Die Abwesenheitsnotiz als Gefahr für die IT-Sicherheit
Wer kennt sie nicht – E-Mails von Geschäftspartnern mit der Information, dass sich das Gegenüber gerade nicht im Haus befindet, oftmals noch mit dem Hinweis von wann bis wann, und an wen man sich stattdessen gerne wenden kann. An und für sich eine hilfreiche Einrichtung für beide Seiten – aber ist das Einrichten einer solchen Abwesenheitsnotiz wirklich klug?
In vielen Unternehmen gibt es eine Vorlage welche Informationen in der Abwesenheitsnotiz stehen sollen, in anderen Unternehmen ist es jedem Mitarbeiter selbst überlassen, welcher Text verwendet wird. Meist liest man aber sehr ähnliche Texte nach dem Muster:
„Sehr geehrte Damen und Herren,
ich befinde mich vom xx.xx.xxxx bis zum yy.yy.yyyy nicht im Büro. Bei dringenden Fragen wenden Sie sich bitte an meine Kollegin Frau Musterfrau (E-Mail: musterfrau@gmbh.de; Telefon: 01234/56789)
Mit freundlichen Grüßen
Ich“
Warum sollte ich eine Abwesenheitsnotiz bei all den offensichtlichen Vorteilen nicht einrichten?
- Solche Notizen sind für potentielle Angreifer ein gefundenes Fressen, bieten sie doch Informationen, die sich für kriminelle Handlungen verwenden lassen. Neben den offensichtlichen Infos (Dauer der Abwesenheit, Vertretung inkl. der Kontaktdaten), zeigt eine solche automatische Antwort auch, dass die Adresse tatsächlich vergeben ist. Ein Spammer wird diese Adresse sicherlich in seine Adressliste für spätere Phishing-Läufe aufnehmen oder aber auch verkaufen.
- Auch Social Engineers freuen sich über die freizügige Herausgabe von Informationen, macht ihnen dies das Leben leichter. Zuallererst bekommen sie die direkten Daten eines Mitarbeiters ohne sich von der Zentrale weiterleiten lassen zu müssen, denn die Mitarbeiter dort geben direkte Durchwahlen oft nicht heraus. Zudem weiß ein Angreifer so genau, in welchem Zeitraum er einen Angriff bspw. in Form einer Spear-Phishing-Mail durchführen kann.
- Schlimmstenfalls hat man in der Abwesenheitsnotiz noch vermerkt wo man in Urlaub ist; das ist für einen Angriff natürlich umso hilfreicher, als dass man sich als Angreifer zusätzlich auf diese Information beziehen kann, um die Fake-Identität zu untermauern. Wer soll außer Familie, Freunden und Kollegen denn wissen, wo man in Urlaub ist.
Wie kann ich dann mich und mein Unternehmen schützen und die Risiken eines möglichen Angriffs minimieren?
4 Tipps zum sicheren Umgang mit Abwesenheitsnotizen in Unternehmen
- Kommuniziere ich nur mit meinen Kollegen innerhalb des Unternehmens ist die Einrichtung einer Abwesenheitsnotiz nach außen nicht notwendig. Eine interne Information kann vor allem bei größeren Unternehmen, in denen man nicht mehr jeden persönlich kennt, sinnvoll sein.
- Kommuniziere ich mit einigen wenigen Partnern oder Kunden außerhalb meines Unternehmens empfiehlt es sich, statt eine Abwesenheitsnotiz einzurichten, eine kurze Infomail mit den nötigen Informationen zu verschicken oder einen kurzen Anruf zu tätigen. Neben dem Minimieren des Risikos kann ich so auch noch meine Partner-/Kundenbeziehungen pflegen.
- Habe ich Kontakt zu vielen externen Partnern oder Kunden ist das Einrichten einer Abwesenheitsnotiz sicherlich trotz des Risikos sinnvoll und hilfreich. Ein Kompromiss könnte in diesem Fall sein, dass der Abwesenheitsassistent die Einstellung erhält eine Abwesenheitsnotiz nur an meine Kontakte zu schicken. Dies setzt allerdings ein gepflegtes Adressbuch voraus.
- Bei längerer Abwesenheit arbeitet man, sofern möglich, am besten mit dem automatischen Weiterleiten seiner E-Mails an den vertretenden Kollegen oder mit Postfachberechtigungen.
Damit ist das Risiko, dass Kriminelle zu leicht zu viele Informationen über die Abwesenheitsnotiz sammeln können zwar nicht komplett ausgeräumt, aber zumindest minimiert und der Schutz vor Social-Engineering-Angriffen noch aufrecht gehalten.
Es ist stets wichtig, auch bei Kleinigkeiten wie einer Abwesenheitsnotiz das Thema Security Awareness im Kopf zu behalten, um so das IT-Sicherheitsbewusstsein zu stärken.
David Kelm
Geschäftsführer, IT-Seal GmbH, Darmstadt