In einer globalisierten Welt gehören Geschäftsreisen zum Alltag vieler Mitarbeiter auf allen Ebenen der Unternehmenshierarchie. Viele Angestellte sind daher bereits jetzt mit der Planung ihrer Reisen im kommenden Jahr beschäftigt – für Unternehmen ein idealer Zeitpunkt, sich daran zu erinnern, dass reisende Mitarbeiter (insbesondere Führungskräfte) das ganze Jahr über durch eben diese Reisen zusätzliche Angriffsfläche für Cyberangriffe bieten. Von der Sorglosigkeit bei Online-Buchungen bis hin zur Missachtung elementarer Grundregeln der Cybersicherheit ¬– Reisende sind unterwegs oft unvorsichtig, sodass sie bezüglich der IT-Sicherheit immer wieder sensibilisiert werden sollten. Denn es genügt, wenn eine einzelne Person Opfer eines Betrugs wird, damit ein Cyberkrimineller einen Angriff auf das gesamte Firmennetzwerk beginnen kann.

Insofern kommt dieser Sensibilisierung erhebliche Bedeutung zu, denn Cyberkriminelle attackieren Mitarbeiter oft dann, wenn sie nicht im Büro sind. Daraus folgt, dass zuverlässige und bewährte Verfahren der Cybersicherheit sowohl auf Arbeits- als auch auf Privat-Geräten Anwendung finden müssen – und das während der Arbeitsstunden und der Freizeit. Daher sollte ein Programm zur Sensibilisierung der Mitarbeiter darauf abzielen, ein sicherheitsbewusstes Verhalten der Endnutzer nicht nur gelegentlich zu verfolgen, sondern es vor Allem zu automatisieren.
Der folgende Leitfaden für Unternehmen und Angestellte hilft dabei, die Cybersicherheit auch während der Abwesenheit eines Mitarbeiters vom eigenen Büro zu gewährleisten:

Reisen immer über vertrauenswürdige Händler buchen

In vielen Unternehmen buchen Mitarbeiter ihren Reisen selbst und erhalten die Kosten dafür später erstattet. Hier kennen und nutzen Betrüger diesen Umstand und geben sich als Reisebüros aus beziehungsweise legen scheinbar legitime Webseiten an, auf denen sie ihre Opfer durch Hotel-, Flug- und Mietwagenrabatte locken.
Durch die Beachtung weniger Grundregeln können sich Unternehmen vor derlei Cyberbedrohungen schützen und das Bewusstsein ihrer Mitarbeiter schärfen:

• Mitarbeiter sollten mit ihren Personalabteilungen Richtlinien und Verfahren für die Buchung von Reisen vereinbaren, einschließlich der Definition zulässiger Buchungsagenturen und Reisestellen. Ferner sollten Buchungen, die nicht über genehmigte Kanäle vorgenommen wurden, nicht erstattungsfähig sein.
• Reiserabatte, die über unerwünschte E-Mails eintreffen, sollten ignoriert werden. Anstatt auf Links oder Telefonnummern in diesen Nachrichten zu klicken, sollten Benutzer vertrauenswürdige Websites besuchen oder eine verifizierte Telefonnummer anrufen, um zu bestätigen, dass ein Angebot legitim ist.
• Kreditkarten stellen die beste Option für Online-Zahlungen dar, weil sie Schutzmechanismen bieten, die Debitkarten und Banküberweisungen nicht bieten. Reisende sollten bei einer Buchung immer eine dafür bestimmte Kreditkarte nutzen, auch wenn ihnen ein Rabatt für die Verwendung einer alternativen Zahlungsart angeboten wird.

Aufs Wesentliche beschränken

Vor dem Reiseantritt, neigen viele dazu, nur das Nötigste an Kleidung und Toilettenartikel einzupacken. Das selbe Prinzip sollte auch für mobile Geräte und personenbezogene Daten gelten. Unternehmen sollten Mitarbeiter darauf hinweisen, dass sie Endgeräte, die sensible Unternehmensdaten enthalten, sofern möglich zu Hause lassen sollten. Darüber hinaus sind Geschäftsreisende gut beraten, wenn sie die Anzahl ihrer Kreditkarten und persönlich identifizierbaren Gegenstände – ist der Führerschein für diese Reise wirklich notwendig? – im Falle einer Reise auf ein Minimum reduzieren. Wenn in einem Unternehmen regelmäßig Reisen in Länder unternommen werden müssen, die dafür bekannt sind, sensible Daten auszuspähen, kann sich die Verwendung von Einweg-Telefonen beziehungsweise Notebooks, deren Festspeicher regelmäßig zurückgesetzt wird, lohnen.

Endgeräte physisch schützen

Eigentlich eine Selbstverständlichkeit, doch leider ist dem nicht immer so: Der sorgfältige Umgang der Mitarbeiter mit ihren Geräten – und das nicht nur auf Reisen. So sollten Firmengeräte ständig sicher aufbewahrt werden, etwa wenn sie in einem Hotelzimmer zurückgelassen werden. Ein gestohlenes Gerät kann zur Offenlegung sensibler Daten führen, was kostspielige Folgen – sowohl in finanzieller Hinsicht als auch für den Ruf des Unternehmens – nach sich ziehen kann. Sind Geräte, ob persönliche oder geschäftliche, in Sicherheit, sind auch ihre Daten sicher. Dabei geht es nicht nur um den Komfort, sondern auch um den Schutz sensibler Informationen.

Share Smart

Die Mitarbeiter sollten sich stets sehr bedeckt halten, wenn es darum geht, Informationen über ihre Reisen zu teilen. Eine Ankündigung über Social Media ist so, als ob man im Radio bekanntgibt, dass die eigene Wohnung für eine Woche unbewohnt sein wird. Eine Standortverfolgung sollte ebenfalls deaktiviert und öffentliche Posts über den eigenen Aufenthaltsort auf ein Minimum reduziert werden. Reisende, die zeigen, wo sie sind, zeigen auch, wo sie nicht sind. Das kann eine wertvolle Information für einen Angreifer sein, der dann das Wissen über Gewohnheiten und Zeitpläne für sich nutzen kann. Auch Bluetooth-Verbindungen, beispielsweise die Kopplung eines Smartphones mit einem Mietwagen sollten vermieden werden, da hierdurch immer Datenspuren hinterlassen werden.

Vorsicht bei offenen WLANs

Vor einem Meeting nutzen viele ein offenes WLAN in der Hotel-Lobby oder einem Café, um die neueste Präsentation herunterzuladen oder die letzten E-Mails zu lesen. Hier sollten sich Mitarbeiter über die potenziellen Risiken im Zusammenhang mit Open-Access-WiFi im Klaren sein und folgendes beachten:

• In offenen WLANs möglichst keine passwortgeschützten Konten nutzen oder Finanztransaktionen durchführen.
• Vor einer Verbindung sicherstellen, dass es sich um ein legitimes WLAN handelt. Denn Betrüger könnten „Fake Netzwerke“ mit vertrauenswürdig klingenden Namen einrichten - zum Beispiel „Airport WiFi“.
• Die Funktion des automatischen Verbindungsaufbaus ins WLAN sollte deaktiviert sein, da sonst das Endgerät anfälliger für Angriffe ist. Bei einer Verbindung in ein offenes WLAN sollte man ein Virtual Private Network (VPN) nutzen, um so eine zusätzliche Sicherheits- und Verschlüsselungsschicht zu etablieren.
• Im Zweifel sollte anstelle eines WLAN das Mobilfunknetz genutzt werden – das Notebook kann dann über einen Hotspot des Smartphones online gehen.

Kenntnis seiner VAPs

Hochrangige Mitarbeiter haben Zugriff auf die sensibelsten und geschäftskritischsten Daten und Kontakte eines Unternehmens, was sie zu einer sogenannten Very Attacked Person (VAP) beziehungsweise zu primären Zielen für Cyberkriminelle macht.

Vertrauen liegt in der menschlichen Natur – das wissen Betrüger nur allzu gut. Sie setzen drauf, dass Mitarbeiter unsichere Anlagen in Mails öffnen oder auf einen zweifelhaften Weblink klicken. Häufig geben sie sich auch als CEO des Unternehmens aus und weisen die Finanzabteilung an, Geld zu überweisen. Und sie verleiten Mitarbeiter dazu, Anmeldeinformationen weiterzugeben, um sie vorgeblich gemeinsam zu nutzen. Diese als Phishing beziehungsweise Social Engineering bekannten Angriffsformen bergen für Organisationen erhebliche Gefahren.

Es gibt viele Beispiele dafür, dass Betrüger Unternehmen um Millionen gebracht haben und so davon profitierten, dass sich Führungskräfte auf Reisen befanden. Unternehmen sollten die mit Geschäftsreisen verbundenen Risiken kennen und sicherstellen, dass ihre Mitarbeiter Lehrgänge absolvieren, die für ein gesteigertes Sicherheitsbewusstsein sorgen. So können letztere Vorsicht walten lassen und sich vor Cyberrisiken, denen sie unterwegs ausgesetzt sind, besser schützen.

Die Sicherheit sollte nicht dem Drang, immer erreichbar zu sein, geopfert werden. Schließlich genügt Cyberkriminellen eine sorgfältig gestaltete E-Mail an eine vielbeschäftigte Führungskraft, die diese kurz vor dem Boarding zu einem 8-stündigen Flug erreicht.