Wichtige Daten sicher auf Reisen

Vor Business-Trips oder anderen Ausflügen in die USA sollte man acht-geben, dass auf mitgenommenen Geräten keine sensiblen Daten lagern.

Artikel erschienen in Swiss IT Magazine 2008/12

     

Bald ist sie wieder da, die grösste Reisezeit im Jahr, die Sommerferien. Neben all den üblichen Sachen wie Badehosen, Schnorchel oder Sonnencreme finden immer öfter auch elektronische Geräte wie Laptops, Handys, MP3-Player, USB-Sticks oder natürlich Digital-Kameras ihren Weg ins Gepäck. Damit am Flughafen durch die Sicherheitskontrollen zu kommen, ist eigentlich kein Problem. Notebooks müssen einfach separat aufs Band gelegt werden, ansonsten geht alles reibungslos. Bis jetzt.


Seit Herbst 2006 ist es möglich, dass man bei Reisen in die USA etwas mehr Probleme mit Notebook & Co. bekommt. Die amerikanischen Zollbeamten haben nämlich das Recht, bei Grenz- und Einlasskontrollen mobile Computer und alle anderen für sie interessanten elektronischen Geräte zu untersuchen. Dazu benötigen sie nur einen Verdacht.



Helfen sollen die neuen Sicherheits-Checks auf der Suche nach möglichem, verbotenem oder geschütztem Material sowie auf der Suche nach Terroristen, wie das Department of Homeland Security (DHS) mitteilt. Auch an anderen Zöllen, beispielsweise in Grossbritannien oder Japan, sind solche Untersuchungen der portablen Geräte möglich, wie der Verein der Corporate Travel Executives (CTE) mitteilt. Bei den Briten wird mit dieser Methode beispielsweise auch nach Kinderpornogra-
fie gesucht.


Vorsicht mit Geschäftsdaten

Eingangs haben wir das Problem für privat Reisende beschrieben. Viel härter trifft die Angelegenheit aber natürlich Geschäftsreisende. Erstens sind sie häufiger international unterwegs und zweitens haben sie auf ihren Business-Trips alle mit Vorteil ihre Laptops und Smartphones mit dabei. Und darauf befinden sich in der Regel auch einige sensible Daten.


Schauen wir uns deshalb doch einmal an, was mit dem Mitarbeiter X und seinen Daten alles passieren kann:
Er steigt in den USA aus dem Flieger, geht zum Zoll. Dort wird er aufgefordert, sein Handy und seinen Laptop aus der Tasche zu holen, wenn er für die Beamten verdächtig erscheint. X tut das und wird aufgefordert, die beiden Geräte zu starten. Auch das macht er. Natürlich sind sie mit Passwörtern geschützt, also verlangen die Zöllner diese. Auch die vorher vorgenommene Verschlüsselung einzelner Ordner oder der ganzen Festplatte nützt nichts, auch diese Passwörter müssen genannt werden. Nun wird gesucht und etwas scheinbar Verdächtiges gefunden: Alle Daten auf dem Laptop werden kopiert oder das Gerät wird sogar konfisziert. Was X dagegen tun kann: nichts.



Zwei Bürgerrechtsorganisa­tionen, die Electronic Frontier Foundation (EFF) und der Asian Law Cacus (ALC), haben nun in den USA eine Klage gegen das DHS und seine Methoden eingereicht. Brisant wird die ganze Geschichte vor dem Hintergrund, dass Mitte Mai der «Ninth Circuit Court of Appeals» beschlossen hat, dass sie rechtmässig sind.


Die beiden Organisationen wollen nun wissen, warum solche Durchsuchungen durchgeführt werden und was danach mit den Daten geschieht. Uns teilt das DHS auf die zweite Frage mit: «Gegenstände und Daten, die eingezogen oder kopiert wurden, stehen unter strikter Kontrolle ob und von wem sie angesehen oder zerstört werden dürfen. Alle Informationen können nur nach dem Prinzip «Need to know» für Untersuchungen freigegeben werden.»


Auch am CH-Zoll möglich?

Wie zu Beginn angesprochen, sind solche Vorgehensweisen nicht nur an Zöllen in den USA gang und gäbe. Das bestätigt auch Barbara Josef, Pressesprecherin von Microsoft: «Diese Situation ist für uns nicht neu. Die USA oder auch andere Länder halten sich diese Möglichkeiten seit längerem offen.» Wie sieht es in der Schweiz aus?

Dürfen unsere Zollbeamten Laptops oder Handys durchsuchen und so Daten wie E-Mails, Telefonnummern, Bilder oder Texte einfach kopieren? Hans Georg Nussbaum, Chef Rechtsdienst der Schweizer Oberzolldirektion, winkt ab. Man könne zwar nach Sachen und Personen fahnden und in diesem Zusammenhang auch Waren kontrollieren. Dabei gehe es aber nur um die Geräte selbst, ob sie gestohlen oder gefälscht sind, und nicht um die Daten, die sich darauf befänden. Zudem versichert uns Nussbaum, dass solche Massnahmen wie in den USA auch nicht geplant sind: «Unser neues Zollrecht sieht keine verschärften Kontrollen vor.»



Dazu ob und wie sinnvoll die amerikanischen Kontrollen sind, wollte sich Nussbaum nicht äussern. Der Data-Security-Spezialist Utimaco schon: Bisher sei die grösste Sorge von Geschäftsreisenden wohl gewesen, dass ihre mobilen Geräte, die zumeist wichtige, vertrauliche Unternehmensdaten enthalten, abhanden- kommen oder gestohlen werden. Heute komme hinzu, dass bei Flughafenkontrollen in den USA die Daten von Sicherheitsbeamten eingesehen werden können und es völlig unklar bleibt, was mit ihnen in den US-Behörden geschieht. Die Privatsphäre sei erheblich eingeschränkt worden.


Was man dagegen tun kann

Mit dem richtigen Verhalten im Vorfeld kann man umgehen, dass am US-Zoll wichtige Daten kopiert oder gar Geräte beschlagnahmt werden. Wir wollten von zwei grossen US-Firmen mit einem Sitz in der Schweiz, IBM und Microsoft, wissen, wie sie mit der aktuellen Situation umgehen. Ihre Manager sind ja häufig zwischen den beiden Ländern unterwegs.


«Wenn Mitarbeiter reisen, müssen gemäss unseren internen Richtlinien sensitive Informationen von den Geräten entfernt werden», sagt Barbara Josef, Pressesprecherin bei Microsoft. Weiter erzählt sie, dass grundsätzlich die Mitarbeiter angewiesen werden, die sensitiven Daten doch zentral auf Microsoft-Servern abzulegen und dann im Ausland per sicherem Remote auf diese zuzugreifen.



Auch bei IBM gibt es Geschäftsgrundsätze, dass wichtige Unternehmensinformationen bestmöglich geschützt sind. «In regelmässigen Compliance-Tests für alle Mitarbeitenden wird das Wissen über die relevanten lokalen und internationalen Bestimmungen aufgefrischt und überprüft», teilt uns IBM-Pressesprecher Sebastian Drews mit und ergänzt: «Besonders betroffenen Mitarbeitern, mit häufigen internationalen Reisen, Ein- und Ausfuhr etc. stehen spezielle Schulungen zur Verfügung, in denen sie gesetzliche Besonderheiten erläutert bekommen und lernen können.»


Das Zauberwort lautet also Information und Schulung der Mitarbeiter. Was aber, wenn es trotz richtigem Verhalten zu Kontrollen kommt und eben doch sensitive Daten kopiert werden? Bei Microsoft rät man seinen Mitarbeitern, in diesem Fall möglichst mit den Behörden zusammenzuarbeiten und die gewünschten Informationen (PIN, Passwort etc.) zur Verfügung zu stellen. «Im Eintretensfall muss der betroffene Mitarbeiter unsere internen Verantwortlichen für den Informa­tionsschutz benachrichtigen, damit wir die nötigen Folgemassnahmen einleiten können», sagt Barbara Josef. Ein mögliches Szenarium sieht sie zum Beispiel in der Benachrichtigung von betroffenen Kunden oder Partnern.


Im Internet kursieren weitere Methoden beziehungsweise Anleitungen, wie man den US-Zoll «überlisten» kann. Eine geht beispielsweise in die Richtung dessen, was man bei Microsoft anwendet, also dass die Daten nicht lokal gespeichert werden, aber noch einen Schritt weiter. Das Verfahren in Kürze: Alles potentiell Gefährliche soll in einen Ordner geschaufelt, verschlüsselt, auf einen Web-Space geladen und auf dem Notebook gelöscht werden. Dann wird gereist. Im Hotel angekommen, sollen dann die Daten via Internet wieder heruntergeladen und entschlüsselt werden.


Trotz allem seine Daten möglichst gut sichern

Im Zusammenhang mit IT und Datenschutz gibt es von diversen Herstellern Software und Hardware, die vor Datenklau schützen. Doch Verschlüsselung, Dokumentenschutz oder Authentisierung mit Smart Card nutzen am Zoll nur wenig. In diesem Fall wird, wie beschrieben, von den Betroffenen volle Kooperation verlangt, was natürlich auch die Herausgabe aller dafür notwendigen Schlüssel beinhaltet.


Trotzdem werden solche Tools für Geschäftsreisende empfohlen. «Sicherheit im Umgang mit sensitiven Daten wird bei uns sehr hoch gewichtet und solche Tools bieten guten Schutz», meint Barbara Josef von Microsoft.



Fazit: Ein bisschen relativieren muss man die Gefahr vor solchen Durchsuchungen. Auch vor dem Hintergrund, dass bisher weder bei IBM noch bei Microsoft eine solche Überprüfung registriert wurde. Aber: Auch die EU ist seit neustem scheinbar daran interessiert, Laptops der Reisenden genauer unter die Lupe zu nehmen. Der Hintergrund ist hier die Bekämpfung der Piraterie beziehungsweise das Anti-Counterfeiting Trade Agreement (ACTA), in dessen Rahmen auch über anlasslose Durchsuchungen von Datenträgern beim Grenzübertritt diskutiert werden soll.


Heute wird aber auch fleissig an neuen, schnelleren Untersuchungs- und Kopiermethoden gearbeitet. Rund 20 Minuten dauere die vollständige Spiegelung der Laptop-Daten heute am US-Zoll nur noch. Da könnte also noch einiges auf uns zukommen. Wer weiss, vielleicht hilft da bald nur noch ein Ausweg zum Schutz vor Datenklau: die Selbstzerstörung des Notebooks via Funkbefehl. Daran arbeitet übrigens seit 2006 das Fraunhofer Institut.


Tips für Reisende mit elektronischen Geräten

· Alle Daten und Dateien, die nicht direkt für Drittpersonen gedacht sind oder zu Problemen führen könnten (private Fotos, E-Banking-Daten, Passwörter etc.), sollten erst gar nicht mit auf die Reise genommen werden. Merke: Auch verschlüsselte Daten sind nicht sicher: Die Zollbeamten fordern die Passwörter.



· Auch wenn direkt nichts gefunden werden kann, besteht weiterhin Gefahr, denn die vorhandenen Daten können kopiert werden, wenn ein Verdacht auf einen Verstoss besteht.




· Wird auf den Geräten etwas gefunden, dürfen diese auch zurückbehalten werden. Vor der Abreise also auf Nummer sicher gehen und zu Hause ein Backup der wichtigsten Sachen machen und das eventuell online ablegen.



· Die Kontrollen können bei jedem durchgeführt werden, der verdächtig ist. Es ist also besser zu kooperieren, als sich querzustellen.



· Untersucht werden können alle elektronischen Geräte auf denen Daten gespeichert werden können, also Laptops, Digi-Cams etc.


Online-Registration an US-Zöllen

Ab Januar 2009 müssen sich Einreisewillige in die USA, wegen des Kampfs gegen den Terrorismus, neu bis spätestens drei Tage vor der Ankunft registrieren. Geschehen soll das durch ein Online-Formular. Die Daten, die man dort angeben muss, orientieren sich an denen, die man bisher in den Fragebögen, die es auf Flügen in die USA gab, beantworten musste. Gültig ist die Registrierung dann zwei Jahre. Aus Datenschutz-Sicht wirft diese Massnahme natürlich weitere Bedenken auf: Wie sicher ist das Web-Portal? Wo werden die Daten gespeichert und was geschieht mit ihnen? Auch hier entwarnt das DHS, es gilt ebenfalls die «Need to know»-Basis.

(mv)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER