Allgemeine Handlungsoptionen

Mobile-Devices und die intensive Nutzung dieses Equipments sind immer mehr eine Selbstverständlichkeit und Bestandteil der Trends eines vernetzten Lebens. Darüber hinaus sind beispielsweise Smartphones insbesondere auf Reisen beinahe ständig in der Hosentasche mit dabei.

Vor dem Hintergrund der häufigen Nutzung von Mobile-Devices erhalten IT-Sicherheit sowie Datensicherheit im Alltag Aufwind und repräsentieren ein wesentliches Bedürfnis der gesellschaftlichen Normalität.

Ausnahmen von diesem Alltag betreffen beispielsweise geschäftliche oder private Reisen. Für Reisende stellen sich überwiegend gegenüber Festnetz- oder Kabelverbindungen zu Ihrem Heimat-Anbieter höhere Risiken als üblich heraus. Daher ist ein Verständnis der exakten Ziele für die geplante Reise hilfreich, um leichter Cyber-Security-Maßnahmen zu erkennen und diese rechtzeitig umzusetzen. Damit ist es schwerer darauf zu vergessen. Zudem ist die Vermeidung von Unruhe bzw. Unsicherheit möglich.

Cyber-Security im Reiseumfeld und damit verbundene Risiken 

Der hervorgerufene Wandel zu global verfügbaren Service-Apps auf Mobile-Devices (z.B.: iPads, iPhones, Notebooks, Smartphones, Tablets, USB-Drives) erlaubt Inhalte komfortabel zu konsumieren, unterwegs Dokumente zu bearbeiten, kabellos Musik zu hören, Videos abzuspielen oder mittels NFC zu bezahlen. Dabei bedienen sich die Service-Anbieter des Datentransfers vorwiegend über ungesicherte Computernetzwerke (z.B.: Internet, Mobilfunknetzwerk).

Der Verzicht auf das Smart-Device im Urlaub sollte in Erwägung gezogen werden, da die Mitnahme dieser Geräte auf internationale Trips daran teilhat, dass Cyber-Security zu unterschätzen riskant ist. Manchmal ist das aber leider nicht möglich und zu alle dem wird auch oft auf die Besinnung auf Datenhygiene leider vergessen. 

Neue Reiseziele bringen Abwechslung in die Normalität. Aber genau diese Abwechslung beansprucht gewiss eine Klärung, welche Rahmenbedingungen vor Ort relevant sind und ob technische Sicherheitslösungen (beispielsweise Verschlüsselungen oder VPN) gar verboten sind. 

Aus diesem Grund liegt die Aufmerksamkeit dieses Artikels überwiegend im Bereich allgemeiner Vorgehensweisen. Wenn Sie Interesse an unkomplizierten, technischen Schritten zur Härtung Ihrer Geräte haben, können Sie diese Information in einem weiteren Artikel nachschlagen. 

3 Phasen bei Reisen

Wann können Sie im Reiseumfeld Überlegungen zur Cyber-Security anstellen?

  • Phase I – Vor Antritt der Reise. Zusammenstellen der notwendigen Informationen und Vorbereitungen durchführen.
  • Phase II – Unterwegs. Anwenden der Lösungen und risiko-basierte Verhaltensweise.
  • Phase III – Wenn Sie wieder zurück sind. Überprüfen und zurück zur Normalität.

Insbesondere wegen des Aufwands zur Vorbereitung, der Durchführung und der Nachbereitung handelt es sich beim Wirtschaftsfaktor Reisen manchmal auch um fordernde Aktivitäten. Daraus folgt leider auch der zögerliche Umgang mit Cyber-Security im Reise-Umfeld. Jedes drahtlos vernetzte Device, das Daten speichert, verarbeitet oder überträgt ist aber solchen Gefährdungen ausgesetzt.

Die vorhandenen Bedrohungen verlangen zum Schutz vor Cyber-Security-Risiken von den Akteuren einen geeigneten Umgang mit der eigenen Infrastruktur.

Und genau das können Sie im nicht-technischen Bereich tun 

Private Daten (z.B.: Familienfotos, Fitness-Daten) sind auf Mobile-Devices ebenso vorzufinden wie Zugangsinformationen zu Online-Diensten (z.B.: Bankkonten, Cloud-Dienste, Finanz-Apps, Kreditkarteninformationen), Passwörter in Passwort-Managern oder auch sensible Inhalte wie etwa Gesundheitsdaten. Dabei handelt es sich demnach um schützenswerte Assets. Eine Kombination von technischen Lösungen und allgemein etablierten Verhaltensweisen trägt zur Risikoreduktion bei:

Allgemeine Vorgehensweisen vor, während und nach einem Reiseaufenthalt 

  • Allgemeine Optionen zum sicheren Umgang mit WLAN-Hotspots. Wenn Sie die Gefahren berücksichtigen, die von WLAN-Hotspots ausgehen, ist auf Reisen bereits eine große Gefahr reduziert. In einem übersichtlichen Artikel finden Sie zielgerichtete Handlungsempfehlungen zum sicheren Umgang mit WLAN-Hotspots
  • Aufladen kabelgebunden durchführen. Laden Sie ihr Smartphone oder das Tablet nur kabelgebunden mit dem eigenen Ladegerät und an einer konventionellen Steckdose.
  • Ausleihen eines Smart-Devices. Wenn Sie ein Smartphone oder Tablet ausborgen, geben Sie einerseits keine sensiblen Daten ein und andererseits binden Sie das Gerät unter keinen Umständen an Ihre Identität (z.B.: Identifizierungsverfahren in einer App für Online-Banking). Allerdings sollte das Verleihen des eigenen Smart-Devices in jedem Fall vermieden werden. 
  • Beobachten beim Eingeben von Zugangsdaten erschweren. Achten Sie darauf, dass niemand Sie bei Ihrer Eingabe von Zugangsdaten oder Sperrcodes beobachtet. Verwenden Sie einen Sichtschutz (z.B.: Folie) um den Blickwinkel einzuschränken. Wenn es unausweichlich ist, Zugangsdaten für ein WLAN einzugeben, achten Sie genau darauf, dass es sich dabei auch um das korrekte Netzwerk handelt (z.B.: Kleine Abweichungen, SSID, Typo).
  • Deaktivieren drahtloser Schnittstellen. Stellen Sie insbesondere kabellose Kommunikationsverbindungen (z.B.: Bluetooth, NFC, WLAN) nur wenn dies unausweichlich ist und selbst dann auch nur zu vertrauenswürdigen Geräten her. Berücksichtigen Sie dabei die Besonderheiten Ihres Ökosystems (z.B.: Deaktivierung des WLAN-Interfaces unter iOS bis zum nächsten Morgen). 
  • Device nie unbeaufsichtigt lassen. Geben Sie Ihr Smart-Device ohne Notwendigkeit oder Zwang nicht aus der Hand. Tragen Sie es immer – sofern möglich – bei sich. 
  • Fernhalten vor unbekannten Netzwerken. Verzichten Sie auf die Verbindung mit unbekannten bzw. fragwürdigen Netzwerken (z.B.: WLAN) um das Auslesen von Daten zu vermeiden. 
  • Informationen und Vorbereitungen für Notfälle im Ausland zusammenstellen. Sammeln Sie Details zu Auslandsvertretungen, Vorgehensweisen bei Passverlusten oder Hintergrundinformationen zu Registrierungen, damit Sie wenn es kritisch wird zusätzliche Sicherheit erhalten können. Erleichtert wird dies von der durch das BMEIA angebotenen Reiseregistrierung. Diese ist über eine https-gesicherte Internet-Verbindung ebenso erreichbar, wie auch als iOS-App oder im google-Playstore verfügbar. Darüber hinaus finden Sie z.B.: auf help.gv.at nähere Details zu Reisen und Ferien und auch sehr hilfreiche Checklisten um Ihre Reise sorgfältig vorzubereiten. 
  • Kreditkarten mit Versicherungsprodukten. Einige Kreditkartenanbieter stellen kostenpflichtige Versicherungsprodukte für Reisen zur Verfügung (z.B.: Gold oder Platinum Karten). Prüfen Sie, ob ein solches Produkt für Sie zweckmäßig ist und zu welchen Bedingungen auch beispielsweise Cyber-Risiken (z.B.: Identitätsdiebstahl, Online-Betrug) abgedeckt sind. 
  • Rahmenbedingungen abklären. Verschaffen Sie sich Klarheit darüber, welche Kommunikationskanäle an Ihrem Reiseziel verfügbar sind und wie beispielsweise die Netzabdeckung vor Ort beschaffen ist. Auch kann die Einfuhr (z.B.: verschlüsselter) elektronischer Geräte eingeschränkt sein. Denkbar ist allerdings ebenso die Aufforderung zur Bekanntgabe von Zugangsdaten für Social-Media-Accounts bei einem Grenzübertritt bzw. Passwörter für verschlüsselte Datenträger auszuhändigen. 
  • Reduzieren Sie Ihre Abhängigkeiten vom Internetzugang. In entlegenen Gebieten ist mitunter die Versorgung mit Datenverbindungen eingeschränkt. Sie können beispielsweise die Karten Ihres Reiseziels noch wenn Sie zuhause sind, offline-verfügbar auf Ihr Smart-Device herunterladen. 
  • Social-Media aufräumen. Bereinigen Sie Ihre Social-Media-Daten und ändern gegebenenfalls vor und während bzw. nach Ihrer Reise das Zugangspasswort. Damit verhindern Sie, wenn Sie bei einem Grenzübertritt dazu aufgefordert werden diese Daten bekanntzugeben, dass nach einem behördlichen Einschreiten Dritte auf Ihren Account zugreifen können. Damit erschweren Sie potentiellen Identitätsdiebstahl sowie möglichen Missbrauch Ihrer persönlichen Daten. 
  • Vorsicht bei der Nutzung öffentlicher Computer. Vermeiden Sie die Nutzung öffentlich zugänglicher Computer oder sind dabei ganz besonders aufmerksam (z.B.: kein Online-Banking durchführen, keine Zugangsdaten eingeben, nicht synchronisieren). 

Die beschriebenen Vorgehensweisen reduzieren bereits die Gefahren. Der folgende Bereich ergänzt elementare Möglichkeiten um vorwiegend Ihre Daten zu schützen ohne technische Lösungen einzusetzen. Allerdings ist auch damit nur eine weitere Risikoreduktion möglich. 

Generelle Empfehlungen für den Schutz von Daten und der Privatsphäre

  • Backup zusammenstellen. Erstellen Sie Kopien relevanter Daten vor Ihrer Reise und speichern Sie beispielsweise Ihre Urlaubsfotos auf einem externen, geschützten Speichermedium, wenn Sie unterwegs sind. 
  • Bereinigen des Geräts. Gehen Sie mit einem „leeren“ Gerät auf Reisen oder speichern nur absolut notwendige Daten darauf und entfernen den Rest. Auch wenn Sie einen Verdacht auf eine betrügerische Handlung haben (z.B.: Key-Logger, Schadsoftware) überprüfen Sie das Gerät (selbst oder durch professionelle Partnerinnen und Partner) versetzen Sie das Gerät in den Ursprungszustand.
  • Dokumente privat verfügbar ablegen. Hinterlegen Sie relevante Dokumente (z.B.: Foto des Führerscheines oder eines Personalausweises, Reisepass-Kopie) für Notfälle in geschützter Form (z.B.: eingeschränkter Zugriff, Passwortschutz, Transportweg-Schutz, Verschlüsselung). Sorgen Sie aber dafür, dass diese Daten insbesondere bei Notfällen für Sie zugänglich sind. Ferner ist auch nach help.gv.at beispielsweise das getrennte Mitführen von Kopien von Ausweisen und Dokumenten um etwa schneller an Ersatz zu gelangen hilfreich.
  • Erneuern von Zugangsdaten. Ist die Nutzung von Zugangsdaten für entfernte Services (z.B.: Apps, Cloud-Dienste) nicht vermeidbar, führen Sie eine Änderung der aktuellen Credentials durch, benützen diese während der Reise und spätestens nachdem Sie wieder zurück sind, führen Sie zeitnah eine erneute Änderung durch um Missbrauch zu erschweren. 
  • Passwort-Manager mit kritischen Daten. Verzichten Sie auf die Mitnahme Ihrer Passwörter um die Erstellung einer Kopie Ihrer Passwortfiles (z.B.: beim Grenzübertritt) zu verhindern. Wenn Sie unterwegs zwangsläufig nicht darauf verzichten können, installieren Sie eine weitere Schutzschicht (z.B.: verschlüsselter Container). 
  • User-Credentials nur eingeben wo es gefahrlos möglich ist. Geben Sie Zugangsdaten nur auf vertrauenswürdigen Geräten und über geschützte Verbindungen ein. (z.B.: über ein VPN).
  • Keine Synchronisation mit fremden Computern. Synchronisieren Sie ihr Smart-Device nie mit Computern, die nicht Ihnen gehören und vertrauen Sie fremden Geräten nicht (z.B.: zur Vermeidung von Trustjacking) um insbesondere die Daten-Synchronisation auf fremde Geräte zu verhindern. 
  • Kombination mehrerer Schutzvorkehrungen. Da vollständige Sicherheit nur sehr schwer zu erreichen ist, können Sie durch die Verknüpfung verschiedener Methoden das Risiko von Datenverlusten bzw. Datenabfluss sukzessive reduzieren, indem Sie die beschriebenen Methoden etwa auch mit technischen Schutzmaßnahmen kombinieren. 
  • Minimieren Ihrer Daten. Räumen Sie nicht benötigte Inhalte auf und verzichten auf sensible Daten die Sie auf Reisen nicht benötigen. Im Idealfall nehmen Sie ein neu initialisiertes und leeres Gerät mit auf Reisen. Denn wo keine Daten gespeichert sind, kann auch nichts abfließen. In der Realität ist aber etwa das geschäftliche Verreisen ohne Smart-Device vermutlich aber schwer umsetzbar. 
  • Sensible Daten nicht eingeben. Wenn Sie nicht ganz sicher sind, ob ein Gerät oder Netzwerk gut geschützt bzw. vertrauenswürdig ist, sollten Sie die Eingabe von Daten (z.B.: Benutzer-Daten, Kreditkartennummer) generell meiden.
  • Services bei unklarem Mehrwert hinterfragen. Wenn ein Service (z.B.: eine App oder ein Cloud-Dienst) einen vernachlässigbaren Mehrwert für Sie hat, ist es vermutlich keine gute Idee ein Risiko einzugehen und beispielsweise auf Reisen über ungeschützte Kanäle (z.B.: das Internet) Kreditkartendaten zu hinterlegen. 
  • Verschlüsseln Sie Daten so gut es geht. Aktivieren Sie integrierte Verschlüsselungstechnologien (z.B.: Hardware und/ oder Software) um Ihre Privatsphäre und die Daten zu schützen. Stellen Sie eine ausreichende Stärke ein. 

Fazit: Wenn Sie frühzeitig einkalkulieren, dass Sie auf Reisen gehen und bereits im Vorfeld zielgerichtete Überlegungen durchführen und etwa abklären, welche Daten Sie unbedingt auf Reisen benötigen, können Sie Ihre Risiken bereits mit einfachen und allgemeinen Handhabungen reduzieren. Darüber hinaus behandelt ein exklusiver, Artikel damit verbundene, technische Lösungsmöglichkeiten um etwa nicht autorisierte Modifikationen der Daten mit Hilfe technischer Lösungen zu unterbinden.

Datum der Veröffentlichung: 04.06.2018

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria