Datenschutz im Zug: So bleiben Sie auch in der Bahn sicher

Die Bahn als fahrendes Datenleck? Zu annähernd dieser Einschätzung kamen die Datenschutzexperten von Kaspersky Lab durch einen authentischen Test.

Sie hatten nämlich einen Tester auf die Reise geschickt, um auszuprobieren, ob und wie einfach Hacker im Zug an relevante Daten kommen. Das IT-Unternehmen hat es sich nun zur Aufgabe gemacht, Führungskräfte, die viel reisen, für das Thema Datenklau zu sensibilisieren.

Der Zugang ist zwar gratis – aber offen

Der „Kasperski-Ermittler“ war insgesamt für fünf Tage mit offenen Augen, Ohren und seinem Laptop auf Zügen unterwegs, die besonders intensiv von Geschäftsreisenden genutzt werden. Seine Aufgabe: So viele sensible Informationen mitbekommen und notieren, wie möglich. Dazu gehörten: die Einsicht in ausgedruckte Dokumente, Laptops, Smartphones, Tablets und das Mithören von Telefongesprächen.

So spähte er in insgesamt 170 Waggons und kam zu folgendem Ergebnis: Wie nicht anders zu erwarten war, werden die meisten Geschäftsgeheimnisse in der ersten Klasse ausgetauscht. Während im Durchschnitt 13 potenziell öffentlich zugängliche Geschäftsgeheimnisse pro Waggon ermittelt wurden, waren es in der ersten Klasse durchschnittlich 23 pro Abteil. Die häufigste Datenquelle (58 Prozent), die von Fremden einsehbar ist, sind E-Mails. Auf gerade einmal fünf Prozent der Laptop-Displays von Geschäftsleuten ist eine Schutzfolie aufgezogen. Sensible Telefongespräche finden oft in der Öffentlichkeit statt. Dem umtriebigen Tester war es unter anderem gelungen, einen Blick auf 281 physische Dokumente zu erhaschen, 1.193 Bildschirme einzusehen und bei 106 Telefonaten mitzuhören. Bei seinen gesammelten Informationen gewann er Einblick in finanzielle Transaktionen, erfuhr Namen von Mitarbeitern und konnte ohne große Probleme interessante Details aus Präsentationen und Adressverzeichnisse einsehen und nachskizzieren.

Gerade Geschäftsreisende sind sehr mitteilungsfreudig

Im Anschluss an seine Testreise zeigte sich der Kaspersky-Spion auf Zeit bestätigt, was seine Vermutung in Sachen Sorglosigkeit seiner „Opfer“ angeht: „Die Geschäftsleute haben offenbar kein Bewusstsein dafür, wie leichtfertig sie unterwegs mit schützenswerten Daten umgehen und dass sie sich im Bahnabteil in einer datenschutzrechtlich bedenklichen Umgebung aufhalten.“

Allein schon durch die Signatur und Betreffzeilen in E-Mails seien Geschäftsgeheimnisse für Dritte einsehbar, die nicht in die Öffentlichkeit gehören. Der Tester spricht von einem „riesigen Datenschutzproblem“. Fazit: Geschäftsreisende sollten sich darüber im Klaren sein, dass nicht nur Spuren im Web ein Sicherheitsrisiko für geschäftliche Inhalte darstellen. Auch ein einfacher Blick auf den Laptop-Screen, das Mithören eines Telefonats sowie die Möglichkeit zur Dokumenteneinsicht ermöglichen Fremden den Zugriff auf sensible Betriebsinterna.

Worst Case und Best Case

Besonders fiel dem Tester ein äußerst sorgloser Anwalt auf: Dieser gab in einem Dauertelefonat nicht nur Namen von Mandanten preis, er informierte auch über den Stand von Prozessen, richterlichen Urteile sowie Details aus der Urteilsbegründung. Deutlich besser machte es eine Unternehmensberaterin beim Telefonieren: Von Ihr waren keinerlei Namen, Details oder Zahlen zu hören. Dies zeigt, wie einige Firmen durchaus funktionierende Sicherheitsnormen anwenden – möglicherweise aufgrund strikter Geheimhaltungsvereinbarungen und auch aus der Routine häufiger Bahnfahrten, die für sich genommen für ein wachsendes Sicherheitsbedürfnis sorgen könnte.

Frische Tipps für mehr Datensicherheit

Das Unternehmen Kaspersky nutzt solch provokante Aktionen natürlich auch für wirksame Eigen-PR. Dennoch lassen sich aus Experiment mit dem Tester eine Reihe von gut verwertbaren und wertvollen Tipps ableiten, von denen jeder Zugreisende profitieren kann.

Ein Beispiel ist die Empfehlung von Blickschutzfiltern oder Blickschutzbildschirmen, um eventuelles Mitlesen zu verhindern. Auch die Platzwahl ist wichtig für den Schutz vor fremden Einblicken. Bei Telefonaten muss man davon ausgehen, dass jeder im Abteil mithört – also nach Möglichkeit keine Klarnamen nennen. Digitale Geräte dürfen nie unbeaufsichtigt sein. Beim Toilettengang sollten ID-Karten oder Token am besten mitgenommen, die anderen Geräte gesperrt werden.

Generell ist es für jedes Unternehmen ratsam, Datenschutz-Sicherheitsrichtlinien für Mitarbeiter auf Zugreisen festzulegen und durchzusetzen. Dazu gehören regelmäßige Schulungen über die Gefahr von Cyberangriffen und Datendiebstahl sowie deren Abwehr. Auch auf vermeintliche Kleinigkeiten ist zu achten: Logos oder Inventar-Aufkleber gehören nicht auf geschäftlich genutzte Endgeräte und sollten durch Nummern oder Barcodes ausgetauscht werden. Denn im Umkehrschluss ist zu befürchten, dass professionelle Datendiebe ganz bewusst Bahnfahrten nutzen könnten, um an sensible Daten zu kommen.