Urlaub dient der Erholung, und nicht dazu, dass Mitarbeiter lediglich in einen Standby Modus wechseln. Für das Recht auf Erholungsurlaub mussten Gewerkschaften in der Vergangenheit lange kämpfen. Mitarbeiter, die dennoch während ihres Urlaubs auf Emails reagieren, stören oftmals nicht nur den Betriebsablauf, sondern gefährden auch die Sicherheit Ihres Unternehmens.
“Leider machen die Angreifer keinen Urlaub, sondern nutzen die freien Tage, in denen sich der Mitarbeiter erholen soll, schamlos mit Phishing-Angriffen aus. Pünktlich zum Urlaub ist die Schadsoftware Emotet zurück, bei der z.B. über Dateianhänge oder URLs schadhafte Malware nachgeladen wird. Die Situation erfordert also auch im Urlaub eine besondere Wachsamkeit beim Öffnen von E-Mails.” Dr. Hellemann, Geschäftsführer der Cyber-Security-Awareness Firma SoSafe.

So entstehen IT-Sicherheitsvorfälle im Urlaub

Kostenloses Roaming, ständige Verfügbarkeit und Dual-Sim Geräte, bei denen private und berufliche Accounts nur wenige Klicks voneinander entfernt sind der eine Teil des Problems. Hinzu kommt, dass viele Mitarbeiter dazu neigen, sich im Unternehmen für unersetzbar zu halten oder der Urlaubsvertretung kein Vertrauen zu schenken. Je mehr Verantwortung ein Mitarbeiter im Unternehmen trägt, umso eher trifft man auf solch ein Verhalten. Und durch die Corona-Pandemie kommen vermehrt Existenz-Ängste hinzu, so dass man auch rund um die Uhr versucht, auch im Urlaub erreichbar zu sein.
“Berufliche Emails lenken nicht nur den Mitarbeiter vom Urlaub ab, der Urlaub lenkt auch den Mitarbeiter von seinem Beruf ab” Peter Meyer, Leiter Botfrei.de
Smartphones, und vor allem der Zugriff auf berufliche Emails lenken nicht nur den Mitarbeiter vom Urlaub ab, der Urlaub lenkt auch den Mitarbeiter davon ab, sich mit voller Konzentration den beruflichen Themen zu widmen. Es passiert sehr schnell, dass auf E-Mail-Verläufe in nicht-chronologischer Reihenfolge geantwortet wird oder der Überblick über den ganzen Sachverhalt fehlt, kontextbezogene Emails überlesen werden oder Information aus persönlichen Meetings oder Messenger-Gesprächen ganz einfach fehlen. So ein Verhalten stiftet gewöhnlich mehr Unruhe als zur Lösung des Problems beizutragen, insbesondere wenn es von einem Vorgesetzten ausgeht.

Die Masche mit dem Druck – im Urlaub besonders gefährlich 

Selbst Cyberkriminelle wissen längst, womit sich Mitarbeiter besonders gut „phishen“ lassen. Ein Mittel zum Erfolg ist das Erzeugen von Druck. Besonders erfolgreich sind deshalb Emails mit Begriffen wie „Bitte umgehend antworten“, „Dringend“, „Eilig“ oder „Sofort“. Hier kommt nun auch der urlaubende Mitarbeiter ins Spiel, der seine Emails nebenbei per Smartphone am Strand oder auf bei der Rast auf einer Wanderhütte liest. Ohne volle Konzentration wird schnell mal auf einen Anhang geklickt, der eine wichtige Rechnung enthalten sollte, auf eine manipulierte E-Mail vom vermeintlichen Chef geantwortet oder vertrauliche Information an unbekannte Dritte weitergeleitet. Insbesondere das Klicken auf einen infizierten E-Mail-Anhang birgt immense Risiken für ein Unternehmen, z.B. wenn es sich um Ransomware handelt. Im günstigsten Fall wird das Smartphone des Mitarbeiters verschlüsselt und muss nach dem Urlaub wiederhergestellt werden, im schlimmsten Fall breitet sich ein Erpressungstrojaner vom Strandkorb mit Meerblick über das gesamte Unternehmensnetzwerk aus.

Erpressungstrojaner – vom Strandkorb ins Unternehmensnetzwerk

Das folgende Beispiel zeigt eine bei Betrügern beliebte Masche, die auch im Urlaub gut funktioniert. Ein angeblicher Missbrauch der Arbeits-E-Mailadresse erfordert schnelles Handeln. Das Ergebnis: der Mitarbeiter will eigentlich vorbildlich handeln, sich auch im Urlaub schnell Gewissheit verschaffen und klickt auf den mit Malware versehenen Link.
https://learning.sosafe.de/de/?code=a1532b1393e898ed (Mit Tipps wie sich die Email erkennen lässt)
Bei der Grafik handelt es sich um eine Phishing-Simulation von SoSafe, die sich in Aufbau und Inhalt wie eine echte Phishing-E-Mail anfühlt. Durchschnittlich klicken 20% aller Mitarbeiter auf den Link und hätten damit z.B. Schadsoftware auf ihr Endgerät geladen. Da die E-Mail aber Bestandteil des Cyber-Security-Awareness-Buildungs ist, besteht natürlich keine Gefahr für Daten und Endgerät. SoSafe testet, sensibilisiert und schult Mitarbeiter von Unternehmen im richtigen Umgang mit allen Arten von Social Engineering-Attacken. Ziel ist es den Mitarbeitern zu zeigen, worauf Sie achten müssen, um derartige Cyberattacken zu erkennen und zu verhindern. Dabei werden sowohl technische Elemente, wie das Überprüfen des Absenders, als auch emotionale Komponenten, wie in diesem Beispiel der Zeitdruck beleuchtet und erläutert.

Abwesenheitsnotiz und Urlaubsvertretung – kein Grund um sofort antworten zu müssen.

Gewöhnlich setzt ein Mitarbeiter vor seinem Urlaub eine Abwesenheitsnotiz für sein Email-Postfach. Somit bekommt der Versender direkt eine Benachrichtigung, dass der angeschriebene Mitarbeiter im Urlaub ist. Im Idealfall ist dort auch die Urlaubsvertretung angegeben. Wenn es dennoch dringend sein sollte, besteht immer noch die Möglichkeit, eine Folge-E-Mail mit dem Hinweis wie „Ich weiß, dass Du im Urlaub bist. Das hier ist aber dringend, könntest Du dich bitte melden?“ folgen zu lassen. Und in ganz dringenden Fällen empfiehlt es sich sogar direkt zum Telefon greifen. Sofern die Urlaubsübergabe ordentlich geregelt ist, sollte es für einen Mitarbeiter während des Urlaubs keinen Grund geben direkt auf eine E-Mail antworten zu müssen, insbesondere wenn Sie von einem Kollegen stammt.

Die 3 wichtigsten Regeln, um auch im Urlaub sicher zu sein

  1. Auch im Urlaub wachsam sein. Wer entspannt am Strand liegt, sollte sich die Zeit nehmen die E-Mail genau anzuschauen. Wird Geld oder Daten verlangt? Sind Links oder Anhänge enthalten? Ist das der Fall…
  1. Nicht voreilige klicken/reagieren. Besonders wenn in der E-Mail eine gefühlt kritische Situation geschildert wird, sollten sie achtsam sein. Denn eine übertriebene Dringlichkeit ist häufig ein Anzeichen für Phishing-Mails. Im Zweifelfall…
  1. Rücksprache mit der IT-Sicherheit halten. Wenn sie schon E-Mails im Urlaub bearbeiten, sollten sie bei Unsicherheit mit der IT-Sicherheit Rücksprache halten. So schützen sie nicht nur sich, sondern auch die IT-Sicherheit des ganzen Unternehmens.

Erkennen Sie Phishing-Mails?

Wer noch nie in Berührung mit einer Phishing-Mail gekommen ist wird sicherlich weniger achtsam beim Öffnen von E-Mails sein.
https://phish-test.de/
Eine gefährliche Kombination, denn ist Schadsoftware wie der Trojaner “Emotet” einmal auf dem Computer, nimmt das Unheil schnell seinen Lauf. Daher ist es wichtig, auf Social-Engineering Angriff, wie Phishing-Mails vorbereitet zu sein. Die Phishing-Simulationen und interaktiven E-Learnings von SoSafe bringen den Mitarbeitern auf effektive und nachhaltige Art und Weise bei, worauf bei der Nutzung z.B. von E-Mails, Passwörtern oder sozialen Medien, besonders zu achten ist, auch im Urlaub. Sie möchten selber einmal testen, ob sie auf Phishing-Mails hereinfallen? Auf Phishtest.de, eine gemeinsame Initiative von sosafe-awareness.com/ und Botfrei.de, können Sie sich jetzt kostenlos testen lassen. Einfach die E-Mail-Adresse bestätigen, unschädliche Beispiel-Mails erhalten und die Auswertung samt Lernseiten sehen!