Datenlecks dank Twitter & Co

Wer sich an das Jahr 1986 erinnert, denkt vermutlich zunächst an die Niederlage der deutschen Nationalelf gegen Argentinien in Mexiko – es sei denn, er beschäftigt sich etwas intensiver mit dem Thema Datenschutz. Dann ist das Erste, was einem einfällt, der heftige Streit um die anstehende Volkszählung im Jahr 1987.

So, wie damals gegen Atomwaffen und Flughäfen (Startbahn West) protestiert wurde, gab es auch Widerstand gegen das, was viele für unkontrollierte staatliche Datensammelwut hielten. Warum, so fragten sich breite Bevölkerungskreise, will die Regierung so viel über die Lebensumstände der Bürger, insbesondere aber über Immigranten, Gastarbeiter und andere in Deutschland weilende Ausländer wissen? Was geht die Beamten das alles überhaupt an?

Wie anders nun im Jahr 2010, obwohl nun abermals ein Zensus ansteht, nämlich für 2011. Wo bleiben die Straßenproteste, die Bürgerinitiativen, die wütenden Leserbriefe? Bislang scheint der Widerstand in der Bevölkerung jedenfalls denkbar gering zu sein. Hat ein Sinneswandel in Volkes Seele stattgefunden? Kümmern sich die Online-Kinder, die in sozialen Netzwerken aufgewachsen sind, nicht mehr um solche Dinge? Oder ist das einfach weiterer Ausdruck von Politikverdrossenheit?

Nonstop online
Dabei gibt es eine Vielzahl offener Fragen rund um die Volkszählung, die aus Bürgersicht, noch mehr aber aus Sicht der Unternehmenssicherheit zu beantworten wären. Es lohnt sich deshalb, einen Blick in die Welt der »Digitalen Eingeborenen« zu werfen. Welches Empfinden für Privatheit haben insbesondere Jugendliche heute? Welchen Einfluss haben soziale Netze auf das Verhältnis junger Menschen zum Datenschutz? Und was können Unternehmen daraus lernen?

Wir alle kennen das aus unserem unmittelbaren Umfeld: Nichten, Neffen oder die eigenen Kids sind im Grund nonstop online. SMS war gestern, Twitter ist in! Führten die Teenager der 80er und 90er Jahre noch endlose Telefonate, treffen sich ihre Nachfolger des 21sten Jahrhunderts lieber im Internet und vernetzen sich auf SchülerVZ, StudiVZ, Wer-kennt-wen oder Was-weiß-ich … Sie legen fleißig Profile an und pflegen hingebungsvoll ihre virtuelle Selbstdarstellung. Jeder kennt offenbar jeden, zumindest über drei Mausklicks hinweg, und jeder ist heute potenziell mein »Freund.« Updates erfolgen mindestens täglich, eher stündlich oder gar »live« und in Echtzeit, jedenfalls wenn das Taschengeld dafür reicht. Willkommen in der schönen neuen Welt von »instant communication« und Web 2.0.

Workspace in der Cloud
Informationen teilen und diese im Internet zu speichern statt auf dem eigenen Rechner, das ist für den Nachwuchs so selbstverständlich wie die Allgegenwart der Medien. Und welcher Firmenchef oder Personaler könnte etwas dagegen haben, wenn die nachwachsende Generation von »Information Workern« nicht erst beigebracht bekommen müssen, Dateien nicht auf der eigenen Festplatte zu horten, sondern sie ganz selbstverständlich auf einem Kooperationsserver, Workspace oder irgendwo in der »Cloud« abzulegen, wo man sie jederzeit im Zugriff hat und sich nicht ständig um Updates kümmern muss?

Desktop Publishing war gestern: Die aktuellen Abi-Jahrgänge produzieren ihre Abschlusszeitungen natürlich online in »Web-to-Print« Shops, wo jeder das Layout ändern und Fotos hochladen kann. Berührungsängste, Techno-Phobie, gar Empörung und Protest ob so viel Daten-Erhebung, Sammlung und Veröffentlichung? Fehlanzeige!

Ausschnitt aus der Homepage von Kuppinger Cole

Das Mitmach-Internet hat Eltern, Lehrer, Dozenten und Datenschützer heimlich überholt. Den Jugendlichen fehlt jegliches Bewusstsein für so etwas wie »Security Governance«, denn eine Aufsicht findet nicht mehr statt. Den so genannten Erziehungsberechtigten sind damit jegliche Übersicht und damit auch die Kontrolle entglitten. Das gilt auch im Unternehmen, und zwar gleich in mehrfacher Hinsicht.

Unternehmen – gefangen im Web
Zum Beispiel konnten sich Unternehmen früher bei Bewerbungsverfahren einigermaßen auf die Ehrlichkeit der Bewerber verlassen. Es gab schließlich Zeugniskopien und Ausbildungs-Belege, häufig auch ein amtliches Führungszeugnis – wer fragt heute noch danach? – anhand derer man sich ein Bild vom Bewerber machen konnte. Ein Hintergrund-Check war eigentlich nur für besonders kritische Positionen in der Rüstungsindustrie oder bei den Nachrichtendiensten üblich. Referenzanrufe bei früheren Arbeitgebern, wie sie in den USA absolut üblich sind, waren diesseits des Atlantiks eher verpönt.

Heute nutzen viele Personaler die Waffen des Web 2.0, um Kandidaten zu »durchleuchten« und Anwärter bzw. deren Angaben auf Herz und Nieren zu prüfen.

Eine einfach Google-Suche, und schon ist der Bewerber auf Yasni, Xing, Facebook, Plaxo oder LinkedIn eindeutig identifizierbar. In den sozialen Netzwerken finden sie weit mehr Details, persönliche Informationen und private Bilder, darunter viele, die den Kandidaten in eher verfänglichen Situationen zeigen, als sich das die Volkszählungs-Gegner in ihren finstersten Träumen ausmalen konnten.

Daten sind kreuz und quer übers Web verteilt
Gut, die Daten sind nicht in einem zentralen staatlichen System gespeichert und damit gut geschützt, weil sie ja ausschließlich staatlichen Stellen vorbehalten sein sollen, sondern kreuz und quer übers Internet verteilt. Dafür fehlt in der Regel aber auch jede Form von Zugriffsschutz und sie sind dem Einfluss des Eigentümers weitgehend entzogen, wie die zahlreichen »Daten-Lecks« bei Online- Communities in letzter Zeit bewiesen haben. Das geht bis hin zur völligen »Enteignung« der User, denen keine oder nur eine sehr eingeschränkte Datenhoheit über ihre eigenen Profile zugestanden wird.

Der potenzielle Bewerber bietet also freiwillig tiefen Einblick in sein berufliches Vorleben und stellt (kostenfrei) sein Seelenleben sowie sein soziales Umfeld zur Schau; eine wahre Quelle von privaten Information, die ohne Furcht vor Strafe oder Sanktionen von jedem Beliebigen angezapft werden kann – und wird! Nicht ohne Grund gibt es im bei Jugendlichen beliebten »Privat«-Netzwerk Wer-kennt-Wen (oder wkw) eine Gruppe mit dem Namen »Dein Chef liest Dein Profil« (der Autor ist dort Mitglied). Hier wird Jugendlichen (und Erwachsenen!) die Anleitung und unabhängige Governance geboten, die sonst so oft vermisst wird.

Web 2.0 im Betrieb
Die große Verbreitung und weitgehende Akzeptanz sozialer Netzwerke – oder handelt es sich vielleicht mehr um gesellschaftlichen Druck? – hat auch direkte Auswirkung auf die Unternehmenssicherheit. Viele persönliche Profile auf eher geschäftlich ausgerichteten Communities bieten nicht nur eine gute Einschätzung der Qualifikation des Einzelnen, sondern es ergeben sich auch tiefe Einblicke in die Organisation und Arbeitsweise des Unternehmens selber.

Dies wird durch die Sichtbarkeit der direkten Kontakte des Anwenders verschärft, die neben internen Kollegen auch oft Kontakte aus dem Partner- und Kundenumfeld aufzeigen. Wer hier aufmerksam die Meldungen aus dem sozialen Netzwerk eines anderen verfolgt, der kann auch sehr gut über neue Geschäftsbeziehungen oder sich anbahnende Kooperationen informieren.

Einheitliche Betriebsvereinbarung
Neben den Netzwerken und den darin möglichen Statusmeldungen bilden Anwender- oder Kunden-Foren, private Blogs, Twitter-Konten und Co. eine weitere Problemzone. Gerade Mitarbeiter mit großer »Außenwirkung« haben häufig auch viele »Follower« oder Mitleser. Fehlende Vorgaben des Unternehmens über den richtigen Umgang mit offenen Kommunikationskanälen wie Blogs oder Twitter kö
nnen schnell zu einem echten Sicherheitsproblem, zumindest aber zu einem potenziellen PR-Desaster führen.

Offene Kommunikationskultur gut und schön, aber nur, wenn vorher alle Mitarbeiter auf eine gemeinsame Strategie eingeschworen worden sind. Dazu gehören entsprechende Vorgaben und Richtlinien der PR Abteilung, besser noch eine einheitliche Betriebsvereinbarung, an die sich alle zu halten haben und die notfalls auch Grundlage für notwendige disziplinarische Maßnahmen bilden kann.

Es wäre allerdings illusorisch, eine »Freigabe« aller Inhalte, die von Mitarbeitern in sozialen Medien platziert werden, zu fordern. Weder die PR- noch die Rechtsabteilung kämen da noch mit.

»Persönliche Profile auf geschäftlich ausgerichteten Communities bieten nicht nur eine gute Einschätzung der Qualifikation des Einzelnen, sondern auch Einblicke in die Organisation und Arbeitsweise des Unternehmens selber.« Sebastian Rohr

Security Governance fürs Mitmach-Internet
Kommunikations- und Verhaltensrichtlinien für das Web 2.0 gehören heute zu Grundlage einer ganzheitlichen Strategie für die Unternehmenssicherheit. Hierbei gilt es, aus der Not eine Tugend zu machen und die veränderten Gegebenheiten der Kommunikation im Internet möglichst umfassend zu integrieren. Regelungen zu offiziellen Twitter-Konten, dem zentralen Unternehmensblog und einem gesteuerten Kunden-Forum reichen jedoch oft nicht aus, denn private Foren und Blogs sind zu weit verbreitet.

Hier gilt es, die Balance zu finden zwischen betrieblichen Interessen und Einflussnahme auf die Privatsphäre der Mitarbeiter. Einige Unternehmen nutzen die sozialen Netze auch als weitere Plattform zur Firmenpräsentation, entweder durch Vorgaben zur korrekten Firmenbezeichnung und Funktionsangabe im beruflichen Profil (sehr sinnvoll für Mitarbeiter mit Kundenkontakt) oder direkt über Firmenprofile, wie sie etwa Xing kürzlich eingeführt hat.

Sich vor den Möglichkeiten und Problemen des Web 2.0 und der sozialen Netze zu verschließen und beispielsweise die Nutzung von Facebook durch Mitarbeiter einfach zu verbieten hieße, den Kopf in den Sand zu stecken und sich vor den Realitäten der modernen Kommunikationswelt zu verschließen. Außer für Unternehmen in besonders sensiblen Branchen wie etwa der Rüstungs- oder Verteidigungsindustrie ist das keine Option.

Offene Kommunikation und direktes Kunden-Feedback
Alle anderen Branchen sollten sich die Chancen einer offeneren Kommunikation und direkterem Feedback von Kunden und Partnern nicht entgehen lassen. Dies erfordert jedoch die Erweiterung bestehender Unternehmensvereinbarungen und Geheimhaltungsklauseln sowie eventuell umfassender Schulung der Mitarbeiter hinsichtlich der Informationen, über die sie berichten dürfen. Nur so lassen sich die immer vielfältigeren Kanäle der »Unternehmenskommunikation« bändigen, damit die Mitarbeiter und ihre Online-Identitäten in geordneten Bahnen über die Netze fließen können.

Bleibt die Frage, ob durch die anstehende Volkszählung in 2011 das Bewusstsein der Belegschaft und der Bevölkerung für die Risiken einer inflationären Preisgabe von persönlichen oder betrieblichen Informationen entwickelt. Dies wäre dringend nötig, und zwar im Interesse jedes Einzelnen – und auch der Unternehmen.
(Sebastian Rohr/mt)

Der Autor, Sebastian Rohr, ist Senior Analyst beim Analystenunternehmen Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt. Kuppinger Cole ist auch Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat.

Weblinks
Kuppinger Cole