Wer in den Urlaub fährt, verspricht sich vor allem eines: Entspannung. Doch schnell kann es um diese geschehen sein, denn Reisezeit ist Einbruchzeit – nicht nur, wenn es um die eigenen vier Wände geht. Die Einbrüche in Netzwerke, E-Mail-Accounts & Co. nehmen drastisch zu. Viele Mitarbeiter in Unternehmen agieren allerdings noch eher sorglos. Dabei sollten sie gerade während ihrer Reisezeiten gezielte Vorkehrungen treffen, um die Sicherheit ihrer digitalen Geräte samt der sensiblen Daten nicht aufs Spiel zu setzen. Unsere Checkliste bietet Unterstützung, um den Urlaub unbelastet zu genießen.
Für Cyber-Kriminelle bedeutet Reisezeit Hochsaison. Viele Mitarbeiter schenken der digitalen Sicherheit vor oder während einer Reise wenig Beachtung. Man ist stattdessen mit Buchungen, Planungen und der Abarbeitung wichtiger Projekte beschäftigt. Dabei warten gerade in der Zeit der Abwesenheit zahlreiche Fallen, Lücken und Hindernisse sicherheitstechnischer Art. Gefahren können sowohl am verlassenen Arbeitsplatz entstehen als auch durch die auf einer Reise mitgeführten Endgeräte. Sind diese nicht ausreichend geschützt und werden keine gezielten Vorkehrungen für den Abwesenheitszeitraum in der Firma getroffen, öffnen sich Cyber-Kriminellen oftmals ungeahnte Schlupfwinkel.
Sechs Tipps:
E-Mail-Abwesenheitsmeldung mit Bedacht verfassen
Der Urlaub steht unmittelbar bevor, also schnell noch die Kollegen, Partner und Kunden informieren. Wer den Abwesenheitsassistenten seines E-Mail-Programms einrichtet, sollte mit Details seines Urlaubaufenthalts eher geizen – gerade hinsichtlich Aufenthaltsort und Abwesenheits-Zeitspanne. Die Gefahr besteht, dass Cyber-Kriminelle Kenntnis erlangen, in welchem Zeitraum sie sich bestimmte Lücken vornehmlich zunutze machen können.
Besonders Mitglieder der Führungsebene sowie Mitarbeiter in der Buchhaltung und im Personalwesen geraten häufig ins Visier von Hackern. Sie haben Einfluss auf Geschäftsvorgänge ihrer Firma und stellen somit ein lohnenswertes Ziel für Angriffe dar.
Neben der Abwesenheitsnotiz im E-Mail-Postfach geben viele Reisende ihre Abwesenheit indirekt auch in einem gefährlichen „öffentlichen Raum“ mit enormer Reichweite preis: Social-Media-Kanäle. Diese sollten nicht zur Bekanntgabe anstehender Termine oder Aktivitäten genutzt werden. Reisebilder sollte man am besten erst posten, wenn man von seiner Reise zurückgekehrt ist.
Nur die nötigsten Geräte – aktualisiert, passwortgeschützt und abgesichert
Weniger ist mehr. Diese Devise sollte im Urlaub nicht nur für Kleidung und Ausrüstung gelten. Die Wahrscheinlichkeit, dass etwas gestohlen oder verloren geht, steigt, je mehr Geräte mitgenommen werden. Auf den mitgeführten Geräten sollten daher alle wertvollen Daten im Vorfeld gesichert werden. So wiegt ein möglicher Verlust nicht doppelt schwer. Es empfiehlt sich eine individuelle Reiseversicherung für alle mobilen Geräte.
Die Devices sollten zudem grundsätzlich passwortgeschützt sein. Das gilt auch für die zu Hause oder am Arbeitsplatz verbleibenden Geräte. Unbefugten wird es so erschwert, Zugang zu erlangen.
Neben dem sicheren Passwortschutz auf allen Ebenen ist auch die Aktualität der Antiviren- und Sicherheits-Software zu beachten. Diese sollte auf allen mitgenommenen Geräten auf dem neuesten Stand sein.
Ist der Zugang geschützt, ist das die halbe Miete. Aber es lauert eine weitere Gefahrenquelle: Niemand möchte im Urlaub seine Armada an Geräten und Devices permanent mitführen. Es sollte daher sichergestellt sein, dass diese in der Unterkunft sicher aufbewahrt werden können. Ein Hotelzimmer-Safe ist ein Muss. Dieser bietet allerdings oftmals nicht ausreichend Platz für einen Laptop. Oftmals existieren in Hotels jedoch auch andere Möglichkeiten zur sicheren Aufbewahrung von Geräten.
Vorsicht bei offenem WLAN und fremden Computern
Öffentliche Plätze und Flughäfen bieten Reisenden häufig kostenloses WLAN. Dieses ist jedoch meistens ungeschützt. Eine Nutzung ist somit mit Risiken verbunden. Wer auf Nummer sicher gehen möchte, verwendet ausschließlich verschlüsselte Verbindungen wie zum Beispiel eine VPN-Anwendung. WLAN-Verbindungen im Hotel sind in der Regel per Passwort geschützt. Die Funktion, sich automatisch mit offenen Netzwerken zu verbinden, sollte generell deaktiviert sein. Sie macht die Geräte für Angriffe anfälliger. Allgemein gilt: Öffentliche Computer sind für sensible Internetinhalte ungeeignet. Besonders Finanztransaktionen sollten nach Möglichkeit nicht online vorgenommen werden. Darunter fällt auch das beliebte Online-Shopping.
Bluetooth als unterschätzter Angriffspunkt
Bluetooth ist ein einfacher und vielgenutzter Standard für die Übertragung von Daten. Diese lassen sich bequem zwischen Smartphone und Computer synchronisieren. Die weite Verbreitung des Bluetooth-Standards macht es Hackern jedoch besonders einfach. Kapern Cyber-Kriminelle über diese Verbindung ein fremdes Smartphone, können sie die Identität übernehmen und erheblichen Schaden anrichten. Dafür ist nicht einmal Spezialwissen erforderlich. Im Internet sind Software-Tools zum Knacken von Bluetooth schnell gefunden. Es ist daher sinnvoll, Bluetooth nur dann zu aktivieren, wenn diese Funktion wirklich benötigt wird.
Übrigens: Auch das Auto bietet in puncto Bluetooth keinen geschützten Raum. Software wie „Car Whisperer“ zielt speziell auf die Freisprecheinrichtung im Auto. Ältere Modelle nutzen einen nicht veränderbaren Standardschlüssel zur Authentifizierung. Dadurch können Angreifer eine Verbindung herstellen und zum Lauschangriff überzugehen. Auch das Auslesen der auf einem eigenen Display gespeicherten Telefonbuchdaten wird in einigen Freisprecheinrichtungen ermöglicht.
CEO later Aligator – Angriff über Phishing und Social Engineering
Der CEO eines Unternehmens gilt nicht nur als weisungsbefugt, sondern natürlich auch als vertrauenswürdig. Seine Anweisungen werden für gewöhnlich nicht in Zweifel gezogen und die Ausführung nicht verweigert. Ein Umstand, den sich Betrüger gerne zu Nutze machen. Sie geben sich als CEO des Unternehmens aus und ordnen beispielsweise von „unterwegs“ eine Zahlung an. Auch Anmeldeinformationen für sensible Datenbereiche können Mitarbeitern durch geschickte Erklärungen entlockt werden. Befindet sich der CEO im Urlaub, sollten Mitarbeiter Anweisungen aus der „Ferne“ ohne Scheu hinterfragen.
Lehrgänge zum Thema Sensibilisierung von Mitarbeitern können für ein gesteigertes Selbst- und Sicherheitsbewusstsein im Unternehmen sorgen.
Big Brother is watching you
Mitarbeiter, die in Länder reisen, die es mit der digitalen Privatsphäre nicht so genau nehmen, könnten von ihrem Arbeitgeber Einweg-Telefone zur Verfügung gestellt bekommen. Auch spezielle Reise-Laptops, deren Festplattenspeicher regelmäßig formatiert werden, erhöhen die Sicherheit und minimieren die Risiken.
In Ländern wie den USA kann außerdem bei der Einreise Einblick in die Social-Media-Konten verlangt werden. In Ausnahmefällen ist es daher ratsam, kritische und fragwürdige Kommentare im Vorfeld zu entfernen. Wird Content gefunden, der als verdächtig und landesfeindlich eingestuft wird, kann die Einreise verweigert werden.
Dies sind nur ein paar Beispiele, die typische Risiken für Unternehmen und ihre Mitarbeiter in der Reisezeit aufzeigen. Wer jedoch ein paar wichtige Grundregeln beachtet und vorbeugende Maßnahmen ergreift, minimiert das Risiko eines erfolgreichen Angriffs. Unternehmen verfügen nur dann über ein reifes IT-Sicherheitskonzept, wenn neben der Sicherheitstechnik auch der Faktor Mensch hinreichend berücksichtigt wird. Hier gilt: Ein geschulter und sensibilisierter Mitarbeiter kann seinem Unternehmen auch in der Reisezeit hohen Aufwand und Schaden ersparen.