M 5.157 Sichere Nutzung von sozialen Netzwerken

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Vorgesetzte

Verantwortlich für Umsetzung: Benutzer

Soziale Netzwerke sind im Web zur Verfügung gestellte Plattformen, wie beispielsweise MySpace, LinkedIn, Facebook oder Xing, die konzeptionell ähnlich aufgestellt sind, deren Inhalte sich jedoch unterscheiden. Die inhaltliche Ausgestaltung wird von den entsprechenden Nutzern selbst übernommen. So werden soziale Netzwerke genutzt, um alte Freunde oder Arbeitskollegen wiederzufinden, selbst gefunden zu werden, oder auch, um berufliche Kontakte zu knüpfen. Neben der Erstellung eines Profils, mit dem die Online-Identität präsentiert wird, geht es auf den Plattformen um die Vernetzung der Benutzer untereinander. Diese Verknüpfung erfolgt aufgrund von sozialen Interaktionen zwischen den Benutzern und wird mit Hilfe spezieller Plattformfunktionen im Datenbestand der Software gespeichert.

Soziale Netzwerke werden zur Kommunikation und zum Datenaustausch der Benutzer untereinander genutzt. Je nach Ausrichtung der Plattform können dort zusätzlich neben persönlichen Daten auch Fotos oder andere Informationen eingestellt und verschiedene Anwendungen genutzt werden.

Um Teil eines sozialen Netzwerkes zu werden, ist die Registrierung an der entsprechenden Plattform notwendig. Neben Benutzernamen und Passwort werden oftmals weitere persönliche Informationen erfasst. Welche weiteren persönlichen oder auch dienstlichen Informationen preisgegeben werden, richtet sich nach dem jeweiligen Benutzer und der Intention der Nutzung. Gerade die Vielzahl von Informationen über die eigene Person dient dazu, in den Netzwerken wahrgenommen zu werden und mitwirken zu können. Es muss jedem Benutzer jedoch auch klar gemacht werden, dass alle Informationen über Benutzer als Grundlage für Social Engineering Angriffe genutzt werden können (siehe auch M 3.5 Schulung zu Sicherheitsmaßnahmen)

Mit den Hintergrundinformationen können Angreifer versuchen, sich das Vertrauen ihrer Opfer zu erschleichen und diese zu weiteren Handlungen zu überreden, beispielsweise bestimmte Dateien zu öffnen. Jede Information, die ein Benutzer über sich ins Internet stellt, sollte also sorgfältig abgewogen werden. Informationen, und dazu gehören auch Fotos, Videos und Zitate, können im Internet leicht eingestellt, von anderen Personen aber auch schnell weiterverbreitet werden.

Aufgrund dessen sollte sich jeder Benutzer eines sozialen Netzwerkes über den Diensteanbieter informieren, vor allem über die Vertragsgrundlagen, die bei Nutzung dieser Dienste akzeptieren werden müssen. Es sollte beispielsweise überprüft werden,

Vor der Anmeldung bei einem sozialen Netzwerk sollten die Benutzer prüfen, wie die Plattform den Datenschutz handhabt. Sofern die Benutzer eigenständig Datenschutz-Optionen konfigurieren können, sollten diese möglichst restriktiv eingestellt werden. Die möglichen Freigaben von Daten für andere Benutzer sollten restriktiv gehandhabt werden, also z. B. in einem "öffentlichen Profil" nur die nötigsten Informationen eingestellt werden.

Benutzer sozialer Netzwerke sollten genau überlegen, welche Kontakte sie akzeptieren und welchen anderen Nutzern sie welche Informationen weitergeben. Es sollten überall nur die Informationen eingegeben werden, die für die Interaktion auf den jeweiligen Plattformen benötigt werden. Informationen über Dritte sollten nur nach Absprache mit diesen weitergegeben werden.

Der Umgang mit sozialen Netzwerken sollte in einer Behörde bzw. einem Unternehmen klar geregelt sein. Hierbei gibt es mehrere Varianten:

Eine Behörde oder ein Unternehmen sollte klare Regelungen aufstellen, in denen beschrieben ist,

Benutzer sollten geschäftliche und private Nutzung von sozialen Netzwerken nicht vermischen und die Regelungen ihrer Institutionen kennen.

Prüffragen: