Wir sind Freunde klarer Worte, also kommen wir gleich zur Sache: „Facelift ist sicher!“ Das können leider nicht alle Social Media Management Tools von sich behaupten. Fachanwalt für Datenschutz, Christian Solmecke, hat mit uns über die rechtlichen Aspekte von Social Media Management Software gesprochen. Wir gehen auf die wichtigsten Punkte ein, zeigen auf, welche Risiken es zu beachten gilt und erläutern, wie wir diese Aspekte bei Facelift umsetzen.
Warum ist Sicherheit auf Social Media wichtig?
Vor allem in den letzten Jahren sind Datenschutzprobleme im Internet und in sozialen Netzwerken aufgetaucht, angefangen bei Zahlungsmethoden bis hin zu gezielter Werbung und Fake News. Es vergeht kein Tag, an dem sich nicht viele von uns fragen, wie sicher unsere Daten wirklich sind oder ob die Informationen, die wir sehen, richtig sind. Diese Sorge ist nicht unbegründet. Von der Oma, die dem Prinzen von Kamerun beinahe ihr Erspartes schickt, bis hin zu dubiosen Hackergruppen, die ganze Regierungen angreifen - die Vorstellung, dass es sich bei Social Media um etwas Böses handelt, hält sich hartnäckig.
Tatsächlich wurden laut BKA allein in Deutschland im Jahr 2021 über 146.000 Straftaten im Bereich Cybercrime gemeldet. Und das sind nur die bekannt gewordenen Fälle, die Dunkelziffer ist entsprechend höher. Aber zum Glück ist die Sicherheit heute viel besser als früher und die sozialen Netzwerke ziehen alle Register, um den Cyberkriminellen immer einen Schritt voraus zu sein.
Wie steht es um die Sicherheit bei Facelift?
Facelift ist stolz darauf, eng mit Netzwerkpartnern wie Meta und Pinterest zusammenzuarbeiten, um die Sicherheit der Unternehmensdaten unserer Kund:innen zu gewährleisten. In der Kürze vorab: Bei uns steht Sicherheit an erster Stelle.
Um es kurz zu machen: Sicherheit steht bei uns an erster Stelle. Wir tun alles, was in unserer Macht steht, um sicherzustellen, dass die Sicherheit von Facelift erstklassig ist und dass Dein Unternehmen, Deine Mitarbeiter:innen und Kolleg:innen in den sozialen Medien so sicher sind, wie es für unser Team möglich ist.
Um auf Deine Bedenken bezüglich der Sicherheit von Facelift einzugehen, unsere Sicherheitsgarantien zu erläutern und Dir hoffentlich die Gewissheit zu geben, dass Deine Social Media Accounts bei Facelift sicher sind, möchten wir diesem Thema etwas Zeit widmen, um Dir zu erklären, was wir tun, wie wir es tun und welche Schritte Du selbst unternehmen kannst, um die Sicherheit Deines Unternehmens zu verbessern.
Serverstandort Deutschland
Im Vergleich zu anderen Ländern sind die Datenschutzbestimmungen in Deutschland recht streng. Solmecke nennt in seinem Whitepaper zum Vergleich Irland, wo bei Datenschutzverstößen nur geringe Bußgelder drohen. Anders in Deutschland, wo Bußgelder bis zu 300.000 Euro fällig werden können, wenn Anbieter gegen den Datenschutz verstoßen. Allein die Höhe dieser Bußgeldandrohung führt dazu, dass Anbieter mit Sitz und Datenspeicherung in Deutschland grundsätzlich sorgfältiger und gewissenhafter arbeiten.
Aus datenschutzrechtlicher Sicht haben Anbieter mit Sitz in Deutschland einen strategischen Vorteil, wenn alle Daten auch in Deutschland gespeichert werden. Dies ist bei facelift der Fall, da alle im Rahmen von Facelift erhobenen Daten auf Servern in Deutschland gespeichert werden.
ISO 27001
ISO ist die Abkürzung für Internationale Organisation für Normung. Diese Organisation mit Sitz in der Schweiz arbeitet weltweit an der Festlegung von Normen. Dazu gehören alle Normen von der Lebensmittelsicherheit über Urheberrechtsvereinbarungen bis hin zur digitalen Sicherheit für Unternehmen, die im Online-Bereich tätig sind - wie wir! Im Falle von Facelift hilft uns dieses Rahmenwerk bei der Strukturierung unseres Informationssicherheits-Managementsystems.
Zunächst einmal ist Facelift vom TÜV Rheinland nach ISO 27001 zertifiziert, was das Unternehmen und den Kundensupport betrifft. Du hast vielleicht schon viele Websites und Unternehmen gesehen, die behaupten, ISO-zertifiziert zu sein. Das ist gut und klingt sehr professionell. Aber mit Abkürzungen und Zahlen kann man sich leicht täuschen. Sie klingen offiziell, sind aber ohne Erklärung bedeutungslos, oder?
Der Rahmen umfasst einige der vielen Schritte, die wir unternommen haben, um sicherzustellen, dass wir verantwortungsvoll mit der Umwelt umgehen. Um sicherzustellen, dass wir verantwortungsvoll mit Deinen Daten umgehen und internationale Sicherheitsstandards einhalten. Dazu gehören zum Beispiel die Aufrechterhaltung des SSL-Schutzes auf unserer Website und die regelmäßige Aktualisierung unserer Technologie.
Dieser Datenaustausch ist verschlüsselt und bietet somit keine Schwachstelle, an der die Daten abgegriffen werden könnten. Weitere Informationen über die ISO-Zertifizierung von facelift findest Du in unseren Datenschutzrichtlinien. Beim TÜV Rheinland erfährst du mehr Infos zum zugrundeliegenden Zertifizierungsprozess.
Social Media Sicherheit: Best Practices in Facelift
Auch produktseitig legen wir viel Wert auf Sicherheit. Viele unserer Features helfen Dir, die Sicherheit auf Social Media zu höhen.
Access Token
Access Token sind Codes, die einer Drittanbieter-Software wie Facelift erlauben, Informationen mit einer anderen Plattform auszutauschen - in diesem Fall mit den Socia Media Seiten Deines Unternehmens. Aus Sicherheitsgründen laufen diese Tokens in regelmäßigen Abständen ab und müssen dann erneuert werden. Dies geschieht immer dann, wenn Passwörter geändert werden oder sich andere Kontoinformationen auf den Social Media Seiten ändern. Es gibt noch einige andere, komplexere Gründe für den Widerruf von Tokens, die wir an dieser Stelle nicht weiter erläutern wollen. Wichtig für Dich: Alle Aufforderungen, Deine Access Tokens zu erneuern, erfolgen aus Sicherheitsgründen.
Auch wenn diese Funktion von vielen als lästig empfunden wird, dient sie in Wirklichkeit dazu, die Sicherheit Deiner Kontoverbindungen aufrechtzuerhalten und sicherzustellen, dass Aktualisierungen oder Fehlerbehebungen durch die sozialen Netzwerke ordnungsgemäß durchgeführt werden. Wenn Deine Zugangstoken ablaufen oder bereits abgelaufen sind, solltest Du eine Benachrichtigung per E-Mail erhalten. In unserer Wissensdatenbank erfährst Du mehr darüber, wie Du Deine abgelaufenen Zugangstoken wiederherstellen kannst. Es dauert nur eine Minute!
Login-Beschränkungen
Falls gewünscht, können Facelift-Administratoren die Zwei-Faktor-Authentifizierung für die Konten anwenden. Dies erfordert, dass alle Benutzer die Authentifizierungs-Tools verwenden, um sich anzumelden. Obwohl dies nicht zwingend erforderlich ist, raten wir immer dazu, so viele Sicherheitsmaßnahmen wie möglich zu ergreifen. Darüber hinaus können Administratoren, bei Bedarf, den Nutzungszugang über die IP-Adresse beschränken. So kannst Du beispielsweise festlegen, dass facelift nur Anmeldungen von Geräten akzeptiert, die die IP-Adresse Eures Büros verwenden. Jeder, der von außerhalb des Büros arbeitet, einschließlich der Mitarbeiter im Home Office (es sei denn, ihre IPs sind ebenfalls zugangsberechtigt), kann nicht auf Facelift zugreifen. Administratoren können außerdem alle verwalteten Konten sperren und/oder zurücksetzen sowie die geltenden Passwortrichtlinien für alle Nutzer:innen verwalten. In der Knowledge Base findest du noch weitere praktischen Informationen zu Passwort und Account Sicherheit. Auch das Thema SSO und Social Logins kann an dieser Stelle interessant für Dich sein.
Ausgefeilte Userberechtigungen
Eine der besten Sicherheitsfunktionen von Facelift liegt in der Kontenverwaltung. Facelift gewährt Administratoren viel Macht über die Erstellung und Einschränkung von Benutzertypen. Dies ist nicht nur fantastisch, um saubere Arbeitsabläufe zu erstellen, Aufgaben sowohl innerhalb eines Teams oder teamübergreifend zuzuweisen, sondern auch eine großartige Sicherheitsfunktion. Usern kann der Zugriff auf spezifische Aspekte der Software gewährt werden, die für die Arbeit benötigt werden. Wenn z.B. ein Community Manager eingestellt wird, der sich fast ausschließlich mit der Moderation eingehender Nachrichten von Followern beschäftigt ist, können ihm die Rechte zur Veröffentlichung von redaktionellen Inhalten verwehrt werden. Ähnliche Mechanismen sorgen dafür, dass Junior Content Creator die Posts zunächst von anderen genehmigen lassen müssen, bevor sie auf den Social Media Seiten veröffentlicht werden. Außerdem erlaubt Facelift den Nutzer:innen nicht, die Einstellungen oder Berechtigungen der eigentlichen sozialen Netzwerke, mit denen es verbunden ist, zu beeinflussen. Daher kann ein unberechtigter Mitarbeiter:in beispielsweise nicht die Facebook-Administratoren ändern, den Twitter-Account löschen oder den Abschnitt "Unternehmensinfos" in der LinkedIn-Beschreibung des Unternehmens ändern, usw.
Richtiges Social Media Account Management
Trotz aller Sicherheitsmaßnahmen in Facelift gibt es Vorsichtsmaßnahmen, die Ihr als Social Media Team ergreifen könnt, um die Daten und Inhalte des Unternehmens zu schützen. Größere Unternehmen haben oft mehrere User, mit Zugriff auf die Social Media Konten. Bei Social Media Netzwerken wie LinkedIn oder Facebook sind die Unternehmensseiten von den privaten Benutzerkonten zwar getrennt, aber zur Verwaltung dieser Seiten sind die privaten Benutzerkonten dennoch erforderlich. Viele Unternehmen vertrauen den Mitarbeitern so sehr, dass sie Ihnen mit den privaten Konten zu Moderationszwecken Zugriff auf die Unternehmensseite gewähren. Dies wird mit der zunehmenden "Bring Your Own Device"-Kultur am Arbeitsplatz immer üblicher. Wir sind nicht hier, um zu urteilen, ob dies eine taugliche Praxis ist oder nicht, und die Entscheidung über die beste Vorgehensweise hängt definitiv von der eigenen Unternehmenskultur und dem Managementstil ab. Aber für Netzwerke wie die oben genannten, die private Konten zur Verwaltung erfordern, gibt es einige Schritte, die unternommen werden können, um sicherer zu sein:
- Haltet die Administratorenliste so kurz wie möglich. Auch wenn natürlich alle Mitarbeiter:innen volles Vertrauen genießen, kann immer etwas passieren. Vielleicht werden die Konten gehackt. Vielleicht machen sie einen Fehler und veröffentlichen versehentlich Inhalte über das falsche Konto, bei dem Versuch persönliche Inhalte hochzuladen. Vielleicht verlieren sie auch einfach ihr persönliches Smartphone, sodass eine Sicherheitslücke für das Unternehmen entsteht. Im Laufe der Zeit, wenn neue Teammitglieder kommen und alte das Unternehmen verlassen, kann diese Liste unvollständig werden und jedes neue Konto, das hinzugefügt wird, stellt ein potenzielles Risiko dar.
- Mitarbeiter:innen, die ihre persönlichen Konten nutzen, müssen ermutigt werden, ihre Passwörter regelmäßig zu ändern.
- Auch eine Einschränkung der BYOD-Kultur sollte in Betracht gezogen werden. Sie hat zwar ihre Vorteile, wenn Mitarbeiter:innen mit den persönlichen Geräten arbeiten können, doch es gibt auch potenzielle Sicherheitsprobleme. Vom Unternehmen ausgegebene Geräte können aus der Ferne gesteuert werden: Passwörter können geändert werden, und User können abgemeldet werden, wenn sie ein Unternehmen verlassen.
Eine Randnotiz bezüglich Meta
Vergiss nicht, dass das Meta-Imperium Instagram, Facebook, Messenger und WhatsApp umfasst, so dass ein Sicherheitsproblem in einem dieser Programme auch die anderen betreffen kann. Außerdem können alle diese Netzwerke mit der Meta Business Suite verwaltet werden, was eine Verletzung in diesen Netzwerken noch schwerwiegender macht. Darüber hinaus ist Facebook eines der oben genannten Netzwerke, das private Benutzerkonten für die Verwaltung der Konten erfordert, was fast immer bedeutet, dass mindestens ein Mitarbeiter die Seiten mit einem privaten Konto verwalten muss. Leider verstößt die Einrichtung eines "Fake"-Benutzerkontos zur Verwaltung von Facebook-Seiten oder Meta Business Suite-Konten des Unternehmens gegen die Nutzungsbedingungen von Facebook, weshalb wir davon abraten, zu diesem Zweck "Fake"-Konten einzurichten. Sollte Facebook davon Wind bekommen, könnte dies nicht nur zur Löschung des Kontos, sondern auch zur Löschung der Unternehmensseite führen. Wir empfehlen daher, weiterhin normale private Accounts für die Verwaltung der Seiten zu verwenden.
Glücklicherweise gibt es keine öffentlich sichtbare Verbindung zwischen dem Administrator einer Facebook-Seite und dem privaten Profil. Es gibt auch keinen öffentlichen Hinweis darauf, wer hinter bestimmten Inhalten steht, private Seiten sind nicht sichtbar und es werden keine Änderungen an deinem eigenen Konto oder den privaten Konten Deiner Mitarbeiter:innen durch irgendwelche Seitenaktivitäten vorgenommen. Die einzige spürbare Änderung ist, dass Seitenadministratoren einige Benachrichtigungen auf ihren privaten Konten erhalten können. Diese können in den Einstellungen der Seite deaktiviert werden. Es ist jedoch zu beachten, dass niemand in seinem Konto eingeloggt sein muss, um Facelift zu nutzen, und dass nicht jeder User sein privates Konto mit der Unternehmensseite verknüpft haben muss. Um Facebook mit Facelift zu verknüpfen, braucht es lediglich eine Person mit dem Status eines Facebook-Seitenadministrators. Danach können alle Facelift-Nutzer:innen, unabhängig vom "offiziellen" Facebook-Administratorenstatus, die Plattform in Facelift nutzen. Damit ist facelift eine großartige Möglichkeit für die Mitarbeiter:innen, ihre privaten und beruflichen Online-Aktivitäten zu trennen.
Single Accounts:
Andere Plattformen, wie z. B. Twitter, sind sogenannte Single Accounts. Diese sind in keiner Weise mit den privaten Konten der Mitarbeiter:innen verknüpft. Wenn das Team jedoch aus mehreren Personen besteht, gelangen die Anmeldeinformationen wahrscheinlich trotzdem in viele Hände.
Unsere Empfehlung zu Social Sicherheit:
-
Überwacht als Firma jedes neue Gerät und seine:n Besitzer:in, der Zugriff auf ein Konto hat. Wenn Dein Unternehmen mit BYOD arbeitet, kann es wahrscheinlich nicht kontrollieren, was Mitarbeitende mit den privaten Endgeräten tun, aber zumindest wissen, ob neue Anmeldungen oder regionsspezifische Aktivitäten von internen Quellen oder von bösen Akteuren stammen.
-
Ändert die Zugangsdaten regelmäßig, insbesondere wenn ein:e Mitarbeiter:in das Unternehmen verlässt oder unbekannte Aktivitäten festgestellt werden. Die meisten Social Media Netzwerke benachrichtigen User per E-Mail, wenn "seltsame" Aktivitäten, wie z. B. Anmeldungen unbekannten Ursprungs auftreten.
-
Fordert die Administratoren ausdrücklich auf, strenge Sicherheitsmaßnahmen für persönliche Geräte zu ergreifen, z. B. biometrische Anmeldeinformationen zu hinterlegen. Die Mitarbeiter:innen können zwar nicht gezwungen werden, ihre persönlichen Geräteeinstellungen zu ändern, aber das Unternehmen kann den Zugriff auf die Konten von privaten Geräten ohne das Ergreifen dieser Maßnahmen verbieten.
-
Das Unternehmen sollte die Konto-Hoheit über die Verifizierungsmail-Adressen und Telefonnummern behalten, dafür sollten gesonderte Accounts erstellt werden, wie z.B.: socialmedia@company.com.
Fazit zu Sicherheit auf Social Media
Die Sicherheit von Facelift für unsere Kund:innen hat für uns höchste Priorität. Wir sind stolz darauf, dass wir nicht nur ein sicheres Produkt anbieten, sondern auch die Daten und die Sicherheit unserer Kund:innen ernst nehmen. Wir möchten, dass Eure Konten sicher sind, egal ob in Facelift oder woanders. Behaltet also diese Anweisungen bei der nächsten Sicherheitsprüfung im Hinterkopf.
Und nicht nur das: Wir wollen, dass Unternehmen in Social Media erfolgreich sind! Das bedeutet, dass wir die Social Media Netzwerke in- und auswendig kennen, Euch über ihre Funktionen und Möglichkeiten aufklären und dabei stets auf dem Laufenden bleiben, was technologische Veränderungen und Trends angeht.
