Mobile Geräte und Risiken auf Reisen
Mobile Geräte sind zunehmend im Alltagseinsatz zu finden und werden demzufolge oft auch auf Reisen mitgenommen. Dieser Artikel zeigt mögliche Gefahren auf, um Bewusstsein für potentielle Risiken zu schaffen.
Immer mehr Menschen arbeiten mit mobilen Geräten und verwenden diese im Alltag. Vor dem Hintergrund einer voranschreitenden Digitalisierung sind sowohl das Arbeiten aus dem Home-Office aber auch der anstehende Urlaub immer mehr Anknüpfungspunkte für die Verwendung mobiler Geräte wie zum Beispiel Smartphones, Tablet-Computer, Notebooks, tragbare Festplatten oder vergleichbare „Mobile Devices“.
Wenn IT-Sicherheit auf Reisen nicht beachtet wird
Auf Reisen wird IT-Sicherheit oft nicht bedacht. Allerdings ist es gerade wegen der Nutzung ungesicherter Computernetzwerke (z.B.: unbekanntes WLAN) in fremden Umgebungen sowie in weit entlegenen Gebieten besonders zu empfehlen, auf die IT-Sicherheit zu achten. Dabei sollten zum einen die genützten Geräte geschützt werden aber auch die darauf gespeicherten Daten. IT-Sicherheit auf Reisen nicht zu berücksichtigen kann schnell riskant sein.
IT-Sicherheitsrisiken auf Reisen
IT-technische Sicherheitsrisiken auf Reisen sind nicht nur bei weltweiten Reisebewegungen sondern auch bei Reisebewegungen im eigenen Heimatland von besonderer Bedeutung. Allerdings können sich Bedrohungen auf unterschiedliche Arten äußern. Darüber hinaus werden privat verwendete Geräte oftmals – jedoch nicht ausschließlich – weniger professionell durch Schutzeinrichtungen wie etwa Antivirus-Programme, Firewalls oder vergleichbaren Schutzmechanismen geschützt. Vergessen wird leider auch auf die rechtzeitige Aktualisierung betroffener Geräte. Daraus folgt, dass eine Reihe von Bedrohungen im Reiseumfeld besonders relevant ist und gerade das Bewusstsein um diese Bedrohungen sehr stark dazu beiträgt, in geeigneter Form damit umgehen zu können:
Sorglosigkeit auf Reisen kann gefährlich sein – Bedrohungsszenarien für mobile Endgeräte die auch auf Reisen relevant sind:
Hervorzuheben sind neben dem Alltag auf Reisen insbesondere die nachfolgend angegebenen Bedrohungen für Anwenderinnen und Anwender:
- Verlust des Geräts. Gezielte Entwendung durch Diebstahl, Raub oder „verlieren“ bzw. „liegenlassen“ eines mobilen Geräts kommen sehr häufig vor und erfordern geeignete Schutzvorkehrungen. Umfasst sind davon sowohl allgemeine Maßnahmen als auch technische Sicherheitsvorkehrungen. Insbesondere das Management von Zugangsdaten und die Verwendung angebrachter Passwörter in Verbindung mit Mehrfaktor-Authentifizierung sind diesbezüglich hervorzuheben.
- Angriffe über manipuliertes WLAN. In entlegenen Gebieten ist die Versorgung mit ausreichendem Internetzugang oftmals unzureichend. Wenn dann doch „zufällig“ ein WLAN vorhanden ist, das mit guter Bandbreite ausgestattet ist, erscheint dieses Szenario oft als Glücksfall. Allerdings kann es sich oftmals – nicht immer – um ein bösartiges Netzwerk (Fake-WLAN) handeln, das mit der Absicht angeboten wird, Daten – wie etwa unverschlüsselt übertragene Zugangsdaten – abzugreifen. Durchführbar ist dies mittels WLAN-Phishing-Attacken. Öffentliche WLANs sind demzufolge kritisch zu begutachten. Eine mögliche Lösung sind mobile Router (siehe nächster Punkt).
- Angriff auf unzureichend eingestellten, mobilen Router. Statt ein öffentliches Gratisangebot für einen Internetzugang zu verwenden, dessen Betreiberin bzw. Betreiber zumeist unbekannt ist, ist es wohl unwahrscheinlicher Angriffsopfer zu werden, wenn jemand seinen eigenen mobilen Router konfiguriert und betreibt, um damit etwa die Internetverbindung mittels Over-the-Air-Schnittstelle (z.B. 3G, 4G/LTE, 5G) zu realisieren. Dies ist mit einem Hot-Spot über ein Smartphone vergleichbar und setzt einen geeigneten Datentarif voraus. Auch auf Reisen ist auf eine geeignete Absicherung solcher Router besonders zu achten, um ein Gefühl der trügerischen Sicherheit zu vermeiden. Einerseits können Anwenderinnen bzw. Anwender in die Kostenfalle tappen (z.B. unzureichendes im Datenplan enthaltenes Datenvolumen, oder unvorteilhafte Taktung der Abrechnung) andererseits können lückenhaft eingestellte mobile Router - wie stationäre Geräte - Angriffe ermöglichen. Hilfreiche Präventionsmaßnahmen zu Netzwerkschutz des WLANs und konkrete Beispiele zum Schutz ausgewählter Modelle helfen auch mobile Router mit vergleichbarer Sorgfalt zu behandeln, wie es bei stationären Geräten (z.B. im Home-Office) üblicherweise schon verbreitet ist. Die meisten mobilen Router unterstützen Schutz zur Umsetzung von Basissicherheit im privaten WLAN aber auch erweiterte Einstellungsmöglichkeiten zum verbesserten Schutz vor Angriffen.
- Phishingversuche. Phishingversuche sind allgegenwärtig und insbesondere auf Reisen ein Problem. Nämlich dann, wenn Sie in einem kompromittierten Netzwerk (z.B.: WLAN) angemeldet sind, ist die Weiterleitung auf bösartige Webseiten für die Angreiferin bzw. den Angreifer besonders einfach durchführbar und für Sie sehr schwer zu erkennen. Daher gilt auf Reisen ausdrücklich Phishing-Angriffe zu berücksichtigen und dementsprechend zu handeln. Sogenanntes Whitelisting, das mittels Browser-Einstellungen aktivierbar ist, reduziert die mit Phishingangriffen verbundenen Risiken. Durchführbar ist Whitelisting mit den Browsern Safari (in den Einstellungen), Google Chrome (mittels Erweiterung) und Edge (in den Internet Optionen) sowie Firefox (mittels Positivliste). Alternativ ist auch die Erstellung von Blacklists denkbar. Whitelisting ist allerdings zu empfehlen, während Blacklisting für die meisten Anwendungsfälle gegenüber Whitelisting im Nachteil ist. Whitelists reduzieren die Wahrscheinlichkeit, auf eine schadhafte oder bösartig eingerichtete sowie auf eine kompromittierte Website zuzugreifen.
- Schadsoftware. Nicht nur im normalen Alltag ist Schadsoftware eine Herausforderung für Anwenderinnen und Anwender. Insbesondere wenn Sie sich auf Ihr Smartphone verlassen müssen (z.B.: wegen digitalem Ausweis), kommt natürlich ein Zwischenfall mit Schadsoftware ganz besonders ungelegen. Vermeiden Sie die Installation nicht-vertrauenswürdiger Apps und greifen Sie auf ausgewählte Schutz- bzw. Hilfsprogramme wie etwa insbesondere Anti-Virus-Programme zurück.
- Datenverlust. Cloud-Systeme sind seit Jahren auf dem Vormarsch und gerade im Mobil-Bereich sehr gefragt. Der Zugang zu diesen Systemen oder Plattformen ist oftmals mittels konventioneller Zugangsdaten, wie etwa Benutzername oder Passwort durchführbar. Gegen Datenverlust hilft zum einen der eingeschränkte Zugang zu solchen Systemen und zum anderen die Verschlüsselung der Daten mit einem geeigneten Verschlüsselungsverfahren.
- Ausnützen von Schwachstellen. Nicht zeitgerecht aktualisierte Software oder Firmware enthält in vielen Fällen Schwachstellen, die von Angreiferinnen oder Angreifern ausgenützt werden. Das ist auf Reisen ganz besonders problematisch, weil sich Reisende oftmals auf das mobile Gerät verlassen.
Die Verwendung mobiler Endgeräte auf Reisen ist heutzutage keine Ausnahme mehr. Demzufolge sollten Anwenderinnen und Anwender versuchen die damit verbundenen IT-Sicherheitsrisiken schrittweise zu reduzieren. Ein ganz besonders wichtiger Aspekt und darüber hinaus der Startpunkt ist die Beschäftigung mit relevanten Bedrohungen und Risiken auf Reisen.
Anschließend gilt es, zielgerichtete Sicherheitsmaßnahmen (u.a. technisch bzw. organisatorisch) auszuwählen und diese rechtzeitig – nämlich vor Antritt der Reise – umzusetzen. Aber Achtung, selbst nach einer Reise sollten Sie nicht auf die IT-Sicherheit vergessen.
Weitere Informationen
Awarenessmaßnahmen und Sensibilisierungsinitiativen sind weitreichend abrufbar. Auch nach der Reise gibt es Anknüpfungspunkte mit Bezug zur IT-Sicherheit. Eine Checkliste des BSI listet hilfreiche Tipps auf, die nach einer Reise rasch anwendbar sind und das Sicherheitsniveau sehr gut steigern. Weiterführende Details sind in den folgenden Artikeln zu finden:
- Artikel über IT-Sicherheit bei Reisen des BSI
- Artikel über Informationssicherheit auf Auslandsreisen des BSI (IT-Grundschutz)
- Artikel Gefahren für Technik auf Reisen von heise.de
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria