Start Blog

Warum die E-Mail Abwesenheitsnotiz (Out-Of-Office Message) ein Sicherheitsrisiko darstellt und wie man es lösen kann

0
IT Security
Bild by tsmr/Pixabay

An dieser Stelle greife ich einen interessanten Blogbeitrag von Bob Plankers auf, den ich vor einigen Tagen las und in welchem er das Thema Abwesenheitsnotiz als Sicherheitsrisiko thematisiert.

Das Thema an sich ist nicht neu und wurde etwa auch durch das BSI bereits vor Jahren im Maßnahmenkatalog aufgenommen. Dennoch ist es aus meiner Sicht sinnvoll, das Thema erneut zu betrachten und besonders im eigenen Unternehmen das Bewusstsein bei allen Anwendern zu schärfen.

Abwesenheitsnotiz – Licht und Schatten

Grundsätzlich erscheint die Funktion der Abwesenheitsnotiz in der E-Mail Applikation wie bspw. Outlook eine sinnvolle Funktion zu sein, um anderen Personen innerhalb und außerhalb des Unternehmens über die eigene Abwesenheit zu informieren. So soll vermieden werden, dass der Gegenüber auf eine Antwortet wartet, unter Umständen ergebnislos anruft oder schlicht einfach nur informiert wird.

Doch genau hier liegt auch eine Gefahr. Wird die Abwesenheitsnotiz an jeden Sender geschickt (oder besser gesagt „gestreut“), so werden unter Umständen nützliche Informationen an Spammer oder Angreifer preisgegeben. Die erhaltenen Informationen können dann z. B. für Social Engineering Angriffe missbraucht werden.

Welche Informationen werden preisgeben und welche Auswirkungen kann diese haben?

Ich habe schon unterschiedlichste Texte und Konstellationen von Abwesenheitsnotizen gesehen, egal ob von internen Kollegen oder von externen Kontakten. Oft wird es den Personen gar nicht direkt bewusst sein, welchen Informationsgehalt sie einem potentiellen Angreifer tatsächlich preisgeben.

Schauen wir uns das Ganze einmal anhand einiger Beispiele mit der Mitarbeiterin „Alice“ und ihren Kollegen „David“ und „Frank“ sowie der Angreiferin „Trudy“ und den Möglichkeiten zur Interpretation an:

  1. Ich bin derzeit nicht im Büro: Zurzeit verwendet Alice ihren Computer nicht und auch ihre üblicherweise genutzten Benutzerkonten wie E-Mail, Banking etc. überprüft sie nicht. Wenn Trudy sie bzw. ihre Konten angreifen will, ist JETZT der beste Zeitpunkt dafür.
    Genauso bietet sich ein Vorwand bei ihren Kollegen bspw. unter Verwendung von Social Engineering Methoden an, um einen Weg ins Unternehmen finden wollen
  2. Ich bin vom 22.02.2019 bis zum 28.02.2019 nicht im Büro: Wie 1.). Darüber hinaus muss Trudy aber nicht befürchten, dass sie den Angriff genau zu dem Zeitpunkt startet, an dem Alice aus dem Urlaub oder von ihrer Dienstreise zurückkehrt. Alice teilt den Zeitraum mit, in welchem Trudy freie Bahn hat und sich ungestört umsehen und austoben kann
  3. Ich wandere derzeit in den Bergen, bin am Meer oder sonst wo: Die Zusatzinfo erzeugt bei den Kontakte und Kollegen von im besten Fall ein „Die hat’s gut“, im schlechteren Fall erzeugt es Neid. Ernstere Folgen sind von der Seite aber vermutlich nicht zu erwarten. Gleichzeitig bietet Alice ihrer Angreiferin Trudy erneut weitere Details. Trudy könnte im Unternehmen anrufen und genau diese Details verwenden, um ihre Identität als Alice gegenüber David vom IT-Support zu untermauern (Alice möchte angeblich remote aus dem Urlaubsort zugreifen, hat aber ein Problem oder Ähnliches). Schließlich können ja nur die Kollegen, Freunde und Familie wissen, wohin es geht. Nö, auch der Angreifer weiß es jetzt J
  4. In dringenden Fällen kontaktieren Sie bitte Frank unter +49 123 4567 oder frank@contoso.com Somit hat Alice nicht nur ihre Informationen preisgegeben, sondern auch noch Daten ihres Kollegen Frank. Trudy hätte im Normalfall nicht unbedingt eine direkte im Unternehmen. Jetzt hat sie aber die direkte Durchwahl von Frank und muss nicht mehr über die Vermittlung oder Zentrale versuchen einen Fuß in die Tür zu bekommen (oft sind die Mitarbeiter in der Zentrale stärker sensibilisiert und erfahrener, ungebetene Anrufer zurückzuweisen). Sie bekommt die Nebenstelle samt Namen auf dem Silbertablett serviert.

    Auch hier könnte Trudy erneut per Social Engineering angreifen, sich als eine Kollegin ausgeben, die schnell etwas erledigen soll. Ist es kein direkter Angreifer, sondern „nur“ ein Spammer, kann die Datenbank um den Datensatz von Frank mit Name, E-Mail, Telefonnummer erweitert, benutzt oder verkauft werden.

  5. Ich bin nicht mehr im Unternehmen beschäftigt, wenden Sie sich künftig an Frank. Diese Art von Abwesenheitsnotizen kann hin und wieder auch beobachtet werden. Einerseits hinterlässt solch eine Nachricht irgendwie einen faden Beigeschmack z. B. bei Kunden. Andererseits kann ein Trudy auch diese Information nutzen, die Identität der ehemaligen Mitarbeiterin Alice verwenden und in einem zweiten Standort des Unternehmens anrufen. Vielleicht hat die Personalabteilung die Information über Alice Unternehmensaustritt noch nicht an alle Abteilungen und Standorte weitergeben. Ein Kollege in einem anderen Standort weiß somit gar nicht, dass Alice nicht mehr im Unternehmen beschäftigt ist – nimmt aber gleichzeitig weiter Telefonanrufe von Trudys „Alice“ entgegen.

Welche Lösungsmöglichkeiten sind denkbar?

Auf den ersten Blick erscheint die Abwesenheitsnotiz als probates Mittel zur guten Organisation. Auf den zweiten Blick birgt die Funktion zahlreiche Sicherheitsrisiken.

Aus diesem Grund solltest Du in Deinem Unternehmen (aber auch privat) folgende Punkte beherzigen und auch Deine Anwender immer und immer wieder sensibilisieren:

  • Die Abwesenheitsnotiz sollte an den kleinstmöglichen Empfängerkreis gesendet werden.
    Selten erfordert eine eingehende E-Mail eine umgehende Antwort. Viele Mails können theoretisch auch Tage später beantwortet werden. Und die wichtigsten Kollegen sollten ohnehin über die Abwesenheit Bescheid wissen und sich somit nicht wundern, wenn keine direkte Antwort folgt.

    Outlook bietet eine praktische Möglichkeit, erstens zwischen internen und externen Sendern zu unterscheiden. Eine Möglichkeit wäre etwa den Abwesenheitsagenten ausschließlich auf die Option Innerhalb meiner Organisation zu setzen. Externe Sender erhalten dann gar keine Nachricht.

    Sollte das nicht möglich sein, bietet Outlook unter Außerhalb meiner Organisation die Möglichkeit, das Senden auf Nur meine Kontakte zu beschränken. Jenes sollte die meines Erachtens maximale Schwelle sein, die noch akzeptiert werden kann. Unter keinen Umständen sollte die Abwesenheitsnotiz an alle Sender gehen

    Outlooks Abwesenheitsnotiz (Out-Of-Office Message): Halte den Versand so restriktiv wie möglich
  • Halte Dich an das „Principle of least privilegeEgal welchen Grad Du, wie unter 1.) vorgeschlagen, wählst, die Abwesenheitsnachricht sollte so wenig Informationen wie nur irgend möglich enthalten. D. h. keine Informationen darüber preisgeben, wie lange Du abwesend bist oder wo Du bist. Auch sollten keinerlei interne Daten wie Namen von Kollegen, Nebenstellen oder E-Mail Adressen weitergeben werden.
    Frage Dich, was ein Angreifer mit den Daten anfangen könnte. Hier würde ich maximal allgemeine Kontaktdaten wie die zentrale Telefonnummer der Zentrale (steht vermutlich eh im Telefonbuch) oder auf der Webseite ersichtliche E-Mail Adressen wie vertrieb@contoso.com
  • Bei längeren Abwesenheiten mit Postfachberechtigungen oder Weiterleitungen arbeiten Müssen E-Mails auch bei kürzeren Abwesenheiten bearbeitet werden (z. B. Vertrieb, Einkauf…), könnte eine denkbare Lösung auch sein, gar keine Abwesenheitsnotizen zu aktivieren. Stattdessen ist ein direkter Vertreter benannt, der das Aufgabengebiet des Abwesenden abdecken kann. In seinen Namen beantwortet der Vertreter dann alle (wichtigen) Mails an Kunden, Abteilungsleiter usw.

Zwei Bonus-Tipps im Allgemeinen – besonders für IT-Administratoren und abseits vom Sicherheitsrisikogerade für IT-Admins

  • Urlaub ist Urlaub. Für diesen Satz gibt es sicherlich Widerspruch, gerade wir IT-Admins sind oft bemüht, auch im Urlaub auf Mails zu antworten und unseren lieben Anwendern zu helfen. Hier kann ich mich dem Vorschlag nur anschließen, auf Mails außerhalb des eigenen Teams nie direkt zu antworten. Oft folgt dann auf die Antwort noch eine Mail und noch eine und noch eine.
    Erreicht einen eine dringende Mail etwa von einem Abteilungsleiter oder Geschäftsführer, sollte die Mail an den Vertreter im eigenen Team mit der Bitte um Bearbeitung weitergeleitet werden. Dem Kollegen wird es vermutlich nur darum gehen, dass sein Problem gelöst wird. Und Du musst nicht stundenlang in Deinem Urlaub Mails tippen – im schlimmsten Fall auch noch auf dem Smartphone.
  • Dokumentationen überarbeiten. Wenn Du im Urlaub bist, läuft nix? Lass Deine Kollegen eine Liste erstellen, welche Aufgaben während Deiner Abwesenheit nicht erledigt werden konnten. Wie Bob Plankers in seinem Blogposting schreibt, bietet dies doch eine tolle Gelegenheit für Cross-Training im Team oder die Dokumentationen zu überarbeiten J

Fazit

Wie das leidige Thema mit Fake-Rechnungen musst Du als IT-Administrator oder IT-Verantwortlicher auch bei dem Sicherheitsrisiko Abwesenheitsnotiz die Anwender immer und immer wieder sensibilisieren. Vielfach sind sich die (oft nicht so IT-affinen) Kollegen den Risiken nicht bewusst.

Sie können nicht einschätzen, welche Tragweite die Weitergabe von derartigen Informationen durch die Verwendung von Social Engineering Techniken haben können. Mancher wird den Begriff Social Engineering nicht einmal gehört haben. Bekanntlich nützen am Ende alle technischen Raffinessen und Hürden wenig, wenn der Risikofaktor Mensch als schwächstes Glied in der Kette bleibt.

Veeam Backup & Replication 9.5 Update 4 final veröffentlicht

0
Veeam Backup & Replication 9.5 Update 4 veröffentlicht
Veeam Backup & Replication 9.5 Update 4 veröffentlicht

Nachdem das Update 4 von Veeam Backup & Replication 9.5 für VCSP-Partner bereits seit circa drei Wochen bereitsteht, stellte Veeam heute die finale Version vor.

Im Rahmen einer Keynote präsentierte das Team auf der Velocity 2019 in Orlando die neuen Funktionalitäten. Inklusive Live-Vorführung einzelner Features. Obgleich Live-Vorführungen immer ein kleines Wagnis sind (man erinnere sich an den Windows 98 USB Fail 🙂 ), klappte alles ohne Probleme. Ich habe mir die Vorträge über den Livestream auszugsweise angeschaut und einige Funktionalitäten sehen wirklich vielversprechend aus. Unter dem Motto Expanding Leadership in Cloud Data Management verwischen den Grenzen zwischen On-Premises und Cloud-Datenhaltung immer mehr.

Richtig cool war unter anderem das Instant Recovery einer virtuellen Maschinen, die direkt aus einem Backup in einem AWS S3 Storage gestreamt wurde. Neben dem bereits erwähnten neuen Feature Veeam Cloud Tier stellte Veeam DataLabs ein Highlight für mich da.

Einerseits unterstützt Veeam Administratoren dabei, ihre Backups DGSVO-konform zu halten (Recht auf Vergessen). Andererseits werden Funktionalitäten geboten, um etwa schlafende Ransomware effektiv unschädlich zu machen. Vor einem Restore wird das Backup-File mittels einer AntiVirus-Lösung auf verdächtige Schädlinge geprüft. Unterstützt werden aktuell die Engines vom Microsoft Windows Defender, Symantic Protection Engine und ESET NOD32.

Das waren für mich die Haupt-Highlights des heute veröffentlichten Update 4. Sämtliche Änderungen kannst Du in den Release Notes und dem What’s New Dokument nachlesen.

Auch für Veeam ONE wurden neue Features vorgestellt und das Update 4 heute veröffentlicht. Ein interessantes Feature für die Systemüberwachung ist die Möglichkeit, sich Heatmaps anzeigen zu lassen und somit potentielle Engpässe zu evaluieren. Für Veeam ONE gibt es ebenfalls Release Notes und ein What’s New Dokument.

Insgesamt ist auch dieses Update wieder vielversprechend. Mit jeder Version haut Veeam immer coolere Features raus. Kein Wunder also, dass man inzwischen ein wichtiger Partner von Microsoft und Amazon AWS ist, die sich im Rahmen der Keynote beide kurz zu Wort meldeten.

Veeam Backup & Replication 9.5 Update 4 RTM veröffentlicht (für VCSP Partner)

0
Veeam Backup & Replication 9.5 Update 4
Veeam Backup & Replication 9.5 Update 4

Update 4 zunächst nur für VCSP verfügbar

Veeam hat das Update 4 für Backup & Replication 9.5 veröffentlicht – zunächst aber nur für VCSP Partner, also allen Cloud- und Serviceprovidern. Die generelle Verfügbarkeit (GA) wird vermutlich am 22. Januar sein.

Der Grund für die vorzeitige Verfügbarkeit für VCSPs: Diese müssen zwingend das Upgrade durchführen, bevor ein Cloud Connect Tenant dies macht. Ansonsten kommt es zu Problemen mit der Backup- oder Replikations-Funktionalität in Richtung eines Cloud-Repositories.

Vor allem für VCSPs wird 9.5 Update 4 zahlreiche Neuerungen bringen. Dazu gehören Lösungen im Bereich Disaster Recovery as a Service (DRAAS) im Zusammenspiel mit VMware vCloud Director. Des Weiteren werden künftig Amazon AWS S3 sowie Microsoft Azub Blob Storage in der Scale-Out Backup Architektur supportet. Neben technischen Neuerungen hat Veeam auch an lizenzrechtlichen Themen geschraubt und führt neue Instance-Keys in einem Pay-as-you-go Modell ein. Weitere Informationen finden VSCPs im geschlossenen Bereich des Forums samt Download-Link.

Weitere Verbesserungen sind etwa der Möglichkeit, Cloud Connect Backups auf Tape zu sichern oder das Passwort für den Connect zum Service Provider ändern zu können. Daneben werden weitere Produkte von VMware- und Microsoft unterstützt: Veeam supportet nun auch vCloud Director 9.5, VMware vSphere 6.7 Update 1 sowie Windows Server 2019 (1809).

Capacity Tier – Scale-Out Repositories mit Cloud Storage erweitern

Das Update 4 wird auch eine richtig coole Capacity Tier Funktionalität einführen. Durch den Algorithmus wirst Du Scale-out Repositories um Cloud-Storage erweitern können. Selten benötigte oder alte Backup-Sets kannst Du dann von einem teuren (schnellen) Storage auf einen günstigeren Storage (On Premises oder auch Amazon AWS S3, Microsoft Azure Blob) auslagern. Weitere Informationen zur Funktionalität beschreibt Rhys Hammond ausführlich in einem Blogbeitrag. Bei Ihm heißt die Funktion allerdings noch (?) Cloud Tier, als Nachfolger des bereits 2017 vorgestellten (und nie finalen Archive Tier).

Veeam Capacity Tier: Erweitert ein Scale-out Repository um Cloud-Storage z. B. Amazon AWS S3 oder Microsoft Azure Blob (Darstellung nach Rhys Hammond)

Wichtiger Hinweis für die Installation

Vor dem Einspielen des Update 4 sind aktuell unbedingt die folgenden drei KBs zu beachten, die Vorarbeiten bzw. Workarounds für die nachfolgend genannten Anwendungen erforderlich machen:

  • KB2832 – Betrifft Veeam One
  • KB2835 – Betrifft Veeam Availability Console
  • KB2809 – Betrifft Veeam Backup for Microsoft Office 365

Windows Sandbox – Sandbox-Funktion für Windows 10

0
Windows Sandbox
Windows Sandbox

Via Reddit bin ich letzte Woche auf einen interessanten Beitrag von Hari Pulapaka in der Microsoft TechCommunity gestoßen. Tatsächlich plant Microsoft endlich Windows eine Sandbox-Funktionalität zu spendieren.

Windows Sandbox soll das neue Lightweight Desktop Environement heißen, mit welchem Du Anwendungen isoliert vom restlichen Desktop ausführen und testen kannst. Bisher musste man sich zum Testen entweder eine VM installieren oder auf Drittanbieter-Tools wie Sandboxie zurückgreifen. Basierend den Windows Containers und Microsofts Hypervisor wird nun im Windows 10 Build 18305 eine entsprechende Funktion adaptieren.

Unter der Haube ist auch die Windows Sandbox nichts anderes als eine abgespeckte virtuelle Maschine. Der Vorteil liegt allerdings darin, dass Du kein separates VHD-Image herunterladen muss, sondern eine Kopie Deiner installierten Windows 10 Instanz erstellt wird. Eine ausführliche technische Erläuterung kannst Du im Blogbeitrag von Hari nachlesen. Windows Sandbox kann in den Windows Features aktiviert werden, Voraussetzung ist dass die Virtualization-Funktionalität (übers BIOS) aktiviert wurde.

Windows Sandbox kann über die Windows-Features aktiviert werden

Persönlich finde es super, dass Microsoft diese Funktionalität nun für Windows 10 adaptiert. Das Testen von Software etc. wird damit aus meiner Sicht erheblich vereinfacht und bedingt nicht immer die Installation einer mitunter aufgeblähten zusätzlichen VM. Interessant wäre es auch, ob z. B. Anbieter von AntiVirus- und Security-Lösungen die Funktion adaptieren, um bspw. Dateianhänge in der Sandbox ausführen zu lassen. Es gibt bereits Sandbox-Funktionalitäten u. a. im Windows Defender. Ich könnte mir jedoch gut vorstellen, dass sich die Funktionalitäten mit Windows Sandbox noch weiter ausbauen lassen.

Was hältst Du von Windows Sandbox? Ist das ein Feature, dass Du begrüßt oder auf welches Du schon lange gewartet hast? 

Werde Teil der Community

26NachfolgerFolgen
123NachfolgerFolgen