Die Abwesenheitsnotiz als Gefahr für die IT-Sicherheit

Wer kennt sie nicht – E-Mails von Geschäfts­part­nern mit der Infor­ma­tion, dass sich das Gegen­über gerade nicht im Haus befin­det, oft­mals noch mit dem Hin­weis von wann bis wann, und an wen man sich statt­des­sen gerne wen­den kann. An und für sich eine hilf­rei­che Ein­rich­tung für beide Sei­ten – aber ist das Ein­rich­ten einer sol­chen Abwe­sen­heits­no­tiz wirk­lich klug?

email_bild nicht da

In vie­len Unter­neh­men gibt es eine Vor­lage wel­che Infor­ma­tio­nen in der Abwe­sen­heits­no­tiz ste­hen sol­len, in ande­ren Unter­neh­men ist es jedem Mit­ar­bei­ter selbst über­las­sen, wel­cher Text ver­wen­det wird. Meist liest man aber sehr ähn­li­che Texte nach dem Mus­ter:

„Sehr geehrte Damen und Her­ren,

ich befinde mich vom xx.xx.xxxx bis zum yy.yy.yyyy nicht im Büro. Bei drin­gen­den Fra­gen wen­den Sie sich bitte an meine Kol­le­gin Frau Mus­ter­frau (E-Mail: musterfrau@gmbh.de; Tele­fon: 01234/56789)

Mit freund­li­chen Grü­ßen

Ich“

Warum sollte ich eine Abwe­sen­heits­no­tiz bei all den offen­sicht­li­chen Vor­tei­len nicht ein­rich­ten?

  1. Sol­che Noti­zen sind für poten­ti­elle Angrei­fer ein gefun­de­nes Fres­sen, bie­ten sie doch Infor­ma­tio­nen, die sich für kri­mi­nelle Hand­lun­gen ver­wen­den las­sen. Neben den offen­sicht­li­chen Infos (Dauer der Abwe­sen­heit, Ver­tre­tung inkl. der Kon­takt­da­ten), zeigt eine sol­che auto­ma­ti­sche Ant­wort auch, dass die Adresse tat­säch­lich ver­ge­ben ist. Ein Spam­mer wird diese Adresse sicher­lich in seine Adress­liste für spä­tere Phishing-Läufe auf­neh­men oder aber auch ver­kau­fen.
  2. Auch Social Engi­neers freuen sich über die frei­zü­gige Her­aus­gabe von Infor­ma­tio­nen, macht ihnen dies das Leben leich­ter. Zual­ler­erst bekom­men sie die direk­ten Daten eines Mit­ar­bei­ters ohne sich von der Zen­trale wei­ter­lei­ten las­sen zu müs­sen, denn die Mit­ar­bei­ter dort geben direkte Durch­wah­len oft nicht her­aus. Zudem weiß ein Angrei­fer so genau, in wel­chem Zeit­raum er einen Angriff bspw. in Form einer Spear-Phishing-Mail durch­füh­ren kann.
  3. Schlimms­ten­falls hat man in der Abwe­sen­heits­no­tiz noch ver­merkt wo man in Urlaub ist; das ist für einen Angriff natür­lich umso hilf­rei­cher, als dass man sich als Angrei­fer zusätz­lich auf diese Infor­ma­tion bezie­hen kann, um die Fake-Identität zu unter­mau­ern. Wer soll außer Fami­lie, Freun­den und Kol­le­gen denn wis­sen, wo man in Urlaub ist.

Wie kann ich dann mich und mein Unter­neh­men schüt­zen und die Risi­ken eines mög­li­chen Angriffs mini­mie­ren?

4 Tipps zum siche­ren Umgang mit Abwe­sen­heits­no­ti­zen in Unter­neh­men

  1. Kom­mu­ni­ziere ich nur mit mei­nen Kol­le­gen inner­halb des Unter­neh­mens ist die Ein­rich­tung einer Abwe­sen­heits­no­tiz nach außen nicht not­wen­dig. Eine interne Infor­ma­tion kann vor allem bei grö­ße­ren Unter­neh­men, in denen man nicht mehr jeden per­sön­lich kennt, sinn­voll sein.
  2. Kom­mu­ni­ziere ich mit eini­gen weni­gen Part­nern oder Kun­den außer­halb mei­nes Unter­neh­mens emp­fiehlt es sich, statt eine Abwe­sen­heits­no­tiz ein­zu­rich­ten, eine kurze Info­mail mit den nöti­gen Infor­ma­tio­nen zu ver­schi­cken oder einen kur­zen Anruf zu täti­gen. Neben dem Mini­mie­ren des Risi­kos kann ich so auch noch meine Partner-/Kundenbeziehungen pfle­gen.
  3. Habe ich Kon­takt zu vie­len exter­nen Part­nern oder Kun­den ist das Ein­rich­ten einer Abwe­sen­heits­no­tiz sicher­lich trotz des Risi­kos sinn­voll und hilf­reich. Ein Kom­pro­miss könnte in die­sem Fall sein, dass der Abwe­sen­heits­as­sis­tent die Ein­stel­lung erhält eine Abwe­sen­heits­no­tiz nur an meine Kon­takte zu schi­cken. Dies setzt aller­dings ein gepfleg­tes Adress­buch vor­aus.
  4. Bei län­ge­rer Abwe­sen­heit arbei­tet man, sofern mög­lich, am bes­ten mit dem auto­ma­ti­schen Wei­ter­lei­ten sei­ner E-Mails an den ver­tre­ten­den Kol­le­gen oder mit Post­fach­be­rech­ti­gun­gen.

Damit ist das Risiko, dass Kri­mi­nelle zu leicht zu viele Infor­ma­tio­nen über die Abwe­sen­heits­no­tiz sam­meln kön­nen zwar nicht kom­plett aus­ge­räumt, aber zumin­dest mini­miert und der Schutz vor Social-Engineering-Angriffen noch auf­recht gehal­ten.

Es ist stets wich­tig, auch bei Klei­nig­kei­ten wie einer Abwe­sen­heits­no­tiz das Thema Secu­rity Awa­ren­ess im Kopf zu behal­ten, um so das IT-Sicherheitsbewusstsein zu stär­ken.

 

David Kelm
Geschäfts­füh­rer, IT-Seal GmbH, Darm­stadt
david.kelm@it-seal.de