Mehr als eine Milliarde aktive Facebook-Accounts, dazu noch eine halbe Milliarde Twitter- und über 175 Millionen LinkedIn-Mitglieder: Irgendwann vor kurzer Zeit hat Forrester Research diese Daten erhoben – und wahrscheinlich sind sie in Zeiten der Social-Media-Explosion schon längst wieder veraltet. Die User sind oftmals begeistert, CIOs und IT-Abteilungen bekanntlich weniger. Forrester-Analyst Nick Hayes formuliert es so: „Social Media ist ein Sicherheits- und Risiko-Alptraum – es wird überall genutzt, zu jeder Zeit, von jedem außerhalb und innerhalb des Unternehmens.“
Nachvollziehbarerweise hat man den Alptraum erst einmal verdrängen wollen und abzuschütteln versucht – durch Verbote, die sich als vergebene Liebesmühe erwiesen. Aber man will sich von schlechten Träumen auch nicht beherrschen lassen. In die dazwischen liegende Kerbe schlägt Hayes in einer aktuellen Studie. Die Gründe für einen Social-Media-Boykott seien schlüssig gewesen, so der Analyst. Aber das Potenzial der sozialen Netzwerke, die bleiben werden, sei zu groß, um es zu verschenken. Statt Schwarz oder Weiß braucht es offenbar einen Mittelweg, auch wenn er grau erscheint. Forrester gibt den Anwendern dafür einen Leitfaden an die Hand. Die Quintessenz: Es ist an der Zeit, organisatorische Maßnahmen wie das Erstellen von Social-Media-Guidelines technologisch zu unterfüttern.
„Nur weil man Social Media nicht blockieren soll, heißt das nicht, dass man den Mitarbeitern völlig freie Hand lassen kann“, so Forrester. Unglücklicherweise fehle bei den Aktivitäten diverser Teams und Individuen meistens der Rat von Compliance- und Risikomanagement-Profis. Weil der Fokus zumeist einseitig auf den Vorteilen von Social Media liege, müssten formelle Risikomanagement-Praktiken eingeführt werden.
Der erste Schritt dabei sei die sorgfältige Analyse des internen und externen Social-Media-Kontextes im Unternehmen. Zur Verbesserung der unternehmensweiten Kommunikation und Collaboration seien Anbieter-Technologien wie Salesforce Chatter oder Yammer von Microsoft als interne Social Solutions hilfreich.
Unübersichtlicher und gefährlicher sei der externe Kontext – also die Kommunikation mit tatsächlichen und potenziellen Kunden, möglichen neuen Mitarbeitern und Geschäftspartnern. Auf dieser Flanke ist Social Media nach Forrester-Einschätzung auch ein Einfallstor für Infiltrierung, Datenklau und geknackte Accounts. „Terroristen haben sogar schon versucht, Social Media zum Sammeln militärischer Geheimnisse zu nutzen“, warnt Hayes.
PR-Mann beschimpft Kunden via Twitter
Auf dieser Grundlage seien die spezifischen Social-Media-Risiken für das eigene Unternehmen zu identifizieren und zu beschreiben. Forrester unterscheidet hier fünf Risiko-Typen: erstens Risiken für die Marke und den Ruf der Firma, zweitens Risiken für die Datensicherheit, drittens rechtliche und regulatorische Risiken, viertens operative Risiken und fünftens physische Risiken.
Die damit gemeinten Gefahren sollten inzwischen geläufig sein. Hayes reichert die abstrakte Differenzierung allerdings mit einigen eindrucksvollen Beispielen an: einem PR-Mann von Chrysler etwa, der via Twitter die Kunden aus Detroit beschimpfte; gehackten Twitter- und LinkedIn-Accounts in diesem Sommer; einem CFO, der rechtlich brisantes und sensibles Datenmaterial über Social-Media-Kanäle verbreitete; einem Finanzdienstleister, der mit dem Tracking der Web-2.0-Aktivitäten von Mitarbeitern völlig überfordert war; einem Kreditinstitut, über das der via Facebook organisierte Occupy-Wall-Street-Protest völlig überraschend hereinbrach.
In den Griff bekommen lassen sich diese Risiken mittlerweile laut Forrester mit Hilfe verschiedenartiger Spezialtools. „Ein Weg, dieses Risiken effektiver zu managen, ist der Einsatz einiger der neuartigen Software-Produkte, die der Kontrolle von Nutzung und Interaktion mit Social Media dienen sollen“, heißt es in der Studie. Schon durch eine kurze Online-Recherche ließen sich in Hülle und Fülle Tools und Plattformen aus Kategorien wie Social Media Management, Monitoring, Listening, Archiving, Compliance, Marketing, Intelligence oder Infrastructure finden. Hayes empfiehlt, sich auf vier Typen zu konzentrieren.
1. Social Control Systems: „Diese Tools statten Firmen mit der Möglichkeit aus, die Social-Media-Aktivitäten der Mitarbeiter aufzuspüren, zu überwachen, zu managen und zu archivieren, um Risiken zu reduzieren und regulatorischen Auflagen zu entsprechen“, so Forrester. Erhältlich sind die Lösungen in mehreren Abstufungen. Die Mitarbeiter behalten in der Regel ihren freien Zugang auf Social-Media-Seiten. Dort wird die Nutzung aber beobachtet und zum Teil eingeschränkt – etwa durch blockierte Liking-Buttons.
2. Social Engagement Platforms: Diese Lösungen bieten maßgeschneiderte Funktionalitäten für individuelle Mitarbeiter wie zum Beispiel Finanzberater, die den Kontakt mit Kunden via Social Media erleichtern. Es handelt sich um zentrale Portale, die die relevanten Social-Media-Accounts bündeln. „Sie machen die Kommunikation effizienter und Compliance-gerechter – durch Zugangskontrollen, Approval-Prozesse, regelbasierte Zulassung sowie die Möglichkeit zum Archivieren und Speichern der Aktivitäten“, so Forrester.
Risikomanagement und Compliance im Blick behalten
3. Social Marketing Management Platforms: Lösungen für den Kundenkontakt mit Features für Governance, Workflow und Auditing, die aber stärker auf wirksames Marketing denn auf Compliance ausgerichtet sind. Forrester hält eine Kombination mit Social Control Systems für durchaus sinnvoll.
4. Social Listening Platforms: Sowohl als Software als auch als Dienstleistung erhältlich, wird dieses Instrument vor allem von Marketing- und PR-Abteilungen genutzt. Forrester sieht aber breitere Anwendungsfelder. Social Listening Platforms könnten durchaus auch zum Monitoring für Risikomanagement- und Compliance-Zwecke eingesetzt werden. Security-Verantwortliche könnten mit diesem Werkzeug erkennen, wenn Daten beabsichtigt oder versehentlich öffentlich zugänglich sind.
Hayes hält diese neuen Technologien also allesamt für geeignete Hilfsmittel, um Potenzial und Risiken von Social Media besser auszutarieren. Allerdings rät er keineswegs dazu, blind zuzugreifen. Als allererste Maßnahme sollte man laut Forrester versuchen, der Risiken selbst Herr zu werden.
Sogar eine archaische Online-Recherche könne – wenn regelmäßig durchgeführt – helfen, Schlupflöcher für Daten oder Regelverstöße aufzufinden. Möglicherweise könnten auch vorhandene Security-Technologien wie Data Leak Prevention (DLP) so konfiguriert werden, dass sie auch für Social-Media-Kanäle geeignet sind.
„Bedenken sie sorgfältig ihre Ziele, bevor sie die Lizenz für ein Software-Produkt erwerben“, so Hayes. Zum Beispiel müsse man sich gut überlegen, welche sozialen Netzwerke im Blick behalten werden sollen: nur die großen Drei Facebook, Twitter und LinkedIn, oder auch Google+, Youtube, Instagram, Myspace, Foursquare, Pinterest, Yelp und Flickr?
Sicherheitsstandards der Anbieter prüfen
Zwei letzte Tipps hat Forrester noch parat: Zum einen sollte man sich vergewissern, ob andere Abteilungen – vor allem Sales, Marketing und PR – möglicherweise bereits Social Management Tools nutzen, deren Einsatz sich ausdehnen lässt. Zum anderen müsse man sicherstellen, ob die in Frage kommenden Anbieter – zumeist Newcomer – auch wirklich die Sicherheitsanforderungen des eigenen Unternehmens erfüllen.
Die Studie „Manage The Risks of Social Media“ ist bei Forrester erhältlich.