Ob Laptops, Smartphones oder Firmenakten – im Zug gehen wir sehr offen mit Geschäftsgeheimnissen um. Ob aus purer Neugier oder mit krimineller Energie: Oft lesen und hören mehr Menschen mit, als man glauben möchte. Mögliche Folgen für Unternehmen und Organisationen: schwerwiegende Datenschutzverletzungen, Wirtschaftsspionage oder zielgerichtete Cyberattacken.
Um die Gefahr des Visual beziehungsweise des Audible Hacking zu verdeutlichen, hat Kaspersky im Rahmen eines Experiments einen Tester damit beauftragt, in von Geschäftsreisenden hochfrequentierten Zügen – anonym und im Schnelldurchlauf per Strichliste – zu analysieren, welche sensiblen Informationen der Business-Welt ohne große Mühen eingesammelt werden können. Untersucht wurde das Verhalten von Zugreisenden im Hinblick auf physische Dokumente, Bildschirme (Laptops, Smartphones und Tablets) sowie Telefongespräche.
Den kompletten Report über das Kaspersky-Zugexperiment „Geschäftsgeheimnisse im Zug – Visual und Audible Hacking als unterschätzte Gefahr“ gibt es hier zum Download.
Die Bilanz nach fünf Tagen und 170 analysierten Waggons:
- 245 potentiell einsehbare und mitzuhörende Informationen wie Name und Unternehmen von Geschäftsleuten beziehungsweise von Kollegen und Partnern. Das entspricht 13 potentiell öffentlich zugänglichen Geschäftsgeheimnissen pro Waggon – wobei in der 1. Klasse mit durchschnittlich 23 pro Abteil die meisten sensiblen Business-Informationen offenbart wurden.
- Vor allem der Einsatz geschäftlicher E-Mails – mit 58 Prozent das am häufigsten im Zug verwendete Business-Programm – offenbart Dritten frei Haus sensible Unternehmensinformationen, die in der Öffentlichkeit nichts verloren haben.
- Nur auf fünf Prozent der Geschäftslaptops kam eine Sichtschutzfolie zum Einsatz. Sensible Telefongespräche – beispielsweise eines Anwalts – wurden ohne Einschränkung öffentlich im Zug geführt.
Das Urteil des Testers
„Das Kaspersky-Experiment hat mir meine bisherige Vermutung, dass Geschäftsreisende oft zu sorglos mit Unternehmensinformationen umgehen, definitiv bestätigt. Die Reisenden haben oft kein Bewusstsein dafür, dass Visual und Audible Hacking ein riesiges Datenschutzproblem darstellen.
Vor allem die Nutzung von E-Mails gibt freien Blick auf Unternehmensdaten. Allein durch Signatur und Betreff werden für Dritte geschäftliche Geheimnisse offenbart, die in der Öffentlichkeit nichts zu suchen haben.
Ob privat oder beruflich – wir müssen lernen, dass nicht nur unsere Spuren im Web nachverfolgt werden können, sondern dass wir häufig – ohne es zu merken – über digitale Geräte direkten Einblick in persönliche und geschäftliche Geheimnisse gewähren. Gerade für Firmen ist das meiner Meinung nach ein riesiges Datenschutzproblem.“
Neben der Strichlistenzählung sensibler Informationen im Geschäftsumfeld erlebte der Tester aus datenschutztechnischer Sicht einige bemerkenswerte Situationen.
Worst-Cases:
- Ein Reisender (vermutlich Anwalt) führte ein langes Telefongespräch über einen juristischen Fall. Darin wurden Klarnamen der Verfahrensbeteiligten, das Prozess führende Gericht sowie Details des Falles sehr laut besprochen.
- Ein Professor bearbeitet Klausuren/Abschlussarbeiten von Studenten. Matrikelnummern und Namen der Studenten waren sichtbar.
Best-Case:
- Eine mutmaßliche Beraterin führte ein 20-minütiges Telefongespräch, ohne einen Unternehmensnamen, Klarnamen oder sonstige identifizierbare Daten zu verwenden. Es wurden Codewörter benutzt oder Dinge und Sachverhalte so umschrieben, dass sie für Nicht-Beteiligte nicht identifizierbar oder verständlich waren.
Kaspersky-Tipps – wie man Visual und Audible Hacking vermeidet
- Blickschutzfilter oder Blickschutzbildschirme verwenden – die optische Hürde lässt unliebsamen Spähern wenig Chance.
- Sollte keine Sichtschutzfolie vorhanden sein, einen Platz wählen, der Dritten keinen Einblick in Geschäftsprogramme und -informationen gewährt.
- Nur Dinge bearbeiten, die unverfänglich sind; zum Beispiel eine nicht vertrauliche Power-Point-Präsentation. Sensible Aktionen – wie eine E-Mail über ein zum Beispiel noch nicht veröffentlichtes Produkt – gehören in eine sichere Umgebung – und nicht in den Zug.
- Bei Telefonaten immer daran denken, dass das komplette Zugabteil zwangsläufig mithört. Die Nennung von Klarnamen (des Unternehmens, von Kunden oder sonstigen Partnern) vermeiden.
- Geräte nie aus dem Auge lassen; ist dennoch der Gang auf die Toilette nötig, sollten die Geräte entsprechend gesperrt sein (PIN, Zugangsberechtigung oder Passwort) sowie mit einer passenden mobilen Sicherheitslösung ausgestattet sein. Token, ID-Karten oder ähnliches sollten abgezogen und mitgenommen werden.
- Das Verhalten der Mitarbeiter in puncto IT-Sicherheit und Datenschutz auf Geschäftsreisen in den Sicherheitsrichtlinien des Unternehmens festlegen und Empfehlungen aussprechen.
- Mitarbeiter regelmäßig über Cybergefahren und Datenschutz schulen – insbesondere was auf Geschäftsreisenden zu beachten ist. Kaspersky bietet für alle Unternehmensgrößen und Mitarbeiterprofile passende Trainings.
- Logos haben auf Geschäftslaptops nichts zu suchen. Auch auf den Inventar-Aufklebern sollten nur Nummern oder Barcodes angebracht werden.