Out-of-Office: Wenn Abwesenheitsnachrichten zur Falle werden

7 Mrz 2019

Vor ihrem wohlverdienten Urlaub oder einer Geschäftsreise konfigurieren viele Mitarbeiter eine automatische E-Mail-Antwort, sodass Kunden und Kollegen wissen, an wen sie sich bei dringenden Fragen während ihrer Abwesenheit wenden können. In der Regel umfasst eine solche Autoreply Reisedauer und Kontaktdetails der Back-up-Kollegen; in manchen Fällen werden sogar aktuelle Projektinformationen preisgegeben.

Derartige Abwesenheitsnachrichten scheinen harmlos zu sein, können aber zum Unternehmensbedrohung werden. Schränkt ein Mitarbeiter die Empfängerliste beispielsweise nicht ein, wird die Autoreply automatisch an jeden Absender weitergeleitet, dessen Nachricht im Posteingang der abwesenden Person landet – und bei einem dieser Absender könnte es sich um einen Cyberkriminellen oder Spammer handeln, der es geschafft hat mögliche E-Mail-Filter zu umgehen. Die in der automatischen Antwort angegebenen Informationen könnten sogar ausreichen, um eine zielgerichtete Attacke auszuführen.

Kleine Nachricht mit großen Folgen

Spammer können dank einer automatischen E-Mail-Antwort zum Beispiel herausfinden, ob eine E-Mail-Adresse gültig ist und zu welcher Person sie gehört. Darüber hinaus offenbart sie ihnen Vor- und Nachnamen sowie die berufliche Stellung der jeweiligen Person. Die Signatur einer E-Mail gibt darüber hinaus oftmals eine Telefonnummer preis.

Normalerweise senden Spammer Nachrichten an Adressen aus einer riesigen Datenbank, die allmählich veraltet und ihre Effektivität verliert. Wenn jedoch eine reale Person am anderen Ende des Bildschirms entdeckt wird, wird diese von den Cyberkriminellen als praktikables Ziel markiert und ab sofort mit Nachrichten bombardiert.

Wenn die Abwesenheitsnachricht als Antwort auf eine Phishing-E-Mail versandt wird, können die über den Back-up-Kollegen in Erfahrung gebrachten Informationen, einschließlich Name(n), berufliche Stellung, Arbeitszeiten und Telefonnummern, zur Realisierung eines effektiven Spear-Phishing-Angriffs verwendet werden. Und dieses Problem betrifft nicht nur Großunternehmen. Autoreplies sind wahrlich leichte Beute und bergen echte Datenschätze für alle Arten von Social-Engineering-Zwecken.

Das können Cyberkriminelle tun

Stellen Sie sich vor, Peter fährt in den Urlaub und hinterlässt eine automatische Antwort, die ungefähr wie folgt aussieht: „Ich bin bis zum 27. März nicht im Büro. Bei Fragen zum Projekt, wenden Sie sich bitte an Tati (E-Mail-Adresse, Telefonnummer). Die Medusa-Umgestaltung wird von Andrew (E-Mail-Adresse, Telefonnummer) übernommen.“

Kurze Zeit später erhält Andrew eine Nachricht, die vom Direktor der Medusa LLC zu stammen scheint. Unter Bezugnahme auf ein vorheriges Gespräch mit Peter bittet der Cyberkriminelle Andrew darum, einen Blick auf ein potenzielles UI-Design zu werfen. In einer solchen Situation ist es mehr als wahrscheinlich, dass Andrew den Anhang oder einen Link in der Nachricht öffnet und seinen Arbeitscomputer auf diese Weise einem Infektionsrisiko aussetzt.

Darüber hinaus können Cyberkriminelle durch einen E-Mail-Austausch vertrauliche Informationen entlocken, indem sie in ihrer Nachricht auf den abwesenden Kollegen und die vermeintlich gemeinsame Geschäftsbeziehung eingehen. Je mehr die Kriminellen über das Unternehmen wissen, desto wahrscheinlicher ist es, dass der stellvertretende Kollege interne Dokumente weiterleitet oder ein Geschäftsgeheimnis preisgibt.

So schützen Sie sich

Um einen möglichen Fauxpas zu vermeiden, sollten Sie folgende Dinge beachten:

  • Legen Sie fest, welche Mitarbeiter tatsächlich auf Autoreplies angewiesen sind. Wenn einer Ihrer Mitarbeiter nur wenige Kunden betreut, kann er diese per einmaliger E-Mail-Benachrichtigung oder telefonisch über seine Abwesenheit informieren.
  • Für Mitarbeiter, deren Aufgaben von einem einzigen Kollegen übernommen werden, ist es sinnvoll, eingehende Nachrichten lediglich weiterzuleiten. Natürlich ist das alles andere als praktisch, aber immerhin wird so garantiert, dass keine wichtigen Nachrichten verpasst werden.
  • Empfehlen Sie Mitarbeitern zwei Autoreply-Varianten zu erstellen – eine für interne und eine andere für externe Adressen. Für interne Abwesenheitsnachrichten können dann detailliertere Informationen oder Anweisungen hinzugefügt werden.
  • Wenn sich ein Mitarbeiter ausschließlich mit Kollegen per Mail kommuniziert, sollten Sie automatische Antworten für externe Adressen vollständig über Bord werfen.
  • In jedem Fall sollten Sie Ihre Mitarbeiter darüber informieren, dass automatische E-Mail-Antworten keine überflüssigen Informationen enthalten sollten. Namen von Produktlinien oder Kunden, Telefonnummern von Kollegen, Informationen darüber, wo sich der Mitarbeiter im Urlaub befindet, und andere Details sind vollkommen unnötig.
  • Verwenden Sie auf dem Mail-Server eine Sicherheitslösung, die Spam- und Phishing-Versuche automatisch erkennt und Anhänge gleichzeitig auf Malware scannt.