IT-Sicherheit: 8 Wege, um Datenklau auf Dienstreisen zu verhindern

IT-Probleme gehören für Unternehmen in Deutschland mittlerweile zum größten Geschäftsrisiko. Besonders gefürchtet sind Datenpannen, bei denen Kriminelle personenbezogene Daten oder Betriebsgeheimnisse abgreifen. Doch ein Risikofaktor, den Firmen bei ihrer IT-Sicherheit gerne unterschätzen, sind die Mitarbeitenden. Gerade auf Dienstreisen können Unternehmen kaum kontrollieren, wie freigiebig ihre Angestellten mit geschäftlichen Informationen sind, ob sie sich in unsichere Netze einwählen und wie sorglos sie mit Geräten, Datenträgern und Dokumenten umgehen.

Capital hat acht Tipps von IT-Experten, dem Bundesamt für Sicherheit in der Informationstechnik sowie Arbeitsrechtlern gesammelt, mit denen Geschäftsreisende ihre Daten unterwegs schützen:

Kurz vor dem Abflug noch das Online-Teammeeting abhaken? Im Hinblick auf die IT-Sicherheit keine gute Idee. Geschäftsreisende sollten vertrauliche Gespräche vermeiden, sie außer Hörweite von Dritten führen oder zumindest keine Klarnamen nennen und sensible Daten für sich behalten. Denn unbewusst geben sie in Gesprächen, die sie unterwegs führen, Geschäftsinterna preis. Hacker, Cyberkriminelle oder Konkurrenten müssen oft nur lauschen, um nützliche Informationen zu erlangen. Alles kann von Interesse sein, zum Beispiel an welcher Ausschreibung die Firma teilnimmt oder wer Geschäftsüberweisungen freigibt.

Mit solch abgehörten Kenntnissen können Angreifer sich beim ausgespähten Unternehmen Zugang verschaffen und Vertrauen erschleichen. Mit einer gefälschten Identität können sie sich als Mitarbeiter ausgeben und bei der Firma weitere sensible Informationen und Zugangsdaten erfragen oder sogar Zahlungen anstoßen.

Doch selbst wer über sensible Daten schweigt, schreibt womöglich unterwegs Mails oder bearbeitet Dokumente. Neugierige Sitznachbarn erfahren durch einen Seitenblick schnell den Namen des Arbeitgebers und verwendete Programme. Sogar simple Daten wie Signaturen und Betreffzeilen von E-Mails enthalten relevante Geschäftsinformationen, die mitunter nicht für die Öffentlichkeit bestimmt sind. Hier schlummert ein erhebliches Datenschutzproblem. Mobile Geräte und deren Displayinhalt sollten Geschäftsreisende daher mit einer Sichtschutzfolie vor unberechtigtem Mitlesen schützen. Ohne technischen Blickschutz sollten sie beim mobilen Arbeiten zumindest einen Platz wählen, bei dem Dritte nicht spionieren können. Außerdem sollten sie keinesfalls Notizzettel mit beruflichen Hinweisen oder Passwörtern auf dem Arbeitslaptop anbringen.

Ausflüge ins Bordrestaurant und auf die Zugtoilette können schnell zum Risiko für die IT-Sicherheit werden, wenn der Laptop am Sitzplatz liegen bleibt. „Sobald jemand physischen Zugriff auf das Gerät hatte, muss man davon ausgehen, dass dieses kompromittiert sein könnte“, sagt Daniel Nolte von Lanes & Planes. Cyberkriminelle könnten über USB-Ports und ähnliche Schnittstellen Schadsoftware installieren oder Daten stehlen. Über diese Anschlusskontakte kann man sich weitreichenden Zugriff auf ein Gerät verschaffen. Unternehmen sollten mobile Geräte deshalb vorsichtshalber sperren.

Sofern Mitarbeitende die USB-Anschlüsse am Computer nur selten nutzen, kann der Arbeitgeber deren Funktion einschränken oder vollständig blockieren und sie so vor Angriffe absichern. Das schützt auch, falls Mitarbeitende unternehmensfremdes Zubehör wie Kopfhörer, Maus oder Datenstick verbinden. Haben Geschäftsreisende diese unterwegs geschenkt bekommen oder gefunden, ist eine gewisse Skepsis angebracht. Sie können schädliche Programme enthalten oder Daten stehlen, manipulieren oder verschlüsseln.

Wer sich etwa im Café oder in der Bahn mit einem offenen WLAN-Netzwerk verbindet, läuft Gefahr, dass Hacker sensible Daten abgreifen. „Sobald ich mich in ein öffentliches Netz eingeloggt habe, kann ich üblicherweise auch alle anderen Geräte sehen, die dasselbe WLAN nutzen“, erklärt IT-Experte Nolte. Hacker könnten theoretisch versuchen, sich mit einem für sie interessanten Gerät zu verbinden und darauf stattfindende Kommunikation mitzulesen. „Ist das Gerät dann mangelhaft eingerichtet oder unvollständig geupdatet, kann der Zugang gelingen.“

Um dies zu unterbinden, sollten Angestellte von außerhalb nur per VPN (Virtual Private Network) auf das Firmennetzwerk zugreifen. Durch eine VPN-Verbindung entsteht virtuell ein abhörsicherer Tunnel, durch den der gesamte Datenverkehr verschlüsselten fließen kann. So können Mitarbeitende mobil auf zentrale Anwendungen und Datenbestände zugreifen und die IT-Sicherheit bleibt gewahrt – mögliche Hacker bleiben draußen.

Geschäftsreisende sollten alle Geräte und Programme mit unterschiedlichen und komplexen Passwörtern schützen. In der Realität geschieht oft das Gegenteil. „Kein Mensch kann sich 30 verschiedene Passwörter für unterschiedliche Seiten merken, die auch noch komplex sind“, sagt IT-Experte Nolte. Statt also bei allen Seiten und Diensten ein identisches Passwort zu nutzen, rät er, einen Passwortmanager zu verwenden. Diese Verwaltungsprogramme können Passwörter nicht nur aufbewahren, sie generieren auch starke.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt auf Anfrage von Capital außerdem, für die Anmeldung an genutzten IT-Geräten eine Multifaktor-Authentifizierung einzurichten. Der zum Login nötige zweite Faktor kann zum Beispiel ein Fingerabdruck, eine spezielle Chipkarte oder ein auf ein weiteres Gerät gesendeter Pin sein. Ohne diesen bleibt das Gerät für Dritte verschlossen.

Sei es durch Langfinger oder die eigene Unaufmerksamkeit – zwischen Büro und Auswärtstermin kann ein Arbeitsgerät schnell abhandenkommen, und damit auch wichtige Geschäftsdaten. „Je weniger auf dem Gerät direkt abgelegt ist, umso besser. Denn Daten, die nicht vorhanden sind, können nicht gestohlen werden“, sagt IT-Experte Nolte. Dem Grundsatz der Datensparsamkeit können Mitarbeitende folgen, indem sie extra für Geschäftsreisen eingerichtete Laptops und Smartphones ohne sensible Firmendaten mitnehmen. Alles andere sollte über Clouddienste abrufbar sein.

Wer schützenswerte Daten mit auf Geschäftsreise nehmen muss, sollten dies nur verschlüsselt tun. Dazu rät das BSI. Eine Festplattenverschlüsselung verhindere, dass Fremde sensible Daten von abgeschalteten Geräten oder ausgebauten Festplatten auslesen können.

Insbesondere Reisen ins Ausland stellen Mitarbeitende in Bezug auf Datensicherheit vor besondere Herausforderungen. Im Grunde gelten die gleichen Regeln wie bei Inlandsreisen. Geschäftsreisende sollten sich aber zusätzlich über zulässige Verschlüsselungen im Zielland informieren, da einige Länder keine verschlüsselten Daten bei Einreise akzeptieren. Vorsicht ist vor allem geboten, wenn man in Länder reist, die den Ruf innehaben, Bürgerrechte zu missachten. Vor einer Zollkontrolle am Flughafen sollten Reisende ihre Geräte vollständig ausschalten, falls sie diese abgeben müssen. Bei Handy und Smartphone lohnt es sich, die SIM-Karte zu entfernen. Bestenfalls sind Geräte markiert, um sicherzustellen, dass niemand sie dort oder auf der Reise unbemerkt austauscht. Selbst im Hotelsafe sind Laptop, Handy und Co nicht zwangsläufig sicher.

Wenn möglich, sollte die IT-Abteilung des Arbeitgebers alle Geräte nach der Rückkehr überprüfen, bevor sie wieder ans Firmennetz gehen.

Damit Mitarbeitende beim Datenschutz nicht hilflos sind, müssen Firmen sie für den verantwortungsvollen Umgang mit Daten und Datenträgern sensibilisieren und schulen, auch speziell zum Verhalten auf Geschäftsreisen. Solche Vorkehrungen sind auch im Hinblick auf die Haftung im Schadensfall von Bedeutung: Bei Verstößen gegen den Datenschutz oder bei Datenverlust haftet zunächst einmal der Arbeitgeber. Er ist dafür verantwortlich, dass Mitarbeitende ordnungsgemäß mit geschäftlichen Informationen umgehen.

Bei personenbezogenen Daten haben Unternehmen dafür Sorge zu tragen, dass die Vertraulichkeit bei der Verarbeitung solcher Daten stets gewahrt bleibt. Sind Angestellte außerhalb des Betriebs tätig, „ist es deshalb dringend geboten, Mitarbeitenden entsprechende Anweisungen an die Hand zu geben“, sagt Christian Willert, Fachanwalt für Arbeitsrecht, zu Capital.

Aber nicht immer sind Angestellte fein raus. „Lässt etwa eine Mitarbeiterin ihren Laptop aufgeklappt an ihrem Sitzplatz stehen, handelt sie fahrlässig“, erklärt Willert. „Werden Daten entwendet, würde sie im Falle eines Schadens dafür mindestens teilweise haften.“