Es war noch nie ganz einfach in die USA einzureisen - doch nach den Terroranschlägen in 2001 hat die Grenzbehörde Customs and Border Protection (CBP) die Kontroll-Schraube stark angezogen. Ohne Begründung können bei der Einreise Datenträger aller Art inspiziert werden - darunter Notebooks, Handys, USB-Stick, PDA, der MP3-Player oder die Festplatte in der Video-Kamera. Gefahndet wird zwar in erster Linie nach Daten, die Hinweise auf weitere Terror-Attacken bieten könnten - aber auch Musik-Files könnten im Rahmen der jüngsten Diskussionen um Urheberrechtsverletzungen Argwohn wecken und den Reisenden stoppen.

Business-Reisende sollten sich vor Antritt der Reise - nicht nur in die USA - genau überlegen, ob und welche sensiblen Daten sie überhaupt mitnehmen. Denn die Inspektion eines Notebooks kann auch soweit gehen, dass gleich die komplette Festplatte hinter verschlossenen Türen kopiert wird - damit wird die Dublette der neuesten Konstruktionsunterlagen zum kritischen Kollateral-Schaden. Zwar ist vorgeschrieben, dass erstellte Kopien nach Prüfung wieder vernichtet werden müssen, doch Experten fehlt daran der Glaube. Empfohlen wird, sich nicht einfach auf sein Glück zu verlassen. Da es keinen konkreten Verdacht braucht, um das Gepäck näher zu untersuchen, bleibt es ein reines Lotterie-Spiel, ob die eigenen Daten ungesehen die Grenze passieren. Prinzipiell sollten die Daten verschlüsselt werden, wobei hier wiederum spezielle Verhaltensregeln gelten (s. Interview mit Richard Aufreiter).
Auch Bruce Schneier, bekannt provokanter US-Experte für Kryptographie und Computersicherheit, hält in einem Interview mit der Zeitung "The Guardian" Verschlüsselung für einen gangbaren Weg, allerdings sollte dann gleich die ganze Partition mit den Daten so versteckt werden, dass sie unauffindbar für den Zoll ist. Doch ganz überzeugt ist Schneier von dieser Methode selbst nicht und rät schlichtweg mit "nackten" Notebooks zu reisen und die Daten via Web über die Grenzen hinweg bereitzustellen.
Konkrete Zahlen, wie viele USA-Reisende von Durchsuchungen betroffen sind, gibt es nicht. Die "Association of Corporate Travel Executives (ACTE)" - eine US-Organisation, die sich um Belange rund um Business-Reisen kümmert - kam in einer Mini-Umfrage unter 100 Mitgliedern zu dem Ergebnis, dass bei 7 von ihnen das Notebook vorübergehend beschlagnahmt wurde - hochgerechnet auf alle Einreisen ergäbe dies 28 Mio. Notebook-Untersuchungen. 80% der Befragten waren sich dabei gar nicht bewusst, dass solche Untersuchungen an der Grenze überhaupt durchgeführt werden können.
Weiterhin führt Susan Gurley von ACTE in einer Stellungnahme vor dem United States Senat Commitee on the Judiciary aus, dass die Untersuchung eines Notebooks - abgesehen von eventuellem Datenmissbrauch - etwa auch die Reputation des Betroffenen innerhalb des Unternehmens beschädigen würde. Insgesamt bemängelt ACTE die gesamte Vorgehensweise - die andererseits auch fruchtlos sei, da es eben längst Methoden gäbe, die Daten international auszutauschen, ohne sie auf einem physikalischen Datenträger vorzuhalten.
Deshalb ist die zeitweilige Konfiszierung des Datenträgers meist vor allem eines: unbequem. In einer Richtlinie vom Juli vergangenen Jahres betont die CBP aber nochmals die berechtigten Interessen der USA ihre Grenzen zu schützen. Dabei wurde auch deutlich, wie weit die Befugnisse reichen - mit den entsprechenden Konsequenzen für die Daten des Reisenden. So weist die CBP ausdrücklich darauf hin, dass etwa im Falle fremdsprachiger Dokumente auch Übersetzer weiterer Regierungs-Behörden hinzugezogen werden. Ebenso im Portfolio der Untersuchungsmaßnahmen ist der Einsatz von Entschlüsselungs-Experten. Bringen all diese Vorgehensweisen nicht die gewünschten Ergebnisse, kann es sein, dass das Notebook für immer "verschwindet." Und auch bei unkooperativem Verhalten kann die Situation eskalieren. Mit dem Neben-Effekt, dass zusätzlich die Einreise verweigert wird. cs

Richard Aufreiter: Vertrauliche Daten nur per VPN übermitteln Richard Aufreiter, Product Manager bei der Utimaco Safeware, plädiert im WIK-Interview für eine starke Verschlüsselung und gibt Tipps für das Verhalten an der Grenze. Anwälte, Sicherheits-Berater, Ingenieure - die Liste der Unternehmensmitarbeiter, die mit sensiblen Daten auf Notebooks internationale Grenzen überqueren, ist lang. Welche Daten reisen dabei Ihrer Erfahrung nach mit? Wie lässt sich deren Wert beschreiben? Richard Aufreiter: Diese Frage muss fürjedes Unternehmen individuell beantwortet werden. Einfache Adressdaten und Telefonnummern, die man bei Bedarf googeln kann, sind sicherlich nicht so viel wert wie die detaillierte Kalkulation eines millionenschweren Angebots oder die Konstruktionspläne einer neuen Werkzeugmaschine. Bei allgemein zugänglichen Informationen ist der Schaden bei Verlust oder Diebstahl eher gering, bei sensiblen Kundendaten inklusive Bankverbindungen oder gar geheimen Konstruktionsplänen kann er sehr hoch, unternehmenskritisch oder gar existenzgefährdend sein. Haben Unternehmen Policies, um diese Daten zu schützen? Richard Aufreiter: Fakt ist leider, dass viele Unternehmen die Risiken immer noch nicht wahrnehmen oder gar verdrängen. Die Daten sind oft nur sehr mangelhaft geschützt. Häufig verlässt man sich ausschließlich auf Hinweise, sichere Passwörter zu verwenden. Zudem gibt es meist keine zentralen, unternehmensweiten Security Policies für den Umgang mit den Daten. Statt klarer, überwachbarer Vorschriften und Maßnahmen zur automatischen Verschlüsselung sensibler Daten, bleibt es bei Appellen. Angesichts der immensen Risiken kann dieses Vogel-Strauß-Verhalten fatal sein. Zunehmend wollen die Zoll-Behörden wissen, welche Daten genau sich auf den Festplatten befinden. Abkommen sollen Zollbeamte und andere Behörden ermächtigen, Notebooks, MP3-Spieler oder auch PDAs nach verdächtigem Material wie etwa "Raubkopien" zu durchsuchen. Für Sicherheitsexperten ist dabei das gleichzeitige Auslesen unternehmens-interner Daten ein ernst zu nehmendes Risiko. Wie ist Ihr Eindruck von der aktuellen Situation? Richard Aufreiter: Richtig ist, dass Notebooks und mobile Speichermedien bei der Einreise in die USA und in andere Länder von den dortigen Behörden genau inspiziert werden dürfen. Denn Laptops, Memory-Sticks, Wechselmedien jeder Art und andere elektronische Geräte gelten bei der Immigration als Gepäckstücke und können daher ebenso wie Koffer eingehend untersucht werden. Unter dem Oberbegriff "Homeland Security" hat die USA bereits Vorschriften erlassen, um "verdächtiges Material" an der Grenze abzufangen. Ob sich damit auch die Produktpiraterie bekämpfen lässt, steht auf einem anderen Blatt. Geschäftsreisende in die USA, aber auch in Länder wie Russland oder China, müssen auf absehbare Zeit damit leben, dass ihr Gepäck genau unter die Lupe genommen wird und daher rechtzeitig Maßnahmen für den Schutz unternehmenskritischer Daten treffen. Es sind uns Fälle bekannt, bei denen Geschäftsreisende Passwörter für das mitgeführte Notebook preisgeben mussten. Wer sich unnötigen Ärger ersparen will, sollte den Aufforderungen der Beamten nachkommen. Was geschieht, wenn der Grenzbeamte das Notebook in einen Nebenraum mitnimmt und erst nach einiger Zeit wiederkommt, kann sich dann jeder ausmalen. Der Spekulation ist hier Tür und Tor geöffnet. Verständlicherweise wollen die wenigsten in der Öffentlichkeit über konkrete Vorkommnisse sprechen. Das gilt im Übrigen auch für Wirtschaftsspionage - nämlich dann, wenn im Ausland ein unverschlüsseltes Notebook mit sensiblen Firmendaten gestohlen wird. Welchen Schutz können nun technische Schutzmaßnahmen konkret bieten? Richard Aufreiter: Die Position von Utimaco ist hier eindeutig: Notwendig ist eine unternehmensweite, ganzheitliche Sicherheitsstrategie, die neben organisatorischen Regeln und einer Sensibilisierung der Mitarbeiter weitere technische Vorkehrungen umfasst. Dazu gehören beispielsweise: die Verwendung sicherer Passwörter, eine Abfrage der Passwörter vor dem Booten, die automatische Verschlüsselung aller Daten auf Notebooks und externen Speichermedien und schließlich auch organisatorische und technische Maßnahmen zum Schutz vor Datenlecks (DLP = Data Leakage Prevention). Weckt die Verschlüsselung nun nicht aber erst recht "Begehrlichkeiten"? Richard Aufreiter: Es ist heute anerkannte Praxis, dass Notebooks und Datenträger von Geschäftsreisenden verschlüsselt sind. Das erregt keinen Verdacht. Die Daten müssen verschlüsselt sein, nur dann sind sie bei Verlust oder Diebstahl des Geräts geschützt. Auf Anfrage kommt der Geschäftsreisende nicht darum herum, mit seinem Passwort die Chiffrierung aufzuheben. Die Gesetzeslage in den USA ist hier eindeutig. Wer sich weigert, riskiert größere Unannehmlichkeiten und muss damit rechnen, nicht einreisen zu können. Bei einem Business-Trip kann dies zu erheblichen Folgeschäden führen. Denn möglicherweise geht dann ein wichtiger Auftrag verloren. "Daten auf der Festplatte zu verstecken" ist ein weiterer Vorschlag. Ist dies eine Alternative zur Verschlüsselung? Richard Aufreiter: Es gibt selbstverständlich die Möglichkeit, zusätzlich zur regulären Verschlüsselung, besonders sensible Daten in einem eigenen Ordner auf der Festplatte mit einem separaten Passwort zu verschlüsseln oder zu "verstecken". Dann erhält der Einreisebeamte Einblick in den Rest der Festplatte, nicht aber in diesen Ordner. Gegen eine detaillierte Analyse des Geräts durch einen Experten hilft jedoch keine "Verstecksoftware", sondern nur gute Verschlüsselung. Was nicht da ist, kann auch nicht ausgelesen werden - ist es nicht am besten ein "nacktes Notebook" mitzunehmen? Richard Aufreiter: Wer im Notebook keine Daten mitnimmt, kann allerdings unterwegs auch nicht sinnvoll arbeiten. Er ist dann darauf angewiesen, sich über eine VPN-Leitung ins Firmen-LAN zu Hause einzuwählen. Unabdingbar in diesem Fall ist auch hier eine verschlüsselte Übertragung der Daten. Die Voraussetzung für den externen Zugang muss in der Firmenzentrale eingerichtet und entsprechend gesichert werden. Man darf damit natürlich nicht Hackern irgendwelche Schlupflöcher bieten. Hinzu kommen allerdings auch hohe Roaming-Kosten sowie langsame oder gar keine Internetzugänge in manchen Gebieten. Sicherheitsexperten empfehlen, sensible Daten beispielsweise lediglich auf einem verschlüsselten USB-Stick mitzunehmen. Dies begrenze im Falle einer Beschlagnahme zumindest auch den materiellen Verlust. Wie sehen Sie diese Alternative? Richard Aufreiter: Hier ändert sich die Sachlage im Vergleich zu einem verschlüsselten Notebook nicht grundsätzlich. Bei der US Immigration wird auch der USB-Stick als Gepäckstück behandelt und kann genauestens untersucht werden. Im Falle einer Verschlüsselung: Immer wieder wird beispielsweise vor dem Einsatz von US-Software zur Verschlüsselung gewarnt - es soll eingebaute "Hintertüren" geben. Was sollte der Anwender bei der Auswahl geeigneter Programme beachten? Richard Aufreiter: Bisher wurden keine Beweise für solche Hintertüren bekannt. Für wen dieses Kriterium eine Rolle spielt, dem stehen Alternativlösungen aus anderen Teilen der Welt, speziell aus Europa, zur Verfügung. Generell ist es empfehlenswerte Praxis, Produkte von etablierten Unternehmen zu verwenden, die auch von unabhängigen Stellen zertifiziert wurden oder sich zumindest in Zertifizierung befinden. Sicherheitsverantwortliche sollten bei der Produktauswahl darauf achten, dass es bei der Verschlüsselung von Daten auf Laptops und externen Speichermedien keinen einheitlichen Master-Key gibt, mit dem ein Einzelner auf alle chiffrierten Systeme zugreifen kann. Stattdessen sollte das System eine "Gewaltentrennung" zwischen IT- und Security-Administrator erlauben und das Rücksetzen vergessener Passworte des Benutzers über einmal gültige Codes (das sogenannte Challenge/Response Verfahren) anstatt über Master-Passworte erfolgen. Über unseren Gesprächspartner: "Richard Aufreiter ist Product Manager bei der Utimaco Safeware AG, Oberursel. Sein Resumee: "Geschäftsreisende in die USA, aber auch in Länder wie Russland oder China, müssen auf absehbare Zeit damit leben, dass ihr Gepäck und damit auch ein Notebook genau unter die Lupe genommen wird." Kontakt: richard.aufreiter@utimaco.at