Mittwoch, 24. Februar 2016

Was ist, wenn jemand einen Phishing-Link postet?

Das Worst-Case-Szenario der Befürchtungen von Kollegen bei einer Collaboration Plattform besteht erfahrungsgemäß aus einer Kombination aus Verletzungen des Persönlichkeitsrechts, Urheberrechts und allgemeinen Sicherheitsbedenken. Vom potentiellen Shitstorm zu Lasten von Managern und Kollegen, über die Nutzung von urheberrechtlich geschützten Werken, und sei es nur eine Comic-Figur als Avatar-Bild, bis hin zu Bedenken, jemand könnte (gerne auch versehentlich) einen Link zu einer Phishing-Seite posten, reichen die Bedenken.

Einerseits durchaus berechtigt. All dies könnte passieren. Und - dann tritt sofort der selbstregulierende Mechanismus der Community ein. Hier sind einige der Elemente, die dies ermöglichen:

- vor der ersten Nutzung der Plattform (und alle 365 Tage wieder) bekommt der Nutzer die Nutzungshinweise angezeigt. Diese sind genau eine Seite lang, eine halbe Seite Englisch, die andere Hälfte die deutsche Version. Durch diese Kürze sollte eigentlich jeder die Nuzungshinweise lesen können.
Zusätzlich sind sie in (hoffen wir) allgemeinverständlicher Sprache geschrieben. Die einschlägigen Policies sind verlinkt.

- niemand ist anonym. Jeder Nutzer der Plattform kann ein Profil haben (wenn er möchte), mit Fotos, Avatar, Biographie, und Abteilungs- und Arbeitsplatzdaten. Aber mindestends muss jeder Nutzer einen Link auf das interne Telefonbuch haben.
Jeder Nutzer hat entweder einmal einen Arbeitsvertrag mit dem Unternehmen unterschrieben, oder arbeitet als Externer für eine Firma, die vertraglich mit dem Unternehmen verbunden ist.
Dies führt dazu, dass der Umgangston auf der Plattform sehr zuvorkommend, höflich und nett ist. Wenn ich eine Frage stelle, kann ich sicher sein, dass ich in Kürze eine Antwort von irgendeinem Nutzer (den ich gar nicht kennen muss) bekomme.
Es gibt keine Shitstorms, wie man sie aus Facebook und den Foren des Internets kennt.

 - zusätzlich, als letzten Rettungsanker der Governance, gibt es die "Missbrauch melden"-Funktionalität ("Report abuse") bei jedem einzelnen Stück Content.
Wenn ich einen Beitrag, eine Diskussion, eine Statusmeldung, eine Datei, oder was auch immer sehe, von dem ich der Meinung bin, dass sie unangebracht ist und gegen die Nutzungshinweise verstößt, habe ich Möglichkeiten.
Ich könnte meine Meinung in einem Kommentar schreiben.
Da kein Content anonym ist, sondern immer der Author verlinkt ist, könnte ich ihn kontaktieren: per Telefon, Instant Messaging, Email, oder einfach zu seinem Schreibtisch gehen.
Falls dies immer noch nicht reicht, kann ich als letztes Mittel immer noch auf "Missbrauch melden" klicken. Dann muss ich eine Kategorie des Missbrauchs angeben (z. B. "Spam", "Beleidigung", "Phishing"), und einen kurze Begründung dazu abgeben. Und schon ist der Content nicht mehr sichtbar.
Gleichzeitig wird ein definierter Prozess angestossen. Wie der Prozess im Detail aussieht, ist weniger wichtig, als dass es überhaupt einen mit den Stakeholdern (z. B. HR) abgesprochenen Prozess gibt. Auch kann der Prozess sich bei Bedarf ändern.

Der Prozess könnte so aussehen: der Autor bekommt vom Admin eine Email, das irgendjemand (und er weiss nicht wer!) seinen Beitrag anstößig findet, mit Kategorie und Begründung. Der Beitrag ist jetzt im Draft-Modus, nur noch der Author kann ihn sehen.
Falls der Author jetzt nichts tut, bleibt der Beitrag für immer im Draft-Modus und damit für andere nicht schtbar. HR wird nicht informmiert, das Ganze hat keine Konsequenzen.
Falls der Author aber der Meinung ist, sein Beitrag würde nicht gegen die Nutzungshinweise verstossen, und er möchte seinen Beitrag wieder sichtbar machen, hat er sieben Tage Zeit, Einspruch einzulegen. Dann würden sich der Business Information Security Officer seines Bereichs mit dem von HR zusammensetzen und final entscheiden.
Das Ganze kommt extrem selten vor. Um möglichst transparent zu sein, haben wir den Prozess genau beschrieben und veröffentlichen regelmässig Statistiken über die "Missbrauch melden"-Vorfälle pro Kategorie und Monat.

Zurück zur Ausgangsfrage: was ist, wenn jemand einen Phishing-Link postet? Nun, dann hat derjenige halt die Reputation, Phishing-Links zu posten. Möchte ich das wirklich?
Ausserdem sorgt die Community selbstregulierend in extrem kurzer Zeit dafür, dass der Link wieder verschwindet.

Welche Erfahrung hat Ihr mit selbstregulierenden Communities gemacht?

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren per Email