Zwischen Leitplanke und Abmahnung : Sinnvolle Social-Media-Vorgaben im Unternehmen
„Geht nicht“ geht nicht – so einsichtig sind hoffentlich die meisten Organisationen in Sachen Social Media. Doch wie kann und sollte man dann den Umgang der eigenen Mitarbeiter mit den „neuen Medien“ regeln?
Von Elmar Török, Dornach, und Marcus Beyer, Dübendorf (CH)
Spätestens die allgemein als „Millenials“ bekannte Generation sieht Social Media nicht mehr als beliebig intensiven Zeitfresser, sondern als das praktisch einzige akzeptierte und genutzte Informationsmedium. Bisherige Infokanäle wie Fernsehen, Zeitungen und Zeitschriften verlieren stetig an Einfluss oder verkriechen sich in zwar komfortable, aber kleine Nischen.
In der Folge hat die gesamte Geschäftswelt ebenfalls Social Media für sich entdeckt – meistens widerwillig, aber am Ende will man natürlich doch mit der kaufkraftstarken, zukunftsprägenden Zielgruppe in Austausch treten. In vielen Firmen reflektiert dieser eher erzwungene Ansatz den Umgang mit Social Media: „Muss wohl sein, auch wenn wir nicht so richtig wollen.“ Dabei gilt heute mehr denn je der Ausspruch von Paul Watzlawik: „Nicht kommunizieren geht nicht.“
Neben der offiziellen Schiene als Unternehmenskanal wirkt Social Media auf vielen anderen Ebenen – egal, ob der CEO das nun will oder nicht. So ist jeder Mitarbeiter ein potenzieller Social-Media-Teilnehmer, nicht nur passiv, als Konsument, sondern auch aktiv, als Sender. Und immer wieder senden „Er“ oder „Sie“ auch Inhalte, die nicht im Sinne des Unternehmens sind.
Maulkorb muss scheitern
Für Manager ist Social Media daher oft der böse Feind, den es zu bekämpfen gilt: Einerseits werden manchmal schädliche und unwahre Dinge über die Firma, ihre Produkte oder die (leitenden) Mitarbeiter geschrieben. Andererseits schreiben die eigenen Mitarbeiter – noch schlimmer – Dinge, die wahr, aber nicht für die Öffentlichkeit bestimmt sind. So wird Social Media leicht zum Super-GAU für jeden Produktvorstand, CFO und CEO.
Damit liegen die Damen und Herren nicht komplett falsch: Selbstverständlich gibt es Informationen, die nicht auf Facebook oder in ein öffentliches Forum gehören und die dort Schaden anrichten – entweder direkt oder indirekt, indem sie beispielsweise Angriffe auf die Informationssicherheit erleichtern.
Die zwar einleuchtende, aber wenig praktikable Konsequenz ist in vielen Fällen ein komplettes Nutzungsverbot für Social Media im Unternehmen. Dass Social Media auch außerhalb der Bürozeiten stattfindet und Mitarbeiter zu Hause über die gleichen Kenntnisse und Emotionen verfügen, die sie zum Posten schädlicher Mitteilungen bewegen, vergessen die Unternehmenslenker viel zu oft. Mit einem Totalverbot setzen sich Firmen über eine Lebensrealität hinweg, die sie weder stoppen noch rückgängig machen können: Eine aktuelle Bitkom-Studie stellt fest, dass sich mehr als jeder Dritte (38 %) kein Leben ohne Social Media vorstellen kann – bei den 14- bis 29-Jährigen sogar fast die Hälfte (49 %).
Außerdem hat Social Media tatsächlich überwiegend positive Folgen für das Unternehmen, wenn das Medium richtig genutzt wird: Es ist authentisch, schnell, flexibel und erreicht neben den Millenials auch große Anteile anderer Generationen auf der ganzen Welt – alles potenzielle Kunden, die über Produkte und Dienstleistungen informiert sein wollen und häufig genug durch Links, Empfehlungen und Referenzen in den Social-Media-Kanälen auf die relevanten Produktseiten gelangen. In der oben genannten Bitkom-Studie gaben 38 % an, in sozialen Netzwerken Angebote für Produkte und Dienstleistungen zu finden – 31 % informieren sich über Unternehmen und Marken und jeder Zehnte hat sich schon über solche Kanäle direkt bei einem Unternehmen beschwert.
Lebensrealität integrieren
Außerdem informieren sich auch viele potenzielle Mitarbeiter zunächst auf Social-Media-Kanälen über ihren vielleicht nächsten Arbeitgeber, der natürlich möglichst attraktiv, chancenreich und modern aussehen möchte. Da gehören Auftritte auf Facebook, Twitter und Pinterest einfach dazu. Das hat in mehr als einem Unternehmen zu der paradoxen Situation geführt, dass Mitarbeiter bei der IT oder beim CISO anfragen, was denn nun richtig(er) wäre: Social Media als böse Unternehmensgefährdung oder als Umsatz- und Imagebringer?
Die Antwort ist wie so oft: beides. Welche Wirkung Social Media entfaltet, hängt im Großen und Ganzen von den Vorgaben ab, die man Mitarbeitern an die Hand gibt. Und damit sind nur zum Teil die Richtlinien gemeint, in denen zwar klipp und klar, aber meist wenig praxisgerecht steht, was man zu tun und vor allem zu lassen hat.
Darüber hinaus ist Social Media oft nur dann Social Media, wenn das Management es so definiert: Es gibt ja eine Vielzahl anderer Medien im Unternehmen, die Social-Media-Charakter haben, aber intern durchaus erlaubt sind. Workplace beispielsweise ist ein Facebook-Klon für das interne Firmennetz, in dem fleißig gepostet und verlinkt wird – oft auch zu externen Quellen. Yammer ist Social Media für die Teamarbeit, ganz explizit für den Einsatz im Unternehmen entworfen und dort auch durchaus intensiv genutzt.
Neben dem unproblematischen Austausch zwischen Kollegen sind dabei immer auch externe Elemente im Spiel: Links, Anhänge, Verweise, Referenzen. Das „geht“ also, aber „richtiges“ Facebook nicht? Diese Unterscheidung ist einem Mitarbeiter nur schwer vermittelbar.
Richtlinien oder Guidelines?
Letztlich bleibt nur eine Akzeptanz von Social Media – aber ohne die richtigen, sprich sinnvollen, Leitlinien geht das nicht. Wie man dazu kommt, hat zunächst viel mit In-sich-Gehen und Planen zu tun: Wenn Organisationen nicht wissen, warum sie oder ihre Mitarbeiter kommunizieren wollen, können sie kaum regeln, wie das auszusehen hat.
Es geht also um die grundlegende Idee des Dialogs: Wieso engagiert sich die Organisation? Wie definiert sie ihre Grundhaltung? Welche Qualität sollen Inhalte erreichen? Danach kann man detaillierter und auch nutzwertiger formulieren: Welche Regeln gelten für Beiträge – privat und geschäftlich – mit Bezug zur Organisation? Wie ist der Bezug zur Organisation offenzulegen? Was ist gewünscht, was ist Pflicht, was liegt im Ermessen des Autors?
Vielleicht wurde schon in dieser beispielhaften Auflistung klar, dass es sehr unterschiedliche Anforderungen an die Social-Media-Nutzung gibt. Manches davon ist tatsächlich rechtssicher zu regeln, dafür gibt es Richtlinien, neudeutsch „Policies“. Von denen sind in der Regel mehrere im Unternehmen im Umlauf, angefangen bei der Internet-, IT- und E-Mail-Richtlinie über die Richtlinie zur digitalen Kommunikation bis hin zur Geräte-Richtlinie – alles korrekt, alles notwendig und oft auch hilfreich. Doch um die geht es hier nicht: Darin steht nämlich nicht, wie denn ein Mitarbeiter bitteschön den Vorgaben am besten nachkommen soll.
Das ist auch nicht die Aufgabe einer Richtlinie (Policy), für solche Informationen sind vielmehr Leitlinien (Guidelines) zuständig. Das darf man nicht verwechseln, auch wenn die Begriffe Richtlinie und Guideline häufig wild vermischt werden! Die Richtlinie ist sozusagen die Mauer, auf die sich ein Auto zubewegt, die Guideline spielt Leitplanke und vermeidet durch geschickte Führung den Crash.
Richtlinien oder Policies erfüllen organisatorisch eine wichtige Aufgabe, indem sie Prozesse und Zuständigkeiten definieren und harte Grenzen setzen. In manchen Unternehmen herrscht die Meinung vor, dass damit alles Notwendige getan ist. Vielleicht ist das aus Sicht der Compliance sogar richtig, denn schließlich hat der Mitarbeiter die Richtlinie gelesen und per Unterschrift bestätigt. Nur: Damit hat man zwar im Zweifel einen Sündenbock – sicherer wird das Unternehmen aber nicht.
Verantwortung fördern
„Poste keine firmenschädlichen Inhalte!“ Ja, sicher – das möchte der Mitarbeiter ohnehin meist nicht, zumindest nicht wissentlich. Aber weiß er denn, was firmenschädlich ist? Gab es eine Schulung oder eine andere Form der Unterweisung? Und weiß er das auch noch zwei Monate, nachdem er ein 20-minütiges Webinar angesehen hat? Dabei hilft keine Policy. Die sagt ihm: Tu dies und lasse das. Aber erst die Guideline erläutert das „Wie“ und sie tut es im besten Fall flankiert von Sensibilisierungsmaßnahmen, um diese Hilfe im Hinterkopf zu verankern und das firmenbezogene (und private) Social-Media-Verhalten dauerhaft in Richtung „verantwortungsbewusst“ zu verändern.
Verantwortung für seine Posts zu übernehmen, bewusst zu posten, lieber ein Detail wegzulassen als Fotos in HD-Auflösung hochzuladen – es ist enorm wichtig, Mitarbeitern solche Grundsätze zu vermitteln. Auch wenn der gute, oder vielmehr gut gemeinte, Einsatz von Social Media bei Weitem überwiegt, können die vielfältigen und in der Regel leicht auffindbaren Informationen ein unglaublich hilfreiches Werkzeug für Angreifer darstellen. Social-Engineering beginnt online! Lange bevor ein Angreifer versucht, auf das Firmengelände zu kommen, oder auch nur einen Telefonhörer in die Hand nimmt, wird er online versuchen, so viel wie möglich über das Zielobjekt herauszufinden. Seine Informationen findet er auf Facebook, Linkedin, Xing und in Foren zu bestimmten IT-Produkten, um nur ein paar Standardanlaufstellen zu nennen. Mit den Daten lassen sich Zielpersonen identifizieren – beispielsweise Berufsanfänger, die Prozesse und Zuständigkeiten noch nicht so gut kennen. Hobbys generieren Klickanreize: Wer einen Porsche der Serie 964 fährt und darüber schreibt, wird mit höherer Wahrscheinlichkeit die Einladung zu einer Ausfahrt von Porsche-Enthusiasten lesen – und das angehängte PDF anklicken, auch wenn es an die Firmenadresse geschickt wurde.
Zum Teil sorgen überdies die Betreiber der Social Networks selbst dafür, dass unverantwortlich detaillierte Informationen verfügbar sind: Seit Kurzem ermuntert Facebook seine Mitglieder, Fragen nach Lieblingsfarbe, -film, -essen, Haustier und anderen persönlichen Informationen zu beantworten und in einer bunten Referenzkarte zu hinterlegen. Das sind genau die Dinge, mit denen man immer noch allzu oft Sicherheitsfragen bei Online-Accounts beantworten kann.
Exponierte Personen
Andere Angriffsvektoren werden sich nie schließen lassen: Ein Personalverantwortlicher ist nun einmal Ansprechpartner für Bewerber und demzufolge auch öffentlich sichtbar. E-Mails mit Lebensläufen im Word- und PDF-Format gehören zum Tagesablauf – und in ihnen lassen sich sehr vielfältige Schadprogramme verstecken.
Derart exponierte Personen müssen ganz besonders darauf achten, was sie in Social Media posten dürfen und womit sie im Gegenzug als Antwort rechnen müssen. Funktionen mit viel Sichtbarkeit nach Außen haben auch meist Berührungspunkte zu den Richtlinien: Beispielsweise darf eben nur die entsprechende Abteilung der internen Kommunikation auf dem offiziellen Facebook-Account der Firma für die Marke sprechen. Für solche eindeutig und leicht zu identifizierenden Grenzen sind Richtlinien dann das passende Medium.
Fehler passieren
Und falls doch etwas danebengeht? Auch wenn mit bestem Wissen und Gewissen geschult, kommuniziert und angeleitet wird – irgendwann steht das Falsche online. Dann zeigt sich, wie ernst ein Unternehmen die alte Weisheit „Aus Schaden wird man klug“ nimmt. Anders ausgedrückt: Dann wird sichtbar, welche Fehlerkultur im Unternehmen herrscht.
Erfahrungsgemäß teilt sich die Welt hier in zwei Bereiche: einmal in das Hochrisikoumfeld, also alle Organisationen, bei denen es um Leib und Leben geht, etwa Blaulichtdienste. Dort gibt es normalerweise eine interne Fehlerkultur, die Mitarbeiter dazu ermuntert, Fehler einzugestehen, und das als Chance begreift, es beim nächsten Mal besser zu machen.
Und dann gibt es alle anderen, bei denen Fehler das Karriereende oder zumindest einen deutlichen Knick bedeuten können. Ein drastisches Beispiel aus jüngster Zeit ist der Fall des nationalen Geschäftsführers eines mittelständischen, international aufgestellten Unternehmens: Der Mann wurde mit einem CEO-Fraud-Angriff konfrontiert und ihm vorgespielt, dass der CEO eine dringende Überweisung benötigt, die er (das Opfer) sofort freigeben muss. Der Angreifer kannte viele Informationen, die er unter anderem durch Social Media zusammengetragen hatte. Weil der Geschäftsführer darauf hereinfiel, wurde sein Vertrag aufgelöst.
Wie sinnvoll so etwas ist, kann man sich relativ leicht vorstellen: Im Prinzip hat das Unternehmen den einzigen Mitarbeiter rausgeworfen, der mit großer Sicherheit nie wieder Opfer einer solchen Attacke werden wird. Alle anderen haben diese Erfahrung (bzw. Feuertaufe) möglicherweise noch vor sich.
Persönliche Betroffenheit
Allerdings ist genau dieses Verhalten typisch für die IT: Wer Fehler macht, fliegt – wer Fehler macht, ist Täter, nicht Opfer (vgl. <kes> 2018# 1, S. 6). Konstruktiv ist das nicht, denn in der überwältigenden Zahl der Fälle geschehen Fehler unabsichtlich. Dann auch noch mit der „großen Keule“ rechnen zu müssen, führt einfach nur dazu, dass Mitarbeiter alles tun, um solche Vorkommnisse zu verdecken, zu vertuschen und die Aufklärung hinauszuzögern. Damit wird jede Chance zunichte gemacht, die Gründe für ein Vorkommnis zu finden und zu verhindern, dass es noch mal passiert.
Woher dieser Drang zum Fingerzeigen und Bestrafen in der IT kommt, ist unklar. Informationssicherheit ist nicht selbsterklärender als Autofahren und auch dort kommt es zu Unfällen: Doch wer (nüchtern und mit angepasster Geschwindigkeit) bei Glatteis in den Graben rutscht, gilt als Opfer, nicht als Idiot, dem man das Auto wegnehmen sollte.
Hier ist es sinnvoll, nochmals zum unglückseligen Geschäftsführer zu blicken, der seine Lektion sicherlich gelernt hat (auch ohne eine Kündigung): Der Lerneffekt ist deswegen so hoch, weil er persönlich betroffen war. Auch in seiner näheren Umgebung wird es in der nächsten Zeit keine erfolgreichen CEO-Frauds mehr geben, denn diese Menschen sind ebenfalls persönlich betroffen – so wie der Autofahrer, der das Glatteis unterschätzt hatte, und dessen Bekannte, denen diese Story naheging.
Sensibilisierung hilft
Diese persönliche Betroffenheit kann man auch als Sensibilisierung beschreiben: Jemand reagiert auf ein Thema sensibel und handelt dadurch bewusster – zumindest eine Zeitlang, denn der Effekt lässt mit zunehmendem Abstand zum Vorfall nach.
Das ist exakt der gleiche Mechanismus, den Kampagnen für Security-Awareness nutzen. Zunächst will eine Kampagne für die Informationssicherheit sensibilisieren: Manchmal nutzt sie dafür einen Schockeffekt, beispielsweise eine gefälschte Phishing-Mail, die statt Schadsoftware nur einen „mahnenden Zeigefinger“ enthält. Ein anderer Weg führt darüber, den Wert der Informationen zu visualisieren, mit denen Mitarbeiter täglich arbeiten. Auch so erreicht man durch persönliche Betroffenheit eine Sensibilisierung. Die ist zwar nicht so groß wie bei einem geglückten CEO-Fraud-Angriff, aber groß genug, um das Thema im Hinterkopf zu verankern.
Anschließend kann (und muss) man diesen Level an persönlicher Aufmerksamkeit für Informationssicherheit durch immer wiederkehrende Maßnahmen aufrechterhalten und über die Zeit hinweg steigern. Das geht nicht von heute auf morgen – um verantwortungsbewusstes Social-Media-Verhalten in den Köpfen der Mitarbeiter zu verankern, braucht es Zeit. Aber der Unterschied zum ausschließlichen Ansatz „Richtlinie unterschreiben und mit Strafen drohen“ ist, dass Mitarbeiter zum einen über die kontinuierlichen Maßnahmen lernen, wie verantwortungsvolles Verhalten machbar ist, und sich zum anderen auch konstant damit beschäftigen. So lässt sich eine nachhaltige Bewusstseinsänderung erreichen, die letztlich das Ziel der Security-Awareness ist.
Gefahr erkannt, …
Social Media lebt per se von der Offenheit der Teilnehmer. Komplett risikolos kann die Teilnahme daran nicht sein – es wird immer auch veröffentlichte Informationen geben, die einer Organisation schaden können. Die Gefahr lässt sich nicht wirklich bannen, wohl aber verwalten: Solche Restrisiken müssen, wie überall in der Informationssicherheit, durch andere Maßnahmen aufgefangen werden – allen voran durch einen Risikomanagementprozess.
Doch wenn ein Unternehmen seine Rolle als Kommunikator mit vielen (offiziellen wie inoffiziellen) Stimmen ernst nimmt, wird es versuchen, die inoffiziellen Stimmen durch sinnvolle und langfristige Maßnahmen zu einem verantwortungsbewussten Verhalten anzuleiten. Wie immer gibt es auch dann keine absolute Sicherheit, aber zumindest ein hohes Verantwortungsbewusstsein der Mitarbeiter, das einen Großteil der vermeidbaren Fehler abfängt.
Elmar Török ist IT-Security Consultant, Marcus Bayer Advisory Lead Resilient Workforce bei DXC Technology.