Sicherheit auf Reisen Auch Cyberkriminelle freuen sich auf Ihren Urlaub!

Autor / Redakteur: Georgeta Toth / Peter Schmitz

Egal ob Urlaub oder Geschäftsreise, Mitarbeiter die verreisen sind leider oft sorglos. Das beginnt oft bei dne Online-Buchungen und reicht von ihren Out-of-Office-Mails über den Umgang mit ihren Arbeitshandys bis hin zu gemailten Zahlungsanweisungen vom vermeintlichen Chef. Aber schon ein paar simple Grundsätze können für mehr Sicherheit auf (Geschäfts-) Reisen sorgen.

Anbieter zum Thema

Diensthandy am Pool, CEO-Betrug und Abwesenheits­nachrichten —so lassen sich Reise-Fauxpas vermeiden.
Diensthandy am Pool, CEO-Betrug und Abwesenheits­nachrichten —so lassen sich Reise-Fauxpas vermeiden.
(Bild: gemeinfrei / Pixabay )

Neue Menschen treffen, eine andere Landschaft vor dem Fenster und auch das Badehandtuch riecht nicht wie Zuhause: Mal rauskommen ist immer etwas Gutes – (fast) egal, ob es ein Urlaub ist oder eine Geschäftsreise. Es bedeutet aber auch immer: eine Sicherheitslücke. Denn während die meisten Menschen vor der Abfahrt in der Wohnung dreimal prüfen, ob die Fenster auch wirklich verschlossen sind, halten sie es mit ihrem Internet-Alter-Ego meist nicht so – und schaffen so Schlupflöcher für Cyberkriminelle.

Dass sich die Menschen im Vorfeld ihres Urlaubs oder einer Geschäftsreise auf andere Dinge als die digitale Sicherheit konzentrieren, ist kaum überraschend. Das darf aber nicht bedeuten, dass sämtliche Sicherheitsvorkehrungen, die sonst gelten, vergessen werden. Unterwegs zu sein unterbricht den Alltag, darum bedarf es auch nicht-alltäglicher Maßnahmen.

Vor der Reise

Immer über vertrauenswürdige Händler buchen!

Oft buchen Mitarbeiter ihre Geschäftsreisen selbst und rechnen die Kosten später ab. Das wissen Betrüger – und nutzen es aus, indem sie sich als Reisebüros ausgeben oder Websites anlegen, auf die sie mit Rabatten für Hotelzimmer, Flüge und Mietwagen locken.

Schon wenige Grundregeln helfen, um das Bewusstsein von Mitarbeitern zu schärfen:

  • Unternehmen sollten Richtlinien und Verfahren für die Buchung von Reisen vorgeben – auch, welche Buchungsagenturen und Reiseseiten zu nutzen sind. Regulierbar ist das zum Beispiel, wenn Buchungen, die über andere Kanäle vorgenommen wurden, nicht erstattet werden.
  • Mitarbeiter sollten angewiesen werden, Reiserabatte, die über nicht erwartete E-Mails eintreffen, zu ignorieren – und keinesfalls auf enthaltene Links zu klicken. Sinnvoller ist es, vertrauenswürdige Websites direkt über Eingabe der URL in das Browserfenster anzusteuern oder eine verifizierte Telefonnummer anzurufen – und dort zu erfragen, ob das erhaltene Angebot legitim ist.
  • Kreditkarten bieten Schutzmechanismen, die beispielsweise Banküberweisungen und Debitkarten nicht haben – darum sind sie die beste Option für Online-Zahlungen. Sinnvoll ist eine bestimmte Kreditkarte nur für diese Art Buchungen. Nicht schwach werden bei Rabatten für alternative Zahlungsarten: Sie sind die geringere Sicherheit nicht wert.

Packen: so viel wie nötig, so wenig wie möglich!

Für einen privaten Urlaub packen die meisten Menschen nur das Nötigste ein – ein Shirt weniger, das kleine Duschgel, Kindle statt Büchern. Dieses Prinzip sollte auch für mobile Geräte und personenbezogene Daten auf Geschäftsreisen gelten: Endgeräte, die sensible Unternehmensdaten enthalten, sollten – so weit wie möglich – Zuhause bleiben. Außerdem sollten Reisende die Anzahl ihrer Kreditkarten und anderer persönlich identifizierbarer Gegenstände wie Führerschein oder Büro-Zugangskarte auf ein Minimum reduzieren.

Firmen, deren Mitarbeiter und Mitarbeiterinnen gar in Länder reisen, die dafür bekannt sind, sensible Daten auszuspähen, sollten in Erwägung ziehen, ihnen Einweg-Telefone zur Verfügung zu stellen und spezielle Reise-Laptops, deren Festspeicher regelmäßig formatiert werden.

Keine Abwesenheitsmail mit konkreten Daten!

Eine Abwesenheitsmail ist auch dazu da, anderen freudig mitzuteilen, dass man gerade einen Urlaub genießt. Oder bei Geschäftsreisen: dass eine Antwort erst einmal ausbleibt – nicht aus bösem Willen, sondern weil man seine Mails nicht liest.

Das Problem an einer detaillierten Out-of-office-Mail in beiden Fällen ist, dass so auch Cyberkriminelle erfahren, dass jemand erst am 23. Juni von den Balearen oder aus Frankfurt zurückkommen. Sie wissen dann genau, in welchem Zeitraum sie sich eine Identität zunutze machen können. Zu Zielen solcher Hacks gehören vor allem Personen, die mit sensiblen Daten arbeiten – oder Einfluss auf Geschäftsvorgänge haben, wie zum Beispiel in der Buchhaltung, im Personalwesen, auf der Führungsebene. (Siehe auch: „Vertrauen ist gut – Kontrolle…Sie wissen schon“.)

Während der Reise

Das Arbeitshandy fühlt sich nicht wohl am Pool!

Mal abgesehen vom fraglichen Erholungseffekt, wenn man mit Arbeitshandy am Pool liegt: Firmengeräte, die unbedingt mit auf Reisen müssen (siehe auch: „Packen: so viel wie nötig, so wenig wie möglich“), sollten sicher aufbewahrt werden. Lässt man sie im Hotelzimmer zurück, gehören sie in den Safe. Denn ein gestohlenes oder verlorenes Gerät kann massive Probleme verursachen – beispielsweise, wenn sensible Daten darauf sind. Das kann schnell kostspielige Folgen haben, sowohl wirtschaftlicher Natur als auch für den Ruf des Unternehmens.

Vorsicht bei offenen WLANs!

Natürlich ist es praktisch, sich von einem Café aus schnell den Fensterplatz für den Rückflug zu sichern oder noch ein paar Mails zu beantworten – allerdings sollte man sich unbedingt über die möglichen Sicherheitsrisiken im Zusammenhang mit Open-Access-WiFi im Klaren sein.

Ein paar Grundregeln helfen auch hier schon viel:

  • „Mainstation WiFi“ klingt vertrauenswürdig – vor der Nutzung ist es aber wichtig, sicherzustellen, dass es sich wirklich um ein legitimes WLAN handelt. Seriöse Namen bedeuten das nicht automatisch: Fake-Netzwerke sind relativ leicht einzurichten.
  • Wer in einem offenen WLAN surft, sollte es möglichst vermeiden, passwortgeschützte Konten zu nutzen – und von Finanz-Transaktionen ganz absehen.
  • Am sichersten ist eine Verbindung in ein offenes WLAN über ein VPN (Virtual Private Network), das eine zusätzliche Sicherheits- und Verschlüsselungsschicht bietet.
  • Die Funktion, sich automatisch mit offenen Netzwerken zu verbinden, sollte grundsätzlich deaktiviert sein, weil sie das Handy anfälliger für Angriffe macht.
  • Im Zweifel: lieber das Mobilfunknetz nutzen als das WLAN. Auch das Laptop kann ohne WLAN arbeiten, wenn man mit dem Smartphone einen Hotspot einrichtet.

Wenn Kollegen auf Reisen sind

Vertrauen ist gut – Kontrolle ist… Sie wissen schon...

Einem CEO oder jemand anderem aus der Führungseben vertraut (bis zu einem bestimmten Punkt) jeder Mensch im Unternehmen – und darum auch den Nachrichten, die dieser Mensch versendet. Betrüger setzen immer öfter darauf – und geben sich als CEO der Firma aus (siehe auch: „Keine Abwesenheitsmail mit konkreten Daten“), der zum Beispiel von seiner Geschäftsreise aus schnell eine Zahlung anordnet. Oder sie verleiten Mitarbeiter mit ähnlichen Erklärungen dazu, Anmeldeinformationen für sensible Datenbereiche weiterzugeben – ein klassischer Angriff über Phishing beziehungsweise Social Engineering, worauf auch schon mal große Unternehmen hineinfallen.

„Ich steige gleich ins Flugzeug, überweisen Sie bitte 10.000 Euro für mich an Firma Qwertz“ ist eine Anweisung, die dringend und drängend klingt – es sollte aber immer die Zeit (und das Selbstbewusstsein) da sein, solche Anweisungen zu hinterfragen. Um Mitarbeiter dafür zu sensibilisieren, gibt es Lehrgänge zum Themenbereich die für ein gesteigertes Sicherheitsbewusstsein sorgen.

Über die Autorin: Georgeta Toth hat beim Cybersecurity-Anbieter Proofpoint als Senior Regional Director die Verantwortung für das Geschäft des Cybersecurity-Anbieters in Zentral- und Osteuropa. Sie bekleidet seit mehr als 17 Jahren unterschiedlichste Führungspositionen in der IT-Security-Branche.

(ID:45909214)