SHIELD

Reisen

Wirtschaftsspionage auf Reisen: was Ihre Geräte verraten

Die Geschäftsreise ist der Moment, in dem eine Organisation am meisten exponiert und am wenigsten misstrauisch ist. Reale Vektoren, dokumentierte Fälle und angemessene Vorbereitung für Führungskräfte und Teams, die mit Wert reisen.

Veröffentlicht am 9 Min. Lesezeit Exponiert

Zuletzt überprüft:

Leeres Flughafenterminal, Transithalle

Eine Führungskraft erzählt mir von ihrer Reise nach Asien. Drei Tage, eine zu unterzeichnende Partnerschaft, der gewohnte Laptop in der Tasche. Im Hotel lässt sie den Computer im Zimmer, um zum Abendessen hinunterzugehen. Bei der Rückkehr fehlt nichts, nichts scheint verrückt. Sie fand das normal. Genau das sollte beunruhigen.

Wirtschaftsspionage hat nicht das Aussehen, das man ihr zuschreibt. Kein Aktenkoffer, kein Mikrofon im Blumentopf. Sie hat das Aussehen einer gewöhnlichen Geschäftsreise, bei der die Person, die den Wert trägt, genau in dem Moment die Wachsamkeit senkt, in dem ihre Exposition maximal ist.

Die Reise bündelt drei selten vereinte Faktoren: Geräte, die den geschützten Perimeter des Unternehmens verlassen, eine müde und eilige Person, die Abkürzungen nimmt, und eine physische und Netz-Umgebung, die sie nicht kontrolliert. Für einen Akteur, der Information sucht, ist das das ideale Fenster.

Die übliche Falle

Die landläufige Vorstellung lässt sich in einem Satz fassen: Wirtschaftsspionage betrifft die großen Rüstungskonzerne oder die DAX-Multinationalen. Das mittelständische Unternehmen, das einen Vertrag im Ausland verhandelt, die Kanzlei, die eine Übernahme begleitet, das Start-up, das seine Technologie auf einer Messe präsentiert — die halten sich für zu klein, um irgendjemanden zu interessieren.

Das ist falsch, und es ist aus einem einfachen Grund falsch: Der Wert bemisst sich nicht an der Größe des Unternehmens, sondern an dem, was es zu einem gegebenen Zeitpunkt mit sich trägt. Ein Mittelständler mit vierzig Personen, der ein einzigartiges Industrieverfahren besitzt, ist für einen Konkurrenten mehr wert als ein Großkonzern, dessen alles schon öffentlich ist. Eine Kanzlei mit fünf Partnern, die eine Abtretung über 80 Millionen steuert, trägt für einige Wochen eine Information, deren Wert ihre eigene Größe bei Weitem übersteigt.

Der Angreifer zielt nicht auf ein Unternehmen. Er zielt auf eine Information, in dem Moment, in dem sie zugänglich ist. Und dieser Moment ist oft die Reise.

Reales Bedrohungsmodell

Man muss drei Familien von Akteuren unterscheiden, denn sie haben weder dieselben Mittel noch dieselben Ziele.

Der direkte Konkurrent zuerst. Der am wenigsten ausgeklügelte, der häufigste. Er verfügt nicht über fortgeschrittene technische Kapazitäten, aber er hat ein präzises Interesse und manchmal ein Budget, um über Mittelsmänner Aufklärung einzukaufen. Sein Fenster ist die Fachmesse, die Konferenz, der Moment, in dem Ihre Vertriebler in einer Halle zu laut reden, in dem Ihre vertraulichen Folien während der Pause angezeigt bleiben.

Der staatliche Akteur danach. Präsent in bestimmten Ländern, in denen die Wirtschaftsaufklärung eine erklärte Politik ist, manchmal abgestützt auf einen rechtlichen Rahmen, der den Zugang zu Daten auf dem nationalen Staatsgebiet erlaubt. Seine Mittel sind von anderer Größenordnung: Zugang zu den lokalen Telekom-Infrastrukturen, Extraktionskapazität an den Grenzen, kooperatives Hotelpersonal, Massenüberwachung. Wenn Sie dieses Staatsgebiet mit einem Gerät betreten, das Wert enthält, müssen Sie davon ausgehen, dass der Inhalt dieses Geräts potenziell einsehbar ist.

Der opportunistische Mittelsmann schließlich. Privatdetekteien, umgeschulte Ex-Geheimdienstler, Dienstleister, die Ergebnisse verkaufen, ohne dass man sie nach der Methode fragt. Sie operieren in einer Grauzone, und sie arbeiten für den, der zahlt.

Städtische Überwachungskamera aus der Froschperspektive
Die Umgebungsüberwachung eines Staatsgebiets wird nicht verhandelt. Sie wird durch Vorbereitung umgangen.

Die konkreten Vektoren, nach Häufigkeit

Das Hotel- und Konferenz-WLAN steht an der Spitze. Unbeherrschtes Netz, oft schlecht konfiguriert, manchmal von einem Dritten betrieben, von dem Sie nichts wissen. Die Bedrohung ist weniger das Abfangen des verschlüsselten Verkehrs, mit dem verallgemeinerten HTTPSSichere HTTP-Version, die die Kommunikation zwischen Browser und Server über TLS verschlüsselt. schwierig geworden, als die Erfassung der Metadaten: welche Dienste Sie kontaktieren, mit welcher Häufigkeit, zu welchen Domains. Und die bösartigen Captive Portals, die ein aktiver Injektionsvektor bleiben.

Der physische Zugriff auf das unbeaufsichtigte Gerät kommt danach. Hotelzimmer, Zimmersafe, Gepäck im Frachtraum, einem Dritten für die Dauer einer Kontrolle anvertrautes Gerät. Wenige Minuten genügen einem vorbereiteten Akteur, um eine unverschlüsselte Festplatte zu klonen, ein Implant zu installieren oder schlicht einen entsperrten Bildschirm zu fotografieren.

Die Extraktion an den Grenzen bildet den Schluss, aber sie wächst. In mehreren Rechtsordnungen verfügen die Grenzbehörden über das Recht, elektronische Geräte zu beschlagnahmen und zu untersuchen, manchmal ohne Beschluss. Der Reisende steht vor einer Wahl: entsperren oder verweigern und die Folgen akzeptieren. Die erzwungene OffenlegungGesetzliche Pflicht, unter Androhung von Sanktionen Passwörter zu liefern oder Geräte zu entschlüsseln. ist eine rechtliche Realität in Ländern, die man sich nicht immer vorstellt.

Der richtige Ansatz

Die strukturierende Regel lässt sich in einem Satz fassen: Was nicht auf dem Gerät ist, kann nicht aus dem Gerät extrahiert werden. Die gesamte Vorbereitung folgt daraus.

Das Prinzip ist nicht, jede Reise in eine Geheimoperation zu verwandeln. Es ist, den Schutz auf den getragenen Wert und das angesteuerte Staatsgebiet zu kalibrieren. Ein Hin und Zurück nach Brüssel für ein europäisches Komitee verlangt nicht dieselbe Vorbereitung wie eine dreiwöchige Verhandlung in einem Land mit aktiver Wirtschaftsaufklärung.

Die KompartimentierungIdentitäten nach Verwendungszweck trennen (privat, beruflich öffentlich, beruflich sensibel, operativ), um Leak-Ausbreitung zu begrenzen. ist das zentrale Werkzeug. Ein Reisegerät ist nicht Ihr gewohntes Gerät. Es ist eine Maschine mit minimierten Daten, ohne Cache Ihrer Cloud-Konten, ohne sensible Dokumente lokal, auf der eine Kompromittierung nur Zugang zu dem gewährt, was für die Reise notwendig war, und zu nichts darüber hinaus.

Die FestplattenverschlüsselungMicrosoft-Lösung zur Festplattenverschlüsselung, in Windows Pro/Enterprise integriert. mit einem Code vor dem Start, und nicht die standardmäßige transparente Verschlüsselung, schützt die ausgeschaltete Maschine. Das VPNVerschlüsselter Tunnel zwischen Ihrem Gerät und einem Server, der Ihre IP und Ihren Datenverkehr vor Ihrem ISP verbirgt., ab der Netzverbindung aktiviert, schützt den Transit auf nicht vertrauenswürdigen Netzen. Das verschlüsselte DNSProtokoll, das DNS-Anfragen in HTTPS verschlüsselt und sie vor dem ISP verbirgt. schließt einen oft vernachlässigten Überwachungskanal. Das sind bekannte Maßnahmen, deren Wirksamkeit vollständig von ihrer Einrichtung vor der Abreise abhängt, nicht währenddessen.

Was das konkret bedeutet

Angle de lecture

Für Sie als Privatperson

Sie reisen beruflich, Sie nehmen Ihren gewohnten Laptop und Ihr gewohntes Telefon mit, und Sie haben nie wirklich darüber nachgedacht, was das exponiert. Der richtige Reflex verlangt nicht, paranoid zu werden, nur die Reise als einen besonderen Moment zu behandeln.

Ihre drei Prioritäten, in dieser Reihenfolge:

Prüfen Sie, dass die Festplattenverschlüsselung mit einem Code vor dem Start aktiv ist, nicht nur die Entsperrung per Sitzungspasswort. Auf einem aktuellen Mac ist FileVault standardmäßig aktiv, aber prüfen Sie. Unter Windows BitLocker mit PIN.

Aktivieren Sie Ihr VPN, sobald Sie sich mit einem Netz verbinden, das Sie nicht kontrollieren, und lassen Sie es aktiv. Das WLAN des Hotels, der Messe, des Cafés ist nie vertrauenswürdig.

Lassen Sie Ihr Gerät nie entsperrt und unbeaufsichtigt, auch nicht für wenige Minuten. Der Zimmersafe ist nicht sicher. Wenn Sie das Gerät zurücklassen müssen, soll es ausgeschaltet sein, nicht im Standby.

Für eine Reise in ein Land mit hohem Risiko ist die wahre Antwort ein dediziertes Gerät mit minimalen Daten. Ein sekundäres Telefon und ein sekundärer Laptop, sauber, ohne Zugang zu Ihren Produktivdaten. Das ist billiger als eine Kompromittierung.

Für Sie als CISO / IT-Leitung

Sie wissen das alles. Die Schwierigkeit ist nicht technisch, sie ist organisatorisch: dafür zu sorgen, dass die Reisenden die Vorbereitung anwenden, ohne sie als Strafe zu erleben.

Der erste Umschwung ist, die Reiserichtlinie aus dem vierzigseitigen Dokument herauszuholen, das niemand liest, und sie zu einem in den Buchungsprozess integrierten Dispositiv zu machen. Wenn ein Mitarbeiter eine Reise in ein als Risiko klassifiziertes Land bucht, muss der Alarm automatisch ausgehen, das dedizierte Material muss bereitgestellt, das Briefing ausgelöst werden. Die Reibung muss im System liegen, nicht auf den Schultern der Person.

Der zweite Umschwung ist der Bestand an Reisegeräten. Ein Pool sauberer, vorkonfigurierter Laptops und Telefone mit minimalen Daten, die man für sensible Missionen verleiht und bei der Rückkehr zurücksetzt. Die Kosten eines Pools von fünf Maschinen sind lächerlich gering im Vergleich zu dem, was eine einzige erfolgreiche Extraktion kosten kann.

Der dritte Umschwung ist die Rückkehr. Ein Gerät, das in ein Land mit aktiver Aufklärung gereist ist, wird nicht naiv wieder ans Informationssystem angeschlossen. Quarantäneverfahren, Prüfung, idealerweise Zurücksetzung. Die Kompromittierung, die zählt, ist nicht die, die vor Ort Daten stiehlt, sondern die, die ein Implant in Ihr Netz zurückbringt.

Ihr aussagekräftigster Indikator: Welcher Prozentsatz Ihrer Reisen in Risikozonen nutzt dediziertes Material statt der Produktivgeräte? Wenn Sie nicht antworten können, existiert die Richtlinie auf dem Papier, aber nicht im Feld.

Für Sie als Geschäftsführer

Sie sind die Person, die beim Reisen den meisten Wert trägt, und die am wenigsten geneigt ist, den Zwang zu akzeptieren. Die Verhandlung, die Sie unterzeichnen werden, die Abtretung, die Sie steuern, die Technologie, die Sie präsentieren werden: Das ist in Ihrem Kopf und auf Ihren Geräten, genau in dem Moment, in dem Sie eine Grenze überqueren, die Sie nicht beherrschen.

Sie müssen die Verschlüsselung nicht verstehen. Sie müssen drei Entscheidungen treffen, die niemand an Ihrer Stelle treffen kann.

Was nehme ich mit? Für eine sensible Reise lautet die Antwort nicht „meine gewohnten Geräte”. Es ist ein dediziertes, von Ihrem Team vorbereitetes Material, das nur das für die Reise Notwendige enthält. Ihre IT-Leitung stellt bereit. Sie entscheiden über den Perimeter.

Was bin ich bereit zu verlieren? Wenn man Ihnen Ihre Geräte an einer Grenze abnimmt oder sie in einem Zimmer kompromittiert, was ist exponiert? Wenn die Antwort Ihnen Angst macht, dann tragen Sie zu viel mit sich. Die richtige Vorbereitung macht diese Frage fast schmerzlos.

Was tue ich, wenn es schiefgeht? Ein beschlagnahmtes Gerät, eine Entsperrungsaufforderung, ein anomales Verhalten bei der Rückkehr. Das Protokoll vor der Abreise entschieden zu haben, ändert alles. Es vor Ort zu improvisieren, müde und unter Druck, produziert nie eine gute Entscheidung.

Der Test ist nicht, ob Sie vorsichtig sind. Es ist, ob Ihre Vorsicht im Vorfeld vorbereitet oder in dem Moment improvisiert ist, in dem es zu spät ist.

Fehler, die man ständig sieht

Seine gewohnten Geräte mitnehmen, „weil es praktischer ist”, in ein Land, von dem man doch weiß, dass die Wirtschaftsaufklärung dort aktiv ist. Der Komfort von drei Tagen gegen das Risiko einer dauerhaften Kompromittierung.

Glauben, der Safe des Zimmers schütze irgendetwas. Das Personal hat einen Master-Code, und ein Hotelsafe hat noch nie jemandem standgehalten, der die Zeit dazu hat.

Bei der Rückkehr ohne Vorsicht das Gerät wieder anschließen, das gereist ist. Die Bedrohung, die zählt, ist nicht im Ausland geblieben, sie ist mit Ihnen zurückgekehrt.

Abwesenheit von Beweis mit Abwesenheit von Eindringen verwechseln. Eine gut gemachte Extraktion hinterlässt nichts Sichtbares. „Es fehlte nichts” ist keine beruhigende Information, es ist die Abwesenheit von Information.

Zur Vorbereitung einer Risikoreise

  • N1 Das Risikoniveau des Ziellandes vor jeder materiellen Vorbereitung einschätzen
  • N1 Für ein Land mit hohem Risiko: ein dediziertes Gerät mit minimalen Daten bereitstellen, statt seine Produktivgeräte mitzunehmen
  • N1 Die Festplattenverschlüsselung mit Code vor dem Start auf jedem mitgenommenen Gerät prüfen
  • N2 VPN und verschlüsseltes DNS aktivieren und vor der Abreise testen, dass sie funktionieren
  • N2 Die sensiblen Cloud-Konten trennen und die lokalen Caches auf dem Reisegerät bereinigen
  • N2 Im Voraus das Protokoll für den Fall einer Beschlagnahme oder Entsperrungsaufforderung an den Grenzen festlegen
  • N2 Nie ein Gerät entsperrt oder im Standby unbeaufsichtigt lassen, Zimmersafe inbegriffen
  • N3 Bei der Rückkehr: das Gerät vor jeder Wiederverbindung zum Informationssystem in Quarantäne setzen
  • N3 Für Organisationen: die Auslösung der Vorbereitung in den Buchungsprozess der Reisen integrieren

Zum Weiterlesen

Dieser Artikel gehört zur Achse Reisen. Für die Schritt-für-Schritt-Vorbereitung siehe Reisevorbereitung. Für den spezifischen Fall der Grenzen Grenzkontrollen und Zoll. Für das anspruchsvollste Staatsgebiet Reisen nach China. Und für das Material Reise-Laptop.

Quellen und weiterführende Literatur

Verwandte Artikel