Master Thesis "Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext"...

Bedrohungen bei der individuellen Nutzung von

sozialen Netzwerken

im B2B Kontext

Welche spezifischen Bedrohungen ergeben sich für Unternehmen

aus der individuellen Nutzung von sozialen Netzwerken im WWW,

wie Facebook, XING und LinkedIn, als Beziehungsmanagement Tool

der MitarbeiterInnen im B2B Kontext im Lichte von Enterprise 2.0.

Master Thesis

zur Erlangung des akademischen Grades

Master of Science MSc

Im Universitätslehrgang

MSC Interactive Media Management 3

verfasst von

Günther R. Neukamp

Eingereicht am Department für Interaktive Medien und Bildungstechnologien der

Fakultät für Bildung und Medien an der Donau Universität Krems

Betreuer: Univ.-Lektor Mag. Aga Kwiecinski

Tag der mündlichen Prüfung: 16.9.2011

Krems, September 2011

Abstract

Digital Natives sind in den Unternehmen angekommen. Die Sozialisierung dieser

jungen Menschen mit Massenmedien hat Soziale Netzwerke im `WWW´ wie

`Facebook´, `XING´ und `LinkedIN´ zu natürlichen Kommunikationsinstrumenten

für alle gemacht. Wirtschaftliche Entscheidungsprozesse im B2B Geschäft werden

stark durch persönliche Beziehungen beeinflusst. Die Pflege dieser Beziehungen

findet heute unter anderem in diesen Sozialen Netzwerken statt. Unternehmen und

MitarbeiterInnen müssen die Bedrohungen für Unternehmen und die eigene Person

kennen. Es müssen entsprechende Vorkehrungen getroffen werden, um die Vorteile

dieser Netzwerke ohne Schaden für das eigene Unternehmen zu nutzen.

Die Ergebnisse der Forschungsarbeit bilden einerseits die Grundlage für die

Entwicklung von individuellen `Social Media Richtlinien´. Andererseits sind sie eine

Hilfestellung für RisikomangerInnen, bei der Beurteilung der Risiken dieser Sozialen

Netzwerke als Beziehungsmanagementinstrument in Unternehmen.

Digital Natives have `landed´ in the companies. Young people are socialized with

mass media. Social networks, like `Facebook´, ´XING´ and `LinkedIN´, are now

common communication instruments for everyone. Personal relations have a major

impact on economic B2B decision processes. Today relationship management is also

done in these social networks. A company and its employees have to know the

threats for the company and for themselves. They have to take necessary precautions

to use the advantages of social networks without harm for his company.

The results of this research are fundamental for the development of individual

`Social Media Guidelines´ and support to risk managers, evaluating social networks

as relationship management tools in companies.

Vorwort

Ich hatte als Manager in den Branchen Industrierohstoffe, Verpackung,

Industriedienstleistungen, Personalentwicklung und Business Consulting immer

wieder die Aufgabe die persönliche Beziehung zwischen MitarbeiterInnen des

eigenen Unternehmens und anderer Unternehmen zu fördern, zu entwickeln und zu

pflegen.

Seit 2006 befasse ich mich beruflich mit Social Media Aktivitäten zur Unterstützung

der Akquisition und Kundenbindung von Unternehmen im Bereich Business

Consulting, Software und Industrie.

Im Jahr 2008 absolvierte ich den 5. Strategischen Führungslehrgang im Auftrag der

österreichischen Bundesregierung und des Nationalen Sicherheitsrates, welcher sich

auch intensiv mit Corporate Security und Cyber Crime Herausforderungen

auseinandersetzt.

Seit 2008 bin ich nebenberuflich Lektor an der FH Campus Wien im Bachelorstudium

„Integriertes Sicherheitsmanagement“ und im Masterprogramm „Corporate Security

und Risikomanagement“ für die Themen Verhandlungstechnik, Führung und

Präsentationstechnik.

Zahlreiche Unternehmen sind bis heute nicht auf die Social Media Aktivitäten ihrer

MitarbeiterInnen vorbereitet.

Damit lag das Forschungsfeld für meine Master These auf der Hand.

Ich widme diese Arbeit meiner 88jährigen Großmutter, die mir von Kindesbeinen an

immer fest zur Seite steht. Sie kann nur wenig mit den Inhalten dieser Arbeit

anfangen, aber ohne ihre Unterstützung wäre ich nicht wer ich heute bin. Danke!

Inhaltsverzeichnis

1. Einleitung

1.1. Ausgangssituation und Zielsetzung - 1

1.2. Aufbau dieser Masterthesis - 4

2. Begriffsdefinition und Theoretische Grundlagen 2.1. Unternehmensrisiken und Bedrohungen - 5

2.2. Soziale Netzwerke - 16

2.2.1. Die Zeit vor `facebook´, `XING´ und `LinkedIn´ - 16

2.2.2. `facebook´ - 18

2.2.3. `XING´ - 28

2.2.4. `LinkedIn - 34

2.3. Enterprise 2.0 - 34

2.4. B2B Beziehungsmanagement - 36

3. Forschungsmethoden 3.1. Literarische Forschung - 40

3.1.1. „How to avoid Facebook & Twitter Disasters“ (Null, 2009) - 40

3.1.2. “Facebook, Myspace & Co” (Zimmer, 2009) - 45

3.1.3. „Gesamte Rechtsvorschrift für Urheberrechtsgesetz“ (Bundesgesetz, 2011) - 46

3.1.4. „Safer Surfing“ (saferinternet.at, 2011) und „internet sicher nutzen“ (ispa, 2011) - 48

3.1.5. „Arbeitsrecht für die betriebliche Praxis“ (Mayrhofer, 2011) - 51

3.1.6. „Building A World-Class Compliance Program” (Biegelman, 2008) - 53

3.1.7. “Unsere Kommunikation der Zukunft“ (Scoble, et al., 2007) - 54

3.1.8. „Gefahren durch Wirtschafts- und Industriespionage für die österreichische Wirtschaft“ (BMI,

2010) - 55

3.1.9. „Infoblatt Elektronische Abwehr“ (Abwehramt, 2006) - 56

3.1.10. „Sophos Security report 2011“ (Sophos, 2011) - 57

3.1.11. “Implementing Solutions to Social Media´s Security Risks” (Security Directors Report, 2010) - 61

3.1.12. “Cisco 2010 Annual Security Report” (Cisco, 2010) - 61

3.1.13. “Industriespionage 2.0 – Soziale Netzwerke und Ihre Auswirkungen auf die Firmensicherheit“

(Poller, 2008) - 63

3.1.14. „Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World”

(Haid, 2010) - 64

3.1.15. “10 THINGS you should know now about…. SOCIAL MEDIA SECURITY” (Reisinger, 2009) - 65

3.1.16. “Informationstechnologie – Sicherheitstechnik ÖNORM ISO/IEC ISO 27001“ (ON

Österreichisches Normungsinstitut, 2008) - 66

3.2. Forschungsabschluss

3.2.1. Schwachstellen, Bedrohungen, Straftaten - 72

3.2.2. Gründe für Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen - 74

3.2.3. Allgemeine Handlungsempfehlungen für MitarbeiterInnen in Sozialen Netzwerken - 75

3.2.4. Unternehmensseitige Handlungsempfehlung bei der Nutzung von Sozialen Netzwerken durch

MitarbeiterInnen - 77

3.2.5. Besondere Handlungsempfehlungen für Unternehmen in sensiblen Industrien mit hoher Relevanz

für potentielle Angreifer - 82

4. Anhänge 4.1. Literaturverzeichnis - 83

4.2. Abbildungsverzeichnis – 86

Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 1

1. Einleitung

1.1. Ausgangssituation und Zielsetzung

Unternehmen im `Business to Business´ (B2B) Bereich verlangen von ihren

MitarbeiterInnen den Aufbau und die Pflege von persönlichen Beziehungen zu

MitarbeiterInnen und EntscheidungsträgerInnen von KundInnen, LieferantInnen und

anderen GeschäftspartnerInnen.

Persönliche Beziehungen haben große Bedeutung für den Erhalt bestehender

Kundenbeziehungen:

‚Lastly, it was found that commitment in a relationship can be enhanced if

clients do not regard services on offer from alternative service providers as

more attractive than those offered by their current service provider.‛ (Theron

& Terblanche & Boshoff, 2008 S. 1007)

Für viele Unternehmen stellt der persönliche Austausch über private B2B

Austauschplattformen eine kostengünstige Form des Informations-

austausches dar. (vgl. Chinn & Unkle, 2006 S. 1)

Eine für persönliche B2B Kontakte optimierte Austauschplattform ist die

Social Media Plattform `XING´:

„Zielgruppe dieser Plattform sozialer Software sind berufstätige Personen,

die ihr Kontaktnetzwerk (Partner, Kunden, Freunde, Interessenten, Ex-

Kollegen, Ex-Kommilitonen etc.) online pflegen. Um Mitglied zu werden,

müssen Internetnutzer das 18. Lebensjahr vollendet haben.‚ (wikipedia, 2011

S. 1)

XING ist lt. eigenen Angaben Marktführer in der DACH- Region

(Deutschland, Österreich, Schweiz) im B2B Segment mit 4,69 Mio.

NutzerInnen (vgl. Möller, 2011 S. 7)

Weltweiter Marktführer im persönliche B2B Austausch ist lt. eigenen

Angaben die Social Media Plattform `LINKEDIN´:

„LinkedIn operates the world’s largest professional network on the Internet

with more than 100 million members in over 200 countries and territories<

<More than half of LinkedIn members are currently located outside of the

United States.‛ (Linkedin, 2011 S. 1)

http://de.wikipedia.org/wiki/Soziale_Software


Neben den dezidierten B2B Social Media Plattformen werden B2B

Beziehungen auch auf der allgemeinen Social Media Plattform `FACEBOOK´

gepflegt:

„Österreich wies per 31. Dezember 2010 einen neuen Rekordmitglieder-

bestand von 2.258.020 Personen aus. Am 27. November 2008 waren lediglich

224.780 Personen in Österreich auf Facebook registriert.‚ (wikipedia, 2011,

Seite 1)

Die Nutzung von `Facebook´ in Österreich stieg demnach im Zeitraum von

November 2008 bis Dezember 2010 um über 1000%.

Nicht zuletzt deswegen stellt sich also die Frage, warum sich auch Unternehmen mit dem

Phänomen der Social Media Plattformen auseinandersetzen sollten, und welche

Bedeutung diese aus Sicht der ArbeitgeberInnen haben. Denn eine neue Generation von

MitarbeiterInnen verändert den Kommunikationsbedarf von Unternehmen:

„It is now clear that as a result of this ubiquitous environment and the sheer

volume of their interaction with it, today’s students think and process

information fundamentally differently from their predecessors. These differences

go far further and deeper than most educators suspect or realize. < <As we

shall see in the next instalment, it is very likely that our students’ brains have

physically changed – and are different from ours – as a result of how they grew

up. But whether or not this is literally true, we can say with certainty that their

thinking patterns have changed. I will get to how they have changed in a

minute.

What should we call these ‚new‛ students of today? Some refer to them as

the N-[for Net]-gen or D-[for digital]-gen. But the most useful designation I

have found for them is Digital Natives. Our students today are all ‚native

speakers‛ of the digital language of computers, video games and the

Internet.‚ (Prensky, 2001 S. 1)

Die `Digital Natives´ sind in den Unternehmen angekommen.

Wenn wir von dieser Generation den Aufbau und die Pflege von

persönlichen Beziehungen verlangen, müssen wir – auf Grund der intensiven

Sozialisation durch Massenmedien - die Sozialen Funktionen von

Massenmedien berücksichtigen:

Roland Burkart unterteilt diese in soziale, politische und ökonomische

Funktionen. Als Soziale Funktionen definiert er Sozialisationsfunktion,

soziale Orientierungsfunktion, Rekreationsfunktion und


Integrationsfunktion.

(vgl. Burkart, 2002 S. 382)

`Digital Natives´ sehen dementsprechend Social Media Plattformen als natürliche Form

der Kommunikation und Beziehungspflege.

„`Digital Natives´ sind mit Wikis, Blogs und Social Networks aufgewachsen

und unterscheiden kaum mehr zwischen virtueller und realer Welt.

Unternehmen sind gut beraten, die Web-Ureinwohner ernst zu nehmen.

Denn sie können nicht weniger als unsere Gesellschaft verändern<

<Besonders Unternehmen mit konservativen Strukturen fällt es schwer, sich

mit den Bedürfnissen der Digital Natives anzufreunden: Für viele der jetzt

jungen Netzgeneration stellt der `Nine-to-Five-Job´ ein Relikt aus Zeiten der

Industrialisierung dar.

Als Netzwerkarbeiter befinden sich viele ihrer Kollegen und Kontakte in

verschiedenen Zeitzonen, sie bevorzugen flache Hierarchien, das Recht auf

Mitbestimmung, Transparenz und Herausforderungen. Dafür bieten sie

flexible Prozessstrukturen und arbeiten oft hoch effizient‚ (Neef Schroll &

Theis, 2009, Seite 1)

Unternehmen stehen damit vor der Herausforderung die Risiken der

Nutzung von Social Media Plattformen durch ihre MitarbeiterInnen zu

bewerten und darauf abgestimmte Maßnahmen zu ergreifen.

Die Verbindung der Erfahrungen im B2B Beziehungsmanagement, Social

Media und Corporate Security führt den Verfasser dieser Master Thesis zu

folgender wissenschaftlicher Fragestellung:

Welche organisatorischen Maßnahmen sind seitens eines Unternehmens empfehlenswert

um die allgemeinen Unternehmensrisiken bei der Nutzung von Social Media Plattformen

durch MitarbeiterInnen als B2B Beziehungsmanagementtool zu reduzieren?

Die gegenständliche Arbeit befasst sich nicht mit den technischen Risiken,

welche sich für die IT Infrastruktur aus der Nutzung von Social Media

Plattformen durch MitarbeiterInnen ergeben.


1.2. Aufbau dieser Master Thesis

Die Methodik ist eine (reine) Literaturarbeit, die - wie für die neuen,

interaktiven Medien ja nicht ungewöhnlich - interdisziplinären

Fragestellungen, z.B. aus dem Bereich Corporate Security und

Risikomanagement (und damit bereits von ihrem grundsätzlichen

Methodenansatzpunkt her dezidiert NICHT empirisch), gewidmet sein kann.

Aufgrund des Themas ist die Einbeziehung von Onlineartikeln inkl.

Wikipedia ausdrücklich seitens der Studiengangs Leitung zulässig.

Die Arbeit umfasst ca. 86 Textseiten


2. Begriffsdefinition & Theoretische Grundlagen

Als Vorbereitung der Forschungsarbeit ist es wichtig Begriffe, Kontext und

Besonderheiten zu beschreiben. Besondere Spezifika sind zu erläutern aber auch

die eigene Position und Perspektive zu beleuchten.

2.1. Unternehmensrisiken und Bedrohungen

Es gibt unterschiedliche Herangehensweisen bei der Gliederung von

Unternehmensrisiken:

„Unternehmensrisiken oder unternehmerische Risiken können als

Risikoprofil mit einer Rangfolge in einem Geschäftsbericht veröffentlicht

werden. Beispiele aus solchen Geschäftsberichten unterscheiden

Projektrisiken, Produktrisiken, Marktrisiken, Sonstige Betriebsrisiken,

Organisations- und Governance-Risiken, Risiken der strategischen Planung,

Personalwirtschaftliche Risiken, Ökonomische Risiken, Finanzrisiken,

Kommunikations- und Informationsrisiken.‚ (Joerg Schultze-Bohl

Dipl.Inform., 2011 S. 1)

Das Information Security Management von Bell Labs baut auf die

Informationssicherheitsnorm ISO/IEC 27001:2005 auf und gliedert Risiken in

folgende Klassen:

„ISO/IEC 27001:2005 Annex A contains control objectives and security

controls. These control requirements were derived from ISO/IEC 17799:2005

[3], clauses 5 to 15. The 11 clauses or major sections include:

Security policy, Organizing information security, Asset management,

Human resources security, Physical and environmental security,

Communications and operations management, Access control, Information

systems acquisition, development and maintenance, Information security

incident management, Business continuity management and Compliance.‛

(McGee Bastry Chandrashekhar Vasireddy Flynn, 2007 S. 40)

Interne Auditoren unterstreichen bereits 2008 erstmals die Bedeutung von ISO

27000 neben `Enterprise Risk Management´ (ERM) und `Fraud Risk

Management (FRM):

„The 2008 Internal Audit Capabilities and Needs Survey from Protiviti found

that among internal auditors, the top technical competencies in need of

improvement were ISO 27000, enterprise risk management (ERM) and fraud

risk management (FRM).


Chief audit executives (CAE) constituted more than a third of the 516 audit

professionals who participated in the study. CAEs also named ISO 27000, the

certification standard for information security developed by the International

Organisation for Standardization, as their top competency in need to

improvement, followed by COSO and FRM.‛ (protiviti.com, 2008 S. 25)

Risikomanagement zählt nach wie vor nicht zu den Top Prioritäten der Vorstände und

Führungskräfte in Unternehmen:

„The top priority for boards in 2010 is ‚strategic planning and oversight,‛

noted by 67.5% of respondents, followed by ‚corporate performance and

valuation‛ for 41.5% of directors. ‚Risk and crisis oversight,‛ ‚executive

talent management and leadership development‛ and ‚CEO succession‛ are

other top board priorities.

The level of risk in corporate strategy is appropriate for 86.8% of respondents,

although 32.4% of management teams do not have a comprehensive risk

assessment and 11.7% of directors are not asked to approve the risk profile in

the corporate strategy.‛ (NACD Research, 2010 S. 44)

Viele der Risiken im Bereich Social Media sind für Außenstehende

undurchsichtig und schwer greifbar. Das erschwert die Kommunikation der

damit verbundenen Unternehmensrisiken zusätzlich.

Der Eintritt in neue Marktplätze wie Social Media Plattformen erfordert beim

Risikomanagement ähnliche Sorgfalt wie der Eintritt in Emerging Markets:

‚Of course, the risks of investment may simply be too great to justify entry

into certain political zones. But in many cases investors who explicitly

recognize the dynamism of the environment and implement appropriate

strategies to address it will find the risks quite manageable.‛ (Henisz &

Zelner, 2010 S. 95)

Für das Risikomanagement im Bereich Social Media Plattformen heißt das

Bewusstsein für die Dynamik und schwierige Beherrschbarkeit zu entwickeln

und transportieren. - Wenn ich weiß, dass ich mich auf dünnem Eis bewege, werde ich

es entsprechend vorsichtig tun.


Risiken sind nicht einfach zu eliminieren:

„But – < – don’t believe that it’s easy to eliminate a risk. When you buy

insurance, for example, what you’re really buying is an option to make a

claim against somebody you hope will be good for the payment. So you’ve

just converted one kind of risk into another.‛ (Kaplan, 2009 S. 73)

RisikomanagerInnen müssen auch Risiken in Kauf nehmen:

‚A credible risk manager also has to be a risk taker. If you keep saying no,

you will go out of business.‛ (Hofmann, 2009 S. 75)

Die Grenzen des Risikomanagements zeigen sich auch sehr gut im Finanzsektor.

Legionen von RisikomanagerInnen in Banken und Versicherungen versuchen

Risiken abzuschätzen. Die Lehren aus dem schnelllebigen Finanzsektor

können auch im Zusammenhang mit Risikomanagement für Unternehmen

im Umgang mit Social Media Plattformen hilfreich sein:

„To manage risk effectively, you have to choose the right data and metrics

and have a clear sense of how all the moving parts work together.

Risk managers routinely make six fundamental mistakes:

Relying on historical data. Risk-management modelling involves extrapolating

from the past, but rapid financial innovation in recent decades has made

history an imperfect guide.

EXAMPLE Historical data were of little use in estimating the impact of the

recent fall in house prices, because those data didn’t cover a period during

which the market saw a downturn while a large number of subprime

mortgages were outstanding.‛ (Stulz, 2009 S. 89)

Interaktive Soziale Netzwerke wie `Facebook´, `XING´ und `LinkedIn´ sind

erst wenige Jahre alt. Die Lebenszeit der Strukturen und Funktionalitäten ist

äußerst kurz und permanent im Umbruch begriffen.

‚Focusing on narrow measures. Many financial institutions use daily measures to

track risk. These underestimate a firm’s exposure, because they assume that

assets can be sold quickly, limiting the firm’s losses within a day.


EXAMPLE Financial crises involve a dramatic withdrawal of liquidity from

securities markets, leaving firms exposed for weeks or months on positions

they cannot easily unwind.‛ (Stulz, 2009 S. 89)

Die Konzentration auf wenige Parameter zur Erfassung von Risiken ist bei

der Komplexität von Interaktiven Medien schwierig. Massive

Reputationsschäden oder Know How Diebstahl können oft nur mit großem

Aufwand behoben werden.

‚Overlooking knowable risks. Risk managers simply overlook many types of risk

and sometimes even create them.

EXAMPLE Investors in Russia tried to hedge the risk of a collapse in the

ruble by taking currency positions with Russian banks. But they failed to

recognize that a shock to the banking system would threaten those banks’

ability to meet their commitments.‛ (Stulz, 2009 S. 89)

RisikomanagerInnen übersehen Risiken oder kreieren sie selbst: Der Einsatz

vermeintlich schützender Technologie, schafft unter Umständen erst den

Zugang für neue Bedrohungen – später mehr dazu.

‚Overlooking concealed risks. People responsible for incurring risk often don’t

report it – sometimes deliberately, but often unintentionally. Organizations

have a tendency to expand unreported risks.

EXAMPLE If traders receive a share of the profits they generate but do not

have to defray the losses, they have an incentive to take risks, which is easier

to do if the risks are unmonitored.‛ (Stulz, 2009 S. 89)

Verantwortliche für die Sicherheit unterlassen es aus unterschiedlichsten

Gründen Risiken zu berichten. Die Tendenz von Organisationen gewisse

Risiken nicht zu berichten, wird gerade bei unbekannten Themen, wie

Sozialen Netzwerken, bis zum Bekanntwerden von Schadensfällen in der

Öffentlichkeit verstärkt.

‚Failing to communicate. Risk-management systems will provide little protection

if risk managers don’t communicate clearly.

EXAMPLE The Swiss bank UBS attempted to explain its subprime and

housing exposures in an overly complex way and to the wrong audience.‛

(Stulz, 2009 S. 89)


Eine klare Kommunikation der potentiellen Risiken ist gerade bei der

Kommunikation mit Menschen ohne Bezug zu interaktiven Sozialen

Netzwerken schwierig.

Meinungen vieler Executive ManagerInnen schwanken, vor allem je nach

persönlicher Affinität zu neuen Medien, zwischen Verbot und selektiver

Freigabe.

„Not managing in real time. Risks can change sharply and quickly with daily

fluctuations in the stock market.

EXAMPLE Managers, holding a barrier call option, that doesn’t check the risk

throughout the day may fail to put appropriate hedges in place.” (Stulz, 2009

S. 89)

Bedrohungen durch soziale Netzwerke sind im Extremfall, in ihrer

Auswirkung auf Unternehmen, vergleichbar mit unerwarteten globalen

Krisen oder atomaren Störfällen. Die Vorhersehbarkeit ist äußerst schwierig:

„Black Swan Events“ sind die Feinde konventioneller RisikomanagerInnen:

‚Black Swan events are almost impossible to predict. Instead of perpetuating

the illusion that we can anticipate the future, risk management should try to

reduce the impact of the threats we don’t understand.

WE DON’T LIVE in the world for which conventional risk-management

textbooks prepare us. No forecasting model predicted the impact of the

current economic crisis, and its consequences continue to take establishment

economists and business academics by surprise.

Moreover, as we all know, the crisis has been compounded by the banks’ so-

called risk-management models, which increased their exposure to risk

instead of limiting it and rendered the global economic system more fragile

than ever.

Low-probability, high-impact events that are almost impossible to forecast –

we call them Black Swan events – are increasingly dominating the

environment. Because of the internet and globalization, the world has become

a complex system, made up of a tangled web of relationships and other

interdependent factors.

Complexity not only increases the incidence of Black Swan events but also

makes forecasting even ordinary events impossible. All we can predict is that


companies that ignore Black Swan events will go under.‛ (Taleb Goldstein &

Spitznagel, 2009 S. 78-79)

Die Auseinandersetzung mit dem `Black Swan Event´ hilft uns Risikomanagementansätze

zu relativieren:

„Warum in aller Welt machen wir so viele Vorhersagen? Noch schlimmer

aber auch interessanter: Weshalb sprechen wir nicht darüber, wie gut unsere

bisherigen Vorhersagen waren? Wieso sehen wir nicht, dass uns die großen

Ereignisse (fast) immer entgehen? Das nenne ich den Skandal bei den

Vorhersagen.‚ (Taleb, 2007 S. 174)

Das Beispiel Sony zeigt die Komplexität des Risikomanagements in der Social Media Welt:

Im April 2011 brach für Playstation User der Mythos – „SONY‚ zusammen:

Ein - Black Swan Event - hat massive Reputationsschäden verursacht:

„´Super-GAU´ im Playstation Network - Hacker stehlen Sony Millionen

Kundendaten - Seit Tagen ist Sonys Online-Plattform Playstation Network

nicht erreichbar. Jetzt ist bekannt, warum. Ein digitaler Super-GAU.

Nach einem Angriff auf Sonys ´Playstation Network´ (PSN) fielen Hackern

Passwörter und Adressen von 75 Millionen Kunden in die Hände – vielleicht

sogar deren Kreditkarten-Informationen. Betroffen ist neben dem PSN auch

der Video- und Musikservice Qriocity.

Eine unbekannte Person habe sich Zugang zu persönlichen Daten wie Name,

Adresse, E-Mail-Adresse, Geburtsdatum der Nutzer verschafft, so Sony.

Auch Zugangsdaten und Passwörter seien nach derzeitigem Kenntnisstand

ausgespäht worden, möglicherweise ebenfalls die Liste der Käufe. ´Obwohl

es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarten-Informationen

widerrechtlich zugegriffen wurde, können wir diese Möglichkeit nicht

gänzlich außer Betracht lassen´, warnte Sony. Die Kunden sollten nun

besonders wachsam sein, um keinem Betrug aufzusitzen, und ihr Konto

kontrollieren.‚ (Computerwelt, 2011 S. 1)

Das Mission Statement von Sony, ‚Sony is committed to developing a wide

range of innovative products and multimedia services that challenge the way

consumers access and enjoy digital entertainment. By ensuring synergy


between businesses within the organisation, Sony is constantly striving to

create exciting new worlds of entertainment that can be experienced on a

variety of different products.‛ (Sony, 2011 S. 1) , wurde damit aus

Risikomanagement Perspektive komplett in Frage gestellt.

Wurden die Risiken des unbefugten Zugriffes auf Passwörter und Adressen von 75

Millionen Kunden entsprechend bewertet und gemanagt?

In dem Computerweltartikel am 27.4.2011 (Computerwelt, 2011 S. 1) wird

bereits die Möglichkeit eingeräumt, dass auch auf Kreditkarteninformationen

von KundInnen Zugriff bestand.

Anfang Juni 2011 kam es zum nächsten Zwischenfall:

Andy Bloxham Reporter des „telegraph‚ beziffert am 3.6.2011, anlässlich

dieses neuerlichen Angriffes auf Sony, die aktuellen Schadensabschätzungen:

„<Hackers have attacked ´Sony´ and stolen the private details of more than a

million people in the latest security breach to hit the electronics giant. ‚

(Bloxham, 2011 S. 1)

In diesem Artikel beziffert er in Folge den Schaden für ´Sony´ aus dem zuvor

beschriebenen ´Super-GAU´: „The latest hack comes just over a month after

Sony's enormous PlayStation Network was attacked. In that incident the data

of about 70m customers was stolen, in what is thought to have been the

largest hack in history. The network has only come back online in recent

weeks, with the cost of the fallout estimated at more than £900m.‛ (Bloxham,

2011 S. 1)

Die Schadensumme wird so im Juni 2011 mit umgerechnet (1€ = 117,38 Yen) 1

Mrd € beziffert, das ist fast das Vierfache ´operating income´ der Sony

Corporation im Jahr 2010.‚ (vgl. Sony, 2010 S. 54)

Die Anpassung des ´net income´ vom 23.5.2011 - im vorläufigen

Endergebnisses für das Geschäftsjahr 2011 (endete am 31.3.2011) - auf Grund

der Auswirkungen des Erdbebens von Fukushima liegt bei umgerechnet 3

Mrd €. (vgl. SONY, 2011 S. 1)

Die Bezeichnung des Sony Playstation ´hack´ als Super-GAU scheint damit durchaus

gerechtfertigt.


Dieses Beispiel zeigt die Verwundbarkeit moderner Kommunikations-

technologien.

Jeder Nutzer von Social Media Plattformen muss sich der Risiken bewusst sein und

dementsprechend handeln.

So berichtete Google Anfang Juni 2011 ‚<it had detected and disrupted a

campaign aimed at stealing passwords of hundreds of Google email account

holders including senior U.S. government officials, Chinese activists, and

journalists.‛ (IBTimes, 2011 S. 1)

Der unbefugte Zugriff auf persönliche Daten zählt damit zu den größten Herausforderungen

bei Social Media Netzwerken.

Die Untersuchungen dieser Masterthese befassen sich vor allem mit User

seitigen Vorkehrungen um sich möglichst sicher auf Social Media Plattformen

zu bewegen. Die technischen Aspekte sind vielfältig und müssen von den

IKT Verantwortlichen des jeweiligen Unternehmens berücksichtigt werden.

Was ist nun das größte userseitige Risiko bei der Nutzung von Social Media Plattformen?

„Remember that the biggest risk lies within us:

We overestimate our abilities and underestimate what can go wrong. The

ancients considered hubris the greatest defect, and the gods punished it

mercilessly.

Look at the number of heroes who faced fatal retribution for their hubris:

Achilles and Agamemnon died as a price of their arrogance; Xerxes failed

because of his conceit when he attacked Greece; and many generals

throughout history have died for not recognizing their limits.

Any corporation that doesn’t recognize its Achilles’ heel is fated to die

because of it.‛ (Taleb Goldstein & Spitznagel, 2009 S. 81)

Das größte Risiko ist der Mensch.

Um die Unternehmensseitigen Risiken bei der Nutzung von Social Media

Plattformen durch MitarbeiterInnen zu erarbeiten müssen wir auch einige

Cyber Crime spezifische Bedrohungen beleuchten:

Am 23.9.2001 wurde in Budapest die Convention of Cybercrime (dt. Übereinkommen

über Computerkriminalität) verabschiedet vgl. (Europe, 2001 S. 1):

Der Europarat unterscheidet darin:


Straftaten gegen die Vertraulichkeit, Unversehrtheit

und Verfügbarkeit von Computerdaten und -systemen

wie rechtswidrigen Zugang, rechtswidriges Abfangen, Eingriff in

Daten, Eingriff in ein System, Missbrauch von Vorrichtungen.

Computerbezogene Straftaten

wie computerbezogene Fälschungen, computerbezogener Betrug.

Inhaltsbezogene Straftaten

wie solche mit Bezug zur Kinderpornographie.

Straftaten in Zusammenhang mit Verletzungen des Urheberrechts und verwandter

Schutzrechte

Weitere Formen der Verantwortlichkeit und Sanktionen

wie Versuch und Beihilfe oder Anstiftung, Verantwortlichkeit

juristischer Personen und Sanktionen und Maßnahmen

(vgl. Europe, 2001 S. 3-7)

Im Jahr 2007 definiert Europol im Rahmen eines ´Threat Assessment´ des High

Tech Crime Center (vgl. Europol, 2007 S. 6) Typologien von Bedrohungen:

The involvement of criminal organisations in high tech crimes

Botnets and crimewares

Phishing & Identity Theft

‚Phishing is a type of social engineering over the internet that yields

plenty of revenue for criminal organisations. This social engineering is

combined with technical artifices with the aim of stealing personal and

financial data. The crimes that are conceived consist of fraud and

identity theft.‛ (Europol, 2007 S. 27) Pharming

‚Another kind of dangerous electronic social engineering, very similar

to phishing, is called Pharming which is more difficult to detect

because it consists of the manipulation of the Domain Name Server

(DNS) that at the moment of the resolving IP address, the user is re-

directed to a fraudulent site.‛ (Europol, 2007 S. 29)

Vishing

‚The latest ‘phishing evolution’ which yields illicit money for

organised crime in this area is called Vishing which is not web-based

but consists of perpetrating fraud using VOIP. In other words, a dialler

calls customers and an automatic voice starts pretending to be the

financial institute; it then requests credit card numbers including the


Card Validation Code (CVV). The frauds over IP are becoming more

and more widespread.‛ (Europol, 2007 S. 30-31)

SMiShing

„Even less countermeasures can be adopted when facing one of the

main criminal threats that will worry LEA in the immediate future,

namely SMiShing41. In other words, this latest threat attacks mobile

phones, connected to the internet. The user receives a link to a web site

and when clicking a Trojan enters into action with imaginable

consequences in the mobile phone’s content.‛ (Europol, 2007 S. 30)

Critical Information Infrastructures

Cyber terrorism

Trafficking of Child Pornography Images on the Internet

Drugs Trafficking on the Internet

Anfang 2011 stellt Europol - im Threat Assessment zum Thema Internet

Facilitated Organized Crime (vgl. Europol, 2011 S. 2) - weitere

Bedrohungstypologien vor:

The Digital Underground Economy

‚There is now a sophisticated and self-sufficient digital underground

economy, in which data is the illicit commodity. Stolen personal and

financial information – used, for example, to gain access to existing

bank accounts and credit cards, or to fraudulently establish new lines of

credit – has a monetary value. Not only credit card details and

compromised accounts, but also information such as addresses, phone

numbers, social security numbers, full names and dates of birth are

retailed in this market.‛ (Europol, 2011 S. 5)

Cybercriminal Business Models

Cybercrime 2.0

‚´Web 2.0´ is the term often used to describe the on-going transition of

the World Wide Web from a collection of websites to a fully-fledged

computing platform which has spawned a second generation of

Internet based services – such as social networking sites, wikis, and

real-time communication tools – that emphasize online collaboration

and sharing among users. This has both been of great benefit to the

general public and provided new and creative opportunities for the

digital underground economy.

Significant in this regard is the ability of web developers and users

themselves to draw web page content from a number of different


sources: just as Facebook users are able to embed videos from YouTube

or photos from Flickr on their profile pages, and application developers

are able to market tools and games to the users of social networking

sites, so also do cybercriminals inject malicious code into posted items

and share links to phishing and pharming websites, exploiting the trust

of users who consider themselves to be in a ´closed´ network of

acquaintances. An increase in crimeware delivery through social

networking sites has been one of the key trends in recent years.‛

(Europol, 2011 S. 6-7)

Social Engineering

‚Social engineering – the act of manipulating people into performing

actions or divulging confidential information – is a key feature both of

hacker culture and of many cybercriminal modi operandi: when engaged

in phishing and its variants, criminals commonly seek to persuade

recipients that they represent organisations requiring verification of

customers’ personal data; spoof websites are designed which replicate

legitimate online services such as banking, to dupe customers into

inputting their account details; social engineering even plays on the

fears of Internet users that they will fall prey to this very tactic,

manipulating them into paying for rogue anti-virus software which can

otherwise be obtained for free, is useless, or in fact contains

crimeware.‛ (Europol, 2011 S. 7)

Auf Basis dieser Risikoübersicht und der beschriebenen Bedrohungslagen

werden im folgenden Kapitel die Grundlagen Sozialer Netzwerke

beschrieben.


2.2. Soziale Netzwerke

2.2.1. Die Zeit vor `Facebook´, ´XING´ und ´linkedIn´

Michael Gallas Dissertation mit dem Titel ´Social Relationship Management in

Internet-based Communication and Shared Information Spaces´ aus dem

Jänner 2004 beschreibt die World Wide Web (WWW) – Social Media Ideen im Jahr 2003:

‚Communication and collaboration based on the internet are important factors

in business, research, and everyday life. The term virtualization denotes the

phenomenon that more and more aspects of our lives take place online.

In today’s markets, companies have to be quick and flexible in order to be

successful. One of the strategies to achieve this is the virtualization of

organizations, leading to the abolishment of classical spatial and temporal

constraints and to a greater flexibility.

The dynamic collaboration of small, modular organizational units is the key

idea of this strategy. The partnering problem becomes the pivotal point in

such organization networks, raising the question of how to assess the

trustworthiness of personally unknown potential partners.

Similarly, in online auction houses, customers often do not know whether to

trust vendors with respect to the quality of the goods offered. Traditionally,

such problems are solved by exploring the personal social network and

looking for trusted persons who know the person or organization in question.

Yet, due to the increasing variety of communication media, it is difficult to

keep aware of all people in one’s personal social network. Therefore it is

necessary to support the management of social relationships.

The goal of this thesis is the development of a general framework for social

relationship management.

Starting from observations concerning the aforementioned virtualization

tendencies, this work examines internet-based communication and shared

information spaces with respect to the kinds of social network data that can be

extracted from them. Existing approaches to social relationship management

are discussed. Such systems, however, concentrate on only one or very few

kinds of social relationships and thus only manage special aspects of a user’s

social network.

Therefore, a general representation of social relationships is needed which

allows for the combination of various kinds of relationships and sources of

social network data.


On the basis of this analysis and the characterization of social relationships in

terms of sociology, this work introduces a formal model of social relationships

based on semantic web technologies.

The main design goals of this formalization are fostering interoperability,

independence from proprietary applications, extensibility, and integration of

privacy protection.

Building upon the formalization of social relationships, a multiagent system

for distributed relationship management is developed.

Agents act on behalf of one or several persons and exchange relationship

information in order to answer queries initiated by their users or by

applications.‛

(Galla, 2004 S. 5)

Im Februar 2004 war dann Facebook erstmals zugänglich...

…das war der Zeitpunkt an dem sich das World Wide Web neu erfand:

Das Web 2.0 wurde durch Facebook massentauglich.

„Der Begriff Web 2.0 wurde im Dezember 2003 in der US-Ausgabe `Fast-Forward

2010 – The Fate of IT´ des CIO Magazin, eines Fachmagazins für IT-Manager, in dem

Artikel `2004 – The Year of Web Services´ von Eric Knorr, Chefredakteur des IDG

Magazins `InfoWorld´, erstmals gegenüber einer breiten Öffentlichkeit erwähnt. <

Der Begriff Web 2.0 bezieht sich neben spezifischen Technologien oder Innovationen

wie Cloud Computing primär auf eine veränderte Nutzung und Wahrnehmung des

Internets. Die Benutzer erstellen, bearbeiten und verteilen Inhalte in quantitativ und

qualitativ entscheidendem Maße selbst, unterstützt von interaktiven Anwendungen.

Um die neue Rolle des Nutzers zu definieren, hat sich mittlerweile der Begriff

`Prosumer´ durchgesetzt. Die Inhalte werden nicht mehr nur zentralisiert von großen

Medienunternehmen erstellt und über das Internet verbreitet, sondern auch von einer

Vielzahl von Nutzern, die sich mit Hilfe sozialer Software zusätzlich untereinander

vernetzen. Im Marketing wird versucht, vom Push-Prinzip (Stoßen: aktive

Verteilung) zum Pull-Prinzip (Ziehen: aktive Sammlung) zu gelangen und Nutzer zu

motivieren, Webseiten von sich aus mit zu gestalten.‚ (Wikipedia, 2011 S. 1)

http://de.wikipedia.org/wiki/CIO_%28Magazin%29

http://de.wikipedia.org/wiki/International_Data_Group

http://de.wikipedia.org/wiki/Cloud_Computing

http://de.wikipedia.org/wiki/Web_2.0#Anwendungen

http://de.wikipedia.org/wiki/Prosumer


http://de.wikipedia.org/wiki/Push-Model

http://de.wikipedia.org/wiki/Pull-Model


2.2.2. Facebook

„Facebook (dt. sinngemäß Studenten-Jahrbuch) ist eine Website zum

Erstellen und Betreiben sozialer Netzwerke, die der Facebook Inc. mit

Sitz im kalifornischen Palo Alto gehört. Die Plattform war im Februar

2004 erstmals zugänglich und erreichte im Januar 2011 nach eigenen

Angaben 600 Millionen aktive Nutzer weltweit. Anfang Mai 2011 betrug

der Mitgliederbestand 674,1 Millionen. In Deutschland wird das

Netzwerk mittlerweile von 17,6 Millionen Menschen genutzt (Stand: 30.

April 2011). Deutschland hat damit Kanada überholt und steht erstmals

in den Top10 der Länder mit den meisten aktiven Nutzern, die Schweiz

liegt auf dem 46. Rang (2,6 Millionen Mitglieder) und Österreich auf dem

48. Rang (2,5 Millionen Mitglieder).‚ (wikipedia, 2011 S. 1)

Facebook dominiert heute - als das Massenmedium - den Markt der `Sozialen

Netzwerke´.

Soziale Netzwerke wie Facebook, MySpace & Co zählen zu den aktuellen

Erfolgsgeschichten im Internet. Facebook hat es mittlerweile in Österreich

auf Platz 4 der beliebtesten Websites geschafft. (Zimmer, 2009 S. 3)

Facebook – Funktionen

„Jeder Benutzer verfügt über eine Profilseite, auf der er sich vorstellen

und Fotos oder Videos hochladen kann. Auf der Pinnwand des Profils

können Besucher öffentlich sichtbare Nachrichten hinterlassen oder

Notizen/Blogs veröffentlichen. Alternativ zu öffentlichen Nachrichten

können sich Benutzer persönliche Nachrichten schicken oder chatten.

Freunde können zu Gruppen und Events eingeladen werden. Facebook

verfügt zudem über einen Marktplatz, auf dem Benutzer Kleinanzeigen

aufgeben und einsehen können. Durch eine Beobachtungsliste wird man

über Neuigkeiten, z. B. neue Pinnwandeinträge auf den Profilseiten von

Freunden informiert. Die Benutzer auf Facebook sind in Universitäts-,

Schul-, Arbeitsplatz- und Regionsnetzwerke eingeteilt.‚ (wikipedia, 2011

S. 1)

Seit 2004 haben sich neben Facebook eine Vielzahl anderer Social Media

Plattformen etabliert, welche mittlerweile mit Facebook interagieren

können. Exemplarisch seien hier `YouTube´ und `Twitter´ erwähnt.

Voraussetzung dafür war die Öffnung der Plattform für Anwendungen

von Drittanbietern:

http://de.wikipedia.org/wiki/Deutsche_Sprache

http://de.wikipedia.org/wiki/Website

http://de.wikipedia.org/wiki/Soziales_Netzwerk_%28Internet%29

http://de.wikipedia.org/wiki/Facebook_Inc.

http://de.wikipedia.org/wiki/Palo_Alto

http://de.wikipedia.org/wiki/Deutschland

http://de.wikipedia.org/wiki/Schweiz

http://de.wikipedia.org/wiki/%C3%96sterreich

http://de.wikipedia.org/wiki/Profilseite

http://de.wikipedia.org/wiki/Blog

http://de.wikipedia.org/wiki/Chat


Facebook – Applikationen (dt. Anwendungen)

„Das Unternehmen öffnete im Mai 2007 seine Plattform für

Anwendungen von Drittanbietern. Entwicklern steht über die Facebook

Plattform eine Programmierschnittstelle (API) zur Verfügung, mit der sie

Programme schreiben können, die sich dem Design von Facebook

anpassen und nach Erlaubnis der Nutzer auf deren Daten zugreifen

können. Facebook-Mitglieder können die angebotenen Programme in

ihre Profilseiten integrieren. Die Bandbreite umfasst Spiele und andere

Kommunikationsanwendungen. Nach Unternehmensangaben waren im

Oktober 2009 mehr als 350.000 Applikationen verfügbar. Allerdings

erreicht nur ein kleiner Teil davon mehr als 100.000 Nutzer im Monat. Mit

über 75 Millionen aktiven Nutzern ist das Onlinespiel FarmVille die

derzeit beliebteste Facebook-Applikation.‚ (wikipedia, 2011 S. 1)

Die Facebook Applikationen gliedern sich in Wirtschaft, Ausbildung,

Unterhaltung, Freunde & Familie, Spiele, Nur zum Spaß, Lebensstil,

Sport, Hilfsmittel. (vgl. Facebook, 2011 S. 1)

„Beobachter bewerten die Öffnung der Plattform als wichtigen Schritt,

um die Attraktivität von Facebook zu erhöhen und damit die Nutzerzahl

zu steigern. Allerdings wuchs das Angebot derart rasant, dass Nutzer

über die Unübersichtlichkeit klagten. Einige Applikationen sind vor

allem darauf ausgelegt, sich möglichst schnell zu verbreiten. Das

Unternehmen geht mittlerweile gegen Application Spam vor, indem es

im Rahmen eines sogenannten Verification Program vertrauenswürdige

und sichere Anwendungen besser platziert und ihnen ein entsprechendes

Logo verleiht.‚ (wikipedia, 2011 S. 1)

http://de.wikipedia.org/wiki/Programmierschnittstelle

http://de.wikipedia.org/wiki/FarmVille


Diese Applikationen fragen den Benutzer um Zustimmung zur Nutzung persönlicher

Daten:

Am Beispiel `FarmVille´ kann man diesen Vorgang einfach beschreiben:

Das Profil von `FarmVille´ bietet einen Button `Zur Anwendung´ an.

Abbildung 1: ‚Facebook‘ Startseite der Anwendung 'Farmville'; Quelle: (Farm Ville, 2011)

Betätigt man diesen Button öffnet sich ein Menüpunkt `Anfrage für

Genehmigung ´. Betätigt man den Button `Zulassen´ hat die Anwendung

Zugriff auf die entsprechenden Daten.

Abbildung 2: ‚Facebook‘ Zugriffsfreigaben für die Anwendung 'Farmville'; Quelle: (Farm Ville, 2011)

Will man dies nicht, muss man den `Anwendung verlassen´ Button

betätigen und kann die Anwendung nicht aktivieren.


Im Fenster `Anfrage für Genehmigung´ erteilt man (im Beispiel `FarmVille´) die

Genehmigung zum Zugriff auf Name, Profilbild, Geschlecht, Netzwerke,

Nutzerkennnummer, Freundesliste und alle anderen Informationen, die ich mit „Allen“

teile.

Das heißt an dieser Stelle gewinnen die Privatsphäre-Einstellungen an

Bedeutung.

Nutzer von Facebook finden Ihre Privatsphäre-Einstellungen auf ihrer Profil

Seite, dafür betätigen Sie zunächst den Knopf `Profil bearbeiten´.

Abbildung 3: ‚Facebook Profil‘ des Verfassers; Quelle: (Facebook, 2011)

Damit erscheint die Menüseite `Profil bearbeiten´. Die für die Sicherheit

wichtigen `Privatsphäre-Einstellungen´ finden Sie wenig auffällig am

Ende der links unter dem Facebook logo befindlichen Menüpunkte.

Abbildung 4: ‚Facebook‘ Einstellungen 'Profil bearbeiten'; Quelle: (Facebook, 2011)

Betätigen Sie den blau unterlegten Menüpunkt `Privatsphäre-

Einstellungen´, damit sind Sie auf der entsprechenden Menüseite.


Abbildung 5: ‚Facebook‘ Privatsphäreeinstellungen; Quelle: (Facebook, 2011)

Auf die Menüseite `Benutzerdefinierte-Einstellungen´ kommt man nach

Betätigung des blau unterlegten Hinweises darauf. Hier besteht die

Möglichkeit individuelle Zugriffseinstellungen vorzunehmen.


Abbildung 6: ‚Facebook' Privatsphäre-Einstellungen – ‚Benutzerdefinierte Einstellungen‘; Quelle: (Facebook, 2011)

Wenn wir zu den allgemeinen Privatsphäre-Einstellungen

zurückkehren müssen wir noch einen sehr zentralen Menüpunkt

erläutern.

Dieser Menüpunkt findet sich am Ende der Menüansicht

`Anwendungen und Webseiten – Bearbeite deine Einstellungen für<´.

Abbildung 7: ‚Facebook‘ - Privatsphäre-Einstellungen für 'Anwendungen und Webseiten'; Quelle: (Facebook, 2011)


Dieser Button führt zum entsprechenden Menüpunkt `Wähle deine

Privatsphäre-Einstellungen aus > Anwendungen, Spiele und

Webseiten´.

Hier besteht die Möglichkeit bereits installierte Anwendungen zu

deaktivieren, die Sichtbarkeit von Informationen über die Nutzung von

Anwendungen zu definieren und vor allem den Zugriff von

sogenannten Partner Webseiten zu genehmigen.

Abbildung 8: 'Facebook' Privatsphäre - 'Anwendungen, Spiele und Webseiten'; Quelle: (Facebook, 2011)

Der Zugriff auf Daten die durch `Freunde´ zugänglich sind lässt sich

hier zum Beispiel deaktivieren. Der Button `Einstellungen bearbeiten´

führt zum entsprechenden Menü.

Abbildung 9: 'Facebook' Privatsphäre, 'Für Freunde zugängliche Informationen'; Quelle: (Facebook, 2011)


Ein besonderes Augenmerk sei hier auf die Einstellungen `Umgehende

Personalisierung´ gelegt. In diesem Bereich wird der Zugriff von

sogenannten `Partneranwendungen´ geregelt.

Diese Partneranwendungen erhalten derzeit bei Aktivierung vollen

wechselseitigen Zugriff: `Bing´, `Pandora´, `TripAdvisor´, `Yelp´,

`Rotten Tomatos´, `Clicker´, `Scribd´ und `Docs´. (Vgl. Facebook, 2011)

Abbildung 10: 'Facebook' Privatsphäre, 'Umgehende Personalisierung'; Quelle: (Facebook, 2011)

In aller Stille integrierte `Facebook´ eine Funktionalität, welche die

automatische Gesichtserkennung standardmäßig auf alle Fotos in

Facebook anwendet. Laut Bloomberg Business Week wird derzeit seitens der

Europäischen Union die mögliche Verletzung von Datenschutzrechten untersucht.

(vgl. Bodoni, 2011 S. 1).

Abbildung 11: 'Facebook' Überblick Privatsphäre-Einstellungen; Quelle: (Facebook, 2011)

Diese Funktionalität lässt sich durch die Entfernung des seitens

Facebook automatisch markierten Feldes links neben dem Text


`Freunde von Personen, die in meinen Fotos und Beiträgen markiert

wurden, können diese sehen´ deaktivieren.

Nichts desto trotz sind diese Daten für Facebook verfügbar. - Sollte eine

befugte Behörde – oder Unbefugte - Zugriff auf diese Daten haben, lässt

sich innerhalb von Bruchteilen einer Sekunde ein visuelles

Personenprofil erstellen.

Damit stellen sich die Fragen: Wie sicher sind Daten in den Händen von

Unternehmen wie `Facebook´? Wer hat tatsächlich Zugriff auf diese Daten? Wie

werden diese Daten genutzt? Wie wird der Zugriff auf diese Daten geschützt? Wie

gut sind diese Daten gegen illegale Aktivitäten geschützt?

Eine weitere Herausforderung an die Datensicherheit stellt `Facebook-

Connect´ dar, damit bietet das Unternehmen `Facebook´ seit 2008 die

Möglichkeit zur Einmalanmeldung an, d.h. andere Websites verlangen

von identifizierten `Facebook´-Nutzern keine gesonderte Anmeldung.

`Facebook´ Profilinhalte werden von diesen Drittportalen teilweise

übernommen. Lt. Facebook unterstützen derzeit 240.000 Websites und

Geräte diese Anmeldeoption. Ungefähr 60 Mio Nutzer weltweit greifen

bereits auf diese Möglichkeit zurück.

Diese und andere `Facebook´ Anwendungen wie `Facebook-Open Graph´,

diverse Mobile Clients für Windows Mobile, BlackBerry, Apple

iPhone/iPod touch, S60, Android, HP webOS, bada,< unterstützen die

Konvergenzstrategie des Unternehmens.

Die Möglichkeit die Standortdaten der Nutzer - über Mobile Clients

und die in moderne Mobiltelefonen und Smartphones vorhandenen

GPS Module – in Applikationen zu integrieren wird mit `Facebook-

Places´ ermöglicht.

(vgl. wikipedia, 2011 S. 1)

Und wahrscheinlich sind zum Zeitpunkt der Veröffentlichung dieser

Master Thesis wieder zahlreiche neue Möglichkeiten verfügbar.

Nutzer von Facebook müssen aufmerksam einschlägige Nachrichten

verfolgen um über neue Funktionalität oder Applikation informiert zu

sein, welche unbekannten Dritten persönliche Daten zugänglich zu

machen.

Wie verdient Facebook Geld?

http://de.wikipedia.org/wiki/Windows_Mobile

http://de.wikipedia.org/wiki/BlackBerry

http://de.wikipedia.org/wiki/Apple_iPhone

http://de.wikipedia.org/wiki/Apple_iPhone

http://de.wikipedia.org/wiki/Apple_iPod_touch

http://de.wikipedia.org/wiki/S60

http://de.wikipedia.org/wiki/Android_%28Betriebssystem%29

http://de.wikipedia.org/wiki/HP_webOS

http://de.wikipedia.org/wiki/Bada_%28Betriebssystem%29


Bei der Verfolgung von Straftaten ist ein zentrales Element von

Ermittlungen die Aufgabe „Follow the money‚. Darum muss man kurz

beleuchten wie Facebook Geld verdient:

Facebook ist sehr zurückhaltend mit der Veröffentlichung von

Geschäftszahlen und Umsatzzahlen. Die Haupteinnahmen dürften aus

Werbeeinnahmen erwirtschaftet werden.

Das Unternehmen `emarketer´ geht in seinen Einschätzungen von einer

weiteren Verdopplung der Anzeigenumsätze von `Facebook´ im Jahr 2011

gegenüber 2010 aus. Der Umsatz 2010 lag demnach bei etwa 1,86 Mrd.

U$D.

(vgl. emarketer, 2011 S. 1)

Abbildung 12: 'Facebook' Erlösanalyse; Quelle: (emarketer, 2011)

Darüber hinaus erzielt Facebook laut `facebookbiz´ Erlöse aus dem Verkauf

virtueller Güter. Die Margen für Facebook sollen hier bei bis zu 33%

liegen. (vgl. facebookbiz, 2011 S. 1).

Die größten Markenauftritte dürften auch für die höchsten

Anzeigenumsätze stehen: Coca Cola, Disney, Starbucks, MTV, Oreo,

Red Bull, Converse All Stars, Skittles, iTunes und Playstation haben

jeweils zwischen 13,1 und 25,8 Mio Fans. (vgl. wikipedia, 2011 S. 1)


2.2.3. XING

„XING (bis Ende 2006: openBC) ist eine webbasierte Plattform, in der

natürliche Personen vorrangig ihre geschäftlichen (aber auch privaten)

Kontakte zu anderen Personen verwalten können. Es wird vom

gleichnamigen Unternehmen, der XING AG, betrieben.

Die Bezeichnung `XING´ wurde aus Gründen der Internationalisierung

gewählt, da der alte Name OpenBC das englische Kürzel für `v. Chr.´ enthielt.

Der neue Name XING ist zwar ebenfalls mehrdeutig, soll aber zumindest

negative Assoziationen vermeiden. So bedeutet das Wort auf Chinesisch `es

funktioniert´, `es klappt´ (行［行］ xíng). Auf Englisch steht es als

Abkürzung für Crossing, Kreuzung, was als Begegnung von

Geschäftskontakten gesehen werden kann. In einem Interview erklärte der

openBC-Gründer Lars Hinrichs, die Aussprache nicht vorgeben zu wollen. In

offiziellen Firmenvideos wird im Deutschen die Aussprache `XING´ gewählt,

also nicht `Crossing´.

Das System zählt zur sogenannten sozialen Software und ist eines von

mehreren webbasierten sozialen Netzwerken. Kernfunktion ist das

Sichtbarmachen des Kontaktnetzes; beispielsweise kann ein Benutzer

abfragen, über `wie viele Ecken´ – also über welche anderen Mitglieder – er

einen anderen kennt, dabei wird das sogenannte Kleine-Welt-Phänomen

sichtbar. Daneben bietet das System zahlreiche Community-Funktionen wie

Kontaktseite, Suche nach Interessengebieten, Unternehmenswebseiten und

39.004 deutschsprachigen Gruppen. <

XING wurde 2003 unter dem Namen OpenBC (Open Business Club) durch

Lars Hinrichs gegründet und zählte laut Geschäftsbericht Ende des 1. Quartals

2010 gut 9 Millionen Benutzer, davon 700.000 mit Premium Account. 43 % der

Basis-Mitglieder (3,74 Mio.) stammten 2009 aus Deutschland, Österreich und

der Schweiz (DACH), davon geschätzte 3 Mio. allein aus Deutschland.‚

(wikipedia, 2011 S. 1)

Der Geschäftsbericht für das 1. Quartal 2011 weist 4.686.000 MitgliederInnen

in der DACH Region aus, 731.000 MitgliederInnen bezahlen für die

Mitgliedschaft.

(vgl. XING, 2011)

http://de.wikipedia.org/wiki/Nat%C3%BCrliche_Person

http://de.wikipedia.org/wiki/Internationalisierung_%28Softwareentwicklung%29

http://de.wikipedia.org/wiki/Chinesische_Sprachen

http://de.wikipedia.org/wiki/Lars_Hinrichs


http://de.wikipedia.org/wiki/Soziales_Netzwerk_%28Internet%29

http://de.wikipedia.org/wiki/Kleine-Welt-Ph%C3%A4nomen

http://de.wikipedia.org/wiki/Online-Community

http://de.wikipedia.org/wiki/Lars_Hinrichs


Das heißt in der DACH Region bezahlen 15,59% der MitgliederInnen.

Abbildung 13: 'XING' Mitgliederentwicklung; Quelle: (XING, 2011)

Der Großteil der Erlöse kommt durch zahlende Mitglieder, aber durch E-Recruiting werden

bereits 24,3% der Gesamterlöse erwirtschaftet. Dieser Bereich verzeichnet die höchsten

Wachstumsraten.

Abbildung 14: 'XING' Umsatzentwicklung; Quelle: (XING, 2011)

(vgl. XING, 2011 S. 1)


XING - Funktionsweise

“XING‘ ist im Gegensatz zu `Facebook´ nur in einer Basisvariante kostenfrei.

In der Basisversion ist es möglich

Ein eigenes Profil anzulegen

Kontakte zu knüpfen, verwalten, merken und ihnen Nachrichten zu

schicken

Neuigkeiten aus dem Netzwerk zu verfolgen

Gruppen beizutreten und zu gründen

Events zu besuchen und zu organisieren

Die Stichwortsuche mittels Namen, Unternehmen und Interessen

durchzuführen

Zahlreiche wichtige Funktionen, wie

eine Übersicht über die Profilbesucher,

die Möglichkeit Nachrichten an Nicht-Kontakte zu schicken Erweiterte Suchoptionen

sind nur mit der kostenpflichtigen ‚Premium„ Mitgliedschaft verfügbar. Die

Kosten belaufen sich hier auf 5,95 € pro Monat (Stand Juni 2011) bei einer 1

Jahres Premiummitgliedschaft.

Mit einer sogenannten Recruiter Mitgliedschaft, zum Preis von 29,95 € pro Monat

bei einer 1 Jahres Recruiter Mitgliedschaft, lassen sich zusätzlich

High Potentials effizient recherchieren

Kandidaten-Informationen direkt im Suchergebnis scannen

Professionelle Kontaktpflege und –verwaltungstools nutzen

(vgl. XING, 2011)

“XING‘ bietet die Möglichkeit Kontakte

mittels bekannter E-mail Adresse,

Webmailzugang für “Google Mail‘, “Yahoo Mail‘ und “Microsoft

Hotmail‘

oder der Kontaktdateien von “Microsoft Outlook‘ oder “Lotus Notes‘

einfach zur Teilnahme an XING einzuladen.


Darüber hinaus werden Einladungslinks für die E-Mail-Signatur angeboten,

welche man einfach selbst generieren kann.

(vgl. XING, 2011)

XING – Gruppen

Gruppen ermöglichen den TeilnehmerInnen die Möglichkeit MitgliederInnen

zu finden, welche ähnliche berufliche oder fachliche Interessen teilen.

In 53 Offiziellen “XING‘ Branchen-Gruppen, 167 Offiziellen “XING‘ Regional-

Gruppen gibt es starken Zulauf ohne wirkliche Filter für den Beitritt.

Die Anzahl der Gruppen nach Gliederungsbegriffen gibt einen Überblick über

die Strukturierung:

3.478 Branchen, 1.376 Events, 3.086 Firmen, 3.151 Sport und Freizeit, 288

Geographie und Umwelt, 2.361 Gesellschaft und Soziales, 3.447 Hochschulen,

3.695 Internet und Technologie, 2.131 Jobs und Karriere, 1.369 Kunst und

Kultur, 3.049 Regionales, 1.026 Schulen, 2.401 Themen, 3.405 Verbände und

Organisationen, 4.476 Wirtschaft und Märkte, 852 Wissenschaft, 14 XING

Die Gruppenfunktionalitäten gliedern sich vor allem in die sogenannte “Startseite‘,

welche den Gruppeninhalt beschreibt, “Foren‘, welche dem Austausch

innerhalb einer Gruppe dienen und eine Übersicht “Gruppenmitglieder‘, die

die Mitglieder einer Gruppe zeigen.

(vgl. XING, 2011 S. 1)

XING - Jobs und Karriere

Im Bereich “Jobs und Karriere‘ findet man Jobempfehlungen, Nachrichten aus

dem Netzwerk die Möglichkeit zur Job-Schnellsuche, auf Job-Kategorien

zuzugreifen Jobs ausgewählter Unternehmen zu finden. Persönliche Suchprofile

können angelegt und verwaltet werden.

(vgl. XING, 2011 S. 1)


Die alte Version von XING…

Abbildung 15: 'XING' Alte Benutzeroberfläche; Quelle: (XING, 2011)

…wurde am 6.Juni 2011 durch eine vollkommen neue Oberfläche mit intuitiverer

Benutzeroberfläche ersetzt. Das heißt NutzerInnen finden sich einfacher zurecht

und werden mit Symbolen ans Ziel geführt.

Abbildung 16: 'XING' Neue Benutzeroberfläche; Quelle: (XING, 2011)


XING-Sicherheitseinstellungen

Bei “XING‘ gibt es im Bereich “Meine Einstellungen‘ einen Unterpunkt

“Privatsphäre‘. Die BenutzerIn hat hier die Möglichkeit die Einstellungen

“Meine Privatsphäre‘, “Neues aus ihrem Netzwerk‘ und “Externe

Applikationen‘ zu bearbeiten.

Abbildung 17: 'XING' Privatsphäre-Einstellungen; Quelle: (XING, 2011)

Es gibt hier zahlreichen einfache Möglichkeiten die Privatsphäre zu schützen. Die

Erklärungen sind klar und einfach zugänglich. NutzerInnen können damit schnell

entscheiden, welche Informationen sie wem zugänglich machen.


2.2.4. LinkedIn

Bei LinkedIn handelt es sich um den Weltmarktführer im Bereich

berufsbezogener Sozialer Netzwerke. Nach eigenen Angaben betreibt

LinkedIn das größte professionelle Netzwerk im Internet mit mehr als

100 Mio. Mitgliedern in über 200 Staaten. In Europa wird die

Mitgliederanzahl mit 20 Mio. angegeben. In der DACH Region liegt die

Anzahl der Mitglieder nach Eigenangaben bei nur 1 Mio.. LinkedIn hat

damit nur maximal 25% der Mitgliederanzahl von XING in dieser

Region. (vgl. LinkedIn, 2011 S. 1)

Die Funktionalitäten bei LinkedIn sind den Funktionalitäten von XING

sehr ähnlich. LinkedIn hat auch ähnliche Einstellungsmöglichkeiten für

die Privatsphäre.

In der DACH Region wird LinkedIn vor allem von Menschen im

internationalen Kontext außerhalb der DACH Region, zusätzlich zu

XING, verwendet. Seit 2010 greift LinkedIn den XING `Heimmarkt`

massiv an. (vgl. Handelsblatt, 2010 S. 1)

2.3. Enterprise 2.0

Blumauer, Kaltenböck und Koller definieren `Enterprise 2.0` als Synonym

der letzten Jahre für innovative Kommunikations- und Arbeitsabläufe in

Unternehmen. (Blumauer, et al., 2010 S. 11)

Wikipedia verweist vor allem auf den Harvard Professor Andrew P.

McAfee:

„Der Begriff Enterprise 2.0 geht auf einen Artikel des Harvard-Professors

Andrew P. McAfee zurück. In seinem Artikel "Enterprise 2.0: The Dawn

of Emergent Collaboration" beschreibt Andrew McAfee, Professor an der

Harvard Business School, wie Social Software im Unternehmenskontext

eingesetzt werden kann, um die Zusammenarbeit der Mitarbeiter zu

unterstützen (McAfee 2006a). Unter dem Begriff SLATES (deutsch:

Schiefertafeln; SLATES steht für die Abkürzung von Search, Links,

Authoring, Tags, Extensions and Signals – in Anlehnung an die Abkürzung

WIMP) fasst er die Prinzipien, Merkmale und Eigenschaften von Web 2.0-

Werkzeugen zusammen. Er argumentiert, dass das Auffinden von

Informationen (Search) im Internet nachweislich viel besser funktioniert

als in Intranets, weil die Masse der Nutzer durch Links Informationen

http://de.wikipedia.org/w/index.php?title=Andrew_P._McAfee&action=edit&redlink=1

http://de.wikipedia.org/wiki/Harvard_Business_School

http://de.wikipedia.org/wiki/Schreibtafel

http://de.wikipedia.org/wiki/WIMP_(Benutzerschnittstelle)

http://de.wikipedia.org/wiki/Web_2.0


strukturieren und bewerten, die von Suchmaschinen ausgewertet

werden. Durch eine vergleichbare Masse an Strukturen, die von

Mitarbeitern mit Hilfe von einfachen Autoren-Tools (Authoring) und

Verschlagwortung (Tags) erstellt werden, könnten Unternehmen die

Vorteile der Wisdom of Crowds nutzen. In dem Nutzungsdaten für

automatisierte Inhaltsvorschläge (Extensions) verwendet werden, können

thematisch ähnliche Inhalte leichter entdeckt werden (Ńutzer, die diesen

Beitrag spannend fanden, fanden auch...´) und Signale wie RSS-Feeds

(Signals) machen Änderungen verfolgbar.

McAfee verwendet den Begriff für Web-2.0-Technologien zur Erzeugung,

gemeinsamen Nutzung (´sharing´) und Verfeinerung von Informationen,

mit denen Wissensarbeiter in Unternehmen ihre Vorgehensweisen und

Ergebnisse sichtbar machen (McAfee 2006a, S. 23). In der Definition in

(McAfee 2006b) dehnt er den Nutzerkreis auf

unternehmensübergreifende Kommunikation aus:

Ènterprise 2.0 is the use of emergent social software platforms within

companies, or between companies and their partners or customers`–

MCAFEE 2006B

Richter und Koch erweitern den Begriff unter Bezugnahme auf einen

Information-Week-Artikel und die Enterprise-2.0-Konferenz 2007 um die

notwendigen Veränderungen der Unternehmenskultur:

Ènterprise 2.0 bedeutet vielmehr die Konzepte des Web 2.0 und von

Social Software nachzuvollziehen und zu versuchen, diese auf die

Zusammenarbeit in den Unternehmen zu übertragen.`– RICHTER UND

KOCH (2007), S. 16

Buhse und Stamer beschreiben aufgrund von Erfahrungen im eigenen

Unternehmen die notwendigen strategischen Änderungen in Marketing

und Public Relations, die sich aus dem Einsatz von Social Software

ergeben. Sie plädieren für eine ehrlichere Kommunikationskultur, bei der

auch die Außenkommunikation von den Mitarbeitern gemacht wird und

das Management lediglich Themen lanciert und Richtungen vorgibt.

Bisher zentral gesteuerte Bereiche wie Markenführung und Public

Relations müssen in dieser Hinsicht neu überdacht werden.‚

(Wikipedia, 2011)

Blumauer, Kaltenböck und Koller sehen Internet communities bzw.

soziale Netzwerke als die populärsten Anwendungen im Web. Sie sind

integraler Bestandteil jeder Corporate Communication Strategie geworden.

(vgl. Blumauer, et al., 2010 S. 56)

http://de.wikipedia.org/wiki/Die_Weisheit_der_Vielen

http://de.wikipedia.org/wiki/RSS

http://de.wikipedia.org/wiki/Markenf%C3%BChrung

http://de.wikipedia.org/wiki/Public_Relations

http://de.wikipedia.org/wiki/Public_Relations


2.4. B2B - Beziehungsmanagement

B2B ist die Abkürzung für `Business to Business` und beschreibt

Beziehungen zwischen Unternehmen. Beziehungen des Unternehmens

zu Konsumenten engl. `Business to Consumer` werden B2C abgekürzt.

(vgl. Kirchgeorg, Manfred, 2011 S. 1)

Nachfolgend beleuchte ich mit einigen Modellen die Relevanz von

persönlichen Beziehungen im B2B Kontext:

Ein konzeptionelles Modell nach Theron, Terblanche and Boshoff

beschreibt die Qualität der Beziehung im B2B Bereich als Funktion von Vertrauen,

Kommunikation, gemeinsamen Werten und der Attraktivität von Alternativen.

(vgl. Theron & Terblanche & Boshoff, 2008 S. 1000) .

Abbildung 18 Conceptual Model nach Theron, Terblanche, Boshoff 2008; Quelle: (Theron & Terblanche & Boshoff, 2008)

Die Ergebnisse einer empirischen Studie zur Untersuchung der Relevanz der

verschiedenen Faktoren bestätigte für den B2B Bereich die Bedeutung der

Faktoren auf die Qualität der Beziehung zwischen Unternehmen.

In der Studie wurde Vertrauen als Hauptfaktor für die Kundenbeziehungsqualität und

damit als wesentlicher Baustein für erfolgreiches Beziehungsmanagement

herausgearbeitet.

(vgl. Theron & Terblanche & Boshoff, 2008 S. 1005)

Des Weiteren wurde die wachsende Bedeutung elektronischer Medien als

Kommunikationsmittel im B2B bereits 2008 unterstrichen, wenngleich die

persönliche Komponente nicht vernachlässigt werden darf.

(vgl. Theron & Terblanche & Boshoff, 2008 S. 1005)


Ein weiteres konzeptionelles Modell nach Gonzales, Hoffman, Ingram und

LaForge beschreibt das Kundenreaktivierungsmanagement und die Bedeutung für den

Beziehungsverkauf:

Der Prozess der Kundenreaktivierung basierend auf einer entsprechenden

Reaktivierungskultur, Fehleranalyse, Reaktivierungsstrategie, Überwachung,

Bewertung, Feedback soll zu einer entsprechenden Kundenentwicklung und

Verbesserung der finanziellen Situation des jeweiligen Kundengeschäftsfalles

führen. (vgl. Gonzales, et al., 2010 S. 224-225)

Abbildung 19 Conceptual Model nach Gonzales, Hoffman, Ingram und LaForge; Quelle: (Gonzales, et al., 2010)

Im Zuge der darauffolgenden empirischen Untersuchung wird die Bedeutung

einer Reaktivierungskultur, die Analyse von Dienstleistungsfehlern, die

Implementierung einer Reaktivierungsstrategie untermauert.

(vgl. Gonzales, et al., 2010 S. 226-227)

All diese Ansätze bauen auf enge persönliche Beziehungen zwischen MitarbeiterInnen

des verkaufenden und kaufenden Unternehmens.

Dies bestätigt auch eine Studie im Rahmen der Excellence-Barometer-

Forschung hat die `forum!` Marktforschung GmbH in Kooperation mit der

Universität für Publizistik in Mainz die Rationalität von

Entscheidungsprozessen im B2B Bereich untersucht. 300 Top

EntscheiderInnen der Industrie wurden befragt (vgl. Becker, 2011 S. 26) :

Kaufentscheidung werden sehr emotional gefällt. Einige Prämissen zur Gestaltung

eines objektiven Entscheidungsprozesses sind in der Realität käuferseitig nur

sehr schwer zu realisieren:

Die Transparenz der Anbietermärkte lässt sich nicht oder nur mit

unzumutbarem ressourcenaufwand herstellen, eine unsystematische

Vorgehensweise bei der Auswahl neuer Anbieter ist daher effizienter


und erfolgversprechender.

Die eigentliche Verhandlungssituation lässt sich kaum normativ

gestalten und auch kaum kontrollieren.

Die Differenzierung über die Produkte beziehungsweise die Leistung

funktioniert in hoch entwickelten Investitionsgütermärkten nicht mehr.

(vgl. Becker, 2011 S. 27)

Abbildung 20 Aussagen in einer Befragung zum Kaufverhalten von B2B Kunden;

Quelle: (Becker, 2011)

Kunden sind bereit für gute Qualität und besseren Service einen höheren

Preis zu zahlen.

Emotionale Bindung spielt im B2B Geschäft eine entscheidende Rolle. Die

Typologien gemäß dem `forum!` Modell beschreibt die für hohe emotionale

Bindung zugänglichen Kunden als Fans, Sympathisanten oder Gefangene.

Dieser Gruppe gehören nach Einschätzung dieser Studie zumindest 64% der

Befragten an.

(vgl. Becker, 2011 S. 24-28)


Abbildung 21 Verteilung der Kundentypen gemäß `forum!` Modell der Kundentypologien;

Quelle: (Becker, 2011)

Die gegenständliche Studie bestätigt damit dass wichtige Entscheidungen aus dem Bauch

gefällt werden.

(vgl. Becker, 2011 S. 24-28)


3. Forschungsarbeit

Auf Grund beschränkt vorhandener Forschungsarbeiten zu dieser Fragestellung

steht die Sichtung und Bewertung von themenrelevanter Literatur

unterschiedlichster Quellen, mit hoher Relevanz für Unternehmen, im

Mittelpunkt meiner Arbeit.

3.1. Literarische Forschung

3.1.1. „How to avoid Facebook & Twitter Disasters“ (Null, 2009)

Christopher Null stellt in seinem gleichnamigen Artikel die wichtigsten

Tücken bei der Benutzung von sozialen Netzwerken vor:

(vgl. Null, 2009 S. 97-103)

“Oversharing With the boss” (Null, 2009 S. 98)

Problem: Eine Mitarbeiter oder eine Mitarbeiterin ist offiziell krank, aber

auf `Facebook´ dokumentiert sie Aktivitäten die den damit verbundenen

Regelungen widersprechen.

Lösungsvorschlag: Integriert man MitarbeiterInnen, Vorgesetzte oder

KollegInnen in den Freundeskreis bei `Facebook´ so empfiehlt er –– diese

in Gruppen zusammenzufassen und entsprechende Zugriffs

Berechtigungen für diese Gruppen zu vergeben. (vgl. Null, 2009 S. 98)

Auch KundInnen oder GeschäftspartnerInnen sollten nicht alle

persönlichen Details einer Mitarbeiters oder Mitarbeiterin kennen.

“He knows Where You Live” (Null, 2009 S. 99)

Problem: Exfreunde oder Bekannte die man nicht mehr persönlich

Treffen will finden den Wohnort des Accountbesitzer oder der

Accountbesitzerin heraus.

Lösung: Den Zugriff auf persönliche Daten regelt man mittels der

Privatsphäre-Einstellungen. (vgl. Null, 2009 S. 99)

Dasselbe gilt auch für aufdringliche GeschäftspartnerInnen.


“The Stalker Problem” (Null, 2009 S. 100)

Problem: Ein akzeptierter Kontakt hinterlässt nicht akzeptable

Nachrichten an der Pinnwand der Accountinhaberin oder belästigt die

Accountinhaberin.

Lösung: zunächst kann man den Kontakt aus dem eigenen Profil

entfernen. Darüber hinaus besteht die Möglichkeit unerwünschte

Personen zu blockieren bzw. das eigene Profil temporär oder dauerhaft

aus der Suche durch Facebook Mitglieder auszuschließen.

Durch Einstellung der Beschränkung der Auffindbarkeit des eigenen

Profils auf `nur Freunde´ können Stalker ebenfalls ausgeschlossen

werden.

(vgl. Null, 2009 S. 100)

Vertrauliche Inhalte, nicht für die Öffentlichkeit bestimmte Inhalte,

zwischen der Benutzerin und GeschäftspartnerInnen werden unter

Umständen von einer Geschäftspartnerin am Profil der Benutzerin

gepostet.

“Too Many Pieces of Flair” (Null, 2009 S. 100)

Problem: Man akzeptiert zu viele `Geschenke´ oder andere

`Verbindungsanfragen´ von `Facebook´ Applikationen/Anwendungen.

Damit kommt es häufig zu Belästigungen der eigenen Kontakte mit

lästigen und teilweise anstößigen Angeboten.

Lösung: Anklicken des `Schreibgerät´ / Bearbeiten Icons und Anklicken

der Auswahl `Entfernen´. Anwendungen, welche die Anwenderin selbst

installiert hat muss man im Bereich `Anwendungen´ entfernen.

(vgl. Null, 2009 S. 101)

Damit kann es zur Belästigung von GeschäftspartnerInnen kommen.

“Shoulda Been Working” (Null, 2009 S. 101)

Problem: Die Anwenderin verbringt viel Zeit in einer Spielapplikation

von Facebook. Ohne Information postet die Applikation den High Score


im Facebook Profil der Anwenderin. Damit ist die missbräuchliche

Tätigkeit während der Arbeitszeit dokumentiert. Konsequenzen durch

die ArbeitgeberIn sind damit möglich.

Lösung: Deaktivierung der Möglichkeit von Drittanwendungen im Profil

der BenutzerIn zu posten.

(vgl. Null, 2009 S. 101)

Auf KundInnen und GeschäftspartnerInnen wirkt es nicht professionell,

während der Arbeitszeit Spiele zu spielen. Die Ernsthaftigkeit und

Zuverlässigkeit kann hier angezweifelt werden.

“The Tell-Tale Heart” (Null, 2009 S. 101)

Problem: Man ändert den Beziehungsstatus zu einer Person und löst

damit eine missverständliche Information an die eigenen Kontakte aus.

Die EmpängerInnen könnten annehmen man wäre auf Beziehungssuche.

Lösung: Man kann alle Beiträge vom eigenen Profil löschen. Bewegt man

den Cursor über den zu löschenden Eintrag erscheint ein Feld `Remove´.

Nach Betätigung dieses Buttons verschwindet der Eintrag von der

eigenen Pinwand.

(vgl. Null, 2009 S. 101)

Missverständliche, geschäftsschädigende oder unangenehme Beiträge

haben auf der eigenen Pinwand nichts verloren, sofern sie für

GeschäftspartnerInnen zugänglich sind.

“Smile for the Camera” (Null, 2009 S. 101)

Problem: Auf `Facebook´ wird ein Foto veröffentlicht, welches die

NutzerIn nicht gut trifft, bzw. in einer verfänglichen nicht für die breite

Öffentlichkeit bestimmten Art und Weise zeigt.

Lösung: Man kann Fotos, welche von anderen NutzerInnen auf Facebook

veröffentlicht werden und einen selbst abbilden nicht einfach löschen. In

diesem Fall empfiehlt es sich die andere NutzerIn freundlich

aufzufordern dieses Foto zu entfernen.

Eine Veröffentlichung solcher Fotos stellt eine Verletzung ihrer


Persönlichkeitsrechte dar und erfordert ihre ausdrückliche Zustimmung.

Aber man kann den Verweis auf die NutzerIn (`tag´) auf Fotos auf denen

man selbst markiert ist in den Privatsphäre Einstellungen generell

deaktivieren oder beim jeweiligen Foto selbst entfernen.

(vgl. Null, 2009 S. 101-102)

Für GeschäftspartnerInnen können zu persönliche Einblicke ins

Privatleben irritierend bis verstörend wirken.

“You´re Not an Advertisement” (Null, 2009 S. 102)

Problem: Drittanwendungen verwenden den Namen einer NutzerIn als

Werbung in Form von Spam an Kontakte der NutzerIn.

Lösung: Drittanwendungen keinen Zugriff erlauben.

(vgl. Null, 2009 S. 102)

Belästigungen von GeschäftspartnerInnen durch Drittanwendungen

belasten die persönliche Beziehung zu diesen.

“Spam Central” (Null, 2009 S. 102)

Problem: `Scammers´, `Phishers´ and `Spammers´ versenden Nachrichten

an `Facebook´ Freunde. Kriminelle verschaffen sich Zugriff auf Passwort

und `user name´. In Folge versendet man über den so kontrollierten

Account links zu sogenannten phising site´s URL mit der Hoffnung mehr

Accounts übernehmen zu können.

Lösung: Konventionelle Sicherheits Software hilft hier relativ wenig. Die

Empfehlung ist es hier `Gesunden Menschenverstand´ anzuwenden und

sehr sensibel auf ungewöhnliche Nachrichten, links oder Einladungen zu

reagieren.

(vgl. Null, 2009 S. 102)

Die Belästigung von GeschäftspartnerInnen kann von diesen auch als

Belästigung und Nachlässigkeit ausgelegt werden.

“Linking Twitter with Facebook Can be Trouble” (Null, 2009 S. 102)

Problem: Die Verknüpfung von `Twitter´ und `Facebook´ führt dazu,

dass jede auf `Twitter´ gepostete Kleinigkeit auch auf `Facebook´ gepostet

wird. Die Kontakte auf `Facebook´ werden damit in einer für `Facebook´


ungewöhnlichen Frequenz mit Statusmeldungen bombardiert. Das führt

unter Umständen dazu, dass ihre `Facebook´ Nachrichten von Ihren

Kontakten unterdrückt werden.

Lösung: Überdenken Sie eine Verknüpfung von `Facebook´ und `Twitter´

bzw. trennen Sie die beiden Anwendungen.

(vgl. Null, 2009 S. 102)

Aus diesem Artikel lassen sich die folgenden ersten situationsabhängigen

Handlungsempfehlungen für MitarbeiterInnen in sozialen Netzwerken ableiten:

Zusammenfassung von Kontakten auf Facebook nach beruflichen

Gruppen und Vergabe von entsprechenden

Zugriffsberechtigungen für Gruppen.

Sorgfältige Wahl der Privatsphäre-Einstellungen.

Blockieren der Auffindbarkeit des Profils für Suchmaschinen und

Facebook Mitglieder, welche keine Freunde sind.

Kein Akzeptieren oder Bestätigen von Geschenken oder

Einladungen von Anwendungen.

Anwendungen die eigene Kontakte belästigen könnten entfernen.

Deaktivierung der Möglichkeit von Drittanwendungen im Profil

der BenutzerIn zu posten.

Entfernung von geschäftsschädigenden, missverständlichen oder

unangenehmen Einträgen von der eigenen Pinwand.

Blockieren der Möglichkeit der Markierung der NutzerIn auf

Fotos.

Nicht auf verdächtige Nachrichten, `links´ oder Einladungen von

Kontakten reagieren. Es könnte sich um Spam handeln.

Trennung der `Twitter´ und `Facebook´ Accounts, falls die

Frequenz der `Twitter´ Nachrichten die Facebook Kontakte

überfordern könnte.


3.1.2. Facebook, Myspace & Co (Zimmer, 2009)

Das österreichische Institut für angewandte Telekommunikation führte

im Auftrag der Kammer für Arbeiter und Angestellte Wien im Mai 2009

eine Untersuchung von Sozialen Netzwerke durch. Das Konzept stammt

von Daniela Zimmer, die Durchführung erfolgte durch das

Österreichische Institut für angewandte Telekommunikation. Die

gegenständliche Publikation erklärt Soziale Netzwerke und gibt

KonsumentInnen Tipps zur Handhabung.

(vgl.Zimmer, 2009 S. 1).

In Ergänzung zu 3.1.1. empfiehlt die Studie beim Anlegen eines Profiles

in einem sozialen Netzwerk unter der Rubrik `Bevor Sie ein Soziales Netzwerk

anlegen´:

So wenige Daten wie möglich preisgeben

Berufliches und Privates zu trennen, zum Beispiel XING für

Berufliches

Sichere Passwörter zu verwenden, als Beispiel wird die Methode

der Passwortbildung aus ganzen Sätzen empfohlen: `ein sichere

Passwort hat mindestens 8 Zeichen!´ ergibt das Passwort:

`esphm8z´

Unterschiedliche NutzerInnen-Namen und Passwörter in jedem

Netzwerk, die Nutzung unterschiedlicher Passwörter in

unterschiedlichen Netzwerken reduziert bei Missbrauch das

Risiko

Vorsicht bei der Nutzung von sozialen Netzwerken über

öffentliche Netze, neben XING verwenden nur wenige soziale

Netzwerke entsprechende Verschlüsselungen

Nutzungsbestimmungen (AGBs) lesen

Virenschutzprogramme verwenden und regelmäßig aktualisieren

(vgl. Zimmer, 2009 S. 16-17)


Unter dem Titel `Urheberrechte berücksichtigen´ wird auf die Bestimmungen

des Urheberrechtes hingewiesen, insbesondere bei der Veröffentlichung

von Musik, Fotos, Texten oder Filmen hingewiesen. (vgl. Zimmer, 2009 S.

25)

Diesen Aspekt werde ich im folgenden Abschnitt näher beleuchten.

3.1.3. „Gesamte Rechtsvorschrift für Urheberrechtsgesetz“ (Bundesgesetz, 2011)

Gemäß gegenständlichem Bundesgesetz wird der Begriff des Werkes

definiert und auch auf `Neue´ und `Alte´ Medien eingegangen

Werke der Literatur und der Kunst „<eigentümliche Schöpfungen auf

den Gebieten der Literatur, der Tonkunst, der bildenden Künste

und der Filmkunst.‚

Werke der Literatur „<einschließlich Computerprogrammen‚

Werke der bildenden Künste „<die Werke der Lichtbildkunst

(Lichtbildwerke)‚

Werke der Filmkunst

Bearbeitungen

Sammelwerke

Freie Werke

Veröffentlichte Werke „<sobald es mit Einwilligung des Berechtigten

der Öffentlichkeit zugänglich gemacht worden ist.‚

Erschienene Werke

(vgl. Bundesgesetz, 2011 S. 1-3)

Gemäß §10(1) ist der Urheber eines Werkes, wer es geschaffen hat.

Im Zuge des Gesetzes wird vom Urheberrecht zwischen folgenden

Rechten unterschieden:

Verwertungsrechte

Vervielfältigungsrecht

Verbreitungsrecht

Vermietung und Verleihen

Folgerecht

Senderecht

Vortrags-, Aufführungs- und Vorführungsrecht

Zurverfügungstellungsrecht


Ein Zuwiderhandeln räumt dem Urheberrechtsinhaber bestimmte Rechte

zur Durchsetzung seiner Ansprüche ein

Unterlassungsanspruch

Beseitigungsanspruch

Urteilsveröffentlichung

Anspruch auf angemessenes Entgelt

Anspruch auf Schadenersatz und Herausgabe des Gewinnes

Anspruch auf Rechnungslegung

Anspruch auf Auskunft

Einstweilige Verfügungen

Haftung des Inhabers eines Unternehmens

„§88.(1) Wird der einen Anspruch auf angemessenes Entgelt (§86)

begründende Eingriff im Betrieb eines Unternehmens von einem

Bediensteten oder Beauftragten begangen, so trifft die Pflicht zur

Zahlung des Entgeltes den Inhaber des Unternehmens.

(2) Hat ein Bediensteter oder Beauftragter im Betrieb eines

Unternehmens diesem Gesetz zuwidergehandelt, so haftet,

unbeschadet einer allfälligen Ersatzpflicht dieser Personen, der

Inhaber des Unternehmens für den Ersatz des dadurch

verursachten Schadens (§87, Absatz 1 bis 3), wenn ihm die

Zuwiderhandlung bekannt war oder bekannt sein musste. Auch

trifft ihn in einem solchen Falle die Pflicht zur Herausgabe des

Gewinnes nach §87, Absatz 4.‚

(vgl. Bundesgesetz, 2011 S. 33)

Soziale Netzwerke bergen zahlreiche Möglichkeiten zur

Urheberrechtsverletzung:

D.h. Unternehmen müssen geeignete Vorkehrungen treffen um -

durch die Handlungen ihrer MitarbeiterInnen in Sozialen

Netzwerken - für keine Urheberrechtsverletzungen haftbar

gemacht werden können.

Dafür muss die Kenntnis der Grundlagen des Urheberrechtes bei

Mitarbeiterinnen sichergestellt werden


3.1.4. „Safer Surfing“ (saferinternet.at, 2011) und „Internet sicher nutzen“ (ispa, 2011)

Tipps & Tricks zum sicheren Umgang mit dem Internet, entstand in

Kooperation zwischen `ÖIAT – Österreichisches Institut für angewandte

Telekommunikation´ und ÌSPA – Internet Service Providers Austria

Verband der österreichischen Internet-Anbieter finanziert durch Mitteln

des `bmwfi - Bundesministerium für Wirtschaft, Familie und Jugend´ und

der Èuropäischen Union´.

(vgl. saferinternet.at, 2011 S. 1-3)

Im Kapitel „So surfst Du sicher‚ gibt der Ratgeber zunächst 10

allgemeine Tipps zum Surfen im Internet:

1. Auch im Web gibt es Regeln

2. Schütze deine Privatsphäre

3. Nicht alles ist wahr

4. Urheberrechte beachten

5. Das Recht am eigenen Bild

6. Quellenangaben nicht vergessen

7. Umsonst gibt´s gar nichts

8. Online Freunde niemals alleine Treffen

9. Computer schützen

10. Wenn Dir etwas komisch vorkommt sag es!


Zusammenfassend kann man daraus den folgenden Schluss ableiten und

gemäß der Definition zu Punkt 1 zitieren:

„Alles, was man im `richtigen´ Leben nicht tun sollte oder nicht tun darf,

soll man auch im Internet bleiben lassen‚ (saferinternet.at, 2011 S. 6)

Im Internet bewegt man sich in einem neuen Forum, wie in einem

fremden Land. In bestehenden Sozialen Netzwerken gibt es oft eigene

Benimmregeln. (vgl. saferinternet.at, 2011 S. 10)

Im `richtigen´ Leben nennt man die Fähigkeit mit fremden Kulturen

umzugehen vereinfacht ìnterkulturelle Kompetenz´, dieselbe

Fähigkeiten sind auch beim Eintritt in fremden Foren, Communities oder

Netzwerken notwendig.


Dazu ist es hilfreich sich mit dem Kommunikationswissenschaftler

Blumer und dessen 3 Prämissen in Zusammenhang mit dem

„Symbolischen Interaktionismus‚ (vgl. Burkart, 2002 S. 432)

auseinanderzusetzen:

„1. Menschen handeln den `Dingen´ ihrer Umwelt (Personen,

Gegenständen, Zuständen, Ereignissen, Ideen <etc.) gegenüber auf der

Grundlage der Bedeutungen, welche diese Dinge für sie besitzen,

2. Die Bedeutung dieser `Dinge´ entsteht in bzw. wird abgeleitet aus den

sozialen Interaktionen, die Menschen miteinander eingehen.

3. Diese Bedeutungen werden dann in einem interpretativen Prozess im

Zuge der Auseinandersetzung mit diesen `Dingen´ benützt und

gegebenenfalls auch wieder verändert‚ (Blumer, 1973 S. 80-146)

Aktivitäten in fremden Netzwerken bedingen damit die Fähigkeit Communities und

ihren symbolischen Interaktionismus zunächst zu verstehen und in Folge anzuwenden.

Oft beschreiben `community-guidelines´ oder die sogenannte

`Netiquette´ , die Kurzform für Network Etiquette, die wichtigsten

Spielregeln. (vgl. saferinternet.at, 2011 S. 10). Ein Verstoß gegen diese

Spielregel kann Reputationsschäden für das Unternehmen verursachen.

MitarbeiterInnen können sich speziell in Communities schnell strafbar

machen. Einige Delikte seien hier explizit aufgeführt:

Beleidigung

Üble Nachrede

Verleumdung


Besonders werden 3 Punkte für den Umgang mit persönlichen Daten

hervorgehoben:

Das Internet vergisst nicht

Der erste Eindruck zählt

Ein Paradies für Datensammler

(vgl. saferinternet.at, 2011 S. 37)

Haben MitarbeiterInnen sogenannte `Location Based Services´ oder

`Check-In Services´ aktiviert ist der Aufenthaltsort für z.B. Facebook

Kontakte sichtbar. (vgl. ispa, 2011 S. 38). Ist die Mitarbeiterin mit


GeschäftspartnerInnen vernetzt so sehen diese den Aufenthaltsort und

die Aktivitäten der Mitarbeiterin.

Dies kann sich für den Unternehmenserfolg negativ auswirken. Ich zitiere

hier Schranner „Beschaffen Sie sich die wichtigen Informationen <

Professionelle Verhandler bereiten sich intensiv auf eine Verhandlung

vor. Wissen ist Macht. < Bereits vor der Verhandlung bieten sich gute

Möglichkeiten zur Informationsgewinnung: Internet < MitarbeiterInnen

befragen‚ (Schranner, 2002 S. 32-33)

Er fordert auch „Lassen Sie Ihren Verhandlungspartner beobachten‚

(Schranner, 2002 S. 34)

Die Nutzung von `Location based Services´ erleichtert der

Geschäftsparterin die Verhandlungsvorbereitung, das Social Engineering

und die geeignete `Rapport-´ oder engl. `pacing-´ Taktik.

Unternehmen müssen sicher stellen dass MitarbeiterInnen

professionell Kommunizieren (online und offline)

die rechtlichen Rahmenbedingungen für die Begehung der Delikte

Beleidigung, üble Nachrede und Verleumdung kennen.

die Konsequenzen der Weitergabe vertraulicher Geschäftsdaten

oder von Geschäftsgeheimnissen kennen

symbolischen Interaktionismus in den verschieden relevanten

Netzwerken verstehen und anwenden

verhandlungsrelevante und datenschutzrelevante Informationen

kennen und schützen

die Nutzung von `location based –´ oder `Check-In´ Services

unterbinden solange es keine risikoevaluierte

Unternehmensstrategie diesbezüglich gibt


3.1.5. Arbeitsrecht für die betriebliche Praxis (Mayrhofer, 2011)

Um die allgemeinen Pflichten und Verantwortlichkeiten der Mitarbeiterin

eines Unternehmens auch bei der Nutzung von Sozialen Netzwerken

anzuwenden, müssen wir diese näher untersuchen:

Die wichtigsten Rechtsgrundlagen für Arbeitsverhältnisse in Österreich

sind

Angestelltengesetz (wenn Angestellter) und sonstige

arbeitsrechtliche Vorschriften

Kollektivvertrag

Betriebsvereinbarung

Einzelvereinbarungen

§§1151-1164 ABGB (Allgemeine Bürgerliche Gesetzbuch)

(vgl. Mayrhofer, 2011 S. 33)

Darüber hinaus ist das seit 2004 gültige GIBG (`Gleichbehandlungs-

gesetz´) zu berücksichtigen. (vgl. Mayrhofer, 2011 S. 51).

Durch die Aktivitäten von MitarbeiterInnen in Soziale Netzwerken kann

es zu „Allgemeinen Belästigungen und sexuellen Belästigungen‚ (Mayrhofer,

2011 S. 53) durch den Arbeitgeber oder Dritte kommen. In Folge kann

dies zu Schadenersatzansprüchen oder Reputationsschäden für das

Unternehmen führen.

ArbeitnehmerInnen sind verpflichtet, sobald die entsprechenden

Rechtsgrundlagen eingehalten werden, arbeitsbezogene Weisungen des

Arbeitgebers zu befolgen. Eine beharrliche Weigerung der

ArbeitnehmerInnen zur Befolgung dieser Anordnung oder Weisung kann

einen Entlassungsgrund darstellen. (vgl. Mayrhofer, 2011 S. 57-58)

Damit erhalten Social Media Richtlinien als Weisung oder Anordnung eine

entsprechende Rechtsbasis.

Die Arbeitnehmerin ist zu Verschwiegenheit von Geschäfts- und

Betriebsgeheimnissen verpflichtet. Eine Verletzung dieser Pflicht kann einen

Entlassungsgrund darstellen. (vgl. Mayrhofer, 2011 S. 59)


Entlassungsgründe für angestellte MitarbeiterInnen können sich durch

Aktivitäten in Sozialen Netzwerken darüber hinaus ergeben, dass die

Mitarbeiterin

ohne rechtmäßigen Hinderungsgrund durch längere Zeit die

Arbeitsleistung unterlässt oder

sich gerechtfertigten Anordnungen des Arbeitgebers nicht fügt oder

versucht, andere MitarbeiterInnen zum Ungehorsam gegen den

Arbeitgeber zu verleiten

Tätlichkeiten, Verletzungen der Sittlichkeit oder erhebliche Ehrverletzungen

gegen den Arbeitgeber, dessen Stellvertreter, deren Angehörige

oder andere MitarbeiterInnen desselben Betriebes begeht.


Umgekehrt können sich aus Aktivitäten von anderen MitarbeiterInnen

oder des Arbeitgebers im Sozialen Netzwerk Gründe für einen berechtigten

vorzeitigen Austritt einer Mitarbeiterin ergeben:

Wenn sie ihre Arbeit nicht ohne Schaden für Gesundheit und Sittlichkeit

fortsetzen kann,

der Arbeitgeber nicht den ihm obliegenden Verpflichtungen zum

Schutz des Lebens, der Gesundheit oder der Sittlichkeit nachkommt

Oder der Arbeitgeber sich Tätlichkeiten, Verletzungen der

Sittlichkeit oder erheblicher Ehrverletzungen gegenüber der

Mitarbeiterin oder deren Angehörige zu Schulde kommen lässt.


Diesbezügliche Entscheidungen und Vereinbarungen fallen auch in das

Mitwirkungsrecht des Betriebsrates. (vgl. Mayrhofer, 2011 S. 318)

Damit ergeben sich folgende Handlungsfelder:

Sicherstellung und Aufklärung der MitarbeiterInnen über die

Rechtsgrundlagen und die daraus resultierenden Pflichten

Erarbeitung und Vereinbarung einer Social Media Richtlinie als

Anordnung oder Weisung

Geeignete Belehrung neueintretender MitarbeiterInnen

Einbeziehung des Betriebsrates

Überwachung und Management der Einhaltung von Social Media

Richtlinien in der betrieblichen Praxis


3.1.6. Building A World-Class Compliance Program (Biegelman, 2008)

Darüber hinaus ergeben sich aus Compliance und Ethik Programmen

weitere Verpflichtungen. Diese Verpflichtungen kann sich ein

Unternehmen mittels eines `CSR´ (Corporate Social Responsibility)

Programmes selbst auferlegen oder bekommt es von regulatorischer

Seite auferlegt. Beispiele dafür sind zum Beispiel in den Vereinigten

Staaten die SEC, DOI, Federal Sentencing Guidelines, The McNulty

Memo, Criminal and civil prosecutions. (vgl. Biegelman, 2008 S. 14)

Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008)

Daraus ergeben sich für manche Unternehmen spezifische

Zusatzerfordernisse:

Berücksichtigung von regulatorischen Erfordernissen für die

Veröffentlichung von Unternehmensinformationen in börsennotierten

oder selbstverpflichteten Unternehmen bei der Erstellung von Social

Media Richtlinien.


3.1.7. Unsere Kommunikation der Zukunft (Scoble, et al., 2007)

Der Verfasser zitiert zu Beginn des Kapitels `Wie man gemobbt wird´

Philip Kotler: „Gutes Marketing beruht teilweise auf dem Befolgen der

Regeln. Großartiges Marketing beruht häufig auf dem Bruch mit den

Regeln.‚ (Scoble, et al., 2007 S. 257)

Um jedoch Irritationen zu vermeiden empfiehlt er

Treffen Sie keine Aussagen, die nicht zum PR Image passen.

Lassen Sie keine finanziellen oder anderen vertraulichen Informationen

durchsickern

Stören Sie nicht den Arbeitsfrieden, indem Sie Kollegen und Vorgesetzte

verärgern

Veröffentlichen Sie vorab keine Neuigkeiten, das bedeutet unerwartete

Mehrarbeit für das PR-Team

Waschen Sie keine schmutzige Wäsche

Schaffen Sie keine rechtlichen Verpflichtungen

Beschädigen Sie nicht das Verhältnis Ihres Unternehmens zu Partnern,

Wettbewerbern oder anderen Instanzen, die nachhaltige Folgen für ihr

Unternehmen haben könnten.

(vgl. Scoble, et al., 2007 S. 259)

Sollten diese Verhaltensgrundsätze nicht bereits Bestandteil des

`Unternehmensleitbildes´ oder des `Code of Conduct´ sein, so lassen

sich diese auch in die Social Media Richtlinien integrieren.

Daraus empfiehlt sich die Integration von kooperationsfokussierten

Kommunikationsrichtlinien und Handlungsbefugnissen in die Social

Media Richtlinien.


3.1.8. Gefahren durch Wirtschafts- und Industriespionage für die österreichische

Wirtschaft (BMI, 2010)

Das BMI (Bundesministerium für Inneres) hat in Kooperation mit der FH

Campus Wien und Unterstützung der WKO (Wirtschaftskammer

Österreich) und IV (Industriellenvereinigung) eine Studie zur

Bedrohunglage in österreichischen Unternehmen durchgeführt:

31% der befragten österreichischen Unternehmen geben an bereits Opfer von

Wirtschafts- und Industriespionage geworden zu sein. (vgl. BMI, 2010 S. 4).

Die Zahlen der Studie zeigen, dass das größte Risiko im Bereich Wirtschafts-

und Industriespionage von den eigenen MitarbeiterInnen ausgeht. (vgl. BMI, 2010

S. 8)

„Social Engineering is a methodology that allows an attacker to bypass

technical controls by attacking the human element in an organization.

There are many techniques commonly used in social engineering

including but not limited to Trojan and phishing email messages,

impersonation, persuasion, bribery, shoulder surfing, and dumpster

diving. Hackers rely on social engineering attacks to bypass technical

controls by focusing on the human factors. Social engineers often exploit

the natural tendency people have toward trusting others who seem

likeable or credible, deferring to authority or need to acquiesce to social

conformity.‛ (Applegate, 2009 S. 40)

Schulung der MitarbeiterInnen auf das Erkennen und Handeln bei Social

Engineering Attacken.


3.1.9. Infoblatt Elektronische Abwehr (Abwehramt, 2006)

Das Abwehramt des Bundesministeriums für Landesverteidigung erklärt

das Entstehen einer Gefahr/Bedrohung durch Menschen aus folgenden

Gründen:

Fehlendes Bewusstsein

Unkenntnis

Nachlässigkeit

Bewusste Schädigung durch unehrliche oder verärgerte

MitarbeiterInnen

Spionage

(vgl. Abwehramt, 2006 S. 5)

Als Angreifer werden

Staatliche Nachrichtendienste

Konfliktparteien

Wirtschaftsunternehmen

Organisierte Kriminalität

Staatsgefährdende Organisationen

Private Informationsdienste oder

Detektive und Medienvertreter

genannt. (vgl. Abwehramt, 2006 S. 12)

Dieses Bedrohungsbild lässt sich durchaus auch auf die Privatwirtschaft

anwenden (siehe 2.1.).

Unternehmen in sensiblen Industrien mit hoher Relevanz für Angreifer

sollten individuelle Corporate Security bzw. Informationssicherheits-

Risk- Assessments durchführen bevor Social Media Plattformen durch

MitarbeiterInnen benutzt werden dürfen.


3.1.10. Sophos Security report 2011 (Sophos, 2011)

‚By preying on our curiosity, cybercriminals are able to use psychological

traps to profit from unsuspecting users of technology‛ (Sophos, 2011 S. 2)

Im Kapitel Ìdentifying the threats´ werden aktuelle Bedrohungen

beschrieben:

Ein großes Risiko stellt derzeit `Fake anti-virus software´dar. Vgl. (Sophos,

2011 S. 5) Andere Angreifer nutzen Ìnternet marketing techniques´ , welche

von der Industrie zur Optimierung der Suchmaschinenergebnisse

verwendet werden (SEO). (vgl. Sophos, 2011 S. 6)

Im Bereich `Social engineering techniques on social networks´ werden

verschieden aktuelle Trends beschrieben wie zum Beispiel `clickjacking´

auch ÙI redressing´ genannt. Unsichtbare layer überlagern sichtbare

Informationen und holen sich damit den `click´ ab.

Hier wird das Standardarsenal der Social Engineering Techniken

verwendet: Kompromittierende Bilder von Stars, wichtige

Nachrichtenmeldungen, Unterhaltungsevents, Geschichten über

Selbstmorde, Haiattacken, usw. (vgl. Sophos, 2011 S. 7)

Eine abgewandelte Form von `clickjacking´ ist die auf Facebook

verwendete Form das sogenannte `likejacking´. Dabei wird die like

Funktion von Facebook genutzt.

Darüber hinaus hat der `Survey scam´ hohe Bedeutung. Bei dieser Form des

Angriffes erlaubt die Benutzerin – aus Interesse an einer Drittanwendung

- den Zugriff auf die persönlichen Daten. In Folge versendet der

Angreifer Mails an die Kontakte der BenutzerIn. Durch sogenannte

Àffiliate Marketing Systeme´ verdient der Angreifer Geld und die

Kontakte der BenutzerIn werden belästigt. (vgl. Sophos, 2011 S. 8)

Sophos hebt einige Punkte in einem 10 Punkte Ratgeber hervor:

Sophos appelliert in diesem Ratgeber an die Erfahrung und den Verstand der

Benutzerin bei der Bewertung von Informationen:

Prüfe auf Wahrscheinlichkeit das etwas wahr ist

Wie wahrscheinlich ist das nur ich der Empfänger dieser

Nachricht bin?


Was schön und attraktiv ist nicht zwingend wahr.

Sei geduldig. Viele Benutzerinnen klicken viel zu schnell auf ein

interessantes link.

Bevor die Identität des Gegenübers nicht klar ist darf man

keinesfalls persönlichen Daten oder Firmeninformationen

übermitteln

Mittels email dürfen keine persönlichen Daten oder Firmendaten

übermittelt werden. Solche Anforderungen von AnbieterInnen

sind höchst verdächtig.

Falls man nicht sicher ist ob ein email vom richtigen Absender

kommt sollte man unbedingt die Richtigkeit durch direkte

Kontaktaufnahme überprüfen. Die Kontaktinformationen des

Mails dürfen dafür nicht herangezogen werden. Man muss sich

die Kontaktinformationen selbst beschaffen.

Überprüfen Sie doppelt die URLs von Webseiten die Sie besuchen,

einige `phising websites´ sehen dem Original täuschend ähnlich

aber unterscheiden sich in einem kleinen Detail in der URL.

Wenn man der Sicherheit einer Website nicht vertraut, sollte man

an diese Website keine Informationen übermitteln.

Seien Sie misstrauisch bei unerwünschten Telefonanrufen oder

Emails in denen Sie nach Informationen über MitarbeiterInnen

gefragt werden.

(vgl. Sophos, 2011 S. 8)

Aber auch klassische Sicherheitsprobleme, wie Passwörter spielen eine

große Rolle:

„Despite the increasing sophistication and availability of alternatives,

simple passwords remain the most common form of user authentication.

Many online sites and services continue to rely on passwords alone to

prove that the person interacting with them is who they claim to be.

Weaknesses in this approach represent a serious hole in security. < Far

too many people use simple and easily-guessed passwords like `123456´,

`password´ and `qwerty´ ‚ (Sophos, 2011 S. 14-15)

Eine der großen Herausforderungen der nächsten Jahre liegt laut Sophos

beim Mobilen Endgerät und Smartphone:

„According to Gartner analysts, `one in six people will have access to a

high-tech mobile device by the end of 2010´. In the last few years, we’ve


witnessed a radical change in the way we access and use the Internet. The

rapid upswing in sophistication of mobile technology resulted in a swift

change in the way we provide mobile content and interact with it.

However, this change brings with it a wealth of new problems for

security. In our new, always-connected age, maintaining the integrity and

privacy of networks, business data and personal information is

increasingly important and difficult.‛ (Sophos, 2011 S. 16)

`Facebook´,` XING´ und `LinkedIn´ bieten sowohl `iPhone´ als auch

`Android´ Apps (Applikationen) an. Damit werden von vielen

BenutzerInnen sämtliche Kontakte in den drei Netzwerken am

Mobiltelefon miteinander verlinkt und abgespeichert.

‚Facebook, by far the largest social networking system and the most

targeted by cybercriminals, has a major problem in the form of its app

system. Any user can create an application, with a wide range of powers

to interact with data stored on user pages and cross-site messaging

systems, and these applications, like survey scams, can then be installed

and run on any users’ page.‛ (Sophos, 2011 S. 23)

Abbildung 23 Facebook app verification demand and privacy concerns; Quelle: (Sophos, 2011)

Sophos untermauert die Unsicherheit von Applikationen in `Facebook´ im

Oktober 2010 mit einer Umfrage: Auf die Frage ob Facebook dem Beispiel

von Apple folgen soll und nur verifizierte Applikationen den Zutritt

gewähren soll antworten über 95% mit ja. (vgl. Sophos, 2011 S. 46)

Die Wichtigkeit der Privatsphäreeinstellungen bei Facebook wurde in der

Umfrage mittels der Frage `Do you think you will quit Facebook over


privacy concerns´ von 76% mit `das habe ich bereits´, `wahrscheinlich

deswegen´ oder `möglicherweise´ beantwortet. (vgl. Sophos, 2011 S. 46)

„There’s still a long way to go. Too many people are too willing share

anything they can think of on their social networking pages, with no

thought of the possible consequences. And many people unthinkingly

click on an email attachment or link because it comes in from a friend or

colleague’s email address.

We need to balance caution and sensible precautions with usability. Users

need to be able to trust that online purchases and other payments will be

safe and secure, that their banks will look after their money and that their

purchases will reach them. Without this trust, we would be afraid to

communicate or conduct any transaction online. Yet, as Ben Franklin’s

old adage says, `An ounce of prevention is worth a pound of cure.´‛

(Sophos, 2011 S. 46)

Die Sensibilisierung und Ausbildung der BenutzerInnen von Sozialen Netzwerken

reduziert demnach die Kosten für die Abwehr von Angriffen massiv.

„the bad guys are focusing more and more on social engineering tricks and social sites

to find and exploit new victims‛ (Sophos, 2011 S. 48)

Ergänzen und präzisieren wir auf Basis der Erkenntnisse des Sophos

Reports:

Vermittlung und Überprüfung des Problembewusstseins und Wissens

der MitarbeiterInnen in Bezug auf

- die aktuellen Bedrohungen in Sozialen Netzwerken

- sicheres Passwortmanagement im Bereich Sozialer Medien

- Sicherheitsbedrohungen durch die Nutzungen der Android und

iPhone Apps auf Mobilen Endgeräten

- Social Engineering Fallen

Neu auftauchende Sicherheitsrisiken durch Mobile Endgeräte, Social

Media Applikationen und Privatsphäre Einstellungen müssen frühzeitig

erkannt laufend bewertet werden


3.1.11. Implementing Solutions to Social Media´s Security Risks (Security Directors Report,

2010)

Die Gliederung einer Social Media Policy könnte sich wie folgt gliedern:

‚personal use in the workplace (whether it's allowed, what's

appropriate, and nondisclosure of business-related information);

personal use outside the workplace (posting of business-related

information, disclaimers if identifying employer, dangers from

posting too much personal info);

and business use (if it's allowed, approval process for using it, scope

of information that can be discussed, and disallowed activities, like

installation of applications).‛ (Security Directors Report, 2010 S. 6)

Die Unterscheidung zwischen persönlicher Nutzung am Arbeitsplatz,

persönliche Nutzung außerhalb des Arbeitsplatzes und beruflicher

Nutzung hilft bei der differenzierten Betrachtung.

3.1.12. Cisco 2010 Annual Security Report (Cisco, 2010)

Im September 2010 wurden weltweit spam emails von LinkedIn

versandt, welche gefälschte Erinnerungsnachrichten enthielten. Wenn die

Benutzerin die angegebenen `links´ anklickte installierte man eine `Zeus´

Datendiebstahls Software die auf persönliche Bankinformationen

zugreift. Am Tag des Versandes dieser SPAM Email kam es zum dahin

bisher größten Versand von SPAM weltweit. 24% des weltweiten SPAMs

betrafen die gefälschte LinkedIn Nachricht. (vgl. Cisco, 2010 S. 15)

Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010)


Auch Cisco veröffentlichte 2010 Tipps zur Vermeidung von Social

Engineering Angriffen. „Die 7 tödlichen Schwächen‚:

Sex Appeal (Sexuelle Anziehungskraft; ‚<masquerading as an

attractive men or women‛)

Greed (Gier; ‚<too good to be true‛)

Vanity (Eitelkeit; ‚<the victim has been chosen for a special offer‛)

Trust (Vertrauen; <siehe LinkedIn Email)

Sloth (Faulheit; ‚<its easy to click on a link, instead of calling the

bank‛)

Compassion (Mitgefühl; ‚<somebody says he is stranded

somewhere and needs money‛)

Urgency (Dringlichkeit; ‚<act now < time is running out‛)

(vgl. Cisco, 2010 S. 19)

Die Sensibilisierung für die Problematik Social Engineering sollte

möglichst eindrucksvoll erfolgen. Cisco beschreibt die erfolgreiche

`public awarness´ Kampagne der National Cyber Security Alliance:

`Stop.Think.Connect´.

Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011)

Auch geschäftliche Netzwerke wie XING oder LinkedIn können

Opfer von Angriffen werden.

Emotionen sind die Grundlagen für Social Engineering Angriffe.

Emotional sollte auch die Sensibilisierung der MitarbeiterInnen

sein.


3.1.13. Industriespionage 2.0 – Soziale Netzwerke und Ihre Auswirkungen auf die

Firmensicherheit (Poller, 2008)

Das Fraunhofer Institut für Sichere Informationstechnologie (SIT) fasst in

diesem Bericht eine Studie im Zeitraum März bis August 2008

zusammen.

Ergänzend zu dem bisherigen Ergebnisse findet sich hier eine

interessante Zusammenfassung zu den Möglichkeiten der Einflussnahme

durch Arbeitgeber.

(vgl. Poller, 2008 S. 12)

Diese Fragestellung hat auch heute noch ihre Berechtigung bei der

Definition von Social Media Richtlinien.

Im Rahmen eines Social Media Richtlinie sollte definiert werden,

welche firmenbezogenen Daten dürfen eingegeben werden?

welche Zugriffskontrollen sind für bestimmte Daten zu

konfigurieren? (geschlossene Gruppen)

welche Daten dürfen aus der Plattform empfangen werden?

(Beschränkungen möglich soweit Dienstrechner oder Firmen

Smartphone), Bsp. Synchronisierung von Outlook mit XING oder

LinkedIn

welche dienstlichen Vorgänge dürfen über die Plattform

abgewickelt werden?

Plattformspezifische Einschränkungen?

Problem der Authentizität von Kommunikations- und

InteraktionspartnerInnen?

(vgl. Poller, 2008)


3.1.14. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the

Securities World (Haid, 2010)

In ihrem Artikel beschreibt Amy E. Haid besondere Herausforderungen

bei der Nutzung von Social Media unter Berücksichtigung der FINRA

(Financial Industry Regulatory Authority).

Mitgliedsfirmen müssen gemäß der FINRA Regel 07-59 die elektronische

Kommunikation von Mitgliedsfirmen überprüfen und überwachen.

Social Networking Seiten wie `Facebook´ werden seitens FINRA als

statisch und interaktiv klassifiziert.

Die Überwachung von statischen Inhalten folgt klaren Regeln

(Begutachtung vor Veröffentlichung und Speicherung bei FINRA<).

Bei dynamischen interaktiven Inhalten wie `Facebook´, `LinkedIn´ und

`Twitter´ ist es unverhältnismäßig komplexer sich diesen klaren Regeln

anzupassen.

(vgl. Haid, 2010 S. 1-2)

Deshalb gibt FINRA spezifische Empfehlungen für die Finanzwirtschaft:

‚If brokers and advisers venture to provide recommendations and advice

to customers via social media tools, they should exercise extreme caution

to:

(1) Adequately obtain complete customer information;

(2) Dispense recommendations and advice to that customer alone (if

possible, attempting to prevent it from being unintentionally shared with

additional persons via the broker’s or adviser’s homepage and privacy

settings);

(3) Include all required disclosures; and

(4) Fully comply with requirements to document and retain all

information relevant to the communications.‛ (Haid, 2010 S. 4)

Eine Aufzählung der wichtigsten Inhalte einer Social Network Guideline

für die Finanzwirtschaft ist sehr stark rechtlich geprägt:

Brand use compliance;

Intellectual property;

Privacy;

Anti-money laundering;


Corporate disclosures;

Jurisdictional limitations for different licenses;

Prior approval for posts;

Use of approved templates or „canned‟ communications;

Limiting or prohibiting investment related communication;

Disclosing site use to supervisor/compliance;

Prohibiting use for securities-related purposes; and

Training requirements for social media users.

(vgl. Haid, 2010 S. 6)

Daraus ergibt sich:

Informationspflichten gemäß Konsumentenschutzgesetz,

Finanzmarktgesetzen oder andere Beratungsverpflichtungen müssen

durch geeignete Dokumentation auch in Sozialen Netzwerken

sichergestellt werden.

Die Einhaltung von branchenspezifische Gesetzen und Richtlinien muss

in den Social Media Richtlinien sorgfältig und rechtsverbindlich

berücksichtigt werden.

3.1.15. 10 THINGS you should know now about…. SOCIAL MEDIA SECURITY (Reisinger,

2009)

Don Reisinger bringt es auf den Punkt

‚UNVEILED THREATS - The threat of outbreaks coming from social

networks is real. Without some sort of corporate policy and safeguards in

place, sensitive data can leak out through social networks.‛ (Reisinger,

2009 S. 1)

Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen sind

bei der Nutzung von Sozialen Netzwerken notwendig um den Verlust

sensibler Daten zu verhindern.


3.1.16. Informationstechnologie – Sicherheitstechnik ÖNORM ISO/IEC ISO 27001 (ON

Österreichisches Normungsinstitut, 2008)

„Diese Internationale Norm wurde entwickelt, um ein Modell für die

Einrichtung, die Umsetzung, den Betrieb, die Überwachung, die

Überprüfung, die Instandhaltung und die Verbesserung eines

Informationssicherheits-Managementsystems (ISMS) bereitzustellen. Die

Einführung eines ISMS sollte eine strategische Entscheidung

für eine Organisation sein. Die Gestaltung und Umsetzung eines ISMS

hängen von den Bedürfnissen und Zielen, Sicherheitsanforderungen,

eingesetzten Verfahren sowie Größe und Struktur der Organisation ab.

Erwartungsgemäß ändern sich diese Faktoren und die sie

unterstützenden Systeme im Laufe der Zeit. Es wird daher angenommen,

dass die Umsetzung des ISMS den Bedürfnissen der Organisation

angepasst wird, zB erfordert eine einfache Situation auch eine einfache

ISMS-Lösung.

Diese Internationale Norm kann von beteiligten Internen und Externen

verwendet werden, um zu bewerten, inwieweit eine Organisation die

Anforderungen erfüllt.‚

(ON Österreichisches Normungsinstitut, 2008 S. 5)

Die gegenständliche Norm befasst sich ganzheitlich mit dem Schutz von

Information in Unternehmen.

Die gegenständliche Norm definiert zunächst Begriffe wie Vermögenswert,

Verfügbarkeit, Vertraulichkeit, Informationssicherheit,

Informationssicherheits-Ereignis, Informationssicherheits-Vorfall,

Informationssicherheits-Managementsystem (ISMS), Integrität, Restrisiko,

Risikoakzeptanz, Risikoanalyse, Risikobewertung, Risikoevaluierung,

Risikomanagement, Risikobehandlung und Erklärungen zur

Anwendbarkeit. (vgl. ON Österreichisches Normungsinstitut, 2008 S. 8)

Die gegenständliche Arbeit befasst sich im Sinne dieser Definitionen mit:

Bedrohungen für Vermögenswerte, durch die Verfügbarkeit und

Anwendung von Sozialen Netzwerken wie Facebook, XING und

LinkedIn - im persönlichen Arbeitsumfeld und Privatbereich von

MitarbeiterInnen - in Unternehmen, welche im B2B Geschäft tätig sind,

sowie daraus resultierende allgemeine ISMS - Handlungsfelder für

Unternehmen.


Unternehmen die ein ISMS einrichten möchten oder bereits eingeführt

haben benötigen Kenntnis über potentielle Bedrohungen für

Vermögenswerte.

Im Rahmen der Identifizierung der Risiken ist die „Identifizierung der

Bedrohung für diese organisationseigenen Vermögenswerte‚ (ON

Österreichisches Normungsinstitut, 2008 S. 11) sowie die „Identifizierung

der Schwachstellen, die durch diese Bedrohung ausgenutzt werden

könnten; <‚ (ON Österreichisches Normungsinstitut, 2008 S. 11) ein

wesentlicher Teil der Arbeit.

Zahlreiche Maßnahmenziele und Maßnahmen der ISO/IEC 27001 werden durch eine

Social Media Richtlinie berührt bzw. müssen von dieser berücksichtigt werden

(vgl. ON Österreichisches Normungsinstitut, 2008 S. 20-36):

Dokument zur Informationssicherheit-Politik müssen unter Umständen

in der Enterprise 2.0 adaptiert werden.

Die Überprüfung der Informationssicherheits-Politik muss bei der

Nutzung immer täglich neuer Web Applikationen, Mobiler Endgeräte

durch MitarbeiterInnen praktikabel geregelt werden.

Das Engagement des Managements für Informationssicherheit sollte sich

durch Unterstützung der Verantwortlichen durch Vorbildwirkung

manifestieren.

Die Koordination der Informationssicherheit beim Umgang mit Sozialen

Medien bedingt entsprechende Kompetenzen in diesem Bereich, die

Zuweisung der Verantwortlichkeiten der Informationssicherheit für im

Fremdbesitz bzw. Fremdeinfluss befindliche Web 2.0 Applikationen

bedingt vor allem sehr viel Verantwortung bei der Benutzerin.

Der Genehmigungsprozess für informationsverarbeitende Einrichtungen

wird bei der Nutzung bestimmter Sozialer Netzwerke, Mobile Apps

gesondert zu regeln sein.

Vertraulichkeits-Vereinbarungen in Dienstverträge müssen ggf. adaptiert

werden, bzw. Ergänzungen vereinbart werden.

Gute Kontakte zu Behörden (Bundeskriminalamt) und Kontakte zu

speziellen Interessensgruppen (ispa, saferinternet, Google, Facebook,


XING, LinkedIn) ermöglichen schnelle Reaktionen auf Angriffe oder

Missbrauch.

Die unabhängige Überprüfung der Informationssicherheit durch externe

Profis ist auch bei der Nutzung von sozialen Netzwerken zu empfehlen.

Die Identifizierung von Risiken in Zusammenhang mit Externen kann

durch Geheimhaltungsvereinbarungen mit Schadensersatzanspruch und

ausschließlicher Beauftragung von sicherheitsüberprüften gut

beleumundeten Unternehmen vereinfacht werden.

Das Adressieren von Sicherheit im Umgang mit Kunden und die

Sicherheit in Vereinbarungen mit Dritten haben vor allem mit

Bewusstsein bei MitarbeiterInnen zu tun.

Inventar, Eigentum und die zulässige Nutzung der Vermögenswerte z.B.

Unternehmensprofile in Sozialen Netzwerken, Medien des

Unternehmens, MitarbeiterInnen Fotos o.ä. ist in der Praxis auch sehr

stark vom Verhalten der einzelnen Mitarbeiterin abhängig.

Die Überprüfung von MitarbeiterInnen vor Einstellung ins Unternehmen

sollte um einen Dimension Social Media erweitert werden und die

Zustimmung der Mitarbeiterin zu Beschäftigungsbedingungen mit

verbindlichen Social Media Richtlinien sind vor Einstellung einzuholen.

Die Verantwortlichkeiten des Managements für die Einhaltung der

Richtlinien ist klar zu regeln.

Das Bewusstsein sowie Ausbildung und Schulung für

Informationssicherheit und den Umgang mit Sozialen Medien im Web 2.0

muss seitens der Unternehmen sichergestellt werden.

Zeitgemäße Disziplinarverfahren mit einem geeigneten

Eskalationsstufenmodell bei Verstößen sollten als Konsequenz bei

Zuwiderhandeln konsequent umgesetzt werden.

Die Verantwortlichkeiten bei der Beendigung der Beschäftigung müssen

entsprechend adaptiert werden, insbesondere ist bei der Rückgabe von

Vermögenswerten auch die Übergabe des Zuganges und der Verfügung

über immaterielle Vermögenswerte - die von MitarbeiterInnen in ihrer

Arbeitszeit bzw. dienstlich geschaffen wurden oder in deren Verfügung

stehen – zu regeln. Zahlreiche SEO Maßnahmen sind mit sind mit


komplexen Verknüpfungen unterschiedlichster Web 2.0 Anwendungen

verbunden der Zugriff auf diese Drittanwendungen erfolgt sehr oft über

`Facebook Connect´. Die Aufhebung von Zugangs- bzw. Zugriffsrechten

hat aus diesem Grund überlegt zu erfolgen. Emailadressen sind

wesentlicher Bestandteil von Zugriffsrechten auf Social Media

Anwendungen und sollten aus diesem Grund keinesfalls unwiderruflich

gelöscht werden. Die Entfernung von Eigentum wie zum Beispiel

Firmenprofile in Sozialen Netzwerken muss auch virtuell verhindert

werden.

Dokumentierte Betriebsverfahren für Soziale Netzwerke müssen

geschaffen werden.

Das Änderungsmanagement wird bei der individuellen Nutzung täglich

neuer Webapplikationen, Mobile Apps, etc. mit neuen Ansätze zu regeln

sein.

Die Aufgabentrennung zum Beispiel ein 4-Augenprinzip wird in der

aktuellen Social Media schwer umzusetzen sein.

Die Erbringung, Überwachung, Überprüfung der Dienstleistungen durch

Dritte (Facebook, XING, LinkedIn,<) ist bei teilweise kostenfreien

Diensten äußerst schwierig zu realisieren, da viele dieser Dienstleister in

ihren AGBs sämtliche Haftungen von sich weisen.

Der Schutz gegen Schadsoftware gewinnt in Soziale Netzwerke eine neue

Dimension MitarbeiterInnen erlauben Drittsoftware Zugriff bei

Installation Zugriff auf unterschiedlichste Daten.

Der Schutz vor Datenverlust wird bei Kontaktdaten in Sozialen

Netzwerken welche von Dritten kontrolliert werden vor allem

fremdbestimmt erfolgen. Das Gleiche gilt für den Umgang mit

Information wie Speicherung, Verteilung, etc..

Bei eigenen Datenverarbeitungssystemen definierte Anweisungen und

Verfahren zum Austausch von Information sind in Sozialen Netzwerken

nur schwer kontrollierbar, der Schutz von elektronischen Nachrichten ist

dementsprechend schwierig.

Großes Augenmerk muss auf die Sicherheit des elektronischen

Geschäftsverkehres und Online-Transaktionen gelegt werden, da sich


über Soziale Netzwerke und Mobile Endgeräte Schadsoftware sehr

einfach verbreitet.

Die Integrität öffentlich zugänglicher Information muss natürlich auch in

Sozialen Netzwerken sichergestellt werden. Firmenprofile müssen von

darauf geschulten und autorisierten MitarbeiterInnen oder externen

AuftragnehmerInnen verwaltet werden.

Die Verfahren zur richtlinienkonformen

Überwachung,

Zugriffskontrolle,

Beschaffung, Entwicklung und Wartung von

Informationssystemen

Management von Informationssicherheits-Ereignissen- und

Schwächen

Betriebliches Kontinuitätsmanagement

müssen bei der Einbeziehung von Sozialen Netzwerken in die

Geschäftsprozesse (Kundenbeziehungs-Management, Customer

Relationship-Management, Kundenreaktivierungsprozesse)

dementsprechend adaptiert werden.

Ein besonderes Augenmerk muss bei der Implementierung einer Social

Media Richtlinie auf die Einhaltung von Verpflichtungen gelegt werden.

Die ÖNORM ISO/IEC ISO 27001 unterscheidet hier:

Einhaltung gesetzlicher Verpflichtungen

Identifizierung der anwendbaren Gesetze

Rechte an geistigem Eigentum

Schutz von organisationseigenen Aufzeichnungen

Datenschutz und Geheimhaltung von personenbezogenen

Informationen

Verhinderung des Missbrauchs von informationsverarbeitenden

Einrichtungen

Regelungen von kryptographischen Maßnahmen

Einhaltung von Sicherheitsanweisungen und -standards sowie

technischer Vorgaben

Einhaltung von Sicherheitsanweisungen und –standards


Überprüfung der Einhaltung technischer Vorgaben

Überlegungen zu Audits von Informationssystemen

Maßnahmen für Audits von Informationssystemen

Schutz von Auditwerkzeugen für Informationssysteme

(vgl. ON Österreichisches Normungsinstitut, 2008 S. 20-36)

Die ÖNORM ISO/IEC ISO 27001 bietet mit dem Anhang A

`Maßnahmenziele und Maßnahmen´ eine geeignete Struktur zur

detaillierten Analyse firmenspezifischer Bedrohungen, dem Erkennen

notwendiger Bereiche für individuelle Zieldefinitionen und

Verankerungspunkte für konkrete Maßnahmen bei der Erstellung einer

individuellen Social Media Richtlinie.


3.2. Forschungsabschluss

Abbildung 26: Forschungsabschluss Stichworte im Überblick

3.2.1. Schwachstellen, Bedrohungen, Straftaten

Die Schwachstellen bei der Benutzung von Sozialen Netzwerken wie Facebook,

XING und LinkedIn wie<

einfacher Zugriff auf Social Media Profile durch unsicheres Passwortmanagement der BenutzerInnen im Bereich Sozialer Medien

immer perfekter konstruierte Social Engineering Fallen

laufend neu auftauchende Sicherheitsrisiken durch Mobile Endgeräte und Social Media Applikationen von unsicheren Drittanbietern

Sicherheitsbedrohungen durch die Nutzung der Android und iPhone Apps auf Mobilen Endgeräten

veränderte Privatsphäre Einstellungsoptionen übergreifende Zugriffsmöglichkeiten zwischen unterschiedlichen Social

Media Anwendungen Mangelnde Kenntnisse der BenutzerInnen und wenig Bewusstsein für

potentielle Gefahren

sind Angriffspunkte für stark boomende Bedrohungen wie

The involvement of criminal organisations in high tech crimes

Botnets and crime wares

Phishing & Identity Theft

Pharming


Vishing

SMiShing

Critical Information Infrastructures

Cyber terrorism

Trafficking of Child Pornography Images on the Internet

Drugs Trafficking on the Internet

The Digital Underground Economy

Cybercriminal Business Models

Cybercrime 2.0

Social Engineering (techniques on social networks)

Fake anti-virus software

Internet marketing techniques

Clickjacking

Likejacking

Survey scam

Damit werden unterschiedliche Cybercrime Straftaten begangen

Straftaten gegen die Vertraulichkeit, Unversehrtheit

und Verfügbarkeit von Computerdaten und –systemen

Computerbezogene Straftaten

Inhaltsbezogene Straftaten

Straftaten in Zusammenhang mit Verletzungen des Urheberrechts

und verwandter Schutzrechte

Weitere Formen der Verantwortlichkeit und Sanktionen

aber auch andere Straftaten wie Spionage, Industriespionage, Betrug,

Erpressung, Entführung, Menschenhandel, Kindesmissbrauch,

Wiederbetätigung, Terrorismus, Geldwäsche usw. vorbereitet oder

begangen.


3.2.2. Gründe für Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen

Soziale Netzwerke beeinflussen den Unternehmenserfolg in

unterschiedlichen Bereichen. Social Media Unternehmensrichtlinien und

Sicherheitsmaßnahmen bei der Nutzung von Sozialen Netzwerken sind

notwendig weil

Soziale Netzwerke sind perfekte Datenquellen für Verbrechen. Der Verlust

sensibler Daten und die Begehung von Verbrechen muss verhindert

werden: Kriminelle Aktivitäten in Sozialen Netzwerken kann

MitarbeiterInnen, Unternehmen und GeschäftspartnerInnen

massiven Schaden zufügen.

Vertrauen, Kommunikation und gemeinsamen Werte bestimmen neben der

Attraktivität der Alternativen die Qualität von Geschäftsbeziehungen im B2B

Geschäft. Aktivitäten von MitarbeiterInnen und Unternehmen

Sozialen Netzwerken beeinflussen den Erfolg von Unternehmen im

B2B Bereich: Beziehungsmanagement 2.0 findet auch im Internet

statt.

Unternehmen haften für die Einhaltung rechtlicher und regulatorischer

Vorgaben und besonderer Selbstverpflichtungen durch ihre MitarbeiterInnen

und das Unternehmen. Speziell erwähnt sei hier das Urheberrechte,

Datenschutz, Finanzmarktvorschriften, Beleidigung, üble

Nachrede, Arbeitsrecht, Corporate Social Responsibility.

Verhandlungsbestimmende Unternehmensinformationen, Know How und

andere Vermögenswerte müssen geschützt werden.

Gesprächsabschöpfung, elektronische Aufklärung und andere

Spionageverfahren nutzen Social Engineering zur Zielerreichung.

MitarbeiterInnen müssen auf das Erkennen und die Abwehr

solcher Aktivitäten vorbereitet werden.


3.2.3. Allgemeine Handlungsempfehlungen für MitarbeiterInnen in Sozialen Netzwerken

Ohne Berücksichtigung spezifischer Unternehmensrisiken ergeben sich

einige allgemeingültige Handlungsempfehlungen für MitarbeiterInnen in

sozialen Netzwerken:

Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen für MitarbeiterInnen

So wenige Daten wie möglich preisgeben (`Need-to-know´)

Restriktiver Umgang mit den Privatsphäreeinstellungen

Sichere Passwörter verwenden

Unterschiedliche Passwörter für die verschieden Sozialen Netzwerke

verwenden

Zusammenfassung von beruflichen Gruppen und Vergabe von

entsprechende Zugriffsberechtigungen für Gruppen

Blockieren der Möglichkeit der Markierung der Mitarbeiterin auf Fotos

Trennung von Facebook und Twitter wenn `tweet´ Frequenz zu

hoch für Facebook.

Blockieren der Auffindbarkeit des Profils für Suchmaschinen und ggf.

NetzwerkmitgliederInnen

Deaktivierung der Möglichkeit für Drittanwendungen im Profil der

Benutzerin zu posten

Berufliches und Privates trennen (z.B. nur berufliches in XING und

LinkedIn)

Anonymisiertes Profil in Facebook


Orientierung an der Netiquette bzw. FAQs um sich sicher und souverän in

Sozialen Netzwerken zu bewegen (Vermeidung von Irritationen

bei GeschäftspartnerInnen)

Kenntnis der jeweiligen AGBs

Vorsicht bei der Nutzung von Sozialen Netzwerken über öffentliche Netze

(wenige Netze verwenden entsprechende Verschlüsselungen)

Entfernung von geschäftsschädigenden, missverständlichen oder

beleidigenden Einträgen von der eigenen Pinwand

Keine Nutzung von `location based´oder `check-in´Services

Keine Nutzung von Drittanwendungen auf Facebook

Professionelle Kommunikation, die auch dem Auge kritischer

GeschäftspartnerInnen standhält

Keine Verwendung von unsicheren oder unbekannten

Virenschutzprogrammen (häufige Angriffsquelle)

Regelmäßiger Update der Virenschutzprogramme

Sorgfältiger Umgang mit Geschäftsinformationen und regelkonformes

Verhalten (siehe auch Pflichten von ArbeitnehmerInnen aus

Arbeitsverträgen, Arbeitsrecht, Betriebsvereinbarungen,

Urheberrechten, Datenschutzrichtlinien, Wettbewerbsrecht und

anderen Gesetzen)


3.2.4. Unternehmensseitige Handlungsempfehlungen bei der Nutzung von Sozialen

Netzwerken durch MitarbeiterInnen

Abbildung 28: Stichwortsammlung - Handlungsempfehlungen für Unternehmen

Aus der gegenständlichen Arbeit lassen sich auch klare

Unternehmensseitige Handlungsempfehlungen bei der Nutzung von

Sozialen Netzwerken durch MitarbeiterInnen ableiten:

Erarbeitung und Vereinbarung einer Social Media Richtlinie als Anordnung,

Weisung oder Betriebsvereinbarung

Berücksichtigung der Allgemeinen Handlungsempfehlungen (gemäß 3.2.3)

für MitarbeiterInnen in den Social Media Richtlinien

Unterscheidung zwischen persönlicher Nutzung am Arbeitsplatz,

persönlicher Nutzung außerhalb des Arbeitsplatzes und beruflicher Nutzung.

Vermittlung und Überprüfung des Problembewusstseins und der Kompetenzen

der MitarbeiterInnen in Bezug auf die

o Umsetzung der Social Media Richtlinien

o Konsequenzen der Weitergabe von vertraulichen oder sensiblen

Geschäftsinformationen oder Geschäftsgeheimnissen

o relevanten Rechtsgrundlagen und daraus resultierenden Pflichten

o Notwendigkeit von Zugriffskontrollen für bestimmte Daten

(geschlossene Gruppen)

o Einschränkungen in Bezug auf Datenempfang, Installationen oder

Verbindungen für Dienstrechner oder Smartphones aus

sicherheitstechnischen Gründen


o Einschränkungen bei der Angabe von firmenbezogenen Daten

o Einschränkungen von dienstlichen Vorgängen auf Social Media

Plattformen

o Vorgaben für Firmenprofile in Sozialen Medien

o Kenntnis besonderer strafrechtlich relevanter Delikte wie üble

Nachrede, Beleidigung, unlauterer Wettbewerb und

Urheberrechtsverletzungen

o das Erkennen und die Abwehr von Social Media Attacken

o geeignete Belehrung neu eintretender MitarbeiterInnen

Einhaltung von allgemeinen und branchenspezifischen Gesetzen und

Richtlinien (Wettbewerbsrecht, Finanzmarktregelungen,

Werbeverbote für Ärzte, CSR, etc.)

Einhaltung von selbstauferlegten Informations- und

Beratungsverpflichtungen, Normen, Dokumentationsverpflichtungen etc.

Überwachung und Management der Einhaltung von Social Media Richtlinien

im Unternehmen

Einbeziehung des Betriebsrates

Verhinderung von Unternehmensschäden durch Urheberrechtverletzungen

durch MitarbeiterInnen

Emotionale Vermittlung der Gefahren und Bedrohungen schafft

Problembewusstsein

Um die eigene Organisation auf Soziale Netzwerke optimal

vorzubereiten sollten einige Dinge im Unternehmen überprüft und

adaptiert werden:

Adaptierung der Dokumente zur Informationssicherheit-Politik (ISMS)

Überprüfung der Informationssicherheits-Politik bei der Nutzung immer

täglich neuer Web Applikationen, Mobiler Endgeräte durch

MitarbeiterInnen

Engagement des Managements für Informationssicherheit durch

Vorbildwirkung

Koordination der Informationssicherheit beim Umgang mit Sozialen

Medien durch die Zuweisung der Verantwortlichkeiten der

Informationssicherheit für im Fremdbesitz bzw. Fremdeinfluss

befindliche Web 2.0 Applikationen wie Soziale Netzwerke

Adaptierung des Genehmigungsprozesses für informationsverarbeitende

Einrichtungen wird bei der Nutzung bestimmter Sozialer

Netzwerke, Mobile Apps und Drittanwendungen.


Überprüfung und ggf. Ergänzung der Vertraulichkeits-Vereinbarungen

in Dienstverträge

Aufbau guter Kontakte zu Behörden (Bundeskriminalamt) und

Kontakte zu speziellen Interessensgruppen (ispa, saferinternet, Google,

Facebook, XING, LinkedIn).

Die Unabhängige Überprüfung der Informationssicherheit durch externe

Profis bei der Nutzung von Sozialen Netzwerken.

Die Identifizierung von Risiken in Zusammenhang mit Externen muss

laufend erfolgen da sich Schwachstellen und Bedrohungslagen

permanent weiterentwickeln.

MitarbeiterInnen sind für das das Adressieren von Sicherheit im Umgang

mit Kunden und die Sicherheit in Vereinbarungen mit Dritten zu

sensibilisieren bzw.

Inventar, Eigentum und die zulässige Nutzung der Vermögenswerte wie

Unternehmensprofile in sozialen Netzwerken, Medien des

Unternehmens, MitarbeiterInnen Fotos und ähnliches sind zu

erfassen, schützen und überprüfen.

Die Überprüfung von MitarbeiterInnen vor Einstellung ins Unternehmen

sollte um einen Dimension Social Media erweitert werden und die

Zustimmung der Mitarbeiterin zu Beschäftigungsbedingungen mit

verbindlichen Social Media Richtlinien sind bei der Einstellung

einzuholen.

Die Verantwortlichkeiten des Managements für die Einhaltung der

Richtlinien ist klar zu regeln.

Das Bewusstsein sowie Ausbildung und Schulung für Informationssicherheit

und den Umgang mit Sozialen Medien im Web 2.0 muss seitens

der Unternehmen sichergestellt werden.

Zeitgemäße Disziplinarverfahren mit einem geeigneten

Eskalationsstufenmodell bei Verstößen sollten als Konsequenz bei

Zuwiderhandeln konsequent umgesetzt werden.

Die Verantwortlichkeiten bei der Beendigung der Beschäftigung müssen

entsprechend adaptiert werden, insbesondere ist bei der Rückgabe

von Vermögenswerten auch die Übergabe des Zuganges und der Verfügung

über immaterielle Vermögenswerte - die von MitarbeiterInnen in ihrer

Arbeitszeit bzw. dienstlich geschaffen wurden oder in deren

Verfügung stehen – zu regeln.

Die Aufhebung von Zugangs- bzw. Zugriffsrechten hat überlegt zu

erfolgen. Auf Zugriffsrechte von Social Media Anwendungen ist


bei der Löschung von MitarbeiterInnen Emailadressen und

Profilen Rücksicht zu nehmen.

Die Entfernung von Eigentum wie zum Beispiel Firmenprofile in

Sozialen Netzwerken muss verhindert werden.

Dokumentierte Betriebsverfahren für die betrieblichen Aktivitäten

Soziale Netzwerke müssen geschaffen werden. Eine Social Media

Richtlinie kann dementsprechend aufgebaut sein.

Das Änderungsmanagement ist bei der individuellen Nutzung täglich

neuer Webapplikationen, Mobile Apps, etc. zu regeln.

Die Einhaltung von verbindlichen Aufgabentrennung zum Beispiel

einem 4-Augenprinzip ist bei Sozialen Netzwerken geeignet zu

regeln.

Die Erbringung, Überwachung, Überprüfung der Dienstleistungen durch Dritte

ist auch bei Sozialen Netzwerken sicherzustellen.

Der Schutz gegen Schadsoftware, Schutz vor Datenverlust ist bei

Kontaktdaten in Sozialen Netzwerken sicherzustellen. Das Gleiche

gilt für den Umgang mit Information wie Speicherung, Verteilung, etc..

Anweisungen und Verfahren zum Austausch von Information sind in

Sozialen Netzwerken praktikabel zu regeln, der Schutz von

elektronischen Nachrichten ist auch hier sicherzustellen.

Sicherstellung der Sicherheit des elektronischen Geschäftsverkehres

und Online-Transaktionen in Sozialen Netzwerken.

Die Integrität öffentlich zugänglicher Information muss natürlich auch

in Sozialen Netzwerken sichergestellt werden.

Die Verfahren zur richtlinienkonformen

o Überwachung,

o Zugriffskontrolle,

o Beschaffung, Entwicklung und Wartung von Informationssystemen

o Management von Informationssicherheits-Ereignissen und Schwächen

o Betriebliches Kontinuitätsmanagement

müssen bei der Einbeziehung von Sozialen Netzwerken in die

Geschäftsprozesse (Kundenbeziehungs-Management, Customer

Relationship-Management, Kundenreaktivierungsprozesse)

dementsprechend adaptiert werden.

Die Einhaltung gesetzlicher Verpflichtungen erfordert die

o Identifizierung der anwendbaren Gesetze

o Rechte an geistigem Eigentum

o Schutz von organisationseigenen Aufzeichnungen


o Datenschutz und Geheimhaltung von personenbezogenen

Informationen

o Verhinderung des Missbrauchs von informationsverarbeitenden

Einrichtungen

o Regelungen von kryptographischen Maßnahmen

Die Einhaltung von Sicherheitsanweisungen und -standards sowie

technischer Vorgaben ist entsprechend zu regeln.

Überlegungen zu Audits von Informationssystemen müssen auch extern

verwendete Anwendungen wie Soziale Netzwerke erfassen


3.2.5. Besondere Handlungsempfehlungen für Unternehmen in sensiblen Industrien mit

hoher Relevanz für potentielle Angreifer

Unternehmen in sensiblen Industrien sollten individuelle Corporate

Security bzw. Informationssicherheits- Risk Assessments durchführen

bevor Social Media Plattformen durch MitarbeiterInnen benutzt werden

dürfen.

Die ÖNORM ISO/IEC ISO 27001 bietet mit dem Anhang A `Maßnahmenziele

und Maßnahmen´ eine geeignete Struktur zur, detaillierten Analyse

firmenspezifischer Bedrohungen, dem Erkennen notwendiger Bereiche für

individuelle Zieldefinitionen und Verankerungspunkte für konkrete Maßnahmen bei

der Erstellung einer individuellen Social Media Richtlinie.

Bei besonderen Bedrohungslagen empfiehlt sich die Installation eines ISMS

(Informationssicherheits Management Systemes) gemäß ÖNORM

ISO/IEC 27001.

Abbildung 29: Kopf ÖNORM ISO/IEC 27001; Quelle: (ON Österreichisches Normungsinstitut, 2008)


Literaturverzeichnis

Abwehramt. 2006. Schutz vor Social Engineering. Infoblatt Elektronische Abwehr. 09, 2006. Applegate, Scott D. 2009. Social Engineering: Hacking the Wetware! Information security Journal. 18:40-46, 2009, ISSN: 1939-3555 print / 1939-3547 online. Becker, Roman. 2011. Aus dem Bauch heraus. QZ - Qualität und Zuverlässigkeit. 56, 2011, Bd. 1. Biegelman, Martin T. 2008. Building A World-Class Compliance Program. Hoboken, New Jersey : John Wiley & Sons, 2008. ISBN 978-0-470-11478-0. Bloxham, Andy. 2011. www.telegraph.co.uk. www.telegraph.co.uk. [Online] 03. 06 2011. [Zitat vom: 05. 06 2011.] http://www.telegraph.co.uk/technology/news/8553979/Sony-hack-private-details-of-million-people-posted-online.html. Blumauer, Kaltenböck und Koller. 2010. Enterprise 2.0. Enterprise 2.0. Wien : punkt net.Services, 2010. Blumer, Herbert. 1973. Der methodologische Standort des symbolischen Interaktionismus. Arbeitsgruppe Bielefelder Soziologen. 1973. BMI. 2010. Gefahren durch Wirtschafts- und Industriespionage für die österreichische Wirtschaft. Wien : BMI Bundesministerium für Inneres, 2010. Bodoni, Stephanie. 2011. Bloomberg Businessweek. www.businessweek.com. [Online] Bloomberg, 08. 06 2011. [Zitat vom: 12. 06 2011.] http://www.businessweek.com/news/2011-06-08/facebook-to-be-probed-in-eu-for-facial-recognition-in-photos.html. Bundesgesetz. 2011. Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Urheberrechtsgesetz. RIS Rechtsinformationssysten. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnu.... BGBl.Nr. 11/1936 und Änderungen. Burkart, Roland. 2002. Kommunikations-Wissenschaft. Wien : Böhlau Verlag, 2002. ISBN 3-205-99420-5. Chinn & Unkle, Susan j. Chinn, C.Richard Unkle. 2006. Building Dedicated Business-To-Business Relationships: Benefits, Risks, and Lessons Learned. [Hrsg.] American Society for Competitivness. Journal of Global Competitivness. 2006, Bd. 14, S. 84-94. Cisco. 2010. Cisco 2010 Annual Security Report. San Jose : Cisco, 2010. Computerwelt, ul. 2011. Hacker stehlen Sony Millionen Kundendaten. www.computerbild.de. [Online] 27. 04 2011. [Zitat vom: 04. 06 2011.] http://www.computerbild.de/artikel/cbs-News-Spiele-Hacker-stehlen-Sony-Millionen-Kundendaten-6147786.html. emarketer. 2011. www.emarketer.com. emarketer - digital intelligence. [Online] emarketer, 02 2011. [Zitat vom: 12. 06 2011.] http://www.emarketer.com/Reports/All/Emarketer_2000757.aspx. Europe, Council of. 2001. www.conventions.coe.int. Europarat. [Online] 23. 09 2001. [Zitat vom: 05. 06 2011.] http://www.conventions.coe.int/Treaty/GER/Treaties/Html/185.htm. Europol. 2007. High Tech Crimes within the EU, Threat Assessment 2007. The Hague : Europol, 2007. —. 2011. Internet Facilitated Organized Crime. The Hague : Europol, 2011. File No.: 2530-264. Facebook. 2011. facebook Apps. www.facebook.com. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com/apps/directory.php. —. 2010. Facebook Debuts More Pivacy Features. Information Today www.infotoday.com. November 2010, S. 3. —. 2011. Facebook Profil des Verfassers. www.facebook.com. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com. facebookbiz. 2011. Facebookbiz Werbeanzeigen. www.facebookbiz.de. [Online] facebookbiz, 18. 01 2011. [Zitat vom: 12. 06 2011.] http://www.facebookbiz.de/artikel/facebook-umsatz-werbeanzeigen-2010. Farm Ville. 2011. Farm Ville. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://www.facebook.com. Galla, Michael. 2004. Social Relationship Management in Internet-based Communication. Dissertation an der Technischen Universität München. München, Bayern, Deutschland : Institut für Informatik der Technischen Universität München, 01 2004.


Gonzales, Gabriel, et al. 2010. Sales Organisation Recovery Management and Relationship Selling: Ein konzeptionelles Modell und empirischer Test. Journal of Personal Selling & Sales. XXX, 2010, Bd. 3, summer 2010. Haid, Amy E. 2010. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World: Part 2. The Investment Lawyer. 17, 2010, Bd. 10, October. Handelsblatt. Kapalschinski, Christoph. 2010. 16.11.2010, http://www.handelsblatt.com/unternehmen/it-medien/linkedin-blaest-zum-angriff-auf-xing/3640160.html : Verlagsgruppe Handelsblatt GmbH & Co KG, 2010, Bd. Online. Henisz & Zelner, Witold J.Henisz, Bennet A. Zelner. 2010. The Hidden Risks in Emerging Markets. [Hrsg.] Harvard Business Publishing. Harvard Business Review. 04 2010, S. 88-95. Hofmann, Michael. 2009. Managing Risk in The New World. Harvard Business Review. 09 2009, S. 69-75. IBTimes. 2011. International Business Times. www.losangeles.ibtimes.com. [Online] 5. 6 2011. [Zitat vom: 5. 6 2011.] http://losangeles.ibtimes.com/articles/157584/20110605/google-china.htm. IkeepSafe. 2011. IkeepSafe - Safe Keeping Blog. www.ikeepsave.org. [Online] ikeepsa, 08. 06 2011. [Zitat vom: 08. 06 2011.] http://www.ikeepsafe.org/cybersecurity/stop-think-connect/. ispa. 2011. internet sicher nutzen - ein leitfaden der ispa. Wien : ispa - Internet Service Provider Austria, 2011. Joerg Schultze-Bohl Dipl.Inform., Öff.best.u.vereid.Sachverstaendiger. 2011. Risikofaktoren in der Praxis. www.risikomanager.de. [Online] 14. 05 2011. [Zitat vom: 14. 05 2011.] http://www.risikomanager.de/index.php/unternehmensrisiken/37-corporate-risks/50-risikofaktoren-in-der-praxis?format=pdf. Kaplan, Robert S. 2009. Managing Risk in the New World. Harvard Business Review. 09 2009, S. 69-75. Kirchgeorg, Manfred. 2011. Wirtschaftslexikon. Wirtschaftslexikon. [Online] Gabler, 03. 06 2011. [Zitat vom: 03. 06 2011.] http://wirtschaftslexikon.gabler.de/Definition/b2b.html. Koch & Schultze, Hope Koch, Ulrike Schultze. 2011. Stuck in the Conflicted Middle: A Role-Theoretic Perspective on B2B E-Marketplaces. MIS Quarterly. March 2011, Bd. 1, 35, S. 123-146. LinkedIn. 2011. About us. www.linkedin.com. [Online] LinkedIn, 04. 06 2011. [Zitat vom: 04. 06 2011.] http://press.linkedin.com/about/. Linkedin. 2011. About us Linkedin. www.linkedin.com. [Online] Linkedin, 04. 06 2011. [Zitat vom: 04. 06 2011.] http://press.linkedin.com/about/. Mayrhofer, Karl. 2011. Arbeitsrecht für die betriebliche Praxis. Wien : Verlag Weiss, 2011. ISBN 978-3-902770-01-1. mbe/AFP. 2011. Focus. www.focus.de. [Online] 29. 04 2011. [Zitat vom: 05. 06 2011.] http://www.focus.de/finanzen/recht/sony-datenraub-noch-keine-hinweise-auf-kreditkarten-missbrauch_aid_622509.html. McGee Bastry Chandrashekhar Vasireddy Flynn, Andrew R. McGee, Frank A. Bastry, Uma Chandrashekhar, S.Rao Vasireddy, and Lori A. Flynn. 2007. Using the Bell Labs Security Framework to Enhance the ISO 17799/27001 Information Security Management System. [Hrsg.] Alcatel Lucent. Bell Labs Technical Journal. 12 2007, S. 39-54. Möller, Patrick. 2011. XING AG Zwischenbericht Q1 2011. Hamburg : XING AG, 2011. NACD Research, STaff. 2010. In Year of Change, Strategy and Risk Top Board Agendas. NACD Directorship. December 2010 2010, Bd. Survey Public Company Corporate Governance, S. 40-44. Neef Schroll & Theis, Andreas Neef, Willi Schroll, Björn Theis. 2009. Die Revolution der Web-Eingeborenen. [Hrsg.] manager magazin online. manager magazin. 18. Mai 2009, S. 1-4. Null, Christopher. 2009. How to avoid Facebook & Twitter Disasters. PCWORLD.COM. August, 2009, 8. ON Österreichisches Normungsinstitut. 2008. Informationstechnologie - Sicherheitstechnik, Informationssicherheits - Managementsysteme - Anforderungen. ÖNORM ISO/IEC 27001. Wien : ON Österreichisches Normungsinstitut, 2008. 2008-03-01. ÖNORM ISO/IEC 27001. Poller, Andrea. 2008. Industriespionage 2.0. Darmstadt : Fraunhofer Institut, 2008.


Prensky, Marc. 2001. Digital Natives, Digital Immigrants. [Hrsg.] MCB University Press. On the Horizon. 9, October 2001, Bd. 5, October 2001, S. 1. protiviti.com. 2008. Internal Auditors: ISO 27000 the Top Tech Need. Journal of Accountancy. October 2008, S. 25. Reisinger, Don. 2009. 10 Thingsyou should know now about... SOCIAL MEDIA SECURITY. eWEEK. Ziff Davis Enterprise, 2009, October 5. saferinternet.at. 2011. Safer Surfing. Wien : saferinternet.at, 2011. Schranner, Matthias. 2002. Verhandeln im Grenzbereich. München : Econ Verlag, 2002. ISBN 3-430-18068-6. Scoble, Robert und Israel, Shel. 2007. Unsere Kommunikation der Zukunft. München : Finanzbuch Verlag GmbH, 2007. ISBN 978-3-89879-257-8. Security Directors Report. 2010. Implementing Solutions to Social media´s Security Risks. Security Directors report. August, 2010, www.ioma.com/secure. Sony. 2011. About Sony. www.sony-europe.com. [Online] Sony, 2011. [Zitat vom: 05. 06 2011.] http://www.sony-europe.com/article/id/1178278971157. —. 2010. Annual Report 2010. Konan, Japan : Sony Corporation, 2010. SONY. 2011. Sony Announces Revision of Consolidated Forecast for the Fiscal Year Ended March 31, 2011. Tokyo : Sony, 2011. Sony News & Information No: 11-059E. Sophos. 2011. Sophos Security threat report 2011. Abingdon : Sophos, 2011. Stulz, René M. 2009. 6 Ways Companies Mismanage Risk. Harvard Business Review. March 2009, S. 86-94. Taleb Goldstein & Spitznagel, Nassim N. Taleb, Daniel G. Goldstein, Mark W. Spitznagel. 2009. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 10 2009, S. 78-81. Taleb, Nassim Nicholas. 2007. Der Schwarze Schwan. New York : Random House, 2007. ISBN 978-3-446-41568. Theron & Terblanche & Boshoff, Edwin Theron, Nic S. Terblanche, Christo Boshoff. 2008. The antecedents of relationship commitment in the management of relationships in business-to-business (B2B) financial services. [Hrsg.] Westburn Publishers Ltd. Journal of Marketing Management. 9 2008, Bde. No. 9-10, 24, S. 997-1010. Wikipedia. 2011. Wikipedia über `Enterprise 2.0´. http://de.wikipedia.org. [Online] Wikipedia, 03. 06 2011. [Zitat vom: 03. 06 2011.] http://de.wikipedia.org/wiki/Enterprise_2.0. wikipedia. 2011. Wikipedia über `facebook´. http://de.wikipedia.org. [Online] 15. Mai 2011. [Zitat vom: 15. Mai 2011.] http://de.wikipedia.org/wiki/Facebook. Wikipedia. 2011. Wikipedia über `Web 2.0´. wikipedia. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.] http://de.wikipedia.org/wiki/Web_2.0. wikipedia. 2011. Wikipedia über `XING´. http://de.wikipedia.org. [Online] 15. Mai 2011. [Zitat vom: 15. Mai 2011.] http://de.wikipedia.org/wiki/XING. XING. 2011. Ergebnisse der XING AG Q1 2011. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] http://corporate.xing.com/fileadmin/image_archive/XING_AG_ergebnisse_Q1_2011.pdf. —. 2011. XING Freunde, Bekannte und Kollegen einladen. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/app/invite. —. 2011. XING Gruppen suchen. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/app/network?op=findgroups. —. 2011. XING Jobs und Karriere. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 06 2011.] https://www.xing.com/jobs/. —. 2011. XING Premiummitgliedschaft. www.xing.com. [Online] XING AG, 12. 06 2011. [Zitat vom: 12. 06 2011.] https://www.xing.com/app/billing?op=premium_overview;reagent=uplt_96. —. 2011. XING Profil des Verfassers. www.xing.com. [Online] 05. 06 2011. Zimmer, Daniela. 2009. Facebook, Myspace & Co. Wien : AK Kammer für Arbeiter und Angestellte für Wien, 2009. AK Publikationsnummer 29/2009. —. 2009. Facebook, Myspace & Co. Wien : Kammer für Arbeiter und Angestellte, 2009. 29/2009.


Abbildungsverzeichnis

Abbildung 1: ‚Facebook‘ Startseite der Anwendung 'Farmville'; Quelle: (Farm Ville, 2011) ................ 20 Abbildung 2: ‚Facebook‘ Zugriffsfreigaben für die Anwendung 'Farmville'; Quelle: (Farm Ville, 2011) 20 Abbildung 3: ‚Facebook Profil‘ des Verfassers; Quelle: (Facebook, 2011) ............................................ 21 Abbildung 4: ‚Facebook‘ Einstellungen 'Profil bearbeiten'; Quelle: (Facebook, 2011) ......................... 21 Abbildung 5: ‚Facebook‘ Privatsphäreeinstellungen; Quelle: (Facebook, 2011) .................................. 22 Abbildung 6: ‚Facebook' Privatsphäre-Einstellungen – ‚Benutzerdefinierte Einstellungen‘; Quelle: (Facebook, 2011) ................................................................................................................................... 23 Abbildung 7: ‚Facebook‘ - Privatsphäre-Einstellungen für 'Anwendungen und Webseiten'; Quelle: (Facebook, 2011) ................................................................................................................................... 23 Abbildung 8: 'Facebook' Privatsphäre - 'Anwendungen, Spiele und Webseiten'; Quelle: (Facebook, 2011) ...................................................................................................................................................... 24 Abbildung 9: 'Facebook' Privatsphäre, 'Für Freunde zugängliche Informationen'; Quelle: (Facebook, 2011) ...................................................................................................................................................... 24 Abbildung 10: 'Facebook' Privatsphäre, 'Umgehende Personalisierung'; Quelle: (Facebook, 2011) ... 25 Abbildung 11: 'Facebook' Überblick Privatsphäre-Einstellungen; Quelle: (Facebook, 2011) ............... 25 Abbildung 12: 'Facebook' Erlösanalyse; Quelle: (emarketer, 2011) ..................................................... 27 Abbildung 13: 'XING' Mitgliederentwicklung; Quelle: (XING, 2011) ..................................................... 29 Abbildung 14: 'XING' Umsatzentwicklung; Quelle: (XING, 2011) .......................................................... 29 Abbildung 15: 'XING' Alte Benutzeroberfläche; Quelle: (XING, 2011) .................................................. 32 Abbildung 16: 'XING' Neue Benutzeroberfläche; Quelle: (XING, 2011) ................................................ 32 Abbildung 17: 'XING' Privatsphäre-Einstellungen; Quelle: (XING, 2011) .............................................. 33 Abbildung 18 Conceptual Model nach Theron, Terblanche, Boshoff 2008; Quelle: (Theron & Terblanche & Boshoff, 2008) ................................................................................................................. 36 Abbildung 19 Conceptual Model nach Gonzales, Hoffman, Ingram und LaForge; Quelle: (Gonzales, et al., 2010) ................................................................................................................................................ 37 Abbildung 20 Aussagen in einer Befragung zum Kaufverhalten von B2B Kunden; Quelle: (Becker, 2011) ...................................................................................................................................................... 38 Abbildung 21 Verteilung der Kundentypen gemäß `forum!` Modell der Kundentypologien; Quelle: (Becker, 2011) ....................................................................................................................................... 39 Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008) ................. 53 Abbildung 23 Facebook app verification demand and privacy concerns; Quelle: (Sophos, 2011) ....... 59 Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010) ............................................................. 61 Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011) .......................................... 62 Abbildung 26: Forschungsabschluss Stichworte im Überblick .............................................................. 72 Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen für MitarbeiterInnen ...... 75 Abbildung 28: Stichwortsammlung - Handlungsempfehlungen für Unternehmen .............................. 77 Abbildung 29: Kopf ÖNORM ISO/IEC 27001; Quelle: (ON Österreichisches Normungsinstitut, 2008). 82

Master Thesis "Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext"...

Documents

Transcript of Master Thesis "Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext"...