Datenschutzrisiko: Zwei Drittel der Zugpendler sind Voyeure

Mails beantworten, Telefongespräche führen, Präsentationen bearbeiten: Zugreisen ermöglichen es Geschäftsreisenden auch unterwegs produktiv zu sein. Wie häufig dabei ein sehr neugieriges – mitunter auch potentiell geschäftsgefährdendes – Publikum mitfährt, zeigt die aktuelle Kaspersky-Studie „Unsichere (Daten-) Reise: Visual und Audible Hacking im Zug“ [1]. So sind zwei Drittel (66 Prozent) der Befragten versucht, während der Fahrt auf die Bildschirme ihrer Sitznachbarn zu schauen oder deren Gespräche mitzuhören. 12 Prozent würden aufgeschnappte Informationen über Budgets, Finanzen oder Projekte sogar an Kollegen oder die eigene Geschäftsführung weitergeben. Dass das nicht nur eine theoretische Gefahr für Geschäftsinterna ist, zeigt ein begleitendes Kaspersky-Experiment zur Studie: ein unabhängiger Tester fuhr drei Tage durch Deutschland [2] und notierte per Strichliste alle Geschäftsgeheimnisse, die ihm im Zug oder in den Lounges an den Bahnhöfen begegnet sind. Die potentielle Ausbeute: 695 einsehbare und mitzuhörende Informationen wie Name und Unternehmen von Geschäftsleuten beziehungsweise von Kollegen, Kunden und Partnern.

Mitarbeitende mittelständischer Unternehmen in Deutschland absolvieren 39 Prozent [3] ihrer Geschäftsreisen mit dem Zug. Wie die Kaspersky-Umfrage zeigt, reist das Datensicherheitsrisiko dabei mit: Fast ein Fünftel (19 Prozent) der Befragten gesteht, bereits heimlich vertrauliche Texte und Präsentationen auf Bildschirmen von Mitreisenden in Augenschein genommen zu haben. Nahezu ein Drittel (31 Prozent) hat schon einmal ein vertraulich klingendes Telefongespräch mitgehört; mehr als ein Fünftel (22 Prozent) konnte darin die konkreten Namen von Unternehmen identifizieren – 23 Prozent sogar jene von Geschäftsreisenden und deren Kunden.

Zwar gilt für die meisten indiskreten Mitfahrer ‚aus den Augen, aus dem Sinn‘ beziehungsweise ‚zum einen Ohr rein, zum anderen wieder raus‘, jedoch würden 9 Prozent die abgefangenen Informationen an übelwollende Akteure wie Cyberkriminelle verkaufen. Geschäftsschädigend handeln würden 12 Prozent, die Erkenntnisse über Budgets, Finanzen oder Projekte unter Umständen an Kollegen oder das eigene Management weitergeben würden. 11 Prozent könnten sich vorstellen, die erspähten oder aus einem Gespräch entnommenen sensiblen Daten an Interessenten wie andere Unternehmen zu veräußern. 12 Prozent würden erfolgsversprechende Aktien kaufen, wenn sie von vermutlichen Kurssteigerungen Wind bekämen; 13 Prozent würden ihre Neugierde befriedigen und überhörte oder mitgelesene Namen nachschlagen, um mehr über die Personen zu erfahren.

Geschäftsreisende in Deutschland gehen zu lasch mit Geschäftsinterna um

Während des Kaspersky-Experiments konnte der unabhängige Tester Stephan Schilling innerhalb von drei Tagen 695 Informationen mit Business-Bezug anonym und per Strichlistenzählung feststellen. Den Großteil (548) hätte er in Zügen einsehen und hören können, ein paar wenige (147) in DB-Lounges an den Bahnhöfen.

Wie fahrlässig Geschäftsreisende mit den Informationen umgehen, zeigen auch folgende Beispiele, die der Tester während des Tests erlebt hat:

• Ein Reisender nutzte seinen Laptop im Bordrestaurant mit einem großen Zusatzbildschirm. Darauf waren alle Details eines E-Mail-Programms zu erkennen, sowie auf dem Laptopbildschirm eine PowerPoint-Präsentation, die ebenfalls gut sichtbare Details enthielt.
• Eine Reisende arbeitete auf einem Laptop mit großem Bildschirm (17 Zoll) im Intranet eines großen Konzerns. Dabei waren Informationen aus diesem Intranet gut sichtbar, sowie die persönlichen Daten der Reisenden.
• Ein Reisender, der entweder Manager oder Anwalt ist, bespricht das laufende Strafverfahren eines bekannten Sportlers. Es fällt zwar kein expliziter Name, aber aus den genannten Details (Ort des Gerichts, Zeitraum der vorgeworfenen Tat und weitere Umstände) ließ sich gut ableiten, um wen es ging. Im Gespräch fällt der Satz: „Er hat mir gesagt, das hat er vorsätzlich getan.“
• Eine Reisende bespricht in einem MS Teams-Call den Jahresabschluss eines großen Konzerns. Sie nennt dabei vertrauliche Zahlen, die so der Öffentlichkeit nicht bekannt gemacht werden, und spricht Probleme an, die sich bei der Erstellung ergeben haben.
• Die Mitarbeiterin einer Lounge telefoniert laut hörbar für die Gäste der Lounge mit einer Kollegin. In dem Gespräch ging es offenbar um Dienstplanangelegenheiten. Dabei wurden der Name der Gesprächspartnerin genannt, sowie die Dauer einer Krankschreibung und die Art der Erkrankung.
• Eine Gruppe Reisender hielt in einer Lounge eine Besprechung ab. Dabei sprachen sie sehr laut und trugen alle Unternehmensausweise, die gut sichtbar waren und ihre Klarnamen, sowie den Arbeitgeber zeigten. Es wurden viele Unternehmensinterna besprochen.

„Das Experiment in den Zügen und den Lounges an den Bahnhöfen gewährt einen interessanten Einblick in den Umgang mit Geschäftsinterna auf Geschäftsreisen“, fasst Stephan Schilling, Personalmarketing-Experte, der als unabhängiger Tester für Kaspersky auf diversen Zugstrecken in Deutschland unterwegs war, zusammen. „Etwa 700 Geheimnisse hätten mit recht minimalem Aufwand abgegriffen und für schädliche Zwecke genutzt werden können. Die gute Nachricht ist, dass Unternehmen vermehrt Wert auf einen sicheren Umgang mit Informationen auf Geschäftsreisen legen; im Jahr 2019 haben wir bereits ein ähnliches Projekt durchgeführt, bei dem deutlich mehr Geheimnisse hätten abgegriffen werden können. Das dürfte auch daran liegen, dass heutzutage subjektiv mehr Bildschirmfolien, die vor neugierigen Blicken schützen, zum Einsatz kommen als noch vor fünf Jahren.“

Marco Preuß, Deputy Director Global Research & Analysis Team bei Kaspersky, ergänzt: „Mitarbeitende und vor allem Führungskräfte, die Unternehmensgeheimnisse hüten, sind attraktive Ziele für Spionage. Gerade auf Reisen sind Vorsichtsmaßnahmen – auch außerhalb der IT-Welt – unerlässlich und müssen mit einem Bewusstsein für OPSEC (Operational Security) einhergehen. Unternehmensverantwortliche können es sich nicht leisten, blank dazustehen, was diesbezügliche Sicherheitsrichtlinien und Schulungen für ihre Mitarbeiter angeht. Denn es gibt auf Geschäftsreisen zahlreiche potenzielle Gefahrenquellen für die Datensicherheit – insbesondere da 66 Prozent der Zugpendler dort gerne lauschen und spähen: Schon allein der Name eines Kollegen kann ausreichen, um eine geschäftliche E-Mail-Adresse zu erstellen und diese dann für Phishing-Angriffe zu verwenden. Daher sollte die Kommunikation im Zug auf das absolut Notwendigste reduziert werden. Einfache Hilfsmittel wie Sichtschutzfolien können verhindern, dass Unbefugte geschäftliche E-Mails mitlesen. Nicht in den Zug gehören jegliche vertrauliche Informationen, etwa zu Budgets, Finanzen, Kunden oder Projekten.“

Kaspersky-Tipps zum Schutz vor Visual und Audible Hacks

• Blickschutzfilter oder -bildschirme verwenden – die optische Hürde lässt unliebsamen Spähern wenig Chance.
• Sollte keine Sichtschutzfolie vorhanden sein, einen Platz wählen, der Dritten keinen Einblick in Geschäftsprogramme und -informationen gewährt.
• Nur Inhalte bearbeiten, die unverfänglich sind; etwa eine nicht vertrauliche Power-Point-Präsentation. Sensible Aktionen – wie eine E-Mail über ein noch nicht veröffentlichtes Produkt – gehören in eine sichere Umgebung – und nicht in den Zug.
• Da Mitreisende bei Telefonaten im Zug unweigerlich mithören können, die Nennung von Klarnamen (des Unternehmens, von Kunden oder Partnern) vermeiden.
• Geräte nie aus dem Auge lassen; ist es nötig, den eigenen Platz zeitweise zu verlassen, sollten die Geräte mitgenommen oder gesperrt (PIN, Zugangsberechtigung oder Passwort) werden und mit einer passenden mobilen Sicherheitslösung [4] ausgestattet sein. Token, ID-Karten oder ähnliches sollten abgezogen und mitgenommen werden.
• Unternehmensverantwortliche sollten klare Regeln für die IT-Sicherheit und den Datenschutz beim mobilen Arbeiten vorgeben. Schulungen wie Kaspersky Security Awareness [5] ermöglichen es, dieses Wissen zu erwerben und vertiefen.
• Mitarbeiter regelmäßig hinsichtlich Cybergefahren und Datenschutz schulen und hierbei auch Geschäftsreisen berücksichtigen. Kaspersky bietet für alle Unternehmensgrößen und Mitarbeiterprofile passende Trainings [6].

[1] Im Juni 2024 führte Censuswide im Auftrag von Kaspersky Online-Interviews unter 1.003 Befragten in Deutschland durch.

[2] Stephan Schilling, Personalmarketing-Experte, fuhr als unabhängiger Tester für das Kaspersky-Experiment im Juni und Juli 2024 je drei Tage mit dem Zug durch Deutschland und Österreich und besuchte Lounges an den Bahnhöfen mit dem Ziel, anonymisiert und stichpunktartig Geschäftsgeheimnisse aufzugreifen.

[3] https://www.personalwirtschaft.de/news/hr-organisation/dienstreisen-mitarbeitende-im-mittelstand-fahren-meist-mit-dem-auto-172131/

[4] https://www.kaspersky.de/small-to-medium-business-security/endpoint-select

[5] https://www.kaspersky.de/enterprise-security/security-awareness

[6] https://www.kaspersky.de/enterprise-security/cyber-security-training

Nützliche Links:

• Kaspersky Endpoint Security for Business: https://www.kaspersky.de/small-to-medium-business-security/endpoint-select
• Kaspersky Security Awareness: https://www.kaspersky.de/enterprise-security/security-awareness
• Kaspersky Cybersecurity Training: https://www.kaspersky.de/enterprise-security/cyber-security-training