So vermeiden Sie Cyberrisiken auf Geschäftsreisen
In Zusammenarbeit mit
Aktualisiert am 14.11.2023
Angestellte unterwegs schützen
Angestellte auf Geschäftsreise sind in erhöhtem Mass Cyberrisiken ausgesetzt. Jedes öffentliche WLAN, insbesondere an Flughäfen und in Hotels, kann ein Risiko für Datendiebstahl und andere Schäden beinhalten.
Grosse Firmen nutzen Hilfsmittel wie VPN-Verbindungen, mobile Sicherheitsapplikationen und GPS-Signale, um Cyberrisiken zu minimieren. KMU haben solche Ressourcen nicht in gleichem Mass. Aber auch sie können ihre Angestellten unterwegs schützen und dafür sorgen, dass diese kein Risiko für den Betrieb darstellen.
Regeln für Mitarbeitende auf Geschäftsreise
Mitarbeitende, die auf Geschäftsreise sind, unterliegen bezüglich Datensicherheit eigenen Regeln. Sie müssen verstehen, dass sie ausserhalb der Firmenwände noch stärker Cyberrisiken ausgesetzt sind. Formulieren Sie die Regeln so einfach und klar, dass sie auch für den am wenigsten technikaffinen Mitarbeiter verständlich sind.
Immer Firmengeräte nutzen
Mitarbeitende auf Geschäftsreise sollten immer mit Geräten des Unternehmens arbeiten, da diese von der Firma aus gemanagt und geschützt werden können. Sicherheitstechnisch ist das besser, weil im Notfall aus der Ferne Daten gesperrt und gelöscht oder Zugangsberechtigungen entzogen werden können, ohne dass dabei private Daten der Mitarbeitenden in Mitleidenschaft gezogen werden.
Geschäftliche Nutzung von Privatgeräten
Falls dennoch private Geräte genutzt werden sollen: Klären Sie Ihre Mitarbeitenden über die Risiken auf. Führen Sie eine Bewilligungspflicht ein, wenn Mitarbeitende unterwegs mit Privatgeräten arbeiten wollen. Ergänzen Sie die Bewilligungspflicht zudem mit Standards, die Sie für die geschäftliche Nutzung von Privatgeräten definieren. Am besten erstellen Sie dazu eine Vereinbarung.
Mitarbeitende sollen keine privaten Anwendungen nutzen
Viele Mitarbeitende auf Geschäftsreisen nutzen zwar Geräte der Firma, neigen aber dazu, Daten auch auf privaten Anwendungen – etwa einem eigenen Dropbox-Account – zwischenzuspeichern. Da Sie im Notfall nicht auf den privaten Dropbox-Account zugreifen können, unterminieren solche Doppelspurigkeiten die Sicherheit Ihrer Firmendaten.
Absicherung bei Verlust des Geräts
Ein Arbeitslaptop bleibt im Hotelzimmer liegen, am Flughafen geht eine Tasche vergessen oder in der U-Bahn wird ein Handy entwendet: Wenn Geräte auf Geschäftsreisen verloren gehen oder gestohlen werden, muss es möglich sein, sie von der Firma aus zu orten, zurückzusetzen und die Daten zu löschen. Wann immer möglich, sollten ausserdem die Festplatten der Firmengeräte und -datenträger (auch USB-Sticks) verschlüsselt werden.
MDM – wenn nötig Daten aus der Ferne löschen
Setzen Sie bei der Einrichtung Ihrer Unternehmens-IT ein sogenanntes Mobile Device Management (MDM) auf. Dies ermöglicht Ihnen, Firmengeräte remote, also aus der Ferne, zu sperren und Inhalte zu löschen. Es gibt verschiedene Anbieter von MDM, für kleinere Unternehmen ist der Telekommunikationsprovider eine gute Adresse, zum Beispiel:
Sicherheitsregeln: erst recht wichtig auf Geschäftsreisen
Alles, was Angestellte im Büro und im Homeoffice berücksichtigen müssen, hat auf Geschäftsreisen eine noch grössere Wichtigkeit. Denn vor allem bei Reisen ins Ausland werden Ihre Mitarbeitenden mit vielen Unbekannten konfrontiert. In der fremden Umgebung fehlen Informationen über den Schutz des Internets, die landesspezifische Datenschutzverordnung und vieles mehr. Instruieren Sie Ihre Angestellten folgendermassen:
- Immer Endpoint-Detection-and-Response-System nutzen
Ein Endpoint-Detection-and-Response-System zeichnet Anmeldungen, das Öffnen von Dateien, Zugriffe etc. auf den Endgeräten auf und gleicht die Aufzeichnungen mit einer zentralen Datenbank ab. So behalten Sie die Zugriffe aus dem Ausland unter Kontrolle. - Immer Passwortmanager nutzen
Mitarbeitende, die unterwegs sind, müssen den Passwortmanager, der in der Firma genutzt wird, natürlich ebenfalls verwenden. Auch die Zwei-Faktor-Authentifizierung ist auf Geschäftsreisen zu empfehlen. - Immer VPN nutzen
Das VPN Ihres Unternehmens muss bei jeder Aktivität des Geschäftsreisenden aktiviert sein. Das VPN fügt dem vom Gerät ausgehenden Datenverkehr mittels Verschlüsselung eine zusätzliche Schutzschicht hinzu, sodass das Risiko von Lauschangriffen durch Dritte verringert wird.
Seien Sie für Probleme gewappnet
Wenn Geräte gestohlen werden oder jemand auf einer Geschäftsreise Opfer von Datendiebstahl oder Cyberattacken wird, müssen Notfallpläne existieren. Ein solcher Notfallplan muss unter anderem folgende Punkte festhalten:
- Wie wird mit der betroffenen Mitarbeiterin kommuniziert?
- Wo soll sie Daten speichern, wenn es Probleme mit Firmenservern gibt?
- Wie erhält eine Mitarbeiterin auf einer langen Reise ein neues Gerät?
Wenn solche Fragen nicht klar geregelt sind, finden Ihre Angestellten eigene Lösungen, meist mit privaten Geräten und/oder Cloud-Speichern, was die Sicherheit des Unternehmens weiteren Gefahren aussetzt.
Vorkehrungen für Risikoreisen
Für gewisse Destinationen kann es sich lohnen, zusätzliche Sicherheitsmassnahmen zu ergreifen, da ein erhöhtes Risiko besteht, dass Geräte von Gesetzes wegen beim Grenzübertritt inspiziert und/oder beschlagnahmt werden. Je nach Sensitivität der gespeicherten Informationen sollten Sie daher die folgenden Massnahmen ins Auge fassen:
- Throw-Away-Devices
Diese erhalten Mitarbeitende Ihres Unternehmens, die in ein Land reisen, in dem sie gesetzlich zum Entsperren des Computers gezwungen werden können – etwa in die USA, nach Kanada oder Australien. Sie nehmen also nicht den üblichen PC mit, sondern einen, auf dem lediglich wenige und für die Reise notwendige Daten vorhanden sind. Im Idealfall ist der PC leer und die Daten liegen auf einem anderen verschlüsselten Speichermedium (USB-Stick, externe Festplatte). - Token-Passwort-Reset
Ebenfalls eine gute Methode ist es, das Passwort einer reisenden Mitarbeiterin ungültig zu machen, sobald diese sich ins Ausland begibt. Befindet sie sich an einem sicheren Ort – zum Beispiel im Hotelzimmer–, erhält sie ein neues Passwort von einem Angestellten am Firmensitz. Auf diese Weise entbinden Sie die Mitarbeiterin von der Verantwortung, in einer Befragung entscheiden zu müssen, ob sie den PC entsperrt oder nicht, da sie das Passwort schlichtweg nicht besitzt. - Privilege Reduction
Es werden nur die allernötigsten Zugänge auf Unternehmensressourcen gewährt – zum Beispiel Webmail anstelle von E-Mail-Client, der E-Mails auf das Gerät synchronisiert; Einschränkung des Zugangs ins Netzwerk via VPN, indem der VPN-Endpunkt ins Gästesegment des Firmennetzwerks verlegt wird statt ins Hauptnetzwerk; Einschränkung von Zugriffen auf Cloud-Ressourcen.
Autoren und Experten: Dr. Jacek Jonzcy, Stefan Mair, Nicolas Mayencourt, Mischa Obrecht, Prof. Dr. Marc K. Peter, Danilo Siscaro