Richtlinien

Social Media Richtlinie: Was Mitarbeiter posten dürfen (und was nicht)

TL;DR
  • Social-Media-Beiträge von Mitarbeitern sind eine ergiebige Quelle für Angreifer. Jobtitel, Organigramme, Technologiehinweise, Reisepläne und Fotos von Arbeitsplätzen liefern Material für gezieltes Spear-Phishing und Social Engineering.
  • Eine Social Media Richtlinie definiert, welche Informationen geteilt werden dürfen, welche nicht, und wie Mitarbeiter sich in sozialen Netzwerken verhalten sollen. Sie schützt sowohl das Unternehmen als auch die Mitarbeiter selbst.
  • Die Richtlinie muss zwischen privater und beruflicher Nutzung unterscheiden, klare Beispiele geben und die Konsequenzen bei Verstößen definieren. Abstrakte Verbote ('Teilen Sie keine vertraulichen Informationen') sind wirkungslos, weil Mitarbeiter nicht einschätzen können, was genau darunter fällt.
  • Besondere Risikobereiche sind: LinkedIn-Profile mit detaillierten Organigramm-Informationen, Fotos von Arbeitsplätzen (Bildschirminhalte, Zugangskarten, Whiteboards), Statusmeldungen über Geschäftsreisen und technische Details zu eingesetzten Systemen.
  • Die Richtlinie sollte nicht verbieten, sondern ermöglichen: Sie gibt klare Leitplanken vor, innerhalb derer Mitarbeiter Social Media aktiv und positiv nutzen können. Eine restriktive Policy, die jede Erwähnung des Unternehmens verbietet, wird ignoriert.

Warum Social Media ein Sicherheitsthema ist

Social Media ist für die meisten Mitarbeiter ein selbstverständlicher Teil des Alltags. Sie pflegen ihre LinkedIn-Profile, vernetzen sich mit Geschäftspartnern, teilen berufliche Erfolge und diskutieren Fachthemen in Gruppen und Foren. Für Unternehmen ist Social Media ein wichtiger Kanal für Employer Branding, Kundenansprache und Netzwerkpflege. Das alles ist gewollt und sinnvoll.

Gleichzeitig ist Social Media eine der ergiebigsten Quellen für Angreifer. Die systematische Sammlung öffentlich verfügbarer Informationen, bekannt als Open Source Intelligence (OSINT), nutzt Social-Media-Profile als primäre Datenquelle für die Vorbereitung gezielter Angriffe durch Social Engineering.

Ein einzelner LinkedIn-Post kann einem Angreifer folgende Informationen liefern: Wer im Unternehmen arbeitet (Zielidentifikation), welche Position die Person hat (Bestimmung der Autorisierungsstufe), welche Technologien das Unternehmen einsetzt (Angriffsvektoren), welche Projekte gerade laufen (Kontextwissen für Spear-Phishing), wer mit wem vernetzt ist (Vertrauensbeziehungen) und welche externen Dienstleister das Unternehmen nutzt (Supply-Chain-Angriffe).

Diese Informationen sind einzeln betrachtet harmlos. Zusammengesetzt ergeben sie ein detailliertes Bild des Unternehmens, das ein Angreifer für einen maßgeschneiderten Angriff nutzen kann. Eine Spear-Phishing-Mail, die den Namen eines realen Projektleiters enthält, ein echtes Projekt referenziert und von einem vermeintlichen externen Partner kommt, der tatsächlich mit dem Unternehmen zusammenarbeitet, hat eine deutlich höhere Erfolgswahrscheinlichkeit als eine generische Phishing-Mail.

Typische Informationslecks in Social Media

Die folgenden Beispiele zeigen, welche Informationen Mitarbeiter regelmäßig in sozialen Netzwerken teilen und wie Angreifer sie nutzen können.

LinkedIn-Profile und Jobtitel

LinkedIn-Profile sind die offensichtlichste Quelle. Die detaillierten Jobtitel und Beschreibungen ermöglichen es, ein vollständiges Organigramm des Unternehmens zu erstellen. "Head of IT Infrastructure" verrät, dass es eine dedizierte IT-Infrastruktur-Abteilung gibt und wer sie leitet. "SAP Basis Administrator" verrät, dass das Unternehmen SAP einsetzt. "Information Security Officer" verrät, dass es einen ISB gibt und wer es ist.

Besonders wertvoll für Angreifer sind die "Skills & Endorsements" und die Erfahrungsbeschreibungen. "Erfahrung mit Cisco ASA Firewalls" verrät den Firewall-Hersteller. "Migration von Exchange On-Premise zu Microsoft 365" verrät die aktuelle E-Mail-Infrastruktur und den Zeitpunkt der Migration. "Implementierung von CrowdStrike Falcon" verrät die Endpoint-Security-Lösung.

Fotos vom Arbeitsplatz

Ein scheinbar harmloses Foto vom neuen Büro oder vom Teammeeting kann erstaunlich viel verraten. Bildschirminhalte im Hintergrund können Anwendungen, Daten oder interne URLs zeigen. Zutrittskarten oder Ausweise im Bild können kopiert oder nachgebildet werden. Whiteboards im Hintergrund können Projektpläne, Architekturdiagramme oder Zugangsdaten enthalten. Schreibtischinhalte können Post-its mit Passwörtern, interne Dokumente oder Kundenlisten zeigen.

In einem dokumentierten Fall identifizierte ein Sicherheitsforscher auf einem Instagram-Foto eines Mitarbeiters im Hintergrund ein Whiteboard mit der vollständigen Netzwerkarchitektur des Unternehmens, einschließlich IP-Adressen und Servernamen.

Statusmeldungen über Geschäftsreisen

"Auf dem Weg nach London für Kundengespräche bei [Unternehmen X]" verrät eine Geschäftsbeziehung, den Zeitpunkt und den Ort. "Noch drei Tage auf der CeBIT" verrät, dass der Mitarbeiter nicht im Büro ist. "Endlich Urlaub! Zwei Wochen Thailand" verrät, dass die Person für zwei Wochen abwesend ist.

Angreifer nutzen Abwesenheitsinformationen gezielt. Wenn bekannt ist, dass der Geschäftsführer für zwei Wochen auf Reisen ist, steigt die Wahrscheinlichkeit, dass ein CEO-Fraud-Versuch erfolgreich ist, weil die Mitarbeiter den Geschäftsführer nicht direkt fragen können und die Anweisung per E-Mail plausibel erscheint.

Technische Details und Zertifizierungen

Mitarbeiter, die stolz auf ihre Zertifizierungen und Projekte sind, teilen oft technische Details, die für Angreifer wertvoll sind. "Gerade die Migration auf Azure AD / Entra ID abgeschlossen!" verrät den aktuellen Stand der Infrastruktur und deutet auf eine Phase hin, in der Konfigurationsfehler besonders wahrscheinlich sind. "Froh, dass wir endlich auf Fortinet umgestiegen sind" verrät den Firewall-Hersteller. "Wer hat Erfahrung mit der Integration von ServiceNow und Jira?" verrät zwei genutzte Plattformen und deutet auf eine Integrationsphase hin.

Beschwerden und interne Informationen

Mitarbeiter, die in sozialen Medien oder Foren über ihren Arbeitgeber klagen, verraten oft mehr als beabsichtigt. "Unser VPN bricht ständig ab, wir brauchen dringend eine neue Lösung" verrät ein VPN-Problem, das ausgenutzt werden könnte. "Die IT hat mal wieder ein Update ohne Vorwarnung eingespielt" verrät den Patch-Prozess. "Wir nutzen immer noch Windows Server 2012 für unsere Kundendatenbank" verrät ein potenziell ungepatchtes System.

Die Social Media Richtlinie erstellen

Eine wirkungsvolle Social Media Richtlinie balanciert zwischen Sicherheit und Praxistauglichkeit. Sie muss klar genug sein, um Orientierung zu geben, und flexibel genug, um die legitime Nutzung von Social Media nicht zu unterbinden.

Grundstruktur

Die Richtlinie sollte folgende Abschnitte umfassen:

Geltungsbereich: Für wen gilt die Richtlinie? Typischerweise für alle Mitarbeiter, Führungskräfte und externe Mitarbeiter, die im Namen des Unternehmens oder in erkennbarem Zusammenhang mit dem Unternehmen in sozialen Medien aktiv sind. Der Geltungsbereich umfasst sowohl die Nutzung auf Unternehmensgeräten als auch die private Nutzung, soweit ein Bezug zum Unternehmen besteht.

Definition der Plattformen: Welche Plattformen sind gemeint? LinkedIn, Xing, Facebook, Instagram, X/Twitter, TikTok, YouTube, Reddit, Fachforen, Bewertungsportale (Kununu, Glassdoor) und jede andere Plattform, auf der Informationen öffentlich oder halböffentlich geteilt werden.

Erlaubte und erwünschte Nutzung: Was dürfen und sollen Mitarbeiter tun? Berufliche Vernetzung auf LinkedIn/Xing, Teilen allgemeiner Brancheninformationen, Employer-Branding-Beiträge im Rahmen definierter Guidelines, Teilnahme an fachlichen Diskussionen.

Verbotene Inhalte: Was darf auf keinen Fall geteilt werden? Hier muss die Richtlinie konkret sein.

Verhaltensregeln: Wie sollen Mitarbeiter sich verhalten? Kennzeichnung persönlicher Meinungen, Umgang mit Kritik und kontroversen Themen, Reaktion auf negative Kommentare oder Anfragen von Journalisten.

Verantwortlichkeiten: Wer ist Ansprechpartner bei Fragen? Wer genehmigt offizielle Unternehmensbeiträge? Wer ist zuständig, wenn ein Beitrag problematisch wird?

Konsequenzen: Was passiert bei Verstößen? Die Konsequenzen sollten abgestuft sein: Hinweis und Gespräch bei erstmaligem, leichtem Verstoß; formale Abmahnung bei wiederholtem oder schwerem Verstoß.

Verbotene Inhalte: Konkrete Beispiele

Abstrakte Formulierungen wie "Teilen Sie keine vertraulichen Informationen" sind wirkungslos, weil Mitarbeiter unterschiedlich einschätzen, was "vertraulich" bedeutet. Die Richtlinie muss konkrete Beispiele nennen.

Interne Organisationsdetails: Keine Organigramme, keine detaillierten Abteilungsstrukturen, keine Informationen über interne Prozesse oder Arbeitsabläufe, die nicht bereits öffentlich bekannt sind.

Technische Informationen: Keine Nennung spezifischer IT-Systeme, Software, Hersteller oder Versionen. Kein Teilen von Konfigurationsdetails, Netzwerkarchitekturen oder Sicherheitsmaßnahmen. Die Formulierung "Ich bin zertifizierter [Produkt]-Administrator" in der LinkedIn-Beschreibung ist akzeptabel, ein Post "Gerade [Produkt] Version X auf unseren Servern installiert" nicht.

Fotos von Arbeitsplätzen und Unternehmensräumen: Keine Fotos, auf denen Bildschirminhalte, Whiteboards, Zutrittskarten, interne Dokumente oder andere sensible Informationen sichtbar sind. Fotos von Büroräumen und Team-Events sind erlaubt, wenn vorher geprüft wird, dass keine sensiblen Informationen im Bild sind.

Geschäftsbeziehungen und Kunden: Keine Nennung von Kundennamen oder Geschäftspartnern, sofern die Geschäftsbeziehung nicht bereits öffentlich bekannt ist (z. B. durch eine gemeinsame Pressemeldung). "Spannendes Kundenprojekt im Finanzsektor" ist akzeptabel, "Tolles Projekt mit [Kundenname]" nicht (es sei denn, der Kunde hat zugestimmt).

Finanzielle Informationen: Keine Umsatzzahlen, Gewinnprognosen, Investitionspläne oder andere finanzielle Details, die nicht bereits veröffentlicht wurden.

Personalinformationen: Keine Informationen über Einstellungen, Kündigungen, Gehälter oder interne Personalentscheidungen.

Sicherheitsvorfälle: Keine Informationen über aktuelle oder vergangene Sicherheitsvorfälle, Datenpannen oder Audit-Ergebnisse.

Abwesenheiten und Reisepläne: Keine detaillierten Abwesenheitsinformationen ("Die nächsten zwei Wochen nicht erreichbar, bin in [Land]"). Ein Post nach der Rückkehr ("Tolle Konferenz in [Stadt], viele Insights mitgenommen") ist deutlich weniger riskant als die Vorankündigung.

LinkedIn-Profile: Ein Sonderfall

LinkedIn-Profile verdienen besondere Aufmerksamkeit, weil sie die primäre Quelle für OSINT-Reconnaissance sind und gleichzeitig für das Employer Branding und die persönliche Karriereentwicklung wichtig sind.

Die Richtlinie sollte klare Empfehlungen für LinkedIn-Profile geben. Die Jobbeschreibung sollte allgemein gehalten werden: "IT Administrator" statt "Senior Administrator für Cisco ASA Firewalls, Palo Alto Networks und CrowdStrike Falcon". Die Skills-Sektion sollte allgemeine Kompetenzen betonen, nicht spezifische Produkte und Versionen. Erfahrungsbeschreibungen sollten Ergebnisse und Kompetenzen betonen, nicht spezifische Technologien und Projekte. Die Privatsphäre-Einstellungen sollten so konfiguriert sein, dass die Kontaktliste nicht öffentlich sichtbar ist (das verhindert, dass Angreifer das soziale Netzwerk des Mitarbeiters analysieren).

Umgang mit Anfragen und Social Engineering

Mitarbeiter müssen wissen, wie sie auf verdächtige Anfragen in sozialen Medien reagieren sollen. Angreifer nutzen LinkedIn, um Kontakt zu Mitarbeitern aufzunehmen, Vertrauen aufzubauen und Informationen zu sammeln. Das kann ein "Recruiter" sein, der nach technischen Details der aktuellen Position fragt, ein "Journalist", der nach internen Informationen forscht, ein "Geschäftspartner", der nach Ansprechpartnern und Zuständigkeiten fragt, oder ein "Forschungsinstitut", das eine "Umfrage zur IT-Sicherheit" durchführt.

Die Regel sollte sein: Alle unerwarteten Anfragen, die nach internen Informationen fragen, werden an die Kommunikationsabteilung oder das Security-Team weitergeleitet. Mitarbeiter beantworten keine Fragen zu internen Strukturen, Technologien oder Prozessen gegenüber Unbekannten, auch nicht auf LinkedIn.

Kommunikation und Schulung

Eine Richtlinie, die niemand kennt, ist wirkungslos. Die Kommunikation der Social Media Richtlinie ist mindestens so wichtig wie ihr Inhalt.

Einführung der Richtlinie

Die Einführung sollte nicht als einseitige Mitteilung erfolgen ("Ab sofort gilt folgende Richtlinie..."), sondern als Dialog. Organisiere eine kurze Informationsveranstaltung (30 Minuten), in der die Hintergründe erklärt werden: Warum ist Social Media ein Sicherheitsthema? Welche konkreten Risiken gibt es? Was ändert sich für die Mitarbeiter?

Nutze reale Beispiele, um die Risiken greifbar zu machen. Zeige einen LinkedIn-Post und analysiere, welche Informationen ein Angreifer daraus extrahieren kann. Zeige ein Foto vom Arbeitsplatz und identifiziere die sichtbaren Sicherheitsrisiken. Das macht die abstrakten Regeln konkret und nachvollziehbar.

Integration in das Onboarding

Neue Mitarbeiter erhalten die Social Media Richtlinie als Teil des Onboarding-Prozesses. Die Richtlinie wird kurz erläutert, und der neue Mitarbeiter bestätigt die Kenntnisnahme. Besonders bei Mitarbeitern, die aktiv auf Social Media sind (erkennbar am LinkedIn-Profil), lohnt sich ein kurzes persönliches Gespräch über die Dos and Don'ts.

Regelmäßige Erinnerung

Integriere Social-Media-Sicherheit in dein Awareness-Programm. Ein kurzer Beitrag im monatlichen Security-Newsletter, eine gelegentliche Micro-Challenge ("Überprüfe dein LinkedIn-Profil auf technische Details und entferne sie") oder ein Beispiel im Team-Briefing des Security Champions halten das Thema präsent.

OSINT-Self-Assessment

Ein wirkungsvolles Format für die Awareness-Schulung ist das OSINT-Self-Assessment: Die Mitarbeiter überprüfen selbst, welche Informationen über sie und das Unternehmen öffentlich verfügbar sind.

Die Übung läuft folgendermaßen ab: Jeder Mitarbeiter googelt seinen eigenen Namen in Kombination mit dem Unternehmensnamen. Er überprüft sein LinkedIn-Profil auf die oben genannten Risiken. Er sucht auf Google Images und Social Media nach Fotos, die einen Bezug zum Unternehmen haben. Er notiert, welche Informationen er gefunden hat, die nach der Social Media Richtlinie nicht öffentlich sein sollten.

Diese Übung ist oft ein Augenöffner. Mitarbeiter sind überrascht, wie viel über sie öffentlich zugänglich ist, und werden dadurch sensibler für das Thema. Die Übung kann als Teil einer Team-Schulung oder als individuelle Aufgabe durchgeführt werden.

Monitoring und Durchsetzung

Die Richtlinie muss nicht nur existieren, sondern auch durchgesetzt werden. Das bedeutet nicht, dass du die Social-Media-Profile aller Mitarbeiter überwachst. Es bedeutet, dass du auf Verstöße reagierst, wenn sie bekannt werden, und dass du regelmäßig stichprobenartig prüfst, ob die Richtlinie eingehalten wird.

Ein pragmatischer Ansatz ist die quartalsweise OSINT-Stichprobe: Das Security-Team oder ein externer Dienstleister führt eine kurze OSINT-Recherche durch und prüft, ob Mitarbeiter in sozialen Medien Informationen teilen, die gegen die Richtlinie verstoßen. Gefundene Verstöße werden dem jeweiligen Mitarbeiter mitgeteilt, mit der Bitte, den Beitrag zu ändern oder zu entfernen. Der Ton ist unterstützend, nicht bestrafend.

Für die offizielle Unternehmenskommunikation in sozialen Medien gelten strengere Regeln. Alle Beiträge, die über offizielle Unternehmenskanäle veröffentlicht werden, durchlaufen einen definierten Freigabeprozess. Die Verantwortlichkeit für die offiziellen Kanäle liegt bei der Kommunikationsabteilung, die mit dem Security-Team abgestimmt ist.

Besondere Situationen

Mitarbeiter als Markenbotschafter

Viele Unternehmen fördern aktiv, dass Mitarbeiter als Markenbotschafter in sozialen Medien auftreten. Das ist aus Marketing-Sicht sinnvoll, muss aber mit der Sicherheitsrichtlinie abgestimmt sein.

Die Lösung ist ein Leitfaden für Markenbotschafter, der die Richtlinie ergänzt. Dieser Leitfaden definiert, welche Inhalte explizit geteilt werden dürfen (z. B. vorab freigegebene Beiträge, Links zu Blogartikeln, allgemeine Branchenkommentare), welche Hashtags und Formulierungen verwendet werden sollen und welche Inhalte auch als Markenbotschafter tabu sind.

Bewertungsportale (Kununu, Glassdoor)

Mitarbeiter bewerten ihr Unternehmen auf Portalen wie Kununu oder Glassdoor. Diese Bewertungen können interne Informationen enthalten: Gehaltsniveaus, Arbeitsbedingungen, interne Konflikte, Managemententscheidungen. Die Richtlinie sollte darauf hinweisen, dass auch anonyme Bewertungen keine vertraulichen Informationen enthalten dürfen. Die Anonymität ist nicht garantiert (juristische Auskunftsersuchen können zur Identifizierung führen), und die veröffentlichten Informationen können für OSINT genutzt werden.

Krisenfall und Sicherheitsvorfall

Wenn das Unternehmen von einem Sicherheitsvorfall betroffen ist, ist die Versuchung groß, in sozialen Medien darüber zu berichten: "Unser Unternehmen wurde gehackt, wir arbeiten an der Lösung." Die Richtlinie muss klar festlegen, dass im Krisenfall ausschließlich die Geschäftsführung oder die benannte Pressestelle kommuniziert. Mitarbeiter äußern sich nicht in sozialen Medien zum Vorfall, weder öffentlich noch in privaten Nachrichten.

Rechtliche Aspekte

Die Social Media Richtlinie bewegt sich im Spannungsfeld zwischen Meinungsfreiheit, Datenschutz und den berechtigten Interessen des Unternehmens.

Meinungsfreiheit: Mitarbeiter dürfen ihre Meinung äußern, auch in sozialen Medien. Die Richtlinie darf nicht so weit gehen, dass sie die Meinungsfreiheit einschränkt. Sie darf aber definieren, dass Mitarbeiter bei der Äußerung persönlicher Meinungen klarstellen, dass sie nicht im Namen des Unternehmens sprechen.

Datenschutz: Die Richtlinie darf nicht verlangen, dass Mitarbeiter ihre privaten Social-Media-Profile offenlegen. Sie kann aber festlegen, dass berufsbezogene Beiträge (die das Unternehmen nennen oder einen erkennbaren Zusammenhang herstellen) den Regeln der Richtlinie unterliegen.

Betriebsrat: Wenn ein Betriebsrat existiert, ist die Einführung einer Social Media Richtlinie mitbestimmungspflichtig (Ordnung des Betriebs und Verhalten der Arbeitnehmer gemäß § 87 Abs. 1 Nr. 1 BetrVG). Binde den Betriebsrat frühzeitig ein.

Review und Aktualisierung

Social Media entwickelt sich schnell. Neue Plattformen entstehen, bestehende Plattformen ändern ihre Funktionen, und die Bedrohungslandschaft wandelt sich. Die Social Media Richtlinie muss regelmäßig überprüft und aktualisiert werden.

Ein jährlicher Review ist das Minimum. Anlassbezogene Updates sind bei wesentlichen Änderungen erforderlich: neue Plattformen, die im Unternehmen relevant werden, neue Bedrohungsszenarien, Änderungen in der regulatorischen Landschaft oder Sicherheitsvorfälle, die auf Social-Media-Informationslecks zurückzuführen sind.

Dokumentiere den Review-Prozess in deinem ISMS – ein strukturiertes Richtlinien-Lifecycle-Management stellt sicher, dass nichts vergessen wird. In ISMS Lite lässt sich der gesamte Richtlinien-Lifecycle von der Erstellung über den Review bis zur Kommunikation an die Mitarbeiter abbilden. Die Richtlinie erhält ein Versionsdatum, der Review wird als Aufgabe geplant und die Änderungen werden den Mitarbeitern kommuniziert.

Social Media ist ein unverzichtbarer Bestandteil des modernen Arbeitslebens. Eine gute Social Media Richtlinie verbietet nicht die Nutzung, sondern ermöglicht sie innerhalb sicherer Grenzen. Sie gibt den Mitarbeitern die Klarheit, die sie brauchen, um soziale Medien verantwortungsvoll zu nutzen, und schützt gleichzeitig das Unternehmen vor Informationslecks, die Angreifer ausnutzen könnten. Das Ziel ist nicht weniger Social Media, sondern klügere Social Media.

Weiterführende Artikel

Social Media Richtlinie im ISMS verankern

ISMS Lite unterstützt dich bei der Erstellung und Verwaltung deiner Richtlinien, beim Review-Prozess und bei der Nachweisführung für Audits und NIS2.

Jetzt installieren