23.8.2010 von Wilhelm Greiner.

Deutschlandweit wird über Google Street View diskutiert, als ob dem Daten-Jäger-und-Sammler-Konzern mit dem Abfotografieren öffentlich einsehbarer Fassaden ein gar ausgefuchstes Schurkenstück gelungen sei, das unsere dunkelsten Geheimnisse erst ans Licht zerrt und dann im bösen Internet wie auch in Echtzeit präsentiert. Der Fachmann empfiehlt hierzu dem Bedenkenträger: Einfach einen pubertierenden Sprayer engagieren, der die Hauswand mit obszönen Graffiti dekoriert, dann muss Google auch ohne Antrag fröhlich drauflospixeln.

Andernorts im globalen Dorf hat derweil Facebook - in Sachen Sammeln und Auswerten von Web-Nutzungsdaten größter Google-Konkurrent - zunächst für den US-amerikanischen Teil seiner über 500 Mio. Benutzer von jetzt auf gleich den neuen Dienst “Places” freigeschaltet, der die Frage der Privatsphäre tatsächlich neu aufwirft - wieder einmal, muss man sagen, Facebook hat schließlich ein Händchen dafür, sich in Sachen Datenschutz unbeliebt zu machen: “Anträge für Hypotheken sind oft schneller und leichter auszufüllen als Facebooks Datenschutz-Einstellungen”, frotzelte zum Beispiel der britische Guardian.

Mit Places imitiert Facebook die jüngst sehr erfolgreichen Dienste der Geolocation-Community-Anbieter wie Foursquare und Gowalla: Benutzer können damit an Lokationen “einchecken”, sich darüber mit anderen Anwendern austauschen und Kommentare oder Bewertungen zu Kneipen, Restaurants, Geschäften etc. abgeben sowie Abzeichen (Badges) sammeln oder auch Boni einheimsen.

Den Trend hatte Facebook zunächst verschlafen - dabei hätte jeder Immobilienmakler den Facebuchmachern sagen können, was wirklich zählt: “Location, location, location!” Denn mit dem Einbinden von Ortsangaben hat Facebook nun eine Plattform, mit der sich in Echtzeit gezielt ortsabhängige Werbung vermarkten lässt - und das potenziell an eine halbe Milliarde Leute.

Über die Auswertung der Posts und Connections kennt Facebook die Interessen und das soziale Umfeld eines Anwenders; mit Geolokationsdaten - per Smartphone bei Check-ins automatisch generiert - lässt sich zudem nun ein genaues Bewegungs- und damit tatsächlich belegbares Verhaltensprofil erstellen. So etwas ist für Marketing-Profis Gold wert - Places könnte locker Facebooks einträglichster Dienst werden. Entsprechend wurde auch schon spekuliert, dass weniger Communities wie Foursquare und Gowalla, sondern vielmehr Online-Branchendienste wie Yelp unter die Räder des Places-Erfolgszuges geraten dürften - von den eh schon schwächelnden lokalen Print-Medien ganz zu schweigen.

Der “gläserne Konsument” wird damit Wirklichkeit - aber kein Grund zum Jammern, es wird ja keiner gezwungen, oder? Nun, gezwungen nicht, jedoch ging Facebook bei der Einführung von Places einmal mehr recht facebookisch vor: Der Dienst wurde automatisch für alle freigeschaltet - eingegebene Lokationsdaten sind somit sofort für den Freundeskreis (”Friends Only”) sichtbar (immerhin nicht “für alle” - ein Desaster wie das rund um den Start von Google Buzz wollte Facebook-Chef Mark Zuckerberg sich offenbar ersparen). Wer diese Places-Nutzung nicht wünscht, muss das manuell ändern.

Die Pointe kommt aber erst noch: Check-ins können auch andere Facebook-Teilnehmer für einen Anwender vornehmen. Was das für jeglichen Anspruch auf Privatsphäre bedeutet, sollte sofort klar sein: Kannste in die Tonne treten. Unerwünschte Nebenwirkungen treten plastisch vor’s Auge, wenn man sich - am besten nach Lektüre von Max Goldts “Krieg der Mädchenschweigekreise” - einschlägige Teenager-Tweets vorstellt: “Und wenn du mich weiter nervst, dann check ich dich bei Lidl ein!”

Was auf die Places-Einführung folgte, ist ein Ablauf, den wir wohl als Prototypen für Datenschutz im Facebook-Zeitalter betrachten dürfen: Facebook schaltet einen neuen Dienst frei, und einschlägige Websites überschlagen sich sofort im Posten von Anleitungen, wie man ihn wieder abschaltet. Und so schrieb dann auch die Online-Publikation SocialMediaToday ironisch: “Wir alle hassen Facebook Places jetzt schon.”

Deshalb folgt diesmal zur Illustration kein Cartoon oder sonst ein buntes Bildchen, sondern - man will sich ja keinem Trend verweigern - zwei Screenshots, wie man die drei betreffenden Einstellungen vornimmt: Man klickt rechts oben auf den Konto-Button, dann auf Privatsphäre-Einstellungen, dort auf den Link in der Mitte namens “Benutzerdefinierte Einstellungen”), stellt “Orte, die ich besuche” auf “Nur ich” und nimmt dann folgendes Häkchen raus:

Schließlich folgt etwas weiter unten eine dritte Änderung:

Es gibt aber auch eine alternative Strategie zum Schutz der bröckelnden Konsumenten-Privatsphäre: Einfach tagein, tagaus im Vorbeigehen immer nur bei ein und demselben Geschäft einchecken und dann gucken, was für Werbung im Lauf der Zeit so hochpoppt. Das kann, je nach gewählter Lokation, sicher sehr unterhaltsam werden - von meinem Home Office aus zum Beispiel ist die nächste öffentliche Einrichtung ein buddhistischer Tempel…

Wie sang schon die kanadische Comedy-Truppe “Three Dead Trolls in a Baggie” in ihrem höchst unterhaltsamen “Privacy Song“:

“You can lie to the man, you can lie right through your tooth.
They can take away our privacy,
but they can’t have the truth.”

(”Du kannst die Leute anlügen, bis sich die Balken biegen.
Sie können unsere Privatsphäre wegnehmen,
aber die Wahrheit bekommen sie nicht.”)

Im Augenblick ist check-in-mäßig noch Abwarten und Teetrinken angesagt: Places funktioniert derzeit nur in den USA. Aber sicher kommt der Dienst auch bald zum buddhistischen Tempel Ihres Vertrauens!

Geschrieben in Social Networks, Security Awareness | Keine Kommentare »

15.8.2010 von Wilhelm Greiner.

Als IT-Journalist bin ich zwar intensiver Google-Nutzer, aber dem Anbieter gegenüber dennoch durchaus kritisch eingestellt - wie gegenüber jedem Konzern, der umfassend Daten über Benutzer wie auch deren Verhalten sammelt und auswertet. Deshalb begrüße ich Diskussionen um die Frage des Datenschutzes im Zeitalter digitaler Reproduzierbarkeit, Verfügbarkeit, Analysierbarkeit und Gegen-mich-Verwendbarkeit - wie Google, Facebook und viele andere Anbieter sie geradezu provozieren.

Mein Problem mit Googles derzeit heiß diskutiertem Straßenzüge-Abfotografier-Service Street View, der nun auch für deutsche Städte anlaufen soll, ist aber vor allem: Das Niveau der Debatte um Street View befindet sich auf einem so unterirdischen Niveau, dass selbst BP Mühe hätte, dorthin vorzudringen - von Entlastungsbohrungen ganz zu schweigen.

Bild: Julian Bleecker

Was ist passiert? Google hat mit auf Autos montierten Rundumsicht-Kameras Straßenzüge abgelichtet, um Besuchern von Google Maps einen Eindruck der Umgebung geben zu können. Und nun schreien vielerorts Hausbesitzer auf: “Gemein, gemein, gemein! Die haben mein Haus fotografiert, das dürfen die nicht!”

Jedoch, liebe Hausbesitzer: Oh Graus, das dürfen sie. Weil’s nämlich nicht verboten ist. Anders als manche Leute zu glauben scheinen, haben nämlich Hauswände kein Recht auf Privatsphäre - weshalb Twitter-Nutzer Mario Sixtus in einem Tweet ironisch eine Grundgesetzänderung forderte: “Die Würde der Hauswand ist unantastbar.”

Ein anderer Twitterer, HerrKaliban, kommentierte trocken: “(Die) Leute jammern, dass Google ihre Straße fotografiert, holen aber das Fernsehen, um das Problem vor Ort zu zeigen.” Und dies, obwohl Google die Gesichter von Personen sowie Nummernschilder von Autos “verpixelt” (per digitaler Nachbearbeitung unkenntlich macht), um dem deutschen Datenschutzgesetz zu entsprechen.

Darüber hinaus können deutsche Hausbesitzer von Google inzwischen sogar eine Unkenntlichmachung ihrer Hausfassade fordern. Hier ein Beispiel für die lustige Logik der Begründung: “Durch den neuen Internetdienst können Kriminelle die Objekte in aller Seelenruhe betrachten. Sie können sehen: Wie ist das Haus gesichert?“, so der Vorsitzende der Deutschen Polizeigewerkschaft Rainer Wendt zur Frankfurter Allgemeinen. Street View aus dieser Motivation heraus einschränken zu wollen, ist ähnlich dumm wie die Idee, den Mobilfunk “bei Bedarf” abzuschalten, um Terroristen die Kommunikation zu erschweren: Man schüttet das Kind mit dem Bade aus.

Der Zeitung gegenüber äußerte der zitierte Polizeifunktionär übrigens anschließend Zweifel, “ob die neuen Möglichkeiten umgekehrt auch von der Polizei genutzt werden können”, denn es sei “rechtlich unklar, ob eine virtuelle Streifenfahrt möglich ist”. Eine solche “virtuelle Streifenfahrt” würde allerdings Echtzeit-Aufnahmen voraussetzen; die Google-Bilder hingegen werden einmal veröffentlicht und dann voraussichtlich jahrelang beibehalten. Hoffen wir also, dass die Polizei Streifenfahrten künftig nicht generell auf Google Maps verlagert. Sonst dürfte die Erfolgsquote kriminalistischer Kontrolle ebenfalls auf Tiefseebohrungs-Niveau sinken.

Die wirklich wichtigen Fragen wurden in der Diskussion um Street View hingegen noch nicht einmal angerissen:

* Wo waren all die protestierenden Leute, als die Bundesregierung still und leise das Bankgeheimnis abgeschafft hat?

* Tritt Ilse Aigner jetzt aus Google Maps aus?

* Wenn ich dagegen bin, dass meine Heimatstadt auf der Deutschlandkarte auftaucht - wo stelle ich einen Antrag auf Unkenntlichmachung?

* Kann ein Obdachloser fordern, dass seine Parkbank von Google verpixelt wird?

* Wenn eine scheußliche modernistische Fassade eh schon total verpixelt aussieht (Sie wissen, welche Art Haus ich meine), kann Google dann eine zusätzliche digitale Nachbearbeitung ablehnen?

* Haben, wenn das schon für Häuser gilt, dann auch Gartenzwerge ein Recht auf Anonymität und somit auf Verpixelung? Schrebergärtner aller Länder, vereinigt euch!

* Und vor allem: Welche modischen Accessoires sollte man tragen, wenn mal wieder das Google-Auto naht (Stichwort: Street-Wear Optimization, kurz SWO)?

Im Google-Zeitalter muss die dringliche Frage nach dem Ausgleich zwischen Verfügbarkeit nützlicher Informationen einerseits und dem Recht auf Schutz der Privatsphäre andererseits neu verhandelt werden. Aber bitte nicht so.

P.S.: Es gibt auch intelligente Diskussionsbeiträge, zum Beispiel diesen von Anatol Stefanowitsch auf wissenslogs.de.

(((Update 17.8.))) Genau auf den Punkt gebracht hat es heute Twitter-User Volker Weber: “Internetausdrucker können ab heute bei Google ihre Häuser markieren.” Auch die amerikanischen Warn-Labels auf CDs haben schließlich unter anderem bewirkt, dass Teenager Musik mit anstößigen Texten viel leichter finden können…

Geschrieben in Social Software, Security Awareness | 1 Kommentar »

24.5.2010 von Wilhelm Greiner.

Viele Manager, IT-Leiter und Datenschützer haben starke Vorbehalte gegen Social Networks – und insbesondere Facebook gibt sich seit geraumer Zeit größte Mühe, diese Vorbehalte möglichst zu verstärken: Nicht nur ist nun sogar bei den in puncto Datenschutz oft unbedarften Facebook-Nutzern eine heftige Debatte über die Auswertung und Weitergabe der Anwenderdaten entstanden; begleitet war dies zudem von mehreren Sicherheitspannen des führenden Social Networks. Man konnte deshalb neuerdings vielerorts Tipps lesen, wie man den Datenschutz seines Facebook-Accounts verbessert, und kürzlich sah sich der Facebook-Chef Mark Zuckerberg angesichts heftiger Kritik sogar gezwungen, leichter verwendbare Privacy-Settings zu versprechen - ohne allerdings die Kritiker wirklich zu überzeugen (siehe zum Beispiel hier).

Dennoch ist Facebook derzeit nicht auf dem absteigenden Ast: Obwohl es Bewegungen gab und gibt, um Sammelaustritte aus Facebook anzuregen, ist die Zahl der Facebook-Benutzer trotz aller Debatten und Aktionen gestiegen. Zwischenbilanz: „Ich bin nicht auf Facebook“ ist das neue „Ich schaue kein Unterschichtenfernsehen“ – sprich: Es ist (derzeit) nicht mehrheitsfähig.

Auch manch ein Unternehmen hat sich inzwischen in puncto Social Networks und Social Media engagiert – sei es für das Marketing, die PR, die Personalsuche, das Wissens-Management oder die Kontaktpflege mit Zulieferern. Sind die Weichen einmal in Richtung Social Media gestellt, kann man sich natürlich nicht so einfach wieder verabschieden. Und den Mitarbeitern die private Nutzung von Social Networks pauschal zu untersagen, wäre für viele Verantwortliche nur schwer umsetzbar.

Hinzu kommt, dass es zahlreiche Social Networks gibt, die weit weniger umstritten sind als Facebook, aber je nach Einsatzzweck mindestens ebenso nützlich, zum Beispiel Slideshare, Posterous oder das Infonetzwerk Twitter - das bei den abkürzungsfreudigen Amerikanern sicher „Social Information Network“ hieße, wäre das Akronym dazu nicht „SIN“, als „Sünde“… 

Nein, trotz aller Patzer und der eklatanten, vorsätzlichen Unübersichtlichkeit der Datenschutzeinstellungen auf Facebook ist der Rückzug aus Social Networks für das Gros der Unternehmen und Privatpersonen sicher nicht die optimale Lösung. Es gilt vielmehr, sich der Risiken bewusst zu sein – und dies auch bei der täglichen Nutzung immer im Hinterkopf zu behalten. Social Networks leben letztlich von „Social Intelligence“, also der Sammlung und Vermarktung der Angaben und Verhaltensmuster der Benutzerschaft. Ist man sich dessen einmal bewusst, kann man sein Social-Networking-Verhalten danach ausrichten.

Um es Unternehmen zu erleichtern, den Blick ihrer Mitarbeiter für die Tücken und Untiefen der Social-Media-Nutzung zu schärfen, haben der LANline-Cartoonist Wolfgang Traub und ich im Rahmen unseres Projekts „Communitainment, Inc“ bereits im März eine kleine, mit Cartoons bebilderte PowerPoint-Slideshow auf Slideshare in einer Version 0.9 veröffentlicht. Sie versammelt zwölf Tipps für die Social-Media-Nutzung und wurde auf Slideshare schon über 380-mal angesehen. Seitdem haben wir fleißig Feedback gesammelt – vielen Dank an dieser Stelle an alle Kommentatoren.

Jetzt ist die Slideshow „12 Social Media Tipps“ in Version 1.0 online. Wir haben vier Bilder gegen besser passende ausgetauscht und auch den Text an mancher Stelle prägnanter gefasst.

Unternehmen, die ihre Mitarbeiter auf unterhaltsame Weise für den verantwortungsbewussten Umgang mit Social Media sensibilisieren wollen, können ihre Kollegen auf folgenden registrierungsfrei zugänglichen Link verweisen:

http://www.slideshare.net/WilhelmGreiner/12-social-media-tipps

Wir freuen uns auch weiterhin auf konstruktive Kritik. Denn auch eine Version 1.0 ist nicht die „endgültige Fassung“, ist doch im Social-Media-Umfeld nichts jemals wirklich endgültig. In diesem Sinne: Viel Spaß mit der Präsentation - und dann: Augen auf bei der Nutzung von Facebook und Co.!

Geschrieben in Social Networks, Security Awareness | 1 Kommentar »

13.5.2010 von Wilhelm Greiner.

Das Social Network Facebook hat wieder mal durch offenbar gezielt laschen Umgang mit der Privatsphäre seiner Mitglieder von sich reden gemacht - und das auch noch begleitet von klassischen Datenschutzpannen. Sogar in den USA - wo viele Leute die Themen Datenschutz und Privatsphäre nicht allzu ernst nehmen - wächst deshalb die Kritik an Facebook, es gibt sogar unter den Facebook-Nutzern eine zumindest kleine Austrittswelle (La Ola Ex-Facebookiana).

Betrachten wir deshalb doch mal ganz distanziert, aus Marsmännchen-Perspektive sozusagen, welche Strategien eine Einzelperson heutzutage zum Schutz ihrer Privatsphäre verfolgen könnte:

1. Lifecasting: Am einen Ende der Skala finden wir den Ansatz, Datenschutz sei “von gestern” oder “heute sowieso nicht mehr zu gewährleisten”. Wer es sich in dieser defaitistischen Ecke erst mal gemütlich gemacht hat, kann fröhlich dem Lifecasting (der kontinuierlichen Mitteilung über eigene Aktivitäten und Ansichten in Social Networks) frönen - mit all den Risiken und Nachteilen, derenthalben alle Datenschützer beim Thema Lifecasting die Hände kollektiv über den Köpfen zusammenschlagen (La Ola Privatsphäriana).  Kann aber, wenn konsequent und mit Hirn umgesetzt, durchaus ein Geschäftsmodell sein, etwa für Promis (inklusive B-Promis, wir nennen hier mal keine Namen) oder auch für Tech-Blogger wie Robert Scoble (der unter dem Nickname @scobleizer fleißig dauertwittert). Derzeit groß im Kommen: das Ganze mittels des Online-Spiels Foursquare auch noch mit Geolokationsdaten kombinieren und per Tweet verbreiten. Sollte man mit Bedacht nutzen, wenn man sich in der Arbeit gerade krankgemeldet hat.

2. Totalverweigerung: Das andere Extrem bildet die Position, Social Media und Social Networks aufgrund von Bendenken wegen des Datenschutzes überhaupt nicht zu nutzen. Das mag in der Tat für viele Leute ein gangbarer Weg sein, wäre für mich als selbstständigen Journalisten und digital vernetzten Information Worker allerdings von Tag zu Tag schwieriger umzusetzen. Klassisches Gegenargument: Dann dürfte man auch keine Kreditkarten benutzen. Oder sich in kameraüberwachten Flughäfen rumtreiben. Oder in Kaufhäusern. Oder oder oder. Wir leben in einer Überwachungs-, Vermarktungs- und Auswertungs-Gesellschaft, aus der ein totaler Rückzug kaum mehr möglich ist. Was viele in den Punkt 1 treibt.

3. Granulare Kontrolle: Der Versuch, die Oberhand zu behalten über all die Informationen, die über einen selbst im Netz stehen. Wieder zurück zum Eingangsbeispiel: Facebook bietet dem Benutzer eine ganze Fülle an Kontrollmöglichkeiten - so detailliert, dass es schon wieder unübersichtlich ist. Wer sich auf dieses Spiel einlässt, muss zweierlei im Hinterkopf behalten: Erstens posten auch andere Leute über mich, und das zu monitoren oder gar zu kontrollieren, ist - wie auch im Offline-Leben - nicht praktikabel. Und zweitens kann Facebook jederzeit - wie schon mehrmals vorexerziert - erneut an den Privacy -Einstellungen rumschrauben, und dann steht man blöd da und darf von vorn anfangen. Da hilft nur, ein Social Network nach klarer Trennung von privat und öffentlich auszusuchen. Beispiel Twitter: Hier gibt es Tweets, Nachrichten an einzelne Empfänger und Direct Messages (DMs). Tweets sind öffentlich, Punkt. Nachrichten an Einzelpersonen erreichen zwar nur den Empfänger, sind aber per Timeline des Senders ebenfalls öffentlich - somit also nicht privater, als mitten in einer Menschenmenge zu telefonieren. Das weiß man, und damit ist es gut. DMs schließlich sind schlicht privat. Sollte Twitter DMs eines Tages öffentlich zugänglich machen, dann können sie jedes Geschäftsmodell beerdigen, also kann man davon ausgehen, dass DMs auch privat bleiben. Die PIN fürs Bankkonto sollte man aber besser trotzdem nicht per DM schicken. Granularer sollte es jedenfalls nicht sein, das macht’s nur unnötig kompliziert.

4. Social-Media-Stream als Lebenslauf: Bei einem Online-Brainstorming (”Innovation Jam”) von IBM hat jemand - ich weiß leider nicht mehr, wer - auf das generelle Risiko in der Social-Media-Welt hingewiesen, dass Posts “gegen einen verwendet werden”; Folgerung: deshalb solle man seine Social-Media-Aktivitäten am besten als einen digitalen, global verteilten Lebenslauf betrachten. Faustregel also: Poste nur, was du auch gegenüber potenziellen Arbeitgebern vertreten kannst - alles andere bleibt offline. Folgt man diesem Ansatz, spricht beispielsweise nichts dagegen, “Gehe heute Mountain-Bike fahren” zu posten, wenn man sich selbst als sportlichen Menschen sieht, der dies auch gerne kommuniziert.  Selektives Lifecasting sozusagen, mit dem Nebeneffekt, dass man die verbleibenden, wirklich privaten Dinge schützt. Social Media als Eigenwerbung, das Individuum als Marke. An sich eine zeitgemäße, vernünftige Idee, die allerdings voraussetzt, dass man mit (sagen wir mal) 15 Jahren schon weiß, was einem mit 30 oder 40 Jahren peinlich sein wird und was nicht. Schwierig. Außerdem rein zweckorientiert und damit ein bisschen spießig. Aber das Prinzip “öffentlicher Lebenslauf” bewahrt einen immerhin vor grobem Datenklau - wenn schon nicht vor Social-Engineering-Angriffen oder vor Werbung (”Sie lieben Mountain Bikes? Dann besuchen Sie uns auf www…”).

5. Peter-Pantertum: Wer in Social Networks auch über Dinge bloggen, posten und tweeten möchte, die dem normkonformen Social-Media-Dauerlebenslauf nicht entsprechen, der sollte auf ein Alias ausweichen - oder gar auf mehrere. (Literarischer Exkurs: Der Autor Kurt Tucholsky war in den 1920-er Jahren so eifrig für die Zeitschrift “Schaubühne” tätig, dass er sich diverse Pseudonyme ausdenken musste, damit nicht unter jedem Beitrag “Kurt Tucholsky” steht. Und so entstanden die Schaubühne-Autoren Peter Panter, Theobald Tiger, Ignaz Wrobel und Kaspar Hauser. Diese Aliasse sind kürzlich im NRW-Wahlkampf als Blogger-Nicknames wieder aufgetaucht, ebenfalls mit dem Ziel der Verschleierung von Identitäten. Klammer zu.) Die Maskierung per Alias ist die mächtigste Waffe des Einzelnen im Kampf gegen Dauerüberwachung und Invasion der Privatsphäre. Problem: Wie bei jeder Maskerade muss auch die Social-Media-Maske gut sitzen, sprich: Man muss seine Identitäten sauber trennen, um Rückschlüsse vom einen Alias auf ein anderes zu unterbinden. Und diese Trennung muss man dauerhaft aufrechterhalten, sonst funktioniert’s nicht. Gut kombinierbar mit Punkt 3 und 4.

Im Social-Media-Zeitalter gilt: Nur wer mit Rollen und Identitäten geschickt sein Spiel zu treiben versteht, wird nicht selbst als Marionette auf der Bühne der globalen Auswertung von “Social-Intelligence”-Daten enden.

Geschrieben in Social Networks, Security Awareness | 2 Kommentare »

10.3.2010 von Wilhelm Greiner.

Mit der Einführung des Twitter-Konkurrenten Buzz hat sich Google letzten Monat die Entrüstung zahlreicher Benutzer zugezogen, und Datenschützer haben Beschwerden eingereicht. Für jene, die Googles Kopfsprung in den Privacy-Fettnapf ebenso verschlafen haben wie der Suchmaschinen-Gigant einst den Microblogging-Trend: Der Konzern hat Buzz als Standardkomponente von Gmail eingeführt und in typisch Googlescher Statistikverliebtheit einfach die häufigsten E-Mail-Kontakte zu Followern erklärt - ohne die Benutzer zu fragen.

Das hat der “Don’t-do-evil”-Firma nicht nur den Vorwurf von Allmachtsdenken eingebracht (etwa auf spiegel.de), Kritiker wiesen zudem auf eine riskante Datenschutzlücke hin: Die automatisch generierten “Follower” waren via Web öffentlich sichtbar; Demokratieverfechter in Diktaturen könnten so dem Regime ungewollt Kontakte verraten haben. Oder der Chef erfährt, mit welchen Headhuntern man korrespondiert. Eine erzürnte Gmail-Nutzerin schrieb über einen neuen “Follower”: “Wissen Sie, wer mein dritthäufigster Kontakt ist? Mein gewalttätiger Ex-Ehemann.”

Doch nur selten erfolgt der Angriff auf das Recht informationeller Selbstbestimmung so plump, drastisch und offenkundig wie im Fall von Google Buzz. Von der Deutschen Telekom zum Beispiel habe ich (UMTS-Flatrate-Kunde) kürzlich nach dem Kauf einer “Xtra-Card” (Prepaid-Karte) für die Familie einen Xtra-Card-Werbe-Newsletter erhalten - obwohl ich beim Kauf der Karte Werbung vertraglich untersagt hatte. Auf meine schriftliche Anfrage, woher man denn meine E-Mail-Adresse kenne, erklärte ein Call-Center-Mitarbeiter beim Rückruf: Von einer E-Mail, die ich der Deutschesten aller Telekoms Monate zuvor geschrieben hatte - und in der ich jegliche Werbung im Rahmen des UMTS-Vertrags verboten hatte!

Solch ein Verstoß gegen Datenschutzgesetze und anständiges Geschäftsgebaren, obwohl eklatant, verblasst natürlich vor dem Hintergrund großflächiger Googlescher Ignoranz, zeugt aber von der gleichen Mentalität: Wir haben es doch nicht nötig, uns um den Datenschutz zu kümmern!

Deshalb, in den Worten des Wiener Rockmusikers Ostbahn Kurti: “Basst’s auf, seid’s vursichtig und losst’s eich nix gfoin!” (Passt auf, seid vorsichtig und lasst euch nichts gefallen, Anm. des Übersetzers ;-).

Man darf den Datenschutzfressern keine kleinen Happen erlauben, sonst bekommen sie nur Hunger auf größere. Ich jedenfalls kaufe Prepaid-Karten jetzt bei der Telekom-Konkurrenz (ja, die habt ihr, Deutsche Telekom, trotz eurer Monopolistenallüren). Und den UMTS-Vertrag habe ich auch gleich gekündigt.

Geschrieben in Social Software, Worst Case, Security Awareness | Keine Kommentare »

3.2.2010 von Wilhelm Greiner.

Der deutsche Ableger des US-Analystenhauses IDC hat kürzlich ein Thesenpapier zum Umgang der Unternehmen mit dem Phänomen Social Networking herausgebracht: “Soziale Netzerke (gemeint ist: Netzwerke) im Web 2.0 Zeitalter (gemeint ist: heute)”. Der auffallend skeptische Untertitel: “Notwendiges Übel oder unvermeidbare Notwendigkeit?” Streichen wir aus dieser Gegenüberstellung auf beiden Seiten das “notwendig” heraus, dann stellt sich für die Analysten offenbar die Frage: Ist Social Networking für Unternehmen schädlich ist oder einfach nicht zu vermeiden? Dass Social Networking für die Business-Welt auch einen Fortschritt darstellen könnte, dieser Gedanke drängt sich bei der IDC-Formulierung nicht sonderlich stark in den Vordergrund.

Woher rührt diese Skepsis seitens IDC (während das konkurrierende Analystenhaus Forrester seit Jahren eifrig den Unternehmenseinsatz von Social Networks, Social Software und Social Media predigt)? IDC hat letztes Jahr in den USA eine Umfrage durchgeführt, die ergab, dass dieses Thema den CIOs erhebliche Kopfschmerzen bereitet. Denn: “Man muss inzwischen davon ausgehen, dass Mitarbeiter - jedenfalls bis zu einem bestimmten Grad - ihr privates und berufliches Leben auf diesen Seiten vermischen.” Unter Bezug auf eine Umfrage unter 390 Mitarbeitern mittelgroßer und großer US-Unternehmen heißt es dann: “Nahezu 90 Prozent der Befragten vermischen private und berufliche Interaktionen innerhalb einer Sitzung (Session) auf Linkedin.” Bei Facebook und Twitter seien es immerhin noch über 60 Prozent.

Für Deutschland dürften solche Zahlen deutlich niedriger liegen, da Trends ja immer ein paar Jahre brauchen, bis sie aus den USA zu uns herüberschwappen. Aber richtig - und gar nicht einmal etwas Neues - ist: Die Grenze zwischen privater und beruflicher IT-Nutzung löst sich auf. Weil es möglich ist, weil es praktisch ist, weil es Zeit spart - und weil es oft genug Arbeitsabläufe vereinfacht: Noch ein weiteres Analystenhaus, nämlich die Experton Group, verwies kürzlich auf eine (Fremd-)Studie, laut der 81 Prozent der Befragten angaben, Social Networking könne für Unternehmen ein Segen sein, da es ihnen erlaubt, leichter mit Kunden in Kontakt zu treten und Markenbildung zu betreiben.

Trotzdem haben viele Unternehmenslenker die oft sicher nicht unberechtigte Sorge, ihre Mitarbeiter könnten durch Extreme Facebooking und Power-Tweeting wertvolle Arbeitszeit verplempern - und dabei vielleicht sogar noch der Marke schaden oder Firmengeheimnisse ausplaudern. Bei diesem Szenario stellen sich einem Firmenchef natürlich die Nackenhaare auf, und über seinem Kopf bilden sich dunkle Gewitterwolken. Sein Justiziar wiederum läuft rot an und beginnt, deutlich vernehmbar zu hyperventilieren, denkt er doch an die möglichen rechtlichen Konsequenzen.

Oliver Tuszik, seines Zeichens Chef von Computacenter, brachte dies kürzlich im Gespräch mit mir auf die Formel: “Compliance-Anforderungen erzeugen beim Social-Software-Einsatz in Unternehmen ein Spannungsverhältnis: einerseits ein manchmal schon fast fatalistischer Vertrauensvorschuss der Digital Natives, andererseits die rechtlichen Verpflichtungen der Unternehmen etwa zum Datenschutz.”

Deshalb raten viele Fachleute den Unternehmenslenkern schon aus rechtlichen Gründen dazu, ihren Mitarbeitern für den Umgang mit Social Networks durch Richtlinien klare Grenzen zu setzen. Auch IDC führt im erwähten Thesenpapier zehn Richtlinien auf, die allerdings reichlich plakativ ausfallen: “Respektieren Sie den Datenschutz und die Geheimhaltung”, “Unterstreichen Sie Ihre Meinung mit Fakten”, “Geben Sie einen Fehler zu und korrigieren Sie diesen” - solche Tipps sind nie falsch, online wie offline.

So wichtig sinnvoll formulierte Richtlinien sein mögen - für Unternehmen, die Social Software hausintern oder für den Umgang mit Kunden und Partnern nutzen wollen, um ihre Produktivität oder Kundenansprache zu verbessern, bedeuten solche Policies ein böse Zwickmühle: Denn hohe Reglementierung hat häufig den Effekt, Mitarbeiter zu demotivieren - oder sie sogar völlig vor der Social-Software-Nutzung abzuhalten. Dann ist es schnell vorbei mit der Social Collaboration im Hause oder der raschen Reaktion auf Tweets von Kundenseite.

Manche Fachleute vertreten deshalb eine konträre Position. So rät zum Beispiel David Nüscheler, der CTO des Web-Content-Management-Anbieters Day Software: “Nur eingreifen, wenn es Probleme gibt.” Verfechter dieser Position neigen dazu, im Bezug auf Social Networking und Social Software in erster Linie an den gesunden Menschenverstand zu appellieren: Einfach beim Twittern, Bloggen, Chatten, auf Xing, Linkedin oder Facebook das Hirn nicht ausschalten und nichts posten, tweeten oder schreiben, was man nicht auch anderweitig - etwa dem Chef, der Konkurrenz, dem Kunden gegenüber - öffentlich kundtun würde. Ende der Durchsage.

Selbst Nüscheler gibt zwar zu: Für den Notfall braucht man eine Plattform, um zumindest auf der eigenen Website voreilig oder anstößig Gepostetes schnell wieder löschen zu können. Dennoch sei ein vertrauensvoller, vernünftiger Umgang mit den Mitarbeitern unterm Strich effektiver als ein umfangreiches Regelwerk, von dem die meisten Kollegen nicht einmal wissen, wo es überhaupt zu finden ist.

Fazit: Social Software eignet sich nur für Unternehmen mit einer auf Vertrauen und Wertschätzung der Mitarbeiter beruhenden Unternehmenskultur - alle anderen haben ein Problem.

Kollege Meier, hör’n Sie doch mal kurz auf mit der Twitterei und holen Sie einen Schluck Wasser - unser Herr Justiziar hyperventiliert schon wieder! Dass das aber auch so schwierig sein muss mit diesem Social-Gelumpe…!

Geschrieben in Social Networks, Security Awareness, Community-Management | 1 Kommentar »

17.1.2010 von Wilhelm Greiner.

Reden wir über “Social Intelligence”. Der Ausdruck klingt erst mal nach IQ und EQ - logische Intelligenz, emotionale Intelligenz, soziale Intelligenz. Aber: falsch geraten, Sie fallen runter auf 500 Euro!

“Social” meint nicht “sozial” im Sinne von “karitativ”, sondern schlicht das Online-Miteinander von Web-Nutzern: “Social” wie in “Social Network”, “Social Media”, “Social Software”, “Social (hier ein beliebiges Wort einfügen, muss aber englisch klingen)”. Und “Intelligence” bedeutet hier auch nicht “Intelligenz”, sondern “Datensammlung”: CIA statt IQ. (Der US-Geheimdienst heißt schließlich nicht “Central Intelligence Agency”, weil die Leute dort so wahnsinnig intelligent sind, sondern weil sie Daten jagen und sammeln.)

Und wieso muss uns das interessieren? Weil Social Intelligence der wirtschaftliche Motor im weltweiten Web ist, insbesondere in seiner heutigen, “Web 2.0″ oder auch “Mitmach-Web” genannten Social-Dingsbums-Ausprägung: Jene Firmen machen im Web 2.0 so richtig Reibach, denen es gelingt, das Verhalten, die Beziehungen und die Beiträge von Benutzern einer Online-Community von vorn bis hinten zu überwachen und auszuwerten. Beispiele gefällig? Social Intelligence ist das Kerngeschäft von Google wie auch von Amazon. (”Benutzer, die beim CIA arbeiten, haben sich auch für folgende Abhörgeräte interessiert…”)

Insbesondere Google - de facto die SIA (Social Intelligence Agency) des Web-2.0-Zeitalters - steht deshalb immer wieder im Kreuzfeuer der Datenschützer und kritischer Journalisten. So hat kürzlich der Spiegel (Ausgabe vom 11.1.10, S. 58ff) in einem ausführlichen, gründlichen Artikel namens “Ende der Privatheit” Selbiges beklagt: “Die eifrigsten Nutzer der (Google-) Dienste geben ihr halbes Leben preis”, warnen die Spiegel-Autoren. “Jede Website, die sie besuchen, jede Werbung, auf die sie klicken, verrät etwas über sie.” Der Spiegel fordert ein Recht auf Privatsphäre: “Kontrolle über das, was publik wird und was nicht”.

Nostalgisch reminiszierend heißt es dann: “Früher war das leicht. Da war - außer auf dem Dorf - zunächst mal alles privat”; lediglich “hie und da” habe man selbst etwas öffentlich gemacht. Im Web sei dieses Prinzip nun auf den Kopf gestellt: “Alles ist publik, es sei denn, man macht sich die Mühe, es zu verbergen.”

“Früher”? Wann genau? 1984? Damals, als man sich noch nicht ums Internet sorgte (das noch in den Kinderschuhen steckte), sondern gegen die Volkszählung, Videokameras an Bahnhöfen und die Speicherung von Telefonverbindungsdaten protestierte? Ja, was waren das glückliche Zeiten, als Orwells Big Brother noch ein klares Feindbild lieferte…

Bei uns in Bayern - ich geb’s zu, ich bin ein Münchner Eingeborener - ist das nostalgisch verklärte Früher aber nicht das herrlich anonyme Großstadtleben der 1980er-Jahre: Der gemeine wertkonservative Bayer (CSU-Wähler, katholisch, auf dem Land lebend und vor allem nicht zugereist) schwärmt in solchen Fällen vielmehr vom ausgehenden 19. Jahrhundert, von der “guten alten Zeit”, als das Tempo noch gemächlich, Bayern noch Monarchie und überhaupt die Welt noch in Ordnung war. Nicht München 1984, sondern Miesbach 1884.

Der entscheidende Punkt ist deshalb der vom Spiegel verschämt eingeschobene Zusatz “außer auf dem Dorf”: Damals auf’m Dorf, zu Zeiten von Ludwig dem II. (Gott hab ihn selig), da war das Ende der Privatheit sehr schnell erreicht: Dank neugieriger Nachbarn, Klatsch und Tratsch wusste man alles übereinander. Sich entziehen? Ja mei, … schwierig.

Google, Amazon und Co. transportieren genau diese oft nostalgisch verklärte Dorfgemeinschaft ins Web. Drum heißt’s ja auch “Global Village” und nicht “Global Metropolis”. Und wie sich “damals” die Leute nicht aussuchen konnten, in welchem Dorf sie aufwuchsen, ebenso wenig kann sich der heutige Web-Nutzer das globale Dorf aussuchen. Eben weil’s global ist: Es gibt nur das eine.

Und auf dem Land war’s schon immer so: Wer Privatheit wollte, musste sie sich selbst verschaffen. Das wusste auch Benjamin Franklin, einer der führenden Intellektuellen der US- Gründerzeit, der als Autor und Verleger in einer damals noch stark ländlich geprägten Welt lebte, in der man manuelle Arbeit schätzte und das Lesen (außer das der Bibel) oft suspekt fand. Was also machte Franklin? Er schob tagsüber immer mal wieder eine Schubkarre übern Hof, damit es für die Nachbarn so aussah, als arbeite er hart - und abends zog er dann die Vorhänge zu, um heimlich bei Kerzenschein an seinen Texten und Almanachen zu schreiben.

Umständlich, zugegeben, aber effektiv. Deshalb: Schubkarre her, Vorhänge zu! Wer im globalen Dorf neugierige Nachbarn abwehren will, muss selber verschleiern, verheimlichen und vertuschen. Das nimmt einem niemand ab - da hilft kein Jammern über das Idyll von Anno 1984.

PS: Benutzer, die blickdichte Vorhänge gekauft haben, interessierten sich auch für folgende Schubkarren…

Geschrieben in Social Software, Social Networks, Security Awareness | 1 Kommentar »

16.12.2009 von Wilhelm Greiner.

Vor dem Hintergrund einer anhaltenden Diskussion um den Datenschutz in Social Networks (siehe auch hier) hat IT-Sicherheitsexperte Bruce Schneier in der neuesten Ausgabe seines Newsletter Cryptogram eine nützliche Einteilung der anfallenden Datenmengen vorgestellt.

Schneier unterteilt Social-Networking-Daten in folgende fünf Gruppen:

1. Service-Daten: die Daten, die man bei einer Social-Network-Site angeben muss, um sie benutzen zu können (Name, Alter, ggf. Kreditkartennummer)

2. bekanntgegebene Daten: die Daten, die der Benutzer auf seinen Seiten selbst postet (Blog-Einträge, Fotos, Nachrichten, Kommentare etc.)

3. anvertraute Daten: Daten, die man selbst auf den Seiten anderer Leute postet, sodass diese Daten anschließend der Kontrolle der anderen Nutzer unterliegen

4. zufällige Daten: die Daten, die andere Anwender über einen Benutzer veröffentlichen (und die man damit weder selbst generiert noch selbst kontrolliert)

5. Verhaltensdaten (Behavioral Data): die Daten, die eine Social-Network-Site über das Verhalten der Benutzer sammelt

Die Auswertung dieser Sammlungen von Daten - insbesondere der Verhaltensdaten - wird übrigens mitunter “Social Intelligence” genannt - ein nützlicher Begriff, umschreibt er doch die hier vorliegende Social-Networking-Variante der Datenauswertungen à la Business Intelligence: Worüber postet ein Anwender? Für was interessiert er sich? Mit wem ist der verlinkt? Welche Seiten besucht er? Wann und wie intensiv nutzt er Social Networks? Dies und viele Fragen mehr sind für Marketing und Vertrieb wichtige und damit wertvolle - für den Social-Site-Betreiber also teuer verkaufbare - Informationen.

Anwender haben bezüglich der jeweiligen Datentypen unterschiedliche Rechte - und, so Schneier, sie sollten durchaus unterschiedliche Rechte haben. Bei einigen Datentypen ist die Frage des Umfangs der Rechte, die der Social-Network-Betreiber und der Anwender besitzen oder besitzen sollten, heftig umstritten. Darf ich zum Beispiel verlangen, dass ein Foto einer wüsten Party gelöscht wird, auf dem ich zufällig mit abgebildet bin? Ist es mein Recht zu verlangen, dass mein Gesicht grobgepixelt wird?

Der Bereich, der jetzt schon der kritischste ist, und der mit dem zunehmenden Erfolg der Social Networks immer bedeutsamer wird, ist der Bereich der Verhaltensdaten und in der Folge die Frage der Social Intelligence. Denn das Sammeln und Auswerten (und damit letztlich der Verkauf) dieser Verhaltensdaten ist das Kerngeschäft von Social Networks. Zugleich ist dies aber auch die für den Anwender am wenigsten offensichtliche Datenart.

Um die Auswertung all dieser Service-, Nutzungs- und Verhaltensdaten werden wir mit Sicherheit noch zahlreiche hitzige Debatten erleben - und diese Debatten sind dringend notwendig.

Geschrieben in Social Networks, Security Awareness | Keine Kommentare »

8.12.2009 von Wilhelm Greiner.

Schon ein paar Jahre alt, wirkt aber immer noch frisch: In einer Videoreihe der Berufsgenossenschaften und der Deutschen Gesetzlichen Unfallversicherung  warnt die computeranimierte Trickfigur Napo vor allerlei Gefahren.

Die Verwendung des Genres Trickfilm verschafft der Filmreihe nicht nur einen knuffigen Sympathieträger als Hauptfigur, sondern zugleich eine humorvolle Distanz zum Geschehen. Schließlich wissen Menschen, die mit Tom und Jerry sowie Tweety und Sylvester aufgewachsen sind, dass den Charakteren trotz oft drastisch visualisierter Handlung nichts wirklich Schlimmes geschieht. So kann man auf unterhaltsame Weise die Risiken einmal durchspielen, wie etwa in dem Film “Napo im Reich der Gefahrensymbole” von 2001. Gelungenes Communitainment!

[Update:] Weitere Folgen der Napo-Filme gibt es hier.

Dank an Markus Wenzel von ConSol* für den Tipp.

Geschrieben in Security Awareness, Video, Kudos | Keine Kommentare »

1.12.2009 von Wilhelm Greiner.

Die Computerwoche brachte kürzlich eine von Lutz Bleyer, dem Leiter Zentrale Security bei der Fiducia IT AG, gezeichnete Case Study über die Security-Awareness-Kampagne des Hauses. Die Kampagnenarbeit der Fiducia gilt in Security-Awareness-Kreisen als Vorzeigeprojekt und war auch eines der Beispiele, die Michael Helisch und Dietmar Pokoyski in ihrem informativen Überblickswerk “Security Awareness” im Rahmen eines Interviews mit aufgeführt haben.

“Es hat sich bewährt, nicht mit erhobenem Zeigefinger herumzulaufen und die Mitarbeiter belehren zu wollen. Besser ist es, die Leute einzubeziehen”, resümiert Bleyer in dem Artikel. Zu diesem Zweck hat der IT-Dienstleister zum Beispiel Filmmaterial gedreht und dazu hauseigene Mitarbeiter als Darsteller gecastet. “Indem eigene Mitarbeiter als Darsteller Teil der Kampagne werden, wirkt die Aktion integrativ und motiviert durch einen hohen Spaßfaktor”, so Bleyer.

Bleyer und seine Kollegin Dr. Christa von Waldthausen, Leiterin Marketing und Kommunikation bei der Fiducia, haben bereits zwei Kampagnen durchgeführt - jeweils mit Pausen dazwischen, um eine Ermüdung des Publikums zu vermeiden - und sind kürzlich mit ihrer dritten Kampagnean den Start gegangen.

Jede Kampagne setzt laut Bleyers Ausführungen auf einen  Sprach- oder Bildstil, der sich deutlich von den Vorgängern unterscheidet. Dies soll für erneute Aufmerksamkeit sorgen und es ermöglichen, auf aktuelle Stimmungen und Trends zu reagieren.

Den Erfolg ihrer Awareness-Arbeit misst die Fiducia-Truppe - jenseits von nachweislich durch aufmerksame Mitarbeiter verhinderten Übergriffen - per Mitarbeiterbefragung für einen “Security Awareness Index”.

Die Frage, wie sich der nachhaltige Erfolg von Awareness-Aktivitäten messen und damit das Budget rechtfertigen lässt, sorgt immer wieder für Diskussionsstoff in der Awareness-Dienstleister-Branche, zumal es den Awareness-Arbeitern ja nicht nur um kurzfristige Aufmerksamkeit geht, sondern um eine nachhaltige Verankerung des Sicherheitsbewusstseins in den Köpfen und im Verhalten der Mitarbeiter.

So verweist auch diese Case Study darauf, Ziel sei letztlich eine “gemeinsame Sicherheitskultur” - und eine solche ist ein flüchtiges Wesen und damit nur schwer in kalte Messdaten zu fassen. Hinzu kommt das klassische Problem der Ethnologen: der Einfluss des Beobachters selbst. Antworten die befragten Eingeborenen nur so, wie sie antworten, eben weil ich sie dazu befrage? Tanzen sie nur, weil die Kamera läuft? Vielleicht ist ja der Awareness-Arbeiter nur ein Tourist in der Sicherheitskultur seines Kollegen-Völkchens…

P.S.: Dank an Patrik Edlund von HP für den Lese-Tipp!

Geschrieben in Security Awareness | Keine Kommentare »