Strengthening Defenses with Security Intelligence

04.01.2019

There’s so much you can do with the Internet—the good and the bad. Cybercrime is so ruthless that experts predict it will incur $6 trillion worth of damages by 2021. It is the largest threat to every company, and one of the toughest challenges of mankind, created by mankind, for mankind.

The evidence itself is in the numbers. Do you think nothing could be worse than drug trade, terrorism or human trafficking? According to Cisco, cybercrime will be more profitable than the biggest illegal drug trades in the world combined. Give it a few more years, and even the most savage syndicates will turn to cybercrime to strengthen their networks—if they haven’t already. Cybercriminals are always two steps ahead—who knows what they’re cooking now?

As a key person in an organization, you have the corporate responsibility to prioritize safety and security—of the employees, finances, and data down to the last detail. You do this through security intelligence, a smart approach to protect your organization from all threats possible.

What is security intelligence?

Security intelligence is the real-time collection, analysis, evaluation and response of data generated from an organization through users, software and IT infrastructure.

By intelligence, we mean information that holds relevant value to your organization. The ultimate goal of security intelligence is to give significant insight to identify, prevent or reduce threats regardless of the size of the organization.

You don’t just collect information in retrospect; you have to know what is going on right now in all nooks and crannies of your network. Then you gather data from every source within your network, so you can compare and see patterns. With analytics, you can perform behavioral profiling and determine false positives. As soon as you have the right intelligence, you present your findings in a concise approach to the top-level management of your organization.

In simple terms, the information provided by security intelligence is laid in front of you. You may not know it, but there may already be a breach of security as you speak—and you’ll never spot it without proper correlation and analysis of data.

How is security intelligence applied?

You’ve heard it many times, but what exactly does security intelligence do? What is it good for? How is it so beneficial?

Here a few ways on how you can apply security intelligence to your business:

● Monitoring accounts

What are the odds of having a rogue employee? Even with pre-employment screening, an insider can be a threat. Security intelligence tracks the routine events of your users. It can look into activities and access permissions and alert you for any unusual behavior.

● Detecting fraud

Your company’s customer service department is the highest risk vector for fraud. How many users comprise the call center? Imagine all of them having access to clients’ accounts, credit card details, and personal information. This is a serious security risk, but not all internal network monitoring systems can look into this specific network in real-time. Security intelligence, in comparison, can dive deep into this area and detect unusual activity suggestive of fraud.

● Recovering compromised accounts

You want to prevent unauthorized access to your network at all times. However, the access itself is not preventable as the attacker enters all valid credentials of the original user. Security intelligence only detects the infiltration through changes in the routine events of the user’s login after the successful access. This will instantly alert your team so you can take immediate action.

How is security intelligence flexible?

Do you own a small business? Do you run a social enterprise? Security intelligence is not exclusive for business giants with a lot of resources, big budgets, and employees. Once you’re in business, there’s always competition.

With your competitors in the background, what can put your business at risk? Complacency.

And complacency opens the doors for security threats to break your defenses. Without security intelligence, you won’t even know there’s a breach going on already.

Open source intelligence and competitive intelligence are both beneficial for strategy-building and decision-making, but you still need security intelligence to protect your company from cybercrime. So whether you belong to a small or large-scale company, security intelligence is helpful.

There is no universal platform used for security intelligence; it’s not a one-size-fits-all approach. It’s a complex process and the approach done by one organization may not be effective for your own. The good thing is that security intelligence is flexible, and there is room for configuration. You can modify it according to your company’s risk posture and weaknesses. Utilizing the right approach identifies both internal and external threat data and transforms them into threat intelligence, forming the basis for making security decisions.

How does security intelligence provide insight?

Not all companies have their own analysts to perform security intelligence. In many organizations, third-party providers comprising of security intelligence experts trained in IT security do the service. In both cases, what matters is the accuracy of the results from which you derive insight.

Collecting the right information—sifting the relevant data from the less significant ones—is crucial in security intelligence. Do you know how much data you hold in your organization? You’ll be surprised how much big data you have stored in your networks. How do you deal with the overload? Security intelligence can help you make sense of the big data. A comprehensive insight will let you look at the big picture and guide you to make the right security decisions.

There is a need to add layers of defense to your organization’s network. This reflects on how you secure your assets, including business data, IT infrastructure and intellectual property. In turn, your ability to secure all these will reflect your organization’s reputation.

Security intelligence is more defensive than it is offensive. Fortunately, this approach is within reach to any organization who takes security seriously. This matters because as you innovate, threats become more sophisticated. As you read, enemies may be breaching your organization’s defense layers right now—utilizing complex measures to infiltrate your network in ways you have never imagined.

Can you stop them?


Opportunities for wealthy persons and families (HNWI´s / UHNWI´s) in the age of the new EU-DSGVO

27.11.2018

The new EU-DSGVO (data protection basic regulation) offers new approaches in connection with an occasion-related or holistic online risk management to protect privacy on the Internet or in online media (for example in connection with domain registrations, party donation lists, wealthy and rich lists) in the best possible way.

From practice:

Domain holder data are now not readily available online … until recently this was quite different.

With the new DSGVO, security managers now also have an additional means of pressure at their fingertips to have any unwanted critical content on websites, blogs and forums deleted. The „right to forgetting“ and the associated deletion of (old) data records supports security officers in the context of the holistic support of wealthy persons.

The extent to which the deletion of data on party donation lists and so-called wealthy and rich lists is favoured by the DSGVO will have to be demonstrated in practice in the coming months and years. It is quite possible that in the foreseeable future there will be a precedent before an administrative court in this regard, in order to make a final judgement as to whether personal rights (also in connection with the protection of privacy and the like) have priority over the public’s right to information and disclosure.

The situation is similar in connection with the „right to official information embargo“ for wealthy families and persons. In the past, authorities have often refused applications for information embargo if the addresses of the persons concerned had to be researched elsewhere (simply and quickly) on the Internet. In our opinion, this can and will change in the future if the security manager has completed the correct steps and measures before applying for an official information ban.

So much in a nutshell. We would be pleased to prepare an individual protection concept for you, taking into account the DSGVO special feature and our best practice approaches.


Chancen für vermögende Personen und Familien (HNWI´s / UHNWI´s) im Zeitalter der neuen EU-DSGVO

27.11.2018

Die neue EU-DSGVO (Datenschutzgrundverordnung) bietet im Zusammenhang mit einem anlassbezogenen oder ganzheitlich Online Risk Management neue Ansätze, um die Privatsphäre im Internet bzw. in Onlinemedien (beispielsweise im Zusammenhang mit Domainregistrierungen, Parteispendenlisten, Vermögenden- und Reichenlisten) bestmöglich zu schützen.

Aus der Praxis:

Domaininhaberdaten sind nunmehr nicht so ohne Weiteres online abrufbar … das war bis vor Kurzem noch ganz anders und so manchem Sicherheitsmanager ein Dorn im Auge.

Man hat als Sicherheitsmanager mit der neuen DSGVO nun auch ein zusätzliches Druckmittel an der Hand, um etwaige ungewünschte kritische Inhalte von Internetseiten, Blogs und Foren löschen zu lassen. Das „Recht auf Vergessen“ und die damit verbundene Löschung von (alten) Datensätzen unterstützt Sicherheitsverantwortliche im Rahmen der ganzheitlichen Betreuung von vermögenden Personen.

Inwieweit die Löschung von Daten auf Parteispendenlisten und sogenannten Vermögenden- und Reichenlisten durch die DSGVO begünstigt wird, muss die Praxis in den kommenden Monaten und Jahren zeigen. Es ist gut möglich, dass es dazu in absehbarer Zeit einen Präzedenzfall vor einem Verwaltungsgericht geben wird, um in der Sache abschließend zu urteilen, ob die Persönlichkeitsrechte (auch i.Z.m. dem Schutz der Privatsphäre und Ähnlichem) Vorrang vor dem Auskunfts- und Informationsrecht der Öffentlichkeit haben.

Ähnlich sieht es im Zusammenhang mit dem „Recht auf behördliche Auskunftssperre“ für vermögende Familien und Personen aus. In der Vergangenheit haben Behörden etwaige Anträge auf Auskunftssperre häufig abgelehnt, wenn die Anschriften der betreffenden Personen anderweitig (einfach und schnell) im Internet zu recherchieren waren. Dies kann und wird sich nun zukünftig nach unserer Einschätzung ändern, wenn man als Sicherheitsmanager die richtigen Schritte und Maßnahmen vor dem Antrag auf behördliche Auskunftssperre erledigt hat.

Soviel in Kürze.

Gern erstellen wir Ihnen ein individuelles Schutzkonzept unter Berücksichtigung der DSGVO Besonderheit und unserer Best Practice Ansätze.


Schutz Ihrer Privatsphäre: Unsere Messenger – Empfehlungen

22.10.2018

Wir empfehlen zum verschlüsselten und gesicherten Austausch von Textnachrichten und zum Telefonieren derzeit die beiden Messenger Anbieter: THREEMA und WIRE

Näheres finden Sie nachfolgend:

Threema

Der verschlüsselte Messenger Threema ist eine Entwicklung der Schweizer Threema GmbH und kam 2012 auf den Markt. Die App-Server befinden sich nach eigenen Angaben ausschließlich in der Schweiz. Aktuell hat der Dienst über 4,5 Millionen Nutzerinnen und Nutzer. Die App gibt es für Android und iOS. Sie kostet 2,99 Euro und ist über die Firmen-Webseite und über die gängigen App-Stores erhältlich.

Threema ist besonders sparsam, was das Sammeln von Metadaten betrifft (mehr dazu in diesem Blogartikel). Zur Identifizierung ihrer Nutzer erstellt die App beim ersten Start eine ID. Die App erfordert weder eine Telefonnummer noch den Zugriff auf das Adressbuch.

Die App fragt zwar beim ersten Start, ob das eigene Adressbuch mit den Threema-Servern abgeglichen werden soll, um andere Nutzer/innen zu finden. Stimmt man zu, wird jedoch anonymisiert abgeglichen und anschließend wieder gelöscht.

Kontakte werden in drei Sicherheitsstufen dargestellt. Die sicherste Stufe wird nur erreicht, wenn die beiden Gesprächspartner ihre Identitäten über das Scannen eines QR-Codes bestätigt haben.

Die App und einzelne Chats lassen sich mit einem Passwort schützen. Standardmäßig nutzt die App die Google Play-Dienste, sie funktioniert aber auch ganz ohne Google.

Seit September 2017 ist über die App auch verschlüsselte Internet-Telefonie möglich. Auch die Telefonie läuft über die Threema-ID und kommt ohne die Telefonnummer der Nutzer/innen aus.

Threema ist nicht quelloffen, dadurch ist eine unabhängige Überprüfung der Sicherheit des Programms nicht möglich. Allerdings wurde Threema im Herbst 2015 einem Sicherheits-Audit der IT-Firma Cnlab Security AG unterzogen. Die Prüfer kamen zu dem Ergebnis, dass die Ende-zu-Ende-Verschlüsselung keine Schwächen aufweist.

Wer seine Threema-Inhalte von einem Gerät auf ein anderes überspielen will, sollte sowohl ein Backup seiner Threema-ID und als auch ein Backup seiner Daten erstellen.

Das Backup der ID dient dazu, die in der App genutzten Kontakte und Mitgliedschaften in Gruppen zu erhalten. Eine Anleitung liefert Threema hier. Nachdem Sie die ID überspielt haben, sollten Sie sie vom alten Gerät entfernen (Anleitung hier).

Ein Daten-Backup erstellt man bei Threema lokal über das eigene Smartphone oder Tablet. Alle App-Daten werden in einen verschlüsselten Dateiordner auf dem eigenen Gerät abgelegt, anschließend muss man diesen Ordner auf das neue Gerät überspielen. Eine Anleitung gibt es hier.

Vor- und Nachteile von Theresa:

Positiv:

• Standardmäßige Ende-zu-Ende-Verschlüsselung für Chats, Gruppen-Chats und Audio-Telefonie
• Desktop-Version
• Verschlüsselte lokale Backups
• Ohne Telefonnummer nutzbar
• Speichert keine Metadaten und Kontakte
• Ohne Google-Konto nutzbar

Negativ:

• Nicht Open Source
• Kostenpflichtig
• Keine Video-Telefonie
• Kein Auto-Zerstörungs-Timer für Nachrichten

Wire

Wire ist der Newcomer unter den verschlüsselten Messengern – es gibt ihn erst seit 2014. Betreiberin ist die Wire Swiss GmbH. Das Motto von Wire: Genauso stylish wie WhatsApp, aber gleichzeitig so privat wie Signal. Wire gibt es für Android und iOS sowie für den Desktop von Windows- Apple- und Linux-Rechnern. Von den drei Gründern gehören zwei zum Skype-Gründungsteam. Das Geld für die Entwicklung stammt von Risikokapitalgebern. Seit Oktober 2017 ist eine erweiterte, kostenpflichtige Version für den Business-Bereich verfügbar, über die sich das Unternehmen finanziert.

Programmiert wird der Messenger in Berlin, aber das Unternehmen hat seinen Hauptsitz in der Schweiz und fällt damit unter das eidgenössische Datenschutzrecht. Nach eigenen Angaben wurde die kostenlose App rund fünf Millionen mal heruntergeladen (Stand August 2018).

Die Wire-App können Sie für Android aus Googles Play-Store oder für iOS aus dem App-Store laden. Wire verschlüsselt Chats, Telefonie und Video-Telefonie standardmäßig Ende-zu-Ende. Zusätzlich gibt es viele nette Extras, so etwa die Möglichkeit, Fotos vor dem Versand zu bemalen, Bilder zu zeichnen, Audioaufnahmen mit Filtern zu bearbeiten oder den eigenen Standort zu senden.

Sogar Telefonkonferenzen mit bis zu zehn Personen sollen machbar sein, einschließlich Screen-Sharing, etwa, um Präsentationen zu zeigen Besonders praktisch: Nachrichten können mit einem Verfallsdatum versehen und einzeln nachträglich gelöscht werden. Seit April 2018 können per Web-Link auch Gesprächsteilnehmer zu Diskussionen hinzugefügt werden, die die Wire-App selbst nicht installiert haben.

Der Programmcode der Wire-App ist für jeden zugänglich (Open Source). Außerdem hat Wire seine Produkte bereits zweimal durch unabhängige Experten von Kudelski Security und X41 D-Sec untersuchen lassen. Die Ergebnisse beider Sicherheits-audits waren positiv.

Wire fragt beim Einrichten, ob das Adressbuch abgeglichen werden soll, um Kontakte mit Wire-Konto zu finden. Stimmt man zu, werden diese anonymisiert (gehasht) auf wires Server geladen und dort abgeglichen. Wire versichert, diese Daten nicht zu verknüpfen, um Beziehungsnetzwerke zu rekonstruieren.

Kontakte kann man auch manuell über den Wire-Nutzernamen oder die Wire-Nutzerkennung (@Name) suchen und hinzufügen. Für die Nutzung ist keine Telefonnummer nötig. Man kann sich auch mit einer E-Mail-Adresse bei Wire anmelden.

Wire nutzt standardmäßig die Google-Play-Dienste – wie die meisten anderen Messenger auch. Anders als an manchen Stellen verbreitet, gibt es derzeit keine Wire-Version, in der keine Elemente von Google enthalten sind. Die App hat aber einen „Rückfallmechanismus“. Das heißt, wenn sie auf einem Gerät läuft, auf dem keine Google-Dienste verfügbar sind, funktioniert sie trotzdem.

Aus diesem Grund ist sie aber nicht im F-Droid-Store erhältlich, in dem nur Apps zugelassen sind, die keinerlei proprietäre Elemente beinhalten. Man kann die App aber als .apk-Datei von der Wire-Webseite laden.

Wire erfasst nur sehr wenige Metadaten und speichern Chats maximal 30 Tage auf den eigenen Servern. Protokolldaten von Anrufen, also wer wann mit wem telefoniert, werden nicht erfasst.

Wer seine Chat-Verläufe sichern will, oder auf ein neues Gerät umzieht, muss manuell ein Backup erstellen. Wire weist ausdrücklich darauf hin, dass die Backup-Datei nicht mit der Ende-zu-Ende-Verschlüsselung geschützt ist und daher an einem sicheren Ort gespeichert werden soll. Bei iOS-Geräten ist die Backup-Datei dann zumindest noch mit einem Passwort verschlüsselt, das man selber setzt.

Bei Android ist die Backup-Datei überhaupt nicht verschlüsselt, wie Wire auf Nachfrage bestätigte. Ein Backup kann man in seinem Benutzer-Konto wiederherstellen, wenn man sich einmal ausloggt und dann wieder einloggt. Eine Anleitung gibt es hier.

Vor- und Nachteile von Wire

Positiv:

• Standardmäßige Ende-zu-Ende-Verschlüsselung für Chats, Gruppen-Chats, Video- und Audio-Telefonie
• Desktop-Version
• Ohne Telefonnummer nutzbar
• Benötigt keinen Zugriff auf Kontakte
• Speichert wenige Metadaten
• Ohne Google-Konto nutzbar
• Auto-Zerstörungs-Timer für Nachrichten und nachträgliches Löschen
• Verschlüsseltes lokales Backup (nur iOS)
• Offener Quellcode

Negativ

• Lokales Backup nicht verschlüsselt (nur Android)

Quelle: https://mobilsicher.de


Besonderheiten bei Geschäftsreisen von geheimschutzbetreuten Unternehmen

15.10.2018

Geheimschutzbetreute Unternehmen haben die Pflicht gegenüber dem Staat, die ihm anvertrauten geheimen Informationen zu schützen. Dies gilt ebenso auf Geschäftsreisen des sicherheitsüberprüften Personals. Da diese insbesondere im Ausland im hohen Maße Ziel fremder Nachrichtendienste und Konkurrenzunternehmen sein können.

Der Geheimschutz (GHS) unterliegt grundsätzlich der nationalen Zuständigkeit und wird im Folgenden aus der deutschen Perspektive betrachtet. Denn insbesondere bei international agierenden Unternehmen kann es zu Überschneidungen verschiedener nationaler Vorschriften kommen.

Nicht nur in öffentlichen Einrichtungen kommt der GHS zu tragen. Auch im privaten Sektor, wie Wirtschaftsunternehmen und Forschungseinrichtungen werden Verschlusssachen (VS) verarbeitet oder entstehen dort durch Forschung und Entwicklung. In diesen Unternehmen entfalten die geheimschutzrelevanten Vorschriften Gültigkeit. Insbesondere das Sicherheitsüberprüfungsgesetz (SÜG) und das darauf basierende GHS-Handbuch sind maßgeblich.

Unter VS werden gem. §4 (1) SÜG die Informationen bezeichnet, die aus staatlicher Sicht besonders geheim zu halten sind. Da sonst die äußere bzw. innere Sicherheit oder auswärtige Beziehungen Deutschlands beeinträchtig werden können. Die Darstellungsform (Schriftstück, gesprochenes Wort, elektronische Daten usw.) der VS ist dabei unerheblich. Ausschlaggebend ist stets die Kennzeichnung der Information als VS. Es gibt gem. §4 (2) SÜG vier Geheimhaltungsstufen, die sich entsprechend ihrem Grad der Schutzbedürftigkeit unterscheiden:

• VS- NUR FÜR DEN DIENSTGEBRAUCH (geringe Schutzbedürftigkeit)
• VS-VERTRAULICH
• VS-GEHEIM
• VS-STRENG GEHEIM (hohe Schutzbedürftigkeit)

Für die weitere Betrachtung von Geschäftsreisetätigkeiten sind ausschließlich die Geheimhaltungsstufen ab VS-VERTRAULICH und höher relevant. Für VS-NfD sind gelockerte Vorschriften anzuwenden. Auch Unternehmensgeheimnisse sind von den GHS-Vorschriften ausgeklammert. Zur klaren Trennung sollten interne Kennzeichnungen genutzt werden, die sich deutlich zu den amtlichen unterscheiden.

Die zuständige Behörde für den GHS in der Wirtschaft ist das Bundesministerium für Wirtschaft und Energie (BMWi). Das BMWi betreut und kontrolliert gem. §25 SÜG die Umsetzung der GHS-Vorschriften im Unternehmen. Wird ein VS-Auftrag mit der Einstufung VS-Vertraulich oder höher an ein Unternehmen erteilt, dann arbeitet das BMWi mit dem Unternehmen auf Basis eines öffentlich-rechtlichen Vertrags zusammen. Die Durchführung der gebotenen GHS-Maßnahmen verantwortet das Unternehmen selbst. Daher kommt dem Sicherheitsbevollmächtigten (SiBe) eine gesonderte Stellung im Unternehmen zu.

Der SiBe ist innerhalb des Unternehmens für die Umsetzung der GHS-Vorschriften verantwortlich. Bei Unternehmen mit mehreren Gesellschaften kann der SiBe in diesen durch den ständigen Vertreter vor Ort vertreten werden.

Der SiBe ist auch dafür verantwortlich, dass die Mitarbeiter, die mindestens VS-VERTRAULICH verarbeiten sollen, einer Sicherheitsüberprüfung unterzogen werden. Ziel einer Überprüfung ist es festzustellen, ob der Überprüfte zuverlässig ist, sich zur freien demokratischen Grundordnung bekennt und weder durch seine finanzielle Situation noch verwandtschaftlichen Beziehungen in ein Land, für das besondere Sicherheitsregelungen gelten, erpressbar ist. Diese Länder werden auf der sogenannten „Staatenliste“ (im Sinne von §13 (1) Nummer 17 SÜG) aufgrund der politischen Verhältnisse, der Rechtsordnung und nachrichtendienstlichen Erkenntnisse vermerkt.

Vor der Geschäftsreise

Die GHS-Vorschriften gelten jedoch nicht pauschal für alle reisende Mitarbeiter eines geheimschutzbetreuten Unternehmens. Sie finden nur Anwendung auf Reisende, die eine gültige erweiterte Sicherheitsüberprüfung haben und eine Reise in oder durch ein Land der Staatenliste planen.

Im §32 SÜG werden die Reisebeschränkungen geregelt. So kann das Personal gem. §32 (1) SÜG vom zuständigen SiBe verpflichtet werden die geplante Geschäftsreise rechtzeitig vor Reisebeginn bei ihm anzuzeigen. Dies dient dazu, dass eine aktenkundige Belehrung stattfinden kann. Bei den Belehrungsinhalten handelt es sich insbesondere um adäquate Verhaltenshinweisen bei Reisen in Ländern, für die besondere Sicherheitsregelungen gelten. Hierzu eignet sich als Belehrungsgrundlage die Anlage 22 des GHS-Handbuches „Merkblatt für Auslandsreisen von VS-Ermächtigten“. Für den aktenkundigen Nachweis kann das Formblatt „Nachweis über die Wiederholung der Belehrung“ des GHS-Handbuches genutzt werden. Dieses ist der Sicherheitsakte des jeweiligen Reisenden aufzunehmen.

Weitere präventive Maßnahmen sind unter anderem:

• Aufnahme geheimschutzrelevanter Regelungen, wie Verantwortlichkeiten und Abläufe, in die Reise(sicherheits)richtlinie
• Genehmigung des SiBe bei Mitnahme von VS auf die Reise
• Bereitstellung von Informationen über die nachrichtendienstliche Bedrohung im Reiseland durch den zuständige SiBe
• regelmäßige Sensibilisierung der Mitarbeiter über die Vorgehensweisen und Ziele fremder Spionageaktivitäten

Jedoch kann der zuständige SiBe gem. §32 (2) SÜG die geplante Reise untersagen, wenn konkrete Anhaltspunkte über den Reisenden vorliegen oder dieser einer besonders sicherheitsempfindlichen Tätigkeit nachgeht, die eine erhebliche Gefährdung durch ausländische nachrichtendienstliche Aktivitäten erwarten lassen. Denn alle getroffenen Maßnahmen dienen nicht nur dem staatlichen Interesse der Geheimhaltung von VS sondern auch dem Schutz des Reisenden selbst.

Während der Geschäftsreise

Sollte es im Laufe der Reise zu einem geheimschutzrelevanten Vorkommnis, wie Anbahnungs- oder Werbeversuche, unbefugte Kenntnisnahme von VS oder Verlust von VS, kommen, so sind vom Reisenden situationsangepasste Schutzmaßnahmen einzuleiten. Spätestens nach Beendigung der Reise ist unverzüglich der zuständige SiBe zu informieren. Dieser leitet alle notwendige Maßnahmen ein.

Kommt es zu einer nachrichtendienstlichen Verstrickung kann im Rahmen der freiwilligen Offenbarung des Reisenden gegenüber dem SiBe oder der zuständigen Behörde von einer Strafverfolgung gem. §153 e Strafprozessordnung abgesehen werden.

Um die Möglichkeiten einer Verstrickung zu minimieren, sollte folgendes beachtet werden:

• im Reiseland unauffällig verhalten („Low Profil“)
• mit erhöhter Wachsamkeit gegenüber nachrichtendienstlichen Aktivitäten reisen
• mitgeführte IT-Geräte und Daten bzw. Unterlagen auf das Nötigste reduzieren, möglichst einen eigens vorgehaltenen Reiselaptop nutzen
• VS nicht in der Öffentlichkeit besprechen (Hotel, öffentlicher Nahverkehr usw.)
• die geltenden Vorschriften des Reiselandes beachten, insbesondere Ein- und Ausreisebestimmungen, Verkehrsbestimmungen sowie Verbote von Ton- und Bildaufnahmen
• bei Verwicklung mit den lokalen Behörden im Reiseland sollte die eigene diplomatische Vertretung (Botschaft, Konsulat) hinzugezogen werden

Nach der Geschäftsreise

Nach Rückkehr des Reisenden ist dieser gem. §32 (3) SÜG verpflichtet geheimschutzrelevante Vorkommnisse an seinen zuständigen SiBe zu melden.

Des Weiteren sollte grundsätzlich eine Nachbesprechung durch den zuständigen SiBe erfolgen. Dies dient zum einen der Feststellung von nicht offensichtlichen geheimschutzrelevanten Vorkommnissen und zum anderen der kontinuierlichen Verbesserung von Reisevorbereitung und -durchführung. Auch an dieser Stelle eignet es sich, das angefertigte Nachbesprechungsprotokoll der Sicherheitsakte des Reisenden beizulegen.

Keep in Mind

• Auch auf Geschäftsreisen ist der Schutz geheimer staatlichen Informationen zu wahren
• Bedingungen für besondere Reiseregelungen: sicherheitsüberprüfter Mitarbeiter, mindestens Auftrag der Stufe VS-VERTRAULICH, Reiseland, welches auf der Staatenliste vermerkt ist
• Vor der Reise: Reisen sind beim SiBe anzuzeigen. Dieser kann beim Vorliegen relevanter Informationen die Reise verbieten
• Während der Reise: Beachtung präventiver Maßnahmen im Umgang mit IT und in Verhaltensweisen
• Bei Vorkommnis: Einleitung situationsangepasster Schutzmaßnahmen
• Nach der Reise: Meldung geheimschutzrelevanter Vorkommnisse und Durchführung einer Nachbesprechung

Quellen:

Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen (Sicherheitsüberprüfungsgesetz – SÜG).

Bundesministerium für Wirtschaft und Energie (2004). Handbuch für den Geheimschutz in der Wirtschaft (Geheimschutzhandbuch).

Bundesministeriums des Innern (2018). Allgemeine Verwaltungsvorschrift zum personellen Geheimschutz und zum vorbeugenden personellen Sabotageschutz – SÜG-Ausführungsvorschrift (SÜG-AVV).

Anmerkung Seitens der Privatimus GmbH: Dies ist ein Blogbeitrag von Christian Kluge.


favicon-196×196