Das Verbot sozialer Medien und Messaging-Apps ist ein großes (und kostspieliges) Problem

Unternehmen und ihre Compliance-Verantwortlichen kämpfen darum, Kommunikationsverbote außerhalb des Kanals in den Griff zu bekommen, indem sie ihren Mitarbeitern die Nutzung von Apps wie WeChat, WhatsApp oder TikTok verbieten, um nur einige zu nennen.

In einer Studie gaben 61,5 % der befragten Compliance-Verantwortlichen an, dass „es ihr größtes Anliegen sei, ihre Mitarbeiter dazu zu bringen, die Regeln für die elektronische Kommunikation einzuhalten“. Die Umfrage ergab außerdem, dass nur 3 % der Compliance-Beauftragten angaben, dass sie „fest daran glauben“, dass Kanalverbote wirksam sind, um eine konforme Kommunikation in ihrem Unternehmen sicherzustellen.

Dieses Gefühl der Sinnlosigkeit bleibt bestehen, obwohl die meisten (59 %) aufgrund der zunehmenden behördlichen Kontrolle die Nutzung von Social Media und Messaging-Apps verboten haben.

Rob Mason, Director of Regulatory Intelligence bei Global Relay, erklärt, Kanalverbote seien wirkungslos, weil sie fast immer umgangen würden – daher die große Zahl an Geldstrafen, die in den letzten Jahren verhängt wurden.

Zusätzlich zu den FTC-Bußgeldern besteht für Unternehmen, die Schatten-IT und Off-Channel-Kommunikation zulassen, auch ein höheres Risiko von Datenlecks und Sicherheitsverstößen, da IT- und Sicherheitsteams keine Aufsicht oder Kontrolle darüber haben, wie Mitarbeiter diese Tools verwenden und welche Daten verarbeitet werden geteilt.

Langfristig dürften Unternehmen im Zusammenhang mit der Schatten-IT auch höhere Kosten verursachen.

„Während es Kanalverbote gibt, werden wir immer eine unterschwellige Off-Channel-Kommunikation für Unternehmen erleben“, sagt er. „Ich glaube, dass Kanalverbote jetzt eine vorübergehende taktische Maßnahme sind, während Strategien eingesetzt werden, um das Risiko effektiver zu managen.“

Er fügt hinzu, dass es schon immer ein Verbot nicht genehmigter Kommunikationskanäle gegeben habe.

„Die Kollegen sind sich darüber im Klaren, dass sie geschäftsbezogene Kommunikation auf aufgezeichneten Medien durchführen müssen, die dann der Überwachung und Aufzeichnung gemäß den Vorschriften unterliegen“, stellt er fest. „Damit wird die Einhaltung interner Richtlinien gewährleistet, die relevante Vorschriften widerspiegeln.“

Als COVID-19 zuschlug, erforderte der Lockdown, dass die Menschen von zu Hause aus arbeiten mussten, eine „Überwachung“ der Mobilfunkverbotsrichtlinie fand jedoch nicht statt, selbst als die Grenzen zwischen privater und geschäftlicher Kommunikation zunehmend verschwimmten.

Dennoch gab es eine eindeutige und weit verbreitete Nutzung von WhatsApp und anderen nicht genehmigten Kommunikationskanälen für geschäftliche Zwecke – was erstmals bei einer SEC-Durchsuchung aufgedeckt wurde.

Dies führte dazu, dass gegen fast alle großen Banken Sanktionen und Bußgelder verhängt wurden, was derzeit 18 Monate nach der ersten Bekanntmachung noch andauert.

„Die Strafen für Verstöße gegen diese Verbotsrichtlinien wurden erhöht – aber das dient der Abschreckung und nicht der Kontrolle“, sagt Mason.

John Harden, leitender Produktmanager bei Auvik, sagt, dass die Wirksamkeit im Wesentlichen von den Schritten des Verbots abhängt.

„Zum Beispiel ist ein Memo an die Mitarbeiter der Organisation ohne Durchsetzungs-, Überwachungs- oder sekundäre IT-Maßnahmen zum Scheitern verurteilt“, sagt er. „So wie Wasser den Weg des geringsten Widerstands einschlägt, haben wir hier bei Auvik gesehen, dass Mitarbeiter dazu neigen, Schatten-IT zu nutzen, um ihre Aufgaben zu erleichtern.“

Es ist wichtig zu wissen, ob das Ziel darin besteht, das Kästchen „Wir haben etwas getan“ anzukreuzen, oder ob das Ziel darin besteht, dieses Kästchen durchzusetzen und sicherzustellen, dass es durch Schutzmaßnahmen gestoppt wird.

„Mitarbeiter nutzen Off-Channel-Kommunikation nicht, weil sie gegen IT-Richtlinien verstoßen wollen“, fügt er hinzu. „Sie tun es, weil es für sie oder ihre Kunden einfacher ist.“

Harden sagt, dass Unternehmen in diesem Fall die Schatten-IT opportunistisch betrachten müssen – sie müssen verstehen, warum Tools wie WhatsApp und WeChat verwendet werden, und versuchen, intern mit ihrem Tech-Stack Innovationen voranzutreiben.

„Einfach den Mitarbeitern zu sagen, sie sollen ein sanktioniertes Werkzeug anstelle eines von ihnen bevorzugten verwenden, wird nicht viel bewirken“, sagt er. „Mitarbeiter haben ihre Vorlieben und IT-Leiter sollten sich anhören, warum Mitarbeiter lieber ein nicht genehmigtes Tool verwenden, und dies als Gelegenheit für Innovationen nutzen, um den Bedürfnissen der Mitarbeiter gerecht zu werden und gleichzeitig die Vorschriften einzuhalten.“

Chris Audet, VP-Analyst bei Gartner, erklärt, dass Compliance-Beauftragte in vielen Fällen dazu tendieren, Risiken rückwirkend zu überwachen und sich auf eingetretene Risikoereignisse zu konzentrieren, anstatt einen präskriptiven Ansatz zur Bewertung von wahrscheinlich eintretenden Risikoereignissen zu verfolgen.

„Die meisten Compliance-Verantwortlichen sind relativ neu im Umgang mit generativen KI-Tools und anderen Tools, die möglicherweise erweiterte prädiktive Erkenntnisse darüber liefern, wo diese Risiken auftreten“, sagt er. „Das ist eine Veränderung, die jeder Compliance-Verantwortliche anzustreben versucht: Wie kann ich strengere Vorgaben machen? Wie kann ich herausfinden, wo die Risiken wahrscheinlich auftreten, und die Technologie als Wegbereiter dafür nutzen?“

Audet fügt hinzu, dass dieser Ansatz eine engere Zusammenarbeit zwischen Compliance-Beauftragten, IT-Abteilungen und Interessengruppen wie dem Chief Information Security Officer erfordert.

„Compliance muss mit IT zusammenarbeiten, um Mitarbeiter auf vollständiger verwaltete Unternehmensgeräte umzustellen, die Dienste und Anwendungen auf diejenigen beschränken, die vollständig überwacht werden können“, sagt er. „Aber wir wissen natürlich, dass die Leute tun, was sie tun werden, und dass sie möglicherweise zu einem anderen Schritt auf ihrem eigenen persönlichen Gerät übergehen.“

Mason warnt davor, dass sich innerhalb von Unternehmen unbekannte Risiken zusammenbrauen, wenn die Kommunikation nicht erfasst wird – Risiken, die sie weder verhindern noch mindern können.

„Es bedeutet auch, dass Unternehmen die regulatorischen Erwartungen an die Führung von Aufzeichnungen nicht erfüllen – was sie einem noch größeren finanziellen und rufschädigenden Schaden aussetzt“, sagt er.

Er erklärt, dass es unerlässlich ist, den Aufsichtsbehörden nachzuweisen, dass das Risiko bewertet und geeignete Kontrollen eingesetzt wurden, und weist darauf hin, dass jetzt Technologielösungen verfügbar sind, die WhatsApp und andere Kanäle zur Überwachung und Aufzeichnung erfassen.

„Unternehmen erkennen jetzt, dass die Aufsichtsbehörden verstehen müssen, wie Unternehmen mit diesem Risiko umgehen, und daher angemessene Kontrollen aufbauen müssen, die im Falle einer Anfechtung verteidigt werden können“, sagt Mason.

Was bedeutet die TikTok-Debatte für IT-Führungskräfte in Unternehmen?

Threads-Boom fordert Twitter-Unternehmensthron heraus

Warum Technologie und Mitarbeiterdatenschutz im Widerspruch stehen