Risiko für Datensicherheit bei Geschäftsreisen: Zwei Drittel der Zugpendler potenzielle Voyeure

Neun Prozent der Zugucker/Zuhörer würden gar versuchen, abgefischte Daten an Cyber-Kriminelle zu verkaufen

[datensicherheit.de, 19.09.2024] Aktuelle Erkenntnisse von Kaspersky weisen auf ein oftmals unterschätztes Datensicherheits-Risiko hin, welches insbesondere bei Geschäftsreisenden unbedingt Beachtung finden sollte, denn bei Zugreisen verfolgen Mitreisende zuweilen aufmerksam die Nutzung mobiler Geräte: Demnach würden zwölf Prozent unterwegs aufgeschnappte sensible Geschäftsinformationen an Kollegen oder ihre Geschäftsführung weitergeben – neun Prozent würden gar versuchen, diese an Cyber-Kriminelle zu verkaufen. Erschreckend ist, dass laut Kasperky unabhängiger Tester fast 700 unternehmensbezogene Informationen von Geschäftsreisenden im Zug mithören oder -lesen konnten. Im Juni 2024 habe Censuswide im Auftrag von Kaspersky Online-Interviews unter 1.003 Befragten in Deutschland durchgeführt.

„Unsichere (Daten-) Reise: Visual und Audible Hacking im Zug“: Kaspersky-Studie als Weckruf

E-Mails beantworten, Telefongespräche führen oder Präsentationen bearbeiten: Zugreisen ermöglichen es Geschäftsreisenden auch unterwegs produktiv zu sein. Wie häufig dabei allerdings ein sehr neugieriges – mitunter auch potenziell geschäftsgefährdendes – Publikum mitfährt, zeige die aktuelle Kaspersky-Studie „Unsichere (Daten-) Reise: Visual und Audible Hacking im Zug“. So seien zwei Drittel (66%) der Befragten versucht, während der Fahrt auf die Bildschirme ihrer Sitznachbarn zu schauen oder deren Gespräche mitzuhören. Zwölf Prozent würden aufgeschnappte Informationen über Budgets, Finanzen oder Projekte sogar an Kollegen oder die eigene Geschäftsführung weitergeben.

Dass dies nicht nur eine theoretische Gefahr für Geschäftsinterna ist, zeige ein begleitendes Kaspersky-Experiment zur Studie: „Ein unabhängiger Tester fuhr drei Tage durch Deutschland und notierte per Strichliste alle Geschäftsgeheimnisse, die ihm im Zug oder in den Lounges an den Bahnhöfen begegnet sind. Die potenzielle Ausbeute: 695 einsehbare und mitzuhörende Informationen wie Name und Unternehmen von Geschäftsleuten beziehungsweise von Kollegen, Kunden und Partnern.“

Das Datensicherheitsrisiko geht mit auf Dienstreise

Mitarbeiter mittelständischer Unternehmen in Deutschland absolvierten 39 Prozent ihrer Geschäftsreisen mit dem Zug. „Wie die Kaspersky-Umfrage zeigt, reist das Datensicherheitsrisiko dabei mit: Fast ein Fünftel (19%) der Befragten gesteht, bereits heimlich vertrauliche Texte und Präsentationen auf Bildschirmen von Mitreisenden in Augenschein genommen zu haben.

Nahezu ein Drittel (31%) hat schon einmal ein vertraulich klingendes Telefongespräch mitgehört; mehr als ein Fünftel (22%) konnte darin die konkreten Namen von Unternehmen identifizieren – 23 Prozent sogar jene von Geschäftsreisenden und deren Kunden.“

11% würden erspähte oder aus einem Gespräch entnommene sensible Daten an Interessenten wie andere Unternehmen veräußern

Zwar gelte für die meisten indiskreten Mitfahrer „aus den Augen, aus dem Sinn“ beziehungsweise „zum einen Ohr rein, zum anderen wieder raus“, jedoch würden neun Prozent die abgefangenen Informationen sogar an übelwollende Akteure wie Cyber-Kriminelle verkaufen. Geschäftsschädigend handeln würden zwölf Prozent, die Erkenntnisse über Budgets, Finanzen oder Projekte unter Umständen an Kollegen oder das eigene Management weitergeben würden.

Elf Prozent könnten sich vorstellen, die erspähten oder aus einem Gespräch entnommenen sensiblen Daten an Interessenten wie andere Unternehmen zu veräußern. Zwölf Prozent würden erfolgversprechende Aktien kaufen, wenn sie von vermutlichen Kurssteigerungen Wind bekämen; 13 Prozent würden ihre Neugierde befriedigen und überhörte oder mitgelesene Namen nachschlagen, um mehr über die Personen zu erfahren.

Interna: Geschäftsreisende in Deutschland oftmals zu lasch mit der Datensicherheit

Während des Kaspersky-Experiments habe der unabhängige Tester, Stephan Schilling, innerhalb von drei Tagen 695 Informationen mit Business-Bezug anonym und per Strichlistenzählung feststellen. Den Großteil (548) hätte er in Zügen einsehen und hören können, ein paar wenige (147) in DB-Lounges an den Bahnhöfen: Wie fahrlässig Geschäftsreisende mit den Informationen umgehen, zeigen laut Kaspersky eben auch folgende Beispiele, welche der Tester während des Tests erlebt habe (Schilling sei als unabhängiger Tester für das Kaspersky-Experiment im Juni und Juli 2024 je drei Tage mit dem Zug durch Deutschland und Österreich gefahren und habe Lounges an den Bahnhöfen mit dem Ziel besucht, anonymisiert und stichpunktartig Geschäftsgeheimnisse aufzugreifen):

Ein Reisender nutzte seinen Laptop im Bordrestaurant mit einem großen Zusatzbildschirm
Darauf waren alle Details eines E-Mail-Programms zu erkennen, sowie auf dem Laptop-Bildschirm eine „PowerPoint“-Präsentation, die ebenfalls gut sichtbare Details enthielt.

Eine Reisende arbeitete auf einem Laptop mit großem Bildschirm (17 Zoll) im Intranet eines großen Konzerns
Dabei waren Informationen aus diesem Intranet gut sichtbar, sowie die persönlichen Daten der Reisenden.

Ein Reisender, der entweder Manager oder Anwalt ist, besprach das laufende Strafverfahren eines bekannten Sportlers
Es fiel zwar kein expliziter Name, aber aus den genannten Details (Ort des Gerichts, Zeitraum der vorgeworfenen Tat und weitere Umstände) ließ sich gut ableiten, um wen es ging. Im Gespräch fiel der Satz: „Er hat mir gesagt, das hat er vorsätzlich getan.“

Eine Reisende besprach in einem „MS Teams“-Call den Jahresabschluss eines großen Konzerns
Sie nannte dabei vertrauliche Zahlen, die so der Öffentlichkeit nicht bekannt gemacht werden, und sprach Probleme an, die sich bei der Erstellung ergeben haben.

Die Mitarbeiterin einer Lounge telefonierte laut hörbar für die Gäste der Lounge mit einer Kollegin
In dem Gespräch ging es offenbar um Dienstplan-Angelegenheiten. Dabei wurden der Name der Gesprächspartnerin genannt, sowie die Dauer einer Krankschreibung und die Art der Erkrankung.

Eine Gruppe Reisender hielt in einer Lounge eine Besprechung ab
Dabei sprachen sie sehr laut und trugen alle Unternehmensausweise, die gut sichtbar waren und ihre Klarnamen, sowie den Arbeitgeber zeigten. Es wurden viele Unternehmensinterna besprochen.

Immerhin: Unternehmen legen vermehrt Wert auf sicheren Umgang mit Daten auf Geschäftsreisen

„Das Experiment in den Zügen und den Lounges an den Bahnhöfen gewährt einen interessanten Einblick in den Umgang mit Geschäftsinterna auf Geschäftsreisen“, fasst Schilling, Personalmarketing-Experte, als unabhängiger Tester für Kaspersky auf diversen Zugstrecken in Deutschland unterwegs, zusammen. Etwa 700 Geheimnisse hätten mit recht minimalem Aufwand abgegriffen und für schädliche Zwecke genutzt werden können.

„Die gute Nachricht ist, dass Unternehmen vermehrt Wert auf einen sicheren Umgang mit Informationen auf Geschäftsreisen legen; im Jahr 2019 haben wir bereits ein ähnliches Projekt durchgeführt, bei dem deutlich mehr Geheimnisse hätten abgegriffen werden können.“ Das dürfte auch daran liegen, dass heutzutage subjektiv mehr Bildschirmfolien zum Schutz vor neugierigen Blicken zum Einsatz kämen als noch vor fünf Jahren.

Zahlreiche potenzielle Gefahrenquellen für die Datensicherheit

Marco Preuß, „Deputy Director Global Research & Analysis Team“ bei Kaspersky, führt weiter aus: „Mitarbeitende und vor allem Führungskräfte, die Unternehmensgeheimnisse hüten, sind attraktive Ziele für Spionage. Gerade auf Reisen sind Vorsichtsmaßnahmen – auch außerhalb der IT-Welt – unerlässlich und müssen mit einem Bewusstsein für OPSEC (Operational Security) einhergehen.“ Unternehmensverantwortliche könnten es sich nicht leisten, blank dazustehen, „was diesbezügliche Sicherheitsrichtlinien und Schulungen für ihre Mitarbeiter angeht“. Denn es gebe auf Geschäftsreisen zahlreiche potenzielle Gefahrenquellen für die Datensicherheit – insbesondere da 66 Prozent der Zugpendler dort gerne lauschten und spähten:

Bereits der Name eines Kollegen könne ausreichen, um eine geschäftliche E-Mail-Adresse zu erstellen und diese dann für Phishing-Angriffe zu verwenden. Preuß rät: „Daher sollte die Kommunikation im Zug auf das absolut Notwendigste reduziert werden. Einfache Hilfsmittel wie Sichtschutzfolien können verhindern, dass Unbefugte geschäftliche E-Mails mitlesen. Nicht in den Zug gehören jegliche vertrauliche Informationen, etwa zu Budgets, Finanzen, Kunden oder Projekten.“

Visual und Audible Hacks: Kaspersky-Tipps zur Datensicherheit auf Dienstreisen

Blickschutzfilter oder -bildschirme verwenden!
Die optische Hürde lasse unliebsamen Spähern wenig Chancen. Sollte keine Sichtschutzfolie vorhanden sein, einen Platz wählen, der Dritten keinen Einblick in Geschäftsprogramme und -informationen gewährt!

Nur unverfängliche Inhalte bearbeiten!
Etwa eine nicht vertrauliche „PowerPoint“-Präsentation. Sensible Aktionen – wie eine E-Mail über ein noch nicht veröffentlichtes Produkt – gehörten in eine sichere Umgebung – und nicht in den Zug.

Nennung von Klarnamen (des Unternehmens, von Kunden oder Partnern) vermeiden!
Denn Mitreisende könnten bei Telefonaten im Zug unweigerlich mithören.

Geräte nie aus dem Auge lassen!
Ist es nötig, den eigenen Platz zeitweise zu verlassen, sollten die Geräte mitgenommen oder gesperrt (PIN, Zugangsberechtigung oder Passwort) werden und mit einer passenden mobilen Sicherheitslösung ausgestattet sein. Token, ID-Karten oder ähnliches sollten abgezogen und mitgenommen werden.

Unternehmensverantwortliche sollten klare Regeln für die IT-Sicherheit und den Datenschutz beim mobilen Arbeiten vorgeben!
Schulungen (wie z.B. „Kaspersky Security Awareness“) ermöglichten es, dieses Wissen zu erwerben und vertiefen.

Mitarbeiter regelmäßig hinsichtlich Cyber-Gefahren und Datenschutz schulen – und hierbei auch Geschäftsreisen berücksichtigen!
Kaspersky z.B. biete für alle Unternehmensgrößen und Mitarbeiterprofile passende Trainings.

Weitere Informationen zum Thema:

Personalwirtschaft, Sven Frost, 19.03.2024
Dienstreisen: Mitarbeitende im Mittelstand fahren meist mit dem Auto / Dienstreisende kleinerer und mittlerer Unternehmen sind in Deutschland meistens mit dem Auto unterwegs. Eine aktuelle Studie erklärt die Hintergründe

datensicherheit.de, 30.07.2018
Datensicherheit im Urlaub und auf Reisen / Checkliste mit Empfehlungen für sicheres Arbeiten unterwegs

datensicherheit.de, 21.07.2016
WLAN-Nutzung unterwegs: Insbesondere Dienstreisende sollten Vorsicht walten lassen / Aktuelle Umfrage über geschäftliche Internetnutzung der Deutschen im Ausland zeigt Bedrohungen auf

datensicherheit.de, 13.07.2011
G DATA gibt Reisewarnung: Mobile Geräte im Visier von Cyber-Kriminellen / Umfangreiche Absicherung insbesondere von Smartphones und Tablets im Urlaub empfohlen