Wir alle kennen sie – die automatischen Abwesenheitsnotizen. Sie sind höflich, praktisch und meist auch gut gemeint. Doch was viele nicht wissen oder dabei bedenken: Diese kleinen E-Mail-Antworten sind nicht nur nett, sie sind auch ein gefundenes Fressen für Cyberkriminelle. Herzlich willkommen im Jahr 2025! Wir haben künstliche Intelligenz, Quantenchips – und immer noch automatische Abwesenheitsnotizen, die in Echtzeit jedem Angreifer mitteilen, wann dein digitaler Rollladen unten ist.

„Vielen Dank für Ihre Nachricht. Ich bin bis zum 12.08. nicht im Büro und nur eingeschränkt erreichbar.“, heisst übersetzt soviel wie: „Hack mich. Ich bin im Urlaub.“

Sie wirken wie aus einer anderen Zeit

Wir arbeiten in hybriden Teams, mit mobilen Geräten, Chat-Apps und ständigem Zugriff auf E-Mails.
Aber senden automatisch generierte Nachrichten raus, als wären wir im Jahr 2003 offline mit einem klapprigen Handy im Urlaub.

Abwesenheitsnotizen stammen vermutlich aus einer Zeit, als E-Mails noch mit Rauchzeichen verschickt wurden und eine Woche Funkstille kein Grund zur Panik war. Heute haben wir allerdings Kommunikationskanäle wie Slack, Teams, Push-Nachrichten, Signal oder WhatsApp, die Abwesenheitsnotizen überflüssig machen. Aber gut, dass du mir und auch den Cyberkriminellen mitteilst, dass du „außer Haus und im Urlaub bist“.

Die heilige Dreifaltigkeit der Abwesenheitsnotiz

1. Datum der Schwächephase:
   „Ich bin bis zum 12.08. nicht erreichbar.“
   → Danke für die Info. Ich breche am 11. ein.
2. Kontakt der Vertretung:
   „In dringenden Fällen wenden Sie sich bitte an…“
   → Praktisch. Schon das nächste Ziel.
3. Bonuslevel:
   „Ich lese keine E-Mails in dieser Zeit.“
   → Schön. Dann kriegst du die Katastrophe ja auch nicht mit.

Das Paradoxe daran

Wenn jemand in der Abwesenheit keine E-Mails liest, bedeutet das:

• Wichtige Nachrichten bleiben liegen.
• Kritische Vorfälle (z. B. IT-Probleme, Kundenbeschwerden, Zahlungsstopp) erreichen niemanden.
• Die Verantwortung hängt in der Luft – ohne Auffangnetz.

Die Katastrophe (ein dringender, meist kritischer Vorgang) wird also nicht gesehen – weil du deine Mails ja offiziell ignorierst.

Es ist paradox: Du willst professionell wirken – indem du deine Abwesenheit transparent machst. Aber gleichzeitig bist du weder ansprechbar, noch verantwortlich für alles, was schiefläuft, während du weg bist.

Abwesenheitsnotizen sind ein offenes Scheunentor für Hacker

Abwesenheitsnotizen liefern:

• Zielpersonen
• Zeitfenster
• Kontext
• zusätzliche Kontaktinformationen

Oder wie man in der Cybercrime-Community sagt: „Bro, das ist einfacher als Phishing mit ChatGPT.“

Warum machen Unternehmen das überhaupt?

Die Motive sind nachvollziehbar, wenn man weit genug in die Vergangenheit blickt:

• Höflichkeit gegenüber Geschäftspartnern.
• Kommunikation von Zuständigkeiten (z. B. „Bitte wenden Sie sich an Kollegin XY“).
• Interne Prozesse, die solche Autoresponder „vorschreiben“.

Soweit, so traditionell.

Warum Abwesenheitsnotizen nicht hilfreich sind

1. Empfänger lesen sie selten wirklich
   • Die relevanten Infos gehen unter in Standardfloskeln.
   • Antworten wie „Ich bin bis zum…“ erzeugen Frust, keine Lösungen.
2. Sie lösen keine Probleme
   • Eine Abwesenheitsnotiz hilft nicht weiter, wenn sie keinen echten Ansprechpartner nennt oder dieser selbst im Urlaub ist.
   • Der Sender bekommt: eine automatische Mauer. Der Absender: eine unterbrochene Kommunikation.
3. Sie sind meist nicht aktuell gepflegt
   • Oft steht da ein Datum, das längst vorbei ist.
   • Oder sie laufen weiter, obwohl die Person längst wieder zurück ist.

Warum Abwesenheitsnotizen ein Cybersicherheitsproblem sind

Jetzt wird’s ernst:

1. Sie liefern kostenlos wertvolle Informationen
   • Wer ist wann nicht da.
   • Welche Vertretung zuständig ist.
   • Wer erreichbar ist – inklusive Mailadressen, Telefonnummern oder gar Mobilnummern.
2. Sie unterstützen Social Engineering
   • Angreifer bauen auf genau diese Informationen, um realistisch aussehende Phishing-Mails zu konstruieren.
   • Beispiel: „Hallo Herr Meier, Frau Müller ist ja bis 12.08. abwesend – könnten Sie bitte die Freigabe übernehmen?“
3. Sie zeigen, dass der „digitale Wachhund“ gerade schläft
   • Eine Mail wie „Ich bin bis zum 12.08. nicht erreichbar“ sagt nichts anderes als:
     „Jetzt wäre ein guter Zeitpunkt, um etwas unbemerkt durchzuschleusen.“

Was wäre die Alternative? Ein Lösungsvorschlag:

• Keine Autoreplies mehr an Externe, sondern clevere Mailweiterleitungen
  • Weiterleitung an eine Funktionsadresse oder die Vertretung.
  • Ohne automatisch Info an jeden x-beliebigen Absender rauszugeben.
• Interne Systeme zur Urlaubsplanung & Vertretung
  • Zugangsbeschränkt. Nicht öffentlich.
  • Für Kolleg:innen sichtbar, für Externe unsichtbar.
• Wenn unbedingt notwendig: nur für bekannte Kontakte

Aber klar doch: „So haben wir das schon immer gemacht.“ – ist nach wie vor der tödlichste Satz, wenn es z. B. um das Thema Cybersicherheit geht.

Höflich gemeint, aber potenziell gefährlich

Die Abwesenheitsnotiz ist ein Relikt der Outlook-2003-Welt: gut gemeint, aber schlecht gemacht. In einer Zeit, in der Daten Gold wert sind, sollten wir aufhören, sie per Autoresponder zu verschenken.

Der bessere Weg: Sicherheit durch Struktur, nicht durch unbedachte Automatisierung. Denn Cybersicherheit beginnt nicht mit Firewalls – sondern mit dem, was du über dich preisgibst.

Willst du solche Themen in deinem Unternehmen aufgreifen, verständlich machen – und dabei nicht klingen wie ein Datenschutzbeauftragter auf Valium? Dann lass uns sprechen:

E-Mail: hallo@teufelswerk.net, Tel. +49 4762 3639555
Signal: @cyberhelden.42, Signal-Link: https://signal.me/#u/cyberhelden.42

Wir schulen und sensibilisieren – mit Klartext, Charme und Wirkung.