Immer häufiger wird der Urlaub zum IT-Risiko – insbesondere, wenn geschäftlich genutzte Smartphones, Tablets und Notebooks mit auf die Reise genommen werden.

Urlaubszeit ist Reisezeit – und für viele Selbstständige und auch Arbeitnehmer gehören Smartphones, Tablets und Notebooks, die auch geschäftlich genutzt werden, inzwischen ganz selbstverständlich zum Reisegepäck. Hin und wieder E-Mails checken, vielleicht am einen oder anderen Arbeitstag noch ein paar Minuten – hoffentlich nicht Stunden – Arbeit, um die wichtigsten Kundenanfragen zu beantworten: Die Trennung zwischen Erholung und Arbeit ist heutzutage bei vielen Menschen nicht mehr ganz so scharf wie früher.

Man kann darüber denken, wie man möchte. „Arbeit im Urlaub ist unnötiger Stress und geht gar nicht“, sagen die einen. Für andere – wie für mich – ist es eher eine Erleichterung, auch auf einer Urlaubsreise nicht ganz von der digitalen Welt abgeschnitten zu sein. Ich empfinde es meist eher als Erleichterung, mich mal kurz um etwas kümmern zu können und bei der Rückkehr von meiner Reise vielleicht schon die eine oder andere E-Mail abgearbeitet zu haben, die sonst in meiner Inbox auf mich warten würde.

IT im Reisegepäck ist ein Sicherheitsrisiko

Doch außer Zweifel steht: Smartphones, Tablets oder Notebooks auf Reisen dabeizuhaben stellt ein mögliches Sicherheitsrisiko dar. Das gilt insbesondere, wenn auf den entsprechenden Geräten sensible persönliche oder geschäftliche Daten oder Cloud-Zugänge gespeichert sind. Dennoch gehen viele Urlauber sorglos mit ihrer IT-Sicherheit um: Das Bundesamt für Sicherheit in der Informationstechnik hat im Rahmen einer Umfrage festgestellt, dass Reisende die IT-Sicherheit nicht in ausreichendem Maße berücksichtigen.

Mehr als ein Viertel trifft keine Vorkehrungen für die IT-Sicherheit unterwegs und setzt sich damit einem erhöhten Sicherheitsrisiko aus. Bei den 45- bis 54-Jährigen sind es sogar 30 Prozent. Am gewissenhaftesten sind hingegen Urlauber im Alter zwischen 16 und 24 Jahren: Mit 78,5 Prozent achtet diese Gruppe am ehesten auf Sicherheitsvorkehrungen für ihre IT.

Wahllose WLAN-Verbindungen als Einfallstor

hacking-codeDass „WLAN abschalten“ die von den Befragten am häufigsten genannte Sicherheitsmaßnahme ist, mag auf den ersten Blick Verwunderung auslösen. Doch in der Tat: Verbinden sich meine Geräte unterwegs wahllos automatisch mit offenen WiFi Hotspots, so ist das ein unkontrollierbares Einfallstor. Hackerzugriffe auf übertragene Daten oder im schlimmsten Fall auch Daten, die auf dem eigenen Gerät liegen, sind dann keinesfalls ausgeschlossen. Andererseits nutzen fast 60 Prozent aller befragten Urlauber frei zugängliche WLAN-Verbindungen. Ein Widerspruch? Im Gegenteil – denn letztlich zeigen diese Umfragewerte, dass viele Reisende zumindest bewusst mit dem Thema WLAN umgehen und sich mit ihren Geräten nur selektiv an Hotspots anmelden, die sie für halbwegs vertrauenswürdig halten.

Mehr als ein erster Schritt in die richtige Richtung ist das aber letztlich nicht. Denn schließlich kann jeder jederzeit einen WiFi Hotspot unter beliebiger Bezeichnung (SSID) in Betrieb nehmen und vorgaukeln, ein vertrauenswürdiges WLAN-Netz anzubieten, das in Wirklichkeit bösartig ist.

Wie gemein das sein kann, hat mir vor nicht allzu langer Zeit einmal ein Security-Experte persönlich demonstriert, und zwar gemütlich unterwegs im Café. Er hatte ein Notebook mit einer speziellen Software dabei, klappte es auf, setzte mithilfe dieses Notebooks zu Demonstrationszwecken eigens für mich einen WLAN Hotspot auf, der einzig dem Zweck diente, meine Benutzerdaten für eine – sehr bekannte – Website abzugreifen. Im Rahmen unseres Experiments forderte mich mein Bekannter dann auf, mich an seinem WLAN anzumelden und die Startseite der fraglichen Website aufzurufen. Gesagt, getan. Die Startseite baute sich auf, forderte mich zur Eingabe meiner Benutzerdaten auf. Das Ganze wirkte völlig normal und vertrauenswürdig, denn zu allem Überfluss zeigte mein Browser das bekannte Schloss-Symbol für sichere Verbindungen via SSL an. Letzter Schritt: Die Eingabe meiner Benutzerdaten. Ich verwendete nicht die echten Daten, da ich – wie Sie bestimmt auch – schon ahnte, was gleich passieren würde. Und in der Tat: Der Sicherheitsexperte tippte noch ein paar Tasten, zeigte mir dann das Display seines Notebooks – und dort sah ich: die von mir eben eingegebenen Logindaten.

Ganz ehrlich – dass unbekannte WLAN Hotspots ein Sicherheitsrisiko darstellen können, das wissen inzwischen die meisten Nutzer. Doch wenn man einmal am eigenen Leibe bzw. Rechner eine solche Demonstration der heutigen Möglichkeiten von Hackern erlebt hat, dann nimmt man das Thema nochmals sehr viel ernster.

Aus diesem Grund bin ich für mich zu der Überzeugung gekommen: Offene WLAN Hotspots sind eine tolle Sache, aber sie bergen auch große Gefahren.

Einige Maßnahmen können helfen, die Online-Risiken unterwegs zu minimieren:

WLAN Hotspots bewusst auswählen: Bevor Sie unterwegs WLAN Hotspots nutzen: Überlegen Sie, wie sicherheitskritisch die Anwendung ist. Benutzen Sie ein Gerät, auf dem vertraulich Daten oder Zugangsdaten verwendet werden? Beabsichtigen Sie, sich in eine für Ihre geschäftlichen oder privaten Belange wichtigen Website einzuloggen, mit der Möglichkeit, dort Transaktionen auszuführen? Geht es womöglich um eine Website wie Facebook, Amazon, Ihr E-Mail-Konto oder gar Online Banking? Falls ja: Nutzen Sie hierfür nicht jeden x-beliebigen Hotspot, sondern selektieren Sie und wählen Sie eine möglichst vertrauenswürdige Internetverbindung, die offiziell angeboten wird.

Offizielle Mobilfunknetze nutzen: Die Sicherheitsstandards in den offiziellen Netzen der Mobilfunkanbieter (in halbwegs vertrauenswürdigen Ländern) sollten in der Regel einige Grade besser sein als beim Durchschnitt aller öffentlich und unverschlüsselt angebotenen WLAN Hotspots. Ich persönlich würde im Zweifel dem Internetzugang über Mobilfunknetze den Vorzug geben, wenn es um kritische Anwendungen geht. Damit möchte ich keinesfalls behaupten, dass es nicht auch hier Sicherheitslücken und insbesondere bewusstes Abgreifen von Daten durch staatliche Stellen gibt. Doch das kommt in den WLAN-Netzen ja noch dazu. Ich habe schon so oft erlebt, dass ich, eingeloggt in Hotspots, plötzlich die Netzwerkfreigaben anderer Rechner in meiner Umgebung in meinem Mac Finder bzw. Windows Explorer gesehen habe – dass diese also in ein und demselben Subnetz herumlungerten – ein absolutes No Go, das Ihnen in der Form in Mobilfunknetzen nicht ohne Weiteres passieren wird.

anonymous-hackerSeriöses VPN nutzen: Prüfen Sie, ob Sie für WLAN-Verbindungen unterwegs nicht stets ein (vertrauenswürdiges) VPN nutzen können und möchten. Vielleicht hat sogar Ihre Firmen-IT die passende Lösung oder kann eine solche Lösung erstellen, das ist gar keine so große Investition. Ist dieses VPN-Netzwerk richtig konfiguriert, so können Sie Ihren gesamten Datenverkehr durch einen verschlüsselten Tunnel schicken. Man-in-the-middle-Attacken, bei denen Ihre Logindaten und sonstige übertragene Daten abgegriffen werden können, werden (je nach Qualität der VPN-Konfiguration) deutlich schwieriger bzw. weitestgehend ausgeschlossen. Das gilt natürlich nicht, wenn Sie einen unseriösen VPN-Anbieter wählen, denn dann warten die Angreifer unter Umständen zahlreich am Ende des VPN-Tunnels. Damit ist auch nichts gewonnen.

Mit dem unwichtigen Zweitgerät surfen: Stellen Sie sich generell die Frage: Ist es nicht sinnvoller, während des Urlaubs ein ansonsten leergefegtes und nicht benötigtes (Zweit-) Gerät zum Surfen zu nutzen, auf dem keine persönlichen und geschäftskritischen Daten gespeichert sind? Mit diesem Zweitgerät – über das Sie nie geschäftskritische Anwendungen nutzen – können Sie sich auch locker einmal an einem eher dubiosen WLAN Hotspot anmelden, um die Speisekarten vom Restaurant vor Ort mit dem aus der Nachbarstadt zu vergleichen. Man braucht ja nicht immer exakt das gleiche Niveau an Online-Sicherheit.

Datenspeicherung und Zugangsdaten

  • Viele aktuellen Smartphone-Modelle speichern Dateien inzwischen verschlüsselt ab. Damit Sie davon profitieren, müssen Sie natürlich den entsprechenden Geräte-Code festlegen.
  • Anders sieht das beim Notebook aus. Ohne zusätzliche Maßnahmen kommt jeder unehrliche Finder oder Dieb direkt via Festplatte oder Speicherchip recht unkompliziert an die Daten – auch ganz ohne den Login, den Sie hoffentlich dem Zugang zu Ihrem persönlichen Desktop vorgeschaltet haben. Informieren Sie sich über Festplattenverschlüsselung; je nach Betriebssystem lässt sich diese einfacher aktivieren, als man denkt.
  • Ziehen Sie in Erwägung, während Ihrer Reise auf etwas Komfort zu verzichten, indem Sie vorab Cookies löschen, die den automatischen Zugang zu Websites ohne Kennworteingabe ermöglichen. Das Gleiche gilt für gespeicherte Kennwörter, etwa in E-Mail-Clients. Lieber jedesmal neu eingeben (und sich dabei nicht über die Schulter schauen lassen).
  • Sichern Sie vor Ihrer Reise alle wichtigen Daten in einem Backup auf einem (idealerweise verschlüsselten) Speichermedium, das an einem sicheren Ort verwahrt wird (und nicht mit auf die Reise geht).
  • Überlegen Sie, welche Daten Sie überhaupt mit auf die Reise nehmen möchten. Müssen Kundendaten und wichtige eigene persönliche und geschäftliche Daten wirklich mit in den Urlaub? Wie hoch ist das Risiko, wie hoch der Nutzen? Können Sie die sichere Aufbewahrung im Urlaub gewährleisten und sind Sie ggf. gegen den Verlust und die Folgen versichert?
  • Nutzen Sie Zwei-Faktor-Authentifizierung, nicht nur im Urlaub – und zwar bei allen Diensten, die entweder Kosten verursachende Transaktionen oder Zugriff auf persönliche oder geschäftliche Daten und E-Mails ermöglichen. Das geht ebenfalls leichter als viele Nutzer denken und ist inzwischen relativ komfortabel.
  • Damit Sie sich mit der Zwei-Faktor-Authentifizierung nicht selbst aussperren: Drucken Sie Notfall-Codes für die wichtigsten Dienste aus. Mit diesen Einmal-Codes können Sie die Zwei-Faktor-Authentifizierung auch durchführen, wenn Sie das notwendige Gerät (Smartphone mit App) verlieren oder wenn es defekt ist. Um die Sicherheit perfekt zu machen: Führen Sie die Notfallcodes an einem sicheren Ort, nicht als solche gekennzeichnet und chiffriert mit sich.

Das größte IT-Risiko ist der Nutzer

hands-fogGefährliche Schulterblicke: Aus meiner Sicht ist das größte Einzelrisiko bei der mobilen Nutzung von IT-Geräten jedoch der Nutzer. Und um das auszunutzen braucht es meist nicht einmal einen Hacker-Angriff oder einen Diebstahl. Ich kann nicht annähernd alle Fälle aufzählen, in denen ich in aller Ruhe vertrauliche Unternehmensdaten hätte sammeln können. Etwa, weil im Zug direkt vor, neben oder hinter mir vertrauliche Gespräche am Telefon geführt wurden, in denen teilweise haarsträubende Details über Geschäfts- oder auch private Praktiken in aller Seelenruhe im öffentlichen Raum diskutiert wurden. Oder aber Fälle, in denen mobile Arbeiter ohne jede Vorsicht vertraulichste Unterlagen auf ihren mobilen Bildschirmen aufriefen, etwa im Flieger. Jeder Böswillige hätte ganz bequem mit geschickten Blicken durch den Spalt zwischen zwei Flugzeugsitzen oder durch geschickte Blicke nach links oder rechts in aller Ruhe ein Gedankenprotokoll anfertigen, fotografieren oder mitschreiben können. Display-Blickschutzfolien, die die Lesbarkeit von Displays von der Seite einschränken, bieten einen gewissen Schutz gegen Spionage, auf den man jedoch nicht blind vertrauen sollte. Und denken Sie auch an die überall präsenten Security Cams oder Flächen, die per Spiegelbild den Blick auf Ihr Display freigeben.

Risikofaktor Fotografieren: Achten Sie darauf, dass Ihr geschäftliches IT Equipment nicht aufgrund Ihres eigenen Verhaltens beschlagnahmt wird. Denn es darf längst nicht alles fotografiert werden, was Urlauber mit ihren Smartphones einfangen. In manchen Ländern riskieren Sie sogar Haftstrafen, wenn Sie Ihre Smartphone-Kamera beispielsweise auf Einsatzkräfte, infrastrukturelle Einrichtungen oder bestimmte Personengruppen richten. Hier gilt: vorher informieren, etwa auf den Seiten des Auswärtigen Amtes (hier zum Beispiel: Saudi-Arabien) oder aus anderen seriösen Quellen – und / oder: kein unnötiges Risiko eingehen. Damit nicht Ihre IT-Ausrüstung in Quarantäne verschwindet oder Sie Ihren Urlaub unfreiwillig als Inhaftiere/r verlängern müssen.

Und jetzt: Frohes Schaffen und einen schönen Urlaub.

Bernhard JodeleitAutor dieses Beitrags:

Bernhard Jodeleit berät Unternehmen in Sachen Digitalstrategie, Content Marketing und Krisenkommunikation.

 

Weiterführende Informationen:

Mit der IT Haftpflichtversicherung von Hiscox sind Sie weltweit geschützt. Wenn Sie das Modul „Elektronik & Büroinhalt“ mit abschließen, ist Ihre elektronische Ausstattung auch unterwegs gegen Diebstahl versichert. Gegen die Folgen von Datenklau und Hackerangriffen können Sie sich mit dem Cybermodul schützen. So sind sie auch im Urlaub rundum abgesichert und können die schönsten Wochen des Jahres entspannt genießen.