Informationssicherheit und Business Continuity auf Reisen

orangefarbenes Hexagon mit einem weißen Textzettel in der Mitte und einem Häkchen COMPLIANCE,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Wie können wir die Informationssicherheit einschließlich Business Continuity „unterwegs“ gewährleisten?

Unser heutiger Artikel behandelt eine mehrwöchige Geschäftsreise in einem Drittland – wie können wir die Informationssicherheit einschließlich Business Continuity „unterwegs“ gewährleisten? Betroffen sind neben Geschäftsführern insbesondere Berater, Vertriebsleute und „Digitale Nomaden“. Das Um und Auf ist meines Erachtens eine sorgsame Planung, welche besonders die „Redundanz“ berücksichtigt. Oberstes Ziel ist, eine Unterbrechung des Geschäftsbetriebes zu vermeiden.

Post und Behörden

In einer Post-Geschäftsstelle kann man seine „Ortsabwesenheit“ für einen gewissen Zeitraum bekannt geben. Achtung: Dies führt nur zum Zurücksenden von RSa- und RSb-Briefen – das sind „blaue“ oder „weiße Rückscheinbriefe“ von Behörden! Bescheide, Ausweise und dergleichen werden regelmäßig (auch) mit gewöhnlichen Briefen versandt, da die Verwaltung Postgebühren sparen soll. Mittels Handy-Signatur kann man sich zur eZustellung anmelden („Mein Postkorb“). Erfahrungsgemäß kann es trotzdem zur postalischen Zustellung behördlicher Schriftstücke kommen. Es bleibt daher nicht aus, eine Vertrauensperson mit der Kontrolle des Briefkastens zu beauftragen.

Zahlungsmittel & Bank

In einem früheren Artikel haben wir die mit Kreditkarten verbundenen Risiken sowie Schutzmaßnahmen ausführlich behandelt. Für eine Fernreise empfiehlt es sich, mehrere Kredit- oder Debitkarten zu besitzen. Leider funktioniert einmal diese und einmal jene Karte bei ATM und Terminals nicht. Es liegt auf der Hand, dass man sich ohne Zahlungsmittel keinerlei Infrastruktur (Hotel, Internet, Büro, Transport) beschaffen kann. Geo-Control vor der Reise nicht zu deaktivieren wäre ein Anfängerfehler. Auch informiere ich meinen Bankberater über den gesicherten Kanal des Webbankings über die anstehende Reise – damit er meine Kontaktaufnahme im Notfall nicht für einen Phishing-Angriff beziehungsweise ‚CEO-Fraud‘ hält. Im Ausland nicht zahlungsfähig zu sein wäre ein ernstzunehmendes Problem und könnte gar die persönliche Sicherheit gefährden.

Gepäck & Hardware

Meiner Erfahrung nach geht auf Reisen alles kaputt, was kaputt gehen kann. Dies mag einerseits – etwa in den Tropen – an extremen Umweltbedingungen liegen (Hitze, Staub, Luftfeuchtigkeit). Andererseits könnte der bloße Transport eine starke Belastung für jede Hardware sein. Denken Sie zum Beispiel an Sicherheitskontrollen am Flughafen – Laptops und Tablets sind für Röntgengeräte aus ihren Schutztaschen zu nehmen. Unter Zeitdruck und in solchen Stresssituationen könnte die Handhabung unserer Geräte etwas unvorsichtig ausfallen. Für mich sind zwei Laptops sowie zwei Mobiltelefone daher selbstverständlich. Peripheriegeräte wie eine Maus oder ein Headset können im Zielland vermutlich leicht beschafft werden, hier verzichte ich auf „Redundanz“. Bei der Auswahl von Laptops achte ich auf SSD-Speicher, welche robuster als HDD-Festplatten sind. Schließlich müssen Sie noch entscheiden, ob Ihre Hardware ausschließlich ins Handgepäck kommen soll. Ob Geräte mit Lithium-Batterien überhaupt ins Aufgabegepäck dürfen, hängt von den Bestimmungen der jeweiligen Airline ab. Ersatzbatterien, Powerbanks und dergleichen gehören aufgrund von Brandgefahren grundsätzlich ins Handgepäck und gilt es mitunter, Kapazitätsgrenzen zu prüfen. Wer im Sinne einer Risikoverteilung Hardware ins Aufgabegepäck geben möchte wird vermutlich zum Ergebnis kommen, dass das Aufgabegepäck mit weitaus höherer Wahrscheinlichkeit abhandenkommt als das Handgepäck.

Einstellungen & MFA

Es wurde bereits angedeutet, dass man auf Reisen grundsätzlich mit der Beschädigung und dem Verlust von Geräten rechnen muss. Letztere müssen so konfiguriert werden, dass Informationsverlust, ‚data breach‘ und dergleichen verhindert werden. Die Festplatte wird unter Windows mit BitLocker verschlüsselt. Idealerweise wird dabei die Schlüssellänge von 128 auf 256 bit erhöht. Dateien sollten dennoch nicht lokal bearbeitet und gespeichert werden – heutzutage sind Remote Desktops / Virtual Machines üblich. Dabei geschieht die eigentliche Datenverarbeitung in einem Rechenzentrum, welches mit Hinblick auf die DSGVO in der EU liegen sollte. Multi-Faktor-Authentifizierung muss vor unserer Reise richtig eingestellt und ausgiebig getestet werden: Authenticator Apps (auch auf dem Zweithandy) sind hier Mittel der Wahl, da jene nur einen Internetzugang voraussetzen. Von SMS an die heimatliche Telefonnummer hingegen sollte aus den offensichtlichen Gründen – lokale Funknetze, fragliche Roaming-Funktionalität, ungewisse Kosten – Abstand genommen werden. Wie Sie wissen, ist Multi-Faktor-Authentifizierung heutzutage unerlässlich zur Abwehr von Hacking-Angriffen. Es besteht jedoch stets eine Gefahr, sich „selbst auszusperren“. Dies gilt auch für komplexe und lange (somit sichere) Passwörter, welche man in der Ausnahmesituation einer Fernreise (Klima, Stress) vermutlich eher vergessen könnte als zuhause. Zum Zeitpunkt Ihrer Reise muss Ihre Passwort-Strategie (zB Passwort-Tresor einschließlich dessen Backup) bereits gefestigt sein! Mobiltelefone können mit MDM (Mobile Device Management) bei Verlust aus der Ferne deaktiviert werden. Ich bevorzuge, E-Mail-Konten auf Mobiltelefonen erst gar nicht einzurichten.

Akkus & Strom

So wie man mit Motorbooten auf Flüssen keine (seltenen!) Tankstellen auslassen darf wird man bei Flugreisen mit Steckdosen umgehen. Seltsamerweise sind selbst in Business Class Lounges Steckdosen oft Mangelware. Am besten nimmt man einen Steckdosenverteiler mit und lässt keine Gelegenheit aus, das Handy aufzuladen. Im Zielland angekommen dürfen Sie nicht unbedingt von einer Stromversorgung auf österreichischem Niveau ausgehen. Überspannungssteckdosenleisten sind eine gute Investition, bieten aber selbstverständlich keinen absoluten Schutz. Wer mit zwei Laptops reist wird im Aufgabegepäck auch noch ein drittes Netzteil unterbringen können. Das Netzteil wird durch Spannungsspitzen möglicherweise zerstört. Auch darf man nicht davon ausgehen, auf die Schnelle vor Ort ein passendes Netzteil im Handel zu finden, welches europäischen Sicherheitsstandards gerecht wird. Für bessere Hotels gehört zwar ein Dieselgenerator zum guten Ton – jedoch schwankt gerade bei solchem „Notstrom“ die Spannung. Laptops haben hier den Vorteil einer eingebauten Batterie – fällt jedoch auch das Internet aus ist keine sinnvolle Arbeit mehr möglich. Hinsichtlich „Strom“ müssen Sie sich also vorab über das Reiseziel erkundigen – vor Ort sind Sie dieser Infrastruktur ausgeliefert.

Internet & Bürosituation

Ob WiFi oder 4G/5G – grundsätzlich gilt: Sie dürfen nicht von österreichischen Verhältnissen ausgehen. Mittel der Wahl sind Coworking spaces / shared offices, welche über Glasfaser-Highspeed-Internet verfügen. Diese sind nur in größeren Städten zu finden und müssen Sie auf das Vorhandensein geschlossener Einzelbüros achten, wenn Sie Videokonferenzen vorhaben. Ein Gespräch mit dem Betreiber sowie die Passwortstärke der Netzwerke sind erste Indizien, ob Maßnahmen zur Informationssicherheit umgesetzt werden. Ein „Speedtest“ gibt Aufschluss über die Güte der Internetverbindung. Wenn keine Meetings anstehen und Sie im ‚open space‘ bleiben ist der Bildschirm vor Blicken zu schützen – etwa mit einem Sitzplatz zur Wand sowie Display-Folien. Deutsch ist eine populäre Fremdsprache und dürfen Sie nie davon ausgehen, dass Umstehende Sie nicht verstehen! 4G/5G könnte in Ballungsräumen zur Zufriedenheit funktionieren – Sie sollten Tethering aber lediglich als Fallback-System sehen. Hotel-WLANs sind in aller Regel nicht mit Hinblick auf eine volle Belegung der Zimmer dimensioniert (Bandbreite) und Sicherheitsmaßnahmen wie Verschlüsselung und Netzwerksegmentierung unzureichend umgesetzt. Vor dem Besuch einer Stadt ist meines Erachtens die Abklärung zumindest zweier Büroanbieter (Erreichbarkeit, Öffnungszeiten, Rezensionen zur Internetverbindung) Pflicht.

Faktor Zeit

Dieser Punkt erscheint zunächst trivial. Beim Arbeiten im Ausland darf der Zeitfaktor jedoch nicht unterschätzt werden. Wenn Sie von zuhause etwa eine 15-minütige Vorbereitungszeit vor Meetings gewohnt sind oder für eine bestimmte Wegstrecke mit einer halben Stunde Fahrt rechnen – so müssen Sie im Ausland großzügige Sicherheitsreserven hinzurechnen. Zuhause liegt schließlich jedes Kabel an seinem Platz und Sie gehen von der Pünktlichkeit von Taxifahrern guten Gewissens aus… Nun haben Sie es möglicherweise mit außergewöhnlichen Umwelt- und Verkehrsbedingungen zu tun und Ihr Termin naht! Auch die Handhabung zweier Zeitzonen könnte Sie hinsichtlich Essen und Schlafen einigermaßen durcheinanderbringen. Auch Feiertage des Landes sollten Sie mit Bedacht auf die Öffnungszeiten Ihres Büros im Auge behalten.
Zusammengefasst wird im Ausland alles schiefgehen, was schief gehen kann - und müssen Sie mit dem Ausfall von Hardware, Kreditkarten, Strom und Internet geradezu rechnen. Sie können durch eine gute Vorbereitung - insbesondere mittels „Redundanz“ - jedoch den meisten Risiken begegnen. Mitunter erreichen Sie nicht ganz die zuhause gewohnte Effizienz Ihrer Arbeit – können aber Unterbrechungen des Geschäftsbetriebes mit den empfohlenen Maßnahmen zur Gänze vermeiden. 

Melden Sie sich gerne für einen Erfahrungsaustausch zur Informationssicherheit und Kontinuität Ihrer Geschäfte auf Reisen.