Der österreichische Unternehmer Werner Baumgartner war überrascht, als er aus den Medien erfuhr, dass unter den 50.000 Telefonnummern, die im Zusammenhang mit dem Spionageprogramm Pegasus geleakt wurden, auch seine eigene ist. Baumgartner ist Vorsitzender des Austrian Business Council in Dubai, eines Netzwerks, das Interessen von Wirtschaftstreibenden in den Vereinigten Arabischen Emiraten (VAE) vertritt. Die Ermittlungen ergaben, dass die Abfragen des Programms auf dem Mobiltelefon Ende 2017 und Anfang 2018 stattgefunden haben. Damals war der Unternehmer auf einer Geschäftsreise im Iran und hatte kurz darauf ein Geschäftstreffen über den Iran in Dubai organisiert. In einem anderen Fall hat sich der Mitarbeiter eines mittelständischen bayerischen Unternehmens auf einer Geschäftsreise Schadsoftware auf seinem Laptop in einem öffentlichen WLAN eingefangen. Mit dieser Software konnten Cybergangster ins Herz der Unternehmens-IT vordringen und alle Backups löschen. Die übrigen Daten wurden verschlüsselt und in einem Popup wurde eine Lösegeldforderung präsentiert. Darüber hinaus waren auch noch Kundendaten abgezogen worden.
Sichere Verwaltung mobiler Endgeräte
Die beiden Beispiele machen deutlich, welche Bedeutung die IT-Sicherheit auch bei mobilen Kommunikationsmitteln hat. Einerseits sind sie unverzichtbare Werkzeuge – etwa auf Geschäftsreisen, bei Messen und Kongressen oder wenn vor Ort beim Kunden ein Projekt umgesetzt wird. Doch wenn diese Geräte nicht optimal gesichert sind, können sie zum Einfallstor ins Firmennetzwerk für Spione und Cyberkriminelle werden. Im Idealfall hat das Unternehmen einen genauen Überblick darüber, welche Geräte wo im Umlauf sind. Die zentrale Verwaltung von mobilen Endgeräten wie Smartphones Tablets oder Laptops wird Enterprise Mobility Management (EMM) bezeichnet. Es gibt spezielle Programme, die nicht nur die Steuerung der Geräte kontrollieren, sondern sie auch sicher in das bestehende Netzwerk eines Unternehmens implementieren. Dabei spielt auch der Datenschutz eine wichtige Rolle. Seit 2018 müssen verloren gegangene oder gestohlene Mobilgeräte sofort gelöscht oder auf den Werkszustand zurückgesetzt werden, damit keine personenbezogenen Daten in fremde Hände geraten. Der Fernzugriff auf die Geräte sollte deshalb auch bei Diebstahl mit dieser Software möglich sein.
Mitarbeiter sollten sensibilisiert werden
Es gibt noch eine Reihe weiterer Aspekte, die man auf Geschäftsreisen etwa ins Ausland hinsichtlich der IT-Sicherheit beachten sollte. Die Initiative Wirtschaftsschutz gibt auf ihrer Webseite dazu zahlreiche Hinweise. Zunächst einmal sollten Mitarbeiter für das Thema sensibilisiert werden. Sie sollten sich vor einer Geschäftsreise genau über das Gastland informieren, beispielsweise über gesetzliche Rahmenbedingungen. Es gibt einige Länder, in denen verschlüsselte Geräte oder Speichermedien wie USB-Sticks nicht erlaubt sind. Auch sollte man je nach Land vorsichtig sein beim Fotografieren mit dem Smartphone, da es unter Umständen als Wirtschaftsspionage ausgelegt wird. Nach dem Prinzip der Datensparsamkeit sollte man eventuell spezielle Geräte für die Reise vorbereiten, auf denen nur die für die Geschäftstätigkeit unbedingt notwendigen Dateien vorhanden sind. Auch sollte es nicht möglich sein, sich mit diesen Geräten einfach ins Firmennetzwerk einzuloggen. Dabei sollte man auch im Blick haben, das fremde Nachrichtendienste im Gastland über Hoheitsrechte mit umfassenden Exekutivbefugnissen verfügen können. Mobile Geräte unbeaufsichtigt zu lassen, birgt ein großes Risiko. So kann es zu heimlichen und zielgerichteten Hotelzimmer- oder Gepäckdurchsuchungen kommen. Auch der Hotelsafe kann dabei ein unsicherer Ort für sensible Firmendaten sein. Möglich ist ebenfalls, dass die Geräte in einem unbeaufsichtigten Moment durch Schadsoftware wie etwa einen Trojaner infiziert werden. Gegenüber Kontaktversuchen und Geschenken ist eine gesunde Skepsis angebracht. Die vertrauliche Kommunikation etwa mit dem Unternehmen in der Heimat sollte auf das Notwendigste reduziert werden. Bei der Nutzung von öffentlichen Hotspots ist erhöhte Vorsicht angebracht. Oft wird bei WLANs in einem Café oder am Flughafen für die Funkstrecke zum Router kein oder ein für alle Teilnehmer gemeinsames Kennwort verwendet. Damit besteht das Risiko, dass ein Angreifer die übertragen Daten mitlesen kann. Auch bei der Eingabe von Passwörtern oder Codes sollte man sich vergewissern, wer einen dabei beobachten kann. Wenn man den Verdacht hat, dass es zu Datenverlust oder Manipulationen an den mobilen Geräten gekommen ist, sollte unverzüglich die eigene Firma informiert werden.
Analyse der Geräte nach der Reise
Doch die Vorsicht endet nicht mit der Reise. Zu Hause angekommen sollte auch im Erfahrungsaustausch mit anderen Kollegen überlegt werden, ob es mögliche Auffälligkeiten während des Auslandsaufenthalts gegeben hat. Die mobilen Geräte wie Laptop, Smartphone, Tablets oder Speichermedien (beispielsweise USB-Sticks) sollten dahingehend untersucht werden, ob sie Schadsoftware enthalten können. Es kann sinnvoll sein, ein direktes Einloggen etwa des Reise-Laptops in das Firmennetzwerk zu vermeiden und nur einzelne geprüfte Dateien in das System zu übertragen. Alle diese Vorsichtsmaßnahmen wirken auf den ersten Blick lästig und im Einzelfall übertrieben, doch sie helfen dabei, dass der Einsatz mobiler Geräte auf Geschäftsreisen nicht zu einer Büchse der Pandora wird.
TE (13.08.2021)