normungsinstitut, 2008) - 66
3.2. Forschungsabschluss
3.2.1. Schwachstellen, Bedrohungen, Straftaten - 72
3.2.2. Gründe für Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen - 74
3.2.3. Allgemeine Handlungsempfehlungen für MitarbeiterInnen in Sozialen Netzwerken - 75
3.2.4. Unternehmensseitige Handlungsempfehlung bei der Nutzung von Sozialen Netzwerken durch
MitarbeiterInnen - 77
3.2.5. Besondere Handlungsempfehlungen für Unternehmen in sensiblen Industrien mit hoher Relevanz
für potentielle Angreifer - 82
4. Anhänge 4.1. Literaturverzeichnis - 83
4.2. Abbildungsverzeichnis – 86
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 1
1. Einleitung
1.1. Ausgangssituation und Zielsetzung
Unternehmen im `Business to Business´ (B2B) Bereich verlangen von ihren
MitarbeiterInnen den Aufbau und die Pflege von persönlichen Beziehungen zu
MitarbeiterInnen und EntscheidungsträgerInnen von KundInnen, LieferantInnen und
anderen GeschäftspartnerInnen.
Persönliche Beziehungen haben große Bedeutung für den Erhalt bestehender
Kundenbeziehungen:
‚Lastly, it was found that commitment in a relationship can be enhanced if
clients do not regard services on offer from alternative service providers as
more attractive than those offered by their current service provider.‛ (Theron
& Terblanche & Boshoff, 2008 S. 1007)
Für viele Unternehmen stellt der persönliche Austausch über private B2B
Austauschplattformen eine kostengünstige Form des Informations-
austausches dar. (vgl. Chinn & Unkle, 2006 S. 1)
Eine für persönliche B2B Kontakte optimierte Austauschplattform ist die
Social Media Plattform `XING´:
„Zielgruppe dieser Plattform sozialer Software sind berufstätige Personen,
die ihr Kontaktnetzwerk (Partner, Kunden, Freunde, Interessenten, Ex-
Kollegen, Ex-Kommilitonen etc.) online pflegen. Um Mitglied zu werden,
müssen Internetnutzer das 18. Lebensjahr vollendet haben.‚ (wikipedia, 2011
S. 1)
XING ist lt. eigenen Angaben Marktführer in der DACH- Region
(Deutschland, Österreich, Schweiz) im B2B Segment mit 4,69 Mio.
NutzerInnen (vgl. Möller, 2011 S. 7)
Weltweiter Marktführer im persönliche B2B Austausch ist lt. eigenen
Angaben die Social Media Plattform `LINKEDIN´:
„LinkedIn operates the world’s largest professional network on the Internet
with more than 100 million members in over 200 countries and territories<
<More than half of LinkedIn members are currently located outside of the
United States.‛ (Linkedin, 2011 S. 1)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 2
Neben den dezidierten B2B Social Media Plattformen werden B2B
Beziehungen auch auf der allgemeinen Social Media Plattform `FACEBOOK´
gepflegt:
„Österreich wies per 31. Dezember 2010 einen neuen Rekordmitglieder-
bestand von 2.258.020 Personen aus. Am 27. November 2008 waren lediglich
224.780 Personen in Österreich auf Facebook registriert.‚ (wikipedia, 2011,
Seite 1)
Die Nutzung von `Facebook´ in Österreich stieg demnach im Zeitraum von
November 2008 bis Dezember 2010 um über 1000%.
Nicht zuletzt deswegen stellt sich also die Frage, warum sich auch Unternehmen mit dem
Phänomen der Social Media Plattformen auseinandersetzen sollten, und welche
Bedeutung diese aus Sicht der ArbeitgeberInnen haben. Denn eine neue Generation von
MitarbeiterInnen verändert den Kommunikationsbedarf von Unternehmen:
„It is now clear that as a result of this ubiquitous environment and the sheer
volume of their interaction with it, today’s students think and process
information fundamentally differently from their predecessors. These differences
go far further and deeper than most educators suspect or realize. < <As we
shall see in the next instalment, it is very likely that our students’ brains have
physically changed – and are different from ours – as a result of how they grew
up. But whether or not this is literally true, we can say with certainty that their
thinking patterns have changed. I will get to how they have changed in a
minute.
What should we call these ‚new‛ students of today? Some refer to them as
the N-[for Net]-gen or D-[for digital]-gen. But the most useful designation I
have found for them is Digital Natives. Our students today are all ‚native
speakers‛ of the digital language of computers, video games and the
Internet.‚ (Prensky, 2001 S. 1)
Die `Digital Natives´ sind in den Unternehmen angekommen.
Wenn wir von dieser Generation den Aufbau und die Pflege von
persönlichen Beziehungen verlangen, müssen wir – auf Grund der intensiven
Sozialisation durch Massenmedien - die Sozialen Funktionen von
Massenmedien berücksichtigen:
Roland Burkart unterteilt diese in soziale, politische und ökonomische
Funktionen. Als Soziale Funktionen definiert er Sozialisationsfunktion,
soziale Orientierungsfunktion, Rekreationsfunktion und
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 3
Integrationsfunktion.
(vgl. Burkart, 2002 S. 382)
`Digital Natives´ sehen dementsprechend Social Media Plattformen als natürliche Form
der Kommunikation und Beziehungspflege.
„`Digital Natives´ sind mit Wikis, Blogs und Social Networks aufgewachsen
und unterscheiden kaum mehr zwischen virtueller und realer Welt.
Unternehmen sind gut beraten, die Web-Ureinwohner ernst zu nehmen.
Denn sie können nicht weniger als unsere Gesellschaft verändern<
<Besonders Unternehmen mit konservativen Strukturen fällt es schwer, sich
mit den Bedürfnissen der Digital Natives anzufreunden: Für viele der jetzt
jungen Netzgeneration stellt der `Nine-to-Five-Job´ ein Relikt aus Zeiten der
Industrialisierung dar.
Als Netzwerkarbeiter befinden sich viele ihrer Kollegen und Kontakte in
verschiedenen Zeitzonen, sie bevorzugen flache Hierarchien, das Recht auf
Mitbestimmung, Transparenz und Herausforderungen. Dafür bieten sie
flexible Prozessstrukturen und arbeiten oft hoch effizient‚ (Neef Schroll &
Theis, 2009, Seite 1)
Unternehmen stehen damit vor der Herausforderung die Risiken der
Nutzung von Social Media Plattformen durch ihre MitarbeiterInnen zu
bewerten und darauf abgestimmte Maßnahmen zu ergreifen.
Die Verbindung der Erfahrungen im B2B Beziehungsmanagement, Social
Media und Corporate Security führt den Verfasser dieser Master Thesis zu
folgender wissenschaftlicher Fragestellung:
Welche organisatorischen Maßnahmen sind seitens eines Unternehmens empfehlenswert
um die allgemeinen Unternehmensrisiken bei der Nutzung von Social Media Plattformen
durch MitarbeiterInnen als B2B Beziehungsmanagementtool zu reduzieren?
Die gegenständliche Arbeit befasst sich nicht mit den technischen Risiken,
welche sich für die IT Infrastruktur aus der Nutzung von Social Media
Plattformen durch MitarbeiterInnen ergeben.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 4
1.2. Aufbau dieser Master Thesis
Die Methodik ist eine (reine) Literaturarbeit, die - wie für die neuen,
interaktiven Medien ja nicht ungewöhnlich - interdisziplinären
Fragestellungen, z.B. aus dem Bereich Corporate Security und
Risikomanagement (und damit bereits von ihrem grundsätzlichen
Methodenansatzpunkt her dezidiert NICHT empirisch), gewidmet sein kann.
Aufgrund des Themas ist die Einbeziehung von Onlineartikeln inkl.
Wikipedia ausdrücklich seitens der Studiengangs Leitung zulässig.
Die Arbeit umfasst ca. 86 Textseiten
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 5
2. Begriffsdefinition & Theoretische Grundlagen
Als Vorbereitung der Forschungsarbeit ist es wichtig Begriffe, Kontext und
Besonderheiten zu beschreiben. Besondere Spezifika sind zu erläutern aber auch
die eigene Position und Perspektive zu beleuchten.
2.1. Unternehmensrisiken und Bedrohungen
Es gibt unterschiedliche Herangehensweisen bei der Gliederung von
Unternehmensrisiken:
„Unternehmensrisiken oder unternehmerische Risiken können als
Risikoprofil mit einer Rangfolge in einem Geschäftsbericht veröffentlicht
werden. Beispiele aus solchen Geschäftsberichten unterscheiden
Projektrisiken, Produktrisiken, Marktrisiken, Sonstige Betriebsrisiken,
Organisations- und Governance-Risiken, Risiken der strategischen Planung,
Personalwirtschaftliche Risiken, Ökonomische Risiken, Finanzrisiken,
Kommunikations- und Informationsrisiken.‚ (Joerg Schultze-Bohl
Dipl.Inform., 2011 S. 1)
Das Information Security Management von Bell Labs baut auf die
Informationssicherheitsnorm ISO/IEC 27001:2005 auf und gliedert Risiken in
folgende Klassen:
„ISO/IEC 27001:2005 Annex A contains control objectives and security
controls. These control requirements were derived from ISO/IEC 17799:2005
[3], clauses 5 to 15. The 11 clauses or major sections include:
Security policy, Organizing information security, Asset management,
Human resources security, Physical and environmental security,
Communications and operations management, Access control, Information
systems acquisition, development and maintenance, Information security
incident management, Business continuity management and Compliance.‛
(McGee Bastry Chandrashekhar Vasireddy Flynn, 2007 S. 40)
Interne Auditoren unterstreichen bereits 2008 erstmals die Bedeutung von ISO
27000 neben `Enterprise Risk Management´ (ERM) und `Fraud Risk
Management (FRM):
„The 2008 Internal Audit Capabilities and Needs Survey from Protiviti found
that among internal auditors, the top technical competencies in need of
improvement were ISO 27000, enterprise risk management (ERM) and fraud
risk management (FRM).
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 6
Chief audit executives (CAE) constituted more than a third of the 516 audit
professionals who participated in the study. CAEs also named ISO 27000, the
certification standard for information security developed by the International
Organisation for Standardization, as their top competency in need to
improvement, followed by COSO and FRM.‛ (protiviti.com, 2008 S. 25)
Risikomanagement zählt nach wie vor nicht zu den Top Prioritäten der Vorstände und
Führungskräfte in Unternehmen:
„The top priority for boards in 2010 is ‚strategic planning and oversight,‛
noted by 67.5% of respondents, followed by ‚corporate performance and
valuation‛ for 41.5% of directors. ‚Risk and crisis oversight,‛ ‚executive
talent management and leadership development‛ and ‚CEO succession‛ are
other top board priorities.
The level of risk in corporate strategy is appropriate for 86.8% of respondents,
although 32.4% of management teams do not have a comprehensive risk
assessment and 11.7% of directors are not asked to approve the risk profile in
the corporate strategy.‛ (NACD Research, 2010 S. 44)
Viele der Risiken im Bereich Social Media sind für Außenstehende
undurchsichtig und schwer greifbar. Das erschwert die Kommunikation der
damit verbundenen Unternehmensrisiken zusätzlich.
Der Eintritt in neue Marktplätze wie Social Media Plattformen erfordert beim
Risikomanagement ähnliche Sorgfalt wie der Eintritt in Emerging Markets:
‚Of course, the risks of investment may simply be too great to justify entry
into certain political zones. But in many cases investors who explicitly
recognize the dynamism of the environment and implement appropriate
strategies to address it will find the risks quite manageable.‛ (Henisz &
Zelner, 2010 S. 95)
Für das Risikomanagement im Bereich Social Media Plattformen heißt das
Bewusstsein für die Dynamik und schwierige Beherrschbarkeit zu entwickeln
und transportieren. - Wenn ich weiß, dass ich mich auf dünnem Eis bewege, werde ich
es entsprechend vorsichtig tun.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 7
Risiken sind nicht einfach zu eliminieren:
„But – < – don’t believe that it’s easy to eliminate a risk. When you buy
insurance, for example, what you’re really buying is an option to make a
claim against somebody you hope will be good for the payment. So you’ve
just converted one kind of risk into another.‛ (Kaplan, 2009 S. 73)
RisikomanagerInnen müssen auch Risiken in Kauf nehmen:
‚A credible risk manager also has to be a risk taker. If you keep saying no,
you will go out of business.‛ (Hofmann, 2009 S. 75)
Die Grenzen des Risikomanagements zeigen sich auch sehr gut im Finanzsektor.
Legionen von RisikomanagerInnen in Banken und Versicherungen versuchen
Risiken abzuschätzen. Die Lehren aus dem schnelllebigen Finanzsektor
können auch im Zusammenhang mit Risikomanagement für Unternehmen
im Umgang mit Social Media Plattformen hilfreich sein:
„To manage risk effectively, you have to choose the right data and metrics
and have a clear sense of how all the moving parts work together.
Risk managers routinely make six fundamental mistakes:
Relying on historical data. Risk-management modelling involves extrapolating
from the past, but rapid financial innovation in recent decades has made
history an imperfect guide.
EXAMPLE Historical data were of little use in estimating the impact of the
recent fall in house prices, because those data didn’t cover a period during
which the market saw a downturn while a large number of subprime
mortgages were outstanding.‛ (Stulz, 2009 S. 89)
Interaktive Soziale Netzwerke wie `Facebook´, `XING´ und `LinkedIn´ sind
erst wenige Jahre alt. Die Lebenszeit der Strukturen und Funktionalitäten ist
äußerst kurz und permanent im Umbruch begriffen.
‚Focusing on narrow measures. Many financial institutions use daily measures to
track risk. These underestimate a firm’s exposure, because they assume that
assets can be sold quickly, limiting the firm’s losses within a day.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 8
EXAMPLE Financial crises involve a dramatic withdrawal of liquidity from
securities markets, leaving firms exposed for weeks or months on positions
they cannot easily unwind.‛ (Stulz, 2009 S. 89)
Die Konzentration auf wenige Parameter zur Erfassung von Risiken ist bei
der Komplexität von Interaktiven Medien schwierig. Massive
Reputationsschäden oder Know How Diebstahl können oft nur mit großem
Aufwand behoben werden.
‚Overlooking knowable risks. Risk managers simply overlook many types of risk
and sometimes even create them.
EXAMPLE Investors in Russia tried to hedge the risk of a collapse in the
ruble by taking currency positions with Russian banks. But they failed to
recognize that a shock to the banking system would threaten those banks’
ability to meet their commitments.‛ (Stulz, 2009 S. 89)
RisikomanagerInnen übersehen Risiken oder kreieren sie selbst: Der Einsatz
vermeintlich schützender Technologie, schafft unter Umständen erst den
Zugang für neue Bedrohungen – später mehr dazu.
‚Overlooking concealed risks. People responsible for incurring risk often don’t
report it – sometimes deliberately, but often unintentionally. Organizations
have a tendency to expand unreported risks.
EXAMPLE If traders receive a share of the profits they generate but do not
have to defray the losses, they have an incentive to take risks, which is easier
to do if the risks are unmonitored.‛ (Stulz, 2009 S. 89)
Verantwortliche für die Sicherheit unterlassen es aus unterschiedlichsten
Gründen Risiken zu berichten. Die Tendenz von Organisationen gewisse
Risiken nicht zu berichten, wird gerade bei unbekannten Themen, wie
Sozialen Netzwerken, bis zum Bekanntwerden von Schadensfällen in der
Öffentlichkeit verstärkt.
‚Failing to communicate. Risk-management systems will provide little protection
if risk managers don’t communicate clearly.
EXAMPLE The Swiss bank UBS attempted to explain its subprime and
housing exposures in an overly complex way and to the wrong audience.‛
(Stulz, 2009 S. 89)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 9
Eine klare Kommunikation der potentiellen Risiken ist gerade bei der
Kommunikation mit Menschen ohne Bezug zu interaktiven Sozialen
Netzwerken schwierig.
Meinungen vieler Executive ManagerInnen schwanken, vor allem je nach
persönlicher Affinität zu neuen Medien, zwischen Verbot und selektiver
Freigabe.
„Not managing in real time. Risks can change sharply and quickly with daily
fluctuations in the stock market.
EXAMPLE Managers, holding a barrier call option, that doesn’t check the risk
throughout the day may fail to put appropriate hedges in place.” (Stulz, 2009
S. 89)
Bedrohungen durch soziale Netzwerke sind im Extremfall, in ihrer
Auswirkung auf Unternehmen, vergleichbar mit unerwarteten globalen
Krisen oder atomaren Störfällen. Die Vorhersehbarkeit ist äußerst schwierig:
„Black Swan Events“ sind die Feinde konventioneller RisikomanagerInnen:
‚Black Swan events are almost impossible to predict. Instead of perpetuating
the illusion that we can anticipate the future, risk management should try to
reduce the impact of the threats we don’t understand.
WE DON’T LIVE in the world for which conventional risk-management
textbooks prepare us. No forecasting model predicted the impact of the
current economic crisis, and its consequences continue to take establishment
economists and business academics by surprise.
Moreover, as we all know, the crisis has been compounded by the banks’ so-
called risk-management models, which increased their exposure to risk
instead of limiting it and rendered the global economic system more fragile
than ever.
Low-probability, high-impact events that are almost impossible to forecast –
we call them Black Swan events – are increasingly dominating the
environment. Because of the internet and globalization, the world has become
a complex system, made up of a tangled web of relationships and other
interdependent factors.
Complexity not only increases the incidence of Black Swan events but also
makes forecasting even ordinary events impossible. All we can predict is that
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 10
companies that ignore Black Swan events will go under.‛ (Taleb Goldstein &
Spitznagel, 2009 S. 78-79)
Die Auseinandersetzung mit dem `Black Swan Event´ hilft uns Risikomanagementansätze
zu relativieren:
„Warum in aller Welt machen wir so viele Vorhersagen? Noch schlimmer
aber auch interessanter: Weshalb sprechen wir nicht darüber, wie gut unsere
bisherigen Vorhersagen waren? Wieso sehen wir nicht, dass uns die großen
Ereignisse (fast) immer entgehen? Das nenne ich den Skandal bei den
Vorhersagen.‚ (Taleb, 2007 S. 174)
Das Beispiel Sony zeigt die Komplexität des Risikomanagements in der Social Media Welt:
Im April 2011 brach für Playstation User der Mythos – „SONY‚ zusammen:
Ein - Black Swan Event - hat massive Reputationsschäden verursacht:
„´Super-GAU´ im Playstation Network - Hacker stehlen Sony Millionen
Kundendaten - Seit Tagen ist Sonys Online-Plattform Playstation Network
nicht erreichbar. Jetzt ist bekannt, warum. Ein digitaler Super-GAU.
Nach einem Angriff auf Sonys ´Playstation Network´ (PSN) fielen Hackern
Passwörter und Adressen von 75 Millionen Kunden in die Hände – vielleicht
sogar deren Kreditkarten-Informationen. Betroffen ist neben dem PSN auch
der Video- und Musikservice Qriocity.
Eine unbekannte Person habe sich Zugang zu persönlichen Daten wie Name,
Adresse, E-Mail-Adresse, Geburtsdatum der Nutzer verschafft, so Sony.
Auch Zugangsdaten und Passwörter seien nach derzeitigem Kenntnisstand
ausgespäht worden, möglicherweise ebenfalls die Liste der Käufe. ´Obwohl
es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarten-Informationen
widerrechtlich zugegriffen wurde, können wir diese Möglichkeit nicht
gänzlich außer Betracht lassen´, warnte Sony. Die Kunden sollten nun
besonders wachsam sein, um keinem Betrug aufzusitzen, und ihr Konto
kontrollieren.‚ (Computerwelt, 2011 S. 1)
Das Mission Statement von Sony, ‚Sony is committed to developing a wide
range of innovative products and multimedia services that challenge the way
consumers access and enjoy digital entertainment. By ensuring synergy
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 11
between businesses within the organisation, Sony is constantly striving to
create exciting new worlds of entertainment that can be experienced on a
variety of different products.‛ (Sony, 2011 S. 1) , wurde damit aus
Risikomanagement Perspektive komplett in Frage gestellt.
Wurden die Risiken des unbefugten Zugriffes auf Passwörter und Adressen von 75
Millionen Kunden entsprechend bewertet und gemanagt?
In dem Computerweltartikel am 27.4.2011 (Computerwelt, 2011 S. 1) wird
bereits die Möglichkeit eingeräumt, dass auch auf Kreditkarteninformationen
von KundInnen Zugriff bestand.
Anfang Juni 2011 kam es zum nächsten Zwischenfall:
Andy Bloxham Reporter des „telegraph‚ beziffert am 3.6.2011, anlässlich
dieses neuerlichen Angriffes auf Sony, die aktuellen Schadensabschätzungen:
„<Hackers have attacked ´Sony´ and stolen the private details of more than a
million people in the latest security breach to hit the electronics giant. ‚
(Bloxham, 2011 S. 1)
In diesem Artikel beziffert er in Folge den Schaden für ´Sony´ aus dem zuvor
beschriebenen ´Super-GAU´: „The latest hack comes just over a month after
Sony's enormous PlayStation Network was attacked. In that incident the data
of about 70m customers was stolen, in what is thought to have been the
largest hack in history. The network has only come back online in recent
weeks, with the cost of the fallout estimated at more than £900m.‛ (Bloxham,
2011 S. 1)
Die Schadensumme wird so im Juni 2011 mit umgerechnet (1€ = 117,38 Yen) 1
Mrd € beziffert, das ist fast das Vierfache ´operating income´ der Sony
Corporation im Jahr 2010.‚ (vgl. Sony, 2010 S. 54)
Die Anpassung des ´net income´ vom 23.5.2011 - im vorläufigen
Endergebnisses für das Geschäftsjahr 2011 (endete am 31.3.2011) - auf Grund
der Auswirkungen des Erdbebens von Fukushima liegt bei umgerechnet 3
Mrd €. (vgl. SONY, 2011 S. 1)
Die Bezeichnung des Sony Playstation ´hack´ als Super-GAU scheint damit durchaus
gerechtfertigt.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 12
Dieses Beispiel zeigt die Verwundbarkeit moderner Kommunikations-
technologien.
Jeder Nutzer von Social Media Plattformen muss sich der Risiken bewusst sein und
dementsprechend handeln.
So berichtete Google Anfang Juni 2011 ‚<it had detected and disrupted a
campaign aimed at stealing passwords of hundreds of Google email account
holders including senior U.S. government officials, Chinese activists, and
journalists.‛ (IBTimes, 2011 S. 1)
Der unbefugte Zugriff auf persönliche Daten zählt damit zu den größten Herausforderungen
bei Social Media Netzwerken.
Die Untersuchungen dieser Masterthese befassen sich vor allem mit User
seitigen Vorkehrungen um sich möglichst sicher auf Social Media Plattformen
zu bewegen. Die technischen Aspekte sind vielfältig und müssen von den
IKT Verantwortlichen des jeweiligen Unternehmens berücksichtigt werden.
Was ist nun das größte userseitige Risiko bei der Nutzung von Social Media Plattformen?
„Remember that the biggest risk lies within us:
We overestimate our abilities and underestimate what can go wrong. The
ancients considered hubris the greatest defect, and the gods punished it
mercilessly.
Look at the number of heroes who faced fatal retribution for their hubris:
Achilles and Agamemnon died as a price of their arrogance; Xerxes failed
because of his conceit when he attacked Greece; and many generals
throughout history have died for not recognizing their limits.
Any corporation that doesn’t recognize its Achilles’ heel is fated to die
because of it.‛ (Taleb Goldstein & Spitznagel, 2009 S. 81)
Das größte Risiko ist der Mensch.
Um die Unternehmensseitigen Risiken bei der Nutzung von Social Media
Plattformen durch MitarbeiterInnen zu erarbeiten müssen wir auch einige
Cyber Crime spezifische Bedrohungen beleuchten:
Am 23.9.2001 wurde in Budapest die Convention of Cybercrime (dt. Übereinkommen
über Computerkriminalität) verabschiedet vgl. (Europe, 2001 S. 1):
Der Europarat unterscheidet darin:
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 13
Straftaten gegen die Vertraulichkeit, Unversehrtheit
und Verfügbarkeit von Computerdaten und -systemen
wie rechtswidrigen Zugang, rechtswidriges Abfangen, Eingriff in
Daten, Eingriff in ein System, Missbrauch von Vorrichtungen.
Computerbezogene Straftaten
wie computerbezogene Fälschungen, computerbezogener Betrug.
Inhaltsbezogene Straftaten
wie solche mit Bezug zur Kinderpornographie.
Straftaten in Zusammenhang mit Verletzungen des Urheberrechts und verwandter
Schutzrechte
Weitere Formen der Verantwortlichkeit und Sanktionen
wie Versuch und Beihilfe oder Anstiftung, Verantwortlichkeit
juristischer Personen und Sanktionen und Maßnahmen
(vgl. Europe, 2001 S. 3-7)
Im Jahr 2007 definiert Europol im Rahmen eines ´Threat Assessment´ des High
Tech Crime Center (vgl. Europol, 2007 S. 6) Typologien von Bedrohungen:
The involvement of criminal organisations in high tech crimes
Botnets and crimewares
Phishing & Identity Theft
‚Phishing is a type of social engineering over the internet that yields
plenty of revenue for criminal organisations. This social engineering is
combined with technical artifices with the aim of stealing personal and
financial data. The crimes that are conceived consist of fraud and
identity theft.‛ (Europol, 2007 S. 27) Pharming
‚Another kind of dangerous electronic social engineering, very similar
to phishing, is called Pharming which is more difficult to detect
because it consists of the manipulation of the Domain Name Server
(DNS) that at the moment of the resolving IP address, the user is re-
directed to a fraudulent site.‛ (Europol, 2007 S. 29)
Vishing
‚The latest ‘phishing evolution’ which yields illicit money for
organised crime in this area is called Vishing which is not web-based
but consists of perpetrating fraud using VOIP. In other words, a dialler
calls customers and an automatic voice starts pretending to be the
financial institute; it then requests credit card numbers including the
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 14
Card Validation Code (CVV). The frauds over IP are becoming more
and more widespread.‛ (Europol, 2007 S. 30-31)
SMiShing
„Even less countermeasures can be adopted when facing one of the
main criminal threats that will worry LEA in the immediate future,
namely SMiShing41. In other words, this latest threat attacks mobile
phones, connected to the internet. The user receives a link to a web site
and when clicking a Trojan enters into action with imaginable
consequences in the mobile phone’s content.‛ (Europol, 2007 S. 30)
Critical Information Infrastructures
Cyber terrorism
Trafficking of Child Pornography Images on the Internet
Drugs Trafficking on the Internet
Anfang 2011 stellt Europol - im Threat Assessment zum Thema Internet
Facilitated Organized Crime (vgl. Europol, 2011 S. 2) - weitere
Bedrohungstypologien vor:
The Digital Underground Economy
‚There is now a sophisticated and self-sufficient digital underground
economy, in which data is the illicit commodity. Stolen personal and
financial information – used, for example, to gain access to existing
bank accounts and credit cards, or to fraudulently establish new lines of
credit – has a monetary value. Not only credit card details and
compromised accounts, but also information such as addresses, phone
numbers, social security numbers, full names and dates of birth are
retailed in this market.‛ (Europol, 2011 S. 5)
Cybercriminal Business Models
Cybercrime 2.0
‚´Web 2.0´ is the term often used to describe the on-going transition of
the World Wide Web from a collection of websites to a fully-fledged
computing platform which has spawned a second generation of
Internet based services – such as social networking sites, wikis, and
real-time communication tools – that emphasize online collaboration
and sharing among users. This has both been of great benefit to the
general public and provided new and creative opportunities for the
digital underground economy.
Significant in this regard is the ability of web developers and users
themselves to draw web page content from a number of different
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 15
sources: just as Facebook users are able to embed videos from YouTube
or photos from Flickr on their profile pages, and application developers
are able to market tools and games to the users of social networking
sites, so also do cybercriminals inject malicious code into posted items
and share links to phishing and pharming websites, exploiting the trust
of users who consider themselves to be in a ´closed´ network of
acquaintances. An increase in crimeware delivery through social
networking sites has been one of the key trends in recent years.‛
(Europol, 2011 S. 6-7)
Social Engineering
‚Social engineering – the act of manipulating people into performing
actions or divulging confidential information – is a key feature both of
hacker culture and of many cybercriminal modi operandi: when engaged
in phishing and its variants, criminals commonly seek to persuade
recipients that they represent organisations requiring verification of
customers’ personal data; spoof websites are designed which replicate
legitimate online services such as banking, to dupe customers into
inputting their account details; social engineering even plays on the
fears of Internet users that they will fall prey to this very tactic,
manipulating them into paying for rogue anti-virus software which can
otherwise be obtained for free, is useless, or in fact contains
crimeware.‛ (Europol, 2011 S. 7)
Auf Basis dieser Risikoübersicht und der beschriebenen Bedrohungslagen
werden im folgenden Kapitel die Grundlagen Sozialer Netzwerke
beschrieben.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 16
2.2. Soziale Netzwerke
2.2.1. Die Zeit vor `Facebook´, ´XING´ und ´linkedIn´
Michael Gallas Dissertation mit dem Titel ´Social Relationship Management in
Internet-based Communication and Shared Information Spaces´ aus dem
Jänner 2004 beschreibt die World Wide Web (WWW) – Social Media Ideen im Jahr 2003:
‚Communication and collaboration based on the internet are important factors
in business, research, and everyday life. The term virtualization denotes the
phenomenon that more and more aspects of our lives take place online.
In today’s markets, companies have to be quick and flexible in order to be
successful. One of the strategies to achieve this is the virtualization of
organizations, leading to the abolishment of classical spatial and temporal
constraints and to a greater flexibility.
The dynamic collaboration of small, modular organizational units is the key
idea of this strategy. The partnering problem becomes the pivotal point in
such organization networks, raising the question of how to assess the
trustworthiness of personally unknown potential partners.
Similarly, in online auction houses, customers often do not know whether to
trust vendors with respect to the quality of the goods offered. Traditionally,
such problems are solved by exploring the personal social network and
looking for trusted persons who know the person or organization in question.
Yet, due to the increasing variety of communication media, it is difficult to
keep aware of all people in one’s personal social network. Therefore it is
necessary to support the management of social relationships.
The goal of this thesis is the development of a general framework for social
relationship management.
Starting from observations concerning the aforementioned virtualization
tendencies, this work examines internet-based communication and shared
information spaces with respect to the kinds of social network data that can be
extracted from them. Existing approaches to social relationship management
are discussed. Such systems, however, concentrate on only one or very few
kinds of social relationships and thus only manage special aspects of a user’s
social network.
Therefore, a general representation of social relationships is needed which
allows for the combination of various kinds of relationships and sources of
social network data.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 17
On the basis of this analysis and the characterization of social relationships in
terms of sociology, this work introduces a formal model of social relationships
based on semantic web technologies.
The main design goals of this formalization are fostering interoperability,
independence from proprietary applications, extensibility, and integration of
privacy protection.
Building upon the formalization of social relationships, a multiagent system
for distributed relationship management is developed.
Agents act on behalf of one or several persons and exchange relationship
information in order to answer queries initiated by their users or by
applications.‛
(Galla, 2004 S. 5)
Im Februar 2004 war dann Facebook erstmals zugänglich...
…das war der Zeitpunkt an dem sich das World Wide Web neu erfand:
Das Web 2.0 wurde durch Facebook massentauglich.
„Der Begriff Web 2.0 wurde im Dezember 2003 in der US-Ausgabe `Fast-Forward
2010 – The Fate of IT´ des CIO Magazin, eines Fachmagazins für IT-Manager, in dem
Artikel `2004 – The Year of Web Services´ von Eric Knorr, Chefredakteur des IDG
Magazins `InfoWorld´, erstmals gegenüber einer breiten Öffentlichkeit erwähnt. <
Der Begriff Web 2.0 bezieht sich neben spezifischen Technologien oder Innovationen
wie Cloud Computing primär auf eine veränderte Nutzung und Wahrnehmung des
Internets. Die Benutzer erstellen, bearbeiten und verteilen Inhalte in quantitativ und
qualitativ entscheidendem Maße selbst, unterstützt von interaktiven Anwendungen.
Um die neue Rolle des Nutzers zu definieren, hat sich mittlerweile der Begriff
`Prosumer´ durchgesetzt. Die Inhalte werden nicht mehr nur zentralisiert von großen
Medienunternehmen erstellt und über das Internet verbreitet, sondern auch von einer
Vielzahl von Nutzern, die sich mit Hilfe sozialer Software zusätzlich untereinander
vernetzen. Im Marketing wird versucht, vom Push-Prinzip (Stoßen: aktive
Verteilung) zum Pull-Prinzip (Ziehen: aktive Sammlung) zu gelangen und Nutzer zu
motivieren, Webseiten von sich aus mit zu gestalten.‚ (Wikipedia, 2011 S. 1)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 18
2.2.2. Facebook
„Facebook (dt. sinngemäß Studenten-Jahrbuch) ist eine Website zum
Erstellen und Betreiben sozialer Netzwerke, die der Facebook Inc. mit
Sitz im kalifornischen Palo Alto gehört. Die Plattform war im Februar
2004 erstmals zugänglich und erreichte im Januar 2011 nach eigenen
Angaben 600 Millionen aktive Nutzer weltweit. Anfang Mai 2011 betrug
der Mitgliederbestand 674,1 Millionen. In Deutschland wird das
Netzwerk mittlerweile von 17,6 Millionen Menschen genutzt (Stand: 30.
April 2011). Deutschland hat damit Kanada überholt und steht erstmals
in den Top10 der Länder mit den meisten aktiven Nutzern, die Schweiz
liegt auf dem 46. Rang (2,6 Millionen Mitglieder) und Österreich auf dem
48. Rang (2,5 Millionen Mitglieder).‚ (wikipedia, 2011 S. 1)
Facebook dominiert heute - als das Massenmedium - den Markt der `Sozialen
Netzwerke´.
Soziale Netzwerke wie Facebook, MySpace & Co zählen zu den aktuellen
Erfolgsgeschichten im Internet. Facebook hat es mittlerweile in Österreich
auf Platz 4 der beliebtesten Websites geschafft. (Zimmer, 2009 S. 3)
Facebook – Funktionen
„Jeder Benutzer verfügt über eine Profilseite, auf der er sich vorstellen
und Fotos oder Videos hochladen kann. Auf der Pinnwand des Profils
können Besucher öffentlich sichtbare Nachrichten hinterlassen oder
Notizen/Blogs veröffentlichen. Alternativ zu öffentlichen Nachrichten
können sich Benutzer persönliche Nachrichten schicken oder chatten.
Freunde können zu Gruppen und Events eingeladen werden. Facebook
verfügt zudem über einen Marktplatz, auf dem Benutzer Kleinanzeigen
aufgeben und einsehen können. Durch eine Beobachtungsliste wird man
über Neuigkeiten, z. B. neue Pinnwandeinträge auf den Profilseiten von
Freunden informiert. Die Benutzer auf Facebook sind in Universitäts-,
Schul-, Arbeitsplatz- und Regionsnetzwerke eingeteilt.‚ (wikipedia, 2011
S. 1)
Seit 2004 haben sich neben Facebook eine Vielzahl anderer Social Media
Plattformen etabliert, welche mittlerweile mit Facebook interagieren
können. Exemplarisch seien hier `YouTube´ und `Twitter´ erwähnt.
Voraussetzung dafür war die Öffnung der Plattform für Anwendungen
von Drittanbietern:
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 19
Facebook – Applikationen (dt. Anwendungen)
„Das Unternehmen öffnete im Mai 2007 seine Plattform für
Anwendungen von Drittanbietern. Entwicklern steht über die Facebook
Plattform eine Programmierschnittstelle (API) zur Verfügung, mit der sie
Programme schreiben können, die sich dem Design von Facebook
anpassen und nach Erlaubnis der Nutzer auf deren Daten zugreifen
können. Facebook-Mitglieder können die angebotenen Programme in
ihre Profilseiten integrieren. Die Bandbreite umfasst Spiele und andere
Kommunikationsanwendungen. Nach Unternehmensangaben waren im
Oktober 2009 mehr als 350.000 Applikationen verfügbar. Allerdings
erreicht nur ein kleiner Teil davon mehr als 100.000 Nutzer im Monat. Mit
über 75 Millionen aktiven Nutzern ist das Onlinespiel FarmVille die
derzeit beliebteste Facebook-Applikation.‚ (wikipedia, 2011 S. 1)
Die Facebook Applikationen gliedern sich in Wirtschaft, Ausbildung,
Unterhaltung, Freunde & Familie, Spiele, Nur zum Spaß, Lebensstil,
Sport, Hilfsmittel. (vgl. Facebook, 2011 S. 1)
„Beobachter bewerten die Öffnung der Plattform als wichtigen Schritt,
um die Attraktivität von Facebook zu erhöhen und damit die Nutzerzahl
zu steigern. Allerdings wuchs das Angebot derart rasant, dass Nutzer
über die Unübersichtlichkeit klagten. Einige Applikationen sind vor
allem darauf ausgelegt, sich möglichst schnell zu verbreiten. Das
Unternehmen geht mittlerweile gegen Application Spam vor, indem es
im Rahmen eines sogenannten Verification Program vertrauenswürdige
und sichere Anwendungen besser platziert und ihnen ein entsprechendes
Logo verleiht.‚ (wikipedia, 2011 S. 1)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 20
Diese Applikationen fragen den Benutzer um Zustimmung zur Nutzung persönlicher
Daten:
Am Beispiel `FarmVille´ kann man diesen Vorgang einfach beschreiben:
Das Profil von `FarmVille´ bietet einen Button `Zur Anwendung´ an.
Abbildung 1: ‚Facebook‘ Startseite der Anwendung 'Farmville'; Quelle: (Farm Ville, 2011)
Betätigt man diesen Button öffnet sich ein Menüpunkt `Anfrage für
Genehmigung ´. Betätigt man den Button `Zulassen´ hat die Anwendung
Zugriff auf die entsprechenden Daten.
Abbildung 2: ‚Facebook‘ Zugriffsfreigaben für die Anwendung 'Farmville'; Quelle: (Farm Ville, 2011)
Will man dies nicht, muss man den `Anwendung verlassen´ Button
betätigen und kann die Anwendung nicht aktivieren.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 21
Im Fenster `Anfrage für Genehmigung´ erteilt man (im Beispiel `FarmVille´) die
Genehmigung zum Zugriff auf Name, Profilbild, Geschlecht, Netzwerke,
Nutzerkennnummer, Freundesliste und alle anderen Informationen, die ich mit „Allen“
teile.
Das heißt an dieser Stelle gewinnen die Privatsphäre-Einstellungen an
Bedeutung.
Nutzer von Facebook finden Ihre Privatsphäre-Einstellungen auf ihrer Profil
Seite, dafür betätigen Sie zunächst den Knopf `Profil bearbeiten´.
Abbildung 3: ‚Facebook Profil‘ des Verfassers; Quelle: (Facebook, 2011)
Damit erscheint die Menüseite `Profil bearbeiten´. Die für die Sicherheit
wichtigen `Privatsphäre-Einstellungen´ finden Sie wenig auffällig am
Ende der links unter dem Facebook logo befindlichen Menüpunkte.
Abbildung 4: ‚Facebook‘ Einstellungen 'Profil bearbeiten'; Quelle: (Facebook, 2011)
Betätigen Sie den blau unterlegten Menüpunkt `Privatsphäre-
Einstellungen´, damit sind Sie auf der entsprechenden Menüseite.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 22
Abbildung 5: ‚Facebook‘ Privatsphäreeinstellungen; Quelle: (Facebook, 2011)
Auf die Menüseite `Benutzerdefinierte-Einstellungen´ kommt man nach
Betätigung des blau unterlegten Hinweises darauf. Hier besteht die
Möglichkeit individuelle Zugriffseinstellungen vorzunehmen.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 23
Abbildung 6: ‚Facebook' Privatsphäre-Einstellungen – ‚Benutzerdefinierte Einstellungen‘; Quelle: (Facebook, 2011)
Wenn wir zu den allgemeinen Privatsphäre-Einstellungen
zurückkehren müssen wir noch einen sehr zentralen Menüpunkt
erläutern.
Dieser Menüpunkt findet sich am Ende der Menüansicht
`Anwendungen und Webseiten – Bearbeite deine Einstellungen für<´.
Abbildung 7: ‚Facebook‘ - Privatsphäre-Einstellungen für 'Anwendungen und Webseiten'; Quelle: (Facebook, 2011)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 24
Dieser Button führt zum entsprechenden Menüpunkt `Wähle deine
Privatsphäre-Einstellungen aus > Anwendungen, Spiele und
Webseiten´.
Hier besteht die Möglichkeit bereits installierte Anwendungen zu
deaktivieren, die Sichtbarkeit von Informationen über die Nutzung von
Anwendungen zu definieren und vor allem den Zugriff von
sogenannten Partner Webseiten zu genehmigen.
Abbildung 8: 'Facebook' Privatsphäre - 'Anwendungen, Spiele und Webseiten'; Quelle: (Facebook, 2011)
Der Zugriff auf Daten die durch `Freunde´ zugänglich sind lässt sich
hier zum Beispiel deaktivieren. Der Button `Einstellungen bearbeiten´
führt zum entsprechenden Menü.
Abbildung 9: 'Facebook' Privatsphäre, 'Für Freunde zugängliche Informationen'; Quelle: (Facebook, 2011)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 25
Ein besonderes Augenmerk sei hier auf die Einstellungen `Umgehende
Personalisierung´ gelegt. In diesem Bereich wird der Zugriff von
sogenannten `Partneranwendungen´ geregelt.
Diese Partneranwendungen erhalten derzeit bei Aktivierung vollen
wechselseitigen Zugriff: `Bing´, `Pandora´, `TripAdvisor´, `Yelp´,
`Rotten Tomatos´, `Clicker´, `Scribd´ und `Docs´. (Vgl. Facebook, 2011)
Abbildung 10: 'Facebook' Privatsphäre, 'Umgehende Personalisierung'; Quelle: (Facebook, 2011)
In aller Stille integrierte `Facebook´ eine Funktionalität, welche die
automatische Gesichtserkennung standardmäßig auf alle Fotos in
Facebook anwendet. Laut Bloomberg Business Week wird derzeit seitens der
Europäischen Union die mögliche Verletzung von Datenschutzrechten untersucht.
(vgl. Bodoni, 2011 S. 1).
Abbildung 11: 'Facebook' Überblick Privatsphäre-Einstellungen; Quelle: (Facebook, 2011)
Diese Funktionalität lässt sich durch die Entfernung des seitens
Facebook automatisch markierten Feldes links neben dem Text
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 26
`Freunde von Personen, die in meinen Fotos und Beiträgen markiert
wurden, können diese sehen´ deaktivieren.
Nichts desto trotz sind diese Daten für Facebook verfügbar. - Sollte eine
befugte Behörde – oder Unbefugte - Zugriff auf diese Daten haben, lässt
sich innerhalb von Bruchteilen einer Sekunde ein visuelles
Personenprofil erstellen.
Damit stellen sich die Fragen: Wie sicher sind Daten in den Händen von
Unternehmen wie `Facebook´? Wer hat tatsächlich Zugriff auf diese Daten? Wie
werden diese Daten genutzt? Wie wird der Zugriff auf diese Daten geschützt? Wie
gut sind diese Daten gegen illegale Aktivitäten geschützt?
Eine weitere Herausforderung an die Datensicherheit stellt `Facebook-
Connect´ dar, damit bietet das Unternehmen `Facebook´ seit 2008 die
Möglichkeit zur Einmalanmeldung an, d.h. andere Websites verlangen
von identifizierten `Facebook´-Nutzern keine gesonderte Anmeldung.
`Facebook´ Profilinhalte werden von diesen Drittportalen teilweise
übernommen. Lt. Facebook unterstützen derzeit 240.000 Websites und
Geräte diese Anmeldeoption. Ungefähr 60 Mio Nutzer weltweit greifen
bereits auf diese Möglichkeit zurück.
Diese und andere `Facebook´ Anwendungen wie `Facebook-Open Graph´,
diverse Mobile Clients für Windows Mobile, BlackBerry, Apple
iPhone/iPod touch, S60, Android, HP webOS, bada,< unterstützen die
Konvergenzstrategie des Unternehmens.
Die Möglichkeit die Standortdaten der Nutzer - über Mobile Clients
und die in moderne Mobiltelefonen und Smartphones vorhandenen
GPS Module – in Applikationen zu integrieren wird mit `Facebook-
Places´ ermöglicht.
(vgl. wikipedia, 2011 S. 1)
Und wahrscheinlich sind zum Zeitpunkt der Veröffentlichung dieser
Master Thesis wieder zahlreiche neue Möglichkeiten verfügbar.
Nutzer von Facebook müssen aufmerksam einschlägige Nachrichten
verfolgen um über neue Funktionalität oder Applikation informiert zu
sein, welche unbekannten Dritten persönliche Daten zugänglich zu
machen.
Wie verdient Facebook Geld?
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 27
Bei der Verfolgung von Straftaten ist ein zentrales Element von
Ermittlungen die Aufgabe „Follow the money‚. Darum muss man kurz
beleuchten wie Facebook Geld verdient:
Facebook ist sehr zurückhaltend mit der Veröffentlichung von
Geschäftszahlen und Umsatzzahlen. Die Haupteinnahmen dürften aus
Werbeeinnahmen erwirtschaftet werden.
Das Unternehmen `emarketer´ geht in seinen Einschätzungen von einer
weiteren Verdopplung der Anzeigenumsätze von `Facebook´ im Jahr 2011
gegenüber 2010 aus. Der Umsatz 2010 lag demnach bei etwa 1,86 Mrd.
U$D.
(vgl. emarketer, 2011 S. 1)
Abbildung 12: 'Facebook' Erlösanalyse; Quelle: (emarketer, 2011)
Darüber hinaus erzielt Facebook laut `facebookbiz´ Erlöse aus dem Verkauf
virtueller Güter. Die Margen für Facebook sollen hier bei bis zu 33%
liegen. (vgl. facebookbiz, 2011 S. 1).
Die größten Markenauftritte dürften auch für die höchsten
Anzeigenumsätze stehen: Coca Cola, Disney, Starbucks, MTV, Oreo,
Red Bull, Converse All Stars, Skittles, iTunes und Playstation haben
jeweils zwischen 13,1 und 25,8 Mio Fans. (vgl. wikipedia, 2011 S. 1)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 28
2.2.3. XING
„XING (bis Ende 2006: openBC) ist eine webbasierte Plattform, in der
natürliche Personen vorrangig ihre geschäftlichen (aber auch privaten)
Kontakte zu anderen Personen verwalten können. Es wird vom
gleichnamigen Unternehmen, der XING AG, betrieben.
Die Bezeichnung `XING´ wurde aus Gründen der Internationalisierung
gewählt, da der alte Name OpenBC das englische Kürzel für `v. Chr.´ enthielt.
Der neue Name XING ist zwar ebenfalls mehrdeutig, soll aber zumindest
negative Assoziationen vermeiden. So bedeutet das Wort auf Chinesisch `es
funktioniert´, `es klappt´ (行 [行] xíng). Auf Englisch steht es als
Abkürzung für Crossing, Kreuzung, was als Begegnung von
Geschäftskontakten gesehen werden kann. In einem Interview erklärte der
openBC-Gründer Lars Hinrichs, die Aussprache nicht vorgeben zu wollen. In
offiziellen Firmenvideos wird im Deutschen die Aussprache `XING´ gewählt,
also nicht `Crossing´.
Das System zählt zur sogenannten sozialen Software und ist eines von
mehreren webbasierten sozialen Netzwerken. Kernfunktion ist das
Sichtbarmachen des Kontaktnetzes; beispielsweise kann ein Benutzer
abfragen, über `wie viele Ecken´ – also über welche anderen Mitglieder – er
einen anderen kennt, dabei wird das sogenannte Kleine-Welt-Phänomen
sichtbar. Daneben bietet das System zahlreiche Community-Funktionen wie
Kontaktseite, Suche nach Interessengebieten, Unternehmenswebseiten und
39.004 deutschsprachigen Gruppen. <
XING wurde 2003 unter dem Namen OpenBC (Open Business Club) durch
Lars Hinrichs gegründet und zählte laut Geschäftsbericht Ende des 1. Quartals
2010 gut 9 Millionen Benutzer, davon 700.000 mit Premium Account. 43 % der
Basis-Mitglieder (3,74 Mio.) stammten 2009 aus Deutschland, Österreich und
der Schweiz (DACH), davon geschätzte 3 Mio. allein aus Deutschland.‚
(wikipedia, 2011 S. 1)
Der Geschäftsbericht für das 1. Quartal 2011 weist 4.686.000 MitgliederInnen
in der DACH Region aus, 731.000 MitgliederInnen bezahlen für die
Mitgliedschaft.
(vgl. XING, 2011)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 29
Das heißt in der DACH Region bezahlen 15,59% der MitgliederInnen.
Abbildung 13: 'XING' Mitgliederentwicklung; Quelle: (XING, 2011)
Der Großteil der Erlöse kommt durch zahlende Mitglieder, aber durch E-Recruiting werden
bereits 24,3% der Gesamterlöse erwirtschaftet. Dieser Bereich verzeichnet die höchsten
Wachstumsraten.
Abbildung 14: 'XING' Umsatzentwicklung; Quelle: (XING, 2011)
(vgl. XING, 2011 S. 1)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 30
XING - Funktionsweise
“XING‘ ist im Gegensatz zu `Facebook´ nur in einer Basisvariante kostenfrei.
In der Basisversion ist es möglich
Ein eigenes Profil anzulegen
Kontakte zu knüpfen, verwalten, merken und ihnen Nachrichten zu
schicken
Neuigkeiten aus dem Netzwerk zu verfolgen
Gruppen beizutreten und zu gründen
Events zu besuchen und zu organisieren
Die Stichwortsuche mittels Namen, Unternehmen und Interessen
durchzuführen
Zahlreiche wichtige Funktionen, wie
eine Übersicht über die Profilbesucher,
die Möglichkeit Nachrichten an Nicht-Kontakte zu schicken Erweiterte Suchoptionen
sind nur mit der kostenpflichtigen ‚Premium„ Mitgliedschaft verfügbar. Die
Kosten belaufen sich hier auf 5,95 € pro Monat (Stand Juni 2011) bei einer 1
Jahres Premiummitgliedschaft.
Mit einer sogenannten Recruiter Mitgliedschaft, zum Preis von 29,95 € pro Monat
bei einer 1 Jahres Recruiter Mitgliedschaft, lassen sich zusätzlich
High Potentials effizient recherchieren
Kandidaten-Informationen direkt im Suchergebnis scannen
Professionelle Kontaktpflege und –verwaltungstools nutzen
(vgl. XING, 2011)
“XING‘ bietet die Möglichkeit Kontakte
mittels bekannter E-mail Adresse,
Webmailzugang für “Google Mail‘, “Yahoo Mail‘ und “Microsoft
Hotmail‘
oder der Kontaktdateien von “Microsoft Outlook‘ oder “Lotus Notes‘
einfach zur Teilnahme an XING einzuladen.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 31
Darüber hinaus werden Einladungslinks für die E-Mail-Signatur angeboten,
welche man einfach selbst generieren kann.
(vgl. XING, 2011)
XING – Gruppen
Gruppen ermöglichen den TeilnehmerInnen die Möglichkeit MitgliederInnen
zu finden, welche ähnliche berufliche oder fachliche Interessen teilen.
In 53 Offiziellen “XING‘ Branchen-Gruppen, 167 Offiziellen “XING‘ Regional-
Gruppen gibt es starken Zulauf ohne wirkliche Filter für den Beitritt.
Die Anzahl der Gruppen nach Gliederungsbegriffen gibt einen Überblick über
die Strukturierung:
3.478 Branchen, 1.376 Events, 3.086 Firmen, 3.151 Sport und Freizeit, 288
Geographie und Umwelt, 2.361 Gesellschaft und Soziales, 3.447 Hochschulen,
3.695 Internet und Technologie, 2.131 Jobs und Karriere, 1.369 Kunst und
Kultur, 3.049 Regionales, 1.026 Schulen, 2.401 Themen, 3.405 Verbände und
Organisationen, 4.476 Wirtschaft und Märkte, 852 Wissenschaft, 14 XING
Die Gruppenfunktionalitäten gliedern sich vor allem in die sogenannte “Startseite‘,
welche den Gruppeninhalt beschreibt, “Foren‘, welche dem Austausch
innerhalb einer Gruppe dienen und eine Übersicht “Gruppenmitglieder‘, die
die Mitglieder einer Gruppe zeigen.
(vgl. XING, 2011 S. 1)
XING - Jobs und Karriere
Im Bereich “Jobs und Karriere‘ findet man Jobempfehlungen, Nachrichten aus
dem Netzwerk die Möglichkeit zur Job-Schnellsuche, auf Job-Kategorien
zuzugreifen Jobs ausgewählter Unternehmen zu finden. Persönliche Suchprofile
können angelegt und verwaltet werden.
(vgl. XING, 2011 S. 1)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 32
Die alte Version von XING…
Abbildung 15: 'XING' Alte Benutzeroberfläche; Quelle: (XING, 2011)
…wurde am 6.Juni 2011 durch eine vollkommen neue Oberfläche mit intuitiverer
Benutzeroberfläche ersetzt. Das heißt NutzerInnen finden sich einfacher zurecht
und werden mit Symbolen ans Ziel geführt.
Abbildung 16: 'XING' Neue Benutzeroberfläche; Quelle: (XING, 2011)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 33
XING-Sicherheitseinstellungen
Bei “XING‘ gibt es im Bereich “Meine Einstellungen‘ einen Unterpunkt
“Privatsphäre‘. Die BenutzerIn hat hier die Möglichkeit die Einstellungen
“Meine Privatsphäre‘, “Neues aus ihrem Netzwerk‘ und “Externe
Applikationen‘ zu bearbeiten.
Abbildung 17: 'XING' Privatsphäre-Einstellungen; Quelle: (XING, 2011)
Es gibt hier zahlreichen einfache Möglichkeiten die Privatsphäre zu schützen. Die
Erklärungen sind klar und einfach zugänglich. NutzerInnen können damit schnell
entscheiden, welche Informationen sie wem zugänglich machen.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 34
2.2.4. LinkedIn
Bei LinkedIn handelt es sich um den Weltmarktführer im Bereich
berufsbezogener Sozialer Netzwerke. Nach eigenen Angaben betreibt
LinkedIn das größte professionelle Netzwerk im Internet mit mehr als
100 Mio. Mitgliedern in über 200 Staaten. In Europa wird die
Mitgliederanzahl mit 20 Mio. angegeben. In der DACH Region liegt die
Anzahl der Mitglieder nach Eigenangaben bei nur 1 Mio.. LinkedIn hat
damit nur maximal 25% der Mitgliederanzahl von XING in dieser
Region. (vgl. LinkedIn, 2011 S. 1)
Die Funktionalitäten bei LinkedIn sind den Funktionalitäten von XING
sehr ähnlich. LinkedIn hat auch ähnliche Einstellungsmöglichkeiten für
die Privatsphäre.
In der DACH Region wird LinkedIn vor allem von Menschen im
internationalen Kontext außerhalb der DACH Region, zusätzlich zu
XING, verwendet. Seit 2010 greift LinkedIn den XING `Heimmarkt`
massiv an. (vgl. Handelsblatt, 2010 S. 1)
2.3. Enterprise 2.0
Blumauer, Kaltenböck und Koller definieren `Enterprise 2.0` als Synonym
der letzten Jahre für innovative Kommunikations- und Arbeitsabläufe in
Unternehmen. (Blumauer, et al., 2010 S. 11)
Wikipedia verweist vor allem auf den Harvard Professor Andrew P.
McAfee:
„Der Begriff Enterprise 2.0 geht auf einen Artikel des Harvard-Professors
Andrew P. McAfee zurück. In seinem Artikel "Enterprise 2.0: The Dawn
of Emergent Collaboration" beschreibt Andrew McAfee, Professor an der
Harvard Business School, wie Social Software im Unternehmenskontext
eingesetzt werden kann, um die Zusammenarbeit der Mitarbeiter zu
unterstützen (McAfee 2006a). Unter dem Begriff SLATES (deutsch:
Schiefertafeln; SLATES steht für die Abkürzung von Search, Links,
Authoring, Tags, Extensions and Signals – in Anlehnung an die Abkürzung
WIMP) fasst er die Prinzipien, Merkmale und Eigenschaften von Web 2.0-
Werkzeugen zusammen. Er argumentiert, dass das Auffinden von
Informationen (Search) im Internet nachweislich viel besser funktioniert
als in Intranets, weil die Masse der Nutzer durch Links Informationen
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 35
strukturieren und bewerten, die von Suchmaschinen ausgewertet
werden. Durch eine vergleichbare Masse an Strukturen, die von
Mitarbeitern mit Hilfe von einfachen Autoren-Tools (Authoring) und
Verschlagwortung (Tags) erstellt werden, könnten Unternehmen die
Vorteile der Wisdom of Crowds nutzen. In dem Nutzungsdaten für
automatisierte Inhaltsvorschläge (Extensions) verwendet werden, können
thematisch ähnliche Inhalte leichter entdeckt werden (´Nutzer, die diesen
Beitrag spannend fanden, fanden auch...´) und Signale wie RSS-Feeds
(Signals) machen Änderungen verfolgbar.
McAfee verwendet den Begriff für Web-2.0-Technologien zur Erzeugung,
gemeinsamen Nutzung (´sharing´) und Verfeinerung von Informationen,
mit denen Wissensarbeiter in Unternehmen ihre Vorgehensweisen und
Ergebnisse sichtbar machen (McAfee 2006a, S. 23). In der Definition in
(McAfee 2006b) dehnt er den Nutzerkreis auf
unternehmensübergreifende Kommunikation aus:
`Enterprise 2.0 is the use of emergent social software platforms within
companies, or between companies and their partners or customers`–
MCAFEE 2006B
Richter und Koch erweitern den Begriff unter Bezugnahme auf einen
Information-Week-Artikel und die Enterprise-2.0-Konferenz 2007 um die
notwendigen Veränderungen der Unternehmenskultur:
`Enterprise 2.0 bedeutet vielmehr die Konzepte des Web 2.0 und von
Social Software nachzuvollziehen und zu versuchen, diese auf die
Zusammenarbeit in den Unternehmen zu übertragen.`– RICHTER UND
KOCH (2007), S. 16
Buhse und Stamer beschreiben aufgrund von Erfahrungen im eigenen
Unternehmen die notwendigen strategischen Änderungen in Marketing
und Public Relations, die sich aus dem Einsatz von Social Software
ergeben. Sie plädieren für eine ehrlichere Kommunikationskultur, bei der
auch die Außenkommunikation von den Mitarbeitern gemacht wird und
das Management lediglich Themen lanciert und Richtungen vorgibt.
Bisher zentral gesteuerte Bereiche wie Markenführung und Public
Relations müssen in dieser Hinsicht neu überdacht werden.‚
(Wikipedia, 2011)
Blumauer, Kaltenböck und Koller sehen Internet communities bzw.
soziale Netzwerke als die populärsten Anwendungen im Web. Sie sind
integraler Bestandteil jeder Corporate Communication Strategie geworden.
(vgl. Blumauer, et al., 2010 S. 56)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 36
2.4. B2B - Beziehungsmanagement
B2B ist die Abkürzung für `Business to Business` und beschreibt
Beziehungen zwischen Unternehmen. Beziehungen des Unternehmens
zu Konsumenten engl. `Business to Consumer` werden B2C abgekürzt.
(vgl. Kirchgeorg, Manfred, 2011 S. 1)
Nachfolgend beleuchte ich mit einigen Modellen die Relevanz von
persönlichen Beziehungen im B2B Kontext:
Ein konzeptionelles Modell nach Theron, Terblanche and Boshoff
beschreibt die Qualität der Beziehung im B2B Bereich als Funktion von Vertrauen,
Kommunikation, gemeinsamen Werten und der Attraktivität von Alternativen.
(vgl. Theron & Terblanche & Boshoff, 2008 S. 1000) .
Abbildung 18 Conceptual Model nach Theron, Terblanche, Boshoff 2008; Quelle: (Theron & Terblanche & Boshoff, 2008)
Die Ergebnisse einer empirischen Studie zur Untersuchung der Relevanz der
verschiedenen Faktoren bestätigte für den B2B Bereich die Bedeutung der
Faktoren auf die Qualität der Beziehung zwischen Unternehmen.
In der Studie wurde Vertrauen als Hauptfaktor für die Kundenbeziehungsqualität und
damit als wesentlicher Baustein für erfolgreiches Beziehungsmanagement
herausgearbeitet.
(vgl. Theron & Terblanche & Boshoff, 2008 S. 1005)
Des Weiteren wurde die wachsende Bedeutung elektronischer Medien als
Kommunikationsmittel im B2B bereits 2008 unterstrichen, wenngleich die
persönliche Komponente nicht vernachlässigt werden darf.
(vgl. Theron & Terblanche & Boshoff, 2008 S. 1005)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 37
Ein weiteres konzeptionelles Modell nach Gonzales, Hoffman, Ingram und
LaForge beschreibt das Kundenreaktivierungsmanagement und die Bedeutung für den
Beziehungsverkauf:
Der Prozess der Kundenreaktivierung basierend auf einer entsprechenden
Reaktivierungskultur, Fehleranalyse, Reaktivierungsstrategie, Überwachung,
Bewertung, Feedback soll zu einer entsprechenden Kundenentwicklung und
Verbesserung der finanziellen Situation des jeweiligen Kundengeschäftsfalles
führen. (vgl. Gonzales, et al., 2010 S. 224-225)
Abbildung 19 Conceptual Model nach Gonzales, Hoffman, Ingram und LaForge; Quelle: (Gonzales, et al., 2010)
Im Zuge der darauffolgenden empirischen Untersuchung wird die Bedeutung
einer Reaktivierungskultur, die Analyse von Dienstleistungsfehlern, die
Implementierung einer Reaktivierungsstrategie untermauert.
(vgl. Gonzales, et al., 2010 S. 226-227)
All diese Ansätze bauen auf enge persönliche Beziehungen zwischen MitarbeiterInnen
des verkaufenden und kaufenden Unternehmens.
Dies bestätigt auch eine Studie im Rahmen der Excellence-Barometer-
Forschung hat die `forum!` Marktforschung GmbH in Kooperation mit der
Universität für Publizistik in Mainz die Rationalität von
Entscheidungsprozessen im B2B Bereich untersucht. 300 Top
EntscheiderInnen der Industrie wurden befragt (vgl. Becker, 2011 S. 26) :
Kaufentscheidung werden sehr emotional gefällt. Einige Prämissen zur Gestaltung
eines objektiven Entscheidungsprozesses sind in der Realität käuferseitig nur
sehr schwer zu realisieren:
Die Transparenz der Anbietermärkte lässt sich nicht oder nur mit
unzumutbarem ressourcenaufwand herstellen, eine unsystematische
Vorgehensweise bei der Auswahl neuer Anbieter ist daher effizienter
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 38
und erfolgversprechender.
Die eigentliche Verhandlungssituation lässt sich kaum normativ
gestalten und auch kaum kontrollieren.
Die Differenzierung über die Produkte beziehungsweise die Leistung
funktioniert in hoch entwickelten Investitionsgütermärkten nicht mehr.
(vgl. Becker, 2011 S. 27)
Abbildung 20 Aussagen in einer Befragung zum Kaufverhalten von B2B Kunden;
Quelle: (Becker, 2011)
Kunden sind bereit für gute Qualität und besseren Service einen höheren
Preis zu zahlen.
Emotionale Bindung spielt im B2B Geschäft eine entscheidende Rolle. Die
Typologien gemäß dem `forum!` Modell beschreibt die für hohe emotionale
Bindung zugänglichen Kunden als Fans, Sympathisanten oder Gefangene.
Dieser Gruppe gehören nach Einschätzung dieser Studie zumindest 64% der
Befragten an.
(vgl. Becker, 2011 S. 24-28)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 39
Abbildung 21 Verteilung der Kundentypen gemäß `forum!` Modell der Kundentypologien;
Quelle: (Becker, 2011)
Die gegenständliche Studie bestätigt damit dass wichtige Entscheidungen aus dem Bauch
gefällt werden.
(vgl. Becker, 2011 S. 24-28)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 40
3. Forschungsarbeit
Auf Grund beschränkt vorhandener Forschungsarbeiten zu dieser Fragestellung
steht die Sichtung und Bewertung von themenrelevanter Literatur
unterschiedlichster Quellen, mit hoher Relevanz für Unternehmen, im
Mittelpunkt meiner Arbeit.
3.1. Literarische Forschung
3.1.1. „How to avoid Facebook & Twitter Disasters“ (Null, 2009)
Christopher Null stellt in seinem gleichnamigen Artikel die wichtigsten
Tücken bei der Benutzung von sozialen Netzwerken vor:
(vgl. Null, 2009 S. 97-103)
“Oversharing With the boss” (Null, 2009 S. 98)
Problem: Eine Mitarbeiter oder eine Mitarbeiterin ist offiziell krank, aber
auf `Facebook´ dokumentiert sie Aktivitäten die den damit verbundenen
Regelungen widersprechen.
Lösungsvorschlag: Integriert man MitarbeiterInnen, Vorgesetzte oder
KollegInnen in den Freundeskreis bei `Facebook´ so empfiehlt er –– diese
in Gruppen zusammenzufassen und entsprechende Zugriffs
Berechtigungen für diese Gruppen zu vergeben. (vgl. Null, 2009 S. 98)
Auch KundInnen oder GeschäftspartnerInnen sollten nicht alle
persönlichen Details einer Mitarbeiters oder Mitarbeiterin kennen.
“He knows Where You Live” (Null, 2009 S. 99)
Problem: Exfreunde oder Bekannte die man nicht mehr persönlich
Treffen will finden den Wohnort des Accountbesitzer oder der
Accountbesitzerin heraus.
Lösung: Den Zugriff auf persönliche Daten regelt man mittels der
Privatsphäre-Einstellungen. (vgl. Null, 2009 S. 99)
Dasselbe gilt auch für aufdringliche GeschäftspartnerInnen.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 41
“The Stalker Problem” (Null, 2009 S. 100)
Problem: Ein akzeptierter Kontakt hinterlässt nicht akzeptable
Nachrichten an der Pinnwand der Accountinhaberin oder belästigt die
Accountinhaberin.
Lösung: zunächst kann man den Kontakt aus dem eigenen Profil
entfernen. Darüber hinaus besteht die Möglichkeit unerwünschte
Personen zu blockieren bzw. das eigene Profil temporär oder dauerhaft
aus der Suche durch Facebook Mitglieder auszuschließen.
Durch Einstellung der Beschränkung der Auffindbarkeit des eigenen
Profils auf `nur Freunde´ können Stalker ebenfalls ausgeschlossen
werden.
(vgl. Null, 2009 S. 100)
Vertrauliche Inhalte, nicht für die Öffentlichkeit bestimmte Inhalte,
zwischen der Benutzerin und GeschäftspartnerInnen werden unter
Umständen von einer Geschäftspartnerin am Profil der Benutzerin
gepostet.
“Too Many Pieces of Flair” (Null, 2009 S. 100)
Problem: Man akzeptiert zu viele `Geschenke´ oder andere
`Verbindungsanfragen´ von `Facebook´ Applikationen/Anwendungen.
Damit kommt es häufig zu Belästigungen der eigenen Kontakte mit
lästigen und teilweise anstößigen Angeboten.
Lösung: Anklicken des `Schreibgerät´ / Bearbeiten Icons und Anklicken
der Auswahl `Entfernen´. Anwendungen, welche die Anwenderin selbst
installiert hat muss man im Bereich `Anwendungen´ entfernen.
(vgl. Null, 2009 S. 101)
Damit kann es zur Belästigung von GeschäftspartnerInnen kommen.
“Shoulda Been Working” (Null, 2009 S. 101)
Problem: Die Anwenderin verbringt viel Zeit in einer Spielapplikation
von Facebook. Ohne Information postet die Applikation den High Score
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 42
im Facebook Profil der Anwenderin. Damit ist die missbräuchliche
Tätigkeit während der Arbeitszeit dokumentiert. Konsequenzen durch
die ArbeitgeberIn sind damit möglich.
Lösung: Deaktivierung der Möglichkeit von Drittanwendungen im Profil
der BenutzerIn zu posten.
(vgl. Null, 2009 S. 101)
Auf KundInnen und GeschäftspartnerInnen wirkt es nicht professionell,
während der Arbeitszeit Spiele zu spielen. Die Ernsthaftigkeit und
Zuverlässigkeit kann hier angezweifelt werden.
“The Tell-Tale Heart” (Null, 2009 S. 101)
Problem: Man ändert den Beziehungsstatus zu einer Person und löst
damit eine missverständliche Information an die eigenen Kontakte aus.
Die EmpängerInnen könnten annehmen man wäre auf Beziehungssuche.
Lösung: Man kann alle Beiträge vom eigenen Profil löschen. Bewegt man
den Cursor über den zu löschenden Eintrag erscheint ein Feld `Remove´.
Nach Betätigung dieses Buttons verschwindet der Eintrag von der
eigenen Pinwand.
(vgl. Null, 2009 S. 101)
Missverständliche, geschäftsschädigende oder unangenehme Beiträge
haben auf der eigenen Pinwand nichts verloren, sofern sie für
GeschäftspartnerInnen zugänglich sind.
“Smile for the Camera” (Null, 2009 S. 101)
Problem: Auf `Facebook´ wird ein Foto veröffentlicht, welches die
NutzerIn nicht gut trifft, bzw. in einer verfänglichen nicht für die breite
Öffentlichkeit bestimmten Art und Weise zeigt.
Lösung: Man kann Fotos, welche von anderen NutzerInnen auf Facebook
veröffentlicht werden und einen selbst abbilden nicht einfach löschen. In
diesem Fall empfiehlt es sich die andere NutzerIn freundlich
aufzufordern dieses Foto zu entfernen.
Eine Veröffentlichung solcher Fotos stellt eine Verletzung ihrer
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 43
Persönlichkeitsrechte dar und erfordert ihre ausdrückliche Zustimmung.
Aber man kann den Verweis auf die NutzerIn (`tag´) auf Fotos auf denen
man selbst markiert ist in den Privatsphäre Einstellungen generell
deaktivieren oder beim jeweiligen Foto selbst entfernen.
(vgl. Null, 2009 S. 101-102)
Für GeschäftspartnerInnen können zu persönliche Einblicke ins
Privatleben irritierend bis verstörend wirken.
“You´re Not an Advertisement” (Null, 2009 S. 102)
Problem: Drittanwendungen verwenden den Namen einer NutzerIn als
Werbung in Form von Spam an Kontakte der NutzerIn.
Lösung: Drittanwendungen keinen Zugriff erlauben.
(vgl. Null, 2009 S. 102)
Belästigungen von GeschäftspartnerInnen durch Drittanwendungen
belasten die persönliche Beziehung zu diesen.
“Spam Central” (Null, 2009 S. 102)
Problem: `Scammers´, `Phishers´ and `Spammers´ versenden Nachrichten
an `Facebook´ Freunde. Kriminelle verschaffen sich Zugriff auf Passwort
und `user name´. In Folge versendet man über den so kontrollierten
Account links zu sogenannten phising site´s URL mit der Hoffnung mehr
Accounts übernehmen zu können.
Lösung: Konventionelle Sicherheits Software hilft hier relativ wenig. Die
Empfehlung ist es hier `Gesunden Menschenverstand´ anzuwenden und
sehr sensibel auf ungewöhnliche Nachrichten, links oder Einladungen zu
reagieren.
(vgl. Null, 2009 S. 102)
Die Belästigung von GeschäftspartnerInnen kann von diesen auch als
Belästigung und Nachlässigkeit ausgelegt werden.
“Linking Twitter with Facebook Can be Trouble” (Null, 2009 S. 102)
Problem: Die Verknüpfung von `Twitter´ und `Facebook´ führt dazu,
dass jede auf `Twitter´ gepostete Kleinigkeit auch auf `Facebook´ gepostet
wird. Die Kontakte auf `Facebook´ werden damit in einer für `Facebook´
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 44
ungewöhnlichen Frequenz mit Statusmeldungen bombardiert. Das führt
unter Umständen dazu, dass ihre `Facebook´ Nachrichten von Ihren
Kontakten unterdrückt werden.
Lösung: Überdenken Sie eine Verknüpfung von `Facebook´ und `Twitter´
bzw. trennen Sie die beiden Anwendungen.
(vgl. Null, 2009 S. 102)
Aus diesem Artikel lassen sich die folgenden ersten situationsabhängigen
Handlungsempfehlungen für MitarbeiterInnen in sozialen Netzwerken ableiten:
Zusammenfassung von Kontakten auf Facebook nach beruflichen
Gruppen und Vergabe von entsprechenden
Zugriffsberechtigungen für Gruppen.
Sorgfältige Wahl der Privatsphäre-Einstellungen.
Blockieren der Auffindbarkeit des Profils für Suchmaschinen und
Facebook Mitglieder, welche keine Freunde sind.
Kein Akzeptieren oder Bestätigen von Geschenken oder
Einladungen von Anwendungen.
Anwendungen die eigene Kontakte belästigen könnten entfernen.
Deaktivierung der Möglichkeit von Drittanwendungen im Profil
der BenutzerIn zu posten.
Entfernung von geschäftsschädigenden, missverständlichen oder
unangenehmen Einträgen von der eigenen Pinwand.
Blockieren der Möglichkeit der Markierung der NutzerIn auf
Fotos.
Nicht auf verdächtige Nachrichten, `links´ oder Einladungen von
Kontakten reagieren. Es könnte sich um Spam handeln.
Trennung der `Twitter´ und `Facebook´ Accounts, falls die
Frequenz der `Twitter´ Nachrichten die Facebook Kontakte
überfordern könnte.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 45
3.1.2. Facebook, Myspace & Co (Zimmer, 2009)
Das österreichische Institut für angewandte Telekommunikation führte
im Auftrag der Kammer für Arbeiter und Angestellte Wien im Mai 2009
eine Untersuchung von Sozialen Netzwerke durch. Das Konzept stammt
von Daniela Zimmer, die Durchführung erfolgte durch das
Österreichische Institut für angewandte Telekommunikation. Die
gegenständliche Publikation erklärt Soziale Netzwerke und gibt
KonsumentInnen Tipps zur Handhabung.
(vgl.Zimmer, 2009 S. 1).
In Ergänzung zu 3.1.1. empfiehlt die Studie beim Anlegen eines Profiles
in einem sozialen Netzwerk unter der Rubrik `Bevor Sie ein Soziales Netzwerk
anlegen´:
So wenige Daten wie möglich preisgeben
Berufliches und Privates zu trennen, zum Beispiel XING für
Berufliches
Sichere Passwörter zu verwenden, als Beispiel wird die Methode
der Passwortbildung aus ganzen Sätzen empfohlen: `ein sichere
Passwort hat mindestens 8 Zeichen!´ ergibt das Passwort:
`esphm8z´
Unterschiedliche NutzerInnen-Namen und Passwörter in jedem
Netzwerk, die Nutzung unterschiedlicher Passwörter in
unterschiedlichen Netzwerken reduziert bei Missbrauch das
Risiko
Vorsicht bei der Nutzung von sozialen Netzwerken über
öffentliche Netze, neben XING verwenden nur wenige soziale
Netzwerke entsprechende Verschlüsselungen
Nutzungsbestimmungen (AGBs) lesen
Virenschutzprogramme verwenden und regelmäßig aktualisieren
(vgl. Zimmer, 2009 S. 16-17)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 46
Unter dem Titel `Urheberrechte berücksichtigen´ wird auf die Bestimmungen
des Urheberrechtes hingewiesen, insbesondere bei der Veröffentlichung
von Musik, Fotos, Texten oder Filmen hingewiesen. (vgl. Zimmer, 2009 S.
25)
Diesen Aspekt werde ich im folgenden Abschnitt näher beleuchten.
3.1.3. „Gesamte Rechtsvorschrift für Urheberrechtsgesetz“ (Bundesgesetz, 2011)
Gemäß gegenständlichem Bundesgesetz wird der Begriff des Werkes
definiert und auch auf `Neue´ und `Alte´ Medien eingegangen
Werke der Literatur und der Kunst „<eigentümliche Schöpfungen auf
den Gebieten der Literatur, der Tonkunst, der bildenden Künste
und der Filmkunst.‚
Werke der Literatur „<einschließlich Computerprogrammen‚
Werke der bildenden Künste „<die Werke der Lichtbildkunst
(Lichtbildwerke)‚
Werke der Filmkunst
Bearbeitungen
Sammelwerke
Freie Werke
Veröffentlichte Werke „<sobald es mit Einwilligung des Berechtigten
der Öffentlichkeit zugänglich gemacht worden ist.‚
Erschienene Werke
(vgl. Bundesgesetz, 2011 S. 1-3)
Gemäß §10(1) ist der Urheber eines Werkes, wer es geschaffen hat.
Im Zuge des Gesetzes wird vom Urheberrecht zwischen folgenden
Rechten unterschieden:
Verwertungsrechte
Vervielfältigungsrecht
Verbreitungsrecht
Vermietung und Verleihen
Folgerecht
Senderecht
Vortrags-, Aufführungs- und Vorführungsrecht
Zurverfügungstellungsrecht
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 47
Ein Zuwiderhandeln räumt dem Urheberrechtsinhaber bestimmte Rechte
zur Durchsetzung seiner Ansprüche ein
Unterlassungsanspruch
Beseitigungsanspruch
Urteilsveröffentlichung
Anspruch auf angemessenes Entgelt
Anspruch auf Schadenersatz und Herausgabe des Gewinnes
Anspruch auf Rechnungslegung
Anspruch auf Auskunft
Einstweilige Verfügungen
Haftung des Inhabers eines Unternehmens
„§88.(1) Wird der einen Anspruch auf angemessenes Entgelt (§86)
begründende Eingriff im Betrieb eines Unternehmens von einem
Bediensteten oder Beauftragten begangen, so trifft die Pflicht zur
Zahlung des Entgeltes den Inhaber des Unternehmens.
(2) Hat ein Bediensteter oder Beauftragter im Betrieb eines
Unternehmens diesem Gesetz zuwidergehandelt, so haftet,
unbeschadet einer allfälligen Ersatzpflicht dieser Personen, der
Inhaber des Unternehmens für den Ersatz des dadurch
verursachten Schadens (§87, Absatz 1 bis 3), wenn ihm die
Zuwiderhandlung bekannt war oder bekannt sein musste. Auch
trifft ihn in einem solchen Falle die Pflicht zur Herausgabe des
Gewinnes nach §87, Absatz 4.‚
(vgl. Bundesgesetz, 2011 S. 33)
Soziale Netzwerke bergen zahlreiche Möglichkeiten zur
Urheberrechtsverletzung:
D.h. Unternehmen müssen geeignete Vorkehrungen treffen um -
durch die Handlungen ihrer MitarbeiterInnen in Sozialen
Netzwerken - für keine Urheberrechtsverletzungen haftbar
gemacht werden können.
Dafür muss die Kenntnis der Grundlagen des Urheberrechtes bei
Mitarbeiterinnen sichergestellt werden
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 48
3.1.4. „Safer Surfing“ (saferinternet.at, 2011) und „Internet sicher nutzen“ (ispa, 2011)
Tipps & Tricks zum sicheren Umgang mit dem Internet, entstand in
Kooperation zwischen `ÖIAT – Österreichisches Institut für angewandte
Telekommunikation´ und `ISPA – Internet Service Providers Austria
Verband der österreichischen Internet-Anbieter finanziert durch Mitteln
des `bmwfi - Bundesministerium für Wirtschaft, Familie und Jugend´ und
der `Europäischen Union´.
(vgl. saferinternet.at, 2011 S. 1-3)
Im Kapitel „So surfst Du sicher‚ gibt der Ratgeber zunächst 10
allgemeine Tipps zum Surfen im Internet:
1. Auch im Web gibt es Regeln
2. Schütze deine Privatsphäre
3. Nicht alles ist wahr
4. Urheberrechte beachten
5. Das Recht am eigenen Bild
6. Quellenangaben nicht vergessen
7. Umsonst gibt´s gar nichts
8. Online Freunde niemals alleine Treffen
9. Computer schützen
10. Wenn Dir etwas komisch vorkommt sag es!
(vgl. saferinternet.at, 2011 S. 6-7)
Zusammenfassend kann man daraus den folgenden Schluss ableiten und
gemäß der Definition zu Punkt 1 zitieren:
„Alles, was man im `richtigen´ Leben nicht tun sollte oder nicht tun darf,
soll man auch im Internet bleiben lassen‚ (saferinternet.at, 2011 S. 6)
Im Internet bewegt man sich in einem neuen Forum, wie in einem
fremden Land. In bestehenden Sozialen Netzwerken gibt es oft eigene
Benimmregeln. (vgl. saferinternet.at, 2011 S. 10)
Im `richtigen´ Leben nennt man die Fähigkeit mit fremden Kulturen
umzugehen vereinfacht `interkulturelle Kompetenz´, dieselbe
Fähigkeiten sind auch beim Eintritt in fremden Foren, Communities oder
Netzwerken notwendig.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 49
Dazu ist es hilfreich sich mit dem Kommunikationswissenschaftler
Blumer und dessen 3 Prämissen in Zusammenhang mit dem
„Symbolischen Interaktionismus‚ (vgl. Burkart, 2002 S. 432)
auseinanderzusetzen:
„1. Menschen handeln den `Dingen´ ihrer Umwelt (Personen,
Gegenständen, Zuständen, Ereignissen, Ideen <etc.) gegenüber auf der
Grundlage der Bedeutungen, welche diese Dinge für sie besitzen,
2. Die Bedeutung dieser `Dinge´ entsteht in bzw. wird abgeleitet aus den
sozialen Interaktionen, die Menschen miteinander eingehen.
3. Diese Bedeutungen werden dann in einem interpretativen Prozess im
Zuge der Auseinandersetzung mit diesen `Dingen´ benützt und
gegebenenfalls auch wieder verändert‚ (Blumer, 1973 S. 80-146)
Aktivitäten in fremden Netzwerken bedingen damit die Fähigkeit Communities und
ihren symbolischen Interaktionismus zunächst zu verstehen und in Folge anzuwenden.
Oft beschreiben `community-guidelines´ oder die sogenannte
`Netiquette´ , die Kurzform für Network Etiquette, die wichtigsten
Spielregeln. (vgl. saferinternet.at, 2011 S. 10). Ein Verstoß gegen diese
Spielregel kann Reputationsschäden für das Unternehmen verursachen.
MitarbeiterInnen können sich speziell in Communities schnell strafbar
machen. Einige Delikte seien hier explizit aufgeführt:
Beleidigung
Üble Nachrede
Verleumdung
(vgl. saferinternet.at, 2011 S. 16-17)
Besonders werden 3 Punkte für den Umgang mit persönlichen Daten
hervorgehoben:
Das Internet vergisst nicht
Der erste Eindruck zählt
Ein Paradies für Datensammler
(vgl. saferinternet.at, 2011 S. 37)
Haben MitarbeiterInnen sogenannte `Location Based Services´ oder
`Check-In Services´ aktiviert ist der Aufenthaltsort für z.B. Facebook
Kontakte sichtbar. (vgl. ispa, 2011 S. 38). Ist die Mitarbeiterin mit
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 50
GeschäftspartnerInnen vernetzt so sehen diese den Aufenthaltsort und
die Aktivitäten der Mitarbeiterin.
Dies kann sich für den Unternehmenserfolg negativ auswirken. Ich zitiere
hier Schranner „Beschaffen Sie sich die wichtigen Informationen <
Professionelle Verhandler bereiten sich intensiv auf eine Verhandlung
vor. Wissen ist Macht. < Bereits vor der Verhandlung bieten sich gute
Möglichkeiten zur Informationsgewinnung: Internet < MitarbeiterInnen
befragen‚ (Schranner, 2002 S. 32-33)
Er fordert auch „Lassen Sie Ihren Verhandlungspartner beobachten‚
(Schranner, 2002 S. 34)
Die Nutzung von `Location based Services´ erleichtert der
Geschäftsparterin die Verhandlungsvorbereitung, das Social Engineering
und die geeignete `Rapport-´ oder engl. `pacing-´ Taktik.
Unternehmen müssen sicher stellen dass MitarbeiterInnen
professionell Kommunizieren (online und offline)
die rechtlichen Rahmenbedingungen für die Begehung der Delikte
Beleidigung, üble Nachrede und Verleumdung kennen.
die Konsequenzen der Weitergabe vertraulicher Geschäftsdaten
oder von Geschäftsgeheimnissen kennen
symbolischen Interaktionismus in den verschieden relevanten
Netzwerken verstehen und anwenden
verhandlungsrelevante und datenschutzrelevante Informationen
kennen und schützen
die Nutzung von `location based –´ oder `Check-In´ Services
unterbinden solange es keine risikoevaluierte
Unternehmensstrategie diesbezüglich gibt
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 51
3.1.5. Arbeitsrecht für die betriebliche Praxis (Mayrhofer, 2011)
Um die allgemeinen Pflichten und Verantwortlichkeiten der Mitarbeiterin
eines Unternehmens auch bei der Nutzung von Sozialen Netzwerken
anzuwenden, müssen wir diese näher untersuchen:
Die wichtigsten Rechtsgrundlagen für Arbeitsverhältnisse in Österreich
sind
Angestelltengesetz (wenn Angestellter) und sonstige
arbeitsrechtliche Vorschriften
Kollektivvertrag
Betriebsvereinbarung
Einzelvereinbarungen
§§1151-1164 ABGB (Allgemeine Bürgerliche Gesetzbuch)
(vgl. Mayrhofer, 2011 S. 33)
Darüber hinaus ist das seit 2004 gültige GIBG (`Gleichbehandlungs-
gesetz´) zu berücksichtigen. (vgl. Mayrhofer, 2011 S. 51).
Durch die Aktivitäten von MitarbeiterInnen in Soziale Netzwerken kann
es zu „Allgemeinen Belästigungen und sexuellen Belästigungen‚ (Mayrhofer,
2011 S. 53) durch den Arbeitgeber oder Dritte kommen. In Folge kann
dies zu Schadenersatzansprüchen oder Reputationsschäden für das
Unternehmen führen.
ArbeitnehmerInnen sind verpflichtet, sobald die entsprechenden
Rechtsgrundlagen eingehalten werden, arbeitsbezogene Weisungen des
Arbeitgebers zu befolgen. Eine beharrliche Weigerung der
ArbeitnehmerInnen zur Befolgung dieser Anordnung oder Weisung kann
einen Entlassungsgrund darstellen. (vgl. Mayrhofer, 2011 S. 57-58)
Damit erhalten Social Media Richtlinien als Weisung oder Anordnung eine
entsprechende Rechtsbasis.
Die Arbeitnehmerin ist zu Verschwiegenheit von Geschäfts- und
Betriebsgeheimnissen verpflichtet. Eine Verletzung dieser Pflicht kann einen
Entlassungsgrund darstellen. (vgl. Mayrhofer, 2011 S. 59)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 52
Entlassungsgründe für angestellte MitarbeiterInnen können sich durch
Aktivitäten in Sozialen Netzwerken darüber hinaus ergeben, dass die
Mitarbeiterin
ohne rechtmäßigen Hinderungsgrund durch längere Zeit die
Arbeitsleistung unterlässt oder
sich gerechtfertigten Anordnungen des Arbeitgebers nicht fügt oder
versucht, andere MitarbeiterInnen zum Ungehorsam gegen den
Arbeitgeber zu verleiten
Tätlichkeiten, Verletzungen der Sittlichkeit oder erhebliche Ehrverletzungen
gegen den Arbeitgeber, dessen Stellvertreter, deren Angehörige
oder andere MitarbeiterInnen desselben Betriebes begeht.
(vgl. Mayrhofer, 2011 S. 219)
Umgekehrt können sich aus Aktivitäten von anderen MitarbeiterInnen
oder des Arbeitgebers im Sozialen Netzwerk Gründe für einen berechtigten
vorzeitigen Austritt einer Mitarbeiterin ergeben:
Wenn sie ihre Arbeit nicht ohne Schaden für Gesundheit und Sittlichkeit
fortsetzen kann,
der Arbeitgeber nicht den ihm obliegenden Verpflichtungen zum
Schutz des Lebens, der Gesundheit oder der Sittlichkeit nachkommt
Oder der Arbeitgeber sich Tätlichkeiten, Verletzungen der
Sittlichkeit oder erheblicher Ehrverletzungen gegenüber der
Mitarbeiterin oder deren Angehörige zu Schulde kommen lässt.
(vgl. Mayrhofer, 2011 S. 234)
Diesbezügliche Entscheidungen und Vereinbarungen fallen auch in das
Mitwirkungsrecht des Betriebsrates. (vgl. Mayrhofer, 2011 S. 318)
Damit ergeben sich folgende Handlungsfelder:
Sicherstellung und Aufklärung der MitarbeiterInnen über die
Rechtsgrundlagen und die daraus resultierenden Pflichten
Erarbeitung und Vereinbarung einer Social Media Richtlinie als
Anordnung oder Weisung
Geeignete Belehrung neueintretender MitarbeiterInnen
Einbeziehung des Betriebsrates
Überwachung und Management der Einhaltung von Social Media
Richtlinien in der betrieblichen Praxis
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 53
3.1.6. Building A World-Class Compliance Program (Biegelman, 2008)
Darüber hinaus ergeben sich aus Compliance und Ethik Programmen
weitere Verpflichtungen. Diese Verpflichtungen kann sich ein
Unternehmen mittels eines `CSR´ (Corporate Social Responsibility)
Programmes selbst auferlegen oder bekommt es von regulatorischer
Seite auferlegt. Beispiele dafür sind zum Beispiel in den Vereinigten
Staaten die SEC, DOI, Federal Sentencing Guidelines, The McNulty
Memo, Criminal and civil prosecutions. (vgl. Biegelman, 2008 S. 14)
Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008)
Daraus ergeben sich für manche Unternehmen spezifische
Zusatzerfordernisse:
Berücksichtigung von regulatorischen Erfordernissen für die
Veröffentlichung von Unternehmensinformationen in börsennotierten
oder selbstverpflichteten Unternehmen bei der Erstellung von Social
Media Richtlinien.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 54
3.1.7. Unsere Kommunikation der Zukunft (Scoble, et al., 2007)
Der Verfasser zitiert zu Beginn des Kapitels `Wie man gemobbt wird´
Philip Kotler: „Gutes Marketing beruht teilweise auf dem Befolgen der
Regeln. Großartiges Marketing beruht häufig auf dem Bruch mit den
Regeln.‚ (Scoble, et al., 2007 S. 257)
Um jedoch Irritationen zu vermeiden empfiehlt er
Treffen Sie keine Aussagen, die nicht zum PR Image passen.
Lassen Sie keine finanziellen oder anderen vertraulichen Informationen
durchsickern
Stören Sie nicht den Arbeitsfrieden, indem Sie Kollegen und Vorgesetzte
verärgern
Veröffentlichen Sie vorab keine Neuigkeiten, das bedeutet unerwartete
Mehrarbeit für das PR-Team
Waschen Sie keine schmutzige Wäsche
Schaffen Sie keine rechtlichen Verpflichtungen
Beschädigen Sie nicht das Verhältnis Ihres Unternehmens zu Partnern,
Wettbewerbern oder anderen Instanzen, die nachhaltige Folgen für ihr
Unternehmen haben könnten.
(vgl. Scoble, et al., 2007 S. 259)
Sollten diese Verhaltensgrundsätze nicht bereits Bestandteil des
`Unternehmensleitbildes´ oder des `Code of Conduct´ sein, so lassen
sich diese auch in die Social Media Richtlinien integrieren.
Daraus empfiehlt sich die Integration von kooperationsfokussierten
Kommunikationsrichtlinien und Handlungsbefugnissen in die Social
Media Richtlinien.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 55
3.1.8. Gefahren durch Wirtschafts- und Industriespionage für die österreichische
Wirtschaft (BMI, 2010)
Das BMI (Bundesministerium für Inneres) hat in Kooperation mit der FH
Campus Wien und Unterstützung der WKO (Wirtschaftskammer
Österreich) und IV (Industriellenvereinigung) eine Studie zur
Bedrohunglage in österreichischen Unternehmen durchgeführt:
31% der befragten österreichischen Unternehmen geben an bereits Opfer von
Wirtschafts- und Industriespionage geworden zu sein. (vgl. BMI, 2010 S. 4).
Die Zahlen der Studie zeigen, dass das größte Risiko im Bereich Wirtschafts-
und Industriespionage von den eigenen MitarbeiterInnen ausgeht. (vgl. BMI, 2010
S. 8)
„Social Engineering is a methodology that allows an attacker to bypass
technical controls by attacking the human element in an organization.
There are many techniques commonly used in social engineering
including but not limited to Trojan and phishing email messages,
impersonation, persuasion, bribery, shoulder surfing, and dumpster
diving. Hackers rely on social engineering attacks to bypass technical
controls by focusing on the human factors. Social engineers often exploit
the natural tendency people have toward trusting others who seem
likeable or credible, deferring to authority or need to acquiesce to social
conformity.‛ (Applegate, 2009 S. 40)
Schulung der MitarbeiterInnen auf das Erkennen und Handeln bei Social
Engineering Attacken.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 56
3.1.9. Infoblatt Elektronische Abwehr (Abwehramt, 2006)
Das Abwehramt des Bundesministeriums für Landesverteidigung erklärt
das Entstehen einer Gefahr/Bedrohung durch Menschen aus folgenden
Gründen:
Fehlendes Bewusstsein
Unkenntnis
Nachlässigkeit
Bewusste Schädigung durch unehrliche oder verärgerte
MitarbeiterInnen
Spionage
(vgl. Abwehramt, 2006 S. 5)
Als Angreifer werden
Staatliche Nachrichtendienste
Konfliktparteien
Wirtschaftsunternehmen
Organisierte Kriminalität
Staatsgefährdende Organisationen
Private Informationsdienste oder
Detektive und Medienvertreter
genannt. (vgl. Abwehramt, 2006 S. 12)
Dieses Bedrohungsbild lässt sich durchaus auch auf die Privatwirtschaft
anwenden (siehe 2.1.).
Unternehmen in sensiblen Industrien mit hoher Relevanz für Angreifer
sollten individuelle Corporate Security bzw. Informationssicherheits-
Risk- Assessments durchführen bevor Social Media Plattformen durch
MitarbeiterInnen benutzt werden dürfen.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 57
3.1.10. Sophos Security report 2011 (Sophos, 2011)
‚By preying on our curiosity, cybercriminals are able to use psychological
traps to profit from unsuspecting users of technology‛ (Sophos, 2011 S. 2)
Im Kapitel `Identifying the threats´ werden aktuelle Bedrohungen
beschrieben:
Ein großes Risiko stellt derzeit `Fake anti-virus software´dar. Vgl. (Sophos,
2011 S. 5) Andere Angreifer nutzen `Internet marketing techniques´ , welche
von der Industrie zur Optimierung der Suchmaschinenergebnisse
verwendet werden (SEO). (vgl. Sophos, 2011 S. 6)
Im Bereich `Social engineering techniques on social networks´ werden
verschieden aktuelle Trends beschrieben wie zum Beispiel `clickjacking´
auch `UI redressing´ genannt. Unsichtbare layer überlagern sichtbare
Informationen und holen sich damit den `click´ ab.
Hier wird das Standardarsenal der Social Engineering Techniken
verwendet: Kompromittierende Bilder von Stars, wichtige
Nachrichtenmeldungen, Unterhaltungsevents, Geschichten über
Selbstmorde, Haiattacken, usw. (vgl. Sophos, 2011 S. 7)
Eine abgewandelte Form von `clickjacking´ ist die auf Facebook
verwendete Form das sogenannte `likejacking´. Dabei wird die like
Funktion von Facebook genutzt.
Darüber hinaus hat der `Survey scam´ hohe Bedeutung. Bei dieser Form des
Angriffes erlaubt die Benutzerin – aus Interesse an einer Drittanwendung
- den Zugriff auf die persönlichen Daten. In Folge versendet der
Angreifer Mails an die Kontakte der BenutzerIn. Durch sogenannte
`Affiliate Marketing Systeme´ verdient der Angreifer Geld und die
Kontakte der BenutzerIn werden belästigt. (vgl. Sophos, 2011 S. 8)
Sophos hebt einige Punkte in einem 10 Punkte Ratgeber hervor:
Sophos appelliert in diesem Ratgeber an die Erfahrung und den Verstand der
Benutzerin bei der Bewertung von Informationen:
Prüfe auf Wahrscheinlichkeit das etwas wahr ist
Wie wahrscheinlich ist das nur ich der Empfänger dieser
Nachricht bin?
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 58
Was schön und attraktiv ist nicht zwingend wahr.
Sei geduldig. Viele Benutzerinnen klicken viel zu schnell auf ein
interessantes link.
Bevor die Identität des Gegenübers nicht klar ist darf man
keinesfalls persönlichen Daten oder Firmeninformationen
übermitteln
Mittels email dürfen keine persönlichen Daten oder Firmendaten
übermittelt werden. Solche Anforderungen von AnbieterInnen
sind höchst verdächtig.
Falls man nicht sicher ist ob ein email vom richtigen Absender
kommt sollte man unbedingt die Richtigkeit durch direkte
Kontaktaufnahme überprüfen. Die Kontaktinformationen des
Mails dürfen dafür nicht herangezogen werden. Man muss sich
die Kontaktinformationen selbst beschaffen.
Überprüfen Sie doppelt die URLs von Webseiten die Sie besuchen,
einige `phising websites´ sehen dem Original täuschend ähnlich
aber unterscheiden sich in einem kleinen Detail in der URL.
Wenn man der Sicherheit einer Website nicht vertraut, sollte man
an diese Website keine Informationen übermitteln.
Seien Sie misstrauisch bei unerwünschten Telefonanrufen oder
Emails in denen Sie nach Informationen über MitarbeiterInnen
gefragt werden.
(vgl. Sophos, 2011 S. 8)
Aber auch klassische Sicherheitsprobleme, wie Passwörter spielen eine
große Rolle:
„Despite the increasing sophistication and availability of alternatives,
simple passwords remain the most common form of user authentication.
Many online sites and services continue to rely on passwords alone to
prove that the person interacting with them is who they claim to be.
Weaknesses in this approach represent a serious hole in security. < Far
too many people use simple and easily-guessed passwords like `123456´,
`password´ and `qwerty´ ‚ (Sophos, 2011 S. 14-15)
Eine der großen Herausforderungen der nächsten Jahre liegt laut Sophos
beim Mobilen Endgerät und Smartphone:
„According to Gartner analysts, `one in six people will have access to a
high-tech mobile device by the end of 2010´. In the last few years, we’ve
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 59
witnessed a radical change in the way we access and use the Internet. The
rapid upswing in sophistication of mobile technology resulted in a swift
change in the way we provide mobile content and interact with it.
However, this change brings with it a wealth of new problems for
security. In our new, always-connected age, maintaining the integrity and
privacy of networks, business data and personal information is
increasingly important and difficult.‛ (Sophos, 2011 S. 16)
`Facebook´,` XING´ und `LinkedIn´ bieten sowohl `iPhone´ als auch
`Android´ Apps (Applikationen) an. Damit werden von vielen
BenutzerInnen sämtliche Kontakte in den drei Netzwerken am
Mobiltelefon miteinander verlinkt und abgespeichert.
‚Facebook, by far the largest social networking system and the most
targeted by cybercriminals, has a major problem in the form of its app
system. Any user can create an application, with a wide range of powers
to interact with data stored on user pages and cross-site messaging
systems, and these applications, like survey scams, can then be installed
and run on any users’ page.‛ (Sophos, 2011 S. 23)
Abbildung 23 Facebook app verification demand and privacy concerns; Quelle: (Sophos, 2011)
Sophos untermauert die Unsicherheit von Applikationen in `Facebook´ im
Oktober 2010 mit einer Umfrage: Auf die Frage ob Facebook dem Beispiel
von Apple folgen soll und nur verifizierte Applikationen den Zutritt
gewähren soll antworten über 95% mit ja. (vgl. Sophos, 2011 S. 46)
Die Wichtigkeit der Privatsphäreeinstellungen bei Facebook wurde in der
Umfrage mittels der Frage `Do you think you will quit Facebook over
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 60
privacy concerns´ von 76% mit `das habe ich bereits´, `wahrscheinlich
deswegen´ oder `möglicherweise´ beantwortet. (vgl. Sophos, 2011 S. 46)
„There’s still a long way to go. Too many people are too willing share
anything they can think of on their social networking pages, with no
thought of the possible consequences. And many people unthinkingly
click on an email attachment or link because it comes in from a friend or
colleague’s email address.
We need to balance caution and sensible precautions with usability. Users
need to be able to trust that online purchases and other payments will be
safe and secure, that their banks will look after their money and that their
purchases will reach them. Without this trust, we would be afraid to
communicate or conduct any transaction online. Yet, as Ben Franklin’s
old adage says, `An ounce of prevention is worth a pound of cure.´‛
(Sophos, 2011 S. 46)
Die Sensibilisierung und Ausbildung der BenutzerInnen von Sozialen Netzwerken
reduziert demnach die Kosten für die Abwehr von Angriffen massiv.
„the bad guys are focusing more and more on social engineering tricks and social sites
to find and exploit new victims‛ (Sophos, 2011 S. 48)
Ergänzen und präzisieren wir auf Basis der Erkenntnisse des Sophos
Reports:
Vermittlung und Überprüfung des Problembewusstseins und Wissens
der MitarbeiterInnen in Bezug auf
- die aktuellen Bedrohungen in Sozialen Netzwerken
- sicheres Passwortmanagement im Bereich Sozialer Medien
- Sicherheitsbedrohungen durch die Nutzungen der Android und
iPhone Apps auf Mobilen Endgeräten
- Social Engineering Fallen
Neu auftauchende Sicherheitsrisiken durch Mobile Endgeräte, Social
Media Applikationen und Privatsphäre Einstellungen müssen frühzeitig
erkannt laufend bewertet werden
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 61
3.1.11. Implementing Solutions to Social Media´s Security Risks (Security Directors Report,
2010)
Die Gliederung einer Social Media Policy könnte sich wie folgt gliedern:
‚personal use in the workplace (whether it's allowed, what's
appropriate, and nondisclosure of business-related information);
personal use outside the workplace (posting of business-related
information, disclaimers if identifying employer, dangers from
posting too much personal info);
and business use (if it's allowed, approval process for using it, scope
of information that can be discussed, and disallowed activities, like
installation of applications).‛ (Security Directors Report, 2010 S. 6)
Die Unterscheidung zwischen persönlicher Nutzung am Arbeitsplatz,
persönliche Nutzung außerhalb des Arbeitsplatzes und beruflicher
Nutzung hilft bei der differenzierten Betrachtung.
3.1.12. Cisco 2010 Annual Security Report (Cisco, 2010)
Im September 2010 wurden weltweit spam emails von LinkedIn
versandt, welche gefälschte Erinnerungsnachrichten enthielten. Wenn die
Benutzerin die angegebenen `links´ anklickte installierte man eine `Zeus´
Datendiebstahls Software die auf persönliche Bankinformationen
zugreift. Am Tag des Versandes dieser SPAM Email kam es zum dahin
bisher größten Versand von SPAM weltweit. 24% des weltweiten SPAMs
betrafen die gefälschte LinkedIn Nachricht. (vgl. Cisco, 2010 S. 15)
Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 62
Auch Cisco veröffentlichte 2010 Tipps zur Vermeidung von Social
Engineering Angriffen. „Die 7 tödlichen Schwächen‚:
Sex Appeal (Sexuelle Anziehungskraft; ‚<masquerading as an
attractive men or women‛)
Greed (Gier; ‚<too good to be true‛)
Vanity (Eitelkeit; ‚<the victim has been chosen for a special offer‛)
Trust (Vertrauen; <siehe LinkedIn Email)
Sloth (Faulheit; ‚<its easy to click on a link, instead of calling the
bank‛)
Compassion (Mitgefühl; ‚<somebody says he is stranded
somewhere and needs money‛)
Urgency (Dringlichkeit; ‚<act now < time is running out‛)
(vgl. Cisco, 2010 S. 19)
Die Sensibilisierung für die Problematik Social Engineering sollte
möglichst eindrucksvoll erfolgen. Cisco beschreibt die erfolgreiche
`public awarness´ Kampagne der National Cyber Security Alliance:
`Stop.Think.Connect´.
Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011)
Auch geschäftliche Netzwerke wie XING oder LinkedIn können
Opfer von Angriffen werden.
Emotionen sind die Grundlagen für Social Engineering Angriffe.
Emotional sollte auch die Sensibilisierung der MitarbeiterInnen
sein.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 63
3.1.13. Industriespionage 2.0 – Soziale Netzwerke und Ihre Auswirkungen auf die
Firmensicherheit (Poller, 2008)
Das Fraunhofer Institut für Sichere Informationstechnologie (SIT) fasst in
diesem Bericht eine Studie im Zeitraum März bis August 2008
zusammen.
Ergänzend zu dem bisherigen Ergebnisse findet sich hier eine
interessante Zusammenfassung zu den Möglichkeiten der Einflussnahme
durch Arbeitgeber.
(vgl. Poller, 2008 S. 12)
Diese Fragestellung hat auch heute noch ihre Berechtigung bei der
Definition von Social Media Richtlinien.
Im Rahmen eines Social Media Richtlinie sollte definiert werden,
welche firmenbezogenen Daten dürfen eingegeben werden?
welche Zugriffskontrollen sind für bestimmte Daten zu
konfigurieren? (geschlossene Gruppen)
welche Daten dürfen aus der Plattform empfangen werden?
(Beschränkungen möglich soweit Dienstrechner oder Firmen
Smartphone), Bsp. Synchronisierung von Outlook mit XING oder
welche dienstlichen Vorgänge dürfen über die Plattform
abgewickelt werden?
Plattformspezifische Einschränkungen?
Problem der Authentizität von Kommunikations- und
InteraktionspartnerInnen?
(vgl. Poller, 2008)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 64
3.1.14. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the
Securities World (Haid, 2010)
In ihrem Artikel beschreibt Amy E. Haid besondere Herausforderungen
bei der Nutzung von Social Media unter Berücksichtigung der FINRA
(Financial Industry Regulatory Authority).
Mitgliedsfirmen müssen gemäß der FINRA Regel 07-59 die elektronische
Kommunikation von Mitgliedsfirmen überprüfen und überwachen.
Social Networking Seiten wie `Facebook´ werden seitens FINRA als
statisch und interaktiv klassifiziert.
Die Überwachung von statischen Inhalten folgt klaren Regeln
(Begutachtung vor Veröffentlichung und Speicherung bei FINRA<).
Bei dynamischen interaktiven Inhalten wie `Facebook´, `LinkedIn´ und
`Twitter´ ist es unverhältnismäßig komplexer sich diesen klaren Regeln
anzupassen.
(vgl. Haid, 2010 S. 1-2)
Deshalb gibt FINRA spezifische Empfehlungen für die Finanzwirtschaft:
‚If brokers and advisers venture to provide recommendations and advice
to customers via social media tools, they should exercise extreme caution
to:
(1) Adequately obtain complete customer information;
(2) Dispense recommendations and advice to that customer alone (if
possible, attempting to prevent it from being unintentionally shared with
additional persons via the broker’s or adviser’s homepage and privacy
settings);
(3) Include all required disclosures; and
(4) Fully comply with requirements to document and retain all
information relevant to the communications.‛ (Haid, 2010 S. 4)
Eine Aufzählung der wichtigsten Inhalte einer Social Network Guideline
für die Finanzwirtschaft ist sehr stark rechtlich geprägt:
Brand use compliance;
Intellectual property;
Privacy;
Anti-money laundering;
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 65
Corporate disclosures;
Jurisdictional limitations for different licenses;
Prior approval for posts;
Use of approved templates or „canned‟ communications;
Limiting or prohibiting investment related communication;
Disclosing site use to supervisor/compliance;
Prohibiting use for securities-related purposes; and
Training requirements for social media users.
(vgl. Haid, 2010 S. 6)
Daraus ergibt sich:
Informationspflichten gemäß Konsumentenschutzgesetz,
Finanzmarktgesetzen oder andere Beratungsverpflichtungen müssen
durch geeignete Dokumentation auch in Sozialen Netzwerken
sichergestellt werden.
Die Einhaltung von branchenspezifische Gesetzen und Richtlinien muss
in den Social Media Richtlinien sorgfältig und rechtsverbindlich
berücksichtigt werden.
3.1.15. 10 THINGS you should know now about…. SOCIAL MEDIA SECURITY (Reisinger,
2009)
Don Reisinger bringt es auf den Punkt
‚UNVEILED THREATS - The threat of outbreaks coming from social
networks is real. Without some sort of corporate policy and safeguards in
place, sensitive data can leak out through social networks.‛ (Reisinger,
2009 S. 1)
Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen sind
bei der Nutzung von Sozialen Netzwerken notwendig um den Verlust
sensibler Daten zu verhindern.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 66
3.1.16. Informationstechnologie – Sicherheitstechnik ÖNORM ISO/IEC ISO 27001 (ON
Österreichisches Normungsinstitut, 2008)
„Diese Internationale Norm wurde entwickelt, um ein Modell für die
Einrichtung, die Umsetzung, den Betrieb, die Überwachung, die
Überprüfung, die Instandhaltung und die Verbesserung eines
Informationssicherheits-Managementsystems (ISMS) bereitzustellen. Die
Einführung eines ISMS sollte eine strategische Entscheidung
für eine Organisation sein. Die Gestaltung und Umsetzung eines ISMS
hängen von den Bedürfnissen und Zielen, Sicherheitsanforderungen,
eingesetzten Verfahren sowie Größe und Struktur der Organisation ab.
Erwartungsgemäß ändern sich diese Faktoren und die sie
unterstützenden Systeme im Laufe der Zeit. Es wird daher angenommen,
dass die Umsetzung des ISMS den Bedürfnissen der Organisation
angepasst wird, zB erfordert eine einfache Situation auch eine einfache
ISMS-Lösung.
Diese Internationale Norm kann von beteiligten Internen und Externen
verwendet werden, um zu bewerten, inwieweit eine Organisation die
Anforderungen erfüllt.‚
(ON Österreichisches Normungsinstitut, 2008 S. 5)
Die gegenständliche Norm befasst sich ganzheitlich mit dem Schutz von
Information in Unternehmen.
Die gegenständliche Norm definiert zunächst Begriffe wie Vermögenswert,
Verfügbarkeit, Vertraulichkeit, Informationssicherheit,
Informationssicherheits-Ereignis, Informationssicherheits-Vorfall,
Informationssicherheits-Managementsystem (ISMS), Integrität, Restrisiko,
Risikoakzeptanz, Risikoanalyse, Risikobewertung, Risikoevaluierung,
Risikomanagement, Risikobehandlung und Erklärungen zur
Anwendbarkeit. (vgl. ON Österreichisches Normungsinstitut, 2008 S. 8)
Die gegenständliche Arbeit befasst sich im Sinne dieser Definitionen mit:
Bedrohungen für Vermögenswerte, durch die Verfügbarkeit und
Anwendung von Sozialen Netzwerken wie Facebook, XING und
LinkedIn - im persönlichen Arbeitsumfeld und Privatbereich von
MitarbeiterInnen - in Unternehmen, welche im B2B Geschäft tätig sind,
sowie daraus resultierende allgemeine ISMS - Handlungsfelder für
Unternehmen.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 67
Unternehmen die ein ISMS einrichten möchten oder bereits eingeführt
haben benötigen Kenntnis über potentielle Bedrohungen für
Vermögenswerte.
Im Rahmen der Identifizierung der Risiken ist die „Identifizierung der
Bedrohung für diese organisationseigenen Vermögenswerte‚ (ON
Österreichisches Normungsinstitut, 2008 S. 11) sowie die „Identifizierung
der Schwachstellen, die durch diese Bedrohung ausgenutzt werden
könnten; <‚ (ON Österreichisches Normungsinstitut, 2008 S. 11) ein
wesentlicher Teil der Arbeit.
Zahlreiche Maßnahmenziele und Maßnahmen der ISO/IEC 27001 werden durch eine
Social Media Richtlinie berührt bzw. müssen von dieser berücksichtigt werden
(vgl. ON Österreichisches Normungsinstitut, 2008 S. 20-36):
Dokument zur Informationssicherheit-Politik müssen unter Umständen
in der Enterprise 2.0 adaptiert werden.
Die Überprüfung der Informationssicherheits-Politik muss bei der
Nutzung immer täglich neuer Web Applikationen, Mobiler Endgeräte
durch MitarbeiterInnen praktikabel geregelt werden.
Das Engagement des Managements für Informationssicherheit sollte sich
durch Unterstützung der Verantwortlichen durch Vorbildwirkung
manifestieren.
Die Koordination der Informationssicherheit beim Umgang mit Sozialen
Medien bedingt entsprechende Kompetenzen in diesem Bereich, die
Zuweisung der Verantwortlichkeiten der Informationssicherheit für im
Fremdbesitz bzw. Fremdeinfluss befindliche Web 2.0 Applikationen
bedingt vor allem sehr viel Verantwortung bei der Benutzerin.
Der Genehmigungsprozess für informationsverarbeitende Einrichtungen
wird bei der Nutzung bestimmter Sozialer Netzwerke, Mobile Apps
gesondert zu regeln sein.
Vertraulichkeits-Vereinbarungen in Dienstverträge müssen ggf. adaptiert
werden, bzw. Ergänzungen vereinbart werden.
Gute Kontakte zu Behörden (Bundeskriminalamt) und Kontakte zu
speziellen Interessensgruppen (ispa, saferinternet, Google, Facebook,
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 68
XING, LinkedIn) ermöglichen schnelle Reaktionen auf Angriffe oder
Missbrauch.
Die unabhängige Überprüfung der Informationssicherheit durch externe
Profis ist auch bei der Nutzung von sozialen Netzwerken zu empfehlen.
Die Identifizierung von Risiken in Zusammenhang mit Externen kann
durch Geheimhaltungsvereinbarungen mit Schadensersatzanspruch und
ausschließlicher Beauftragung von sicherheitsüberprüften gut
beleumundeten Unternehmen vereinfacht werden.
Das Adressieren von Sicherheit im Umgang mit Kunden und die
Sicherheit in Vereinbarungen mit Dritten haben vor allem mit
Bewusstsein bei MitarbeiterInnen zu tun.
Inventar, Eigentum und die zulässige Nutzung der Vermögenswerte z.B.
Unternehmensprofile in Sozialen Netzwerken, Medien des
Unternehmens, MitarbeiterInnen Fotos o.ä. ist in der Praxis auch sehr
stark vom Verhalten der einzelnen Mitarbeiterin abhängig.
Die Überprüfung von MitarbeiterInnen vor Einstellung ins Unternehmen
sollte um einen Dimension Social Media erweitert werden und die
Zustimmung der Mitarbeiterin zu Beschäftigungsbedingungen mit
verbindlichen Social Media Richtlinien sind vor Einstellung einzuholen.
Die Verantwortlichkeiten des Managements für die Einhaltung der
Richtlinien ist klar zu regeln.
Das Bewusstsein sowie Ausbildung und Schulung für
Informationssicherheit und den Umgang mit Sozialen Medien im Web 2.0
muss seitens der Unternehmen sichergestellt werden.
Zeitgemäße Disziplinarverfahren mit einem geeigneten
Eskalationsstufenmodell bei Verstößen sollten als Konsequenz bei
Zuwiderhandeln konsequent umgesetzt werden.
Die Verantwortlichkeiten bei der Beendigung der Beschäftigung müssen
entsprechend adaptiert werden, insbesondere ist bei der Rückgabe von
Vermögenswerten auch die Übergabe des Zuganges und der Verfügung
über immaterielle Vermögenswerte - die von MitarbeiterInnen in ihrer
Arbeitszeit bzw. dienstlich geschaffen wurden oder in deren Verfügung
stehen – zu regeln. Zahlreiche SEO Maßnahmen sind mit sind mit
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 69
komplexen Verknüpfungen unterschiedlichster Web 2.0 Anwendungen
verbunden der Zugriff auf diese Drittanwendungen erfolgt sehr oft über
`Facebook Connect´. Die Aufhebung von Zugangs- bzw. Zugriffsrechten
hat aus diesem Grund überlegt zu erfolgen. Emailadressen sind
wesentlicher Bestandteil von Zugriffsrechten auf Social Media
Anwendungen und sollten aus diesem Grund keinesfalls unwiderruflich
gelöscht werden. Die Entfernung von Eigentum wie zum Beispiel
Firmenprofile in Sozialen Netzwerken muss auch virtuell verhindert
werden.
Dokumentierte Betriebsverfahren für Soziale Netzwerke müssen
geschaffen werden.
Das Änderungsmanagement wird bei der individuellen Nutzung täglich
neuer Webapplikationen, Mobile Apps, etc. mit neuen Ansätze zu regeln
sein.
Die Aufgabentrennung zum Beispiel ein 4-Augenprinzip wird in der
aktuellen Social Media schwer umzusetzen sein.
Die Erbringung, Überwachung, Überprüfung der Dienstleistungen durch
Dritte (Facebook, XING, LinkedIn,<) ist bei teilweise kostenfreien
Diensten äußerst schwierig zu realisieren, da viele dieser Dienstleister in
ihren AGBs sämtliche Haftungen von sich weisen.
Der Schutz gegen Schadsoftware gewinnt in Soziale Netzwerke eine neue
Dimension MitarbeiterInnen erlauben Drittsoftware Zugriff bei
Installation Zugriff auf unterschiedlichste Daten.
Der Schutz vor Datenverlust wird bei Kontaktdaten in Sozialen
Netzwerken welche von Dritten kontrolliert werden vor allem
fremdbestimmt erfolgen. Das Gleiche gilt für den Umgang mit
Information wie Speicherung, Verteilung, etc..
Bei eigenen Datenverarbeitungssystemen definierte Anweisungen und
Verfahren zum Austausch von Information sind in Sozialen Netzwerken
nur schwer kontrollierbar, der Schutz von elektronischen Nachrichten ist
dementsprechend schwierig.
Großes Augenmerk muss auf die Sicherheit des elektronischen
Geschäftsverkehres und Online-Transaktionen gelegt werden, da sich
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 70
über Soziale Netzwerke und Mobile Endgeräte Schadsoftware sehr
einfach verbreitet.
Die Integrität öffentlich zugänglicher Information muss natürlich auch in
Sozialen Netzwerken sichergestellt werden. Firmenprofile müssen von
darauf geschulten und autorisierten MitarbeiterInnen oder externen
AuftragnehmerInnen verwaltet werden.
Die Verfahren zur richtlinienkonformen
Überwachung,
Zugriffskontrolle,
Beschaffung, Entwicklung und Wartung von
Informationssystemen
Management von Informationssicherheits-Ereignissen- und
Schwächen
Betriebliches Kontinuitätsmanagement
müssen bei der Einbeziehung von Sozialen Netzwerken in die
Geschäftsprozesse (Kundenbeziehungs-Management, Customer
Relationship-Management, Kundenreaktivierungsprozesse)
dementsprechend adaptiert werden.
Ein besonderes Augenmerk muss bei der Implementierung einer Social
Media Richtlinie auf die Einhaltung von Verpflichtungen gelegt werden.
Die ÖNORM ISO/IEC ISO 27001 unterscheidet hier:
Einhaltung gesetzlicher Verpflichtungen
Identifizierung der anwendbaren Gesetze
Rechte an geistigem Eigentum
Schutz von organisationseigenen Aufzeichnungen
Datenschutz und Geheimhaltung von personenbezogenen
Informationen
Verhinderung des Missbrauchs von informationsverarbeitenden
Einrichtungen
Regelungen von kryptographischen Maßnahmen
Einhaltung von Sicherheitsanweisungen und -standards sowie
technischer Vorgaben
Einhaltung von Sicherheitsanweisungen und –standards
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 71
Überprüfung der Einhaltung technischer Vorgaben
Überlegungen zu Audits von Informationssystemen
Maßnahmen für Audits von Informationssystemen
Schutz von Auditwerkzeugen für Informationssysteme
(vgl. ON Österreichisches Normungsinstitut, 2008 S. 20-36)
Die ÖNORM ISO/IEC ISO 27001 bietet mit dem Anhang A
`Maßnahmenziele und Maßnahmen´ eine geeignete Struktur zur
detaillierten Analyse firmenspezifischer Bedrohungen, dem Erkennen
notwendiger Bereiche für individuelle Zieldefinitionen und
Verankerungspunkte für konkrete Maßnahmen bei der Erstellung einer
individuellen Social Media Richtlinie.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 72
3.2. Forschungsabschluss
Abbildung 26: Forschungsabschluss Stichworte im Überblick
3.2.1. Schwachstellen, Bedrohungen, Straftaten
Die Schwachstellen bei der Benutzung von Sozialen Netzwerken wie Facebook,
XING und LinkedIn wie<
einfacher Zugriff auf Social Media Profile durch unsicheres Passwortmanagement der BenutzerInnen im Bereich Sozialer Medien
immer perfekter konstruierte Social Engineering Fallen
laufend neu auftauchende Sicherheitsrisiken durch Mobile Endgeräte und Social Media Applikationen von unsicheren Drittanbietern
Sicherheitsbedrohungen durch die Nutzung der Android und iPhone Apps auf Mobilen Endgeräten
veränderte Privatsphäre Einstellungsoptionen übergreifende Zugriffsmöglichkeiten zwischen unterschiedlichen Social
Media Anwendungen Mangelnde Kenntnisse der BenutzerInnen und wenig Bewusstsein für
potentielle Gefahren
sind Angriffspunkte für stark boomende Bedrohungen wie
The involvement of criminal organisations in high tech crimes
Botnets and crime wares
Phishing & Identity Theft
Pharming
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 73
Vishing
SMiShing
Critical Information Infrastructures
Cyber terrorism
Trafficking of Child Pornography Images on the Internet
Drugs Trafficking on the Internet
The Digital Underground Economy
Cybercriminal Business Models
Cybercrime 2.0
Social Engineering (techniques on social networks)
Fake anti-virus software
Internet marketing techniques
Clickjacking
Likejacking
Survey scam
Damit werden unterschiedliche Cybercrime Straftaten begangen
Straftaten gegen die Vertraulichkeit, Unversehrtheit
und Verfügbarkeit von Computerdaten und –systemen
Computerbezogene Straftaten
Inhaltsbezogene Straftaten
Straftaten in Zusammenhang mit Verletzungen des Urheberrechts
und verwandter Schutzrechte
Weitere Formen der Verantwortlichkeit und Sanktionen
aber auch andere Straftaten wie Spionage, Industriespionage, Betrug,
Erpressung, Entführung, Menschenhandel, Kindesmissbrauch,
Wiederbetätigung, Terrorismus, Geldwäsche usw. vorbereitet oder
begangen.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 74
3.2.2. Gründe für Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen
Soziale Netzwerke beeinflussen den Unternehmenserfolg in
unterschiedlichen Bereichen. Social Media Unternehmensrichtlinien und
Sicherheitsmaßnahmen bei der Nutzung von Sozialen Netzwerken sind
notwendig weil
Soziale Netzwerke sind perfekte Datenquellen für Verbrechen. Der Verlust
sensibler Daten und die Begehung von Verbrechen muss verhindert
werden: Kriminelle Aktivitäten in Sozialen Netzwerken kann
MitarbeiterInnen, Unternehmen und GeschäftspartnerInnen
massiven Schaden zufügen.
Vertrauen, Kommunikation und gemeinsamen Werte bestimmen neben der
Attraktivität der Alternativen die Qualität von Geschäftsbeziehungen im B2B
Geschäft. Aktivitäten von MitarbeiterInnen und Unternehmen
Sozialen Netzwerken beeinflussen den Erfolg von Unternehmen im
B2B Bereich: Beziehungsmanagement 2.0 findet auch im Internet
statt.
Unternehmen haften für die Einhaltung rechtlicher und regulatorischer
Vorgaben und besonderer Selbstverpflichtungen durch ihre MitarbeiterInnen
und das Unternehmen. Speziell erwähnt sei hier das Urheberrechte,
Datenschutz, Finanzmarktvorschriften, Beleidigung, üble
Nachrede, Arbeitsrecht, Corporate Social Responsibility.
Verhandlungsbestimmende Unternehmensinformationen, Know How und
andere Vermögenswerte müssen geschützt werden.
Gesprächsabschöpfung, elektronische Aufklärung und andere
Spionageverfahren nutzen Social Engineering zur Zielerreichung.
MitarbeiterInnen müssen auf das Erkennen und die Abwehr
solcher Aktivitäten vorbereitet werden.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 75
3.2.3. Allgemeine Handlungsempfehlungen für MitarbeiterInnen in Sozialen Netzwerken
Ohne Berücksichtigung spezifischer Unternehmensrisiken ergeben sich
einige allgemeingültige Handlungsempfehlungen für MitarbeiterInnen in
sozialen Netzwerken:
Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen für MitarbeiterInnen
So wenige Daten wie möglich preisgeben (`Need-to-know´)
Restriktiver Umgang mit den Privatsphäreeinstellungen
Sichere Passwörter verwenden
Unterschiedliche Passwörter für die verschieden Sozialen Netzwerke
verwenden
Zusammenfassung von beruflichen Gruppen und Vergabe von
entsprechende Zugriffsberechtigungen für Gruppen
Blockieren der Möglichkeit der Markierung der Mitarbeiterin auf Fotos
Trennung von Facebook und Twitter wenn `tweet´ Frequenz zu
hoch für Facebook.
Blockieren der Auffindbarkeit des Profils für Suchmaschinen und ggf.
NetzwerkmitgliederInnen
Deaktivierung der Möglichkeit für Drittanwendungen im Profil der
Benutzerin zu posten
Berufliches und Privates trennen (z.B. nur berufliches in XING und
LinkedIn)
Anonymisiertes Profil in Facebook
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 76
Orientierung an der Netiquette bzw. FAQs um sich sicher und souverän in
Sozialen Netzwerken zu bewegen (Vermeidung von Irritationen
bei GeschäftspartnerInnen)
Kenntnis der jeweiligen AGBs
Vorsicht bei der Nutzung von Sozialen Netzwerken über öffentliche Netze
(wenige Netze verwenden entsprechende Verschlüsselungen)
Entfernung von geschäftsschädigenden, missverständlichen oder
beleidigenden Einträgen von der eigenen Pinwand
Keine Nutzung von `location based´oder `check-in´Services
Keine Nutzung von Drittanwendungen auf Facebook
Professionelle Kommunikation, die auch dem Auge kritischer
GeschäftspartnerInnen standhält
Keine Verwendung von unsicheren oder unbekannten
Virenschutzprogrammen (häufige Angriffsquelle)
Regelmäßiger Update der Virenschutzprogramme
Sorgfältiger Umgang mit Geschäftsinformationen und regelkonformes
Verhalten (siehe auch Pflichten von ArbeitnehmerInnen aus
Arbeitsverträgen, Arbeitsrecht, Betriebsvereinbarungen,
Urheberrechten, Datenschutzrichtlinien, Wettbewerbsrecht und
anderen Gesetzen)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 77
3.2.4. Unternehmensseitige Handlungsempfehlungen bei der Nutzung von Sozialen
Netzwerken durch MitarbeiterInnen
Abbildung 28: Stichwortsammlung - Handlungsempfehlungen für Unternehmen
Aus der gegenständlichen Arbeit lassen sich auch klare
Unternehmensseitige Handlungsempfehlungen bei der Nutzung von
Sozialen Netzwerken durch MitarbeiterInnen ableiten:
Erarbeitung und Vereinbarung einer Social Media Richtlinie als Anordnung,
Weisung oder Betriebsvereinbarung
Berücksichtigung der Allgemeinen Handlungsempfehlungen (gemäß 3.2.3)
für MitarbeiterInnen in den Social Media Richtlinien
Unterscheidung zwischen persönlicher Nutzung am Arbeitsplatz,
persönlicher Nutzung außerhalb des Arbeitsplatzes und beruflicher Nutzung.
Vermittlung und Überprüfung des Problembewusstseins und der Kompetenzen
der MitarbeiterInnen in Bezug auf die
o Umsetzung der Social Media Richtlinien
o Konsequenzen der Weitergabe von vertraulichen oder sensiblen
Geschäftsinformationen oder Geschäftsgeheimnissen
o relevanten Rechtsgrundlagen und daraus resultierenden Pflichten
o Notwendigkeit von Zugriffskontrollen für bestimmte Daten
(geschlossene Gruppen)
o Einschränkungen in Bezug auf Datenempfang, Installationen oder
Verbindungen für Dienstrechner oder Smartphones aus
sicherheitstechnischen Gründen
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 78
o Einschränkungen bei der Angabe von firmenbezogenen Daten
o Einschränkungen von dienstlichen Vorgängen auf Social Media
Plattformen
o Vorgaben für Firmenprofile in Sozialen Medien
o Kenntnis besonderer strafrechtlich relevanter Delikte wie üble
Nachrede, Beleidigung, unlauterer Wettbewerb und
Urheberrechtsverletzungen
o das Erkennen und die Abwehr von Social Media Attacken
o geeignete Belehrung neu eintretender MitarbeiterInnen
Einhaltung von allgemeinen und branchenspezifischen Gesetzen und
Richtlinien (Wettbewerbsrecht, Finanzmarktregelungen,
Werbeverbote für Ärzte, CSR, etc.)
Einhaltung von selbstauferlegten Informations- und
Beratungsverpflichtungen, Normen, Dokumentationsverpflichtungen etc.
Überwachung und Management der Einhaltung von Social Media Richtlinien
im Unternehmen
Einbeziehung des Betriebsrates
Verhinderung von Unternehmensschäden durch Urheberrechtverletzungen
durch MitarbeiterInnen
Emotionale Vermittlung der Gefahren und Bedrohungen schafft
Problembewusstsein
Um die eigene Organisation auf Soziale Netzwerke optimal
vorzubereiten sollten einige Dinge im Unternehmen überprüft und
adaptiert werden:
Adaptierung der Dokumente zur Informationssicherheit-Politik (ISMS)
Überprüfung der Informationssicherheits-Politik bei der Nutzung immer
täglich neuer Web Applikationen, Mobiler Endgeräte durch
MitarbeiterInnen
Engagement des Managements für Informationssicherheit durch
Vorbildwirkung
Koordination der Informationssicherheit beim Umgang mit Sozialen
Medien durch die Zuweisung der Verantwortlichkeiten der
Informationssicherheit für im Fremdbesitz bzw. Fremdeinfluss
befindliche Web 2.0 Applikationen wie Soziale Netzwerke
Adaptierung des Genehmigungsprozesses für informationsverarbeitende
Einrichtungen wird bei der Nutzung bestimmter Sozialer
Netzwerke, Mobile Apps und Drittanwendungen.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 79
Überprüfung und ggf. Ergänzung der Vertraulichkeits-Vereinbarungen
in Dienstverträge
Aufbau guter Kontakte zu Behörden (Bundeskriminalamt) und
Kontakte zu speziellen Interessensgruppen (ispa, saferinternet, Google,
Facebook, XING, LinkedIn).
Die Unabhängige Überprüfung der Informationssicherheit durch externe
Profis bei der Nutzung von Sozialen Netzwerken.
Die Identifizierung von Risiken in Zusammenhang mit Externen muss
laufend erfolgen da sich Schwachstellen und Bedrohungslagen
permanent weiterentwickeln.
MitarbeiterInnen sind für das das Adressieren von Sicherheit im Umgang
mit Kunden und die Sicherheit in Vereinbarungen mit Dritten zu
sensibilisieren bzw.
Inventar, Eigentum und die zulässige Nutzung der Vermögenswerte wie
Unternehmensprofile in sozialen Netzwerken, Medien des
Unternehmens, MitarbeiterInnen Fotos und ähnliches sind zu
erfassen, schützen und überprüfen.
Die Überprüfung von MitarbeiterInnen vor Einstellung ins Unternehmen
sollte um einen Dimension Social Media erweitert werden und die
Zustimmung der Mitarbeiterin zu Beschäftigungsbedingungen mit
verbindlichen Social Media Richtlinien sind bei der Einstellung
einzuholen.
Die Verantwortlichkeiten des Managements für die Einhaltung der
Richtlinien ist klar zu regeln.
Das Bewusstsein sowie Ausbildung und Schulung für Informationssicherheit
und den Umgang mit Sozialen Medien im Web 2.0 muss seitens
der Unternehmen sichergestellt werden.
Zeitgemäße Disziplinarverfahren mit einem geeigneten
Eskalationsstufenmodell bei Verstößen sollten als Konsequenz bei
Zuwiderhandeln konsequent umgesetzt werden.
Die Verantwortlichkeiten bei der Beendigung der Beschäftigung müssen
entsprechend adaptiert werden, insbesondere ist bei der Rückgabe
von Vermögenswerten auch die Übergabe des Zuganges und der Verfügung
über immaterielle Vermögenswerte - die von MitarbeiterInnen in ihrer
Arbeitszeit bzw. dienstlich geschaffen wurden oder in deren
Verfügung stehen – zu regeln.
Die Aufhebung von Zugangs- bzw. Zugriffsrechten hat überlegt zu
erfolgen. Auf Zugriffsrechte von Social Media Anwendungen ist
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 80
bei der Löschung von MitarbeiterInnen Emailadressen und
Profilen Rücksicht zu nehmen.
Die Entfernung von Eigentum wie zum Beispiel Firmenprofile in
Sozialen Netzwerken muss verhindert werden.
Dokumentierte Betriebsverfahren für die betrieblichen Aktivitäten
Soziale Netzwerke müssen geschaffen werden. Eine Social Media
Richtlinie kann dementsprechend aufgebaut sein.
Das Änderungsmanagement ist bei der individuellen Nutzung täglich
neuer Webapplikationen, Mobile Apps, etc. zu regeln.
Die Einhaltung von verbindlichen Aufgabentrennung zum Beispiel
einem 4-Augenprinzip ist bei Sozialen Netzwerken geeignet zu
regeln.
Die Erbringung, Überwachung, Überprüfung der Dienstleistungen durch Dritte
ist auch bei Sozialen Netzwerken sicherzustellen.
Der Schutz gegen Schadsoftware, Schutz vor Datenverlust ist bei
Kontaktdaten in Sozialen Netzwerken sicherzustellen. Das Gleiche
gilt für den Umgang mit Information wie Speicherung, Verteilung, etc..
Anweisungen und Verfahren zum Austausch von Information sind in
Sozialen Netzwerken praktikabel zu regeln, der Schutz von
elektronischen Nachrichten ist auch hier sicherzustellen.
Sicherstellung der Sicherheit des elektronischen Geschäftsverkehres
und Online-Transaktionen in Sozialen Netzwerken.
Die Integrität öffentlich zugänglicher Information muss natürlich auch
in Sozialen Netzwerken sichergestellt werden.
Die Verfahren zur richtlinienkonformen
o Überwachung,
o Zugriffskontrolle,
o Beschaffung, Entwicklung und Wartung von Informationssystemen
o Management von Informationssicherheits-Ereignissen und Schwächen
o Betriebliches Kontinuitätsmanagement
müssen bei der Einbeziehung von Sozialen Netzwerken in die
Geschäftsprozesse (Kundenbeziehungs-Management, Customer
Relationship-Management, Kundenreaktivierungsprozesse)
dementsprechend adaptiert werden.
Die Einhaltung gesetzlicher Verpflichtungen erfordert die
o Identifizierung der anwendbaren Gesetze
o Rechte an geistigem Eigentum
o Schutz von organisationseigenen Aufzeichnungen
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 81
o Datenschutz und Geheimhaltung von personenbezogenen
Informationen
o Verhinderung des Missbrauchs von informationsverarbeitenden
Einrichtungen
o Regelungen von kryptographischen Maßnahmen
Die Einhaltung von Sicherheitsanweisungen und -standards sowie
technischer Vorgaben ist entsprechend zu regeln.
Überlegungen zu Audits von Informationssystemen müssen auch extern
verwendete Anwendungen wie Soziale Netzwerke erfassen
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 82
3.2.5. Besondere Handlungsempfehlungen für Unternehmen in sensiblen Industrien mit
hoher Relevanz für potentielle Angreifer
Unternehmen in sensiblen Industrien sollten individuelle Corporate
Security bzw. Informationssicherheits- Risk Assessments durchführen
bevor Social Media Plattformen durch MitarbeiterInnen benutzt werden
dürfen.
Die ÖNORM ISO/IEC ISO 27001 bietet mit dem Anhang A `Maßnahmenziele
und Maßnahmen´ eine geeignete Struktur zur, detaillierten Analyse
firmenspezifischer Bedrohungen, dem Erkennen notwendiger Bereiche für
individuelle Zieldefinitionen und Verankerungspunkte für konkrete Maßnahmen bei
der Erstellung einer individuellen Social Media Richtlinie.
Bei besonderen Bedrohungslagen empfiehlt sich die Installation eines ISMS
(Informationssicherheits Management Systemes) gemäß ÖNORM
ISO/IEC 27001.
Abbildung 29: Kopf ÖNORM ISO/IEC 27001; Quelle: (ON Österreichisches Normungsinstitut, 2008)
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 83
Literaturverzeichnis
Abwehramt. 2006. Schutz vor Social Engineering. Infoblatt Elektronische Abwehr. 09, 2006. Applegate, Scott D. 2009. Social Engineering: Hacking the Wetware! Information security Journal. 18:40-46, 2009, ISSN: 1939-3555 print / 1939-3547 online. Becker, Roman. 2011. Aus dem Bauch heraus. QZ - Qualität und Zuverlässigkeit. 56, 2011, Bd. 1. Biegelman, Martin T. 2008. Building A World-Class Compliance Program. Hoboken, New Jersey : John Wiley & Sons, 2008. ISBN 978-0-470-11478-0. Bloxham, Andy. 2011. www.telegraph.co.uk. www.telegraph.co.uk. [Online] 03. 06 2011. [Zitat vom: 05. 06 2011.] http://www.telegraph.co.uk/technology/news/8553979/Sony-hack-private-details-of-million-people-posted-online.html. Blumauer, Kaltenböck und Koller. 2010. Enterprise 2.0. Enterprise 2.0. Wien : punkt net.Services, 2010. Blumer, Herbert. 1973. Der methodologische Standort des symbolischen Interaktionismus. Arbeitsgruppe Bielefelder Soziologen. 1973. BMI. 2010. Gefahren durch Wirtschafts- und Industriespionage für die österreichische Wirtschaft. Wien : BMI Bundesministerium für Inneres, 2010. Bodoni, Stephanie. 2011. Bloomberg Businessweek. www.businessweek.com. [Online] Bloomberg, 08. 06 2011. [Zitat vom: 12. 06 2011.] http://www.businessweek.com/news/2011-06-08/facebook-to-be-probed-in-eu-for-facial-recognition-in-photos.html. Bundesgesetz. 2011. Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Urheberrechtsgesetz. RIS Rechtsinformationssysten. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnu.... BGBl.Nr. 11/1936 und Änderungen. Burkart, Roland. 2002. Kommunikations-Wissenschaft. Wien : Böhlau Verlag, 2002. ISBN 3-205-99420-5. Chinn & Unkle, Susan j. Chinn, C.Richard Unkle. 2006. Building Dedicated Business-To-Business Relationships: Benefits, Risks, and Lessons Learned. [Hrsg.] American Society for Competitivness. Journal of Global Competitivness. 2006, Bd. 14, S. 84-94. Cisco. 2010. Cisco 2010 Annual Security Report. San Jose : Cisco, 2010. Computerwelt, ul. 2011. Hacker stehlen Sony Millionen Kundendaten. www.computerbild.de. [Online] 27. 04 2011. [Zitat vom: 04. 06 2011.] http://www.computerbild.de/artikel/cbs-News-Spiele-Hacker-stehlen-Sony-Millionen-Kundendaten-6147786.html. emarketer. 2011. www.emarketer.com. emarketer - digital intelligence. [Online] emarketer, 02 2011. [Zitat vom: 12. 06 2011.] http://www.emarketer.com/Reports/All/Emarketer_2000757.aspx. Europe, Council of. 2001. www.conventions.coe.int. Europarat. [Online] 23. 09 2001. [Zitat vom: 05. 06 2011.] http://www.conventions.coe.int/Treaty/GER/Treaties/Html/185.htm. Europol. 2007. High Tech Crimes within the EU, Threat Assessment 2007. The Hague : Europol, 2007. —. 2011. Internet Facilitated Organized Crime. The Hague : Europol, 2011. File No.: 2530-264. Facebook. 2011. facebook Apps. www.facebook.com. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com/apps/directory.php. —. 2010. Facebook Debuts More Pivacy Features. Information Today www.infotoday.com. November 2010, S. 3. —. 2011. Facebook Profil des Verfassers. www.facebook.com. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com. facebookbiz. 2011. Facebookbiz Werbeanzeigen. www.facebookbiz.de. [Online] facebookbiz, 18. 01 2011. [Zitat vom: 12. 06 2011.] http://www.facebookbiz.de/artikel/facebook-umsatz-werbeanzeigen-2010. Farm Ville. 2011. Farm Ville. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com. Galla, Michael. 2004. Social Relationship Management in Internet-based Communication. Dissertation an der Technischen Universität München. München, Bayern, Deutschland : Institut für Informatik der Technischen Universität München, 01 2004.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 84
Gonzales, Gabriel, et al. 2010. Sales Organisation Recovery Management and Relationship Selling: Ein konzeptionelles Modell und empirischer Test. Journal of Personal Selling & Sales. XXX, 2010, Bd. 3, summer 2010. Haid, Amy E. 2010. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World: Part 2. The Investment Lawyer. 17, 2010, Bd. 10, October. Handelsblatt. Kapalschinski, Christoph. 2010. 16.11.2010, http://www.handelsblatt.com/unternehmen/it-medien/linkedin-blaest-zum-angriff-auf-xing/3640160.html : Verlagsgruppe Handelsblatt GmbH & Co KG, 2010, Bd. Online. Henisz & Zelner, Witold J.Henisz, Bennet A. Zelner. 2010. The Hidden Risks in Emerging Markets. [Hrsg.] Harvard Business Publishing. Harvard Business Review. 04 2010, S. 88-95. Hofmann, Michael. 2009. Managing Risk in The New World. Harvard Business Review. 09 2009, S. 69-75. IBTimes. 2011. International Business Times. www.losangeles.ibtimes.com. [Online] 5. 6 2011. [Zitat vom: 5. 6 2011.] http://losangeles.ibtimes.com/articles/157584/20110605/google-china.htm. IkeepSafe. 2011. IkeepSafe - Safe Keeping Blog. www.ikeepsave.org. [Online] ikeepsa, 08. 06 2011. [Zitat vom: 08. 06 2011.] http://www.ikeepsafe.org/cybersecurity/stop-think-connect/. ispa. 2011. internet sicher nutzen - ein leitfaden der ispa. Wien : ispa - Internet Service Provider Austria, 2011. Joerg Schultze-Bohl Dipl.Inform., Öff.best.u.vereid.Sachverstaendiger. 2011. Risikofaktoren in der Praxis. www.risikomanager.de. [Online] 14. 05 2011. [Zitat vom: 14. 05 2011.] http://www.risikomanager.de/index.php/unternehmensrisiken/37-corporate-risks/50-risikofaktoren-in-der-praxis?format=pdf. Kaplan, Robert S. 2009. Managing Risk in the New World. Harvard Business Review. 09 2009, S. 69-75. Kirchgeorg, Manfred. 2011. Wirtschaftslexikon. Wirtschaftslexikon. [Online] Gabler, 03. 06 2011. [Zitat vom: 03. 06 2011.] http://wirtschaftslexikon.gabler.de/Definition/b2b.html. Koch & Schultze, Hope Koch, Ulrike Schultze. 2011. Stuck in the Conflicted Middle: A Role-Theoretic Perspective on B2B E-Marketplaces. MIS Quarterly. March 2011, Bd. 1, 35, S. 123-146. LinkedIn. 2011. About us. www.linkedin.com. [Online] LinkedIn, 04. 06 2011. [Zitat vom: 04. 06 2011.] http://press.linkedin.com/about/. Linkedin. 2011. About us Linkedin. www.linkedin.com. [Online] Linkedin, 04. 06 2011. [Zitat vom: 04. 06 2011.] http://press.linkedin.com/about/. Mayrhofer, Karl. 2011. Arbeitsrecht für die betriebliche Praxis. Wien : Verlag Weiss, 2011. ISBN 978-3-902770-01-1. mbe/AFP. 2011. Focus. www.focus.de. [Online] 29. 04 2011. [Zitat vom: 05. 06 2011.] http://www.focus.de/finanzen/recht/sony-datenraub-noch-keine-hinweise-auf-kreditkarten-missbrauch_aid_622509.html. McGee Bastry Chandrashekhar Vasireddy Flynn, Andrew R. McGee, Frank A. Bastry, Uma Chandrashekhar, S.Rao Vasireddy, and Lori A. Flynn. 2007. Using the Bell Labs Security Framework to Enhance the ISO 17799/27001 Information Security Management System. [Hrsg.] Alcatel Lucent. Bell Labs Technical Journal. 12 2007, S. 39-54. Möller, Patrick. 2011. XING AG Zwischenbericht Q1 2011. Hamburg : XING AG, 2011. NACD Research, STaff. 2010. In Year of Change, Strategy and Risk Top Board Agendas. NACD Directorship. December 2010 2010, Bd. Survey Public Company Corporate Governance, S. 40-44. Neef Schroll & Theis, Andreas Neef, Willi Schroll, Björn Theis. 2009. Die Revolution der Web-Eingeborenen. [Hrsg.] manager magazin online. manager magazin. 18. Mai 2009, S. 1-4. Null, Christopher. 2009. How to avoid Facebook & Twitter Disasters. PCWORLD.COM. August, 2009, 8. ON Österreichisches Normungsinstitut. 2008. Informationstechnologie - Sicherheitstechnik, Informationssicherheits - Managementsysteme - Anforderungen. ÖNORM ISO/IEC 27001. Wien : ON Österreichisches Normungsinstitut, 2008. 2008-03-01. ÖNORM ISO/IEC 27001. Poller, Andrea. 2008. Industriespionage 2.0. Darmstadt : Fraunhofer Institut, 2008.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 85
Prensky, Marc. 2001. Digital Natives, Digital Immigrants. [Hrsg.] MCB University Press. On the Horizon. 9, October 2001, Bd. 5, October 2001, S. 1. protiviti.com. 2008. Internal Auditors: ISO 27000 the Top Tech Need. Journal of Accountancy. October 2008, S. 25. Reisinger, Don. 2009. 10 Thingsyou should know now about... SOCIAL MEDIA SECURITY. eWEEK. Ziff Davis Enterprise, 2009, October 5. saferinternet.at. 2011. Safer Surfing. Wien : saferinternet.at, 2011. Schranner, Matthias. 2002. Verhandeln im Grenzbereich. München : Econ Verlag, 2002. ISBN 3-430-18068-6. Scoble, Robert und Israel, Shel. 2007. Unsere Kommunikation der Zukunft. München : Finanzbuch Verlag GmbH, 2007. ISBN 978-3-89879-257-8. Security Directors Report. 2010. Implementing Solutions to Social media´s Security Risks. Security Directors report. August, 2010, www.ioma.com/secure. Sony. 2011. About Sony. www.sony-europe.com. [Online] Sony, 2011. [Zitat vom: 05. 06 2011.] http://www.sony-europe.com/article/id/1178278971157. —. 2010. Annual Report 2010. Konan, Japan : Sony Corporation, 2010. SONY. 2011. Sony Announces Revision of Consolidated Forecast for the Fiscal Year Ended March 31, 2011. Tokyo : Sony, 2011. Sony News & Information No: 11-059E. Sophos. 2011. Sophos Security threat report 2011. Abingdon : Sophos, 2011. Stulz, René M. 2009. 6 Ways Companies Mismanage Risk. Harvard Business Review. March 2009, S. 86-94. Taleb Goldstein & Spitznagel, Nassim N. Taleb, Daniel G. Goldstein, Mark W. Spitznagel. 2009. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 10 2009, S. 78-81. Taleb, Nassim Nicholas. 2007. Der Schwarze Schwan. New York : Random House, 2007. ISBN 978-3-446-41568. Theron & Terblanche & Boshoff, Edwin Theron, Nic S. Terblanche, Christo Boshoff. 2008. The antecedents of relationship commitment in the management of relationships in business-to-business (B2B) financial services. [Hrsg.] Westburn Publishers Ltd. Journal of Marketing Management. 9 2008, Bde. No. 9-10, 24, S. 997-1010. Wikipedia. 2011. Wikipedia über `Enterprise 2.0´. http://de.wikipedia.org. [Online] Wikipedia, 03. 06 2011. [Zitat vom: 03. 06 2011.] http://de.wikipedia.org/wiki/Enterprise_2.0. wikipedia. 2011. Wikipedia über `facebook´. http://de.wikipedia.org. [Online] 15. Mai 2011. [Zitat vom: 15. Mai 2011.] http://de.wikipedia.org/wiki/Facebook. Wikipedia. 2011. Wikipedia über `Web 2.0´. wikipedia. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://de.wikipedia.org/wiki/Web_2.0. wikipedia. 2011. Wikipedia über `XING´. http://de.wikipedia.org. [Online] 15. Mai 2011. [Zitat vom: 15. Mai 2011.] http://de.wikipedia.org/wiki/XING. XING. 2011. Ergebnisse der XING AG Q1 2011. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] http://corporate.xing.com/fileadmin/image_archive/XING_AG_ergebnisse_Q1_2011.pdf. —. 2011. XING Freunde, Bekannte und Kollegen einladen. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/app/invite. —. 2011. XING Gruppen suchen. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/app/network?op=findgroups. —. 2011. XING Jobs und Karriere. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/jobs/. —. 2011. XING Premiummitgliedschaft. www.xing.com. [Online] XING AG, 12. 06 2011. [Zitat vom: 12. 06 2011.] https://www.xing.com/app/billing?op=premium_overview;reagent=uplt_96. —. 2011. XING Profil des Verfassers. www.xing.com. [Online] 05. 06 2011. Zimmer, Daniela. 2009. Facebook, Myspace & Co. Wien : AK Kammer für Arbeiter und Angestellte für Wien, 2009. AK Publikationsnummer 29/2009. —. 2009. Facebook, Myspace & Co. Wien : Kammer für Arbeiter und Angestellte, 2009. 29/2009.
Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 86
Abbildungsverzeichnis
Abbildung 1: ‚Facebook‘ Startseite der Anwendung 'Farmville'; Quelle: (Farm Ville, 2011) ................ 20 Abbildung 2: ‚Facebook‘ Zugriffsfreigaben für die Anwendung 'Farmville'; Quelle: (Farm Ville, 2011) 20 Abbildung 3: ‚Facebook Profil‘ des Verfassers; Quelle: (Facebook, 2011) ............................................ 21 Abbildung 4: ‚Facebook‘ Einstellungen 'Profil bearbeiten'; Quelle: (Facebook, 2011) ......................... 21 Abbildung 5: ‚Facebook‘ Privatsphäreeinstellungen; Quelle: (Facebook, 2011) .................................. 22 Abbildung 6: ‚Facebook' Privatsphäre-Einstellungen – ‚Benutzerdefinierte Einstellungen‘; Quelle: (Facebook, 2011) ................................................................................................................................... 23 Abbildung 7: ‚Facebook‘ - Privatsphäre-Einstellungen für 'Anwendungen und Webseiten'; Quelle: (Facebook, 2011) ................................................................................................................................... 23 Abbildung 8: 'Facebook' Privatsphäre - 'Anwendungen, Spiele und Webseiten'; Quelle: (Facebook, 2011) ...................................................................................................................................................... 24 Abbildung 9: 'Facebook' Privatsphäre, 'Für Freunde zugängliche Informationen'; Quelle: (Facebook, 2011) ...................................................................................................................................................... 24 Abbildung 10: 'Facebook' Privatsphäre, 'Umgehende Personalisierung'; Quelle: (Facebook, 2011) ... 25 Abbildung 11: 'Facebook' Überblick Privatsphäre-Einstellungen; Quelle: (Facebook, 2011) ............... 25 Abbildung 12: 'Facebook' Erlösanalyse; Quelle: (emarketer, 2011) ..................................................... 27 Abbildung 13: 'XING' Mitgliederentwicklung; Quelle: (XING, 2011) ..................................................... 29 Abbildung 14: 'XING' Umsatzentwicklung; Quelle: (XING, 2011) .......................................................... 29 Abbildung 15: 'XING' Alte Benutzeroberfläche; Quelle: (XING, 2011) .................................................. 32 Abbildung 16: 'XING' Neue Benutzeroberfläche; Quelle: (XING, 2011) ................................................ 32 Abbildung 17: 'XING' Privatsphäre-Einstellungen; Quelle: (XING, 2011) .............................................. 33 Abbildung 18 Conceptual Model nach Theron, Terblanche, Boshoff 2008; Quelle: (Theron & Terblanche & Boshoff, 2008) ................................................................................................................. 36 Abbildung 19 Conceptual Model nach Gonzales, Hoffman, Ingram und LaForge; Quelle: (Gonzales, et al., 2010) ................................................................................................................................................ 37 Abbildung 20 Aussagen in einer Befragung zum Kaufverhalten von B2B Kunden; Quelle: (Becker, 2011) ...................................................................................................................................................... 38 Abbildung 21 Verteilung der Kundentypen gemäß `forum!` Modell der Kundentypologien; Quelle: (Becker, 2011) ....................................................................................................................................... 39 Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008) ................. 53 Abbildung 23 Facebook app verification demand and privacy concerns; Quelle: (Sophos, 2011) ....... 59 Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010) ............................................................. 61 Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011) .......................................... 62 Abbildung 26: Forschungsabschluss Stichworte im Überblick .............................................................. 72 Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen für MitarbeiterInnen ...... 75 Abbildung 28: Stichwortsammlung - Handlungsempfehlungen für Unternehmen .............................. 77 Abbildung 29: Kopf ÖNORM ISO/IEC 27001; Quelle: (ON Österreichisches Normungsinstitut, 2008). 82