Ob für eine Dienstreise oder den jährlichen Urlaub – im Geschäftsumfeld ist es üblich, in diesen Fällen eine automatische Abwesenheitsnotiz für alle eingehenden E-Mails einzurichten. Doch obwohl eine solche Nachricht für die Geschäftskontinuität wichtig ist, dürfen Sie nicht vergessen, dass in Ihrem Posteingang auch E-Mails von Personen landen, die Sie nicht kennen – und in manchen Fällen handelt es sich dabei um Cyberkriminelle, die Ihnen Schaden zufügen wollen. Die von Ihnen in der Abwesenheitsnotiz bereitgestellten Informationen könnten für böswillige Zwecke wie Business-E-Mail-Compromise verwendet werden und Ihr Unternehmen einem Angriffsrisiko aussetzen.
Viele Beispiele und Vorlagen für Abwesenheitsnotizen, die Sie im Internet finden, berücksichtigen dieses Sicherheitsrisiko nicht. Deshalb haben wir die drei wichtigsten Tipps zusammengestellt, mit denen Sie die Balance zwischen Produktivität und Sicherheit finden, und stellen Ihnen unsere eigene Vorlage zur Verfügung.
Tipp Nr. 1: Geben Sie so wenige Informationen wie möglich preis
Berücksichtigen Sie beim Verfassen Ihrer Abwesenheitsnotiz, was Ihre Kontakte wirklich über Ihre Abwesenheit wissen müssen. Der Grund dafür ist einfach: Jeder, der Ihre E-Mail-Adresse findet, könnte Ihnen eine Nachricht senden, während Sie nicht im Büro sind. Möglicherweise haben Sie kein Problem damit, dass Ihre engen Kollegen wissen, dass Sie zwei Wochen im Urlaub und außer Landes sind. Aber was wäre, wenn Ihre Antwort an einen Cyberkriminellen geht, der dann in Ihrer Abwesenheit versucht, Daten von Ihnen oder Ihrem Unternehmen zu stehlen?
Vermeiden Sie nach Möglichkeit die Weitergabe der folgenden Arten von Informationen in automatischen Antworten:
- Direkte geschäftliche Telefonnummern für Sie, Ihren Chef und andere Kollegen
- Persönliche Mobiltelefonnummern
- Namen, Titel und E-Mail-Adressen anderer Mitglieder Ihrer Organisation
- Konkrete Termine und Angaben zu Ihrer Abwesenheit
Nehmen Sie diese Abwesenheitsnotiz als Beispiel:
Ich werde bis Ende des Monats nicht im Büro sein, um an der XYZ-Konferenz teilzunehmen. Wenn Sie eine dringende Angelegenheit haben, kontaktieren Sie mich bitte unter meiner Mobilnummer unter 0170 1234 5678 oder kontaktieren Sie unsere Controllerin, Jane Smith, unter JSMITH@MYORG.COM oder 030 123 456 45, 111.
Diese Nachricht enthält viele konkrete Informationen, die Cyberangreifer für Social Engineering oder Phishing-Angriffe verwenden können. Ein hohes Risiko besteht insbesondere dann, wenn die geteilten Informationen nicht bereits öffentlich bekannt sind.
Tipp Nr. 2: Erstellen Sie unterschiedliche Abwesenheitsnotizen für interne und externe E-Mails
Mit einigen E-Mail-Tools können Sie unterschiedliche Abwesenheitsnotizen je nach Quelle der eingehenden Nachricht erstellen. Nutzen Sie diese Möglichkeit wann immer möglich. Bei Abwesenheitsnotizen an Personen innerhalb Ihrer Organisation ist es sicherer, den Namen eines alternativen Kontakts oder einer internen Durchwahl anzugeben. Dennoch sollten Sie die Angabe persönlicher Daten, wie z. B. der privaten Handynummern von Ihnen oder Ihren Kollegen, vermeiden.
Bei externen Antworten sollte Tipp Nr. 1 Ihr Handeln leiten: Geben Sie möglichst wenige Details preis. Wenn Sie selten (oder nie) geschäftskritische Interaktionen mit externen Quellen haben, sollten Sie erwägen, gar keine Abwesenheitsbenachrichtigung für diese Zielgruppe zu versenden, insbesondere wenn Ihre Abwesenheit nur von kurzer Dauer ist.
Tipp Nr. 3: Machen Sie einen Plan für sensible Anfragen während Ihrer Abwesenheit
Verlassen Sie sich nicht auf Abwesenheitsnotizen, um den Kollegen, mit denen Sie am häufigsten zu tun haben (intern wie extern), angemessene Anweisungen zu geben. Dies ist besonders dann wichtig, wenn Sie eine Entscheidungsinstanz für sensible oder geschäftskritische Aktivitäten wie die folgenden sind:
- Anfragen oder Autorisierungen von Überweisungen oder das Bezahlen von Rechnungen
- Übermittlung behördlicher, rechtlicher, steuerlicher oder gesundheitlicher Informationen
- Austausch vertraulicher Daten oder geistigen Eigentums
Definieren Sie diejenigen Personen, die sich während Ihrer Abwesenheit am ehesten mit zeitkritischen Anliegen an Sie wenden werden, und zwar bevor Sie das Büro verlassen. Informieren Sie diese über Ihren Aufenthaltsort, die Notfallkontaktnummer (falls erforderlich) und wie die Entscheidungskette genau aussieht. Informieren Sie sie auch über Ihre Absichten während der Reise (z. B. ob Sie Ihre E-Mails regelmäßig/gelegentlich lesen wollen oder ob Sie planen, sich vollständig aus arbeitsbezogenen Aktivitäten zurückzuziehen).
Weisen Sie außerdem alle entsprechenden Parteien an, Sie – und bei Bedarf Ihr IT-Team – während Ihrer Abwesenheit auf alle Anfragen im Zusammenhang mit Finanztransaktionen oder sensiblen Datenübertragungen aufmerksam zu machen. Und denken Sie daran: Unabhängig davon, ob Sie auf Reisen sind oder nicht, sollten Kommunikationen und Handlungen im Zusammenhang mit solchen Aktivitäten immer ordnungsgemäß persönlich überprüft und nicht ausschließlich per E-Mail abgewickelt werden.
Vorlage für eine sichere Abwesenheitsnotiz
Hier ist ein Beispiel für eine Abwesenheitsnotiz, mit der Ihre bekannten Kontakte alle notwendigen Informationen bekommen, die Sie brauchen, ohne dass ein Cyberkrimineller unnötige Anhaltspunkte für betrügerische Machenschaften hat:
ICH BIN ZURZEIT NICHT IM BÜRO. Wenn Sie eine dringende Angelegenheit haben, können Sie mich unter meiner Handynummer erreichen oder ein anderes Mitglied meines Teams über unsere Hauptbüronummer kontaktieren. Andernfalls werde ich so schnell wie möglich auf Ihre Nachricht antworten.
Ihre wichtigen Kontakte werden Ihre Mobilfunknummer sowie die Kontaktdaten Ihres Teams ohnehin bereits kennen, sodass sie bei Bedarf entsprechend handeln können. Unbekannte Absender – einschließlich derjenigen, die E-Mails mit unerwünschten oder böswilligen Anfragen senden – erhalten so jedoch nur minimale Informationen.