IT-Sicherheit auf Reisen: Welche Risiken lauern, wenn man unterwegs ist?
Damit sowohl die Urlaubsplanung als auch der Urlaub selbst ungetrübt von Hackerangriffen und Co. bleibt, lohnt es sich, seine Geräte bereits vorab zu schützen und auf Warnhinweise zu achten. Im Interview erklären die Expertinnen und Experten von SBA Research, worauf es dabei ankommt.
Günstige Flüge, schicke Hotels zu unschlagbaren Preisen oder Reiseangebote, die fast zu schön klingen, um wahr zu sein – die Urlaubsplanung via Internet bietet viele Vorteile für Reiselustige. Und natürlich darf auch auf der Reise selbst das Smartphone mit Internetzugang nicht fehlen. Immerhin dient es heutzutage nicht mehr nur dafür, mit der Heimat in Kontakt zu bleiben, sondern zumeist auch als Aufbewahrungsort sämtlicher notwendiger Reisedokumente. Mit der Digitalisierung wurden jedoch auch Internet-Betrügerinnen und -Betrüger auf die neuen Möglichkeiten aufmerksam. Stephanie Jakoubi und das Team an Security Expertinnen und Experten von SBA Research, dem mittlerweile größten Forschungszentrum für Informationssicherheit in Österreich, mahnen daher zu einer gesunden Skepsis: Wenn es etwa um die Urlaubsbuchung auf unbekannten Webseiten geht, oder dem Verwenden öffentlicher WLAN-Netzwerke. Im Interview erklären sie, wie Userinnen und User sich vor Hackerangriffen schützen können und was passieren kann, wenn Cyberkriminelle Zugriff auf persönliche Daten erhalten.
1. Welche IT-Sicherheitsrisiken können auf Reisende zukommen?
Auf Reisen sind Userinnen und User sehr oft mit diversen IT-Sicherheitsrisiken konfrontiert. Die häufigsten sind laut Security Expertinnen und Experten von SBA Research:
- Diebstahl oder Verlust von Geräten: Wenn kein Passwortschutz bei Smartphones gesetzt ist oder die Festplatte des Laptops nicht verschlüsselt wurde, kann eine fremde Person bei einem Diebstahl oder Verlust des Geräts auf meine Daten zugreifen. Weiters kann das auch bedeuten, dass ich meine Daten verliere, wenn ich kein Backup davon habe.
- Passwort auf öffentlichen Computern eingeben: Wenn das eigene Passwort auf fremden oder unsicheren Geräten wie etwa „öffentlichen“ Computern im Hotel eingegeben wird, kann es passieren, dass jemand Zugriff darauf erhält, das Konto übernimmt und an Mails, private Nachrichten oder Einkaufsaccounts herankommt.
- Shoulder surfing: Mitreisende schauen bei der PIN oder Passworteingabe beziehungsweise bei vertraulichen Aktivitäten beispielsweise am Smartphone-Bildschirm über die Schulter und spionieren so sensible Daten aus.
- Opfer von Betrug: Noch vor Antritt einer Reise fallen leider immer wieder Userinnen oder User auf gefälschte Reisebuchungswebsites herein und geben dort Daten – und vor allem sensible Kreditkartendaten – ein.
- Bankomaten Skimming: Es kommt selten, aber doch immer wieder vor: Darunter versteht man, dass auf manipulierten Bankomaten die Bankdaten und der PIN-Code ausgelesen werden, um Kopien der Karte zu erstellen und damit in anderen Ländern – meist nicht in Europa – Geld abzuheben.
- Einbruch zuhause: Werden Bilder aus dem Urlaub etwa auf Sozialen Netzwerken geteilt, könnten potenzielle Einbrecherinnen oder Einbrecher erfahren, dass dieses Haus nun leer steht. Diese Information wird dann für einen Einbruch genutzt.
2. Wie können sich Urlauber schon vorab und auch direkt im Urlaub schützen?
Generell gilt natürlich für Userinnen und User immer die Security Basics zu beachten, betonen die Security Expertinnen und Experten von SBA Research. Besonders wichtig ist es, sichere Passwörter und vor allem unterschiedliche Passwörter für verschiedene Konten zu wählen, und zusätzlich eine Multi-Faktor-Authentifizierung bei den Accounts der unterschiedlichsten Plattformen einzurichten. Auch das Aktivieren der Geräte-Verschlüsselung schützt vor Hackerangriffen im Urlaub. Für den Fall des Geräteverlusts sollte die Option zur Fernlöschung des Smartphones aktiviert (zum Beispiel „Find my iPhone“) und zusätzlich vor der Reise ein Backup gemacht werden. Auch sollten Userinnen und User regelmäßig Geräteupdates installieren und so etwa ihr Smartphone oder ihren Laptop aktuell halten, um IT-Sicherheitslücken in einem veralteten System zu vermeiden.
Natürlich sind eine gesunde Skepsis und Hausverstand beim Umgang mit Mails, die von Betrügerinnen und Betrügern kommen können, und beim Suchen von guten Angeboten im Internet immer von Vorteil. Überprüfen Sie außerdem regelmäßig Ihre Konto- und Kreditkarten-Abrechnungen, ob etwas unerlaubt abgebucht wurde.
Hinweis
Wenn Sie Ihr Smartphone verloren haben, können Sie persönliche Informationen per Fernzugriff schützen und dadurch weiterem Schaden vorbeugen. Im Beitrag „Smartphone verloren: Erste-Hilfe-Anleitung“ erfahren Sie, wie Sie im Ernstfall vorgehen müssen. Wurde Ihr Laptop gestohlen oder verloren, erhalten Sie hier eine Erste-Hilfe-Anleitung.
3. Welche Gefahren lauern bei der Urlaubsbuchung? Wie lassen sich betrügerische Buchungsplattformen und andere Fake-Websites (wie etwa gefälschte Plattformen für die Buchung von elektronischen Einreisegenehmigungen) erkennen? Worauf ist zu achten?
Security Expertinnen und Experten von SBA Research: Achtung vor Lockangeboten! Wenn sich ein Angebot zu gut um wahr zu sein anhört, ist es das (meistens) auch. Nutzen Sie vorrangig die Ihnen bekannten Plattformen. Wenn Sie die Seite bisher noch nicht kennen, checken Sie Kontaktdaten, Impressum und Firmensitz der Website beziehungsweise des Unternehmens. Auch Rezensionen im Internet können hilfreich sein, um zu bewerten, ob eine Website ein Fake ist oder nicht.
- Achtung: Reines „googeln“ und den ersten Treffer zu nehmen, ist nicht automatisch sicher. Auch unseriöse Anbieter können etwa durch Suchmaschinenoptimierung ihrer Angebote probieren, in der Google-Suche ganz oben und damit sichtbar in den Rankings aufzutauchen. Eine andere Möglichkeit ist, etwa mittels Werbeanzeigen potenzielle Betrugsopfer auf die Seite zu locken.
- Achtung: Ein Schlosssymbol („https“) alleine auf einer Website sagt noch nichts über die Vertrauenswürdigkeit dieser aus. Auch Kriminelle können dieses Zeichen leicht erhalten. Nichtsdestotrotz gilt, dass Passwörter, sensible Daten und Zahlungsinformationen nur auf mit „https“ geschützten Websites eingegeben werden sollten.
Hinweis
Die Plattform Watchlist Internet informiert über die verschiedenen Gefahren bei der Urlaubsbuchung und listet zusätzlich betrügerische Buchungsplattformen auf ihrer Website.
4. Was passiert, wenn Nutzerinnen oder Nutzer auf betrügerische Websites hereinfallen und ihre persönlichen, für Reisen notwendige Daten an Unbekannte übermitteln?
Die häufigsten Konsequenzen sind der Identitätsdiebstahl und der Missbrauch der Daten im Internet, wissen die Security Expertinnen und Experten von SBA Research. Angreiferinnen und Angreifer werden im Namen ihres Opfers aktiv und schließen beispielsweise Rechtsgeschäfte ab – wie etwa unberechtigt abgeschlossene Abonnements für Video-Streaming-Dienste sowie Dating-Portale oder Warenbestellungen über Shopping-Plattformen. Betroffene erfahren meist erst vom Identitätsdiebstahl, wenn sie Rechnungen oder Inkasso-Schreiben erhalten oder unbekannte Abbuchungen auf ihrem Konto finden. Häufig legen Angreiferinnen und Angreifer auch im Namen ihrer Opfer Onlinekonten auf Social Media-Plattformen an und verbreiten illegale beziehungsweise strafrechtlich relevante Inhalte und Aussagen. Vorab überwiesenes Geld ist zudem oft verloren, weil sich herausstellt, dass die angebliche Ferienwohnung – die vielleicht zu einem Schnäppchenpreis angeboten wurde – gar nicht existiert.
Tipp
Wenn bei Buchungsplattformen (oder in einem Hotel) Passfotos oder Führerscheinfotos hochgeladen werden müssen, können diese mittels Wasserzeichen geschützt und gewisse Informationen wie die Unterschrift geschwärzt werden. Nähere Informationen dazu finden Sie auf der Website von Watchlist Internet.
5. Welchen Unterschied in Bezug auf die Risiken und Gefahren besteht zwischen Urlaubs- und Geschäftsreisen?
Security Expertinnen und Experten von SBA Research: Normale Urlauber sind meist nur nicht-zielgerichteten („opportunistischen“) Angriffen ausgesetzt, bei denen es die Kriminellen nicht explizit auf sie abgesehen haben, sondern einfach hoffen, dass irgendjemand auf ihren Angriff hereinfällt.
Mitarbeiterinnen oder Mitarbeiter in einem Unternehmen (etwa in der kritischen Infrastruktur) oder einer Regierungsbehörde sind potenziell auch zielgerichteten Angriffen ausgesetzt, bei denen die Angreifenden Zeit und Ressourcen aufwenden, um genau jene Person zu kompromittieren und so Zugriff auf Daten oder Systeme ihres Arbeitgebers zu erhalten. Je nachdem in welchem Unternehmen man arbeitet, gibt es aber oft interne Sicherheitsvorgaben, die bei Geschäftsreisen zu beachten sind, wie etwa das Verbot der Nutzung fremder WLANs.
Manche Länder (zum Beispiel die USA oder China) können verlangen, dass ihnen bei der Einreise Zugriff auf die Geräte wie Handy oder Laptop gewährt wird. Daher sollte vorab überlegt werden, welche Geräte auf die Reise mitgenommen werden. In manchen Unternehmen werden Geschäftsreisenden deshalb ein Laptop und Smartphone mit einem Mindestmaß an notwendigen Daten und beschränktem Zugriff auf das Unternehmensnetzwerk für den Auslandsaufenthalt bereitgestellt, um sicherzustellen, dass darüber keine Schadsoftware ins Unternehmen eingeschleust werden kann.
6. Müssen Internetnutzerinnen und -nutzer vorsichtiger sein, wenn sie sich im Ausland in ein WLAN einloggen? Gibt es hier einen Unterschied bei den Sicherheitsstandards?
Grundsätzlich ja, sagen die Security Expertinnen und Experten von SBA Research. Es sind zwar Angriffe denkbar, aber diese sind eher selten und technisch vergleichsweise aufwändig. Trotzdem empfiehlt sich generell, eine Nutzung fremder WLANs eher zu vermeiden – insbesondere an öffentlichen Orten wie Flughäfen, Restaurants oder anderen öffentlichen Plätzen. Jedenfalls sollten keine kritischen Geschäfte oder Tätigkeiten (etwa Online Banking oder Passworteingabe auf sensiblen Seiten) über ein fremdes WLAN durchgeführt werden. Kann die Tätigkeit nicht auf einen späteren Zeitpunkt, zu dem es Zugriff auf ein sicheres WLAN gibt, verschoben werden, nutzen Sie das mobile Internet des eigenen Smartphones (Vorsicht vor potenziellen Roaming-Kosten).
Achtung: Insbesondere, wenn man mit einem fremden WLAN verbunden ist und aufgefordert wird, zusätzliche Software herunterzuladen, im Browser Plugins zu aktivieren oder Zertifikatswarnungen erscheinen, ist besondere Vorsicht geboten und davon Abstand zu nehmen!
Die WLAN-Sicherheitsstandards zur Verschlüsselung sind weltweit die gleichen und die aktuellen (WPA2 oder WPA3) sehr sicher. Die Sicherheit der WLAN-Verschlüsselung ist hier aber nicht das primäre Problem, weil die meisten Websites ohnehin nur noch über „https“ im Internet verfügbar sind. Selbst wenn mein WLAN-Verkehr mitgelesen werden kann, kann ein Angreifer keinen Zugriff auf die Inhalte der „https“-verschlüsselten Kommunikation mit einer Zielwebsite erhalten – sofern ich als Nutzerin oder Nutzer davor keine Zertifikatswarnungen ignoriert habe.
Hinweis
Welche Regeln beim Surfen über unbekannte WLAN-Hotspots gelten, lesen Sie im Beitrag „Sicherer Umgang mit WLAN-Hotspots“.
7. Ist die Nutzung öffentlicher Ladekabel, die häufig auf Flughäfen bereitgestellt werden, unbedenklich? Welche Risiken bergen sie?
Security Expertinnen und Experten von SBA Research: Früher gab es Fälle, dass über öffentliche Ladekabel Schadsoftware auf Geräte aufgespielt wurde. Mittlerweile sind die Smartphones tendenziell besser abgesichert und – sofern man aktuelle Geräte verwendet (auf denen die aktuellen Sicherheitsupdates eingespielt wurden) – sollte es im Normalfall nicht mehr vorkommen, dass durch das reine Anstecken und ohne, dass man am Handy eine verdächtige Meldung bestätigt und seinen PIN eingibt, Schadsoftware auf das Gerät übertragen werden kann. Eine Infektion kann aber auch bei aktuellen Geräten nie vollkommen ausgeschlossen werden. So wurden sogenannte „Zero-Day“- Schwachstellen von der Spionagesoftware „Pegasus“ genutzt.
Hinweis
Sogenannte „Zero-Day“-Sicherheitslücken sind Schwachstellen in der Software, die dessen Anbieter nicht bekannt sind. Solche Sicherheitslücken etwa in iPhones werden teuer gehandelt und von Geheimdiensten und Cyberkriminellen genutzt. Die israelische Spionage-Software „Pegasus“ verschaffte sich im Jahr 2016 über drei solcher Schwachstellen Zugriff auf die iPhones von Menschenrechtlerinnen und Menschenrechtler sowie Journalistinnen und Journalisten, um Nachrichten und E-Mails mitzulesen, Anrufe zu verfolgen, Passwörter abzugreifen, Tonaufnahmen zu machen und den Aufenthaltsort der Nutzerinnen und Nutzer aufzuzeichnen.
Tendenziell sollte man also eher Abstand von solchen Ladekabeln nehmen und sein Gerät lieber über ein eigenes Ladegerät oder eine Powerbank aufladen. „Ich persönlich würde eher die Powerbank als mein Smartphone mit einem fremden Ladekabel verbinden“, betonen auch die Security Expertinnen und Experten von SBA Research.
Tipp
Als zusätzliche Sicherheitsmaßnahme können eigene USB Data Blocker-Kabel verwendet werden. Sie garantieren, dass nur Strom über die Leitung übertragen werden kann (Datenleitungen sind getrennt/nicht vorhanden). Weitere Sicherheitstipps fürs Verreisen lesen Sie im gleichnamigen Beitrag.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria