Mobiles Arbeiten auf Smartphones, Laptops, Tablets und Bluetooth-Geräten ist unsicher: Das ist die bittere Realität für alle Mitarbeiter, die häufig geschäftlich unterwegs sind. Die einfache Grundregel zur Abwehr von Cybersicherheitsrisiken lautet deshalb, sich auf Geschäftsreisen (oder in den Ferien) in Hotels nur in vertrauenswürdige Netzwerke einzuwählen — in Sicherheitsschulungen wird das immer wieder betont. Und trotzdem gibt es weiterhin beträchtliche Gefahren durch Man-in-the-Middle-Angriffe beispielsweise, oder dass Daten in kompromittierten Netzwerken abgegriffen werden. Vermeintlich vertrauenswürdige Netzwerke wie das WLAN-Angebot der bevorzugten Hotelkette sind nicht selten unsichere Netze, die mit Vorsicht zu genießen sind.
Für Viel- und Urlaubsreisende stellt sich also die Frage, welche Vorkehrungsmaßnahmen zum Schutz persönlicher und geschäftsspezifischer Informationen unterwegs getroffen werden sollten…
Je nach Aufenthaltsort sind die Risiken unterschiedlich groß. In einigen Regionen empfehlen sich besonders hohe Sicherheitsmaßnahmen, wie der Einsatz von Prepaid-Handys und nur kurzzeitig genutzte Laptops. In bestimmten Ländern ist die akute IT-Gefahrenlage nun einmal sehr hoch. Hier versteht es sich von selbst, dass man beim Aufbau von Internetverbindungen damit rechnen muss, überwacht und vielleicht auch mit Malware infiziert zu werden. Unternehmensmitarbeiter müssen sich dieser Gefahren jederzeit bewusst sein, und hoffentlich haben die betreffenden IT-Abteilungen und Sicherheitsbeauftragten vor Reisebeginn entsprechende Vorsichtsmaßnahmen getroffen.
Tatsache ist, dass der Einsatz von Computertechnologie während internationaler Geschäftsreisen nicht sicher ist. Nicht nur bei der Infrastruktur begegnen wir anderen Voraussetzungen, die wir so aus der Heimat nicht gewohnt sind. Und das hat entsprechende Auswirkungen auf die Informationssicherheit:
1. Bestimmte Fluggesellschaften sind in vielen asiatischen Ländern zum Beispiel nicht per Internetverbindung erreichbar. Zugriffe auf diese Firmenseiten sind nur wie folgt möglich:
a. über ein virtuelles privates Netzwerk (VPN), das den gesamten Datenverkehr über das Unternehmensnetz leitet — ganz so, als befände man sich zuhause — oder
b. über einen autorisierten Reisedienst wie Expedia.
Beachtenswert ist auch, dass der Internet-Datenverkehr nicht in allen Ländern der Welt gleich behandelt wird. Das Abrufen persönlicher Lieblingsseiten im Web wird womöglich im Ausland überwacht, beschränkt oder von vorneherein unterbunden.
Tipp 1: Beachten Sie, welche Gesetze im Zielland gelten und was das für Onlineshopping beispielsweise bedeutet. Bestimmte Produkte dürfen Sie womöglich vom Gastland aus nicht bestellen und an ihre Heimatadresse verschicken.
2. Weltweite Geschäftsreisende führen häufig eine Vielzahl an Bluetooth-Geräten mit. Beim Pairing mit dem eigenen Smartphone oder Tablet ist das in der Regel kein Problem. Die automatische Pairing-Funktion sollte indes nicht aktiviert sein, um nicht ungewollt Verbindungen mit einem Angreifer in Funkreichweite zu riskieren. Viele Geräte lassen zudem Zugriffe auf das eingebaute Mikrofon zu. Werden Bluetooth-Lautsprecher zum Aufladen im Hotelzimmer zurückgelassen, können sie auch zum Abhören von Gesprächen missbraucht werden. Kein unrealistisches Szenario: Einfach mal das Bluetooth-Verbindungsmenü öffnen und prüfen, welche Geräte gekoppelt werden können — auch ohne PIN-Eingabe. Sie werden überrascht sein!
Tipp 2: Bluetooth abschalten, wenn der Dienst nicht benötigt wird. Wichtig ist, dass keine Verbindungen mit anderen Bluetooth-Geräten eingerichtet sind, die aktuell nicht gebraucht werden. Eine Deaktivierung von Verbindungen mit nicht genutzten Geräten verhindert, dass Sie sich der Gefahr von Abhörversuchen oder anderen Angriffen aussetzen. Das empfiehlt sich auch für kurzzeitige Aufenthaltszeiten in Mietwagen, Taxis oder Flughafen-Shuttles. Verbindungsanfragen, die auf dem Smartphone, Tablet oder Laptop erscheinen oder Nachrichten über herunterzuladende Dateien (beispielsweise über Apples AirDrop-Dienst) sollten sofort gelöscht und die betreffenden Dienste vorsichtshalber deaktiviert werden.
3. Vorsicht vor WLAN-Risiken! Gerade auf internationalen Geschäftsreisen darf der Kontakt zum Firmennetz nicht abreißen, um E-Mail, geschäftliche Applikationen, lokale und Cloud-Ressourcen abrufen zu können. Viele Business-Anwendungen und wichtige Dienste lagern in der Cloud. Das heißt aber nicht, dass jede verfügbare WLAN-Verbindung genutzt werden sollte, um einen Direktzugriff auf die Cloud-Ressourcen zu bekommen. Ist das lokale Netz nicht adäquat konfiguriert, was zum Beispiel die Authentifizierungsmaßnahmen betrifft, drohen Gefahren durch eingeschleuste Überwachungstools oder Schadprogramme.
Tipp 3: Passende Sicherheitsvorkehrungen müssen stets eingehalten werden, um den Diebstahl von Zugangsdaten oder Verletzungen beim Datenschutz auszuschließen. Alle Organisationen sollten Multifaktor- oder Zweifaktor-Authentifikationssysteme beim Zugriff auf sensible Dateien durchsetzen — beim Abrufen von E-Mails und der Einwahl auf Benutzerkonten gleichermaßen. Ohnehin sollte die Nutzung von Applikationen und IT-Ressourcen kontextabhängig über Zugriffssteuerungslisten (Access Control Lists, ACL) begrenzt werden, damit Datenverbindungen beispielsweise nur vom Home Office aus oder ausschließlich über VPN-Tunnel möglich sind. Auf diese Weise bleibt der Datenverkehr stets verschlüsselt und kann nicht eingesehen oder überwacht werden, so dass Ausspähversuche ins Leere laufen.
4. Auf Auslandsreisen gibt es immer eine erhöhte Gefahr, dass Ihnen jemand unbemerkt über die Schulter auf das Notebook oder Tablet schaut. Das könnte in der Flughafenlounge oder vom Nachbarsitz aus im Flieger geschehen — womöglich lassen sich auf diese Weise sensible Daten auf dem Bildschirm einsehen. Je länger Blickkontakt besteht, umso größer die Gefahr, dass private oder geschäftliche Infos ausgespäht werden.
Tipp 4: Wer häufig geschäftlich unterwegs ist, kommt um den Kauf eines Privacy Filters nicht herum. Privacy Filter sind in unterschiedlichen Größen erhältliche Bildschirmfolien, die visuellen Schutz vor fremden Blicken bieten. Bei schrägen Sichtwinkeln sind die Daten auf dem Display nicht mehr sichtbar, so dass nur der Besitzer direkt vor dem Mobilgerät alle Informationen sehen kann.
Schlussbemerkung über Computersicherheit auf Reisen
Internationale Geschäftsreisen bergen immer ein höheres Risiko, dass digitale Daten geraubt werden. Erfahrene Geschäftsleute sind sich dieser Gefahren bewusst, aber vor allem unerfahrene Teams und junge Berufsanfänger rechnen häufig nicht damit, dass die Nutzung sozialer Medien unterwegs und Abrufe von Geschäftsdaten nicht harmlos sind. Die genannten Empfehlungen entschärfen die Gefahrenlage, damit Business-Daten von internationalen Geschäftsreisenden sicher bleiben.
Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.
