Digital sicher in den Urlaub

Für entspanntere Urlaubstage gibt etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit Tipps, wie digitaler Schutz gelingt. Nicht alle sind aktuell, aber Urlaubsreisende sollten dennoch einige Hinweise beachten.

Die Hinweise vom BSI sind recht knapp gehalten. Es gelte, die „digitale Sicherheit bereits vor Reisebeginn mitzudenken. Wer Geräte, Konten und Daten rechtzeitig absichert, reduziert das Risiko, im Urlaub oder nach der Rückkehr unangenehme Überraschungen zu erleben.“ Etwa der Hinweis, Reiseunterlagen nur über vertrauenswürdige Wege abzurufen, hat aktuelle Hintergründe. So wurden viele Hotels, etwa Best Western Hotels, und von ihnen eingesetzte Buchungsplattformen wie Booking von Cyberkriminellen unterwandert, die unbefugt Zugriff auf Buchungsinformationen erlangt haben, die sie dann etwa für Phishing missbrauchen.

Oldies but Goldies

Wer auf Social Media unterwegs ist und dort Inhalte öffentlich teilt, sollte natürlich sparsam mit persönlichen Informationen und etwa Reiseplänen sein, um Betrügern und potenziellen Einbrechern keine verwertbaren Informationen zu liefern. Auch automatische Abwesenheitsnotizen können zu viel verraten.

Weniger „Goldie“ sind jedoch einige der weiteren Tipps: Öffentliche WLANs nur mit Vorsicht nutzen, ist bei weitem nicht mehr so wichtig wie noch vor einigen Jahren. Wir haben inzwischen überall geschützte Serverkommunikation über TLS-Protokolle; wer sich nicht sicher ist, ob irgendwo Klartext-Informationen über den Äther gehen, sollte etwa das WireGuard-VPN in der Fritzbox anwerfen oder eine andere VPN-Software, die bis zu einem vertrauenswürdigen Tunnel-Endpunkt verschlüsselt.

Viele Sicherheitsratgeber weisen wie das BSI darauf hin, öffentliche USB-Ladestellen und fremde Ladekabel zu meiden oder etwa auf Kabel und Adapter zu setzen, die bei den großen Onlinehändlern beispielsweise unter dem Begriff „USB Datenblocker“ zu finden sind. Das ist nicht mehr ganz auf der Höhe der Zeit. Seit die großen Sicherheitslücken, die etwa BadUSB-Angriffe (Einschleusen von Tastendrücken) ermöglichten, in Android und iOS ausgebügelt sind, ist die reale Gefahr gering.

Der Schutz durch das Setzen der automatischen Bildschirmsperre ist hier viel wichtiger, da das auch bei Diebstahl oder Verlust des Handys den Zugriff auf die Daten zumindest deutlich erschwert. Zugleich unterbindet das auch BadUSB-Angriffe. Alle Zugänge sollten Menschen mit Reiseplänen zudem mit starken Passwörtern (hilfreich ist hier die Länge, also etwa die Nutzung von Passphrases) und Mehr-Faktor-Authentifizierung versehen oder besser gleich auf Passkeys umstellen.

Auf Kontrollen vorbereiten

Vor Reisen sollten Interessierte prüfen, welche Regeln im Reiseland sowie in Transitländern mit Flug-Zwischenstopps(!) gelten. Etwa die USA waren dafür verstärkt in den Schlagzeilen. Gegebenenfalls sollte man sich auf Kontrollen von Smartphones, Laptops sowie etwa Social-Media-Accounts einrichten. Dafür muss dann der Zugang herausgerückt werden. Bislang ist aber etwa die Angabe der Social-Media-Konten auf dem ESTA-Formular für die USA-Einreise noch freiwillig. Die Behörden überwachen jedoch öffentliche Social-Media-Daten und könnten daher die Daten einfordern. Sich aus Social Media auszuloggen und die Apps etwa auf dem Handy zu löschen, ist eventuell eine Vorsichtsmaßnahme, um keine Neugierde zu wecken; wenn die Grenzer nachfragen, endet das jedoch trotzdem in der Herausgabepflicht der Kontodaten. Wer in die USA reist, sollte deshalb auch auf Social Media sowie in Messenger-Diensten auf die geposteten Inhalte achten sowie auf vergebene Likes oder geteilte Nachrichten.

Aber auch in anderen Ländern sollten Reisende Vorsicht walten lassen. In Hongkong gilt seit März 2026 als Straftat, die Kooperation zu verweigern, der Polizei Passwörter und Entschlüsselungshilfe für elektronische Geräte zu leisten. Es winken ein Jahr Haft und rund 12.500 US-Dollar Strafe bei Weigerung, für Falschangaben sogar 3 Jahre Gefängnis und eine Kostennote von mehr als 60.000 US-Dollar. Auch, wer nicht so weit verreist, kann Ähnliches erleben. Der Schedule 7 des Terrorism Act 2000 im Vereinigten Königreich sieht die Kooperationsverweigerung ebenfalls als Straftat. Dort kann man dafür bis zu drei Monate ins Kittchen wandern sowie eine Strafe bis zu 2500 Pfund aufgebrummt bekommen. Wer unter dem Regulation of Investigatory Powers Act (RIPA) die Entschlüsselung verweigert, riskiert zwei Jahre hinter Gittern, sollte die nationale Sicherheit berührt sein, sogar bis zu fünf Jahre.

Weitere leicht verständliche Sicherheitstipps liefern auch die c’t-Security-Checklisten in der 2026er-Ausgabe (PDF-Datei auch zum Teilen). Die gehen noch etwas weiter in die Tiefe und beschränken sich dabei auf die essenziell wichtigen Aspekte.

(dmk)