Bundesamt für Sicherheit in der Informationstechnik

M 5.157 Sichere Nutzung von sozialen Netzwerken

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Vorgesetzte, Leiter IT

Verantwortlich für Umsetzung: Benutzer

Soziale Netzwerke sind im Web zur Verfügung gestellte Plattformen, wie beispielsweise MySpace, LinkedIn, Facebook oder Xing, die konzeptionell ähnlich aufgestellt sind, deren Inhalte sich jedoch unterscheiden. Die inhaltliche Ausgestaltung wird von den entsprechenden Nutzern selbst übernommen. So werden soziale Netzwerke genutzt, um alte Freunde oder Arbeitskollegen wiederzufinden, selbst gefunden zu werden, oder auch, um berufliche Kontakte zu knüpfen. Neben der Erstellung eines Profils, mit dem die Online-Identität präsentiert wird, geht es auf den Plattformen um die Vernetzung der Benutzer untereinander. Diese Verknüpfung erfolgt aufgrund von sozialen Interaktionen zwischen den Benutzern und wird mit Hilfe spezieller Plattformfunktionen im Datenbestand der Software gespeichert.

Soziale Netzwerke werden zur Kommunikation und zum Datenaustausch der Benutzer untereinander genutzt. Je nach Ausrichtung der Plattform können dort zusätzlich neben persönlichen Daten auch Fotos oder andere Informationen eingestellt und verschiedene Anwendungen genutzt werden.

Um Teil eines sozialen Netzwerkes zu werden, ist die Registrierung an der entsprechenden Plattform notwendig. Neben Benutzernamen und Passwort werden oftmals weitere persönliche Informationen erfasst. Welche weiteren persönlichen oder auch dienstlichen Informationen preisgegeben werden, richtet sich nach dem jeweiligen Benutzer und der Intention der Nutzung. Gerade die Vielzahl von Informationen über die eigene Person dient dazu, in den Netzwerken wahrgenommen zu werden und mitwirken zu können. Es muss jedem Benutzer jedoch auch klar gemacht werden, dass alle Informationen über Benutzer als Grundlage für Social Engineering Angriffe genutzt werden können (siehe auch M 3.5 Schulung zu Sicherheitsmaßnahmen )

Mit den Hintergrundinformationen können Angreifer versuchen, sich das Vertrauen ihrer Opfer zu erschleichen und diese zu weiteren Handlungen zu überreden, beispielsweise bestimmte Dateien zu öffnen. Jede Information, die ein Benutzer über sich ins Internet stellt, sollte also sorgfältig abgewogen werden. Informationen, und dazu gehören auch Fotos, Videos und Zitate, können im Internet leicht eingestellt, von anderen Personen aber auch schnell weiterverbreitet werden.

Aufgrund dessen sollte sich jeder Benutzer eines sozialen Netzwerkes über den Diensteanbieter informieren, vor allem über die Vertragsgrundlagen, die bei Nutzung dieser Dienste akzeptieren werden müssen. Es sollte beispielsweise überprüft werden,

  • welche persönlichen Daten für eine Anmeldung beim Diensteanbieter angegeben werden müssen,
  • ob und wie der Diensteanbieter die Benutzerdaten vor unbefugten Zugriff schützt, z. B. ob die virtuelle Identität vor Missbrauch durch Dritte geschützt wird,
  • wie die Datenübertragung abgesichert ist, also ob z. B. die Kommunikation grundsätzlich oder partiell verschlüsselt wird (typischerweise mit SSL), ob Passwörter oder Session-Cookies ausschließlich verschlüsselt übertragen werden,
  • ob der Diensteanbieter Benutzerprofile erstellt und an Dritte weiter gibt, z. B. um über gezielte Werbung die Plattform zu finanzieren,
  • ob die Benutzerdaten jederzeit eigenständig und vollständig gelöscht werden können.

Vor der Anmeldung bei einem sozialen Netzwerk sollten die Benutzer prüfen, wie die Plattform den Datenschutz handhabt. Sofern die Benutzer eigenständig Datenschutz-Optionen konfigurieren können, sollten diese möglichst restriktiv eingestellt werden. Die möglichen Freigaben von Daten für andere Benutzer sollten restriktiv gehandhabt werden, also z. B. in einem "öffentlichen Profil" nur die nötigsten Informationen eingestellt werden.

Benutzer sozialer Netzwerke sollten genau überlegen, welche Kontakte sie akzeptieren und welchen anderen Nutzern sie welche Informationen weitergeben. Es sollten überall nur die Informationen eingegeben werden, die für die Interaktion auf den jeweiligen Plattformen benötigt werden. Informationen über Dritte sollten nur nach Absprache mit diesen weitergegeben werden.

Der Umgang mit sozialen Netzwerken sollte in einer Behörde bzw. einem Unternehmen klar geregelt sein. Hierbei gibt es mehrere Varianten:

  • Institutionen können beschließen, die Nutzung von sozialen Netzwerken generell zu verbieten. Dies muss dann natürlich den Mitarbeitern bekannt gegeben werden. Das Verbot kann außerdem technisch durch Filterung bezüglich der bekannten Anbieter unterstützt werden, wobei berücksichtigt werden sollte, dass Benutzer immer neue Wege finden können, um auf solche Dienste zuzugreifen.
  • Es gibt auch Institutionen, in denen soziale Netzwerke offiziell für dienstliche Zwecke freigegeben ist, beispielsweise um aktuelle Informationen von Interessengruppen und Gremien zu beziehen oder auch, um aktiv eigene Dienstleistungen oder Produkte über soziale Netzwerke zu vermarkten.

Eine Behörde oder ein Unternehmen sollte klare Regelungen aufstellen, in denen beschrieben ist,

  • ob soziale Netzwerke dienstlich genutzt werden dürfen,
  • unter welchen Rahmenbedingungen sie dienstlich genutzt werden dürfen (z. B. bei der Weitergabe von Informationen, Schutz vor Schadsoftware, Nutzung von Pseudonymen, etc. ),
  • was Mitarbeiter bei der Nutzung von sozialen Netzwerken beachten sollten.

Benutzer sollten geschäftliche und private Nutzung von sozialen Netzwerken nicht vermischen und die Regelungen ihrer Institutionen kennen.

Prüffragen:

  • Ist die Nutzung von sozialen Netzwerken in der Institution klar geregelt?

  • Werden die Mitarbeiter über die Gefahren der Nutzung von sozialen Netzwerken informiert?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK