Wer in ein fremdes Land einreist, unterwirft sich damit automatisch dessen Rechtssystem. Und kann sicher sein: Schutz von Eigentum und persönlichen Daten, wie er es aus der Europäischen Union gewohnt ist, gibt es dort nicht. Ganz im Gegenteil: Sowohl ausländische Regierungen als auch die Privatwirtschaft zapfen Geschäftsreisende gezielt an oder kompromittieren ganz bewusst ihre mobilen Endgeräte. Die Gefahr ist auch nach der Rückkehr selten gebannt, sondern droht dann aufs ganze Unternehmen überzugreifen. Wie Sie Sicherheitsrisiken auf Reisen gezielt erkennen und damit umgehen.
1. Beschlagnahmung von mobilen Endgeräten und Datenträgern
Ob bei der Einreise in die USA, China, Russland oder andere Länder, die nicht Mitglied der Europäischen Union sind: Geschäftsreisenden kann es passieren, dass sie ein längeres Interview zur Erläuterung des Einreisegrundes führen müssen und dass ihre mitgeführten Gegenstände und die auf diesen enthaltenen Daten überprüft werden. Kann den Einreisebehörden nicht offen und glaubhaft dargestellt werden, welche Daten die jeweiligen Endgeräte, Festplatten oder USB-Sticks enthalten, droht eine genaue Prüfung. Ist diese – zum Beispiel weil die Daten verschlüsselt sind – nicht rasch und reibungslos möglich, droht sogar eine Beschlagnahmung. In dem Fall beauftragt die Behörde häufig private Firmen mit der Dekodierung. In vielen Fällen bleibt es nicht bei der Überprüfung der Daten. Sie werden gesichert und können künftig vom ausländischen Staat oder der dort angesiedelten Privatwirtschaft genutzt werden. Ein bekanntes Muster professioneller Industriespionage vor allem in Ländern mit autoritären Regimen.
Was können Sie dagegen tun? Es ist zunächst offensichtlich, dass niemals elektronische Daten oder schriftliche Unterlagen mit ins Ausland genommen werden sollten, die nicht unmittelbar für den Reisezweck benötigt werden. Unternehmen sollten darum spezielle Reise-Endgeräte zur Verfügung stellen, die vor jeder Reise unumkehrbar gelöscht werden und dann nur mit den benötigten Daten neu bespielt werden.
Sollte es dennoch zu einer Beschlagnahmung kommen, ist sicher zu stellen, dass dies kein hohes Risiko für das Unternehmen darstellt, zum Beispiel weil Geheimhaltungsklauseln verletzt oder geistiges Eigentum gestohlen werden kann. Sensible Daten sollten darum im Vorfeld in einer verschlüsselten, nach den höchsten Standards gesicherten Server-Umgebung abgelegt werden, die wiederum über eine verschlüsselte Verbindung im Ausland erreicht werden kann. Die Daten liegen damit physisch gar nicht auf den Geräten, denen mögliche Beschlagnahmung droht, und können so nicht eingesehen oder gestohlen werden.
2. Abhören von Telefonaten während der Reise – und auch nach Rückkehr
Smartphones werden heute stets über ein Betriebssystem gesteuert. Diese Betriebssysteme sind so programmiert, dass sie mit möglichst allen Netzanbietern weltweit funktionieren. Dazu nehmen die Netzanbieter, auch Unternehmen wie T-Mobile oder Vodafone, graduelle Veränderungen an den Betriebssystem vor, um sie für die Anwendung zu optimieren. Technisch funktioniert dies so: Der Netzanbieter sendet Nachrichten an das Betriebssystem und konfiguriert es damit um. Der Nutzer bekommt von all dem nichts mit, da dies unbemerkt im Hintergrund geschieht.
Das bedeutet für Geschäftsreisende: Wo immer sie ihr Smartphone mit einem neuen Mobilfunknetz verbinden, verändert der jeweilige Netzanbieter das Betriebssystem. Dies ist das Haupteinfalltor zur Kompromittierung des mobilen Endgerätes. Der Netzanbieter kann problemlos das Betriebssystem dahingehend manipulieren, dass künftig Telefonate unverschlüsselt mitgehört werden können. Dies passiert in Ländern, die auch ansonsten für Industriespionage bekannt sind, ausgesprochen häufig – kann jedoch nur sehr schwer erkannt werden.
Auch nach ihrer Rückkehr können Geschäftsreisende weiter belauscht werden. Denn eine solche Veränderung im Betriebssystem ist in den meisten Fällen unumkehrbar. Da hilft auch die Neuinstallation von Apples iOS oder Googles Android wenig – denn dies sind nur die Oberflächen für das dahinter liegende System. Um jegliches Sicherheitsrisiko auch nach der Rückkehr auszuschließen, müsste ein Telefon also mechanisch zerstört werden.
Da dies in den meisten Fällen unwirtschaftlich ist, bietet es sich an, für geschäftliche Reisen ins Ausland einen eigenen Pool an Reise-Handys zur Verfügung zu stellen. Das ansonsten genutzte Handy bleibt ganz zu Hause, nur dringend benötigte Daten werden auf dem Reise-Smartphone abgespeichert und mitgeführt. Auch damit lässt sich nicht verhindern, im Ausland abgehört zu werden – entsprechend sollten Geschäftsreisende die Inhalte ihrer Telefongespräche im Vorfeld gut überdenken. Nach der Heimreise ist die Gefahr jedoch wieder gebannt, ein Verlust an Information und Daten kann nicht weiter erfolgen.
3. Durchsuchen und Kopieren von persönlichen Unterlagen und Daten
Es ist bekannt, dass viele Länder ausländische Geschäftsreisende auf Schritt und Tritt überwachen – und konsequent versuchen, mitgeführte Unterlagen und Daten zu stehlen. Einige Länder gehen hier sehr diskret vor: Der Bestohlene merkt im Normalfall nichts. Andere Länder geben sich hier nicht einmal große Mühe: Dursuchte Aktentaschen werden unsortiert zurück, geknackte Notebooks offen stehen gelassen.
Grundsätzlich kann ein solcher Datendiebstahl stets dann erfolgen, wenn sich der Geschäftsreisende nicht unmittelbar bei den Daten befindet: Im Hotel, im Konferenzraum genauso wie in Fortbewegungsmitteln wie Autos, Zügen oder Flugzeugen. Darum gilt: Wichtige Daten und Unterlagen, die nicht in einer sicheren Server-Umgebung (siehe oben) liegen, sondern auf einem lokalen Datenträger gespeichert sind, sollten stets direkt am Körper mitgeführt werden – selbst im Schwimmbad oder auf der Flugzeugtoilette.
Diese Daten sollten darum auf kleinen externen Festplatten oder USB-Sticks mitgeführt werden, die bequem in Jacken- und Anzugtaschen passen.
Zur Auslesung der Daten wird dann wieder ein Endgerät wie ein Notebook benötigt. Hier ist darauf zu achten, dass dieses Notebook im Vorfeld speziell vorprogrammiert ist. Denn die meisten gängigen Computer-Betriebssysteme legen temporäre Dateien auf den lokalen Festplatten an – und speichern so unbemerkt eingelesene Daten von externen Datenträgern. Es ist sicher zu stellen, dass diese Funktion deaktiviert ist, um den Schutz der Daten zu gewährleisten.
4. Verseuchung von Endgeräten und Datenträgern
Erhalten Dritte Zugriff auf mobile Endgeräte und Datenträger, haben sie nicht nur die Möglichkeit, die darauf befindlichen Daten zu stehlen. Sie können die Datenträger mit Spionage-Programmen ausstatten, die alle künftig mit ihnen in Kontakt kommenden Endgeräte automatisch verseuchen. So ist es möglich, selbst in gut geschützte Firmennetzwerke einzudringen und damit großen Schaden durch Diebstahl oder Sabotage zu verursachen.
Darum gilt: Fremde Datenträger – ob Festplatte, USB-Stick oder DVD – sind grundsätzlich nicht auf eigenen Endgeräten einzusetzen. Und eigene Datenträger dürfen auf keinen Fall mit Endgeräten Dritter verbunden werden, da in dem Moment die Infiltration stattfinden kann.
Sollen Daten mit ausländischen Partnern getauscht werden, sind diesen entweder die Datenträger vollständig zu überlassen. Besser noch ist der Austausch aber über elektronische Datenräume auf sicheren Servern, der Download über das Internet oder ganz profan per Email.
Eine Verseuchung von Endgeräten kann übrigens schon erfolgen, wenn der Gesprächspartner anfragt, ob er mit einem USB-Ladekabel seine E-Zigarette an Ihrem Endgerät aufladen kann. Oder wissen Sie vielleicht, was diese Zigarette noch enthält neben Wasserdampf, Nikotin und Aroma?
