Viele Berufstätige verwenden automatische E-Mail-Antworten, um Kunden und Mitarbeiter über ihre Abwesenheit zu informieren und ihnen Kontaktdaten für die Zeit ihrer Abwesenheit zu geben.
Das scheint eine verantwortungsvolle Sache zu sein, ist es aber nicht unbedingt. Automatische Antworten außerhalb des Büros können ein großes Sicherheitsrisiko darstellen. Abwesenheitsantworten können potenziell eine große Menge sensibler Daten über Sie an jeden weitergeben, der Ihnen während Ihrer Abwesenheit zufällig eine E-Mail schickt.
Beispiel für eine übliche Abwesenheitsantwort
Ich werde in der Woche vom 1. bis 7. Juni auf der XYZ-Konferenz in St. Peter Ording nicht im Büro sein. Wenn Sie während dieser Zeit Hilfe in Rechnungsangelegenheiten benötigen, wenden Sie sich bitte an meinen Vorgesetzten, Klaus Irgendwer, unter 555-1212. Wenn Sie mich während meiner Abwesenheit erreichen müssen, können Sie mich auf meinem Handy unter 555-1011 erreichen.
Johann Otto- VP of Operations – Widget CorpSmithb@widgetcorp.dom555-7252
Während die obige Nachricht für einige hilfreich sein mag, offenbart sie anderen eine Fülle von potenziell sensiblen Informationen. Kriminelle oder Hacker können diese Daten für Social Engineering-Angriffe nutzen.
Das obige Beispiel einer Abwesenheitsnachricht liefert einem Angreifer folgende Informationen:
Informationen zum aktuellen Standort
Die Preisgabe Ihres Standorts hilft Angreifern, herauszufinden, wo Sie sich befinden. Wenn Sie sagen, dass Sie in St. Peter Ording sind, dann wissen sie, dass Sie nicht zu Hause in Berlin sind. Das wäre ein guter Zeitpunkt, um Sie auszurauben.Wenn du sagst, du wärst auf der XYZ-Konferenz (wie Johann), dann wissen sie, wo sie sich befinden. Sie wissen auch, dass Sie nicht in Ihrem Büro sind und dass sie sich vielleicht einen Weg in Ihr Büro verschaffen können, indem sie etwas sagen wie:
“Johann sagte mir, ich solle den Bericht XYZ abholen. Er sagte, er läge auf seinem Schreibtisch. Macht es Ihnen etwas aus, wenn ich in sein Büro gehe und ihn hole?” Eine vielbeschäftigte Sekretärin lässt einen Fremden vielleicht einfach in Johanns Büro, wenn die Geschichte plausibel erscheint.
Kontaktinformationen
Die Kontaktinformationen, die Johann preisgegeben hat, können Betrügern dabei helfen, die für einen Identitätsdiebstahl erforderlichen Elemente zusammenzusetzen. Sie haben jetzt seine E-Mail-Adresse, seine Arbeits- und Handynummer und auch die Kontaktdaten seines Vorgesetzten.
Wenn jemand Johann eine Nachricht sendet, während seine automatische Antwort aktiviert ist, sendet sein E-Mail-Server die automatische Antwort zurück, wodurch Johanns E-Mail-Adresse als gültig bestätigt wird. E-Mail-Spammer lieben es, die Bestätigung zu erhalten, dass ihr Spam ein lebendes Ziel erreicht hat. Johanns Adresse wird nun wahrscheinlich als bestätigter Treffer zu anderen Spam-Listen hinzugefügt.
Ort der Beschäftigung, Berufsbezeichnung, Arbeitsbereich und Vorgesetzter (Chain of Command)
In Ihrem Signaturblock finden Sie häufig Ihre Berufsbezeichnung, den Namen des Unternehmens, für das Sie arbeiten (was auch Aufschluss darüber gibt, welche Art von Arbeit Sie verrichten), Ihre E-Mail-Adresse sowie Ihre Telefon- und Faxnummer. Wenn Sie hinzugefügt haben: “Während meiner Abwesenheit wenden Sie sich bitte an meinen Vorgesetzten, Joe Somebody”, dann haben Sie soeben auch Ihre Berichtsstruktur und Ihre Befehlskette offengelegt.
Diese Information könnte von Social Engineers für Imitationsangriffe genutzt werden. Sie könnten z. B. die Personalabteilung Ihres Unternehmens anrufen und vorgeben, Ihr Chef zu sein:
Hier ist Klaus irgendwer. Johann Otto ist auf einer Reise und ich brauche seine Mitarbeiter-ID und Sozialversicherungsnummer, damit ich die Steuerformulare seiner Firma korrigieren kann.
Bei einigen Einrichtungen für Abwesenheitsnachrichten können Sie die Antwort so einschränken, dass sie nur an Mitglieder Ihrer Host-E-Mail-Domäne geht, aber die meisten Leute haben Klienten und Kunden außerhalb der Hosting-Domäne, so dass diese Funktion ihnen nicht helfen wird.
Erstellen Sie eine sichere automatische Abwesenheitsnachricht
Anstatt zu sagen, dass Sie woanders sein werden, sagen Sie, dass Sie “nicht verfügbar” sein werden. Nicht verfügbar” könnte bedeuten, dass Sie noch in der Stadt sind oder im Büro an einer Schulung teilnehmen. So können die Bösewichte nicht wissen, wo Sie wirklich sind.
Geben Sie keine Kontaktinformationen an
Geben Sie keine Telefonnummern oder E-Mail-Adressen an. Sagen Sie ihnen, dass Sie Ihr E-Mail-Konto kontrollieren werden, falls sie Sie kontaktieren müssen.
Vermeiden Sie persönliche Informationen und entfernen Sie Ihre Signatur
Denken Sie daran, dass völlig Fremde und möglicherweise Betrüger und Spammer Ihre automatische Antwort sehen können. Wenn Sie diese Informationen in Ihrer Signatur normalerweise nicht an Fremde weitergeben würden, sollten Sie sie nicht in Ihre automatische Antwort aufnehmen.
Hatten Sie schon Probleme durch eine automatische E-Mailantwort?