Auf dem Weg zu einer Konferenz in den USA endete für einen französischen Wissenschaftler jüngst die Reise am internationalen Flughafen von Houston. Der Grund: Die zuständigen US-Behörden hatten bei der Einreise im Rahmen einer stichprobenartigen Kontrolle auf einem mobilen Endgerät des Wissenschaftlers private Nachrichten entdeckt, die „Hass auf Trump zum Ausdruck bringen und als Terrorismus eingestuft werden können.“ Daraufhin wurden die Arbeitsunterlagen und privaten Gegenstände des Wissenschaftlers konfisziert und dieser ohne seine dienstlichen und privaten Habseligkeiten tags darauf nach Europa zurückgeschickt. Dieser Vorfall zeigt wieder einmal mehr, dass Informationssicherheit auch im Rahmen von Auslandsreisen mitgedacht werden muss.
Gefährdungen der Informationssicherheit
Auslandreisen können unter Umständen eine erhebliche Gefährdung der Informationssicherheit von Organisationen darstellen. Nicht immer müssen hierbei mögliche strafrechtsrelevante Handlungen vorliegen. Auch technische Probleme – beispielsweise ein Defekt am Akku eines mobilen Endgeräts während eines Fluges – können dazu führen, dass betreffende Endgeräte von Dritten einbehalten werden. Aber auch Beschaffungskriminalität vor Ort kann zur Folge haben, dass Reisende um wichtige Dokumente oder technische Geräte erleichtert werden. Wurden hierbei vorab keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen, ist insbesondere das Schutzziel der Vertraulichkeit und somit die Informationssicherheit insgesamt als solche gefährdet.
Dieser Problematik widmet sich auch der Baustein CON.7 Informationssicherheit auf Auslandsreisen des BSI IT-Grundschutzes. Neben einem Diebstahl oder Verlust von Endgeräten, Datenträgern und Dokumenten werden hierbei eine Reihe weiterer Gefährdungen benannt. So können sich bereits bei der Einreise in ein Land erhebliche Risiken beispielsweise auch im Kontext von Wirtschaftsspionage ergeben:
„Zum Beispiel kann Einsicht in Daten verlangt werden, die auf Notebooks und anderen tragbaren IT-Systemen gespeichert sind. Hierbei können zum Teil vertrauliche und personenbezogene Daten nicht nur eingesehen, sondern auch kopiert und gespeichert werden. Da es sich bei diesen Informationen z. B. auch um Strategiepapiere oder streng vertrauliche Entwürfe einer Institution handeln könnte, muss bei einer Einsichtnahme immer mit einem potenziellen Missbrauch gerechnet werden.“ Insbesondere in den Bereichen Forschung und Entwicklung sollte dieser Umstand besondere Beachtung finden.
Aber auch politische und gesellschaftliche Umstände in den betreffenden Reiseländern sind zu berücksichtigen. So nennt der Baustein des BSI IT-Grundschutzes beispielsweise auch die Androhung von Gewalt sowie Bestechung oder Korruption als mögliche Risikoquellen zur Beschaffung von schützenswerten Informationen. Sicher sind nicht im Rahmen jeder dienstlichen Reise sämtliche der dargestellten Risiken einzubeziehen. Es wird jedoch deutlich, dass es eines Bewusstseins und einer risikoorientierten Betrachtungsweise bedarf.
Umgang mit berufsbedingten Reisen
Wie immer gilt es, einen Ausgleich aus etwaigen praktischen Erwägungen und erforderlichen Sicherheitsanforderungen zu finden. Weder das gänzliche Verbot von Dienstreisen noch der vollständige Verzicht der Mitnahme von Endgeräten oder Dokumenten wird sich in der Praxis durchsetzen lassen. Jedoch dürfen bestehende Risiken auch nicht gänzlich unberücksichtigt bleiben.
Im Ergebnis wird so nahezu jede Reise hinsichtlich des Risikos und der konkret umzusetzenden Maßnahmen einzeln zu bewerten sein. Hierbei sind insbesondere die Branche der jeweiligen Organisation, die Tätigkeiten der Reisenden, Art und Dauer der Reise, Reiseziel sowie politische, gesellschaftliche, religiöse, geografische, klimatische, gesetzliche und regulatorische Besonderheiten zu berücksichtigen. Wichtig ist zudem auch, dass die Reisenden hinsichtlich der potenziellen Gefahren ein Bewusstsein entwickeln und entsprechend umsichtig handeln beziehungsweise vorgesehene Maßnahmen der Organisation gewissenhaft ergreifen und unterstützen.
Zielgerichtete Maßnahmen
Ebenso wie die jeweiligen Reisen hinsichtlich der bestehenden Risiken separat zu bewerten sind, können auch erforderliche technische und organisatorische Maßnahmen sehr unterschiedlich ausfallen. Je nach dem Umfang von Dienstreisen und dem Schutzbedarf der betreffenden Endgeräte und Informationen können diese von einfachen Maßnahmen, zum Beispiel die Verwendung von Sichtschutz-Folien und Bildschirmsperren, über die Verwendung von verschlüsselten Endgeräten, Transport- und Speichermedien bis hin zu umfangreicheren Maßnahmen, wie zum Beispiel die Bereitstellung separater und speziellen Anforderungen genügender Reise-Hardware reichen.
Eine gute Übersicht über sinnvolle Maßnahmen in Abhängigkeit des jeweiligen Schutzbedarfes, bietet hierbei ebenfalls der zuvor benannte Baustein des BSI IT-Grundschutzes. In jedem Fall sollten sich die zu ergreifenden Maßnahmen an dem jeweiligen Schutzbedarf der betreffenden Informationen, dem aktuellen Stand der Technik sowie an dem seitens der Reisenden Leistbaren orientieren.
Fazit
Die eigene Beratungspraxis sowie Pressemitteilungen, wie die eingangs erwähnte, zeigen noch allzu häufig, dass die Gewährleistung von Informationssicherheit auf Auslandreisen oftmals stiefmütterlich behandelt wird. In Zeiten einer sich immer weiter anspannenden politischen Gemengelage sollte dieser Aspekt der Informationssicherheit zunehmend in den Fokus rücken. Andernfalls sind für betreffende Organisationen erhebliche materielle und immaterielle Schäden möglich.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
