[datensicherheit.de, 19.09.2024] Aktuelle Erkenntnisse von Kaspersky weisen auf ein oftmals unterschätztes Datensicherheits-Risiko hin, welches insbesondere bei Geschäftsreisenden unbedingt Beachtung finden sollte, denn bei Zugreisen verfolgen Mitreisende zuweilen aufmerksam die Nutzung mobiler Geräte: Demnach würden zwölf Prozent unterwegs aufgeschnappte sensible Geschäftsinformationen an Kollegen oder ihre Geschäftsführung weitergeben – neun Prozent würden gar versuchen, diese an Cyber-Kriminelle zu verkaufen. Erschreckend ist, dass laut Kasperky unabhängiger Tester fast 700 unternehmensbezogene Informationen von Geschäftsreisenden im Zug mithören oder -lesen konnten. Im Juni 2024 habe Censuswide im Auftrag von Kaspersky Online-Interviews unter 1.003 Befragten in Deutschland durchgeführt.

„Unsichere (Daten-) Reise: Visual und Audible Hacking im Zug“: Kaspersky-Studie als Weckruf

E-Mails beantworten, Telefongespräche führen oder Präsentationen bearbeiten: Zugreisen ermöglichen es Geschäftsreisenden auch unterwegs produktiv zu sein. Wie häufig dabei allerdings ein sehr neugieriges – mitunter auch potenziell geschäftsgefährdendes – Publikum mitfährt, zeige die aktuelle Kaspersky-Studie „Unsichere (Daten-) Reise: Visual und Audible Hacking im Zug“. So seien zwei Drittel (66%) der Befragten versucht, während der Fahrt auf die Bildschirme ihrer Sitznachbarn zu schauen oder deren Gespräche mitzuhören. Zwölf Prozent würden aufgeschnappte Informationen über Budgets, Finanzen oder Projekte sogar an Kollegen oder die eigene Geschäftsführung weitergeben.

Dass dies nicht nur eine theoretische Gefahr für Geschäftsinterna ist, zeige ein begleitendes Kaspersky-Experiment zur Studie: „Ein unabhängiger Tester fuhr drei Tage durch Deutschland und notierte per Strichliste alle Geschäftsgeheimnisse, die ihm im Zug oder in den Lounges an den Bahnhöfen begegnet sind. Die potenzielle Ausbeute: 695 einsehbare und mitzuhörende Informationen wie Name und Unternehmen von Geschäftsleuten beziehungsweise von Kollegen, Kunden und Partnern.“

Das Datensicherheitsrisiko geht mit auf Dienstreise

Mitarbeiter mittelständischer Unternehmen in Deutschland absolvierten 39 Prozent ihrer Geschäftsreisen mit dem Zug. „Wie die Kaspersky-Umfrage zeigt, reist das Datensicherheitsrisiko dabei mit: Fast ein Fünftel (19%) der Befragten gesteht, bereits heimlich vertrauliche Texte und Präsentationen auf Bildschirmen von Mitreisenden in Augenschein genommen zu haben.

Nahezu ein Drittel (31%) hat schon einmal ein vertraulich klingendes Telefongespräch mitgehört; mehr als ein Fünftel (22%) konnte darin die konkreten Namen von Unternehmen identifizieren – 23 Prozent sogar jene von Geschäftsreisenden und deren Kunden.“

11% würden erspähte oder aus einem Gespräch entnommene sensible Daten an Interessenten wie andere Unternehmen veräußern

Zwar gelte für die meisten indiskreten Mitfahrer „aus den Augen, aus dem Sinn“ beziehungsweise „zum einen Ohr rein, zum anderen wieder raus“, jedoch würden neun Prozent die abgefangenen Informationen sogar an übelwollende Akteure wie Cyber-Kriminelle verkaufen. Geschäftsschädigend handeln würden zwölf Prozent, die Erkenntnisse über Budgets, Finanzen oder Projekte unter Umständen an Kollegen oder das eigene Management weitergeben würden.

Elf Prozent könnten sich vorstellen, die erspähten oder aus einem Gespräch entnommenen sensiblen Daten an Interessenten wie andere Unternehmen zu veräußern. Zwölf Prozent würden erfolgversprechende Aktien kaufen, wenn sie von vermutlichen Kurssteigerungen Wind bekämen; 13 Prozent würden ihre Neugierde befriedigen und überhörte oder mitgelesene Namen nachschlagen, um mehr über die Personen zu erfahren.

Interna: Geschäftsreisende in Deutschland oftmals zu lasch mit der Datensicherheit

Während des Kaspersky-Experiments habe der unabhängige Tester, Stephan Schilling, innerhalb von drei Tagen 695 Informationen mit Business-Bezug anonym und per Strichlistenzählung feststellen. Den Großteil (548) hätte er in Zügen einsehen und hören können, ein paar wenige (147) in DB-Lounges an den Bahnhöfen: Wie fahrlässig Geschäftsreisende mit den Informationen umgehen, zeigen laut Kaspersky eben auch folgende Beispiele, welche der Tester während des Tests erlebt habe (Schilling sei als unabhängiger Tester für das Kaspersky-Experiment im Juni und Juli 2024 je drei Tage mit dem Zug durch Deutschland und Österreich gefahren und habe Lounges an den Bahnhöfen mit dem Ziel besucht, anonymisiert und stichpunktartig Geschäftsgeheimnisse aufzugreifen):

Ein Reisender nutzte seinen Laptop im Bordrestaurant mit einem großen Zusatzbildschirm
Darauf waren alle Details eines E-Mail-Programms zu erkennen, sowie auf dem Laptop-Bildschirm eine „PowerPoint“-Präsentation, die ebenfalls gut sichtbare Details enthielt.

Eine Reisende arbeitete auf einem Laptop mit großem Bildschirm (17 Zoll) im Intranet eines großen Konzerns
Dabei waren Informationen aus diesem Intranet gut sichtbar, sowie die persönlichen Daten der Reisenden.

Ein Reisender, der entweder Manager oder Anwalt ist, besprach das laufende Strafverfahren eines bekannten Sportlers
Es fiel zwar kein expliziter Name, aber aus den genannten Details (Ort des Gerichts, Zeitraum der vorgeworfenen Tat und weitere Umstände) ließ sich gut ableiten, um wen es ging. Im Gespräch fiel der Satz: „Er hat mir gesagt, das hat er vorsätzlich getan.“

Eine Reisende besprach in einem „MS Teams“-Call den Jahresabschluss eines großen Konzerns
Sie nannte dabei vertrauliche Zahlen, die so der Öffentlichkeit nicht bekannt gemacht werden, und sprach Probleme an, die sich bei der Erstellung ergeben haben.

Die Mitarbeiterin einer Lounge telefonierte laut hörbar für die Gäste der Lounge mit einer Kollegin
In dem Gespräch ging es offenbar um Dienstplan-Angelegenheiten. Dabei wurden der Name der Gesprächspartnerin genannt, sowie die Dauer einer Krankschreibung und die Art der Erkrankung.

Eine Gruppe Reisender hielt in einer Lounge eine Besprechung ab
Dabei sprachen sie sehr laut und trugen alle Unternehmensausweise, die gut sichtbar waren und ihre Klarnamen, sowie den Arbeitgeber zeigten. Es wurden viele Unternehmensinterna besprochen.

Immerhin: Unternehmen legen vermehrt Wert auf sicheren Umgang mit Daten auf Geschäftsreisen

„Das Experiment in den Zügen und den Lounges an den Bahnhöfen gewährt einen interessanten Einblick in den Umgang mit Geschäftsinterna auf Geschäftsreisen“, fasst Schilling, Personalmarketing-Experte, als unabhängiger Tester für Kaspersky auf diversen Zugstrecken in Deutschland unterwegs, zusammen. Etwa 700 Geheimnisse hätten mit recht minimalem Aufwand abgegriffen und für schädliche Zwecke genutzt werden können.

„Die gute Nachricht ist, dass Unternehmen vermehrt Wert auf einen sicheren Umgang mit Informationen auf Geschäftsreisen legen; im Jahr 2019 haben wir bereits ein ähnliches Projekt durchgeführt, bei dem deutlich mehr Geheimnisse hätten abgegriffen werden können.“ Das dürfte auch daran liegen, dass heutzutage subjektiv mehr Bildschirmfolien zum Schutz vor neugierigen Blicken zum Einsatz kämen als noch vor fünf Jahren.

Zahlreiche potenzielle Gefahrenquellen für die Datensicherheit

Marco Preuß, „Deputy Director Global Research & Analysis Team“ bei Kaspersky, führt weiter aus: „Mitarbeitende und vor allem Führungskräfte, die Unternehmensgeheimnisse hüten, sind attraktive Ziele für Spionage. Gerade auf Reisen sind Vorsichtsmaßnahmen – auch außerhalb der IT-Welt – unerlässlich und müssen mit einem Bewusstsein für OPSEC (Operational Security) einhergehen.“ Unternehmensverantwortliche könnten es sich nicht leisten, blank dazustehen, „was diesbezügliche Sicherheitsrichtlinien und Schulungen für ihre Mitarbeiter angeht“. Denn es gebe auf Geschäftsreisen zahlreiche potenzielle Gefahrenquellen für die Datensicherheit – insbesondere da 66 Prozent der Zugpendler dort gerne lauschten und spähten:

Bereits der Name eines Kollegen könne ausreichen, um eine geschäftliche E-Mail-Adresse zu erstellen und diese dann für Phishing-Angriffe zu verwenden. Preuß rät: „Daher sollte die Kommunikation im Zug auf das absolut Notwendigste reduziert werden. Einfache Hilfsmittel wie Sichtschutzfolien können verhindern, dass Unbefugte geschäftliche E-Mails mitlesen. Nicht in den Zug gehören jegliche vertrauliche Informationen, etwa zu Budgets, Finanzen, Kunden oder Projekten.“

Visual und Audible Hacks: Kaspersky-Tipps zur Datensicherheit auf Dienstreisen

Blickschutzfilter oder -bildschirme verwenden!
Die optische Hürde lasse unliebsamen Spähern wenig Chancen. Sollte keine Sichtschutzfolie vorhanden sein, einen Platz wählen, der Dritten keinen Einblick in Geschäftsprogramme und -informationen gewährt!

Nur unverfängliche Inhalte bearbeiten!
Etwa eine nicht vertrauliche „PowerPoint“-Präsentation. Sensible Aktionen – wie eine E-Mail über ein noch nicht veröffentlichtes Produkt – gehörten in eine sichere Umgebung – und nicht in den Zug.

Nennung von Klarnamen (des Unternehmens, von Kunden oder Partnern) vermeiden!
Denn Mitreisende könnten bei Telefonaten im Zug unweigerlich mithören.

Geräte nie aus dem Auge lassen!
Ist es nötig, den eigenen Platz zeitweise zu verlassen, sollten die Geräte mitgenommen oder gesperrt (PIN, Zugangsberechtigung oder Passwort) werden und mit einer passenden mobilen Sicherheitslösung ausgestattet sein. Token, ID-Karten oder ähnliches sollten abgezogen und mitgenommen werden.

Unternehmensverantwortliche sollten klare Regeln für die IT-Sicherheit und den Datenschutz beim mobilen Arbeiten vorgeben!
Schulungen (wie z.B. „Kaspersky Security Awareness“) ermöglichten es, dieses Wissen zu erwerben und vertiefen.

Mitarbeiter regelmäßig hinsichtlich Cyber-Gefahren und Datenschutz schulen – und hierbei auch Geschäftsreisen berücksichtigen!
Kaspersky z.B. biete für alle Unternehmensgrößen und Mitarbeiterprofile passende Trainings.

Weitere Informationen zum Thema:

Personalwirtschaft, Sven Frost, 19.03.2024
Dienstreisen: Mitarbeitende im Mittelstand fahren meist mit dem Auto / Dienstreisende kleinerer und mittlerer Unternehmen sind in Deutschland meistens mit dem Auto unterwegs. Eine aktuelle Studie erklärt die Hintergründe

datensicherheit.de, 30.07.2018
Datensicherheit im Urlaub und auf Reisen / Checkliste mit Empfehlungen für sicheres Arbeiten unterwegs

datensicherheit.de, 21.07.2016
WLAN-Nutzung unterwegs: Insbesondere Dienstreisende sollten Vorsicht walten lassen / Aktuelle Umfrage über geschäftliche Internetnutzung der Deutschen im Ausland zeigt Bedrohungen auf

datensicherheit.de, 13.07.2011
G DATA gibt Reisewarnung: Mobile Geräte im Visier von Cyber-Kriminellen / Umfangreiche Absicherung insbesondere von Smartphones und Tablets im Urlaub empfohlen

[datensicherheit.de, 25.10.2016] Kostenloses WLAN auf Flughäfen, neuerdings auch in Flugzeugen und in Hotels in Europa bietet auf den ersten Blick zwar erhebliche finanzielle Vorteile für den Nutzer, ist allerdings häufig die Konnektivität eingeschränkt. Für Unternehmen ist darüberhinaus auch das Thema Datensicherheit von erheblicher Bdeutung.

Nach dem „Mobile Connectivity Cost Index 2016“ entstehen Unternehmen pro Arbeitnehmer durch den nur langsamen Zugriff auf wichtige Firmen-Anwendungen und Informationen Kosten durch verlorene Arbeitszeit von durchschnittlich 690 Euro pro Tag innerhalb von Europa und außerhalb von Europa sogar von durchschnittlich 1.029 Euro am Tag. Demgegenüber stehen Kosten z.B. für On-Demand WLAN in Europa von lediglich 43 Euro am Flughafen, 49 Euro im Flugzeug, 32 Euro in Hotels und 20 Euro in Bäckereien oder Kaffee Bars. Zusammen belaufen sich die Kosten auf 144 Euro denen letztlich 690 Euro gegenüberstehen. Die Nutzung von freien Wi-Fi- und WLAN-Hot Sposts seitens der Arbeitsnehmer ist aus Sicht der Arbeitgeber nicht zwangsläufig die beste Lösung ist. [1]

Indirekte Kosten bleiben häufig unbeachtet

Die Studie macht darüber hinaus in Summe deutlich, dass sich die direkten und indirekten Kosten im Zusammenhang mit mobiler Konnektivität durch Mobilfunk-Roaming, Pay-on-Demand WLAN und kostenloses WLAN bei nordamerikanischen und europäischen Unternehmen jährlich auf mindestens 2,59 Milliarden Euro belaufen. Diese Kosten sind auf den Bedarf an Konnektivität mobiler Mitarbeiter sowie auf den steigenden Datenverbrauch zurückzuführen; mobile Mitarbeiter, die reisen und unterwegs arbeiten, werden im Jahr 2016 schätzungsweise durchschnittlich 6 GB an Daten pro Monat verbrauchen.

„Konnektivität war nie wichtiger als heute. Ganz gleich, ob mobile Mitarbeiter versuchen, tagsüber produktiv zu sein oder sich nachts mit Freunden oder der Familie verbinden – die Notwendigkeit, verbunden zu sein, ist stets spürbar“, sagt Patricia Hume, Chief Commercial Officer bei iPass. „Die direkten und indirekten Kosten für die ständige Konnektivität mobiler Mitarbeiter sind höher, als viele Unternehmen wissen, was deutlich macht, dass Unternehmen mehr Einblick in die Datennutzung ihrer Mitarbeiter benötigen. Kostengünstige und sichere Konnektivität ist von zentraler Bedeutung, kostenloses Wi-Fi sorgt jedoch nicht für die Einfachheit und den Komfort, den mobile Mitarbeiter heutzutage verlangen.“

Bild: iPass

Patricia Hume, Chief Commercial Officer bei iPass

Die eigentlichen Kosten des „kostenlosen” Internetzugangs

In den letzten zwölf Monaten erfuhr das „kostenlose” WLAN ein kontinuierliches Wachstum, der Begriff ist für viele Unternehmen aber irreführend. Kostenlose WLAN-Verbindungen gehen nicht selten mit geringen Übertragungsraten einher, was dazu führt, dass Geschäftsanwendungen nicht richtig funktionieren. Gleichzeitig ist aber die Anzahl der Geräte, die sich verbinden können, beschränkt. Rechnet man dann noch die Zeit hinzu, die mobile Mitarbeiter damit verbringen, kostenlose Dienste aufzuspüren und sich anzumelden, summieren sich die negativen Auswirkungen auf die Produktivität. Der Bericht legt nahe, dass der Produktivitätsverlust die Unternehmen pro mobilem Mitarbeiter, je nach deren Standort und Zielort, jeden Monat zwischen 683 und 1.032 Euro kosten kann.

Europa im Vergleich zu Nordamerika

Die Konnektivitätskosten für Geschäftsreisende in Europa und Nordamerika variieren je nach den von ihnen angewandten Methoden. Verbinden sich mobile Mitarbeiter aus Nordamerika, die international auf Reisen sind, hauptsächlich über ihr Mobiltelefon, entstehen ihnen monatliche Kosten von 183 bis 1.299 Euro. Mobile Mitarbeiter aus Frankreich trifft es am härtesten, wenn sie außerhalb Europas unterwegs sind. Sie kommen auf Kosten von 1.221 bis 1.834 Euro pro Monat. Im Vergleich dazu liegen die monatlichen Kosten mobiler Mitarbeiter aus Großbritannien bei 138 bis 1.001 und die ihrer deutschen Kollegen bei 312 bis 1.105 Euro. Werden vorwiegend Mobiltelefondienste innerhalb Europas genutzt, zahlen die mobilen Mitarbeiter aus Großbritannien zwischen 90 und 164 Euro pro Monat. In Frankreich und Deutschland betrugen die Kosten 76 bis 310 Euro bzw. 109 bis 153 Euro. Wenn es um den Kauf von WLAN-on-Demand ging, mussten die mobilen Briten am meisten bezahlen, wenn sie diese Dienste jeden Monat sowohl innerhalb (169 Euro) als auch außerhalb Europas (175 Euro) nutzten. Ihren französischen Kollegen entstanden monatliche Kosten von 135 und 159 Euro, bei den deutschen waren es 142 und 151 Euro pro Monat. Alles in allem ergeht es den mobilen Mitarbeitern aus Nordamerika am besten: sie zahlen im Inland monatlich 132 Euro für die Nutzung von WLAN-on-Demand und außerhalb der USA 133 Euro pro Monat.

Sicherheit von offenen Hot Spots nicht überschätzen

Offene Hot Spots sind in aller Regel nicht einmal passwortgeschützt. Keith Waldorf, Vize Präsident Engineering bei iPass sagt: „Mobile Endgeräte, die über einen solchen Zugang eingeloggt werden, können leicht mit Malware infiziert und dann von Hackern zum Daten- und Identitätsdiebstahl missbraucht werden. Auf der anderen Seite können aber auch die übertragenen Daten – quasi aus der Luft – abgefangen werden, sollten diese unverschlüsselt versendet werden. Diese sogenannten Man-in-the-Middle-Attacken lassen sich nur mit entsprechenden Sicherheitsmaßnahmen verhindern.“ [1] Immer häufiger gibt es darüber hinaus auch gefälschte WLAN-Hot Spots, die von Cyberkriminellen aufgesetzt werden, um sich Zugriff auf Mobilfunkgeräte und Laptops zu verschaffen und auf diesen Devices Malware installieren.

Bild: iPass

Keith Waldorf, Vize Präsident Engineering bei iPass

Fazit

Kostenlose Internetzugänge per WLAN sind aus der Perspektive der Sicherheit, aus der Perspektive der Kosten, aber auch durch mangelnde Konnektivität und Verfügbarkeit von Daten und Anwendungen für Geschäftsanwendungen nicht ausreichend. Für die Nutzung von freien WLANs sind für Unternehmen deshalb entsprechende Compliance-Regeln erforderlich, deren Einhaltung sollte als Beitrag zur Sicherheit fortlaufend überprüft werden.

Weitere Informationen zum Thema:

[1] http://www.travelpulse.com/news/travel-technology/wi-fi-expert-offers-advice-to-business-travelers-on-ipass-and-security.html aufgerufen am 24.10.2016

[datensicherheit.de, 16.04.2013] Mobile Endgeräte sind längst ein fester Bestandteil von Geschäftsreisen. Smartphone-Apps helfen bei Fragen und Problemen vor Ort schnell weiter. Allerdings machen 65 Prozent der Unternehmen ihren Mitarbeitern keine Vorgaben bei der Nutzung mobiler Angebote. Damit gefährden sie die Sicherheit der auf den mobilen Endgeräten enthaltenen sensiblen Firmendaten. Zu diesem Ergebnis kommt die aktuelle Umfrage Chefsache Business Travel von Travel Management Companies im Deutschen ReiseVerband (DRV).

Grundsätzlich sind mobile Endgeräte ein nützlicher Helfer auf Geschäftsreisen. So gibt es spezielle Reise-Apps, die über Flugausfälle oder Verspätungen informieren und alternative Reiserouten bereitstellen. Allerdings birgt eine unkontrollierte Nutzung auch Risiken. Denn gerade unbekannte Apps können Schad- oder sogar Spionagesoftware enthalten, die es Dritten ermöglicht, Zugriff auf sensible Unternehmensdaten zu bekommen.

„Wer seinen Mitarbeitern keine klaren Vorgaben bei der Verwendung mobiler Angebote macht, handelt fahrlässig“, warnt Stefan Vorndran, Vorsitzender des DRV-Ausschusses Business Travel. Für die Experten ist der sorglose Umgang mit Apps auf Geschäftsreisen auch ein Zeichen dafür, dass die mobile Kommunikation für viele Unternehmen noch ein weitgehend unbekanntes Terrain darstellt. Der Deutsche ReiseVerband empfiehlt Unternehmen daher, sich von Geschäftsreisebüros unterstützen zu lassen. Diese stellen Anwendungen zur Verfügung, die optimal auf die Bedürfnisse der Geschäftsreisenden zugeschnitten sind und gleichzeitig die Datensicherheit gewährleisten.

Darüber hinaus helfen die Spezialisten dabei, das Thema Datenschutz stimmig in die Reiserichtlinien zu integrieren. Mitarbeiter erhalten damit klare Vorgaben, an denen sie sich auf Geschäftsreisen orientieren können ohne auf wichtige Informationen verzichten zu müssen. Und die Firmen verhindern, dass der falsche Klick eines Mitarbeiters auf Reisen zur Gefahr für das gesamte Unternehmen wird.

Zur Studie „Business Travel 2013“

Die Studie „Business Travel 2013“ wurde im Auftrag des Deutschen ReiseVerbands (DRV) durchgeführt. 100 Geschäftsführer, die selber regelmäßig auf Geschäftsreisen sind, sowie 100 geschäftsreisende Führungs- und Fachkräfte aus Unternehmen ab 250 Mitarbeitern wurden dafür zum Thema Geschäftsreisen befragt.

Über die Kampagne „Chefsache Business Travel“

Auf Geschäftsreisen setzen Unternehmen ihre wichtigste Ressource ein: den hochqualifizierten Mitarbeiter. Knapp 90 Prozent schicken ihre Mitarbeiter mit dem Ziel auf Reisen, Geschäftsabschlüsse unter Dach und Fach zu bringen oder zumindest vorzubereiten. Der effizienten Gestaltung von Geschäftsreisen im Unternehmen misst die Chefetage jedoch trotzdem oft keine strategische Bedeutung zu. Dabei wird diese Aufgabe immer komplexer. Nicht nur Kosten, sondern auch andere Kriterien wie zum Beispiel Nachhaltigkeit oder Sicherheit gilt es zu beachten. Ziel der Initiative von Travel Management Companies im DRV ist es, Geschäftsreisen als strategisches Managementthema zu verankern und den Nutzen eines professionellen Geschäftsreisemanagements in Zusammenarbeit mit den Geschäftsreisebüros auf Entscheiderebene besser bekannt zu machen. Weitere Infos unter www.chefsache-businesstravel.de.