Hacker im Gepäck

Diese beklemmende Erinnerung schwingt noch in seiner Stimme mit. „Ich sollte ein sehr wichtiges neues Produkt in unserer Niederlassung vorstellen. Am Abend davor habe ich in der Hotelbar meine Präsentation noch verfeinert. Irgendwann ist ein Mann an den Tisch gekommen mit einem Stadtplan und wollte wissen, wo es zum Bahnhof geht. Ich habe gesagt: ‚Sorry, ich bin nicht von hier.‘ Der Typ hat weiter gefragt und ist näher gekommen. Ohne auf meine Antwort zu reagieren. Dann war mir plötzlich klar: Er versucht auf den Bildschirm meines Laptops zu schauen.“

Der Manager eines internationalen Technologiekonzerns bittet den ungebetenen Gast mit eindringlichen Worten zu gehen. Dieser kehrt auf seinen Platz zurück und beginnt umgehend zu telefonieren. Sein Blick schweift immer wieder zu der Führungskraft, die langsam nervös wird. „Ich dachte mir: Hat der seltsame Bursche meine Präsentation gesehen? Weiß er vielleicht sogar, wer ich bin und was ich hier mache und gibt jetzt schnell Informationen weiter? Ich habe mir dann eingeredet, das ist alles reinste Paranoia. Aber das unangenehme Gefühl hat mich später noch lange begleitet. Ich passe jetzt immer sehr gut auf, wer hinter mir steht mit möglicherweise viel zu neugierigen Blicken, wenn ich irgendwo öffentlich mit meinen Endgeräten arbeite.“

Solche Ereignisse sind auch als Visual Hacking bekannt. Gezieltes Ausspähen von Daten wurde vom Ponemon Institut, gefördert durch den Multitechnologiekonzern 3M, unter die Lupe genommen. Offenbar handelt es sich nicht um Einbildung: Die Übung gelang bei 88 Prozent der in Deutschland simulierten Angriffe. Was ein Argument liefert für Gegenmaßnahmen wie den 3M-Blickschutzfilter. Dieser hauchdünne Schutz aus Kunststoff wird auf dem Rechner befestigt und soll schon bei einem Winkel von 30 Grad vor externen Blicken bewahren. Der Nutzer hingegen behält ein klares Bild – was beruhigend wirken könnte unter vielen Menschen im Zug, am Flughafen oder im Restaurant.

Derartige Szenarien machen eine andere wenig erfreuliche Erkenntnis sichtbar. Geschäftsreisen, früher zumeist eine willkommene Abwechslung zur Routine im Büro, können sich rasch zur Krisenzone verwandeln. Fachkräfte auf Achse müssen sich heute gegen verschiedene Risiken effizient wappnen. Die Dimension des latenten Unbehagens hat SAP Concur bereits vor Jahren mit einer Studie in Deutschland dokumentiert: Laut diesem Anbieter für Reisemanagement-Software erlebte 2018 jeder fünfte Mitarbeiter, der mindestens sechsmal jährlich für seinen Arbeitgeber den Aktenkoffer packt, eine heikle Situation. 

Krisen und Unruhen

Hinter dieser Entwicklung stehen handfeste Ursachen. Das globale Eis ist generell dünner geworden, seit politische Krisen, gesellschaftliche Unruhen, Kriminalität, Kriege oder extreme Wetterbedingungen an der Tagesordnung sind. „Die Welt ist volatil geworden, die Sicherheitslage ändert sich laufend und häufig nicht gerade zum Guten. Reisende sind daher außerhalb ihres gewohnten Umfeld verstärkt Risiken ausgesetzt und exponierter sowie anfälliger für unterwartete Ereignisse“, unterstreicht Axel Wochinger, Geschäftsführer der Sicherheitsberatung Result Group.

Gesundheitliche Probleme, Terror, negative geopolitische Entwicklungen oder extreme Wetterbedingungen können jeden Besuch in anderen Ländern zum Alptraum machen. So wie auch ein relativ neues Phänomen: Die unheimliche Begegnung mit Cyber-Kriminellen. Organisierte Gruppen, die Unternehmen welltweit mit ihren Angriffen gehörig unter Druck setzen, haben auch Business Traveller als Ziel entdeckt. Denn Zahlen und Fakten von Firmen verkörpern eine lukrative Beute, auf die genügend Abnehmer warten. 

Damit sind viele Fachkräfte außerhalb ihres angestammten Arbeitsplatzes jetzt mit einer zusätzlichen Bedrohung konfrontiert. „Als Angreifer auf Geschäftsreisende kommen finanziell motivierte, kriminelle Organisationen in Frage. Sie versuchen meist Daten zu exfiltrieren und IT-Systeme über das schwächste Glied von Laptops oder Handys zu verschlüsseln. In weiterer Folge wird  Lösegeld für die Entschlüsselung gefordert“, erläutert Georg Schwondra, Experte der Unternehmensberatung Deloitte Österreich.

Niedrige Hemmschwellen

Hacker kennen noch andere Wege, um ihre Taschen zu füllen. Gestohlene Patente oder Betriebsgeheimnisse finden auch im Darknet für gutes Geld Abnehmer. Zusätzlich liefert solches Material Informationen, mit denen sich weitere Attacken auf Betriebe oder Organisationen realisieren lassen. Solche Übergriffe müssen keineswegs nur aus eigenem Antrieb erfolgen. Im beinharten globalen Wettbewerb ist es denkbar, dass Manager mit niedriger moralischer Hemmschwelle dubiose Dritte beauftragen, andere Unternehmen auszuspionieren – mit dem Ziel, wirtschaftliche Vorteile auf globalen Märkten zu ergattern. Bei solchen Jobs konzentrieren sich Gangster häufig auf jene Hardware, die geringen Widerstand etwarten lässt. Geschäftsreisende greifen mit ihren Techno-Begleitern auf Firmenetzwerke zu und öffnen damit Einstiegsluken für Hacker. „Mobile Geräte sind für Betrüger ein attraktives Ziel. Laut Check Point Research waren 97 Prozent der Unternehmen in den letzten zwei Jahren von mobilen Bedrohungen aus allen Vektoren konfrontiert. Wobei der Download verseuchter Dateien eine der am meisten übersehenen Angriffsoptionen darstellt“, weiß Roman Prinz, Country Manager Österreich des Cyber-Securitiy-Lösungsanbieters Check Point Software Technologies.

Mit siolchen Maschen konfrontieren Angreifer bevorzugt Führungskräfte. Diese wenig schmeichelhaft als „Very Attacked Persons“ bezeichneten Personen hüten brisante Interna und besitzen beste Kontakte. Wie raffiniert die Vorgangsweisen der Kriminellen sind, illustriert eine Entdeckung im Jahre 2014. Kaspersky Lab enttarnte damals die Spionagekampagne „Darkhotel“, bei der vier Jahre lang Daten abgestaubt wurden bei Topmanagern aus den USA und Asien, die sich im asiatisch-pazifischen Raum aufhielten. Als Tatort fungierten Luxushotels: Dort fungierte das Einloggen der illustren Gäste in drahtlose Netzwerke als Startzeichen für Gangster im Hintegrund. 

Schutz mittels Versicherung

Ab diesem Zeitpunkt nahm das böse Spiel seinen Lauf. Gewiefte Gangster verleiteten das Opfer zum Download eines Programmes, getarnt als normales Update für eine Software wie Google Toolbar, Adobe Flash oder Windows Messenger. Tatsächlich aber installierte der ahnungslose Nutzer auf dem Rechner eine verhängnisvolle Spionage-Software. In weiterer Folge konnten eingeschleuste Diebstahl-Werkzeuge ihre gefährliche Wirkung entfalten. Durch Tools wie Trojaner, Keylogger oder Module zur Datenentwendung winkte den Eindringlingen lange Zeit reiche Ernte, bevor der Spuk endgültig unterbunden wurde.

Mobile Fachkräfte sind Turbulenzen aber ohnehin nicht völlig hilflos ausgeliefert. Möglicherweise senkt schon eine Jahresreiseversicherung den Stresspegel. „Versichert sind die Beschädigung oder das Abhandenkommen von Gegenständen durch Fremdeinwirkung wie Diebstahl. Laptops oder Mobiltelefone müssen jedoch sicher verwahrt und beaufsichtigt werden. In der Unterkunft bildet dann das Deponieren von Objekten mittels einer sicheren Einrichtung, wie sie ein Safe darstellt, die Voraussetzung zur Deckung von Schäden“, betont Christoph Zauner, Leiter Retail und Corporate der Generali Versicherung.

Doch die Investition in eine Polizze wird kaum reichen, damit Business Traveller rundum entspannt ihr Gepäck einladen können. Vielmehr sollte der Betrieb sein Personal überzeugen, dass für sämtliche Situationen Pläne und Maßnahmen in der Schublade liegen, statt auf ein fragiles „Wird schon alles funktionieren“-Prinzip zu setzen. Das Vertrauen in die Management-Künste ist laut den Erkenntnissen von SAP Concur ohnehin ausbaufähig. 27 Prozent der Geschäftsreisenden glauben, ihr Arbeitgeber könne bei Gefahren gar nicht professionell einschreiten.

Experten verweisen daher zur geringen Verwunderung auf Handlungsbedarf. Schulterklopfen und hohle Phrasen reichen nämlich nicht aus. Vielmehr sollten Vorgesetzte ein spezielles Bewußtsein für die Thematik entwickeln. „Hinsichtlich ihrer Fürsorgepflicht müssen Arbeitgeber dringend nachbessern und reisende Mitarbeiter deutlich stärker unterstützen. Das betrifft sowohl das Angebot von präventiven Maßnahmen oder Schulungen als auch die gezielte Unterstützung in Notsituationen vor Ort“, fordert Götz Reinhardt, Managing Director von SAP Concur. 

Kümmern als Schlüsselwort

Entscheider sollten also berufliche Exkursionen zu Filialen, Niderlassungen oder Messen gerade in
Zeiten von multiplen Krisen nicht auf die leichte Schulter nehmen. Sondern an möglichst vielen Schrauben drehen. Alexander Albert, Vorsitzender des Ausschusses Business Travel im Deutschen Reiseverband: „Unabhängig von ihrer Fürsorgepflicht können Unternehmen wichtige praktische Unterstützung leisten, damit sich Geschäftsreisende zu jeder Zeit gut aufgehoben fühlen. Kümmern lautet hier das Schlüsselwort. Ein professionelles Risikomanagement mit Notfallplan und 24/7-Kontaktnummern schaffen Sicherheit.“ 

Albert weiter: „Positiv empfinden Business Traveller gleichermaßen die Einbindung erfahrener Reisebüros hinsichtlich der Organisation. Hilfreich ist ebenfalls eine eigene App, die Kommunikation zwischen Firma und Mitarbeiter herstellt. Jenes Programm kann automatisch vor unvorhergesehenen Ereignissen im Zielgebiet warnen und entsprechende Handlungsempfehlungen liefern. Dann steht einer sicheren Geschäftsreise kaum etwas im Weg“.