Hacker & Staaten austricksen: So schützt man Computer und Handy auf der Dienstreise
Das BSI empfiehlt, im Hotel lieber eine mobile Datenverbindung zu nutzen. Denn grundsätzlich sei es möglich, dass sich Dritte Zugang zu dem Netzwerk verschaffen und auf diese Weise Zugriff auf IT-Geräte erhalten, die in dem Netzwerk sichtbar sind.
Foto: imago imagesSpionage aus China, Sabotage aus Russland oder nordkoreanische Lösegeld-Hacker: Das Internet ist für Unternehmen zu einem einzigen internationalen Krisenherd geworden. In heimischen Netzwerken sind viele Firmen mittlerweile ganz gut gegen solche Bedrohungen gerüstet. Dienstreisen stellen die IT-Sicherheit aber vor besondere Herausforderungen. Das gilt insbesondere, wenn Grenzen überschritten werden.
„Bei Reisen ins Ausland muss immer eine Risikobewertung durchgeführt werden“, mahnt deshalb Joachim Wagner, stellvertretender Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ein Restrisiko bleibe bei Dienstreisen aber immer, warnt Joachim Selzer vom Chaos Computer Club. „Es gibt es zwar einige technische Maßnahmen, mit denen sich die entstehenden Risiken verringern lassen. Aber bei einigen Dingen kann die Firma nur hoffen, dass ihre Mitarbeiterinnen einigermaßen umsichtig agieren“, meint er. Denn die Liste mit Gefahren für die IT-Sicherheit ist lang.
Das beginnt laut dem Applikationsadministrator bei einem internationalen Logistikkonzern aus Bonn schlicht mit einem irgendwo vergessenen Laptop oder liegengelassenen Firmenunterlagen und Zugangskarten. Auch während Zugfahrten wurde schon so manches Dienstgeheimnis mitangehört oder vom Computerbildschirm mitgelesen. Die Liste von Bedrohungen „endet bei unbeaufsichtigt auf dem Zimmer gelassenen Rechnern, während die Reisende sich eine angenehme Stunde im Spa-Bereich des Hotels gönnt“, zählt Selzer auf.
IT-Sicherheit während der Dienstreise
Dabei drohen Gefahren nicht nur von krimineller Seite. „Je nach Reiseland besteht das Risiko, dass IT bei der Einreise untersucht oder durchsucht wird. Für ungesicherte IT-Geräte besteht dann das Risiko, dass Unternehmensgeheimnisse oder vergleichbare Daten abfließen“, gibt BSI-Sprecher Wagner zu bedenken. Einige Staaten würden Besucher außerdem verpflichten, bestimmte Apps zu installieren. Über die lassen sich häufig die Standortdaten der Nutzer kontrollieren. „Hier ist zu überlegen, ob ein Wegwerf-Gerät zum Einsatz kommt“, sagt Wagner. Zumindest sollte die Devise gelten: „Nutzen Sie im Zweifel ein eigens für die Reise eingerichtetes IT-Gerät, dessen Verlust zu verschmerzen wäre.“
Lesen Sie auch: Darum brauchen Unternehmen einen CISO
Für Laien mag das radikal klingen. Auch Selzer spricht von einem Extremvorschlag, der für die meisten Menschen übertrieben sein dürfte. Aber auch er betont: „Optimalerweise geben Sie Ihre Hardware nie aus der Hand. Wenn die Kontrolle mit Ihrem Gerät zur 'Prüfung' auch nur kurz außer Ihrer Sichtweite ist, können Sie dem Gerät nicht mehr vertrauen.“ Und: „Überlegen Sie, wie groß der Schaden für Ihre Firma wäre, wenn Ihr Laptop beschlagnahmt und Sie gezwungen werden, das Gerät zu entsperren.“
Checkliste für die Dienstreise
Die Experten für digitale Sicherheit raten zu einer umfangreichen Checkliste, ehe ein Beschäftigter eine Dienstreise ins Ausland antritt. Selzer empfiehlt, vorab diese Fragen zu klären:
- Was darf ich einführen, besitzen und wieder ausführen?
- Welche Informationen muss ich nach Aufforderung an wen übergeben?
- Welche Möglichkeiten haben Behörden, mich zu zwingen?
- Wie eng halten sie sich an geltendes Recht?
- Gibt es eventuell Programme, die unter Import- oder Exportverbote fallen?
- Darf mich die Polizei zwingen, mein Smartphone zu entsperren, um meine Mails, mein Social-Media-Profil und meinen GPS-Standortverlauf zu prüfen?
- Gibt es Bilder oder Filme, deren Besitz im Zielland verboten ist?
„Insbesondere die USA genießen einen schlechten Ruf, was Grenzkontrollen angeht“, warnt Selzer. So sollen Menschen bei der Einreise gezwungen worden sein, ihre Geräte zu entsperren und Firmengeheimnisse offenzulegen. Die USA würden aus Datenschutzsicht ohnehin als unsicherer Drittstaat gelten. Auch aus dem Vereinigten Königreich seien Fälle von Menschen bekannt, die verhaftet wurden, weil sie ihre Passwörter nicht herausgegeben haben, berichtet der IT-Experte.
Ihm sei aus seinem persönlichen Umfeld zwar kein Fall bekannt, in dem Grenzbeamte an sensibles Material gekommen wären. „Das heißt ausdrücklich nicht, dass so etwas nicht passiert und Sie unbesorgt alle möglichen Daten auf Geschäftsreisen mit sich herumschleppen können“, sagt der ehrenamtliche Datenschutzbeauftragte. „Ich überspitze es einmal: Wenn ich in die Niederlande fahre, treffe ich überhaupt keine Vorkehrungen abgesehen von denen, die ich immer treffe, wenn ich mein Notebook irgendwohin mitnehme“, sagt Selzer. „Wenn ich in die USA oder Saudi-Arabien fliege, überlege ich mir sehr genau, was ich mitnehme.“
Manchmal können selbst vermeintlich harmlose Dinge ernste Konsequenzen nach sich ziehen. So verbieten viele Länder die Einfuhr von pornografischem Material. Was genau darunter fällt, ist oft unklar. Selbst private Urlaubsbilder oder legal erworbene Zeitschriften und Filme können zum Stein des Anstoßes werden.
Das BSI rät, auf Reisen grundsätzlich alle IT-Geräte durch eine Reihe von Basismaßnahmen zu schützen. „Sensible Dateien und Informationen sollten grundsätzlich verschlüsselt gespeichert werden. In diesem Fall kann auch bei Verlust des Gerätes davon ausgegangen werden, dass diese Informationen nicht eingesehen werden können“, erklärt Wagner. Zum Basisschutz gehören ihm zufolge außerdem eine Displaysperre, sichere PIN und Passwörter oder das Verwenden biometrischer Merkmale. „Dabei sollte darauf geachtet werden, dass bei der Eingabe des jeweiligen Schutzfaktors dieser für Dritte nicht erkennbar wird. Dazu kann auch eine entsprechende Sichtschutzfolie auf dem Display hilfreich sein“, erklärt der BSI-Experte. Er rät obendrein dringend zur zwei-Faktor-Authentisierung. „Dies gilt insbesondere für dienstlich genutzte Geräte, die beispielsweise mit einer Chipkarte zusätzlich gesichert werden können.“
Wer es mit der Geheimhaltung besonders ernst meint, greift vielleicht auf Programme zurück, die versteckte Dateien auf einem Computer anlegen. Wird ein Notebook unter Druck entsperrt, wären diese verborgenen Dokumente weiterhin durch ein zweites Passwort geschützt unsichtbar. „So bestechend die Idee auch wirken mag – sie setzt voraus, dass die Behörden diesen Trick nicht kennen, worauf ich mich nicht verlassen kann“, warnt Stelzer. In dem Fall könnte die Sicherheitsvorkehrung nach hinten losgehen und das Misstrauen erhöhen.
Aber auch bei Dienstreisen innerhalb von Deutschland und Europa drohen Gefahren für die Datensicherheit. „Sie können keinem WLAN außer Ihrem eigenen trauen“, unterstreicht Selzer. „Wer garantiert denn, dass der vermeintliche Bahn-Hotspot wirklich vom Zug und nicht von einer gelangweilten Mitreisenden aufgespannt wurde, die mit ihrem Smartphone sehen will, was ihr Umfeld gerade treibt?“ Wer mit sensiblen Daten reist, muss ihm zufolge selbst bei USB-Ladebuchsen in Reisebussen, Zügen und Hotelzimmern Vorsicht walten lassen: „Sie wissen nicht, was sich hinter einer harmlos aussehenden Dose verbirgt.“
BSI-Sprecher Wagner empfiehlt Dienstreisenden: „Verfügt der Hotspot über eine schwache Verschlüsselung (etwa ein kurzes Passwort) oder gar keine Sicherheitseinstellungen, sollte auf die Nutzung verzichtet werden." Das gilt auch für das oft schnelle und deshalb unter Reisenden beliebte Gratis-WLAN in Caféketten oder Fast-Food-Filialen. Wagner rät außerdem, nur mit einem Benutzerkonto online zu gehen, das über eingeschränkte Zugriffsrechte verfügt, also keinesfalls mit Administrator-Rechten zu surfen. „Datei- und Verzeichnisfreigaben für Netzwerke sollten dabei deaktiviert werden“, erklärt er. „Welche Freigaben auf einem Windows-Rechner existieren, ist in der Systemsteuerung unter Verwaltung/Computerverwaltung zusammengefasst.“
Hacker im Hotel
Selzer hat insbesondere bei Hotel-WLANs mitunter eklatante Sicherheitslecks beobachtet. Manche Hotels, die auf Geschäftsreisende ausgelegt sind, bieten ihren Gästen noch die altmodische Internetverbindung per Kabel an. „Zumindest ist bei einem LAN sicher, dass es vom Hotel und nicht vom Nachbarzimmer kommt“, meint Selzer. „Aber trauen können Sie auch einem LAN nicht, weil Sie nicht wissen, wie gut das Hotel das Netz abgesichert hat.“ Das BSI empfiehlt, im Hotel lieber eine mobile Datenverbindung zu nutzen. Denn grundsätzlich sei es möglich, dass sich Dritte Zugang zu dem Netzwerk verschaffen und auf diese Weise Zugriff auf IT-Geräte erhalten, die in dem Netzwerk sichtbar sind.
Sogar verschlüsselte Verbindungen können laut dem CCC-Mitglied von Hackern geentert werden, die dann den kompletten Datenverkehr mitlesen können. „Das geht zwar nicht unbemerkt, und Browser sollten auf jeden Fall eine Zertifikatswarnung anzeigen. Aber leider habe ich auch immer wieder Apps erlebt, die sich von Zertifikatsfehlern nicht beeindrucken ließen und einfach weiter arbeiteten“, berichtet er.
Beide Experten betonen wiederholt, wie wichtig auf Reisen ein Virtual Private Network (VPN) ist. Die Technik verschlüsselt Daten und schützt auf diese Weise die Online-Identität des Nutzers. „Das VPN sollte so eingestellt sein, dass der komplette Datenverkehr durchgeleitet wird und das Gerät nicht noch auf einem Nebenkanal direkt ins Netz geht“, empfiehlt Selzer. Er mahnt: „In unbekannten Netzen sollte immer das dienstliche VPN genutzt werden.“ Ein VPN-Zugang ist laut Zimmermann selbst dann angezeigt, wenn ein Reisender im Firmennetzwerk eines Geschäftspartners online gehen möchte.
Lesen Sie auch: Wie sicher ist die eSim?
Wer hofft, dass das Diensthandy besser geschützt ist als der Computer, wird vom BSI enttäuscht. „Für Smartphones gilt grundsätzlich die gleiche Einschätzung wie für Laptops“, sagt Zimmermann. Selzer hingegen meint: „Das kommt auf Modell und Baujahr an. Apple hat sich in der Vergangenheit öffentlichkeitswirksam geweigert, den Behörden beim Entsperren von Geräten behilflich zu sein.“ Außerdem könne Apple seine iPhones besser flächendeckend mit Updates versorgen, als dies bei den vielen Herstellern und Modellen der Android-Plattform möglich sei. „In der Folge bedeutet dies, dass Android-Smartphones tendenziell mehr Sicherheitslücken aufweisen als die Apple-Konkurrenz“, bilanziert Selzer.
Bluetooth standardmäßig abschalten
Allerdings ist die beste Technik machtlos gegen Hacker, wenn der Nutzer arglos ist. „Zu meiner Überraschung gibt es auch heute noch Angriffe per SMS, bei denen mich die Nachricht zum Download einer Spionagesoftware zu überreden versucht“, sagt Selzer. Hier ist also auch auf Dienstreise höchste Vorsicht geboten, ebenso wie bei E-Mails mit verdächtigen Anhängen oder Links.
Bei der NFT-Technologie sind dem CCC-Experten bislang keine ernstzunehmenden Angriffe bekannt. „Was aber nicht heißt, dass es keine gibt“, wie er betont. „Wenn ich der Sache nicht traue, kann ich Bluetooth und NFC generell ausschalten und nur aktivieren, wenn ich sie auch wirklich brauche. Das wäre in meinen Augen nicht nur eine gute Idee im Ausland, sondern auch im inländischen Alltag.“ Das BSI rät ebenfalls, Schnittstellen nur dann zu aktivieren, wenn sie benötigt werden.
Nach der Rückkehr ist es laut den Experten Zeit für einen abschließenden Sicherheits-Check. „Es sollte geprüft und bewertet werden, ob das Gerät jemals unbeaufsichtigt gewesen oder abgegeben worden ist oder ob Apps installiert wurden. In einem solchen Fall ist es möglicherweise sinnvoll, das Gerät zurückzusetzen oder gar zu entsorgen“, sagt Zimmermann. „Wenn Sie nicht sicher sind, ob Ihr Gerät manipuliert wurde, setzen Sie es der Sicherheit halber komplett neu auf“, rät Selzer.
Seiner Ansicht nach liegt es letztlich an Unternehmen, mögliche Gefahren einer Dienstreise einzuschätzen. „Im Zweifelsfall muss Ihre Firma entscheiden, womit es Sie auf die Reise schickt und welche Risiken sie dabei einzugehen bereit ist“, sagt Selzer.
Für ihn selbst gelte bei Dienstreisen für seinen Arbeitgeber: „Ich kläre vorher, was sich auf dem Laptop befinden sollte und stelle klar, dass ich nicht den Helden spielen werde.“ Sollte er bei einer Grenzkontrolle gezwungen werden, seinen Dienstrechner zu entsperren, werde er dem Folge leisten: „Mein Arbeitsvertrag enthält keine Klauseln, die von mir verlangen, für meine Firma ins Gefängnis zu gehen.“
Lesen Sie auch: Waffen, Drogen, Terror – was Kriminelle mit ChatGPT treiben