Mittwoch, 24. Februar 2016

Was ist, wenn jemand einen Phishing-Link postet?

Das Worst-Case-Szenario der Befürchtungen von Kollegen bei einer Collaboration Plattform besteht erfahrungsgemäß aus einer Kombination aus Verletzungen des Persönlichkeitsrechts, Urheberrechts und allgemeinen Sicherheitsbedenken. Vom potentiellen Shitstorm zu Lasten von Managern und Kollegen, über die Nutzung von urheberrechtlich geschützten Werken, und sei es nur eine Comic-Figur als Avatar-Bild, bis hin zu Bedenken, jemand könnte (gerne auch versehentlich) einen Link zu einer Phishing-Seite posten, reichen die Bedenken.

Einerseits durchaus berechtigt. All dies könnte passieren. Und - dann tritt sofort der selbstregulierende Mechanismus der Community ein. Hier sind einige der Elemente, die dies ermöglichen:

- vor der ersten Nutzung der Plattform (und alle 365 Tage wieder) bekommt der Nutzer die Nutzungshinweise angezeigt. Diese sind genau eine Seite lang, eine halbe Seite Englisch, die andere Hälfte die deutsche Version. Durch diese Kürze sollte eigentlich jeder die Nuzungshinweise lesen können.
Zusätzlich sind sie in (hoffen wir) allgemeinverständlicher Sprache geschrieben. Die einschlägigen Policies sind verlinkt.

- niemand ist anonym. Jeder Nutzer der Plattform kann ein Profil haben (wenn er möchte), mit Fotos, Avatar, Biographie, und Abteilungs- und Arbeitsplatzdaten. Aber mindestends muss jeder Nutzer einen Link auf das interne Telefonbuch haben.
Jeder Nutzer hat entweder einmal einen Arbeitsvertrag mit dem Unternehmen unterschrieben, oder arbeitet als Externer für eine Firma, die vertraglich mit dem Unternehmen verbunden ist.
Dies führt dazu, dass der Umgangston auf der Plattform sehr zuvorkommend, höflich und nett ist. Wenn ich eine Frage stelle, kann ich sicher sein, dass ich in Kürze eine Antwort von irgendeinem Nutzer (den ich gar nicht kennen muss) bekomme.
Es gibt keine Shitstorms, wie man sie aus Facebook und den Foren des Internets kennt.

 - zusätzlich, als letzten Rettungsanker der Governance, gibt es die "Missbrauch melden"-Funktionalität ("Report abuse") bei jedem einzelnen Stück Content.
Wenn ich einen Beitrag, eine Diskussion, eine Statusmeldung, eine Datei, oder was auch immer sehe, von dem ich der Meinung bin, dass sie unangebracht ist und gegen die Nutzungshinweise verstößt, habe ich Möglichkeiten.
Ich könnte meine Meinung in einem Kommentar schreiben.
Da kein Content anonym ist, sondern immer der Author verlinkt ist, könnte ich ihn kontaktieren: per Telefon, Instant Messaging, Email, oder einfach zu seinem Schreibtisch gehen.
Falls dies immer noch nicht reicht, kann ich als letztes Mittel immer noch auf "Missbrauch melden" klicken. Dann muss ich eine Kategorie des Missbrauchs angeben (z. B. "Spam", "Beleidigung", "Phishing"), und einen kurze Begründung dazu abgeben. Und schon ist der Content nicht mehr sichtbar.
Gleichzeitig wird ein definierter Prozess angestossen. Wie der Prozess im Detail aussieht, ist weniger wichtig, als dass es überhaupt einen mit den Stakeholdern (z. B. HR) abgesprochenen Prozess gibt. Auch kann der Prozess sich bei Bedarf ändern.

Der Prozess könnte so aussehen: der Autor bekommt vom Admin eine Email, das irgendjemand (und er weiss nicht wer!) seinen Beitrag anstößig findet, mit Kategorie und Begründung. Der Beitrag ist jetzt im Draft-Modus, nur noch der Author kann ihn sehen.
Falls der Author jetzt nichts tut, bleibt der Beitrag für immer im Draft-Modus und damit für andere nicht schtbar. HR wird nicht informmiert, das Ganze hat keine Konsequenzen.
Falls der Author aber der Meinung ist, sein Beitrag würde nicht gegen die Nutzungshinweise verstossen, und er möchte seinen Beitrag wieder sichtbar machen, hat er sieben Tage Zeit, Einspruch einzulegen. Dann würden sich der Business Information Security Officer seines Bereichs mit dem von HR zusammensetzen und final entscheiden.
Das Ganze kommt extrem selten vor. Um möglichst transparent zu sein, haben wir den Prozess genau beschrieben und veröffentlichen regelmässig Statistiken über die "Missbrauch melden"-Vorfälle pro Kategorie und Monat.

Zurück zur Ausgangsfrage: was ist, wenn jemand einen Phishing-Link postet? Nun, dann hat derjenige halt die Reputation, Phishing-Links zu posten. Möchte ich das wirklich?
Ausserdem sorgt die Community selbstregulierend in extrem kurzer Zeit dafür, dass der Link wieder verschwindet.

Welche Erfahrung hat Ihr mit selbstregulierenden Communities gemacht?

Freitag, 12. Februar 2016

Wieso eine Collaboration Plattform auf drei Ebenen für den Betriebsrat erstrebenswert ist

Eines der spannendsten Themen bei der Einführung einer Collaboration Plattform ist der Betriebsrat. Auf praktisch jeder Veranstaltung in Deutschland kommt mindestens einmal eine Frage zu dem Thema auf. Und während ich schon diverse Horrorgeschichten über endlos verzögerte Einführungen und sogar gestoppte Projekte gehört habe, möchte ich hier einmal für Verständnis für die Arbeit der Betriebsräte werben.

Der Betriebsrat muss für die Rechte der Mitarbeiter eintreten. Dazu gehört, daß Mitarbeiter nicht überwacht und nicht kontrolliert werden, daß die einschlägigen Betriebsverfassungs- und Datenschutzgesetze eingehalten werden, daß die Mitarbeiter ein Mitbestimmungsrecht bei der Einführung neuer, die Mitarbeiter betreffende Systeme haben, und daß dem Mitarbeiter keine Nachteile entstehen, selbst wenn er die Collaboration Plattform nicht aktiv nutzt.
Der Verzicht auf Überwachung und Kontrolle kann, falls dies nicht grundsätzlich technisch ausgeschlossen ist, durch die Zusicherung des Plattformbetreibers erfolgen. Dazu muss zuerst ein entsprechendes Vetrauensverhältnis vorhanden sein, welches durch die extrem frühzeitige Einbindung der Betriebsratsgremien noch weit vor dem Launch der Plattform aufgebaut werden kann. Ein gewisser Track Record beim zeitnahen Umsetzen von Anforderungen des Betriebsrats kann auch nicht schaden.

Eine Collaboration Plattform ist (meines Wissen nach, bin kein Experte im Arbeitsrecht) mitbestimmungspflichtig. Sie muss den entsprechenden Betriebsratsgremien vorgestellt werden. Braucht es immer eine explizite Betriebsvereinbarung dazu? In manchen Unternehmen hat eine nachträgliche Erwähnung im Anhang zu einer übergreifenden Betriebsvereinbarung zur Mitarbeiterdatenverarbeitung gereicht, aber andere Unternehmen berichten über unterschiedliche Ansätze.

Datenschutzrechtlich sollten jeder Mitarbeiter die Möglichkeit haben, selbst zu bestimmen, welche seiner persönlichen Daten über die für die Autorisierung benötigten Name und Email-Adresse hinaus für welche Nutzergruppen (z. B. allen Nutzern oder nur den Kollegen, denen sie folgen) sichtbar sind.
Für die gesamte Plattform ist es hilfreich, wenn die Daten im eigenem Rechenzentrum in der EU gespeichert werden.

Darüber hinaus sollte eine Collaboration Plattfom auf drei Ebenen für den Betriebsrat unbedingt unterstützenswert sein:

1. auf der Ebene des Gesamt-Unternehmens: der Betriebsrat möchte mehr Demokratie und Transparenz im Unternehmen. Eine Collaboration Plattform kann extrem viel zu Demokratie und Transparenz im Unternehmen beitragen: jeder Mitarbeiter kann dort mit Senior-Managern kommunizieren, unabhängig vom Hierarchiegrad. Und Entscheidungen können offen und transparent kommuniziert und diskutiert werden.

2. auf der Ebene der einzelnen Betriebsratsgruppe: sie können dort Informationen wie Mitarbeitervergünstigungen oder Betriebsvereinbarungen publizieren und aktuelle Entwicklungen mit Diskussionen begleiten.

3. auf der Ebene jedes einzelnen Betriebsratsmitglieds: Betriebsräte wollen alle paar Jahre wiedergewählt werden. Auf der Plattform können sie offen für Mitarbeiterbelange eintreten, als Diskussionspartner zur Verfügung stehen, ihre Arbeit für andere Mitarbeiter sichtbar machen, somit an Popularität und letzen Endes auch an Stimmen bei der Betriebsratswahl gewinnen.

Welche Erfahrungen habt Ihr mit Euren Betriebsräten gemacht?

Freitag, 5. Februar 2016

Fintech Ökosystem Frankfurt

In Frankfurt entsteht gerade ein Ökosystem für Fintech-Startups. Vier Events in den letzten drei Wochen haben dazu massiv beigetragen:

- der Fintech-Inkubatoren-Pitch in der Zentrale, über den ich geschrieben habe: http://thomasolsende.blogspot.de/2016/01/fintech-inkubatoren-in-frankfurt.html


- der Fintech-Headquarter-Kickoff 2016 im Bahnhofsviertel, bei dem ich eingeladen war: https://fintechheadquarter.de/

- der erste Between the Towers-Event des Jahres mit der Wahl zum Fintech des Jahres 2015, an dem ich ebenfalls teilgenommen habe: http://www.handelsblatt.com/finanzen/anlagestrategie/trends/fintech-des-jahres-ein-bankenhelfer-und-ein-bisschen-korea/12908342.html

Spannend finde ich dabei die sehr unterschiedlichen Ansätze: vom Inkubator über Accelerator und leerstehenden Büroetagen zum Coworkingspace, von informeller Jeans- und Hoodie-Atmosphäre über Lokationen in stylischen Hipster-Szenevierteln bis hin zu etablierten, anzuglastigen Events der Finanzindustrie. Da sollte eigentlich für jedes Fintech-Startup etwas dabei sein.

Ich weiss nicht, ob der Erfolg eines Startups grundsätzlich vom Standort abhängig ist. Ich weiss nur, daß die Nähe von etablierten Finanzinstitutionen und Regulatoren, das Know-How von Ex-Bankern und die Existenz eines funktionierenden Ökosystems bestimmt nicht von Nachteil sind.