E-Mail-Abwesenheitsnotiz und Urlaubsregeln für die IT-Sicherheit
Man sendet in diesen Tagen oft eine Mail und bekommt umgehend die Information, daß der Ansprechpartner im Urlaub ist, oftmals noch mit dem Hinweis von wann bis wann, und an wen man sich stattdessen gerne wenden kann. Das ist sehr schön und hilfreich, denn dann kann man seine Kommunikation planen und direkt ggf. andere Personen ansprechen.
Aber Vorsicht, solche Notizen sind für potentielle Angreifer nützlich. Diese bieten Informationen, die sich für kriminelle Handlungen verwenden lassen. Neben den offensichtlichen Infos wie der Dauer der Abwesenheit, dem Namen der Vertretung inkl. der Kontaktdaten zeigt eine solche automatische Antwort auch, dass die Adresse tatsächlich vergeben ist. Ein Spammer wird diese Adresse sicherlich in seine Adressliste für spätere Phishing-Läufe aufnehmen oder aber auch verkaufen.
An und für sich sind Abwesenheitsnotizen eine hilfreiche Einrichtung für beide Seiten – aber ist das Einrichten einer solchen Abwesenheitsnotiz wirklich klug?
In vielen Unternehmen gibt es eine Vorlage welche Informationen in der Abwesenheitsnotiz stehen sollen, in anderen Unternehmen ist es jedem Mitarbeiter selbst überlassen, welcher Text verwendet wird.
Auf folgende Themen sollten man achten:
Immer nur so wenige Informationen wie nötig mitteilen: Die Regel des "need to know" gilt auch hier.
Interne oder externe Nachricht unterschiedlich erstellen: Was man intern locker mitteilen kann, wie z. B. Vertretung oder Dauer der Abwesenheit, sollte extern hinterfragt werden. Muss der externe den Namen oder die Telefonnummer haben, muss er wissen, daß man im Urlaub ist, ggfs. sogar mit Urlaubsziel? Auch die "Social Engineers" werden sich freuen, da man ggf. bei der Person suchen kann, wie weit weg er ist. Besser eine Sammeladresse für Notfälle verwenden, z. B. Buchhaltung@XYZ.de.
Keine Termine nennen: Die Abwesenheit eines Mitarbeiters kann ausgenutzt werden, denn wenn sich Angreifer schon im Netz tummeln, können Sie die Systeme des "Urlaubers" kapern und munter in seinem Revier "wildern", dieser merkt es ja nicht, bevor er zurückkehrt.
Mitteilung befristen: Es kommt vor, daß die Mitteilung schon vor dem Urlaub kommt und nachher ebenso munter vereilt wird. Besser wäre es, diese nur genau zu der Zeit zu verteilen, in der man nicht da ist.
Vorgabetexte nutzen: Wenn man im Unternehmen vom Informationssicherheitsbeauftragten oder der IT schon einen sicheren Textvorschlag hat, der mehr Sicherheit schafft, sollte diese angewendet werden.
Wenn man wenige Adressaten hat, empfiehlt es sich, statt einer Abwesenheitsnotiz eine kurze Infomail mit den nötigen Informationen zu verschicken oder einen kurzen Anruf zu tätigen. Neben dem Minimieren des Risikos kann man so auch noch meine Partner-/Kundenbeziehungen pflegen.
Und auch das BSI hat eine Checkliste zusammengestellt, um den Urlaub risikoärmer zu machen. Manche Einstellungen von Mobiltelefonen oder Tabets sollte man aber besser vor dem Urlaub Zuhause vornehmen, das kann viele Nerven und Ärger sparen.
Ach ja, und nicht vergessen: Datenroaming ausserhalb der EU kann teuer werden, daher besser ausschalten bei Nichtgebrauch.
Hier geht es zur Checkliste: