Cyberbetrug mit Hilfe von Abwesenheitsnotizen
Weihnachten steht vor der Tür, und so wie die Feiertage 2019 liegen, dürfte es wohl für den überwiegenden Teil der Arbeitnehmer am Jahresende eine verdiente Auszeit geben. Dabei ist es üblich, eine Abwesenheitsnotiz für eingehende E-Mails zu erstellen. Ziel ist natürlich sicherzustellen, dass wichtige Nachrichten nicht einfach bis zur Rückkehr des Urlaubers im Posteingang liegen, sondern das Fortlaufen des Geschäftsbetriebs ermöglicht wird. So weit – so gut!
Doch leider haben mittlerweile auch Cyberkriminelle festgestellt, dass sich diese Abwesenheitsnotizen perfekt als Grundlage für einen Cyberbetrug eignen. Daher ist es wichtig, sich daran zu erinnern, dass einige der eingehenden E-Mails von Leuten kommen, die man nicht kennt – und in einzelnen Fällen sogar von kriminellen Akteuren stammen, die dem Unternehmen Schaden zufügen wollen. Das mag nun etwas weit hergeholt klingen, ist es aber nicht.
Die vom Urlauber angegebenen Daten können für böswillige Zwecke verwendet werden und das steigert die Wahrscheinlichkeit, dass das Unternehmen einem Angriff ausgesetzt wird. Denn: Das Problem an einer detaillierten Out-of-office-Mail ist, dass auf diese Weise Cyberkriminelle erfahren, dass jemand am 21. Dezember in Urlaub geht und am 7. Januar wiederkommt. Ein kurzer Blick auf das Facebook- oder Instagram-Profil zeigt außerdem, dass der abwesende Mitarbeiter über Weihnachten zunächst bei den Eltern in Berlin ist und im Januar ein paar Tage in den Bergen. Die Kriminellen wissen dann genau, in welchem Zeitraum sie sich eine Identität zunutze machen können. Dass die Angreifer via gegebenenfalls ungesicherte Social-Media-Profile eben auch über die Ferienorte informiert sind, macht es noch einfacher, den Kollegen oder Geschäftspartnern des Urlaubers dessen Identität vorzutäuschen. Bei diesen Täuschungsmanövern der Cyberkriminellen geht es meist darum, Personen, die mit sensiblen Daten arbeiten oder Einfluss auf Geschäftsvorgänge haben, wie in der Buchhaltung, im Personalwesen und der Führungsebene, in ihrem Sinne zu beeinflussen.
Dabei wäre es sehr einfach, durch wenige Schritte die Chancen der Angreifer auf Erfolg drastisch zu reduzieren. Folgende drei Tipps helfen dabei, ein besseres Gleichgewicht zwischen Produktivität und Sicherheit zu finden.
Tipp #1: So wenig Details wie möglich in die Abwesenheitsnotiz
Was müssen die Kollegen und Geschäftskontakte über die Abwesenheit wissen? Sicher nicht viel. Und der Grund für die wenigen Informationen ist offensichtlich: Nicht nur Geschäftskontakte oder Kollegen können dem Abwesenden eine Nachricht schicken, während dieser nicht im Büro ist. Das können auch Cyberkriminelle. Und diese erhalten die automatische Antwort auf deren Basis sie versuchen könnten, Daten oder Geld des Unternehmens zu stehlen. Denn es erscheint nicht sonderlich schwierig, aufgrund der Fülle der Daten, die in manch einer Abwesenheitsnotiz stehen, die Identität des Urlaubers vorzutäuschen.
Es gilt folgendes zu beachten:
- Keine Angaben direkter Durchwahlen des Mitarbeiters, des Vorgesetzen oder der Kollegen
- Keine persönlichen Handynummern nennen
- Keine Namen, Titel und E-Mail-Adressen von Kollegen und Vorgesetzten angeben
- Wenn möglich keine konkreten Termine und Details zur eigenen Abwesenheit nennen
Zum Beispiel anstelle dieser Antwort:
Ich bin bis 7. Januar im Urlaub in den Bergen. Falls es dringend ist, rufen Sie mich bitte unter meiner Handynummer (0123) 4567890123 an oder kontaktieren Sie meine Kollegin Maria Huber unter mhuber@abcxyz.de oder (0123) 4567 890 – 123.
…ließe sich das so formulieren:
Ich bin derzeit nicht im Büro. Wenn Sie eine dringende Angelegenheit haben, können Sie mich über meine Handynummer erreichen oder einen anderen Mitarbeiter meiner Abteilung über unsere allgemeine Firmentelefonnummer kontaktieren. Anderenfalls melde ich mich nach meiner Rückkehr.
Beide Antworten liefern genügend Informationen, damit informierte Absender bei Bedarf entsprechend handeln können. Nicht informierte Absender – einschließlich solcher, die E-Mails mit unerwünschten oder bösartigen Anfragen senden – erhalten bei der zuletzt genannten Meldung jedoch nur minimale Informationen, auf die sie reagieren können. Das Fälschen der Identität bei Beispiel zwei erfordert daher weitaus mehr Arbeit in der Recherche – und die wollen Cyberkriminelle gern vermeiden.
Tipp #2: Entwurf separater Antworten für interne und externe Abwesenheitsnotizen
Einige E-Mail-Tools ermöglichen es, Abwesenheitsantworten auf der Grundlage der Quelle der eingehenden Nachricht anzupassen. Hier lassen sich beispielsweise für Nachrichten aus dem eigenen Unternehmen durchaus Vertretungen und Kontaktdetails nennen, die in der externen Nachricht tunlichst vermieden werden sollten (siehe Tipp #1).
So lässt sich sicherstellen, dass die internen Abläufe weiterhin funktionieren, Absender externer Nachrichten jedoch nicht mehr erfahren als notwendig.
Tipp #3: Wer muss was wirklich wissen?
Eine Abwesenheitsnotiz allein ist – gerade, wenn der Mitarbeiter in genehmigungspflichtige Geschäftsprozesses eingebunden ist – möglicherweise nicht ausreichend, um diesen Prozess während der Abwesenheit aufrecht zu erhalten. Zusätzliche individuelle Informationen an die Kollegen und Geschäftspartner, mit denen man sehr eng zusammenarbeitet, helfen noch vor Abreise in den Urlaub dabei, eine angemessene Orientierung zu geben.
Für diesen Personenkreis sind Informationen wie Aufenthaltsort und Vertretungsregelungen sehr wichtig. Darüber hinaus könnte es sinnvoll sein, diese Personen über Details der Reise und regelmäßiges, gelegentliches oder gar kein Prüfen der E-Mails zu informieren. Dazu gehört auch eine Notfallkontaktnummer, um einen zweiten, von der E-Mail unabhängigen Kommunikationspfad zu haben. Zudem sollten die Kollegen und Geschäftspartner darauf hingewiesen werden, dass gerade bei Anfragen im Zusammenhang mit Finanztransaktionen oder vertraulichen Datenübertragungen größte Vorsicht geboten ist.
Dies gilt übrigens nicht nur für die Urlaubszeit: Anfragen und Aktivitäten im Zusammenhang mit vertraulichen Daten und Überweisungen sollten stets ordnungsgemäß über einen zweiten Kanal überprüft werden und keinesfalls ausschließlich per E-Mail. Damit lässt sich meist sehr einfach prüfen, ob Anfragen wirklich vom Abwesenden stammen oder ob jemand versucht, dessen Identität vorzutäuschen.
Über die Autorin
Adenike (Nikki) Cosgrove ist bei Proofpoint für die Cybersecurity-Strategin bei Proofpoint. Sie verantwortet die internationalen Marketingstrategien für die europäischen und asiatisch-pazifischen Märkte. Sie verfügt über Expertise in wichtigen regionalen Cybersicherheitsstrategien wie personenzentrierte Sicherheit, Risikomanagement, Datenschutz und Compliance.
Weitere Informationen unter:
www.proofpoint.com