Bundesamt für Sicherheit in der Informationstechnik

M 2.274 Vertretungsregelungen bei E-Mail-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Vorgesetzte

Verantwortlich für Umsetzung: Administrator, Benutzer

Für die Bearbeitung von E-Mail ist - ebenso wie bei jeder anderen Aufgabe - für jeden Mitarbeiter ein Vertreter zu benennen. Bei geplanter Abwesenheit sollten die Mitarbeiter dann für den Vertreter eine E-Mail-Weiterleitung einrichten oder den Zugriff auf ihr Postfach freigeben. Bei spontaner Abwesenheit, z. B. wegen Krankheit, können andere Regelungen die zeitnahe E-Mail-Bearbeitung sicherstellen. Beispielsweise kann das Vorzimmer der betroffenen Abteilung die IT-Verantwortlichen informieren, die dann wiederum am E-Mail-Server eine Weiterleitung schalten. Dies ist allerdings nur dann zulässig, wenn klar geregelt ist, dass E-Mail nur dienstlich genutzt werden darf. Die Benutzer sollten außerdem per E-Mail über die Weiterleitung informiert werden. Sobald sie wieder im Haus sind, sollten sie den IT-Verantwortlichen mitteilen, dass die Weiterleitung aufgehoben werden kann.

Alternativ können grundsätzlich auch aufgabenbezogene E-Mail-Adressen eingerichtet werden. Auch hier muss natürlich sichergestellt sein, dass eingehende E-Mail jederzeit zeitnah bearbeitet wird.

Viele E-Mail-Clients bieten die Möglichkeit, vor einer längeren Abwesenheit einen Dienst zu aktivieren (Autoreply, unter Outlook Abwesenheitsassistent), der dafür sorgt, dass jeder Absender einer E-Mail während der vorgegebenen Abwesenheitszeiten eine Nachricht erhält, dass dieser Empfänger vorübergehend nicht zu erreichen ist. Dies hat oft Vorteile, führt aber häufig dazu, dass zu viele Informationen über den Benutzer und die Organisation breit gestreut nach außen gegeben werden.

Andererseits wird der Absender trotz einer solchen Benachrichtigung über die Abwesenheit meistens im Unklaren darüber gelassen, wie mit seiner E-Mail weiter umgegangen wird. Es stellt sich dann die Frage, ob die E-Mail also bis auf weiteres unbearbeitet bleibt oder an einen Vertreter weitergeleitet wurde.

Daher sollten alle Benutzer darauf achten, dass weder die genaue Zeit der Abwesenheit noch Informationen über Interna weitergegeben werden, wie Telefonnummern oder Organisationseinheiten. Diese lassen sich für Angriffe über Social Engineering weiterbenutzen (siehe G 5.42 Social Engineering ). Die Mitarbeiter sollten darin eingewiesen werden, wie Abwesenheitsbenachrichtigungen einzurichten sind, z. B. über einen entsprechenden Intranet-Hinweis.

Auf jeden Fall sollten aber Vertreter für alle längeren Abwesenheitsphasen benannt werden. Dies kann auch Externen über solche Mechanismen wie den Abwesenheitsassistent mitgeteilt werden, so dass sie wissen, dass die E-Mail angekommen ist und bearbeitet wird.

Hinweis: Die meisten E-Mail-Programme mit Autoreply-Funktion bieten auch die Möglichkeit, die Benachrichtigung nach Kriterien, die die Benutzer selbst festlegen können, zu steuern. Damit kann dann beispielsweise voreingestellt werden, dass interne E-Mail-Absender andere Antworten erhalten als externe. Hierfür werden in der Regel aber tiefere Kenntnisse des E-Mail-Clients benötigt. Wenn daher Regeln zur Steuerung von Autoreply-Funktionen eingesetzt werden sollen, sollten die Administratoren dies entsprechend für die Benutzer vorbereiten.

Prüffragen:

  • Gibt es Vertretungsregelungen für die Bearbeitung von E-Mails bei Abwesenheit des Benutzers?

  • Gibt es Regelungen für die Verwendung von Autoreply-Funktionen im E-Mail-Programm?

Stand: 13. EL Stand 2013