Gefahren bei Hotspotvergabe

Wenn einer eine Reise tut: Risiken für Geschäftsreisende durch die Nutzung von Hotspots

Das Hotspot-Netzwerk in Deutschland wächst stetig. Viele Mitarbeiter neigen dazu, auf Ihren Geschäftsreisen ein solches WLAN-Netzwerk zu nutzen, da diese oftmals schneller oder besser verfügbar als der firmeneigene UMTS-Zugang sind. So gehören in Bahnhöfen, Flughäfen und Cafés (kostenfreie) öffentliche Internetzugänge schon fast zum Standard. Doch hierbei bestehen auch Gefahren für die Unternehmensdaten und Informationen, auf die die UIMC schon deshalb hinweist, da der Einsatz von mobilen Geräten in Unternehmen durch Smartphones und Tablets immer größer wird, viele Nutzer aber sehr unbedarft mit den Geräten, Apps und Netzwerken umgehen.

Der Zugang ist schnell eingerichtet: WLAN-Netzwerk auswählen, verbinden und ggf. noch ein Passwort eingeben und schon ist der Mitarbeiter mit seinem dienstlichen Smartphone, Laptop oder Tablet im Internet. Doch neben den gewohnten Risiken, die jede Internetverbindung birgt, wird diese durch eine Verbindung mit einem öffentlichen Hotspot erhöht. So nutzen Angreifer zum Teil die gängigen Namen wie „Deutsche Bahn“, „Starbucks“ oder „Free-Wifi“, um „ahnungslose“ User anzulocken und die Kommunikation auszuhorchen. So können ggf. Kreditkarten- oder andere vertrauliche Daten mitgelesen werden.

Eine weitere Gefahr besteht darin, dass sich das mobile Endgerät automatisch mit bekannten Netzwerken verbindet. Wenn der Name mit einem bereits genutzten Netzwerk identisch ist, wird i. d. R. automatisch eine Verbindung aufgebaut. Somit kann auch eine Verbindung mit einem gefakten (unsicheren) anstelle mit einem „seriösen“ (sicheren) Hotspot hergestellt werden, und etwaige Manipulationen und Unregelmäßigkeiten – beispielsweise beim Abrufen der E-Mails – werden noch schlechter bemerkt.

Im betrieblichen Alltag sollte also stets darauf geachtet werden, dass die Mitarbeiter – sofern die Nutzung eines öffentlichen Hotspots beispielsweise aufgrund vom schlechten Mobilfunkempfang geboten scheint – stets eine VPN-Verbindung aufbauen. Doch auch die Nutzung einer VPN-Verbindung schützt nicht vor Man-in-the-Middle-Attacken, Malware oder anderen Schadprogrammen. Da dies erfahrungsgemäß den Benutzern aber nicht bekannt ist, kann hierdurch sogar eine gefährliche „trügerische Sicherheit“ erzeugt werden. Diese Gefährdung erfordert aber primär gezielte Angriffe. Nichtsdestotrotz sollte geprüft werden, die VPN-Verbindungen beispielsweise mit IPSec zusätzlich abzusichern.

Des Weiteren weist die UIMC darauf hin, dass Unternehmen zum einen verbindliche Vorgaben für die Mitarbeiter machen und zum anderen die Smartphone-User entsprechend sensibilisieren sollten. Nur jene Mitarbeiter, die die Gefahren und Verhaltensregeln kennen, können sich auch entsprechend schützen. Erfahrungsgemäß kommen solche Vorfälle nicht durch mutwilliges Verhalten, sondern durch Unwissenheit zustande.

Dies gilt im Übrigen auch für Mitarbeiter, die keine dienstliche Hardware (wie z. B. Laptop oder Smartphone) erhalten haben, aber beispielsweise über eine Internetseite auf Ihre E-Mails zugreifen können (z. B. Outlook Web Access/OWA). Trotz verschlüsselter Internetverbindung wie SSL/TLS, https o. ä. bestehen die o. g. Gefahren des Mitlesens etc., wenn der Mitarbeiter sich (in diesem Fall mit seinem privaten Smartphone) in einem öffentlichen Hotspot bewegt.

Doch auch bei aller technischen Vorsicht, weist Dr. Jörn Voßbein, mehrfach bestellter Datenschutzbeauftragter und Sicherheitsbeauftragter, auch darauf hin, dass – losgelöst von den dargestellten technischen Risiken – oftmals Dritte (ob nun bewusst oder unbewusst) die Möglichkeit erhalten, einfach Kenntnis von Informationen zu erlangen. So achten die Benutzer erfahrungsgemäß nicht darauf, wer in der Umgebung mitlesen kann; so können der Tischnachbar im Café, der nebenan Wartende am Flughafen oder der Sitznachbar im ICE die Inhalte des Displays einfach mit verfolgen.

Dies zeigt, dass vor dem Einsatz von neuen IT-Systemen stets eine Risiko-Analyse durchgeführt werden sollte, in der die möglichen Gefahren-Szenarien im Zusammenhang mit der Kritikalität der Informationen betrachtet werden. Das Ergebnis sollte eine Vorgehensweise sein, mit der die Risiken auf ein akzeptables Maß reduziert werden.