Sicheres Reisen in unsichere Drittländer

Bei Reisen in Drittstaaten (außerhalb der EU) empfehlen wir einige grundlegende Maßnahmen umzusetzen.

Die Bewertung, ob ein nicht EU-Land eines unsicheren Drittstaates ist, trifft der CISO. Hierbei sollten folgende Aspekte berücksichtigt werden:

Gefahr durch gezielte Industriespionage (Großteils durch staatliche Unterstützung, z.B. USA, China, Russland)
Staatliche Überwachung inkl. Aufbrechen von Verschlüsselung aller Kommunikationen u.a. Telefonie, VPN, HTTPS per Web-Proxy, Messenger wie WhatsApp
Gefahr einer behördlichen Einsichtnahme in Endgeräte, u.a.
- wissentlich, wenn MitarbeiterInnen den PC übergeben sollen/müssen
- unwissentlich z.B. durch temporäre Entwendung aus dem Hotelzimmer
Reisewarnung für das Drittland durch die zuständigen Behörden
Erhöhte Gefahr von Diebstahl oder Raub von Endgeräten (z.B. Afrika, Teile von Asien)
Erhöhte Gefahr von persönlicher Bedrohung von MitarbeiterInnen z.B., um die Herausgabe von Zugangsdaten von Bank-Karten oder Endgeräten zu erzwingen (ebenfalls z.B. Afrika, Teile von Asien)

Sollte die Bewertung ergeben, dass ein Drittland als unsicher eingestuft wird jedoch die Sicherheit des/der MitarbeiterIn , nutzen Sie die folgenden Maßnahmenempfehlungen für geplante Reisen.

Speziell in der Vorbereitung einer Dienstreise und während des Aufenthaltes müssen wesentliche Punkte beachtet werden:

In Nicht-EU Ländern wird oft ein VISA benötigt. Geben Sie bei der VISA Antragsstellung sparsam Informationen preis, um möglichst wenig Interesse auf den/die Reisende zu lenken.
Buchen Sie die Zimmer nur auf den Namen der Person und nicht auf den Firmennamen, um das Risiko einer gezielten Überwachung/Spionage im Hotelzimmer zu minimieren.
Wählen Sie ein Hotelzimmer, das sich in einem höheren Stockwerk z.B. 2–5 Stock befindet, um besser vor Terroranschlägen geschützt zu sein.
Die MitarbeiterInnen sollen auch im Hotel z.B. an der Rezeption, Hotelbar oder beim Taxitransfer keine sensiblen Informationen über die Tätigkeit oder das Unternehmen preisgeben.
Beim Verlassen des Hotelzimmers sollen MitarbeiterInnen vertrauliche Informationen (Notebooks, Handys, Dokumente) mitnehmen und mit sich führen.
Vermeiden Sie kompromittierende Situationen in Bars oder durch Alkohol oder Drogenkonsum, da MitarbeiterInnen dadurch erpressbar sind.

Treffen Sie schriftliche Vereinbarungen mit den MitarbeiterInnen bezüglich:

Ausreise mit Firmen-Notebooks (siehe unten)
Ausreise mit Firmen-Smartphones (siehe unten)
gänzlicher Verzicht auf externe Speichermedien auf Reisen (externe HDD, externe SSD, USB-Sticks, etc.)
Verzicht im Ausland über vertrauliche Informationen per Telefon zu sprechen (staatliche Überwachung aller Gespräche, v.a. von Einreisenden per Business-VISA)
Erlaubnis zu erteilen bei behördlicher Aufforderung die Zugangsdaten zum Notebook bzw. zum Smartphone der Behörde (u.a. Immigration/Einreisebehörde) auszuhändigen
Verzicht auf Software-Download, Software-Installation und App-Installation im Drittland, da Schadsoftware oder Spionage-Software enthalten sein können

Setzen Sie die folgenden Maßnahmen bei Reisen mit Firmen-Notebooks in unsichere Drittländer um:

Händigen Sie ihrem/ihrer MitarbeiterIn einen frisch installierten PC aus (= das Reise-Notebook), verknüpfen Sie den PC mit dem Microsoft 365 Konto und aktivieren Sie MFA
Weisen Sie den/die MitarbeiterIn an das geliebte bisherige Notebook daheim zu lassen
Bei Reisen in Crypto regulierte Länder in denen TPM + PIN verboten ist (primär Russland, China) diese Kombination am Reise-Notebook nicht aktivieren
Bei Reisen in Länder wo TPM + PIN erlaubt ist diese Konfiguration vor der Abreise am Reise-Notebook aktivieren
Das Arbeiten über die Microsoft 365 Cloud aus unsicheren Drittländern ist deutlich sicherer als der Fernzugriff auf das Unternehmensnetzwerk per VPN; optimal ist, wenn VPN nicht auf dem Reise-Notebook installiert, wird
Keine Daten lokal am Reise-Notebook speichern; Mitarbeiter unterrichten, nur in der M365 Cloud zu arbeiten und ggfls. nur einzelne Arbeitsdokumente lokal auf dem Notebook laden
Nach der Rückreise das Reise-Notebook nicht an das Firmennetzwerk anschließen
Anschließend das Reise-Notebook durch die IT vollständig zurücksetzen; dies ist zeitunkritisch, weil der/die MitarbeiterIn sofort auf ihrem primären Notebook arbeiten kann
bei Verdachtsfällen der Kompromittierung von Hardware/Firmware das Gerät von Experten prüfen lassen oder vernichten
Deaktivieren Sie die Funktion „Automatisch Verbinden“ für freie WLANs. Erkundigen Sie sich nach den korrekten WLAN Namen an den Orten, wo Sie ein öffentliches WLAN nutzen müssen und verbinden Sie diese WLANs sorgfältig
In den Zeiten, wo Sie kein Netzwerkverbindungen nutzen, deaktivieren Sie WLAN und Bluetooth über den Flugmodus
Installieren Sie keine Apps für die Nutzung von WLAN oder VPN-Zugängen im Ausland

Setzen Sie die folgenden Maßnahmen bei Reisen mit Firmen-Smartphone in unsichere Drittländer um:

Händigen Sie ihrem/ihrer MitarbeiterIn ein frisch installiertes oder zurückgesetztes Smartphone aus (= das Reise-Smartphone) – alternativ kann auch lokal im Reiseland
Weisen Sie den/die MitarbeiterIn an das geliebte bisherige Smartphone daheim zu lassen
Bringen Sie die bestehende SIM-Karte in das Reise-Smartphone an
Benötigte Apps noch vor Reiseantritt installieren
Keine App-Installation im unsicheren Drittstaat
Nach der Rückreise das Reise-Smartphone durch die IT vollständig zurücksetzen
bei Verdachtsfällen der Kompromittierung von Hardware/Firmware das Gerät von Experten prüfen lassen oder vernichten
Erkundigen Sie sich nach den korrekten WLAN Namen an den Orten, wo Sie ein öffentliches WLAN nutzen müssen und verbinden Sie diese WLANs sorgfältig
Installieren Sie keine Apps für die Nutzung von WLAN oder VPN-Zugängen im Ausland

Weiterführende Informationen zur Regulierung sowie erlaubten Nutzung von Kryptographie in internationalen Ländern: http://www.cryptolaw.org/

nutzen Sie unser Kontaktformular und wir helfen gerne weiter
passende Richtlinien finden Sie in unserem SEC4YOU SHOP Information Security

Sicheres Reisen in unsichere Drittländer