Spionage aus China, Sabotage aus Russland oder nordkoreanische Lösegeld-Hacker: Das Internet ist für Unternehmen zu einem einzigen internationalen Krisenherd geworden. In heimischen Netzwerken sind viele Firmen mittlerweile ganz gut gegen solche Bedrohungen gerüstet. Dienstreisen stellen die IT-Sicherheit aber vor besondere Herausforderungen. Das gilt insbesondere, wenn Grenzen überschritten werden.
„Bei Reisen ins Ausland muss immer eine Risikobewertung durchgeführt werden“, mahnt deshalb Joachim Wagner, stellvertretender Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ein Restrisiko bleibe bei Dienstreisen aber immer, warnt Joachim Selzer vom Chaos Computer Club. „Es gibt es zwar einige technische Maßnahmen, mit denen sich die entstehenden Risiken verringern lassen. Aber bei einigen Dingen kann die Firma nur hoffen, dass ihre Mitarbeiterinnen einigermaßen umsichtig agieren“, meint er. Denn die Liste mit Gefahren für die IT-Sicherheit ist lang.
Das beginnt laut dem Applikationsadministrator bei einem internationalen Logistikkonzern aus Bonn schlicht mit einem irgendwo vergessenen Laptop oder liegengelassenen Firmenunterlagen und Zugangskarten. Auch während Zugfahrten wurde schon so manches Dienstgeheimnis mitangehört oder vom Computerbildschirm mitgelesen. Die Liste von Bedrohungen „endet bei unbeaufsichtigt auf dem Zimmer gelassenen Rechnern, während die Reisende sich eine angenehme Stunde im Spa-Bereich des Hotels gönnt“, zählt Selzer auf.
IT-Sicherheit während der Dienstreise
Dabei drohen Gefahren nicht nur von krimineller Seite. „Je nach Reiseland besteht das Risiko, dass IT bei der Einreise untersucht oder durchsucht wird. Für ungesicherte IT-Geräte besteht dann das Risiko, dass Unternehmensgeheimnisse oder vergleichbare Daten abfließen“, gibt BSI-Sprecher Wagner zu bedenken. Einige Staaten würden Besucher außerdem verpflichten, bestimmte Apps zu installieren. Über die lassen sich häufig die Standortdaten der Nutzer kontrollieren. „Hier ist zu überlegen, ob ein Wegwerf-Gerät zum Einsatz kommt“, sagt Wagner. Zumindest sollte die Devise gelten: „Nutzen Sie im Zweifel ein eigens für die Reise eingerichtetes IT-Gerät, dessen Verlust zu verschmerzen wäre.“
Lesen Sie auch: Darum brauchen Unternehmen einen CISO
Für Laien mag das radikal klingen. Auch Selzer spricht von einem Extremvorschlag, der für die meisten Menschen übertrieben sein dürfte. Aber auch er betont: „Optimalerweise geben Sie Ihre Hardware nie aus der Hand. Wenn die Kontrolle mit Ihrem Gerät zur 'Prüfung' auch nur kurz außer Ihrer Sichtweite ist, können Sie dem Gerät nicht mehr vertrauen.“ Und: „Überlegen Sie, wie groß der Schaden für Ihre Firma wäre, wenn Ihr Laptop beschlagnahmt und Sie gezwungen werden, das Gerät zu entsperren.“
Checkliste für die Dienstreise
Die Experten für digitale Sicherheit raten zu einer umfangreichen Checkliste, ehe ein Beschäftigter eine Dienstreise ins Ausland antritt. Selzer empfiehlt, vorab diese Fragen zu klären:
- Was darf ich einführen, besitzen und wieder ausführen?
- Welche Informationen muss ich nach Aufforderung an wen übergeben?
- Welche Möglichkeiten haben Behörden, mich zu zwingen?
- Wie eng halten sie sich an geltendes Recht?
- Gibt es eventuell Programme, die unter Import- oder Exportverbote fallen?
- Darf mich die Polizei zwingen, mein Smartphone zu entsperren, um meine Mails, mein Social-Media-Profil und meinen GPS-Standortverlauf zu prüfen?
- Gibt es Bilder oder Filme, deren Besitz im Zielland verboten ist?
„Insbesondere die USA genießen einen schlechten Ruf, was Grenzkontrollen angeht“, warnt Selzer. So sollen Menschen bei der Einreise gezwungen worden sein, ihre Geräte zu entsperren und Firmengeheimnisse offenzulegen. Die USA würden aus Datenschutzsicht ohnehin als unsicherer Drittstaat gelten. Auch aus dem Vereinigten Königreich seien Fälle von Menschen bekannt, die verhaftet wurden, weil sie ihre Passwörter nicht herausgegeben haben, berichtet der IT-Experte.
Ihm sei aus seinem persönlichen Umfeld zwar kein Fall bekannt, in dem Grenzbeamte an sensibles Material gekommen wären. „Das heißt ausdrücklich nicht, dass so etwas nicht passiert und Sie unbesorgt alle möglichen Daten auf Geschäftsreisen mit sich herumschleppen können“, sagt der ehrenamtliche Datenschutzbeauftragte. „Ich überspitze es einmal: Wenn ich in die Niederlande fahre, treffe ich überhaupt keine Vorkehrungen abgesehen von denen, die ich immer treffe, wenn ich mein Notebook irgendwohin mitnehme“, sagt Selzer. „Wenn ich in die USA oder Saudi-Arabien fliege, überlege ich mir sehr genau, was ich mitnehme.“
Manchmal können selbst vermeintlich harmlose Dinge ernste Konsequenzen nach sich ziehen. So verbieten viele Länder die Einfuhr von pornografischem Material. Was genau darunter fällt, ist oft unklar. Selbst private Urlaubsbilder oder legal erworbene Zeitschriften und Filme können zum Stein des Anstoßes werden.
