War 2010 das Jahr, in dem man Facebook und LinkedIn noch blöde und überflüssig finden konnte, wird 2011 das Jahr, in dem man als CIO die sozialen Netzwerke im Unternehmen zulassen muss. Der Druck auf die IT-Abteilungen jedenfalls wächst, die Zugänge ins soziale Web zu öffnen, meinen unsere Kollegin Ann Bednarz von Network World.
Der Druck kommt von vielen Seiten: Verkaufs- und Marketing-Teams möchten sich in sozialen Netzwerken engagieren, um einen besseren Draht zu ihren Kunden zu bekommen. Anwender streben nach Freiheit am Arbeitsplatz, um auch ihre persönlichen Belange bei Facebook oder Xing pflegen zu können. Und Personalverantwortliche wollen Social Media für Personalsuche und Recruiting nutzen. Im Moment werden all diese Gruppen oft genug noch durch restriktive Policies in ihren Aktivitäten ausgebremst.
Chenxi Wang, Analyst bei Forrester, sieht hier aber eine Trendwende gekommen: "Viele Unternehmen entfernen sich von der restriktiven Praxis, den Zugang zu sozialen Netzwerken zu blockieren, und bewegen sich in Richtung liberalerer Modelle." Klingt gut, ist aber eine Herausforderung. Es gilt, die Balance zu finden zwischen dem Wunsch, Mitarbeitern den Zugang in die sozialen Netzwerke zu öffnen, dabei aber gleichzeitig die Produktivität zu halten und Sicherheitsanforderungen zu erfüllen.
Experten raten dazu, das Ganze planmäßig anzugehen. Für die Bereiche Internet und E-Mail gebe es oft schon brauchbare Regelungen, während sie für den Umgang mit sozialen Diensten meist fehlen. Bradley Anstis von M86 Security rät daher zum Naheliegenden: "Zuerst sollten Unternehmen ihre bereits bewährten Policies auf alle Bereiche der Internet-Kommunikation ausweiten."
Dazu gehöre zum Beispiel eine Definition, welche Mitarbeiter in welchem Maße Zugriff auf bestimmte Internet-Dienste haben. So benötigt nicht jeder Kollege einen Account bei Youtube, um dort Videos hochladen zu können. Und nicht jeder Angestellte braucht Facebook-Anwendungen für das produktive Arbeiten. Für die meisten Beschäftigten reicht es dagegen aus, passive, Nur-Lese-Zugänge zu Internet-Diensten zu haben. Zu den erweiterten Policies gehört es auch, Benutzer über Gefahren und Risiken sozialer Netzwerke aufzuklären und Richtlinien für den Umgang mit firmeneigenen Informationen zu erlassen.
Runter von der Spaßbremse, rein ins Social Web
"Wir müssen davon wegkommen, als reine Spaßbremsen angesehen zu werden, deren einzige Aufgabe darin besteht, den Zugang zu all den coolen Internet-Diensten zu blockieren", meint Bradley Anstis. "Stattdessen müssen wir uns als vertrauenswürdige Sicherheitsberater in unserem Unternehmen bewähren. Wir müssen die Mitarbeiter beraten, wie sie sich diese Tools und Möglichkeiten sicher erschließen können."
Vor allem müssen CIOs sich zuerst einmal den Realitäten stellen. Zumindest die Ergebnisse einer Umfrage von FaceTime Communications unter 1.654 IT-Managern und Anwendern Ende 2010 legen den Schluss nahe, dass das noch nicht überall der Fall ist. In der Studie schätzen 62 Prozent der IT-Professionals, dass innerhalb der IT-Infrastruktur ihrer Firma soziales Netzwerken praktiziert wird. Aktuelle Daten aus der Auslieferung von FaceTime-Geräten zeigen aber, dass der tatsächliche Wert wohl eher bei 100 Prozent liegt.
File-Sharing-Tools wurden in 74 Prozent aller angeschlossenen Unternehmen entdeckt, obwohl nur 32 Prozent der IT-Verantwortlichen davon ausgehen, dass es so etwas bei ihnen gibt. Webbasierte Chatprogramme schließlich wurden in 95 Prozent der untersuchten Betriebe entdeckt, wo nur 31 Prozent der IT-Leiter davon ausgehen, so etwas zu haben.
Sich den Realitäten zu stellen, heißt wohl auch, sich den anstehenden Aufgaben zu stellen: Zukünftig müssen IT-Verantwortliche nicht mehr die sozialen Netzwerke verbannen, sondern aktiv die Sicherheitsrisiken adressieren, die bei ihrer Benutzung entstehen: das Eindringen von Malware ins Firmennetz etwa, oder die unbeabsichtigte Weitergabe vertraulicher Firmeninformationen. Mit den sozialen Netzwerken vergrößert sich die Zahl der Kanäle, auf denen sensible Informationen das Unternehmen verlassen können.
Um die Social Media-Aktivitäten ihrer Mitarbeiter zu regeln, muss die IT in der Lage sein, auf dem Anwendungslevel nutzer- oder gruppenspezifische Policies durchzusetzen. Web-Filterwerkzeuge reichen dafür nicht, meint Forrester. Es sei ebenso wichtig, Skript-basierte Malware erkennen und blockieren zu können. Und es bedürfe Kapazitäten, um nicht nur herunter geladenen Content zu analysieren, sondern ebenso verschickte Inhalte, um zu gewährleisten, dass Datenschutzregelungen nicht verletzt werden.
Qualifizieren und Entscheidungsfreiheit lassen
All diese notwendigen Regelungen werden für Mitarbeiter gemacht, die sich in ihren Social Media-Aktivitäten nicht so kontrollieren oder reglementieren lassen wollen, wie das für andere Bereiche der firmeneigenen IT-Infrastruktur gilt. Das Verhalten von Mitarbeitern lasse sich nicht automatisieren, meint Forrester-Analyst Wang.
Er rät: "Halten Sie Augen und Ohren offen, um zu verstehen, was Ihre Mitarbeiter online tun. Ich würde Anwender auf die Risiken aufmerksam machen und ihnen die Werkzeuge an die Hand geben, mit denen sie diese Risiken in den Griff kriegen können. Aber ich würde sie ihre eigenen Entscheidungen treffen lassen."