Logo der activeMind AG

Abwesenheitsnotizen als Schwachstelle

Inhalt

Abwesenheitsnotizen bzw. Out-of-Office-Benachrichtigungen kennen wir alle, vor allem in der Urlaubszeit. Für Angriffe auf die Informationssicherheit enthalten sie jedoch ideale Informationen, um mittels Identitätsdiebstahl und Social Engineering andere Mitarbeitende und Systeme zu überlisten.

Social Engineering als Einfallstor

Informationssicherheit wird sehr oft allein mit technischen Schutzmaßnahmen wie Firewalls oder Verschlüsselung gleichgesetzt. In der Praxis entstehen jedoch viele Sicherheitsvorfälle durch menschliches Verhalten und ganz alltägliche Kommunikationsprozesse. Auch übliche und scheinbar harmlose Routinen können unbeabsichtigt Informationen preisgeben, die für Angreifer wertvoll sind. Automatische E-Mail-Antworten, wie Abwesenheitsnotizen sind hierfür ein typisches Beispiel.

Bereits durch solch kleine Informationslecks kann die Sicherheit einer Organisation gefährdet werden. Cyberangreifer nutzen häufig keine technischen Schwachstellen, sondern setzen stark auf Social Engineering – also die gezielte Täuschung unter Ausnutzung von Vertrauen, Kontextwissen und Routinen.

Abwesenheitsnotizen bzw. Out-of-Office-Benachrichtigungen sind dafür eine nahezu ideale Ausgangsbasis.

Das Problem von Abwesenheitsbenachrichtigungen

Eine automatisierte Abwesenheitsnotiz im E-Mail-Account ist völlig üblich, sowohl bei geplanten Abwesenheiten wie Urlaub als auch bei Krankheit oder etwa Elternzeit. Immerhin soll die Erreichbarkeit für Kunden und Geschäftspartner sichergestellt sein und keine möglicherweise wichtige Nachricht länger unbearbeitet bleiben; erst recht, wenn der Absender entsprechend dringend auf Antwort wartet.

Auf die eigene Abwesenheit nicht hinzuweisen, könnte vor diesem Hintergrund auch das Geschäftsverhältnis belasten und im Ernstfall auch zur Haftung führen.

Typische Out-of-Office-Nachrichten geben dabei jedoch oft mehr preis als notwendig oder unbedenklich. Angaben zu konkreten Abwesenheitszeiträumen, eingeschränkter Erreichbarkeit, Vertretungen oder internen Zuständigkeiten liefern Angreifern ggf. wertvolle Hinweise. Wann ist ein Nutzerkonto nicht genutzt und damit nicht kontrolliert? Welche Personen sind in bestimmten Zusammenhängen erreichbar? Wie sind die internen Strukturen aufgebaut?

Konkret werden durch aussagekräftige Abwesenheitsnachrichten folgende Risiken erzeugt:

  • gezielte Phishing- und Spear-Phishing-Angriffe;
  • Identifikation unbeaufsichtigter oder wenig überwachter Postfächer;
  • Offenlegung interner Rollen, Zuständigkeiten und Hierarchien;
  • Vorbereitung von Betrugsversuchen, etwa durch Identitätsmissbrauch;
  • Ausnutzung zeitlich begrenzter Kontroll- und Entscheidungs­lücken;
  • Identifikation aktiv genutzter E-Mail-Adressen.

Lohnende Ziele können so durch Angreifer mitunter leicht identifiziert werden. Wird ein E-Mail-Konto während einer längeren Abwesenheit kompromittiert und nicht überwacht, kann ein Angreifer unter Umständen unbemerkt agieren und auch weitere Mitarbeitende oder Beteiligte täuschen.

Gerade während einer Abwesenheit sollte daher mit größter Aufmerksamkeit selbst auf kleinste Anzeichen geachtet werden, die darauf hinweisen könnten, dass sich Unbefugte am eigenen Konto zu schaffen machen. So ist beispielsweise jede nicht selbst ausgelöste oder sonst unerwartete Multifaktorabfrage oder sonstige Bitte um Bestätigung einer Aktion ein deutlicher Anlass zu Misstrauen. Eine Bestätigung sollte erst recht während Abwesenheitszeiten niemals ohne vorherige Klärung oder Rückversicherung erfolgen.

Besonders kritisch wird es, wenn sich Abwesenheitsnotizen mit öffentlich verfügbaren Informationen aus sozialen Netzwerken anreichern lassen. Wenn die Grenze zwischen privater und beruflicher Information verschwimmt und neben Urlaubszeiten, sowohl Aufenthaltsorte als auch persönliche Beziehungen bekannt sind, ermöglicht dies noch glaubwürdigere Täuschungen.

Sichere Inhalte von Abwesenheitsnotizen

Ein vollständiger Verzicht auf Abwesenheitsnotizen ist nun aus dem bereits genannten Gründen weder realistisch noch sinnvoll. Entscheidend ist aber eine bewusstere Gestaltung:

  • kurze, neutrale Formulierungen;
  • Verzicht auf konkrete Zeitangaben;
  • keine Nennung einzelner Personen oder direkter Kontaktdaten;
  • wo möglich, zentrale Funktionsadressen statt persönlicher Ansprechpartner nutzen.

Fazit

Das so unscheinbare Beispiel von Out-of-Office-Benachrichtigungen zeigt wieder einmal, dass Informationssicherheit keine isoliert technische Aufgabe ist, sondern Teil der gesamten Unternehmenskultur sein muss. Insbesondere müssen Mitarbeitende verstehen, dass auch vermeintlich alltägliche Kommunikation sicherheitsrelevant sein kann.

Eine umfassende und regelmäßige Sensibilisierung aller Mitarbeitenden, die Zugriff auf Informationstechnologie bzw. Endgeräte haben, ist für die Informationssicherheit ebenso unerlässlich, wie in anderen Compliance-Bereichen.

Onlinekurs Informationssicherheit

Machen Sie Ihre Mitarbeiter zur zweiten Firewall - mit unserer praktischen Onlineschulung zur Informationssicherheit.
Jetzt Unternehmen absichern!

Weiterlesen

  • Datensicherheit, KRITIS

Das deutsche NIS2-Umsetzungsgesetz ist da!

Mit dem NIS2-Umsetzungsgesetz wird die NIS2-Richtlinie in deutsches Recht umgesetzt. Was bedeutet das für Unternehmen hierzulande?
  • Datensicherheit

Geschäftsleitungsschulungen nach NIS2

Wie müssen die Geschäftsleitungen von durch NIS2 betroffenen Unternehmen geschult werden? Wir erläutern die Empfehlungen des BSI.
  • Datensicherheit

Vereinfachter IKT-Risikomanagementrahmen nach DORA

Für Unternehmen, die aufgrund des FinmadiG gewisse DORA-Anforderungen erfüllen müssen, gilt ein vereinfachter IKT-Risikomanagementrahmen. Wir erklären die Vereinfachungen und was betroffene Unternehmen tun müssen.
  • Datensicherheit

Das DORA-Informationsregister

Wie müssen Unternehmen der Finanzbranche unter DORA ihre eingesetzten IKT-Drittdienstleister dokumentieren? Ein Überblick!
  • Beschäftigtendatenschutz, Datensicherheit, New Work, Technischer Datenschutz

Bring Your Own Device (BYOD) datenschutzkonform umsetzen

Wie können Unternehmen ihren Mitarbeitenden BYOD so ermöglichen, dass Datenschutz, Anwendbarkeit und Effizienz gleichzeitig gewahrt werden?
  • Beschäftigtendatenschutz, Betroffenenrechte, Marketing, Medizinischer Datenschutz

Rechtsgrundlagen für Datenverarbeitungen: Einwilligung, Vertrag oder Interessenabwägung?

Welche Rechtsgrundlage ist die richtige für welche Verarbeitung personenbezogener Daten? Unser praktischer Leitfaden klärt auf!
Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Jetzt kostenfrei anmelden!
Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.