Wie sich Unternehmen und Mitarbeiter gegen die Risiken schützen können

Social Bots – Gefahren und Lösungen

Ulf-Jost Kossol

© Shutterstock/MatiasDelCarmine

Automatisierte und manipulative Bots in den Social-Media-Kanälen können Unternehmen schaden. Mit ein wenig Grundwissen und gezielten Vorsichtsmaßnahmen lässt sich der Einfluss unerwünschter Bots jedoch beschränken.

Nicht immer stecken echte Menschen hinter Profilen in sozialen Netzwerken wie Facebook und Twitter. Immer häufiger trifft man dort auf Bots: automatisierte Accounts, die nur vortäuschen, unabhängige und echte Menschen zu sein. Wer genau hinter diesen Bots steckt, ob einzelne Personen, Unternehmen oder politische Interessensgruppen, ist meist schwer bis gar nicht nachvollziehbar. Das Ziel ist jedoch oft dasselbe: Sie wollen andere Nutzer beeinflussen, Meinungsbilder verfälschen oder sogar einen wirtschaftlichen Schaden erzeugen.

Bisher sind diese Bots im großen Stil im Vorfeld von Wahlen, besonders in den USA, aufgetaucht. Sie streuen bewusst falsche Informationen zu Politikern oder bauschen Details auf, um ihnen eine stärkere Bedeutung zu verleihen und damit Entscheidungen von Wählern zu steuern. Was in der Politik funktioniert, lässt sich auch für die Wirtschaft reproduzieren. Bots können durch ihre Aktivitäten ganz gezielt Kaufentscheidungen beeinflussen oder auch dem Image von Unternehmen schaden. So können diese automatisierten Accounts den allgemeinen Kundenservice von Unternehmen vermehrt schlechtmachen oder auch einzelne Produkte negativ bewerten. Laut einer Umfrage von TNS Infratest sind für viele Kunden Onlinebewertungen auf verschiedenen Kanälen inzwischen so wichtig, dass 88 Prozent der befragten Verbraucher gefälschte Bewertungen für geschäftsschädigend halten. Dieses Ergebnis zeigt, welchen Einfluss Bots heute auf das Business haben können.

Wie Social Bots technisch funktionieren

Die Bots sammeln Daten und können in sozialen Netzwerken autonom agieren, also Profile betreiben, Kommentare schreiben und auch Beiträge teilen. Damit Bots in den Netzwerken ihr Unwesen treiben können, benötigen sie ein registriertes Nutzerprofil. Die Beschaffung ist hier unterschiedlich. Je nach Kapazitäten der Hintermänner werden die Accounts entweder bei einschlägigen Anbietern gekauft, manuell oder automatisiert angelegt, oder es werden bestehende Accounts gehackt.

Anschließend können die Hacker per API, das eigentlich Entwicklern für die Programmierung von Plattformtools dienen soll, auf die Netzwerke zugreifen. Durch ein einfaches Python-Skript können die Bots beispielsweise darauf programmiert werden, einen Hashtag bei Twitter zu tracken und diese Tweets noch einmal neu zu twittern. Selbst für das eigentliche Steuern der Bots benötigen Kriminelle heute kaum noch spezielles Wissen. Die Programme dafür können sie ebenfalls kaufen, wobei es preisliche Unterschiede gibt, je nachdem, ob der Bot anschließend lediglich retweeten oder tatsächlich auch mit den anderen Nutzern interagieren soll.

Lesen Sie auch: Einen eigenen Chatbot bauen

Die Anwender der Bot Programme werden inzwischen auch immer cleverer, wodurch die Bots schwerer von echten Menschen zu unterscheiden sind. So bauen sie bewusst Fehler in Posts ein oder programmieren „Schlafenszeiten“, um den Rhythmus eines echten Menschen zu simulieren. Außerdem können sie auch nur ab und zu die Botschaften einstreuen, die sie eigentlich vermitteln wollen, während sie die meiste Zeit Sportvereinen folgen oder über andere eher „unwichtige“ Themen twittern. Das soll die Glaubwürdigkeit erhöhen und sie nicht zu schnell als „Hater Bots“ enttarnen.

Social Engineering und Reputationsschädigung durch Bots

Da die Technologie der lernfähigen, intelligenten Bots nach wie vor in den Kinderschuhen steckt, können Unternehmen davon ausgehen, dass die Häufigkeit der Bots, die Ähnlichkeit zu echten Menschen und damit deren Einfluss eher noch weiter zunehmen wird. Bereits heute legt eine Studie der University of Southern California nahe, dass es sich bei 15 Prozent aller Twitter-Accounts um Bots handelt. Auch kritisch für Unternehmen können die Bots somit im Bereich des Social Engineering werden. Hinter diesem Begriff verbirgt sich eine Form von Wirtschaftsspionage. Bots sprechen Mitarbeiter eines Unternehmens über Social Media privat an und verleiten sie dazu, Sicherheitsvorkehrungen zu umgehen und vertrauliche Unternehmensinformationen preiszugeben.

Wie können Mitarbeiter diese Bots jedoch erkennen, und was können Unternehmen tun, damit sie nicht zum Problem werden? Ganz konkret sind vor allem zwei verschiedene Ansätze, am besten in Kombination, wichtig, um den Einfluss der manipulativen Bots zu umgehen: Arbeitgeber müssen die Medienkompetenz der Mitarbeiter schulen und technische Tools einsetzen, um Fakeaccounts aufzudecken und zu blockieren.

Bessere Medienkompetenz der Mitarbeiter hilft gegen Bad Bots

Durch eine bessere Medienkompetenz können Mitarbeiter ihre Kommunikation auf sozialen Netzwerken mit allen damit zusammenhängenden Risiken besser einschätzen und kontrollieren. Dem Social Engineering wird damit ein Riegel vorgeschoben. Die Chefetage muss daher dem Risikopotenzial der „Sicherheitslücke Mensch“ auf sozialen Netzwerken eine Priorität beimessen und die Mitarbeiter aktiv in ihrem Verhalten schulen. Hierfür gibt es effizientere Möglichkeiten als reine Textdokumente, die den Mitarbeitern als Pflichtlektüre an die Hand gegeben werden. Workshops oder auch Webinare bewirken eine intensive und greifbare Auseinandersetzung mit dem Thema Social Bots und Verhalten in sozialen Netzwerken. Am besten funktionieren dabei praktische und schnell umzusetzende Tipps, damit nicht nur eine oberflächliche Theorie vermittelt wird, sondern gleich das passende Gegenmittel im Kampf gegen die „Bad Bots“ im Kopf der Kollegen ankommt. Die folgende Checkliste funktioniert gut, um herauszufinden, ob es sich bei einem Twitter-Account um einen echten Menschen oder aber um einen Bot handelt:

  • Ist der Twitter-Account verifiziert? Wenn dem so ist, zeigt sich das am blauen Häkchen direkt hinter dem Accountnamen im Profil und ist ein Indikator für Authentizität.
  • Wirken Profilbeschreibung und Profilname authentisch? Das bedeutet: Ist die Sprache menschlich und gleicht nicht der eines Roboters, ähnlich wie bei Übersetzungen durch Google Translate? Passt der Profilname zum Menschen und auch zu den Themen des Accounts?
  • Sieht man im Account ein echtes, also menschliches Foto? Bots verwenden nämlich tatsächlich gerne Comicbilder.
  • Wie viele Tweets veröffentlicht der Account durchschnittlich jeden Tag? Bots tweeten besonders häufig, gerne auch mehr als 50-mal pro Tag.
  • Reagiert der Account sehr häufig in unter einer Minute auf Tweets? Wenn ja, kann man durch die Schnelligkeit ebenfalls davon ausgehen, dass man es mit automatisierten Antworten zu tun hat.
  • Reagiert ein Account nur auf die immer gleichen Hashtags? Das würde einer eindimensionalen und zielgerichteten Programmierung entsprechen und deutet auf einen Bot hin.
  • Sind Kontextfragen für den Accountbetreiber problematisch? Wenn Fragen räumliches Denken erfordern, wie „Was liegt vor dir?“, stoßen Bots oft an ihre Grenzen, während ein echter Mensch keine Probleme mit der Beantwortung hat.
  • Wie wirken die Follower des vermeintlich automatisierten Accounts? Bots folgen mit Vorliebe anderen Bots. Wenn sich die oben aufgelisteten Merkmale bei den Followern des fragwürdigen Accounts häufen, liegt der Verdacht umso näher, dass es sich um einen Bot handelt.

Technik gegen Fake: Tools für das Aufdecken von Bots

Die Checkliste stellt nur einen Ausschnitt typischer Erkennungsmerkmale dar, mit denen sich automatisierte Accounts aufdecken lassen. Darüber hinaus können Unternehmen mit technischen Hilfsmitteln ihre Unternehmensaccounts auf Bots untersuchen.

Eines dieser technischen Hilfsmittel ist Botometer. Nutzer können durch Eingabe des Twitter-Namens die Aktivitäten von Twitter-Accounts analysieren. Das Tool vergibt Punkte, und je mehr Punkte ein Account erhält, desto höher die Wahrscheinlichkeit, dass es sich um einen Fakeaccount handelt. Unternehmen können Botometer auch per API einbinden und die Funktionen damit kommerziell für ihre eigenen Apps nutzen.

Mentionmapp legt das gesamte Netzwerk eines Twitter-Accounts offen. Dadurch ist das Tool besonders gut geeignet, um auch weitere Bots im Netzwerk eines
bereits identifizierten Bots zu finden.

Mit Crowdfire können Nutzer ihre Twitter-Follower analysieren und erhalten automatisch tägliche Updates nicht nur zur Anzahl ihrer Follower, sondern auch zu inaktiven Profilen oder zu denen, die ihnen wieder „entfolgt“ sind. Das Entfolgen kann insofern ein mögliches Indiz für Bots sein, als dass diese besonders darauf ausgelegt sind, eine große Followerschaft und damit ein breites Publikum für ihre Botschaften aufzubauen. Bots können somit Nutzern immer wieder folgen und entfolgen, bis diese schließlich den Account des Bots abonnieren, um dem Hin und Her ein Ende zu machen.

Unternehmen wie Unbotify, BehavioSec und CyKick Labs haben sich außerdem darauf spezialisiert, Bots zu entlarven. Allerdings sind die angebotenen Lösungen vor allem für die Analyse des eigenen Websitetraffics geeignet und weniger für Social Media. Die Analyse von Mausbewegungen auf der Website durch einen potenziellen Nutzer, Tastatureingaben oder die Informationen aus der Sensorik mobiler Endgeräte soll mit großer Sicherheit betrügerische Accounts aufdecken.

Das Projekt botswatch hat sich ebenfalls auf die Enttarnung von Bots in öffentlichen Debatten konzentriert, vor allem während Wahlen. Der vom botswatch-Team entwickelte Botindex definiert anhand einer Reihe von Parametern, wie hoch der Automatisierungsgrad eines Accounts ist. Unter anderem fließt die Anzahl der Tweets pro Tag in die Bewertung mit ein. Wie die obige Checkliste bereits nahelegt, werden Accounts ab 50 Tweets pro Tag als höchstwahrscheinlich automatisiert eingestuft.

Lesen Sie auch: DevOps mit ChatOps: Einfache Kommunikation, wenige Missverständnisse

Das Projekt botswatch hat sich ebenfalls auf die Enttarnung von Bots in öffentlichen Debatten konzentriert, vor allem während Wahlen. Der vom botswatch-Team entwickelte Botindex definiert anhand einer Reihe von Parametern, wie hoch der Automatisierungsgrad eines Accounts ist. Unter anderem fließt die Anzahl der Tweets pro Tag in die Bewertung mit ein. Wie die obige Checkliste bereits nahelegt, werden Accounts ab 50 Tweets pro Tag als höchstwahrscheinlich automatisiert eingestuft.

Während sich diese Programme auf die automatisierte Entdeckung von Fakeaccounts spezialisieren, gibt es auch Unternehmen, die sich dem journalistischen Faktencheck verschrieben haben, wie CORRECTIV. Das Unternehmen finanziert sich durch Stiftungsgelder sowie Spenden der Nutzer und deckt investigativ falsche Nachrichten auf. Die Macher merkten auch bereits an, dass dieser Faktencheck für soziale Netzwerke wie Facebook elementar sein könnte. Verleumdungen und Hetze könnten direkt enttarnt und als solche markiert werden, damit der Leser automatisch eine Warnung erhält. Bisher existieren diese Prüfungen jedoch kaum, weswegen Unternehmen und deren Mitarbeiter nach wie vor ein wachsames Auge haben müssen.

Es zeichnet sich ab, dass die Anzahl der Bots im Netz weiter zunimmt, und das nicht nur auf Social-Media-Kanälen. Es gibt verschiedene Initiativen wie PropStop und Social Media Forensics vom Bundesministerium für Bildung und Forschung, die versuchen, die negativen Einflüsse von Bots zu kontrollieren. Diese Initiativen können selbstverständlich nicht im Alleingang alle Probleme lösen, die durch manipulative Bots entstehen. Nicht alle Bots sind schlecht. Viele, wie beispielsweise Chatbots im Kundenservice, können Kunden und Unternehmen gleichermaßen helfen. Es ist jedoch zunehmend wichtiger, dass Mitarbeiter über die verschiedenen Typen von Bots und die damit im Zusammenhang stehenden Risiken aufgeklärt sind, um sich selbst und ihr Unternehmen schützen können.

Was Sie aus rechtlicher Sicht über Social Engineering wissen müssen [1]

Zunächst ist es wichtig zu verstehen, dass der Einsatz von Social Bots an sich gesetzlich nicht verboten ist. Allerdings ist das damit teilweise verfolgte Ziel des Ausspähens von Daten allgemein nach § 202a StGB oder speziell für den Fall des unbefugten Beschaffens von Geschäfts- oder Betriebsgeheimnissen nach § 17 UWG strafbar. Eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe können die Folge sein. Wenn Bots eingesetzt werden, um bestehende Accounts zu kapern, verstößt das gegen § 303a StGB und darüber hinaus auch gegen die allgemeinen Geschäftsbedingungen der Betreiber von sozialen Netzwerken. Aus Unternehmenssicht ist es daher von zentraler Bedeutung, bei den Arbeitnehmern ein Bewusstsein dafür zu schaffen, dass Unternehmensinterna das wesentliche Kapital eines Unternehmens sind. Das gilt nicht nur für offensichtliche Betriebsgeheimnisse wie Konstruktionszeichnungen oder finanzielle Kalkulationen, sondern auch für viele Bereiche, die dem privaten Bereich der Mitarbeiter deutlich näherstehen, wie die Rolle der einzelnen Kollegen oder Vertretungsstrukturen.

Es macht aus arbeitsrechtlicher Sicht tatsächlich keinen Unterschied, ob Arbeitnehmer geheime Informationen an Dritte in Form von natürlichen Personen oder an Bots in sozialen Netzwerken offenlegen. Der Verrat von Betriebs- und Unternehmensgeheimnissen ist verboten und strafbar. Für Arbeitnehmer kann es jedoch wesentlich schwieriger sein, ein gezieltes Ausspionieren von Unternehmensgeheimnissen durch Bots zu erkennen. Das kann dazu führen, dass Personen möglicherweise Geheimnisse preisgeben, ohne sich dessen bewusst zu sein. Damit die Mitarbeiter ein besseres Gespür dafür entwickeln, sollten Unternehmen sie regelmäßig sowohl im Hinblick auf die Bedeutung von Betriebsgeheimnissen als auch auf mögliche Formen von Wirtschaftsspionage schulen und klare Handlungsanweisungen vorgeben.

Auch sind Unternehmen verpflichtet, angemessene Maßnahmen zur Herstellung von IT-Sicherheit zu ergreifen. Mitarbeiterschulungen werden, insbesondere unter der ab dem 25. Mai anzuwendenden Datenschutz-Grundverordnung (DSGVO), damit immer mehr zu einem Muss. Auch Arbeitnehmer haben Pflichten zu erfüllen. Wenn sie verdächtige und potenziell betriebsschädigende Social Bots vermuten, müssen sie das dem Arbeitgeber melden und ihn damit bei der Aufklärung unterstützen. Typischerweise können sich Arbeitnehmer in diesen Fällen an die IT-Abteilung und den Datenschutzbeauftragten wenden. Bei Zweifeln über die zuständige Stelle ist in jedem Fall eine Meldung an den Vorgesetzten erforderlich.

MEHR ZUM THEMA:

DevOps Stories: ChatOps als Konzept der Zusammenarbeit

Geschrieben von
Ulf-Jost Kossol
Ulf-Jost Kossol
Ulf-Jost Kossol ist Head of Social Business Technology bei T-Systems Multimedia Solutions. Nach einer 14-jährigen Offizierslaufbahn und nebenberuflichen Gründungen in der New Economy, zog es den passionierten Social Media Enthusiasten ganz in die digitale Welt.
Kommentare

Hinterlasse einen Kommentar

1 Kommentar auf "Social Bots – Gefahren und Lösungen"

avatar
400
  Subscribe  
Benachrichtige mich zu:
trackback

[…] Automatisierte und manipulative Bots in den Social-Media-Kanälen können Unternehmen schaden mehr… […]