Die spezifischen Gefahren des Web 2.0 sind jedoch nicht technischer Natur, sondern entstehen aus den "weichen Faktoren" der Web-2.0-Nutzung.

Mehr und mehr nutzen auch Unternehmen die Möglichkeiten des Web  2.0. Die interaktiven und kollaborativen Internetsites, die mittlerweile kaum noch überschaubare Vielfalt von Blogs, Foren, Chaträumen, Communities und Wikis, von Plattformen wie Facebook, LinkedIn, Xing, MySpace, YouTube, Flickr oder Twitter, gehört heute nicht mehr nur in den Bereich von Freizeit und Unterhaltung, sondern wird allmählich auch zu einem festen Bestandteil der Unternehmenskommunikation. So nutzen Unternehmen etwa Facebook für die Kommunikation mit Mitarbeitern oder für die Informationen von Kunden, Techniker diskutieren in Blogs und Foren mit Anwendern über Support-Fragen, neue Produkte werden durch Videos auf YouTube vorgestellt, aktuelle Kurzmeldungen über Twitter verbreitet, und wer sich um eine neue Stelle bewirbt, muss damit rechnen, dass die Personabteilung seinen Auftritt bei Xing, LinkedIn oder StudiVZ durchleuchtet. Einige Unternehmen beziehen ihre Kunden über spezielle Plattformen und Foren sogar gezielt in die Produktentwicklung ein.

Dabei hat die Orientierung des Web 2.0 auf den Benutzer – User Generated Content, Dialog und Interaktivität gelten zu Recht als Kennzeichen von Web 2.0 beziehungsweise "Social Media" – viele Unternehmen anfangs eher skeptisch gestimmt. Nicht ohne Grund, denn diese Form der Web-Nutzung, die nicht von den Unternehmen bestimmt wird, sondern von Kunden und Nutzern, stellt ja für die Kommunikation durchaus einen Paradigmenwechsel dar.

Unternehmen entdecken das Web 2.0

Mit der Zeit haben die Unternehmen jedoch erkannt, dass sich in dieser Sphäre zum einen viele Nutzer – also auch Kunden – bewegen und dass deren emsige Bereitschaft für meist sehr hochwertigen Content zu sorgen, sich in vielfältiger Weise nutzen lässt. Schließlich haben sich Web-Nutzer einfach an die Verfahren, Gepflogenheiten und Strukturen des Web 2.0 gewöhnt, so dass es – aus Unternehmenssicht – einfach schade wäre, sich da nicht einzuklinken.

Daher bauen Unternehmen nun verstärkt Web 2.0 und Social Media in ih-re Kommunikationsprozesse ein. Eine im Frühjahr 2009 von Websense durchgeführte Umfrage ergab, dass 93 Prozent der deutschen Unternehmen einen steigenden internen Bedarf an Zugang zu Web-2.0-Lösungen feststellen und dass zwei Drittel der IT-Manager den Einsatz des Web 2.0 positiv sehen. Der Bedarf kommt dabei vor allem aus den Fachbereichen IT (38 Prozent), Vertrieb (35 Prozent) und Marketing (29 Prozent).

Gerade IT-Manager müssen aber feststellen, dass Web 2.0 ein wenig anders funktioniert als herkömmliche Kommunikationsprozesse. Web 2.0 und Social Media lassen sich viel schwerer kontrollieren. Es liegt in der Natur der Sache, dass Mitarbeiter ins Web 2.0 direkt involviert sind: Der Service-Techniker muss unmittelbar auf den Forumsbeitrag eines frustrierten Kunden antworten, der Vertriebsbeauftragte muss mit den aktuellen Blog-Postings seiner Kunden vertraut sein, Twitter-Meldungen über neue Produkte müssen sehr schnell abgesetzt werden, YouTube-Videos unmittelbar kommentiert werden usw. User Generated Content heißt immer auch direkt und spontan zu handeln, und nur so gewinnt das Web 2.0 jene "Aura des Authentischen" für die es seine Nutzer so lieben und ohne die sie eine Social-Media-Plattform schnell wieder verlassen würden.  

Web 2.0 im Unternehmen heißt damit notwendigerweise, dass zahlreiche Mitarbeiter beteiligt sind und dass sie spontan und oft auch ohne lange Rückfrage oder Freigabe agieren – und agieren müssen. In Unternehmen, die sich im Web 2.0 engagieren, werden also immer deutlich mehr Mitarbeiter über vielmehr Kanäle mit der Außenwelt kommunizieren. Dafür muss ein Unternehmen die notwendigen Freiheiten in der Web-Nutzung einräumen. Voraussetzung dafür ist ein deutlich höheres Maß an Verantwortung der Mitarbeiter gegenüber dem Unternehmen einerseits und andererseits an Vertrauen in das Know-how und das Commitment der Mitarbeiter dem Unternehmen gegenüber.

Die Risiken des Mitmachens

Dennoch stellt sich hier die Frage nach den Risiken, die für die Unternehmen durch ihre Einbindung ins Web 2.0, durch die Nutzung von Facebook und Twitter, von YouTube und Xing, entstehen. Schließlich ist die Welt nicht besser geworden, nur weil es Web 2.0 gibt; auch wenn es manchem Protagonisten so erscheint. Technische und "soziale" Gefahren lauern auch im Web 2.0 an jeder Ecke.

Dabei ist ein grundlegender Aspekt wichtig: Das Web 2.0 ist keine Technologie, sondern eine andere Art, die bekannten Technologien zu nutzen. Die zu Grunde liegenden Techniken sind seit langem bekannt und werden nur neu kombiniert und anders eingesetzt. Die für das Web 2.0 typische Technik, die die unerlässliche Interaktivität ermöglicht, wird daher auch in ganz anderen Anwendungen verwendet.

Bedrohungen der IT-Security aus Sicht der Unternehmen
(Quelle: IDC“Practices for Securing Web 2.0 (sponsored by Websense)” by  Brian E. Burke, June 2009)

In rein technischer Hinsicht gibt es für Unternehmensnetze deshalb keine Gefahren, die ausschließlich das Web 2.0 und Social Media betreffen. Das Web 2.0 teilt mit dem gesamten Web die technische Grundlage und damit zwangsläufig auch die technischen Risiken. Wer also Unternehmen über seine Web-2.0-Auftritte angreifen will, was heute überwiegend in kommerzieller Absicht geschieht – die Zeit der Spaß- und Profil-Hacker ist vorbei – der wird sich der bekannten und häufig angetroffenen Sicherheitslücken der Web-Applikationen bedienen. Er wird also zum Beispiel Schwachstellen wie DoS (Denial of Service), Cross Site Scripting (XSS), lückenhafte Fehlerbehandlung oder Pufferüberlauf nutzen, um sich Zugang zu einem System zu verschaffen. Wer umgekehrt seine Hausaufgaben in Sachen Web-Sicherheit gemacht hat, der muss sich auch wegen Web 2.0 keine Sorgen machen.

Schutz vor Angriffen

Da das Web 2.0 technisch das Web ist, schützen sich Unternehmen gegen die genannten Angriffe durch die bekannten Maßnahmen, also beispielsweise das Einrichten von Firewalls, Virtual Private Networks (VPN), durch eine frühzeitige Verschlüsselung, Content Filtering oder Intrusion Detection. Das Problem ist dabei nicht die Verfügbarkeit von Technologien, sondern dass viele Unternehmen in Sachen Web-Sicherheit generell noch immer nicht genügend Sorgfalt walten lassen. So brachte die oben zitierte Untersuchung von Websense auch zu Tage, dass

• 65 Prozent der befragten deutschen Unternehmen keine Echtzeitanalyse von Web Content  durchführen

• 60 Prozent über keine Lösung verfügen, um bösartigen Programmcode auf bekannten und vertrauten Webseiten zu suchen

• 59 Prozent kein URL-Re-Direct – die Weiterleitung von einer vertrauenswürdigen auf eine gefälschte Webseite – verhindern können

• 58 Prozent keinen Echtzeitschutz vor Malware verwenden

• 54 Prozent keine Vorkehrungen getroffen haben, mit denen der Ex-port vertraulicher Daten zu verhindern ist.

Diese Angaben sind besonders vor dem Hintergrund interessant, dass zugleich 86 Prozent der Befragten glauben, das eigene Unternehmen sei beim Umgang mit dem Web 2.0 gut geschützt. Die Wahrnehmung und die Wirklichkeit der Sicherheit klaffen also deutlich auseinander.