• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Masterthese Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken B2B
 

Masterthese Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken B2B

on

  • 4,104 views

Digital Natives sind in den Unternehmen angekommen. Die Sozialisierung dieser jungen Menschen mit Massenmedien hat Soziale Netzwerke im `WWW´ wie `Facebook´, `XING´ und `LinkedIN´ zu natürlichen ...

Digital Natives sind in den Unternehmen angekommen. Die Sozialisierung dieser jungen Menschen mit Massenmedien hat Soziale Netzwerke im `WWW´ wie `Facebook´, `XING´ und `LinkedIN´ zu natürlichen Kommunikationsinstrumenten für alle gemacht. Wirtschaftliche Entscheidungsprozesse im B2B Geschäft werden stark durch persönliche Beziehungen beeinflusst. Die Pflege dieser Beziehungen findet heute unter anderem in diesen Sozialen Netzwerken statt. Unternehmen und MitarbeiterInnen müssen die Bedrohungen für Unternehmen und die eigene Person kennen. Es müssen entsprechende Vorkehrungen getroffen werden, um die Vorteile dieser Netzwerke ohne Schaden für das eigene Unternehmen zu nutzen.
Die Ergebnisse der Forschungsarbeit bilden einerseits die Grundlage für die Entwicklung von individuellen `Social Media Richtlinien´. Andererseits sind sie eine Hilfestellung für RisikomangerInnen, bei der Beurteilung der Risiken dieser Sozialen Netzwerke als Beziehungsmanagementinstrument in Unternehmen.
Digital Natives have `landed´ in the companies. Young people are socialized with mass media. Social networks, like `Facebook´, ´XING´ and `LinkedIN´, are now common communication instruments for everyone. Personal relations have a major impact on economic B2B decision processes. Today relationship management is also done in these social networks. A company and its employees have to know the threats for the company and for themselves. They have to take necessary precautions to use the advantages of social networks without harm for his company.
The results of this research are fundamental for the development of individual `Social Media Guidelines´ and support to risk managers, evaluating social networks as relationship management tools in companies.

Statistics

Views

Total Views
4,104
Views on SlideShare
4,102
Embed Views
2

Actions

Likes
0
Downloads
38
Comments
0

1 Embed 2

http://paper.li 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Masterthese Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken B2B Masterthese Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken B2B Document Transcript

    • Bedrohungen bei der individuellen Nutzung von sozialen Netzwerken im B2B Kontext Welche spezifischen Bedrohungen ergeben sich für Unternehmen aus der individuellen Nutzung von sozialen Netzwerken im WWW, wie Facebook, XING und LinkedIn, als Beziehungsmanagement Tool der MitarbeiterInnen im B2B Kontext im Lichte von Enterprise 2.0. Master Thesis zur Erlangung des akademischen Grades Master of Science MSc Im Universitätslehrgang MSC Interactive Media Management 3 verfasst von Günther R. NeukampEingereicht am Department für Interaktive Medien und Bildungstechnologien der Fakultät für Bildung und Medien an der Donau Universität Krems Betreuer: Univ.-Lektor Mag. Aga Kwiecinski Tag der mündlichen Prüfung: 16.9.2011 Krems, September 2011
    • AbstractDigital Natives sind in den Unternehmen angekommen. Die Sozialisierung dieserjungen Menschen mit Massenmedien hat Soziale Netzwerke im `WWW´ wie`Facebook´, `XING´ und `LinkedIN´ zu natürlichen Kommunikationsinstrumentenfür alle gemacht. Wirtschaftliche Entscheidungsprozesse im B2B Geschäft werdenstark durch persönliche Beziehungen beeinflusst. Die Pflege dieser Beziehungenfindet heute unter anderem in diesen Sozialen Netzwerken statt. Unternehmen undMitarbeiterInnen müssen die Bedrohungen für Unternehmen und die eigene Personkennen. Es müssen entsprechende Vorkehrungen getroffen werden, um die Vorteiledieser Netzwerke ohne Schaden für das eigene Unternehmen zu nutzen.Die Ergebnisse der Forschungsarbeit bilden einerseits die Grundlage für dieEntwicklung von individuellen `Social Media Richtlinien´. Andererseits sind sie eineHilfestellung für RisikomangerInnen, bei der Beurteilung der Risiken dieser SozialenNetzwerke als Beziehungsmanagementinstrument in Unternehmen.Digital Natives have `landed´ in the companies. Young people are socialized withmass media. Social networks, like `Facebook´, ´XING´ and `LinkedIN´, are nowcommon communication instruments for everyone. Personal relations have a majorimpact on economic B2B decision processes. Today relationship management is alsodone in these social networks. A company and its employees have to know thethreats for the company and for themselves. They have to take necessary precautionsto use the advantages of social networks without harm for his company.The results of this research are fundamental for the development of individual`Social Media Guidelines´ and support to risk managers, evaluating social networksas relationship management tools in companies.
    • VorwortIch hatte als Manager in den Branchen Industrierohstoffe, Verpackung,Industriedienstleistungen, Personalentwicklung und Business Consulting immerwieder die Aufgabe die persönliche Beziehung zwischen MitarbeiterInnen deseigenen Unternehmens und anderer Unternehmen zu fördern, zu entwickeln und zupflegen.Seit 2006 befasse ich mich beruflich mit Social Media Aktivitäten zur Unterstützungder Akquisition und Kundenbindung von Unternehmen im Bereich BusinessConsulting, Software und Industrie.Im Jahr 2008 absolvierte ich den 5. Strategischen Führungslehrgang im Auftrag derösterreichischen Bundesregierung und des Nationalen Sicherheitsrates, welcher sichauch intensiv mit Corporate Security und Cyber Crime Herausforderungenauseinandersetzt.Seit 2008 bin ich nebenberuflich Lektor an der FH Campus Wien im Bachelorstudium„Integriertes Sicherheitsmanagement“ und im Masterprogramm „Corporate Securityund Risikomanagement“ für die Themen Verhandlungstechnik, Führung undPräsentationstechnik.Zahlreiche Unternehmen sind bis heute nicht auf die Social Media Aktivitäten ihrerMitarbeiterInnen vorbereitet.Damit lag das Forschungsfeld für meine Master These auf der Hand.Ich widme diese Arbeit meiner 88jährigen Großmutter, die mir von Kindesbeinen animmer fest zur Seite steht. Sie kann nur wenig mit den Inhalten dieser Arbeitanfangen, aber ohne ihre Unterstützung wäre ich nicht wer ich heute bin. Danke!
    • Inhaltsverzeichnis1. Einleitung 1.1. Ausgangssituation und Zielsetzung - 1 1.2. Aufbau dieser Masterthesis - 42. Begriffsdefinition und Theoretische Grundlagen 2.1. Unternehmensrisiken und Bedrohungen - 5 2.2. Soziale Netzwerke - 16 2.2.1. Die Zeit vor `facebook´, `XING´ und `LinkedIn´ - 16 2.2.2. `facebook´ - 18 2.2.3. `XING´ - 28 2.2.4. `LinkedIn - 34 2.3. Enterprise 2.0 - 34 2.4. B2B Beziehungsmanagement - 363. Forschungsmethoden 3.1. Literarische Forschung - 40 3.1.1. „How to avoid Facebook & Twitter Disasters“ (Null, 2009) - 40 3.1.2. “Facebook, Myspace & Co” (Zimmer, 2009) - 45 3.1.3. „Gesamte Rechtsvorschrift für Urheberrechtsgesetz“ (Bundesgesetz, 2011) - 46 3.1.4. „Safer Surfing“ (saferinternet.at, 2011) und „internet sicher nutzen“ (ispa, 2011) - 48 3.1.5. „Arbeitsrecht für die betriebliche Praxis“ (Mayrhofer, 2011) - 51 3.1.6. „Building A World-Class Compliance Program” (Biegelman, 2008) - 53 3.1.7. “Unsere Kommunikation der Zukunft“ (Scoble, et al., 2007) - 54 3.1.8. „Gefahren durch Wirtschafts- und Industriespionage für die österreichische Wirtschaft“ (BMI, 2010) - 55 3.1.9. „Infoblatt Elektronische Abwehr“ (Abwehramt, 2006) - 56 3.1.10. „Sophos Security report 2011“ (Sophos, 2011) - 57 3.1.11. “Implementing Solutions to Social Media´s Security Risks” (Security Directors Report, 2010) - 61 3.1.12. “Cisco 2010 Annual Security Report” (Cisco, 2010) - 61 3.1.13. “Industriespionage 2.0 – Soziale Netzwerke und Ihre Auswirkungen auf die Firmensicherheit“ (Poller, 2008) - 63 3.1.14. „Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World” (Haid, 2010) - 64 3.1.15. “10 THINGS you should know now about…. SOCIAL MEDIA SECURITY” (Reisinger, 2009) - 65 3.1.16. “Informationstechnologie – Sicherheitstechnik ÖNORM ISO/IEC ISO 27001“ (ON Österreichisches Normungsinstitut, 2008) - 66 3.2. Forschungsabschluss 3.2.1. Schwachstellen, Bedrohungen, Straftaten - 72 3.2.2. Gründe für Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen - 74 3.2.3. Allgemeine Handlungsempfehlungen für MitarbeiterInnen in Sozialen Netzwerken - 75 3.2.4. Unternehmensseitige Handlungsempfehlung bei der Nutzung von Sozialen Netzwerken durch MitarbeiterInnen - 77 3.2.5. Besondere Handlungsempfehlungen für Unternehmen in sensiblen Industrien mit hoher Relevanz für potentielle Angreifer - 824. Anhänge 4.1. Literaturverzeichnis - 83 4.2. Abbildungsverzeichnis – 86
    • 1. Einleitung 1.1. Ausgangssituation und Zielsetzung Unternehmen im `Business to Business´ (B2B) Bereich verlangen von ihren MitarbeiterInnen den Aufbau und die Pflege von persönlichen Beziehungen zu MitarbeiterInnen und EntscheidungsträgerInnen von KundInnen, LieferantInnen und anderen GeschäftspartnerInnen. Persönliche Beziehungen haben große Bedeutung für den Erhalt bestehender Kundenbeziehungen: ‚Lastly, it was found that commitment in a relationship can be enhanced if clients do not regard services on offer from alternative service providers as more attractive than those offered by their current service provider.‛ (Theron & Terblanche & Boshoff, 2008 S. 1007) Für viele Unternehmen stellt der persönliche Austausch über private B2B Austauschplattformen eine kostengünstige Form des Informations- austausches dar. (vgl. Chinn & Unkle, 2006 S. 1) Eine für persönliche B2B Kontakte optimierte Austauschplattform ist die Social Media Plattform `XING´: „Zielgruppe dieser Plattform sozialer Software sind berufstätige Personen, die ihr Kontaktnetzwerk (Partner, Kunden, Freunde, Interessenten, Ex- Kollegen, Ex-Kommilitonen etc.) online pflegen. Um Mitglied zu werden, müssen Internetnutzer das 18. Lebensjahr vollendet haben.‚ (wikipedia, 2011 S. 1) XING ist lt. eigenen Angaben Marktführer in der DACH- Region (Deutschland, Österreich, Schweiz) im B2B Segment mit 4,69 Mio. NutzerInnen (vgl. Möller, 2011 S. 7) Weltweiter Marktführer im persönliche B2B Austausch ist lt. eigenen Angaben die Social Media Plattform `LINKEDIN´: „LinkedIn operates the world’s largest professional network on the Internet with more than 100 million members in over 200 countries and territories< <More than half of LinkedIn members are currently located outside of the United States.‛ (Linkedin, 2011 S. 1) Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 1
    • Neben den dezidierten B2B Social Media Plattformen werden B2BBeziehungen auch auf der allgemeinen Social Media Plattform `FACEBOOK´gepflegt: „Österreich wies per 31. Dezember 2010 einen neuen Rekordmitglieder-bestand von 2.258.020 Personen aus. Am 27. November 2008 waren lediglich224.780 Personen in Österreich auf Facebook registriert.‚ (wikipedia, 2011,Seite 1)Die Nutzung von `Facebook´ in Österreich stieg demnach im Zeitraum vonNovember 2008 bis Dezember 2010 um über 1000%.Nicht zuletzt deswegen stellt sich also die Frage, warum sich auch Unternehmen mit demPhänomen der Social Media Plattformen auseinandersetzen sollten, und welcheBedeutung diese aus Sicht der ArbeitgeberInnen haben. Denn eine neue Generation vonMitarbeiterInnen verändert den Kommunikationsbedarf von Unternehmen:„It is now clear that as a result of this ubiquitous environment and the sheervolume of their interaction with it, today’s students think and processinformation fundamentally differently from their predecessors. These differencesgo far further and deeper than most educators suspect or realize. < <As weshall see in the next instalment, it is very likely that our students’ brains havephysically changed – and are different from ours – as a result of how they grewup. But whether or not this is literally true, we can say with certainty that theirthinking patterns have changed. I will get to how they have changed in aminute.What should we call these ‚new‛ students of today? Some refer to them asthe N-[for Net]-gen or D-[for digital]-gen. But the most useful designation Ihave found for them is Digital Natives. Our students today are all ‚nativespeakers‛ of the digital language of computers, video games and theInternet.‚ (Prensky, 2001 S. 1)Die `Digital Natives´ sind in den Unternehmen angekommen.Wenn wir von dieser Generation den Aufbau und die Pflege vonpersönlichen Beziehungen verlangen, müssen wir – auf Grund der intensivenSozialisation durch Massenmedien - die Sozialen Funktionen vonMassenmedien berücksichtigen:Roland Burkart unterteilt diese in soziale, politische und ökonomischeFunktionen. Als Soziale Funktionen definiert er Sozialisationsfunktion,soziale Orientierungsfunktion, Rekreationsfunktion undMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 2
    • Integrationsfunktion.(vgl. Burkart, 2002 S. 382)`Digital Natives´ sehen dementsprechend Social Media Plattformen als natürliche Formder Kommunikation und Beziehungspflege. „`Digital Natives´ sind mit Wikis, Blogs und Social Networks aufgewachsenund unterscheiden kaum mehr zwischen virtueller und realer Welt.Unternehmen sind gut beraten, die Web-Ureinwohner ernst zu nehmen.Denn sie können nicht weniger als unsere Gesellschaft verändern<<Besonders Unternehmen mit konservativen Strukturen fällt es schwer, sichmit den Bedürfnissen der Digital Natives anzufreunden: Für viele der jetztjungen Netzgeneration stellt der `Nine-to-Five-Job´ ein Relikt aus Zeiten derIndustrialisierung dar. Als Netzwerkarbeiter befinden sich viele ihrer Kollegen und Kontakte inverschiedenen Zeitzonen, sie bevorzugen flache Hierarchien, das Recht aufMitbestimmung, Transparenz und Herausforderungen. Dafür bieten sieflexible Prozessstrukturen und arbeiten oft hoch effizient‚ (Neef Schroll &Theis, 2009, Seite 1)Unternehmen stehen damit vor der Herausforderung die Risiken derNutzung von Social Media Plattformen durch ihre MitarbeiterInnen zubewerten und darauf abgestimmte Maßnahmen zu ergreifen.Die Verbindung der Erfahrungen im B2B Beziehungsmanagement, SocialMedia und Corporate Security führt den Verfasser dieser Master Thesis zufolgender wissenschaftlicher Fragestellung:Welche organisatorischen Maßnahmen sind seitens eines Unternehmens empfehlenswertum die allgemeinen Unternehmensrisiken bei der Nutzung von Social Media Plattformendurch MitarbeiterInnen als B2B Beziehungsmanagementtool zu reduzieren?Die gegenständliche Arbeit befasst sich nicht mit den technischen Risiken,welche sich für die IT Infrastruktur aus der Nutzung von Social MediaPlattformen durch MitarbeiterInnen ergeben.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 3
    • 1.2. Aufbau dieser Master Thesis Die Methodik ist eine (reine) Literaturarbeit, die - wie für die neuen, interaktiven Medien ja nicht ungewöhnlich - interdisziplinären Fragestellungen, z.B. aus dem Bereich Corporate Security und Risikomanagement (und damit bereits von ihrem grundsätzlichen Methodenansatzpunkt her dezidiert NICHT empirisch), gewidmet sein kann. Aufgrund des Themas ist die Einbeziehung von Onlineartikeln inkl. Wikipedia ausdrücklich seitens der Studiengangs Leitung zulässig. Die Arbeit umfasst ca. 86 Textseiten Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 4
    • 2. Begriffsdefinition & Theoretische Grundlagen Als Vorbereitung der Forschungsarbeit ist es wichtig Begriffe, Kontext und Besonderheiten zu beschreiben. Besondere Spezifika sind zu erläutern aber auch die eigene Position und Perspektive zu beleuchten. 2.1. Unternehmensrisiken und Bedrohungen Es gibt unterschiedliche Herangehensweisen bei der Gliederung von Unternehmensrisiken: „Unternehmensrisiken oder unternehmerische Risiken können als Risikoprofil mit einer Rangfolge in einem Geschäftsbericht veröffentlicht werden. Beispiele aus solchen Geschäftsberichten unterscheiden Projektrisiken, Produktrisiken, Marktrisiken, Sonstige Betriebsrisiken, Organisations- und Governance-Risiken, Risiken der strategischen Planung, Personalwirtschaftliche Risiken, Ökonomische Risiken, Finanzrisiken, Kommunikations- und Informationsrisiken.‚ (Joerg Schultze-Bohl Dipl.Inform., 2011 S. 1) Das Information Security Management von Bell Labs baut auf die Informationssicherheitsnorm ISO/IEC 27001:2005 auf und gliedert Risiken in folgende Klassen: „ISO/IEC 27001:2005 Annex A contains control objectives and security controls. These control requirements were derived from ISO/IEC 17799:2005 [3], clauses 5 to 15. The 11 clauses or major sections include: Security policy, Organizing information security, Asset management, Human resources security, Physical and environmental security, Communications and operations management, Access control, Information systems acquisition, development and maintenance, Information security incident management, Business continuity management and Compliance.‛ (McGee Bastry Chandrashekhar Vasireddy Flynn, 2007 S. 40) Interne Auditoren unterstreichen bereits 2008 erstmals die Bedeutung von ISO 27000 neben `Enterprise Risk Management´ (ERM) und `Fraud Risk Management (FRM): „The 2008 Internal Audit Capabilities and Needs Survey from Protiviti found that among internal auditors, the top technical competencies in need of improvement were ISO 27000, enterprise risk management (ERM) and fraud risk management (FRM). Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 5
    • Chief audit executives (CAE) constituted more than a third of the 516 auditprofessionals who participated in the study. CAEs also named ISO 27000, thecertification standard for information security developed by the InternationalOrganisation for Standardization, as their top competency in need toimprovement, followed by COSO and FRM.‛ (protiviti.com, 2008 S. 25)Risikomanagement zählt nach wie vor nicht zu den Top Prioritäten der Vorstände undFührungskräfte in Unternehmen:„The top priority for boards in 2010 is ‚strategic planning and oversight,‛noted by 67.5% of respondents, followed by ‚corporate performance andvaluation‛ for 41.5% of directors. ‚Risk and crisis oversight,‛ ‚executivetalent management and leadership development‛ and ‚CEO succession‛ areother top board priorities.The level of risk in corporate strategy is appropriate for 86.8% of respondents,although 32.4% of management teams do not have a comprehensive riskassessment and 11.7% of directors are not asked to approve the risk profile inthe corporate strategy.‛ (NACD Research, 2010 S. 44)Viele der Risiken im Bereich Social Media sind für Außenstehendeundurchsichtig und schwer greifbar. Das erschwert die Kommunikation derdamit verbundenen Unternehmensrisiken zusätzlich.Der Eintritt in neue Marktplätze wie Social Media Plattformen erfordert beimRisikomanagement ähnliche Sorgfalt wie der Eintritt in Emerging Markets:‚Of course, the risks of investment may simply be too great to justify entryinto certain political zones. But in many cases investors who explicitlyrecognize the dynamism of the environment and implement appropriatestrategies to address it will find the risks quite manageable.‛ (Henisz &Zelner, 2010 S. 95)Für das Risikomanagement im Bereich Social Media Plattformen heißt dasBewusstsein für die Dynamik und schwierige Beherrschbarkeit zu entwickelnund transportieren. - Wenn ich weiß, dass ich mich auf dünnem Eis bewege, werde iches entsprechend vorsichtig tun.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 6
    • Risiken sind nicht einfach zu eliminieren:„But – < – don’t believe that it’s easy to eliminate a risk. When you buyinsurance, for example, what you’re really buying is an option to make aclaim against somebody you hope will be good for the payment. So you’vejust converted one kind of risk into another.‛ (Kaplan, 2009 S. 73)RisikomanagerInnen müssen auch Risiken in Kauf nehmen:‚A credible risk manager also has to be a risk taker. If you keep saying no,you will go out of business.‛ (Hofmann, 2009 S. 75)Die Grenzen des Risikomanagements zeigen sich auch sehr gut im Finanzsektor.Legionen von RisikomanagerInnen in Banken und Versicherungen versuchenRisiken abzuschätzen. Die Lehren aus dem schnelllebigen Finanzsektorkönnen auch im Zusammenhang mit Risikomanagement für Unternehmenim Umgang mit Social Media Plattformen hilfreich sein:„To manage risk effectively, you have to choose the right data and metricsand have a clear sense of how all the moving parts work together.Risk managers routinely make six fundamental mistakes:Relying on historical data. Risk-management modelling involves extrapolatingfrom the past, but rapid financial innovation in recent decades has madehistory an imperfect guide.EXAMPLE Historical data were of little use in estimating the impact of therecent fall in house prices, because those data didn’t cover a period duringwhich the market saw a downturn while a large number of subprimemortgages were outstanding.‛ (Stulz, 2009 S. 89)Interaktive Soziale Netzwerke wie `Facebook´, `XING´ und `LinkedIn´ sinderst wenige Jahre alt. Die Lebenszeit der Strukturen und Funktionalitäten istäußerst kurz und permanent im Umbruch begriffen.‚Focusing on narrow measures. Many financial institutions use daily measures totrack risk. These underestimate a firm’s exposure, because they assume thatassets can be sold quickly, limiting the firm’s losses within a day.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 7
    • EXAMPLE Financial crises involve a dramatic withdrawal of liquidity fromsecurities markets, leaving firms exposed for weeks or months on positionsthey cannot easily unwind.‛ (Stulz, 2009 S. 89)Die Konzentration auf wenige Parameter zur Erfassung von Risiken ist beider Komplexität von Interaktiven Medien schwierig. MassiveReputationsschäden oder Know How Diebstahl können oft nur mit großemAufwand behoben werden.‚Overlooking knowable risks. Risk managers simply overlook many types of riskand sometimes even create them.EXAMPLE Investors in Russia tried to hedge the risk of a collapse in theruble by taking currency positions with Russian banks. But they failed torecognize that a shock to the banking system would threaten those banks’ability to meet their commitments.‛ (Stulz, 2009 S. 89)RisikomanagerInnen übersehen Risiken oder kreieren sie selbst: Der Einsatzvermeintlich schützender Technologie, schafft unter Umständen erst denZugang für neue Bedrohungen – später mehr dazu.‚Overlooking concealed risks. People responsible for incurring risk often don’treport it – sometimes deliberately, but often unintentionally. Organizationshave a tendency to expand unreported risks.EXAMPLE If traders receive a share of the profits they generate but do nothave to defray the losses, they have an incentive to take risks, which is easierto do if the risks are unmonitored.‛ (Stulz, 2009 S. 89)Verantwortliche für die Sicherheit unterlassen es aus unterschiedlichstenGründen Risiken zu berichten. Die Tendenz von Organisationen gewisseRisiken nicht zu berichten, wird gerade bei unbekannten Themen, wieSozialen Netzwerken, bis zum Bekanntwerden von Schadensfällen in derÖffentlichkeit verstärkt.‚Failing to communicate. Risk-management systems will provide little protectionif risk managers don’t communicate clearly.EXAMPLE The Swiss bank UBS attempted to explain its subprime andhousing exposures in an overly complex way and to the wrong audience.‛(Stulz, 2009 S. 89)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 8
    • Eine klare Kommunikation der potentiellen Risiken ist gerade bei derKommunikation mit Menschen ohne Bezug zu interaktiven SozialenNetzwerken schwierig.Meinungen vieler Executive ManagerInnen schwanken, vor allem je nachpersönlicher Affinität zu neuen Medien, zwischen Verbot und selektiverFreigabe.„Not managing in real time. Risks can change sharply and quickly with dailyfluctuations in the stock market.EXAMPLE Managers, holding a barrier call option, that doesn’t check the riskthroughout the day may fail to put appropriate hedges in place.” (Stulz, 2009S. 89)Bedrohungen durch soziale Netzwerke sind im Extremfall, in ihrerAuswirkung auf Unternehmen, vergleichbar mit unerwarteten globalenKrisen oder atomaren Störfällen. Die Vorhersehbarkeit ist äußerst schwierig:„Black Swan Events“ sind die Feinde konventioneller RisikomanagerInnen:‚Black Swan events are almost impossible to predict. Instead of perpetuatingthe illusion that we can anticipate the future, risk management should try toreduce the impact of the threats we don’t understand.WE DON’T LIVE in the world for which conventional risk-managementtextbooks prepare us. No forecasting model predicted the impact of thecurrent economic crisis, and its consequences continue to take establishmenteconomists and business academics by surprise.Moreover, as we all know, the crisis has been compounded by the banks’ so-called risk-management models, which increased their exposure to riskinstead of limiting it and rendered the global economic system more fragilethan ever.Low-probability, high-impact events that are almost impossible to forecast –we call them Black Swan events – are increasingly dominating theenvironment. Because of the internet and globalization, the world has becomea complex system, made up of a tangled web of relationships and otherinterdependent factors.Complexity not only increases the incidence of Black Swan events but alsomakes forecasting even ordinary events impossible. All we can predict is thatMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 9
    • companies that ignore Black Swan events will go under.‛ (Taleb Goldstein & Spitznagel, 2009 S. 78-79) Die Auseinandersetzung mit dem `Black Swan Event´ hilft uns Risikomanagementansätze zu relativieren: „Warum in aller Welt machen wir so viele Vorhersagen? Noch schlimmer aber auch interessanter: Weshalb sprechen wir nicht darüber, wie gut unsere bisherigen Vorhersagen waren? Wieso sehen wir nicht, dass uns die großen Ereignisse (fast) immer entgehen? Das nenne ich den Skandal bei den Vorhersagen.‚ (Taleb, 2007 S. 174) Das Beispiel Sony zeigt die Komplexität des Risikomanagements in der Social Media Welt: Im April 2011 brach für Playstation User der Mythos – „SONY‚ zusammen: Ein - Black Swan Event - hat massive Reputationsschäden verursacht: „´Super-GAU´ im Playstation Network - Hacker stehlen Sony Millionen Kundendaten - Seit Tagen ist Sonys Online-Plattform Playstation Network nicht erreichbar. Jetzt ist bekannt, warum. Ein digitaler Super-GAU. Nach einem Angriff auf Sonys ´Playstation Network´ (PSN) fielen Hackern Passwörter und Adressen von 75 Millionen Kunden in die Hände – vielleicht sogar deren Kreditkarten-Informationen. Betroffen ist neben dem PSN auch der Video- und Musikservice Qriocity. Eine unbekannte Person habe sich Zugang zu persönlichen Daten wie Name, Adresse, E-Mail-Adresse, Geburtsdatum der Nutzer verschafft, so Sony. Auch Zugangsdaten und Passwörter seien nach derzeitigem Kenntnisstand ausgespäht worden, möglicherweise ebenfalls die Liste der Käufe. ´Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarten-Informationen widerrechtlich zugegriffen wurde, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen´, warnte Sony. Die Kunden sollten nun besonders wachsam sein, um keinem Betrug aufzusitzen, und ihr Konto kontrollieren.‚ (Computerwelt, 2011 S. 1) Das Mission Statement von Sony, ‚Sony is committed to developing a wide range of innovative products and multimedia services that challenge the way consumers access and enjoy digital entertainment. By ensuring synergyMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 10
    • between businesses within the organisation, Sony is constantly striving to create exciting new worlds of entertainment that can be experienced on a variety of different products.‛ (Sony, 2011 S. 1) , wurde damit aus Risikomanagement Perspektive komplett in Frage gestellt. Wurden die Risiken des unbefugten Zugriffes auf Passwörter und Adressen von 75 Millionen Kunden entsprechend bewertet und gemanagt? In dem Computerweltartikel am 27.4.2011 (Computerwelt, 2011 S. 1) wird bereits die Möglichkeit eingeräumt, dass auch auf Kreditkarteninformationen von KundInnen Zugriff bestand. Anfang Juni 2011 kam es zum nächsten Zwischenfall: Andy Bloxham Reporter des „telegraph‚ beziffert am 3.6.2011, anlässlich dieses neuerlichen Angriffes auf Sony, die aktuellen Schadensabschätzungen: „<Hackers have attacked ´Sony´ and stolen the private details of more than a million people in the latest security breach to hit the electronics giant. ‚ (Bloxham, 2011 S. 1) In diesem Artikel beziffert er in Folge den Schaden für ´Sony´ aus dem zuvor beschriebenen ´Super-GAU´: „The latest hack comes just over a month after Sonys enormous PlayStation Network was attacked. In that incident the data of about 70m customers was stolen, in what is thought to have been the largest hack in history. The network has only come back online in recent weeks, with the cost of the fallout estimated at more than £900m.‛ (Bloxham, 2011 S. 1) Die Schadensumme wird so im Juni 2011 mit umgerechnet (1€ = 117,38 Yen) 1 Mrd € beziffert, das ist fast das Vierfache ´operating income´ der Sony Corporation im Jahr 2010.‚ (vgl. Sony, 2010 S. 54) Die Anpassung des ´net income´ vom 23.5.2011 - im vorläufigen Endergebnisses für das Geschäftsjahr 2011 (endete am 31.3.2011) - auf Grund der Auswirkungen des Erdbebens von Fukushima liegt bei umgerechnet 3 Mrd €. (vgl. SONY, 2011 S. 1) Die Bezeichnung des Sony Playstation ´hack´ als Super-GAU scheint damit durchaus gerechtfertigt.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 11
    • Dieses Beispiel zeigt die Verwundbarkeit moderner Kommunikations- technologien. Jeder Nutzer von Social Media Plattformen muss sich der Risiken bewusst sein und dementsprechend handeln. So berichtete Google Anfang Juni 2011 ‚<it had detected and disrupted a campaign aimed at stealing passwords of hundreds of Google email account holders including senior U.S. government officials, Chinese activists, and journalists.‛ (IBTimes, 2011 S. 1) Der unbefugte Zugriff auf persönliche Daten zählt damit zu den größten Herausforderungen bei Social Media Netzwerken. Die Untersuchungen dieser Masterthese befassen sich vor allem mit User seitigen Vorkehrungen um sich möglichst sicher auf Social Media Plattformen zu bewegen. Die technischen Aspekte sind vielfältig und müssen von den IKT Verantwortlichen des jeweiligen Unternehmens berücksichtigt werden. Was ist nun das größte userseitige Risiko bei der Nutzung von Social Media Plattformen? „Remember that the biggest risk lies within us: We overestimate our abilities and underestimate what can go wrong. The ancients considered hubris the greatest defect, and the gods punished it mercilessly. Look at the number of heroes who faced fatal retribution for their hubris: Achilles and Agamemnon died as a price of their arrogance; Xerxes failed because of his conceit when he attacked Greece; and many generals throughout history have died for not recognizing their limits. Any corporation that doesn’t recognize its Achilles’ heel is fated to die because of it.‛ (Taleb Goldstein & Spitznagel, 2009 S. 81) Das größte Risiko ist der Mensch. Um die Unternehmensseitigen Risiken bei der Nutzung von Social Media Plattformen durch MitarbeiterInnen zu erarbeiten müssen wir auch einige Cyber Crime spezifische Bedrohungen beleuchten: Am 23.9.2001 wurde in Budapest die Convention of Cybercrime (dt. Übereinkommen über Computerkriminalität) verabschiedet vgl. (Europe, 2001 S. 1): Der Europarat unterscheidet darin:Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 12
    •  Straftaten gegen die Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Computerdaten und -systemen wie rechtswidrigen Zugang, rechtswidriges Abfangen, Eingriff in Daten, Eingriff in ein System, Missbrauch von Vorrichtungen.  Computerbezogene Straftaten wie computerbezogene Fälschungen, computerbezogener Betrug.  Inhaltsbezogene Straftaten wie solche mit Bezug zur Kinderpornographie.  Straftaten in Zusammenhang mit Verletzungen des Urheberrechts und verwandter Schutzrechte  Weitere Formen der Verantwortlichkeit und Sanktionen wie Versuch und Beihilfe oder Anstiftung, Verantwortlichkeit juristischer Personen und Sanktionen und Maßnahmen (vgl. Europe, 2001 S. 3-7)Im Jahr 2007 definiert Europol im Rahmen eines ´Threat Assessment´ des HighTech Crime Center (vgl. Europol, 2007 S. 6) Typologien von Bedrohungen:  The involvement of criminal organisations in high tech crimes  Botnets and crimewares  Phishing & Identity Theft ‚Phishing is a type of social engineering over the internet that yields plenty of revenue for criminal organisations. This social engineering is combined with technical artifices with the aim of stealing personal and financial data. The crimes that are conceived consist of fraud and identity theft.‛ (Europol, 2007 S. 27)  Pharming ‚Another kind of dangerous electronic social engineering, very similar to phishing, is called Pharming which is more difficult to detect because it consists of the manipulation of the Domain Name Server (DNS) that at the moment of the resolving IP address, the user is re- directed to a fraudulent site.‛ (Europol, 2007 S. 29)  Vishing ‚The latest ‘phishing evolution’ which yields illicit money for organised crime in this area is called Vishing which is not web-based but consists of perpetrating fraud using VOIP. In other words, a dialler calls customers and an automatic voice starts pretending to be the financial institute; it then requests credit card numbers including theMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 13
    • Card Validation Code (CVV). The frauds over IP are becoming more and more widespread.‛ (Europol, 2007 S. 30-31)  SMiShing „Even less countermeasures can be adopted when facing one of the main criminal threats that will worry LEA in the immediate future, namely SMiShing41. In other words, this latest threat attacks mobile phones, connected to the internet. The user receives a link to a web site and when clicking a Trojan enters into action with imaginable consequences in the mobile phone’s content.‛ (Europol, 2007 S. 30)  Critical Information Infrastructures  Cyber terrorism  Trafficking of Child Pornography Images on the Internet  Drugs Trafficking on the InternetAnfang 2011 stellt Europol - im Threat Assessment zum Thema InternetFacilitated Organized Crime (vgl. Europol, 2011 S. 2) - weitereBedrohungstypologien vor:  The Digital Underground Economy ‚There is now a sophisticated and self-sufficient digital underground economy, in which data is the illicit commodity. Stolen personal and financial information – used, for example, to gain access to existing bank accounts and credit cards, or to fraudulently establish new lines of credit – has a monetary value. Not only credit card details and compromised accounts, but also information such as addresses, phone numbers, social security numbers, full names and dates of birth are retailed in this market.‛ (Europol, 2011 S. 5)  Cybercriminal Business Models  Cybercrime 2.0 ‚´Web 2.0´ is the term often used to describe the on-going transition of the World Wide Web from a collection of websites to a fully-fledged computing platform which has spawned a second generation of Internet based services – such as social networking sites, wikis, and real-time communication tools – that emphasize online collaboration and sharing among users. This has both been of great benefit to the general public and provided new and creative opportunities for the digital underground economy. Significant in this regard is the ability of web developers and users themselves to draw web page content from a number of differentMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 14
    • sources: just as Facebook users are able to embed videos from YouTube or photos from Flickr on their profile pages, and application developers are able to market tools and games to the users of social networking sites, so also do cybercriminals inject malicious code into posted items and share links to phishing and pharming websites, exploiting the trust of users who consider themselves to be in a ´closed´ network of acquaintances. An increase in crimeware delivery through social networking sites has been one of the key trends in recent years.‛ (Europol, 2011 S. 6-7)  Social Engineering ‚Social engineering – the act of manipulating people into performing actions or divulging confidential information – is a key feature both of hacker culture and of many cybercriminal modi operandi: when engaged in phishing and its variants, criminals commonly seek to persuade recipients that they represent organisations requiring verification of customers’ personal data; spoof websites are designed which replicate legitimate online services such as banking, to dupe customers into inputting their account details; social engineering even plays on the fears of Internet users that they will fall prey to this very tactic, manipulating them into paying for rogue anti-virus software which can otherwise be obtained for free, is useless, or in fact contains crimeware.‛ (Europol, 2011 S. 7)Auf Basis dieser Risikoübersicht und der beschriebenen Bedrohungslagenwerden im folgenden Kapitel die Grundlagen Sozialer Netzwerkebeschrieben.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 15
    • 2.2. Soziale Netzwerke 2.2.1. Die Zeit vor `Facebook´, ´XING´ und ´linkedIn´ Michael Gallas Dissertation mit dem Titel ´Social Relationship Management in Internet-based Communication and Shared Information Spaces´ aus dem Jänner 2004 beschreibt die World Wide Web (WWW) – Social Media Ideen im Jahr 2003: ‚Communication and collaboration based on the internet are important factors in business, research, and everyday life. The term virtualization denotes the phenomenon that more and more aspects of our lives take place online. In today’s markets, companies have to be quick and flexible in order to be successful. One of the strategies to achieve this is the virtualization of organizations, leading to the abolishment of classical spatial and temporal constraints and to a greater flexibility. The dynamic collaboration of small, modular organizational units is the key idea of this strategy. The partnering problem becomes the pivotal point in such organization networks, raising the question of how to assess the trustworthiness of personally unknown potential partners. Similarly, in online auction houses, customers often do not know whether to trust vendors with respect to the quality of the goods offered. Traditionally, such problems are solved by exploring the personal social network and looking for trusted persons who know the person or organization in question. Yet, due to the increasing variety of communication media, it is difficult to keep aware of all people in one’s personal social network. Therefore it is necessary to support the management of social relationships. The goal of this thesis is the development of a general framework for social relationship management. Starting from observations concerning the aforementioned virtualization tendencies, this work examines internet-based communication and shared information spaces with respect to the kinds of social network data that can be extracted from them. Existing approaches to social relationship management are discussed. Such systems, however, concentrate on only one or very few kinds of social relationships and thus only manage special aspects of a user’s social network. Therefore, a general representation of social relationships is needed which allows for the combination of various kinds of relationships and sources of social network data. Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 16
    • On the basis of this analysis and the characterization of social relationships interms of sociology, this work introduces a formal model of social relationshipsbased on semantic web technologies.The main design goals of this formalization are fostering interoperability,independence from proprietary applications, extensibility, and integration ofprivacy protection.Building upon the formalization of social relationships, a multiagent systemfor distributed relationship management is developed.Agents act on behalf of one or several persons and exchange relationshipinformation in order to answer queries initiated by their users or byapplications.‛(Galla, 2004 S. 5)Im Februar 2004 war dann Facebook erstmals zugänglich... …das war der Zeitpunkt an dem sich das World Wide Web neu erfand:Das Web 2.0 wurde durch Facebook massentauglich.„Der Begriff Web 2.0 wurde im Dezember 2003 in der US-Ausgabe `Fast-Forward2010 – The Fate of IT´ des CIO Magazin, eines Fachmagazins für IT-Manager, in demArtikel `2004 – The Year of Web Services´ von Eric Knorr, Chefredakteur des IDGMagazins `InfoWorld´, erstmals gegenüber einer breiten Öffentlichkeit erwähnt. <Der Begriff Web 2.0 bezieht sich neben spezifischen Technologien oder Innovationenwie Cloud Computing primär auf eine veränderte Nutzung und Wahrnehmung desInternets. Die Benutzer erstellen, bearbeiten und verteilen Inhalte in quantitativ undqualitativ entscheidendem Maße selbst, unterstützt von interaktiven Anwendungen.Um die neue Rolle des Nutzers zu definieren, hat sich mittlerweile der Begriff`Prosumer´ durchgesetzt. Die Inhalte werden nicht mehr nur zentralisiert von großenMedienunternehmen erstellt und über das Internet verbreitet, sondern auch von einerVielzahl von Nutzern, die sich mit Hilfe sozialer Software zusätzlich untereinandervernetzen. Im Marketing wird versucht, vom Push-Prinzip (Stoßen: aktiveVerteilung) zum Pull-Prinzip (Ziehen: aktive Sammlung) zu gelangen und Nutzer zumotivieren, Webseiten von sich aus mit zu gestalten.‚ (Wikipedia, 2011 S. 1)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 17
    • 2.2.2. Facebook „Facebook (dt. sinngemäß Studenten-Jahrbuch) ist eine Website zum Erstellen und Betreiben sozialer Netzwerke, die der Facebook Inc. mit Sitz im kalifornischen Palo Alto gehört. Die Plattform war im Februar 2004 erstmals zugänglich und erreichte im Januar 2011 nach eigenen Angaben 600 Millionen aktive Nutzer weltweit. Anfang Mai 2011 betrug der Mitgliederbestand 674,1 Millionen. In Deutschland wird das Netzwerk mittlerweile von 17,6 Millionen Menschen genutzt (Stand: 30. April 2011). Deutschland hat damit Kanada überholt und steht erstmals in den Top10 der Länder mit den meisten aktiven Nutzern, die Schweiz liegt auf dem 46. Rang (2,6 Millionen Mitglieder) und Österreich auf dem 48. Rang (2,5 Millionen Mitglieder).‚ (wikipedia, 2011 S. 1) Facebook dominiert heute - als das Massenmedium - den Markt der `Sozialen Netzwerke´. Soziale Netzwerke wie Facebook, MySpace & Co zählen zu den aktuellen Erfolgsgeschichten im Internet. Facebook hat es mittlerweile in Österreich auf Platz 4 der beliebtesten Websites geschafft. (Zimmer, 2009 S. 3) Facebook – Funktionen „Jeder Benutzer verfügt über eine Profilseite, auf der er sich vorstellen und Fotos oder Videos hochladen kann. Auf der Pinnwand des Profils können Besucher öffentlich sichtbare Nachrichten hinterlassen oder Notizen/Blogs veröffentlichen. Alternativ zu öffentlichen Nachrichten können sich Benutzer persönliche Nachrichten schicken oder chatten. Freunde können zu Gruppen und Events eingeladen werden. Facebook verfügt zudem über einen Marktplatz, auf dem Benutzer Kleinanzeigen aufgeben und einsehen können. Durch eine Beobachtungsliste wird man über Neuigkeiten, z. B. neue Pinnwandeinträge auf den Profilseiten von Freunden informiert. Die Benutzer auf Facebook sind in Universitäts-, Schul-, Arbeitsplatz- und Regionsnetzwerke eingeteilt.‚ (wikipedia, 2011 S. 1) Seit 2004 haben sich neben Facebook eine Vielzahl anderer Social Media Plattformen etabliert, welche mittlerweile mit Facebook interagieren können. Exemplarisch seien hier `YouTube´ und `Twitter´ erwähnt. Voraussetzung dafür war die Öffnung der Plattform für Anwendungen von Drittanbietern:Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 18
    • Facebook – Applikationen (dt. Anwendungen) „Das Unternehmen öffnete im Mai 2007 seine Plattform für Anwendungen von Drittanbietern. Entwicklern steht über die Facebook Plattform eine Programmierschnittstelle (API) zur Verfügung, mit der sie Programme schreiben können, die sich dem Design von Facebook anpassen und nach Erlaubnis der Nutzer auf deren Daten zugreifen können. Facebook-Mitglieder können die angebotenen Programme in ihre Profilseiten integrieren. Die Bandbreite umfasst Spiele und andere Kommunikationsanwendungen. Nach Unternehmensangaben waren im Oktober 2009 mehr als 350.000 Applikationen verfügbar. Allerdings erreicht nur ein kleiner Teil davon mehr als 100.000 Nutzer im Monat. Mit über 75 Millionen aktiven Nutzern ist das Onlinespiel FarmVille die derzeit beliebteste Facebook-Applikation.‚ (wikipedia, 2011 S. 1) Die Facebook Applikationen gliedern sich in Wirtschaft, Ausbildung, Unterhaltung, Freunde & Familie, Spiele, Nur zum Spaß, Lebensstil, Sport, Hilfsmittel. (vgl. Facebook, 2011 S. 1) „Beobachter bewerten die Öffnung der Plattform als wichtigen Schritt, um die Attraktivität von Facebook zu erhöhen und damit die Nutzerzahl zu steigern. Allerdings wuchs das Angebot derart rasant, dass Nutzer über die Unübersichtlichkeit klagten. Einige Applikationen sind vor allem darauf ausgelegt, sich möglichst schnell zu verbreiten. Das Unternehmen geht mittlerweile gegen Application Spam vor, indem es im Rahmen eines sogenannten Verification Program vertrauenswürdige und sichere Anwendungen besser platziert und ihnen ein entsprechendes Logo verleiht.‚ (wikipedia, 2011 S. 1)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 19
    • Diese Applikationen fragen den Benutzer um Zustimmung zur Nutzung persönlicher Daten: Am Beispiel `FarmVille´ kann man diesen Vorgang einfach beschreiben: Das Profil von `FarmVille´ bietet einen Button `Zur Anwendung´ an. Abbildung 1: ‚Facebook‘ Startseite der Anwendung Farmville; Quelle: (Farm Ville, 2011) Betätigt man diesen Button öffnet sich ein Menüpunkt `Anfrage für Genehmigung ´. Betätigt man den Button `Zulassen´ hat die Anwendung Zugriff auf die entsprechenden Daten. Abbildung 2: ‚Facebook‘ Zugriffsfreigaben für die Anwendung Farmville; Quelle: (Farm Ville, 2011) Will man dies nicht, muss man den `Anwendung verlassen´ Button betätigen und kann die Anwendung nicht aktivieren.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 20
    • Im Fenster `Anfrage für Genehmigung´ erteilt man (im Beispiel `FarmVille´) die Genehmigung zum Zugriff auf Name, Profilbild, Geschlecht, Netzwerke, Nutzerkennnummer, Freundesliste und alle anderen Informationen, die ich mit „Allen“ teile. Das heißt an dieser Stelle gewinnen die Privatsphäre-Einstellungen an Bedeutung. Nutzer von Facebook finden Ihre Privatsphäre-Einstellungen auf ihrer Profil Seite, dafür betätigen Sie zunächst den Knopf `Profil bearbeiten´. Abbildung 3: ‚Facebook Profil‘ des Verfassers; Quelle: (Facebook, 2011) Damit erscheint die Menüseite `Profil bearbeiten´. Die für die Sicherheit wichtigen `Privatsphäre-Einstellungen´ finden Sie wenig auffällig am Ende der links unter dem Facebook logo befindlichen Menüpunkte. Abbildung 4: ‚Facebook‘ Einstellungen Profil bearbeiten; Quelle: (Facebook, 2011) Betätigen Sie den blau unterlegten Menüpunkt `Privatsphäre- Einstellungen´, damit sind Sie auf der entsprechenden Menüseite.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 21
    • Abbildung 5: ‚Facebook‘ Privatsphäreeinstellungen; Quelle: (Facebook, 2011) Auf die Menüseite `Benutzerdefinierte-Einstellungen´ kommt man nach Betätigung des blau unterlegten Hinweises darauf. Hier besteht die Möglichkeit individuelle Zugriffseinstellungen vorzunehmen.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 22
    • Abbildung 6: ‚Facebook Privatsphäre-Einstellungen – ‚Benutzerdefinierte Einstellungen‘; Quelle: (Facebook, 2011) Wenn wir zu den allgemeinen Privatsphäre-Einstellungen zurückkehren müssen wir noch einen sehr zentralen Menüpunkt erläutern. Dieser Menüpunkt findet sich am Ende der Menüansicht `Anwendungen und Webseiten – Bearbeite deine Einstellungen für<´.Abbildung 7: ‚Facebook‘ - Privatsphäre-Einstellungen für Anwendungen und Webseiten; Quelle: (Facebook, 2011) Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 23
    • Dieser Button führt zum entsprechenden Menüpunkt `Wähle deine Privatsphäre-Einstellungen aus > Anwendungen, Spiele und Webseiten´. Hier besteht die Möglichkeit bereits installierte Anwendungen zu deaktivieren, die Sichtbarkeit von Informationen über die Nutzung von Anwendungen zu definieren und vor allem den Zugriff von sogenannten Partner Webseiten zu genehmigen. Abbildung 8: Facebook Privatsphäre - Anwendungen, Spiele und Webseiten; Quelle: (Facebook, 2011) Der Zugriff auf Daten die durch `Freunde´ zugänglich sind lässt sich hier zum Beispiel deaktivieren. Der Button `Einstellungen bearbeiten´ führt zum entsprechenden Menü. Abbildung 9: Facebook Privatsphäre, Für Freunde zugängliche Informationen; Quelle: (Facebook, 2011)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 24
    • Ein besonderes Augenmerk sei hier auf die Einstellungen `Umgehende Personalisierung´ gelegt. In diesem Bereich wird der Zugriff von sogenannten `Partneranwendungen´ geregelt. Diese Partneranwendungen erhalten derzeit bei Aktivierung vollen wechselseitigen Zugriff: `Bing´, `Pandora´, `TripAdvisor´, `Yelp´, `Rotten Tomatos´, `Clicker´, `Scribd´ und `Docs´. (Vgl. Facebook, 2011) Abbildung 10: Facebook Privatsphäre, Umgehende Personalisierung; Quelle: (Facebook, 2011) In aller Stille integrierte `Facebook´ eine Funktionalität, welche die automatische Gesichtserkennung standardmäßig auf alle Fotos in Facebook anwendet. Laut Bloomberg Business Week wird derzeit seitens der Europäischen Union die mögliche Verletzung von Datenschutzrechten untersucht. (vgl. Bodoni, 2011 S. 1). Abbildung 11: Facebook Überblick Privatsphäre-Einstellungen; Quelle: (Facebook, 2011) Diese Funktionalität lässt sich durch die Entfernung des seitens Facebook automatisch markierten Feldes links neben dem TextMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 25
    • `Freunde von Personen, die in meinen Fotos und Beiträgen markiert wurden, können diese sehen´ deaktivieren. Nichts desto trotz sind diese Daten für Facebook verfügbar. - Sollte eine befugte Behörde – oder Unbefugte - Zugriff auf diese Daten haben, lässt sich innerhalb von Bruchteilen einer Sekunde ein visuelles Personenprofil erstellen. Damit stellen sich die Fragen: Wie sicher sind Daten in den Händen von Unternehmen wie `Facebook´? Wer hat tatsächlich Zugriff auf diese Daten? Wie werden diese Daten genutzt? Wie wird der Zugriff auf diese Daten geschützt? Wie gut sind diese Daten gegen illegale Aktivitäten geschützt? Eine weitere Herausforderung an die Datensicherheit stellt `Facebook- Connect´ dar, damit bietet das Unternehmen `Facebook´ seit 2008 die Möglichkeit zur Einmalanmeldung an, d.h. andere Websites verlangen von identifizierten `Facebook´-Nutzern keine gesonderte Anmeldung. `Facebook´ Profilinhalte werden von diesen Drittportalen teilweise übernommen. Lt. Facebook unterstützen derzeit 240.000 Websites und Geräte diese Anmeldeoption. Ungefähr 60 Mio Nutzer weltweit greifen bereits auf diese Möglichkeit zurück. Diese und andere `Facebook´ Anwendungen wie `Facebook-Open Graph´, diverse Mobile Clients für Windows Mobile, BlackBerry, Apple iPhone/iPod touch, S60, Android, HP webOS, bada,< unterstützen die Konvergenzstrategie des Unternehmens. Die Möglichkeit die Standortdaten der Nutzer - über Mobile Clients und die in moderne Mobiltelefonen und Smartphones vorhandenen GPS Module – in Applikationen zu integrieren wird mit `Facebook- Places´ ermöglicht. (vgl. wikipedia, 2011 S. 1) Und wahrscheinlich sind zum Zeitpunkt der Veröffentlichung dieser Master Thesis wieder zahlreiche neue Möglichkeiten verfügbar. Nutzer von Facebook müssen aufmerksam einschlägige Nachrichten verfolgen um über neue Funktionalität oder Applikation informiert zu sein, welche unbekannten Dritten persönliche Daten zugänglich zu machen. Wie verdient Facebook Geld?Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 26
    • Bei der Verfolgung von Straftaten ist ein zentrales Element von Ermittlungen die Aufgabe „Follow the money‚. Darum muss man kurz beleuchten wie Facebook Geld verdient: Facebook ist sehr zurückhaltend mit der Veröffentlichung von Geschäftszahlen und Umsatzzahlen. Die Haupteinnahmen dürften aus Werbeeinnahmen erwirtschaftet werden. Das Unternehmen `emarketer´ geht in seinen Einschätzungen von einer weiteren Verdopplung der Anzeigenumsätze von `Facebook´ im Jahr 2011 gegenüber 2010 aus. Der Umsatz 2010 lag demnach bei etwa 1,86 Mrd. U$D. (vgl. emarketer, 2011 S. 1) Abbildung 12: Facebook Erlösanalyse; Quelle: (emarketer, 2011) Darüber hinaus erzielt Facebook laut `facebookbiz´ Erlöse aus dem Verkauf virtueller Güter. Die Margen für Facebook sollen hier bei bis zu 33% liegen. (vgl. facebookbiz, 2011 S. 1). Die größten Markenauftritte dürften auch für die höchsten Anzeigenumsätze stehen: Coca Cola, Disney, Starbucks, MTV, Oreo, Red Bull, Converse All Stars, Skittles, iTunes und Playstation haben jeweils zwischen 13,1 und 25,8 Mio Fans. (vgl. wikipedia, 2011 S. 1)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 27
    • 2.2.3. XING„XING (bis Ende 2006: openBC) ist eine webbasierte Plattform, in dernatürliche Personen vorrangig ihre geschäftlichen (aber auch privaten)Kontakte zu anderen Personen verwalten können. Es wird vomgleichnamigen Unternehmen, der XING AG, betrieben.Die Bezeichnung `XING´ wurde aus Gründen der Internationalisierunggewählt, da der alte Name OpenBC das englische Kürzel für `v. Chr.´ enthielt.Der neue Name XING ist zwar ebenfalls mehrdeutig, soll aber zumindestnegative Assoziationen vermeiden. So bedeutet das Wort auf Chinesisch `esfunktioniert´, `es klappt´ (行 [行] xíng). Auf Englisch steht es alsAbkürzung für Crossing, Kreuzung, was als Begegnung vonGeschäftskontakten gesehen werden kann. In einem Interview erklärte deropenBC-Gründer Lars Hinrichs, die Aussprache nicht vorgeben zu wollen. Inoffiziellen Firmenvideos wird im Deutschen die Aussprache `XING´ gewählt,also nicht `Crossing´.Das System zählt zur sogenannten sozialen Software und ist eines vonmehreren webbasierten sozialen Netzwerken. Kernfunktion ist dasSichtbarmachen des Kontaktnetzes; beispielsweise kann ein Benutzerabfragen, über `wie viele Ecken´ – also über welche anderen Mitglieder – ereinen anderen kennt, dabei wird das sogenannte Kleine-Welt-Phänomensichtbar. Daneben bietet das System zahlreiche Community-Funktionen wieKontaktseite, Suche nach Interessengebieten, Unternehmenswebseiten und39.004 deutschsprachigen Gruppen. <XING wurde 2003 unter dem Namen OpenBC (Open Business Club) durchLars Hinrichs gegründet und zählte laut Geschäftsbericht Ende des 1. Quartals2010 gut 9 Millionen Benutzer, davon 700.000 mit Premium Account. 43 % derBasis-Mitglieder (3,74 Mio.) stammten 2009 aus Deutschland, Österreich undder Schweiz (DACH), davon geschätzte 3 Mio. allein aus Deutschland.‚(wikipedia, 2011 S. 1)Der Geschäftsbericht für das 1. Quartal 2011 weist 4.686.000 MitgliederInnenin der DACH Region aus, 731.000 MitgliederInnen bezahlen für dieMitgliedschaft.(vgl. XING, 2011)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 28
    • Das heißt in der DACH Region bezahlen 15,59% der MitgliederInnen. Abbildung 13: XING Mitgliederentwicklung; Quelle: (XING, 2011)Der Großteil der Erlöse kommt durch zahlende Mitglieder, aber durch E-Recruiting werdenbereits 24,3% der Gesamterlöse erwirtschaftet. Dieser Bereich verzeichnet die höchstenWachstumsraten. Abbildung 14: XING Umsatzentwicklung; Quelle: (XING, 2011)(vgl. XING, 2011 S. 1)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 29
    • XING - Funktionsweise“XING‘ ist im Gegensatz zu `Facebook´ nur in einer Basisvariante kostenfrei.In der Basisversion ist es möglich  Ein eigenes Profil anzulegen  Kontakte zu knüpfen, verwalten, merken und ihnen Nachrichten zu schicken  Neuigkeiten aus dem Netzwerk zu verfolgen  Gruppen beizutreten und zu gründen  Events zu besuchen und zu organisieren  Die Stichwortsuche mittels Namen, Unternehmen und Interessen durchzuführenZahlreiche wichtige Funktionen, wie  eine Übersicht über die Profilbesucher,  die Möglichkeit Nachrichten an Nicht-Kontakte zu schicken  Erweiterte Suchoptionensind nur mit der kostenpflichtigen ‚Premium„ Mitgliedschaft verfügbar. DieKosten belaufen sich hier auf 5,95 € pro Monat (Stand Juni 2011) bei einer 1Jahres Premiummitgliedschaft.Mit einer sogenannten Recruiter Mitgliedschaft, zum Preis von 29,95 € pro Monatbei einer 1 Jahres Recruiter Mitgliedschaft, lassen sich zusätzlich  High Potentials effizient recherchieren  Kandidaten-Informationen direkt im Suchergebnis scannen  Professionelle Kontaktpflege und –verwaltungstools nutzen(vgl. XING, 2011)“XING‘ bietet die Möglichkeit Kontakte  mittels bekannter E-mail Adresse,  Webmailzugang für “Google Mail‘, “Yahoo Mail‘ und “Microsoft Hotmail‘  oder der Kontaktdateien von “Microsoft Outlook‘ oder “Lotus Notes‘einfach zur Teilnahme an XING einzuladen.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 30
    • Darüber hinaus werden Einladungslinks für die E-Mail-Signatur angeboten,welche man einfach selbst generieren kann.(vgl. XING, 2011)XING – GruppenGruppen ermöglichen den TeilnehmerInnen die Möglichkeit MitgliederInnenzu finden, welche ähnliche berufliche oder fachliche Interessen teilen.In 53 Offiziellen “XING‘ Branchen-Gruppen, 167 Offiziellen “XING‘ Regional-Gruppen gibt es starken Zulauf ohne wirkliche Filter für den Beitritt.Die Anzahl der Gruppen nach Gliederungsbegriffen gibt einen Überblick überdie Strukturierung:3.478 Branchen, 1.376 Events, 3.086 Firmen, 3.151 Sport und Freizeit, 288Geographie und Umwelt, 2.361 Gesellschaft und Soziales, 3.447 Hochschulen,3.695 Internet und Technologie, 2.131 Jobs und Karriere, 1.369 Kunst undKultur, 3.049 Regionales, 1.026 Schulen, 2.401 Themen, 3.405 Verbände undOrganisationen, 4.476 Wirtschaft und Märkte, 852 Wissenschaft, 14 XINGDie Gruppenfunktionalitäten gliedern sich vor allem in die sogenannte “Startseite‘,welche den Gruppeninhalt beschreibt, “Foren‘, welche dem Austauschinnerhalb einer Gruppe dienen und eine Übersicht “Gruppenmitglieder‘, diedie Mitglieder einer Gruppe zeigen.(vgl. XING, 2011 S. 1)XING - Jobs und KarriereIm Bereich “Jobs und Karriere‘ findet man Jobempfehlungen, Nachrichten ausdem Netzwerk die Möglichkeit zur Job-Schnellsuche, auf Job-Kategorienzuzugreifen Jobs ausgewählter Unternehmen zu finden. Persönliche Suchprofilekönnen angelegt und verwaltet werden.(vgl. XING, 2011 S. 1)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 31
    • Die alte Version von XING… Abbildung 15: XING Alte Benutzeroberfläche; Quelle: (XING, 2011)…wurde am 6.Juni 2011 durch eine vollkommen neue Oberfläche mit intuitivererBenutzeroberfläche ersetzt. Das heißt NutzerInnen finden sich einfacher zurechtund werden mit Symbolen ans Ziel geführt. Abbildung 16: XING Neue Benutzeroberfläche; Quelle: (XING, 2011)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 32
    • XING-SicherheitseinstellungenBei “XING‘ gibt es im Bereich “Meine Einstellungen‘ einen Unterpunkt“Privatsphäre‘. Die BenutzerIn hat hier die Möglichkeit die Einstellungen“Meine Privatsphäre‘, “Neues aus ihrem Netzwerk‘ und “ExterneApplikationen‘ zu bearbeiten. Abbildung 17: XING Privatsphäre-Einstellungen; Quelle: (XING, 2011)Es gibt hier zahlreichen einfache Möglichkeiten die Privatsphäre zu schützen. DieErklärungen sind klar und einfach zugänglich. NutzerInnen können damit schnellentscheiden, welche Informationen sie wem zugänglich machen.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 33
    • 2.2.4. LinkedIn Bei LinkedIn handelt es sich um den Weltmarktführer im Bereich berufsbezogener Sozialer Netzwerke. Nach eigenen Angaben betreibt LinkedIn das größte professionelle Netzwerk im Internet mit mehr als 100 Mio. Mitgliedern in über 200 Staaten. In Europa wird die Mitgliederanzahl mit 20 Mio. angegeben. In der DACH Region liegt die Anzahl der Mitglieder nach Eigenangaben bei nur 1 Mio.. LinkedIn hat damit nur maximal 25% der Mitgliederanzahl von XING in dieser Region. (vgl. LinkedIn, 2011 S. 1) Die Funktionalitäten bei LinkedIn sind den Funktionalitäten von XING sehr ähnlich. LinkedIn hat auch ähnliche Einstellungsmöglichkeiten für die Privatsphäre. In der DACH Region wird LinkedIn vor allem von Menschen im internationalen Kontext außerhalb der DACH Region, zusätzlich zu XING, verwendet. Seit 2010 greift LinkedIn den XING `Heimmarkt` massiv an. (vgl. Handelsblatt, 2010 S. 1)2.3. Enterprise 2.0 Blumauer, Kaltenböck und Koller definieren `Enterprise 2.0` als Synonym der letzten Jahre für innovative Kommunikations- und Arbeitsabläufe in Unternehmen. (Blumauer, et al., 2010 S. 11) Wikipedia verweist vor allem auf den Harvard Professor Andrew P. McAfee: „Der Begriff Enterprise 2.0 geht auf einen Artikel des Harvard-Professors Andrew P. McAfee zurück. In seinem Artikel "Enterprise 2.0: The Dawn of Emergent Collaboration" beschreibt Andrew McAfee, Professor an der Harvard Business School, wie Social Software im Unternehmenskontext eingesetzt werden kann, um die Zusammenarbeit der Mitarbeiter zu unterstützen (McAfee 2006a). Unter dem Begriff SLATES (deutsch: Schiefertafeln; SLATES steht für die Abkürzung von Search, Links, Authoring, Tags, Extensions and Signals – in Anlehnung an die Abkürzung WIMP) fasst er die Prinzipien, Merkmale und Eigenschaften von Web 2.0- Werkzeugen zusammen. Er argumentiert, dass das Auffinden von Informationen (Search) im Internet nachweislich viel besser funktioniert als in Intranets, weil die Masse der Nutzer durch Links Informationen Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 34
    • strukturieren und bewerten, die von Suchmaschinen ausgewertet werden. Durch eine vergleichbare Masse an Strukturen, die von Mitarbeitern mit Hilfe von einfachen Autoren-Tools (Authoring) und Verschlagwortung (Tags) erstellt werden, könnten Unternehmen die Vorteile der Wisdom of Crowds nutzen. In dem Nutzungsdaten für automatisierte Inhaltsvorschläge (Extensions) verwendet werden, können thematisch ähnliche Inhalte leichter entdeckt werden (´Nutzer, die diesen Beitrag spannend fanden, fanden auch...´) und Signale wie RSS-Feeds (Signals) machen Änderungen verfolgbar. McAfee verwendet den Begriff für Web-2.0-Technologien zur Erzeugung, gemeinsamen Nutzung (´sharing´) und Verfeinerung von Informationen, mit denen Wissensarbeiter in Unternehmen ihre Vorgehensweisen und Ergebnisse sichtbar machen (McAfee 2006a, S. 23). In der Definition in (McAfee 2006b) dehnt er den Nutzerkreis auf unternehmensübergreifende Kommunikation aus: `Enterprise 2.0 is the use of emergent social software platforms within companies, or between companies and their partners or customers`– MCAFEE 2006B Richter und Koch erweitern den Begriff unter Bezugnahme auf einen Information-Week-Artikel und die Enterprise-2.0-Konferenz 2007 um die notwendigen Veränderungen der Unternehmenskultur: `Enterprise 2.0 bedeutet vielmehr die Konzepte des Web 2.0 und von Social Software nachzuvollziehen und zu versuchen, diese auf die Zusammenarbeit in den Unternehmen zu übertragen.`– RICHTER UND KOCH (2007), S. 16 Buhse und Stamer beschreiben aufgrund von Erfahrungen im eigenen Unternehmen die notwendigen strategischen Änderungen in Marketing und Public Relations, die sich aus dem Einsatz von Social Software ergeben. Sie plädieren für eine ehrlichere Kommunikationskultur, bei der auch die Außenkommunikation von den Mitarbeitern gemacht wird und das Management lediglich Themen lanciert und Richtungen vorgibt. Bisher zentral gesteuerte Bereiche wie Markenführung und Public Relations müssen in dieser Hinsicht neu überdacht werden.‚ (Wikipedia, 2011) Blumauer, Kaltenböck und Koller sehen Internet communities bzw. soziale Netzwerke als die populärsten Anwendungen im Web. Sie sind integraler Bestandteil jeder Corporate Communication Strategie geworden. (vgl. Blumauer, et al., 2010 S. 56)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 35
    • 2.4. B2B - Beziehungsmanagement B2B ist die Abkürzung für `Business to Business` und beschreibt Beziehungen zwischen Unternehmen. Beziehungen des Unternehmens zu Konsumenten engl. `Business to Consumer` werden B2C abgekürzt. (vgl. Kirchgeorg, Manfred, 2011 S. 1) Nachfolgend beleuchte ich mit einigen Modellen die Relevanz von persönlichen Beziehungen im B2B Kontext: Ein konzeptionelles Modell nach Theron, Terblanche and Boshoff beschreibt die Qualität der Beziehung im B2B Bereich als Funktion von Vertrauen, Kommunikation, gemeinsamen Werten und der Attraktivität von Alternativen. (vgl. Theron & Terblanche & Boshoff, 2008 S. 1000) .Abbildung 18 Conceptual Model nach Theron, Terblanche, Boshoff 2008; Quelle: (Theron & Terblanche & Boshoff, 2008) Die Ergebnisse einer empirischen Studie zur Untersuchung der Relevanz der verschiedenen Faktoren bestätigte für den B2B Bereich die Bedeutung der Faktoren auf die Qualität der Beziehung zwischen Unternehmen. In der Studie wurde Vertrauen als Hauptfaktor für die Kundenbeziehungsqualität und damit als wesentlicher Baustein für erfolgreiches Beziehungsmanagement herausgearbeitet. (vgl. Theron & Terblanche & Boshoff, 2008 S. 1005) Des Weiteren wurde die wachsende Bedeutung elektronischer Medien als Kommunikationsmittel im B2B bereits 2008 unterstrichen, wenngleich die persönliche Komponente nicht vernachlässigt werden darf. (vgl. Theron & Terblanche & Boshoff, 2008 S. 1005) Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 36
    • Ein weiteres konzeptionelles Modell nach Gonzales, Hoffman, Ingram und LaForge beschreibt das Kundenreaktivierungsmanagement und die Bedeutung für den Beziehungsverkauf: Der Prozess der Kundenreaktivierung basierend auf einer entsprechenden Reaktivierungskultur, Fehleranalyse, Reaktivierungsstrategie, Überwachung, Bewertung, Feedback soll zu einer entsprechenden Kundenentwicklung und Verbesserung der finanziellen Situation des jeweiligen Kundengeschäftsfalles führen. (vgl. Gonzales, et al., 2010 S. 224-225)Abbildung 19 Conceptual Model nach Gonzales, Hoffman, Ingram und LaForge; Quelle: (Gonzales, et al., 2010) Im Zuge der darauffolgenden empirischen Untersuchung wird die Bedeutung einer Reaktivierungskultur, die Analyse von Dienstleistungsfehlern, die Implementierung einer Reaktivierungsstrategie untermauert. (vgl. Gonzales, et al., 2010 S. 226-227) All diese Ansätze bauen auf enge persönliche Beziehungen zwischen MitarbeiterInnen des verkaufenden und kaufenden Unternehmens. Dies bestätigt auch eine Studie im Rahmen der Excellence-Barometer- Forschung hat die `forum!` Marktforschung GmbH in Kooperation mit der Universität für Publizistik in Mainz die Rationalität von Entscheidungsprozessen im B2B Bereich untersucht. 300 Top EntscheiderInnen der Industrie wurden befragt (vgl. Becker, 2011 S. 26) : Kaufentscheidung werden sehr emotional gefällt. Einige Prämissen zur Gestaltung eines objektiven Entscheidungsprozesses sind in der Realität käuferseitig nur sehr schwer zu realisieren:  Die Transparenz der Anbietermärkte lässt sich nicht oder nur mit unzumutbarem ressourcenaufwand herstellen, eine unsystematische Vorgehensweise bei der Auswahl neuer Anbieter ist daher effizienter Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 37
    • und erfolgversprechender.  Die eigentliche Verhandlungssituation lässt sich kaum normativ gestalten und auch kaum kontrollieren.  Die Differenzierung über die Produkte beziehungsweise die Leistung funktioniert in hoch entwickelten Investitionsgütermärkten nicht mehr. (vgl. Becker, 2011 S. 27) Abbildung 20 Aussagen in einer Befragung zum Kaufverhalten von B2B Kunden; Quelle: (Becker, 2011)Kunden sind bereit für gute Qualität und besseren Service einen höherenPreis zu zahlen.Emotionale Bindung spielt im B2B Geschäft eine entscheidende Rolle. DieTypologien gemäß dem `forum!` Modell beschreibt die für hohe emotionaleBindung zugänglichen Kunden als Fans, Sympathisanten oder Gefangene.Dieser Gruppe gehören nach Einschätzung dieser Studie zumindest 64% derBefragten an.(vgl. Becker, 2011 S. 24-28)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 38
    • Abbildung 21 Verteilung der Kundentypen gemäß `forum!` Modell der Kundentypologien; Quelle: (Becker, 2011)Die gegenständliche Studie bestätigt damit dass wichtige Entscheidungen aus dem Bauchgefällt werden.(vgl. Becker, 2011 S. 24-28)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 39
    • 3. Forschungsarbeit Auf Grund beschränkt vorhandener Forschungsarbeiten zu dieser Fragestellung steht die Sichtung und Bewertung von themenrelevanter Literatur unterschiedlichster Quellen, mit hoher Relevanz für Unternehmen, im Mittelpunkt meiner Arbeit. 3.1. Literarische Forschung 3.1.1. „How to avoid Facebook & Twitter Disasters“ (Null, 2009) Christopher Null stellt in seinem gleichnamigen Artikel die wichtigsten Tücken bei der Benutzung von sozialen Netzwerken vor: (vgl. Null, 2009 S. 97-103) “Oversharing With the boss” (Null, 2009 S. 98) Problem: Eine Mitarbeiter oder eine Mitarbeiterin ist offiziell krank, aber auf `Facebook´ dokumentiert sie Aktivitäten die den damit verbundenen Regelungen widersprechen. Lösungsvorschlag: Integriert man MitarbeiterInnen, Vorgesetzte oder KollegInnen in den Freundeskreis bei `Facebook´ so empfiehlt er –– diese in Gruppen zusammenzufassen und entsprechende Zugriffs Berechtigungen für diese Gruppen zu vergeben. (vgl. Null, 2009 S. 98) Auch KundInnen oder GeschäftspartnerInnen sollten nicht alle persönlichen Details einer Mitarbeiters oder Mitarbeiterin kennen. “He knows Where You Live” (Null, 2009 S. 99) Problem: Exfreunde oder Bekannte die man nicht mehr persönlich Treffen will finden den Wohnort des Accountbesitzer oder der Accountbesitzerin heraus. Lösung: Den Zugriff auf persönliche Daten regelt man mittels der Privatsphäre-Einstellungen. (vgl. Null, 2009 S. 99) Dasselbe gilt auch für aufdringliche GeschäftspartnerInnen. Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 40
    • “The Stalker Problem” (Null, 2009 S. 100) Problem: Ein akzeptierter Kontakt hinterlässt nicht akzeptable Nachrichten an der Pinnwand der Accountinhaberin oder belästigt die Accountinhaberin. Lösung: zunächst kann man den Kontakt aus dem eigenen Profil entfernen. Darüber hinaus besteht die Möglichkeit unerwünschte Personen zu blockieren bzw. das eigene Profil temporär oder dauerhaft aus der Suche durch Facebook Mitglieder auszuschließen. Durch Einstellung der Beschränkung der Auffindbarkeit des eigenen Profils auf `nur Freunde´ können Stalker ebenfalls ausgeschlossen werden. (vgl. Null, 2009 S. 100) Vertrauliche Inhalte, nicht für die Öffentlichkeit bestimmte Inhalte, zwischen der Benutzerin und GeschäftspartnerInnen werden unter Umständen von einer Geschäftspartnerin am Profil der Benutzerin gepostet. “Too Many Pieces of Flair” (Null, 2009 S. 100) Problem: Man akzeptiert zu viele `Geschenke´ oder andere `Verbindungsanfragen´ von `Facebook´ Applikationen/Anwendungen. Damit kommt es häufig zu Belästigungen der eigenen Kontakte mit lästigen und teilweise anstößigen Angeboten. Lösung: Anklicken des `Schreibgerät´ / Bearbeiten Icons und Anklicken der Auswahl `Entfernen´. Anwendungen, welche die Anwenderin selbst installiert hat muss man im Bereich `Anwendungen´ entfernen. (vgl. Null, 2009 S. 101) Damit kann es zur Belästigung von GeschäftspartnerInnen kommen. “Shoulda Been Working” (Null, 2009 S. 101) Problem: Die Anwenderin verbringt viel Zeit in einer Spielapplikation von Facebook. Ohne Information postet die Applikation den High ScoreMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 41
    • im Facebook Profil der Anwenderin. Damit ist die missbräuchliche Tätigkeit während der Arbeitszeit dokumentiert. Konsequenzen durch die ArbeitgeberIn sind damit möglich. Lösung: Deaktivierung der Möglichkeit von Drittanwendungen im Profil der BenutzerIn zu posten. (vgl. Null, 2009 S. 101) Auf KundInnen und GeschäftspartnerInnen wirkt es nicht professionell, während der Arbeitszeit Spiele zu spielen. Die Ernsthaftigkeit und Zuverlässigkeit kann hier angezweifelt werden. “The Tell-Tale Heart” (Null, 2009 S. 101) Problem: Man ändert den Beziehungsstatus zu einer Person und löst damit eine missverständliche Information an die eigenen Kontakte aus. Die EmpängerInnen könnten annehmen man wäre auf Beziehungssuche. Lösung: Man kann alle Beiträge vom eigenen Profil löschen. Bewegt man den Cursor über den zu löschenden Eintrag erscheint ein Feld `Remove´. Nach Betätigung dieses Buttons verschwindet der Eintrag von der eigenen Pinwand. (vgl. Null, 2009 S. 101) Missverständliche, geschäftsschädigende oder unangenehme Beiträge haben auf der eigenen Pinwand nichts verloren, sofern sie für GeschäftspartnerInnen zugänglich sind. “Smile for the Camera” (Null, 2009 S. 101) Problem: Auf `Facebook´ wird ein Foto veröffentlicht, welches die NutzerIn nicht gut trifft, bzw. in einer verfänglichen nicht für die breite Öffentlichkeit bestimmten Art und Weise zeigt. Lösung: Man kann Fotos, welche von anderen NutzerInnen auf Facebook veröffentlicht werden und einen selbst abbilden nicht einfach löschen. In diesem Fall empfiehlt es sich die andere NutzerIn freundlich aufzufordern dieses Foto zu entfernen. Eine Veröffentlichung solcher Fotos stellt eine Verletzung ihrerMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 42
    • Persönlichkeitsrechte dar und erfordert ihre ausdrückliche Zustimmung. Aber man kann den Verweis auf die NutzerIn (`tag´) auf Fotos auf denen man selbst markiert ist in den Privatsphäre Einstellungen generell deaktivieren oder beim jeweiligen Foto selbst entfernen. (vgl. Null, 2009 S. 101-102) Für GeschäftspartnerInnen können zu persönliche Einblicke ins Privatleben irritierend bis verstörend wirken. “You´re Not an Advertisement” (Null, 2009 S. 102) Problem: Drittanwendungen verwenden den Namen einer NutzerIn als Werbung in Form von Spam an Kontakte der NutzerIn. Lösung: Drittanwendungen keinen Zugriff erlauben. (vgl. Null, 2009 S. 102) Belästigungen von GeschäftspartnerInnen durch Drittanwendungen belasten die persönliche Beziehung zu diesen. “Spam Central” (Null, 2009 S. 102) Problem: `Scammers´, `Phishers´ and `Spammers´ versenden Nachrichten an `Facebook´ Freunde. Kriminelle verschaffen sich Zugriff auf Passwort und `user name´. In Folge versendet man über den so kontrollierten Account links zu sogenannten phising site´s URL mit der Hoffnung mehr Accounts übernehmen zu können. Lösung: Konventionelle Sicherheits Software hilft hier relativ wenig. Die Empfehlung ist es hier `Gesunden Menschenverstand´ anzuwenden und sehr sensibel auf ungewöhnliche Nachrichten, links oder Einladungen zu reagieren. (vgl. Null, 2009 S. 102) Die Belästigung von GeschäftspartnerInnen kann von diesen auch als Belästigung und Nachlässigkeit ausgelegt werden. “Linking Twitter with Facebook Can be Trouble” (Null, 2009 S. 102) Problem: Die Verknüpfung von `Twitter´ und `Facebook´ führt dazu, dass jede auf `Twitter´ gepostete Kleinigkeit auch auf `Facebook´ gepostet wird. Die Kontakte auf `Facebook´ werden damit in einer für `Facebook´Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 43
    • ungewöhnlichen Frequenz mit Statusmeldungen bombardiert. Das führt unter Umständen dazu, dass ihre `Facebook´ Nachrichten von Ihren Kontakten unterdrückt werden. Lösung: Überdenken Sie eine Verknüpfung von `Facebook´ und `Twitter´ bzw. trennen Sie die beiden Anwendungen. (vgl. Null, 2009 S. 102) Aus diesem Artikel lassen sich die folgenden ersten situationsabhängigen Handlungsempfehlungen für MitarbeiterInnen in sozialen Netzwerken ableiten:  Zusammenfassung von Kontakten auf Facebook nach beruflichen Gruppen und Vergabe von entsprechenden Zugriffsberechtigungen für Gruppen.  Sorgfältige Wahl der Privatsphäre-Einstellungen.  Blockieren der Auffindbarkeit des Profils für Suchmaschinen und Facebook Mitglieder, welche keine Freunde sind.  Kein Akzeptieren oder Bestätigen von Geschenken oder Einladungen von Anwendungen.  Anwendungen die eigene Kontakte belästigen könnten entfernen.  Deaktivierung der Möglichkeit von Drittanwendungen im Profil der BenutzerIn zu posten.  Entfernung von geschäftsschädigenden, missverständlichen oder unangenehmen Einträgen von der eigenen Pinwand.  Blockieren der Möglichkeit der Markierung der NutzerIn auf Fotos.  Nicht auf verdächtige Nachrichten, `links´ oder Einladungen von Kontakten reagieren. Es könnte sich um Spam handeln.  Trennung der `Twitter´ und `Facebook´ Accounts, falls die Frequenz der `Twitter´ Nachrichten die Facebook Kontakte überfordern könnte.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 44
    • 3.1.2. Facebook, Myspace & Co (Zimmer, 2009) Das österreichische Institut für angewandte Telekommunikation führte im Auftrag der Kammer für Arbeiter und Angestellte Wien im Mai 2009 eine Untersuchung von Sozialen Netzwerke durch. Das Konzept stammt von Daniela Zimmer, die Durchführung erfolgte durch das Österreichische Institut für angewandte Telekommunikation. Die gegenständliche Publikation erklärt Soziale Netzwerke und gibt KonsumentInnen Tipps zur Handhabung. (vgl.Zimmer, 2009 S. 1). In Ergänzung zu 3.1.1. empfiehlt die Studie beim Anlegen eines Profiles in einem sozialen Netzwerk unter der Rubrik `Bevor Sie ein Soziales Netzwerk anlegen´:  So wenige Daten wie möglich preisgeben  Berufliches und Privates zu trennen, zum Beispiel XING für Berufliches  Sichere Passwörter zu verwenden, als Beispiel wird die Methode der Passwortbildung aus ganzen Sätzen empfohlen: `ein sichere Passwort hat mindestens 8 Zeichen!´ ergibt das Passwort: `esphm8z´  Unterschiedliche NutzerInnen-Namen und Passwörter in jedem Netzwerk, die Nutzung unterschiedlicher Passwörter in unterschiedlichen Netzwerken reduziert bei Missbrauch das Risiko  Vorsicht bei der Nutzung von sozialen Netzwerken über öffentliche Netze, neben XING verwenden nur wenige soziale Netzwerke entsprechende Verschlüsselungen  Nutzungsbestimmungen (AGBs) lesen  Virenschutzprogramme verwenden und regelmäßig aktualisieren (vgl. Zimmer, 2009 S. 16-17)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 45
    • Unter dem Titel `Urheberrechte berücksichtigen´ wird auf die Bestimmungen des Urheberrechtes hingewiesen, insbesondere bei der Veröffentlichung von Musik, Fotos, Texten oder Filmen hingewiesen. (vgl. Zimmer, 2009 S. 25) Diesen Aspekt werde ich im folgenden Abschnitt näher beleuchten.3.1.3. „Gesamte Rechtsvorschrift für Urheberrechtsgesetz“ (Bundesgesetz, 2011) Gemäß gegenständlichem Bundesgesetz wird der Begriff des Werkes definiert und auch auf `Neue´ und `Alte´ Medien eingegangen  Werke der Literatur und der Kunst „<eigentümliche Schöpfungen auf den Gebieten der Literatur, der Tonkunst, der bildenden Künste und der Filmkunst.‚  Werke der Literatur „<einschließlich Computerprogrammen‚  Werke der bildenden Künste „<die Werke der Lichtbildkunst (Lichtbildwerke)‚  Werke der Filmkunst  Bearbeitungen  Sammelwerke  Freie Werke  Veröffentlichte Werke „<sobald es mit Einwilligung des Berechtigten der Öffentlichkeit zugänglich gemacht worden ist.‚  Erschienene Werke (vgl. Bundesgesetz, 2011 S. 1-3) Gemäß §10(1) ist der Urheber eines Werkes, wer es geschaffen hat. Im Zuge des Gesetzes wird vom Urheberrecht zwischen folgenden Rechten unterschieden:  Verwertungsrechte  Vervielfältigungsrecht  Verbreitungsrecht  Vermietung und Verleihen  Folgerecht  Senderecht  Vortrags-, Aufführungs- und Vorführungsrecht  ZurverfügungstellungsrechtMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 46
    • Ein Zuwiderhandeln räumt dem Urheberrechtsinhaber bestimmte Rechte zur Durchsetzung seiner Ansprüche ein  Unterlassungsanspruch  Beseitigungsanspruch  Urteilsveröffentlichung  Anspruch auf angemessenes Entgelt  Anspruch auf Schadenersatz und Herausgabe des Gewinnes  Anspruch auf Rechnungslegung  Anspruch auf Auskunft  Einstweilige Verfügungen  Haftung des Inhabers eines Unternehmens „§88.(1) Wird der einen Anspruch auf angemessenes Entgelt (§86) begründende Eingriff im Betrieb eines Unternehmens von einem Bediensteten oder Beauftragten begangen, so trifft die Pflicht zur Zahlung des Entgeltes den Inhaber des Unternehmens. (2) Hat ein Bediensteter oder Beauftragter im Betrieb eines Unternehmens diesem Gesetz zuwidergehandelt, so haftet, unbeschadet einer allfälligen Ersatzpflicht dieser Personen, der Inhaber des Unternehmens für den Ersatz des dadurch verursachten Schadens (§87, Absatz 1 bis 3), wenn ihm die Zuwiderhandlung bekannt war oder bekannt sein musste. Auch trifft ihn in einem solchen Falle die Pflicht zur Herausgabe des Gewinnes nach §87, Absatz 4.‚ (vgl. Bundesgesetz, 2011 S. 33) Soziale Netzwerke bergen zahlreiche Möglichkeiten zur Urheberrechtsverletzung:  D.h. Unternehmen müssen geeignete Vorkehrungen treffen um - durch die Handlungen ihrer MitarbeiterInnen in Sozialen Netzwerken - für keine Urheberrechtsverletzungen haftbar gemacht werden können.  Dafür muss die Kenntnis der Grundlagen des Urheberrechtes bei Mitarbeiterinnen sichergestellt werdenMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 47
    • 3.1.4. „Safer Surfing“ (saferinternet.at, 2011) und „Internet sicher nutzen“ (ispa, 2011) Tipps & Tricks zum sicheren Umgang mit dem Internet, entstand in Kooperation zwischen `ÖIAT – Österreichisches Institut für angewandte Telekommunikation´ und `ISPA – Internet Service Providers Austria Verband der österreichischen Internet-Anbieter finanziert durch Mitteln des `bmwfi - Bundesministerium für Wirtschaft, Familie und Jugend´ und der `Europäischen Union´. (vgl. saferinternet.at, 2011 S. 1-3) Im Kapitel „So surfst Du sicher‚ gibt der Ratgeber zunächst 10 allgemeine Tipps zum Surfen im Internet: 1. Auch im Web gibt es Regeln 2. Schütze deine Privatsphäre 3. Nicht alles ist wahr 4. Urheberrechte beachten 5. Das Recht am eigenen Bild 6. Quellenangaben nicht vergessen 7. Umsonst gibt´s gar nichts 8. Online Freunde niemals alleine Treffen 9. Computer schützen 10. Wenn Dir etwas komisch vorkommt sag es! (vgl. saferinternet.at, 2011 S. 6-7) Zusammenfassend kann man daraus den folgenden Schluss ableiten und gemäß der Definition zu Punkt 1 zitieren: „Alles, was man im `richtigen´ Leben nicht tun sollte oder nicht tun darf, soll man auch im Internet bleiben lassen‚ (saferinternet.at, 2011 S. 6) Im Internet bewegt man sich in einem neuen Forum, wie in einem fremden Land. In bestehenden Sozialen Netzwerken gibt es oft eigene Benimmregeln. (vgl. saferinternet.at, 2011 S. 10) Im `richtigen´ Leben nennt man die Fähigkeit mit fremden Kulturen umzugehen vereinfacht `interkulturelle Kompetenz´, dieselbe Fähigkeiten sind auch beim Eintritt in fremden Foren, Communities oder Netzwerken notwendig.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 48
    • Dazu ist es hilfreich sich mit dem Kommunikationswissenschaftler Blumer und dessen 3 Prämissen in Zusammenhang mit dem „Symbolischen Interaktionismus‚ (vgl. Burkart, 2002 S. 432) auseinanderzusetzen: „1. Menschen handeln den `Dingen´ ihrer Umwelt (Personen, Gegenständen, Zuständen, Ereignissen, Ideen <etc.) gegenüber auf der Grundlage der Bedeutungen, welche diese Dinge für sie besitzen, 2. Die Bedeutung dieser `Dinge´ entsteht in bzw. wird abgeleitet aus den sozialen Interaktionen, die Menschen miteinander eingehen. 3. Diese Bedeutungen werden dann in einem interpretativen Prozess im Zuge der Auseinandersetzung mit diesen `Dingen´ benützt und gegebenenfalls auch wieder verändert‚ (Blumer, 1973 S. 80-146) Aktivitäten in fremden Netzwerken bedingen damit die Fähigkeit Communities und ihren symbolischen Interaktionismus zunächst zu verstehen und in Folge anzuwenden. Oft beschreiben `community-guidelines´ oder die sogenannte `Netiquette´ , die Kurzform für Network Etiquette, die wichtigsten Spielregeln. (vgl. saferinternet.at, 2011 S. 10). Ein Verstoß gegen diese Spielregel kann Reputationsschäden für das Unternehmen verursachen. MitarbeiterInnen können sich speziell in Communities schnell strafbar machen. Einige Delikte seien hier explizit aufgeführt:  Beleidigung  Üble Nachrede  Verleumdung (vgl. saferinternet.at, 2011 S. 16-17) Besonders werden 3 Punkte für den Umgang mit persönlichen Daten hervorgehoben:  Das Internet vergisst nicht  Der erste Eindruck zählt  Ein Paradies für Datensammler (vgl. saferinternet.at, 2011 S. 37) Haben MitarbeiterInnen sogenannte `Location Based Services´ oder `Check-In Services´ aktiviert ist der Aufenthaltsort für z.B. Facebook Kontakte sichtbar. (vgl. ispa, 2011 S. 38). Ist die Mitarbeiterin mitMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 49
    • GeschäftspartnerInnen vernetzt so sehen diese den Aufenthaltsort und die Aktivitäten der Mitarbeiterin. Dies kann sich für den Unternehmenserfolg negativ auswirken. Ich zitiere hier Schranner „Beschaffen Sie sich die wichtigen Informationen < Professionelle Verhandler bereiten sich intensiv auf eine Verhandlung vor. Wissen ist Macht. < Bereits vor der Verhandlung bieten sich gute Möglichkeiten zur Informationsgewinnung: Internet < MitarbeiterInnen befragen‚ (Schranner, 2002 S. 32-33) Er fordert auch „Lassen Sie Ihren Verhandlungspartner beobachten‚ (Schranner, 2002 S. 34) Die Nutzung von `Location based Services´ erleichtert der Geschäftsparterin die Verhandlungsvorbereitung, das Social Engineering und die geeignete `Rapport-´ oder engl. `pacing-´ Taktik. Unternehmen müssen sicher stellen dass MitarbeiterInnen  professionell Kommunizieren (online und offline)  die rechtlichen Rahmenbedingungen für die Begehung der Delikte Beleidigung, üble Nachrede und Verleumdung kennen.  die Konsequenzen der Weitergabe vertraulicher Geschäftsdaten oder von Geschäftsgeheimnissen kennen  symbolischen Interaktionismus in den verschieden relevanten Netzwerken verstehen und anwenden  verhandlungsrelevante und datenschutzrelevante Informationen kennen und schützen  die Nutzung von `location based –´ oder `Check-In´ Services unterbinden solange es keine risikoevaluierte Unternehmensstrategie diesbezüglich gibtMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 50
    • 3.1.5. Arbeitsrecht für die betriebliche Praxis (Mayrhofer, 2011) Um die allgemeinen Pflichten und Verantwortlichkeiten der Mitarbeiterin eines Unternehmens auch bei der Nutzung von Sozialen Netzwerken anzuwenden, müssen wir diese näher untersuchen: Die wichtigsten Rechtsgrundlagen für Arbeitsverhältnisse in Österreich sind  Angestelltengesetz (wenn Angestellter) und sonstige arbeitsrechtliche Vorschriften  Kollektivvertrag  Betriebsvereinbarung  Einzelvereinbarungen  §§1151-1164 ABGB (Allgemeine Bürgerliche Gesetzbuch) (vgl. Mayrhofer, 2011 S. 33) Darüber hinaus ist das seit 2004 gültige GIBG (`Gleichbehandlungs- gesetz´) zu berücksichtigen. (vgl. Mayrhofer, 2011 S. 51). Durch die Aktivitäten von MitarbeiterInnen in Soziale Netzwerken kann es zu „Allgemeinen Belästigungen und sexuellen Belästigungen‚ (Mayrhofer, 2011 S. 53) durch den Arbeitgeber oder Dritte kommen. In Folge kann dies zu Schadenersatzansprüchen oder Reputationsschäden für das Unternehmen führen. ArbeitnehmerInnen sind verpflichtet, sobald die entsprechenden Rechtsgrundlagen eingehalten werden, arbeitsbezogene Weisungen des Arbeitgebers zu befolgen. Eine beharrliche Weigerung der ArbeitnehmerInnen zur Befolgung dieser Anordnung oder Weisung kann einen Entlassungsgrund darstellen. (vgl. Mayrhofer, 2011 S. 57-58) Damit erhalten Social Media Richtlinien als Weisung oder Anordnung eine entsprechende Rechtsbasis. Die Arbeitnehmerin ist zu Verschwiegenheit von Geschäfts- und Betriebsgeheimnissen verpflichtet. Eine Verletzung dieser Pflicht kann einen Entlassungsgrund darstellen. (vgl. Mayrhofer, 2011 S. 59)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 51
    • Entlassungsgründe für angestellte MitarbeiterInnen können sich durch Aktivitäten in Sozialen Netzwerken darüber hinaus ergeben, dass die Mitarbeiterin  ohne rechtmäßigen Hinderungsgrund durch längere Zeit die Arbeitsleistung unterlässt oder  sich gerechtfertigten Anordnungen des Arbeitgebers nicht fügt oder  versucht, andere MitarbeiterInnen zum Ungehorsam gegen den Arbeitgeber zu verleiten  Tätlichkeiten, Verletzungen der Sittlichkeit oder erhebliche Ehrverletzungen gegen den Arbeitgeber, dessen Stellvertreter, deren Angehörige oder andere MitarbeiterInnen desselben Betriebes begeht. (vgl. Mayrhofer, 2011 S. 219) Umgekehrt können sich aus Aktivitäten von anderen MitarbeiterInnen oder des Arbeitgebers im Sozialen Netzwerk Gründe für einen berechtigten vorzeitigen Austritt einer Mitarbeiterin ergeben:  Wenn sie ihre Arbeit nicht ohne Schaden für Gesundheit und Sittlichkeit fortsetzen kann,  der Arbeitgeber nicht den ihm obliegenden Verpflichtungen zum Schutz des Lebens, der Gesundheit oder der Sittlichkeit nachkommt  Oder der Arbeitgeber sich Tätlichkeiten, Verletzungen der Sittlichkeit oder erheblicher Ehrverletzungen gegenüber der Mitarbeiterin oder deren Angehörige zu Schulde kommen lässt. (vgl. Mayrhofer, 2011 S. 234) Diesbezügliche Entscheidungen und Vereinbarungen fallen auch in das Mitwirkungsrecht des Betriebsrates. (vgl. Mayrhofer, 2011 S. 318) Damit ergeben sich folgende Handlungsfelder:  Sicherstellung und Aufklärung der MitarbeiterInnen über die Rechtsgrundlagen und die daraus resultierenden Pflichten  Erarbeitung und Vereinbarung einer Social Media Richtlinie als Anordnung oder Weisung  Geeignete Belehrung neueintretender MitarbeiterInnen  Einbeziehung des Betriebsrates  Überwachung und Management der Einhaltung von Social Media Richtlinien in der betrieblichen PraxisMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 52
    • 3.1.6. Building A World-Class Compliance Program (Biegelman, 2008) Darüber hinaus ergeben sich aus Compliance und Ethik Programmen weitere Verpflichtungen. Diese Verpflichtungen kann sich ein Unternehmen mittels eines `CSR´ (Corporate Social Responsibility) Programmes selbst auferlegen oder bekommt es von regulatorischer Seite auferlegt. Beispiele dafür sind zum Beispiel in den Vereinigten Staaten die SEC, DOI, Federal Sentencing Guidelines, The McNulty Memo, Criminal and civil prosecutions. (vgl. Biegelman, 2008 S. 14) Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008) Daraus ergeben sich für manche Unternehmen spezifische Zusatzerfordernisse: Berücksichtigung von regulatorischen Erfordernissen für die Veröffentlichung von Unternehmensinformationen in börsennotierten oder selbstverpflichteten Unternehmen bei der Erstellung von Social Media Richtlinien.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 53
    • 3.1.7. Unsere Kommunikation der Zukunft (Scoble, et al., 2007) Der Verfasser zitiert zu Beginn des Kapitels `Wie man gemobbt wird´ Philip Kotler: „Gutes Marketing beruht teilweise auf dem Befolgen der Regeln. Großartiges Marketing beruht häufig auf dem Bruch mit den Regeln.‚ (Scoble, et al., 2007 S. 257) Um jedoch Irritationen zu vermeiden empfiehlt er  Treffen Sie keine Aussagen, die nicht zum PR Image passen.  Lassen Sie keine finanziellen oder anderen vertraulichen Informationen durchsickern  Stören Sie nicht den Arbeitsfrieden, indem Sie Kollegen und Vorgesetzte verärgern  Veröffentlichen Sie vorab keine Neuigkeiten, das bedeutet unerwartete Mehrarbeit für das PR-Team  Waschen Sie keine schmutzige Wäsche  Schaffen Sie keine rechtlichen Verpflichtungen  Beschädigen Sie nicht das Verhältnis Ihres Unternehmens zu Partnern, Wettbewerbern oder anderen Instanzen, die nachhaltige Folgen für ihr Unternehmen haben könnten. (vgl. Scoble, et al., 2007 S. 259) Sollten diese Verhaltensgrundsätze nicht bereits Bestandteil des `Unternehmensleitbildes´ oder des `Code of Conduct´ sein, so lassen sich diese auch in die Social Media Richtlinien integrieren. Daraus empfiehlt sich die Integration von kooperationsfokussierten Kommunikationsrichtlinien und Handlungsbefugnissen in die Social Media Richtlinien.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 54
    • 3.1.8. Gefahren durch Wirtschafts- und Industriespionage für die österreichische Wirtschaft (BMI, 2010) Das BMI (Bundesministerium für Inneres) hat in Kooperation mit der FH Campus Wien und Unterstützung der WKO (Wirtschaftskammer Österreich) und IV (Industriellenvereinigung) eine Studie zur Bedrohunglage in österreichischen Unternehmen durchgeführt: 31% der befragten österreichischen Unternehmen geben an bereits Opfer von Wirtschafts- und Industriespionage geworden zu sein. (vgl. BMI, 2010 S. 4). Die Zahlen der Studie zeigen, dass das größte Risiko im Bereich Wirtschafts- und Industriespionage von den eigenen MitarbeiterInnen ausgeht. (vgl. BMI, 2010 S. 8) „Social Engineering is a methodology that allows an attacker to bypass technical controls by attacking the human element in an organization. There are many techniques commonly used in social engineering including but not limited to Trojan and phishing email messages, impersonation, persuasion, bribery, shoulder surfing, and dumpster diving. Hackers rely on social engineering attacks to bypass technical controls by focusing on the human factors. Social engineers often exploit the natural tendency people have toward trusting others who seem likeable or credible, deferring to authority or need to acquiesce to social conformity.‛ (Applegate, 2009 S. 40) Schulung der MitarbeiterInnen auf das Erkennen und Handeln bei Social Engineering Attacken.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 55
    • 3.1.9. Infoblatt Elektronische Abwehr (Abwehramt, 2006) Das Abwehramt des Bundesministeriums für Landesverteidigung erklärt das Entstehen einer Gefahr/Bedrohung durch Menschen aus folgenden Gründen:  Fehlendes Bewusstsein  Unkenntnis  Nachlässigkeit  Bewusste Schädigung durch unehrliche oder verärgerte MitarbeiterInnen  Spionage (vgl. Abwehramt, 2006 S. 5) Als Angreifer werden  Staatliche Nachrichtendienste  Konfliktparteien  Wirtschaftsunternehmen  Organisierte Kriminalität  Staatsgefährdende Organisationen  Private Informationsdienste oder  Detektive und Medienvertreter genannt. (vgl. Abwehramt, 2006 S. 12) Dieses Bedrohungsbild lässt sich durchaus auch auf die Privatwirtschaft anwenden (siehe 2.1.). Unternehmen in sensiblen Industrien mit hoher Relevanz für Angreifer sollten individuelle Corporate Security bzw. Informationssicherheits- Risk- Assessments durchführen bevor Social Media Plattformen durch MitarbeiterInnen benutzt werden dürfen.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 56
    • 3.1.10. Sophos Security report 2011 (Sophos, 2011) ‚By preying on our curiosity, cybercriminals are able to use psychological traps to profit from unsuspecting users of technology‛ (Sophos, 2011 S. 2) Im Kapitel `Identifying the threats´ werden aktuelle Bedrohungen beschrieben: Ein großes Risiko stellt derzeit `Fake anti-virus software´dar. Vgl. (Sophos, 2011 S. 5) Andere Angreifer nutzen `Internet marketing techniques´ , welche von der Industrie zur Optimierung der Suchmaschinenergebnisse verwendet werden (SEO). (vgl. Sophos, 2011 S. 6) Im Bereich `Social engineering techniques on social networks´ werden verschieden aktuelle Trends beschrieben wie zum Beispiel `clickjacking´ auch `UI redressing´ genannt. Unsichtbare layer überlagern sichtbare Informationen und holen sich damit den `click´ ab. Hier wird das Standardarsenal der Social Engineering Techniken verwendet: Kompromittierende Bilder von Stars, wichtige Nachrichtenmeldungen, Unterhaltungsevents, Geschichten über Selbstmorde, Haiattacken, usw. (vgl. Sophos, 2011 S. 7) Eine abgewandelte Form von `clickjacking´ ist die auf Facebook verwendete Form das sogenannte `likejacking´. Dabei wird die like Funktion von Facebook genutzt. Darüber hinaus hat der `Survey scam´ hohe Bedeutung. Bei dieser Form des Angriffes erlaubt die Benutzerin – aus Interesse an einer Drittanwendung - den Zugriff auf die persönlichen Daten. In Folge versendet der Angreifer Mails an die Kontakte der BenutzerIn. Durch sogenannte `Affiliate Marketing Systeme´ verdient der Angreifer Geld und die Kontakte der BenutzerIn werden belästigt. (vgl. Sophos, 2011 S. 8) Sophos hebt einige Punkte in einem 10 Punkte Ratgeber hervor: Sophos appelliert in diesem Ratgeber an die Erfahrung und den Verstand der Benutzerin bei der Bewertung von Informationen:  Prüfe auf Wahrscheinlichkeit das etwas wahr ist  Wie wahrscheinlich ist das nur ich der Empfänger dieser Nachricht bin?Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 57
    •  Was schön und attraktiv ist nicht zwingend wahr.  Sei geduldig. Viele Benutzerinnen klicken viel zu schnell auf ein interessantes link.  Bevor die Identität des Gegenübers nicht klar ist darf man keinesfalls persönlichen Daten oder Firmeninformationen übermitteln  Mittels email dürfen keine persönlichen Daten oder Firmendaten übermittelt werden. Solche Anforderungen von AnbieterInnen sind höchst verdächtig.  Falls man nicht sicher ist ob ein email vom richtigen Absender kommt sollte man unbedingt die Richtigkeit durch direkte Kontaktaufnahme überprüfen. Die Kontaktinformationen des Mails dürfen dafür nicht herangezogen werden. Man muss sich die Kontaktinformationen selbst beschaffen.  Überprüfen Sie doppelt die URLs von Webseiten die Sie besuchen, einige `phising websites´ sehen dem Original täuschend ähnlich aber unterscheiden sich in einem kleinen Detail in der URL.  Wenn man der Sicherheit einer Website nicht vertraut, sollte man an diese Website keine Informationen übermitteln.  Seien Sie misstrauisch bei unerwünschten Telefonanrufen oder Emails in denen Sie nach Informationen über MitarbeiterInnen gefragt werden. (vgl. Sophos, 2011 S. 8) Aber auch klassische Sicherheitsprobleme, wie Passwörter spielen eine große Rolle: „Despite the increasing sophistication and availability of alternatives, simple passwords remain the most common form of user authentication. Many online sites and services continue to rely on passwords alone to prove that the person interacting with them is who they claim to be. Weaknesses in this approach represent a serious hole in security. < Far too many people use simple and easily-guessed passwords like `123456´, `password´ and `qwerty´ ‚ (Sophos, 2011 S. 14-15) Eine der großen Herausforderungen der nächsten Jahre liegt laut Sophos beim Mobilen Endgerät und Smartphone: „According to Gartner analysts, `one in six people will have access to a high-tech mobile device by the end of 2010´. In the last few years, we’veMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 58
    • witnessed a radical change in the way we access and use the Internet. The rapid upswing in sophistication of mobile technology resulted in a swift change in the way we provide mobile content and interact with it. However, this change brings with it a wealth of new problems for security. In our new, always-connected age, maintaining the integrity and privacy of networks, business data and personal information is increasingly important and difficult.‛ (Sophos, 2011 S. 16) `Facebook´,` XING´ und `LinkedIn´ bieten sowohl `iPhone´ als auch `Android´ Apps (Applikationen) an. Damit werden von vielen BenutzerInnen sämtliche Kontakte in den drei Netzwerken am Mobiltelefon miteinander verlinkt und abgespeichert. ‚Facebook, by far the largest social networking system and the most targeted by cybercriminals, has a major problem in the form of its app system. Any user can create an application, with a wide range of powers to interact with data stored on user pages and cross-site messaging systems, and these applications, like survey scams, can then be installed and run on any users’ page.‛ (Sophos, 2011 S. 23) Abbildung 23 Facebook app verification demand and privacy concerns; Quelle: (Sophos, 2011) Sophos untermauert die Unsicherheit von Applikationen in `Facebook´ im Oktober 2010 mit einer Umfrage: Auf die Frage ob Facebook dem Beispiel von Apple folgen soll und nur verifizierte Applikationen den Zutritt gewähren soll antworten über 95% mit ja. (vgl. Sophos, 2011 S. 46) Die Wichtigkeit der Privatsphäreeinstellungen bei Facebook wurde in der Umfrage mittels der Frage `Do you think you will quit Facebook overMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 59
    • privacy concerns´ von 76% mit `das habe ich bereits´, `wahrscheinlich deswegen´ oder `möglicherweise´ beantwortet. (vgl. Sophos, 2011 S. 46) „There’s still a long way to go. Too many people are too willing share anything they can think of on their social networking pages, with no thought of the possible consequences. And many people unthinkingly click on an email attachment or link because it comes in from a friend or colleague’s email address. We need to balance caution and sensible precautions with usability. Users need to be able to trust that online purchases and other payments will be safe and secure, that their banks will look after their money and that their purchases will reach them. Without this trust, we would be afraid to communicate or conduct any transaction online. Yet, as Ben Franklin’s old adage says, `An ounce of prevention is worth a pound of cure.´‛ (Sophos, 2011 S. 46) Die Sensibilisierung und Ausbildung der BenutzerInnen von Sozialen Netzwerken reduziert demnach die Kosten für die Abwehr von Angriffen massiv. „the bad guys are focusing more and more on social engineering tricks and social sites to find and exploit new victims‛ (Sophos, 2011 S. 48) Ergänzen und präzisieren wir auf Basis der Erkenntnisse des Sophos Reports: Vermittlung und Überprüfung des Problembewusstseins und Wissens der MitarbeiterInnen in Bezug auf - die aktuellen Bedrohungen in Sozialen Netzwerken - sicheres Passwortmanagement im Bereich Sozialer Medien - Sicherheitsbedrohungen durch die Nutzungen der Android und iPhone Apps auf Mobilen Endgeräten - Social Engineering Fallen Neu auftauchende Sicherheitsrisiken durch Mobile Endgeräte, Social Media Applikationen und Privatsphäre Einstellungen müssen frühzeitig erkannt laufend bewertet werdenMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 60
    • 3.1.11. Implementing Solutions to Social Media´s Security Risks (Security Directors Report, 2010) Die Gliederung einer Social Media Policy könnte sich wie folgt gliedern:  ‚personal use in the workplace (whether its allowed, whats appropriate, and nondisclosure of business-related information);  personal use outside the workplace (posting of business-related information, disclaimers if identifying employer, dangers from posting too much personal info);  and business use (if its allowed, approval process for using it, scope of information that can be discussed, and disallowed activities, like installation of applications).‛ (Security Directors Report, 2010 S. 6) Die Unterscheidung zwischen persönlicher Nutzung am Arbeitsplatz, persönliche Nutzung außerhalb des Arbeitsplatzes und beruflicher Nutzung hilft bei der differenzierten Betrachtung.3.1.12. Cisco 2010 Annual Security Report (Cisco, 2010) Im September 2010 wurden weltweit spam emails von LinkedIn versandt, welche gefälschte Erinnerungsnachrichten enthielten. Wenn die Benutzerin die angegebenen `links´ anklickte installierte man eine `Zeus´ Datendiebstahls Software die auf persönliche Bankinformationen zugreift. Am Tag des Versandes dieser SPAM Email kam es zum dahin bisher größten Versand von SPAM weltweit. 24% des weltweiten SPAMs betrafen die gefälschte LinkedIn Nachricht. (vgl. Cisco, 2010 S. 15) Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 61
    • Auch Cisco veröffentlichte 2010 Tipps zur Vermeidung von Social Engineering Angriffen. „Die 7 tödlichen Schwächen‚:  Sex Appeal (Sexuelle Anziehungskraft; ‚<masquerading as an attractive men or women‛)  Greed (Gier; ‚<too good to be true‛)  Vanity (Eitelkeit; ‚<the victim has been chosen for a special offer‛)  Trust (Vertrauen; <siehe LinkedIn Email)  Sloth (Faulheit; ‚<its easy to click on a link, instead of calling the bank‛)  Compassion (Mitgefühl; ‚<somebody says he is stranded somewhere and needs money‛)  Urgency (Dringlichkeit; ‚<act now < time is running out‛) (vgl. Cisco, 2010 S. 19) Die Sensibilisierung für die Problematik Social Engineering sollte möglichst eindrucksvoll erfolgen. Cisco beschreibt die erfolgreiche `public awarness´ Kampagne der National Cyber Security Alliance: `Stop.Think.Connect´. Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011)  Auch geschäftliche Netzwerke wie XING oder LinkedIn können Opfer von Angriffen werden.  Emotionen sind die Grundlagen für Social Engineering Angriffe.  Emotional sollte auch die Sensibilisierung der MitarbeiterInnen sein.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 62
    • 3.1.13. Industriespionage 2.0 – Soziale Netzwerke und Ihre Auswirkungen auf die Firmensicherheit (Poller, 2008) Das Fraunhofer Institut für Sichere Informationstechnologie (SIT) fasst in diesem Bericht eine Studie im Zeitraum März bis August 2008 zusammen. Ergänzend zu dem bisherigen Ergebnisse findet sich hier eine interessante Zusammenfassung zu den Möglichkeiten der Einflussnahme durch Arbeitgeber. (vgl. Poller, 2008 S. 12) Diese Fragestellung hat auch heute noch ihre Berechtigung bei der Definition von Social Media Richtlinien. Im Rahmen eines Social Media Richtlinie sollte definiert werden,  welche firmenbezogenen Daten dürfen eingegeben werden?  welche Zugriffskontrollen sind für bestimmte Daten zu konfigurieren? (geschlossene Gruppen)  welche Daten dürfen aus der Plattform empfangen werden? (Beschränkungen möglich soweit Dienstrechner oder Firmen Smartphone), Bsp. Synchronisierung von Outlook mit XING oder LinkedIn  welche dienstlichen Vorgänge dürfen über die Plattform abgewickelt werden?  Plattformspezifische Einschränkungen?  Problem der Authentizität von Kommunikations- und InteraktionspartnerInnen? (vgl. Poller, 2008)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 63
    • 3.1.14. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets the Securities World (Haid, 2010) In ihrem Artikel beschreibt Amy E. Haid besondere Herausforderungen bei der Nutzung von Social Media unter Berücksichtigung der FINRA (Financial Industry Regulatory Authority). Mitgliedsfirmen müssen gemäß der FINRA Regel 07-59 die elektronische Kommunikation von Mitgliedsfirmen überprüfen und überwachen. Social Networking Seiten wie `Facebook´ werden seitens FINRA als statisch und interaktiv klassifiziert. Die Überwachung von statischen Inhalten folgt klaren Regeln (Begutachtung vor Veröffentlichung und Speicherung bei FINRA<). Bei dynamischen interaktiven Inhalten wie `Facebook´, `LinkedIn´ und `Twitter´ ist es unverhältnismäßig komplexer sich diesen klaren Regeln anzupassen. (vgl. Haid, 2010 S. 1-2) Deshalb gibt FINRA spezifische Empfehlungen für die Finanzwirtschaft: ‚If brokers and advisers venture to provide recommendations and advice to customers via social media tools, they should exercise extreme caution to: (1) Adequately obtain complete customer information; (2) Dispense recommendations and advice to that customer alone (if possible, attempting to prevent it from being unintentionally shared with additional persons via the broker’s or adviser’s homepage and privacy settings); (3) Include all required disclosures; and (4) Fully comply with requirements to document and retain all information relevant to the communications.‛ (Haid, 2010 S. 4) Eine Aufzählung der wichtigsten Inhalte einer Social Network Guideline für die Finanzwirtschaft ist sehr stark rechtlich geprägt:  Brand use compliance;  Intellectual property;  Privacy;  Anti-money laundering;Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 64
    •  Corporate disclosures;  Jurisdictional limitations for different licenses;  Prior approval for posts;  Use of approved templates or „canned‟ communications;  Limiting or prohibiting investment related communication;  Disclosing site use to supervisor/compliance;  Prohibiting use for securities-related purposes; and  Training requirements for social media users. (vgl. Haid, 2010 S. 6) Daraus ergibt sich: Informationspflichten gemäß Konsumentenschutzgesetz, Finanzmarktgesetzen oder andere Beratungsverpflichtungen müssen durch geeignete Dokumentation auch in Sozialen Netzwerken sichergestellt werden. Die Einhaltung von branchenspezifische Gesetzen und Richtlinien muss in den Social Media Richtlinien sorgfältig und rechtsverbindlich berücksichtigt werden.3.1.15. 10 THINGS you should know now about…. SOCIAL MEDIA SECURITY (Reisinger, 2009) Don Reisinger bringt es auf den Punkt ‚UNVEILED THREATS - The threat of outbreaks coming from social networks is real. Without some sort of corporate policy and safeguards in place, sensitive data can leak out through social networks.‛ (Reisinger, 2009 S. 1) Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen sind bei der Nutzung von Sozialen Netzwerken notwendig um den Verlust sensibler Daten zu verhindern.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 65
    • 3.1.16. Informationstechnologie – Sicherheitstechnik ÖNORM ISO/IEC ISO 27001 (ON Österreichisches Normungsinstitut, 2008) „Diese Internationale Norm wurde entwickelt, um ein Modell für die Einrichtung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Instandhaltung und die Verbesserung eines Informationssicherheits-Managementsystems (ISMS) bereitzustellen. Die Einführung eines ISMS sollte eine strategische Entscheidung für eine Organisation sein. Die Gestaltung und Umsetzung eines ISMS hängen von den Bedürfnissen und Zielen, Sicherheitsanforderungen, eingesetzten Verfahren sowie Größe und Struktur der Organisation ab. Erwartungsgemäß ändern sich diese Faktoren und die sie unterstützenden Systeme im Laufe der Zeit. Es wird daher angenommen, dass die Umsetzung des ISMS den Bedürfnissen der Organisation angepasst wird, zB erfordert eine einfache Situation auch eine einfache ISMS-Lösung. Diese Internationale Norm kann von beteiligten Internen und Externen verwendet werden, um zu bewerten, inwieweit eine Organisation die Anforderungen erfüllt.‚ (ON Österreichisches Normungsinstitut, 2008 S. 5) Die gegenständliche Norm befasst sich ganzheitlich mit dem Schutz von Information in Unternehmen. Die gegenständliche Norm definiert zunächst Begriffe wie Vermögenswert, Verfügbarkeit, Vertraulichkeit, Informationssicherheit, Informationssicherheits-Ereignis, Informationssicherheits-Vorfall, Informationssicherheits-Managementsystem (ISMS), Integrität, Restrisiko, Risikoakzeptanz, Risikoanalyse, Risikobewertung, Risikoevaluierung, Risikomanagement, Risikobehandlung und Erklärungen zur Anwendbarkeit. (vgl. ON Österreichisches Normungsinstitut, 2008 S. 8) Die gegenständliche Arbeit befasst sich im Sinne dieser Definitionen mit: Bedrohungen für Vermögenswerte, durch die Verfügbarkeit und Anwendung von Sozialen Netzwerken wie Facebook, XING und LinkedIn - im persönlichen Arbeitsumfeld und Privatbereich von MitarbeiterInnen - in Unternehmen, welche im B2B Geschäft tätig sind, sowie daraus resultierende allgemeine ISMS - Handlungsfelder für Unternehmen.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 66
    • Unternehmen die ein ISMS einrichten möchten oder bereits eingeführt haben benötigen Kenntnis über potentielle Bedrohungen für Vermögenswerte. Im Rahmen der Identifizierung der Risiken ist die „Identifizierung der Bedrohung für diese organisationseigenen Vermögenswerte‚ (ON Österreichisches Normungsinstitut, 2008 S. 11) sowie die „Identifizierung der Schwachstellen, die durch diese Bedrohung ausgenutzt werden könnten; <‚ (ON Österreichisches Normungsinstitut, 2008 S. 11) ein wesentlicher Teil der Arbeit. Zahlreiche Maßnahmenziele und Maßnahmen der ISO/IEC 27001 werden durch eine Social Media Richtlinie berührt bzw. müssen von dieser berücksichtigt werden (vgl. ON Österreichisches Normungsinstitut, 2008 S. 20-36): Dokument zur Informationssicherheit-Politik müssen unter Umständen in der Enterprise 2.0 adaptiert werden. Die Überprüfung der Informationssicherheits-Politik muss bei der Nutzung immer täglich neuer Web Applikationen, Mobiler Endgeräte durch MitarbeiterInnen praktikabel geregelt werden. Das Engagement des Managements für Informationssicherheit sollte sich durch Unterstützung der Verantwortlichen durch Vorbildwirkung manifestieren. Die Koordination der Informationssicherheit beim Umgang mit Sozialen Medien bedingt entsprechende Kompetenzen in diesem Bereich, die Zuweisung der Verantwortlichkeiten der Informationssicherheit für im Fremdbesitz bzw. Fremdeinfluss befindliche Web 2.0 Applikationen bedingt vor allem sehr viel Verantwortung bei der Benutzerin. Der Genehmigungsprozess für informationsverarbeitende Einrichtungen wird bei der Nutzung bestimmter Sozialer Netzwerke, Mobile Apps gesondert zu regeln sein. Vertraulichkeits-Vereinbarungen in Dienstverträge müssen ggf. adaptiert werden, bzw. Ergänzungen vereinbart werden. Gute Kontakte zu Behörden (Bundeskriminalamt) und Kontakte zu speziellen Interessensgruppen (ispa, saferinternet, Google, Facebook,Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 67
    • XING, LinkedIn) ermöglichen schnelle Reaktionen auf Angriffe oder Missbrauch. Die unabhängige Überprüfung der Informationssicherheit durch externe Profis ist auch bei der Nutzung von sozialen Netzwerken zu empfehlen. Die Identifizierung von Risiken in Zusammenhang mit Externen kann durch Geheimhaltungsvereinbarungen mit Schadensersatzanspruch und ausschließlicher Beauftragung von sicherheitsüberprüften gut beleumundeten Unternehmen vereinfacht werden. Das Adressieren von Sicherheit im Umgang mit Kunden und die Sicherheit in Vereinbarungen mit Dritten haben vor allem mit Bewusstsein bei MitarbeiterInnen zu tun. Inventar, Eigentum und die zulässige Nutzung der Vermögenswerte z.B. Unternehmensprofile in Sozialen Netzwerken, Medien des Unternehmens, MitarbeiterInnen Fotos o.ä. ist in der Praxis auch sehr stark vom Verhalten der einzelnen Mitarbeiterin abhängig. Die Überprüfung von MitarbeiterInnen vor Einstellung ins Unternehmen sollte um einen Dimension Social Media erweitert werden und die Zustimmung der Mitarbeiterin zu Beschäftigungsbedingungen mit verbindlichen Social Media Richtlinien sind vor Einstellung einzuholen. Die Verantwortlichkeiten des Managements für die Einhaltung der Richtlinien ist klar zu regeln. Das Bewusstsein sowie Ausbildung und Schulung für Informationssicherheit und den Umgang mit Sozialen Medien im Web 2.0 muss seitens der Unternehmen sichergestellt werden. Zeitgemäße Disziplinarverfahren mit einem geeigneten Eskalationsstufenmodell bei Verstößen sollten als Konsequenz bei Zuwiderhandeln konsequent umgesetzt werden. Die Verantwortlichkeiten bei der Beendigung der Beschäftigung müssen entsprechend adaptiert werden, insbesondere ist bei der Rückgabe von Vermögenswerten auch die Übergabe des Zuganges und der Verfügung über immaterielle Vermögenswerte - die von MitarbeiterInnen in ihrer Arbeitszeit bzw. dienstlich geschaffen wurden oder in deren Verfügung stehen – zu regeln. Zahlreiche SEO Maßnahmen sind mit sind mitMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 68
    • komplexen Verknüpfungen unterschiedlichster Web 2.0 Anwendungen verbunden der Zugriff auf diese Drittanwendungen erfolgt sehr oft über `Facebook Connect´. Die Aufhebung von Zugangs- bzw. Zugriffsrechten hat aus diesem Grund überlegt zu erfolgen. Emailadressen sind wesentlicher Bestandteil von Zugriffsrechten auf Social Media Anwendungen und sollten aus diesem Grund keinesfalls unwiderruflich gelöscht werden. Die Entfernung von Eigentum wie zum Beispiel Firmenprofile in Sozialen Netzwerken muss auch virtuell verhindert werden. Dokumentierte Betriebsverfahren für Soziale Netzwerke müssen geschaffen werden. Das Änderungsmanagement wird bei der individuellen Nutzung täglich neuer Webapplikationen, Mobile Apps, etc. mit neuen Ansätze zu regeln sein. Die Aufgabentrennung zum Beispiel ein 4-Augenprinzip wird in der aktuellen Social Media schwer umzusetzen sein. Die Erbringung, Überwachung, Überprüfung der Dienstleistungen durch Dritte (Facebook, XING, LinkedIn,<) ist bei teilweise kostenfreien Diensten äußerst schwierig zu realisieren, da viele dieser Dienstleister in ihren AGBs sämtliche Haftungen von sich weisen. Der Schutz gegen Schadsoftware gewinnt in Soziale Netzwerke eine neue Dimension MitarbeiterInnen erlauben Drittsoftware Zugriff bei Installation Zugriff auf unterschiedlichste Daten. Der Schutz vor Datenverlust wird bei Kontaktdaten in Sozialen Netzwerken welche von Dritten kontrolliert werden vor allem fremdbestimmt erfolgen. Das Gleiche gilt für den Umgang mit Information wie Speicherung, Verteilung, etc.. Bei eigenen Datenverarbeitungssystemen definierte Anweisungen und Verfahren zum Austausch von Information sind in Sozialen Netzwerken nur schwer kontrollierbar, der Schutz von elektronischen Nachrichten ist dementsprechend schwierig. Großes Augenmerk muss auf die Sicherheit des elektronischen Geschäftsverkehres und Online-Transaktionen gelegt werden, da sichMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 69
    • über Soziale Netzwerke und Mobile Endgeräte Schadsoftware sehr einfach verbreitet. Die Integrität öffentlich zugänglicher Information muss natürlich auch in Sozialen Netzwerken sichergestellt werden. Firmenprofile müssen von darauf geschulten und autorisierten MitarbeiterInnen oder externen AuftragnehmerInnen verwaltet werden. Die Verfahren zur richtlinienkonformen  Überwachung,  Zugriffskontrolle,  Beschaffung, Entwicklung und Wartung von Informationssystemen  Management von Informationssicherheits-Ereignissen- und Schwächen  Betriebliches Kontinuitätsmanagement müssen bei der Einbeziehung von Sozialen Netzwerken in die Geschäftsprozesse (Kundenbeziehungs-Management, Customer Relationship-Management, Kundenreaktivierungsprozesse) dementsprechend adaptiert werden. Ein besonderes Augenmerk muss bei der Implementierung einer Social Media Richtlinie auf die Einhaltung von Verpflichtungen gelegt werden. Die ÖNORM ISO/IEC ISO 27001 unterscheidet hier: Einhaltung gesetzlicher Verpflichtungen  Identifizierung der anwendbaren Gesetze  Rechte an geistigem Eigentum  Schutz von organisationseigenen Aufzeichnungen  Datenschutz und Geheimhaltung von personenbezogenen Informationen  Verhinderung des Missbrauchs von informationsverarbeitenden Einrichtungen  Regelungen von kryptographischen Maßnahmen Einhaltung von Sicherheitsanweisungen und -standards sowie technischer Vorgaben  Einhaltung von Sicherheitsanweisungen und –standardsMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 70
    •  Überprüfung der Einhaltung technischer Vorgaben Überlegungen zu Audits von Informationssystemen  Maßnahmen für Audits von Informationssystemen  Schutz von Auditwerkzeugen für Informationssysteme (vgl. ON Österreichisches Normungsinstitut, 2008 S. 20-36) Die ÖNORM ISO/IEC ISO 27001 bietet mit dem Anhang A `Maßnahmenziele und Maßnahmen´ eine geeignete Struktur zur detaillierten Analyse firmenspezifischer Bedrohungen, dem Erkennen notwendiger Bereiche für individuelle Zieldefinitionen und Verankerungspunkte für konkrete Maßnahmen bei der Erstellung einer individuellen Social Media Richtlinie.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 71
    • 3.2. Forschungsabschluss Abbildung 26: Forschungsabschluss Stichworte im Überblick 3.2.1. Schwachstellen, Bedrohungen, Straftaten Die Schwachstellen bei der Benutzung von Sozialen Netzwerken wie Facebook, XING und LinkedIn wie<  einfacher Zugriff auf Social Media Profile durch unsicheres Passwortmanagement der BenutzerInnen im Bereich Sozialer Medien  immer perfekter konstruierte Social Engineering Fallen  laufend neu auftauchende Sicherheitsrisiken durch Mobile Endgeräte und Social Media Applikationen von unsicheren Drittanbietern  Sicherheitsbedrohungen durch die Nutzung der Android und iPhone Apps auf Mobilen Endgeräten  veränderte Privatsphäre Einstellungsoptionen  übergreifende Zugriffsmöglichkeiten zwischen unterschiedlichen Social Media Anwendungen  Mangelnde Kenntnisse der BenutzerInnen und wenig Bewusstsein für potentielle Gefahren sind Angriffspunkte für stark boomende Bedrohungen wie  The involvement of criminal organisations in high tech crimes  Botnets and crime wares  Phishing & Identity Theft  Pharming Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 72
    •  Vishing  SMiShing  Critical Information Infrastructures  Cyber terrorism  Trafficking of Child Pornography Images on the Internet  Drugs Trafficking on the Internet  The Digital Underground Economy  Cybercriminal Business Models  Cybercrime 2.0  Social Engineering (techniques on social networks)  Fake anti-virus software  Internet marketing techniques  Clickjacking  Likejacking  Survey scam Damit werden unterschiedliche Cybercrime Straftaten begangen  Straftaten gegen die Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Computerdaten und –systemen  Computerbezogene Straftaten  Inhaltsbezogene Straftaten  Straftaten in Zusammenhang mit Verletzungen des Urheberrechts und verwandter Schutzrechte  Weitere Formen der Verantwortlichkeit und Sanktionen aber auch andere Straftaten wie Spionage, Industriespionage, Betrug, Erpressung, Entführung, Menschenhandel, Kindesmissbrauch, Wiederbetätigung, Terrorismus, Geldwäsche usw. vorbereitet oder begangen.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 73
    • 3.2.2. Gründe für Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen Soziale Netzwerke beeinflussen den Unternehmenserfolg in unterschiedlichen Bereichen. Social Media Unternehmensrichtlinien und Sicherheitsmaßnahmen bei der Nutzung von Sozialen Netzwerken sind notwendig weil  Soziale Netzwerke sind perfekte Datenquellen für Verbrechen. Der Verlust sensibler Daten und die Begehung von Verbrechen muss verhindert werden: Kriminelle Aktivitäten in Sozialen Netzwerken kann MitarbeiterInnen, Unternehmen und GeschäftspartnerInnen massiven Schaden zufügen.  Vertrauen, Kommunikation und gemeinsamen Werte bestimmen neben der Attraktivität der Alternativen die Qualität von Geschäftsbeziehungen im B2B Geschäft. Aktivitäten von MitarbeiterInnen und Unternehmen Sozialen Netzwerken beeinflussen den Erfolg von Unternehmen im B2B Bereich: Beziehungsmanagement 2.0 findet auch im Internet statt.  Unternehmen haften für die Einhaltung rechtlicher und regulatorischer Vorgaben und besonderer Selbstverpflichtungen durch ihre MitarbeiterInnen und das Unternehmen. Speziell erwähnt sei hier das Urheberrechte, Datenschutz, Finanzmarktvorschriften, Beleidigung, üble Nachrede, Arbeitsrecht, Corporate Social Responsibility.  Verhandlungsbestimmende Unternehmensinformationen, Know How und andere Vermögenswerte müssen geschützt werden. Gesprächsabschöpfung, elektronische Aufklärung und andere Spionageverfahren nutzen Social Engineering zur Zielerreichung. MitarbeiterInnen müssen auf das Erkennen und die Abwehr solcher Aktivitäten vorbereitet werden.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 74
    • 3.2.3. Allgemeine Handlungsempfehlungen für MitarbeiterInnen in Sozialen Netzwerken Ohne Berücksichtigung spezifischer Unternehmensrisiken ergeben sich einige allgemeingültige Handlungsempfehlungen für MitarbeiterInnen in sozialen Netzwerken: Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen für MitarbeiterInnen  So wenige Daten wie möglich preisgeben (`Need-to-know´)  Restriktiver Umgang mit den Privatsphäreeinstellungen  Sichere Passwörter verwenden  Unterschiedliche Passwörter für die verschieden Sozialen Netzwerke verwenden  Zusammenfassung von beruflichen Gruppen und Vergabe von entsprechende Zugriffsberechtigungen für Gruppen  Blockieren der Möglichkeit der Markierung der Mitarbeiterin auf Fotos  Trennung von Facebook und Twitter wenn `tweet´ Frequenz zu hoch für Facebook.  Blockieren der Auffindbarkeit des Profils für Suchmaschinen und ggf. NetzwerkmitgliederInnen  Deaktivierung der Möglichkeit für Drittanwendungen im Profil der Benutzerin zu posten  Berufliches und Privates trennen (z.B. nur berufliches in XING und LinkedIn)  Anonymisiertes Profil in FacebookMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 75
    •  Orientierung an der Netiquette bzw. FAQs um sich sicher und souverän in Sozialen Netzwerken zu bewegen (Vermeidung von Irritationen bei GeschäftspartnerInnen)  Kenntnis der jeweiligen AGBs  Vorsicht bei der Nutzung von Sozialen Netzwerken über öffentliche Netze (wenige Netze verwenden entsprechende Verschlüsselungen)  Entfernung von geschäftsschädigenden, missverständlichen oder beleidigenden Einträgen von der eigenen Pinwand  Keine Nutzung von `location based´oder `check-in´Services  Keine Nutzung von Drittanwendungen auf Facebook  Professionelle Kommunikation, die auch dem Auge kritischer GeschäftspartnerInnen standhält  Keine Verwendung von unsicheren oder unbekannten Virenschutzprogrammen (häufige Angriffsquelle)  Regelmäßiger Update der Virenschutzprogramme  Sorgfältiger Umgang mit Geschäftsinformationen und regelkonformes Verhalten (siehe auch Pflichten von ArbeitnehmerInnen aus Arbeitsverträgen, Arbeitsrecht, Betriebsvereinbarungen, Urheberrechten, Datenschutzrichtlinien, Wettbewerbsrecht und anderen Gesetzen)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 76
    • 3.2.4. Unternehmensseitige Handlungsempfehlungen bei der Nutzung von Sozialen Netzwerken durch MitarbeiterInnen Abbildung 28: Stichwortsammlung - Handlungsempfehlungen für Unternehmen Aus der gegenständlichen Arbeit lassen sich auch klare Unternehmensseitige Handlungsempfehlungen bei der Nutzung von Sozialen Netzwerken durch MitarbeiterInnen ableiten:  Erarbeitung und Vereinbarung einer Social Media Richtlinie als Anordnung, Weisung oder Betriebsvereinbarung  Berücksichtigung der Allgemeinen Handlungsempfehlungen (gemäß 3.2.3) für MitarbeiterInnen in den Social Media Richtlinien  Unterscheidung zwischen persönlicher Nutzung am Arbeitsplatz, persönlicher Nutzung außerhalb des Arbeitsplatzes und beruflicher Nutzung.  Vermittlung und Überprüfung des Problembewusstseins und der Kompetenzen der MitarbeiterInnen in Bezug auf die o Umsetzung der Social Media Richtlinien o Konsequenzen der Weitergabe von vertraulichen oder sensiblen Geschäftsinformationen oder Geschäftsgeheimnissen o relevanten Rechtsgrundlagen und daraus resultierenden Pflichten o Notwendigkeit von Zugriffskontrollen für bestimmte Daten (geschlossene Gruppen) o Einschränkungen in Bezug auf Datenempfang, Installationen oder Verbindungen für Dienstrechner oder Smartphones aus sicherheitstechnischen GründenMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 77
    • o Einschränkungen bei der Angabe von firmenbezogenen Daten o Einschränkungen von dienstlichen Vorgängen auf Social Media Plattformen o Vorgaben für Firmenprofile in Sozialen Medien o Kenntnis besonderer strafrechtlich relevanter Delikte wie üble Nachrede, Beleidigung, unlauterer Wettbewerb und Urheberrechtsverletzungen o das Erkennen und die Abwehr von Social Media Attacken o geeignete Belehrung neu eintretender MitarbeiterInnen  Einhaltung von allgemeinen und branchenspezifischen Gesetzen und Richtlinien (Wettbewerbsrecht, Finanzmarktregelungen, Werbeverbote für Ärzte, CSR, etc.)  Einhaltung von selbstauferlegten Informations- und Beratungsverpflichtungen, Normen, Dokumentationsverpflichtungen etc.  Überwachung und Management der Einhaltung von Social Media Richtlinien im Unternehmen  Einbeziehung des Betriebsrates  Verhinderung von Unternehmensschäden durch Urheberrechtverletzungen durch MitarbeiterInnen  Emotionale Vermittlung der Gefahren und Bedrohungen schafft Problembewusstsein Um die eigene Organisation auf Soziale Netzwerke optimal vorzubereiten sollten einige Dinge im Unternehmen überprüft und adaptiert werden:  Adaptierung der Dokumente zur Informationssicherheit-Politik (ISMS)  Überprüfung der Informationssicherheits-Politik bei der Nutzung immer täglich neuer Web Applikationen, Mobiler Endgeräte durch MitarbeiterInnen  Engagement des Managements für Informationssicherheit durch Vorbildwirkung  Koordination der Informationssicherheit beim Umgang mit Sozialen Medien durch die Zuweisung der Verantwortlichkeiten der Informationssicherheit für im Fremdbesitz bzw. Fremdeinfluss befindliche Web 2.0 Applikationen wie Soziale Netzwerke  Adaptierung des Genehmigungsprozesses für informationsverarbeitende Einrichtungen wird bei der Nutzung bestimmter Sozialer Netzwerke, Mobile Apps und Drittanwendungen.Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 78
    •  Überprüfung und ggf. Ergänzung der Vertraulichkeits-Vereinbarungen in Dienstverträge  Aufbau guter Kontakte zu Behörden (Bundeskriminalamt) und Kontakte zu speziellen Interessensgruppen (ispa, saferinternet, Google, Facebook, XING, LinkedIn).  Die Unabhängige Überprüfung der Informationssicherheit durch externe Profis bei der Nutzung von Sozialen Netzwerken.  Die Identifizierung von Risiken in Zusammenhang mit Externen muss laufend erfolgen da sich Schwachstellen und Bedrohungslagen permanent weiterentwickeln.  MitarbeiterInnen sind für das das Adressieren von Sicherheit im Umgang mit Kunden und die Sicherheit in Vereinbarungen mit Dritten zu sensibilisieren bzw.  Inventar, Eigentum und die zulässige Nutzung der Vermögenswerte wie Unternehmensprofile in sozialen Netzwerken, Medien des Unternehmens, MitarbeiterInnen Fotos und ähnliches sind zu erfassen, schützen und überprüfen.  Die Überprüfung von MitarbeiterInnen vor Einstellung ins Unternehmen sollte um einen Dimension Social Media erweitert werden und die Zustimmung der Mitarbeiterin zu Beschäftigungsbedingungen mit verbindlichen Social Media Richtlinien sind bei der Einstellung einzuholen.  Die Verantwortlichkeiten des Managements für die Einhaltung der Richtlinien ist klar zu regeln.  Das Bewusstsein sowie Ausbildung und Schulung für Informationssicherheit und den Umgang mit Sozialen Medien im Web 2.0 muss seitens der Unternehmen sichergestellt werden.  Zeitgemäße Disziplinarverfahren mit einem geeigneten Eskalationsstufenmodell bei Verstößen sollten als Konsequenz bei Zuwiderhandeln konsequent umgesetzt werden.  Die Verantwortlichkeiten bei der Beendigung der Beschäftigung müssen entsprechend adaptiert werden, insbesondere ist bei der Rückgabe von Vermögenswerten auch die Übergabe des Zuganges und der Verfügung über immaterielle Vermögenswerte - die von MitarbeiterInnen in ihrer Arbeitszeit bzw. dienstlich geschaffen wurden oder in deren Verfügung stehen – zu regeln.  Die Aufhebung von Zugangs- bzw. Zugriffsrechten hat überlegt zu erfolgen. Auf Zugriffsrechte von Social Media Anwendungen istMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 79
    • bei der Löschung von MitarbeiterInnen Emailadressen und Profilen Rücksicht zu nehmen.  Die Entfernung von Eigentum wie zum Beispiel Firmenprofile in Sozialen Netzwerken muss verhindert werden.  Dokumentierte Betriebsverfahren für die betrieblichen Aktivitäten Soziale Netzwerke müssen geschaffen werden. Eine Social Media Richtlinie kann dementsprechend aufgebaut sein.  Das Änderungsmanagement ist bei der individuellen Nutzung täglich neuer Webapplikationen, Mobile Apps, etc. zu regeln.  Die Einhaltung von verbindlichen Aufgabentrennung zum Beispiel einem 4-Augenprinzip ist bei Sozialen Netzwerken geeignet zu regeln.  Die Erbringung, Überwachung, Überprüfung der Dienstleistungen durch Dritte ist auch bei Sozialen Netzwerken sicherzustellen.  Der Schutz gegen Schadsoftware, Schutz vor Datenverlust ist bei Kontaktdaten in Sozialen Netzwerken sicherzustellen. Das Gleiche gilt für den Umgang mit Information wie Speicherung, Verteilung, etc..  Anweisungen und Verfahren zum Austausch von Information sind in Sozialen Netzwerken praktikabel zu regeln, der Schutz von elektronischen Nachrichten ist auch hier sicherzustellen.  Sicherstellung der Sicherheit des elektronischen Geschäftsverkehres und Online-Transaktionen in Sozialen Netzwerken.  Die Integrität öffentlich zugänglicher Information muss natürlich auch in Sozialen Netzwerken sichergestellt werden.  Die Verfahren zur richtlinienkonformen o Überwachung, o Zugriffskontrolle, o Beschaffung, Entwicklung und Wartung von Informationssystemen o Management von Informationssicherheits-Ereignissen und Schwächen o Betriebliches Kontinuitätsmanagement müssen bei der Einbeziehung von Sozialen Netzwerken in die Geschäftsprozesse (Kundenbeziehungs-Management, Customer Relationship-Management, Kundenreaktivierungsprozesse) dementsprechend adaptiert werden.  Die Einhaltung gesetzlicher Verpflichtungen erfordert die o Identifizierung der anwendbaren Gesetze o Rechte an geistigem Eigentum o Schutz von organisationseigenen AufzeichnungenMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 80
    • o Datenschutz und Geheimhaltung von personenbezogenen Informationen o Verhinderung des Missbrauchs von informationsverarbeitenden Einrichtungen o Regelungen von kryptographischen Maßnahmen  Die Einhaltung von Sicherheitsanweisungen und -standards sowie technischer Vorgaben ist entsprechend zu regeln.  Überlegungen zu Audits von Informationssystemen müssen auch extern verwendete Anwendungen wie Soziale Netzwerke erfassenMaster Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 81
    • 3.2.5. Besondere Handlungsempfehlungen für Unternehmen in sensiblen Industrien mit hoher Relevanz für potentielle Angreifer Unternehmen in sensiblen Industrien sollten individuelle Corporate Security bzw. Informationssicherheits- Risk Assessments durchführen bevor Social Media Plattformen durch MitarbeiterInnen benutzt werden dürfen. Die ÖNORM ISO/IEC ISO 27001 bietet mit dem Anhang A `Maßnahmenziele und Maßnahmen´ eine geeignete Struktur zur, detaillierten Analyse firmenspezifischer Bedrohungen, dem Erkennen notwendiger Bereiche für individuelle Zieldefinitionen und Verankerungspunkte für konkrete Maßnahmen bei der Erstellung einer individuellen Social Media Richtlinie. Bei besonderen Bedrohungslagen empfiehlt sich die Installation eines ISMS (Informationssicherheits Management Systemes) gemäß ÖNORM ISO/IEC 27001. Abbildung 29: Kopf ÖNORM ISO/IEC 27001; Quelle: (ON Österreichisches Normungsinstitut, 2008)Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 82
    • LiteraturverzeichnisAbwehramt. 2006. Schutz vor Social Engineering. Infoblatt Elektronische Abwehr. 09, 2006.Applegate, Scott D. 2009. Social Engineering: Hacking the Wetware! Information security Journal.18:40-46, 2009, ISSN: 1939-3555 print / 1939-3547 online.Becker, Roman. 2011. Aus dem Bauch heraus. QZ - Qualität und Zuverlässigkeit. 56, 2011, Bd. 1.Biegelman, Martin T. 2008. Building A World-Class Compliance Program. Hoboken, New Jersey : JohnWiley & Sons, 2008. ISBN 978-0-470-11478-0.Bloxham, Andy. 2011. www.telegraph.co.uk. www.telegraph.co.uk. [Online] 03. 06 2011. [Zitat vom:05. 06 2011.] http://www.telegraph.co.uk/technology/news/8553979/Sony-hack-private-details-of-million-people-posted-online.html.Blumauer, Kaltenböck und Koller. 2010. Enterprise 2.0. Enterprise 2.0. Wien : punkt net.Services,2010.Blumer, Herbert. 1973. Der methodologische Standort des symbolischen Interaktionismus.Arbeitsgruppe Bielefelder Soziologen. 1973.BMI. 2010. Gefahren durch Wirtschafts- und Industriespionage für die österreichische Wirtschaft.Wien : BMI Bundesministerium für Inneres, 2010.Bodoni, Stephanie. 2011. Bloomberg Businessweek. www.businessweek.com. [Online] Bloomberg,08. 06 2011. [Zitat vom: 12. 06 2011.] http://www.businessweek.com/news/2011-06-08/facebook-to-be-probed-in-eu-for-facial-recognition-in-photos.html.Bundesgesetz. 2011. Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Urheberrechtsgesetz.RIS Rechtsinformationssysten. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.]http://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnu.... BGBl.Nr.11/1936 und Änderungen.Burkart, Roland. 2002. Kommunikations-Wissenschaft. Wien : Böhlau Verlag, 2002. ISBN 3-205-99420-5.Chinn & Unkle, Susan j. Chinn, C.Richard Unkle. 2006. Building Dedicated Business-To-BusinessRelationships: Benefits, Risks, and Lessons Learned. [Hrsg.] American Society for Competitivness.Journal of Global Competitivness. 2006, Bd. 14, S. 84-94.Cisco. 2010. Cisco 2010 Annual Security Report. San Jose : Cisco, 2010.Computerwelt, ul. 2011. Hacker stehlen Sony Millionen Kundendaten. www.computerbild.de.[Online] 27. 04 2011. [Zitat vom: 04. 06 2011.] http://www.computerbild.de/artikel/cbs-News-Spiele-Hacker-stehlen-Sony-Millionen-Kundendaten-6147786.html.emarketer. 2011. www.emarketer.com. emarketer - digital intelligence. [Online] emarketer, 02 2011.[Zitat vom: 12. 06 2011.] http://www.emarketer.com/Reports/All/Emarketer_2000757.aspx.Europe, Council of. 2001. www.conventions.coe.int. Europarat. [Online] 23. 09 2001. [Zitat vom: 05.06 2011.] http://www.conventions.coe.int/Treaty/GER/Treaties/Html/185.htm.Europol. 2007. High Tech Crimes within the EU, Threat Assessment 2007. The Hague : Europol, 2007.—. 2011. Internet Facilitated Organized Crime. The Hague : Europol, 2011. File No.: 2530-264.Facebook. 2011. facebook Apps. www.facebook.com. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.]http://www.facebook.com/apps/directory.php.—. 2010. Facebook Debuts More Pivacy Features. Information Today www.infotoday.com. November2010, S. 3.—. 2011. Facebook Profil des Verfassers. www.facebook.com. [Online] 05. 06 2011. [Zitat vom: 05. 062011.] http://www.facebook.com.facebookbiz. 2011. Facebookbiz Werbeanzeigen. www.facebookbiz.de. [Online] facebookbiz, 18. 012011. [Zitat vom: 12. 06 2011.] http://www.facebookbiz.de/artikel/facebook-umsatz-werbeanzeigen-2010.Farm Ville. 2011. Farm Ville. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.]http://www.facebook.com.Galla, Michael. 2004. Social Relationship Management in Internet-based Communication.Dissertation an der Technischen Universität München. München, Bayern, Deutschland : Institut fürInformatik der Technischen Universität München, 01 2004. Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 83
    • Gonzales, Gabriel, et al. 2010. Sales Organisation Recovery Management and Relationship Selling:Ein konzeptionelles Modell und empirischer Test. Journal of Personal Selling & Sales. XXX, 2010, Bd.3, summer 2010.Haid, Amy E. 2010. Have You Ever Heard a FINRA Tweet? The Social Media Universe Meets theSecurities World: Part 2. The Investment Lawyer. 17, 2010, Bd. 10, October.Handelsblatt. Kapalschinski, Christoph. 2010. 16.11.2010,http://www.handelsblatt.com/unternehmen/it-medien/linkedin-blaest-zum-angriff-auf-xing/3640160.html : Verlagsgruppe Handelsblatt GmbH & Co KG, 2010, Bd. Online.Henisz & Zelner, Witold J.Henisz, Bennet A. Zelner. 2010. The Hidden Risks in Emerging Markets.[Hrsg.] Harvard Business Publishing. Harvard Business Review. 04 2010, S. 88-95.Hofmann, Michael. 2009. Managing Risk in The New World. Harvard Business Review. 09 2009, S. 69-75.IBTimes. 2011. International Business Times. www.losangeles.ibtimes.com. [Online] 5. 6 2011. [Zitatvom: 5. 6 2011.] http://losangeles.ibtimes.com/articles/157584/20110605/google-china.htm.IkeepSafe. 2011. IkeepSafe - Safe Keeping Blog. www.ikeepsave.org. [Online] ikeepsa, 08. 06 2011.[Zitat vom: 08. 06 2011.] http://www.ikeepsafe.org/cybersecurity/stop-think-connect/.ispa. 2011. internet sicher nutzen - ein leitfaden der ispa. Wien : ispa - Internet Service ProviderAustria, 2011.Joerg Schultze-Bohl Dipl.Inform., Öff.best.u.vereid.Sachverstaendiger. 2011. Risikofaktoren in derPraxis. www.risikomanager.de. [Online] 14. 05 2011. [Zitat vom: 14. 05 2011.]http://www.risikomanager.de/index.php/unternehmensrisiken/37-corporate-risks/50-risikofaktoren-in-der-praxis?format=pdf.Kaplan, Robert S. 2009. Managing Risk in the New World. Harvard Business Review. 09 2009, S. 69-75.Kirchgeorg, Manfred. 2011. Wirtschaftslexikon. Wirtschaftslexikon. [Online] Gabler, 03. 06 2011.[Zitat vom: 03. 06 2011.] http://wirtschaftslexikon.gabler.de/Definition/b2b.html.Koch & Schultze, Hope Koch, Ulrike Schultze. 2011. Stuck in the Conflicted Middle: A Role-TheoreticPerspective on B2B E-Marketplaces. MIS Quarterly. March 2011, Bd. 1, 35, S. 123-146.LinkedIn. 2011. About us. www.linkedin.com. [Online] LinkedIn, 04. 06 2011. [Zitat vom: 04. 062011.] http://press.linkedin.com/about/.Linkedin. 2011. About us Linkedin. www.linkedin.com. [Online] Linkedin, 04. 06 2011. [Zitat vom: 04.06 2011.] http://press.linkedin.com/about/.Mayrhofer, Karl. 2011. Arbeitsrecht für die betriebliche Praxis. Wien : Verlag Weiss, 2011. ISBN 978-3-902770-01-1.mbe/AFP. 2011. Focus. www.focus.de. [Online] 29. 04 2011. [Zitat vom: 05. 06 2011.]http://www.focus.de/finanzen/recht/sony-datenraub-noch-keine-hinweise-auf-kreditkarten-missbrauch_aid_622509.html.McGee Bastry Chandrashekhar Vasireddy Flynn, Andrew R. McGee, Frank A. Bastry, UmaChandrashekhar, S.Rao Vasireddy, and Lori A. Flynn. 2007. Using the Bell Labs Security Frameworkto Enhance the ISO 17799/27001 Information Security Management System. [Hrsg.] Alcatel Lucent.Bell Labs Technical Journal. 12 2007, S. 39-54.Möller, Patrick. 2011. XING AG Zwischenbericht Q1 2011. Hamburg : XING AG, 2011.NACD Research, STaff. 2010. In Year of Change, Strategy and Risk Top Board Agendas. NACDDirectorship. December 2010 2010, Bd. Survey Public Company Corporate Governance, S. 40-44.Neef Schroll & Theis, Andreas Neef, Willi Schroll, Björn Theis. 2009. Die Revolution der Web-Eingeborenen. [Hrsg.] manager magazin online. manager magazin. 18. Mai 2009, S. 1-4.Null, Christopher. 2009. How to avoid Facebook & Twitter Disasters. PCWORLD.COM. August, 2009,8.ON Österreichisches Normungsinstitut. 2008. Informationstechnologie - Sicherheitstechnik,Informationssicherheits - Managementsysteme - Anforderungen. ÖNORM ISO/IEC 27001. Wien : ONÖsterreichisches Normungsinstitut, 2008. 2008-03-01. ÖNORM ISO/IEC 27001.Poller, Andrea. 2008. Industriespionage 2.0. Darmstadt : Fraunhofer Institut, 2008. Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 84
    • Prensky, Marc. 2001. Digital Natives, Digital Immigrants. [Hrsg.] MCB University Press. On theHorizon. 9, October 2001, Bd. 5, October 2001, S. 1.protiviti.com. 2008. Internal Auditors: ISO 27000 the Top Tech Need. Journal of Accountancy.October 2008, S. 25.Reisinger, Don. 2009. 10 Thingsyou should know now about... SOCIAL MEDIA SECURITY. eWEEK. ZiffDavis Enterprise, 2009, October 5.saferinternet.at. 2011. Safer Surfing. Wien : saferinternet.at, 2011.Schranner, Matthias. 2002. Verhandeln im Grenzbereich. München : Econ Verlag, 2002. ISBN 3-430-18068-6.Scoble, Robert und Israel, Shel. 2007. Unsere Kommunikation der Zukunft. München : FinanzbuchVerlag GmbH, 2007. ISBN 978-3-89879-257-8.Security Directors Report. 2010. Implementing Solutions to Social media´s Security Risks. SecurityDirectors report. August, 2010, www.ioma.com/secure.Sony. 2011. About Sony. www.sony-europe.com. [Online] Sony, 2011. [Zitat vom: 05. 06 2011.]http://www.sony-europe.com/article/id/1178278971157.—. 2010. Annual Report 2010. Konan, Japan : Sony Corporation, 2010.SONY. 2011. Sony Announces Revision of Consolidated Forecast for the Fiscal Year Ended March 31,2011. Tokyo : Sony, 2011. Sony News & Information No: 11-059E.Sophos. 2011. Sophos Security threat report 2011. Abingdon : Sophos, 2011.Stulz, René M. 2009. 6 Ways Companies Mismanage Risk. Harvard Business Review. March 2009, S.86-94.Taleb Goldstein & Spitznagel, Nassim N. Taleb, Daniel G. Goldstein, Mark W. Spitznagel. 2009. TheSix Mistakes Executives Make in Risk Management. Harvard Business Review. 10 2009, S. 78-81.Taleb, Nassim Nicholas. 2007. Der Schwarze Schwan. New York : Random House, 2007. ISBN 978-3-446-41568.Theron & Terblanche & Boshoff, Edwin Theron, Nic S. Terblanche, Christo Boshoff. 2008. Theantecedents of relationship commitment in the management of relationships in business-to-business(B2B) financial services. [Hrsg.] Westburn Publishers Ltd. Journal of Marketing Management. 9 2008,Bde. No. 9-10, 24, S. 997-1010.Wikipedia. 2011. Wikipedia über `Enterprise 2.0´. http://de.wikipedia.org. [Online] Wikipedia, 03. 062011. [Zitat vom: 03. 06 2011.] http://de.wikipedia.org/wiki/Enterprise_2.0.wikipedia. 2011. Wikipedia über `facebook´. http://de.wikipedia.org. [Online] 15. Mai 2011. [Zitatvom: 15. Mai 2011.] http://de.wikipedia.org/wiki/Facebook.Wikipedia. 2011. Wikipedia über `Web 2.0´. wikipedia. [Online] 05. 06 2011. [Zitat vom: 05. 06 2011.]http://de.wikipedia.org/wiki/Web_2.0.wikipedia. 2011. Wikipedia über `XING´. http://de.wikipedia.org. [Online] 15. Mai 2011. [Zitat vom:15. Mai 2011.] http://de.wikipedia.org/wiki/XING.XING. 2011. Ergebnisse der XING AG Q1 2011. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitatvom: 19. 06 2011.]http://corporate.xing.com/fileadmin/image_archive/XING_AG_ergebnisse_Q1_2011.pdf.—. 2011. XING Freunde, Bekannte und Kollegen einladen. www.xing.com. [Online] XING AG, 19. 062011. [Zitat vom: 19. 06 2011.] https://www.xing.com/app/invite.—. 2011. XING Gruppen suchen. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 062011.] https://www.xing.com/app/network?op=findgroups.—. 2011. XING Jobs und Karriere. www.xing.com. [Online] XING AG, 19. 06 2011. [Zitat vom: 19. 062011.] https://www.xing.com/jobs/.—. 2011. XING Premiummitgliedschaft. www.xing.com. [Online] XING AG, 12. 06 2011. [Zitat vom:12. 06 2011.] https://www.xing.com/app/billing?op=premium_overview;reagent=uplt_96.—. 2011. XING Profil des Verfassers. www.xing.com. [Online] 05. 06 2011.Zimmer, Daniela. 2009. Facebook, Myspace & Co. Wien : AK Kammer für Arbeiter und Angestellte fürWien, 2009. AK Publikationsnummer 29/2009.—. 2009. Facebook, Myspace & Co. Wien : Kammer für Arbeiter und Angestellte, 2009. 29/2009. Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 85
    • AbbildungsverzeichnisAbbildung 1: ‚Facebook‘ Startseite der Anwendung Farmville; Quelle: (Farm Ville, 2011) ................ 20Abbildung 2: ‚Facebook‘ Zugriffsfreigaben für die Anwendung Farmville; Quelle: (Farm Ville, 2011) 20Abbildung 3: ‚Facebook Profil‘ des Verfassers; Quelle: (Facebook, 2011) ............................................ 21Abbildung 4: ‚Facebook‘ Einstellungen Profil bearbeiten; Quelle: (Facebook, 2011) ......................... 21Abbildung 5: ‚Facebook‘ Privatsphäreeinstellungen; Quelle: (Facebook, 2011) .................................. 22Abbildung 6: ‚Facebook Privatsphäre-Einstellungen – ‚Benutzerdefinierte Einstellungen‘; Quelle:(Facebook, 2011) ................................................................................................................................... 23Abbildung 7: ‚Facebook‘ - Privatsphäre-Einstellungen für Anwendungen und Webseiten; Quelle:(Facebook, 2011) ................................................................................................................................... 23Abbildung 8: Facebook Privatsphäre - Anwendungen, Spiele und Webseiten; Quelle: (Facebook,2011)...................................................................................................................................................... 24Abbildung 9: Facebook Privatsphäre, Für Freunde zugängliche Informationen; Quelle: (Facebook,2011)...................................................................................................................................................... 24Abbildung 10: Facebook Privatsphäre, Umgehende Personalisierung; Quelle: (Facebook, 2011) ... 25Abbildung 11: Facebook Überblick Privatsphäre-Einstellungen; Quelle: (Facebook, 2011) ............... 25Abbildung 12: Facebook Erlösanalyse; Quelle: (emarketer, 2011) ..................................................... 27Abbildung 13: XING Mitgliederentwicklung; Quelle: (XING, 2011) ..................................................... 29Abbildung 14: XING Umsatzentwicklung; Quelle: (XING, 2011) .......................................................... 29Abbildung 15: XING Alte Benutzeroberfläche; Quelle: (XING, 2011) .................................................. 32Abbildung 16: XING Neue Benutzeroberfläche; Quelle: (XING, 2011) ................................................ 32Abbildung 17: XING Privatsphäre-Einstellungen; Quelle: (XING, 2011) .............................................. 33Abbildung 18 Conceptual Model nach Theron, Terblanche, Boshoff 2008; Quelle: (Theron &Terblanche & Boshoff, 2008)................................................................................................................. 36Abbildung 19 Conceptual Model nach Gonzales, Hoffman, Ingram und LaForge; Quelle: (Gonzales, etal., 2010) ................................................................................................................................................ 37Abbildung 20 Aussagen in einer Befragung zum Kaufverhalten von B2B Kunden; Quelle: (Becker,2011)...................................................................................................................................................... 38Abbildung 21 Verteilung der Kundentypen gemäß `forum!` Modell der Kundentypologien; Quelle:(Becker, 2011) ....................................................................................................................................... 39Abbildung 22 Compliance und Ethik Programm Erfordernisse; Quelle: (Biegelman, 2008) ................. 53Abbildung 23 Facebook app verification demand and privacy concerns; Quelle: (Sophos, 2011) ....... 59Abbildung 24: Fake LinkedIn Reminder; Quelle: (Cisco, 2010) ............................................................. 61Abbildung 25: Stop.Think.Connect. Kampagne; Quelle: (IkeepSafe, 2011) .......................................... 62Abbildung 26: Forschungsabschluss Stichworte im Überblick .............................................................. 72Abbildung 27: Stichwortsammlung - Allgemeine Handlungsempfehlungen für MitarbeiterInnen ...... 75Abbildung 28: Stichwortsammlung - Handlungsempfehlungen für Unternehmen .............................. 77Abbildung 29: Kopf ÖNORM ISO/IEC 27001; Quelle: (ON Österreichisches Normungsinstitut, 2008). 82 Master Thesis „Bedrohungen bei der individuellen Nutzung von Sozialen Netzwerken im B2B Kontext“, Günther R. Neukamp, 2011 86