Mit einem Hacker auf Business-Trip

White Hat Tom Van de Wiele, der seit über 15 Jahren als ethischer Hacker unterwegs ist, erläutert, auf welche Sicherheitsmaßnahmen es bei Geschäftsreisen ankommt. [...]

Hacker Tom Van de ist Principal Cyber Security Consultant bei F-Secure.(c) F-Secure
Hacker Tom Van de ist Principal Cyber Security Consultant bei F-Secure.(c) F-Secure

Die it-sa hat sich mittlerweile als bedeutendste IT-Security-Messe Europas etabliert. Vom 9. bis 11. Oktober 2018 präsentiert sie sich zum zehnten Mal und ist mit zusätzlicher Ausstellungsfläche größer denn je. Im letzten und austellerstärksten Jahr lockte sie über 630 Aussteller und rund 13.000 Fachbesucher aus aller Welt an. In diesem Jahr erwartet die Messe Nürnberg deutlich höhere Zahlen. Das weckt natürlich auch das Interesse der Hacker. Wo sonst bekommt man Informationen zu den Abwehrmaßnahmen, um sie dann gegebenenfalls später aushebeln zu können?

Es sind Hacker wie beispielsweise Tom Van de Wiele, der seit über 15 Jahren als ethischer Hacker unterwegs ist und bei Unternehmen einbricht, um ihnen vorzuführen, wie bedroht sie sind. Im Auftrag von F-Secure erläutert der Sicherheitsberater, auf welche Sicherheitsmaßnahmen es bei Geschäftsreisen ankommt – ob unterwegs, im Hotel oder eben auf der it-sa.

1. Unterwegs: Mobile Geräte „laden und sichern“

Für immer mehr Geschäftsreisende sind mobile Geräte gleichzeitig auch das mobile Büro. Es ist daher wichtig, den Akku vor der großen Fahrt aufzuladen und möglichst eine Powerbank als Reserve dabeizuhaben.

Aber Achtung: Sie sollten Ihr Smartphone oder Tablet nie über einen USB-Port im Hotelzimmer aufladen und dankend ablehnen, wenn Ihnen jemand seine Powerbank zum Aufladen anbietet. Denn die fremden Ladestationen könnten manipuliert sein.

Was Sie sonst noch auf Geschäftsreise beachten sollten, sehen Sie hier im Überblick:

  • Biometrische Sicherungsmaßnahmen sind weniger sicher, als Sie denken. Wie leicht ist es zum Beispiel, Ihren Fingerabdruck zu nehmen, während Sie schlafen.
  • Wählen Sie einen PIN-Code zum Entsperren, der für Sie leicht zu merken, aber für Fremde nicht leicht zu erraten ist.
  • Aktivieren Sie möglichst eine Zwei-Faktor-Authentifizierung für Ihre Nutzerkonten und vergeben Sie jedem ein anderes Passwort, am besten mit einem Passwortmanager.
  • Wenn Sie unterwegs oder im Hotel öffentliches WLAN nutzen wollen, sollten Sie über ein vertrauenswürdiges VPN (Virtual Private Network) sicherstellen, dass kein Fremder Ihre Daten einsehen oder diese manipulieren kann.
  • Verzichten Sie während der Hin- und Rückreise und im Mietauto möglichst auf Bluetooth, Freigaben und Wi-Fi-Ad-hoc-Services wie Apple AirDrop.
  • Stellen Sie über bestimmte Regeln, PIN- oder Passwortschutz sicher, dass niemand von extern die Geräte-Grundeinstellungen verändern oder sich auf Ihre Kosten im App Store oder Play Store bedienen kann.
  • PIN und PUK für die SIM-Karte sollten Sie nicht mit sich tragen, können aber wichtig sein, wenn Ihnen das Mobiltelefon herunterfällt. Besser ist, Sie bitten jemanden daheim, Ihnen und nur Ihnen persönlich die Codes im Notfall telefonisch mitzuteilen.

2. Angekommen: Sicherheit im Hotel

Irgendwann kommen Geschäftsreisende im Hotel an – ob nach einer anstrengenden Zugfahrt, einem langen Flug oder auf dem Rückweg von einer Messe. Gerade Hotels mit digitalen Schlössern sollten Sie aber bei Ihrer nächsten Reise besonders im Blick behalten. Die F-Secure Experten Tomi Tuominen and Timo Hirvonen haben kritische Konstruktionsfehler in den von Assa Abloy weit verbreitetem Hotelschloss-Softwaresystem Vision by Vingcard gefunden. Die Entdeckung betraf Millionen von RFID-Schlössern in Zehntausenden von Hotels auf der ganzen Welt, einschließlich der Standorte von bekannten internationalen Hotelketten. Auch wenn die Schwachstelle mittlerweile behoben wurde, ganz sicher sollten Sie nie sein. Die Experten raten daher, Chipkarten allgemein nicht für alle sichtbar lässig in die Brusttasche zu stecken, sondern am besten in einer auslesesicheren Brieftasche. Alternativ zu Markenprodukten hilft auch ein passgerechter Streifen Alufolie.

Das genannte Beispiel zeigt, wie schwer es ist, durch diese Methode in ein Hotelzimmer zu gelangen. Es gibt aber durchaus einfachere Möglichkeiten, sich Zutritt ins Hotelzimmer zu verschaffen. Teilweise aus Bequemlichkeit, teilweise aus mangelnden Sprachkenntnissen wird von einigen Portiers oder dem Zimmerservice oft gar nicht nach dem eigenen Namen oder Ausweis gefragt, wenn jemand Zugang zu Ihrem Hotelzimmer haben will.

Diese Tipps helfen, Ihr Hotelzimmer sicherer zu gestalten:

  • Nehmen Sie Ihren Ausweis, wichtige Dokumente und Wertsachen aus dem Hotelzimmer immer mit. Die Sachen dem Hotelsafe anzuvertrauen ist auch nicht unbedingt sicherer, als sie im Zimmersafe zu lassen. Denn wer sagt Ihnen, ob der „nette“ Concierge nicht jedem X-Beliebigen Ihre Wertsachen aushändigt?
  • Um sicherzugehen, dass Ihre Hotelzimmertür nachts nicht von außen manipuliert wird, legen sie von innen ein Handtuch davor. Im Raum sollten Sie sich auch immer einschließen.
  • Vom Hotel zur Verfügung gestellte Tablets oder elektronische Telefone können manipuliert sein und sollten daher besser ausgeschaltet werden – zumindest, wenn Sie gerade ein wichtiges Telefongespräch führen. Für den Notfall weiß die Rezeption Ihre Handynummer. Geben Sie auch nie Kontodaten über das Hoteltelefon weiter.
  • Befindet sich in Ihrem Hotelzimmer ein Smart-TV, verdecken Sie die eingebaute Kamera und verbinden Sie keine eigenen Geräte per Bluetooth und Co. damit. Nutzen Sie auch niemals Ihre Account-Daten für Streaming-Dienste wie Spotify oder Netflix an einem Hotel-TV, denn es könnte jemand darauf warten, sie samt anderer Daten zu stehlen.
  • PCs und Terminals in der Hotellobby sind nur bedingt zu trauen. Wenn Sie können, verwenden Sie für E-Mails oder fürs Surfen vom Urlaub aus am besten Ihre eigenen Geräte.
  • Für den Fall, dass Ihre Brieftasche mit Geldkarten darin gestohlen wird, locken Sie die Diebe mit einer falschen PIN auf einem Zettel oder Post-it in die Falle. Beim wiederholten Versuch wird die Karte dann mit etwas Glück gesperrt.

3. Wieder zu Hause: So schützen Sie Ihre eigenen vier Wände

Teilen Sie Ihre Eindrücke über Facebook und Co. erst nach Ihrer Reise, denn für Einbrecher kann es wie eine Einladung sein, wenn sie wissen, dass Sie gerade in Nürnberg sind.

Mit Zeitschaltuhren oder einer smarten Steuerung von Licht und Sonnenschutz können Sie während Ihrer Geschäftsreise buchstäblich „Leben in der Bude“ vorgaukeln, um damit zumindest Gelegenheitseinbrecher fern zu halten. Denn die sind nun mal ein lichtscheues Gesindel.

Fazit: Sie können sich auf Reisen auch nicht gegen alles und jedes schützen, aber mit ein paar wenigen Maßnahmen reisen Sie wie der F-Secure-Manager Tom Van der Wiele doch sehr viel sicherer.

Best Practise: Ein Besuch auf der it-sa 2018

F-Secure ist mit insgesamt sechs Partnern auf der it-sa 2018 unter dem Leitspruch „Der dunklen Seite einen Schritt voraus. Mit Mensch und Maschine in Führung gehen“. Neben der neuen Lösung Rapid Detection & Response Service (RDS) wird auch die Partnerlösung Rapid Detection & Response (RDR) gezeigt. Zudem bietet F-Secure eine Vortragsreihe zum Thema „Von echten Menschen und echten Maschinen“.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*