Youtube Facebook Linkedin Instagram Comment-dots
Search

Trust &
Transparency
Center

3.2 Email

Vertrauenswürdige E-Mail-Kommunikation bei acib


Für die acib GmbH ist die E-Mail ein geschäftskritisches Kommunikationsmittel im täglichen, globalen Austausch von bioprozesstechnischen Innovationen aus Wissenschaft und Industrie. Um den systembedingten Risiken herkömmlicher E-Mail-Technologien präventiv zu begegnen, setzen wir auf ein mehrstufiges Schutzkonzept, das technische Barrieren mit klaren Richtlinien für den Datenumgang vereint. So garantieren wir höchste Standards bei der Vertraulichkeit und Integrität, um unsere eigenen Forschungsergebnisse sowie die unserer Partner effektiv abzusichern.

Rechtliche Rahmenbedingungen und Pflichtangaben (Signatur)

Um höchste Transparenz und die Einhaltung gesetzlicher Vorgaben zu gewährleisten, unterliegt unsere E-Mail-Kommunikation festen formalen und rechtlichen Regeln:
  • Ausschließliche Nutzung der offiziellen Domain: Die offizielle und rechtsgültige E-Mail-Kommunikation der acib GmbH erfolgt ausnahmslos über Adressen, die auf @acib.at enden. Nachrichten von anderen Domains (z.B. Freemail-Anbietern) im Namen der acib GmbH sind als potenziell betrügerisch zu betrachten.
  • Projektspezifische Domains: Im Kontext spezifischer Kooperationen, Forschungskonsortien oder Förderprojekte können auch eigene, projektspezifische Domains zum Einsatz kommen. Einen Überblick über von acib verwaltete oder verwendete Domänen findet sich unter Abschnitt 1.
  • Rechtsverbindlichkeit: Herkömmliche E-Mails begründen bei der acib GmbH keine rechtsverbindlichen Verpflichtungen, sofern sie nicht digital signiert (QES) oder über dedizierte, gesicherte Wege übermittelt wurden.
  • Gesetzliche Pflichtangaben (UGB & DSGVO): Gemäß § 14 des österreichischen Unternehmensgesetzbuches (UGB) sowie den Informationspflichten der EU-Datenschutzgrundverordnung (DSGVO) enthält jede von der acib GmbH versendete geschäftliche E-Mail zwingend einen standardisierten Signatur-Disclaimer. Dieser lautet wie folgt:
    This email is sent on behalf of acib GmbH, Krenngasse 37, 8010 Graz, AUSTRIA. acib GmbH is incorporated under Austrian law and registered at LG für ZRS Graz, company register no. 224687y, VAT no. ATU 54545504. acib uses personal data (contact data, data about professional qualifications) for current and future business collaborations, and will retain such data for the duration of our business relationship and beyond as far as necessary for documentation purposes. Legal basis: Article 6 (1) b) and f) EU GDPR. Further information about acib and its legal status can be found at www.acib.at/imprint/. General information about privacy protection at acib can be found at www.acib.at/data_protection
Da E-Mails im unternehmerischen Kontext als vollwertige Geschäfts- und Beweisdokumente gelten, werden sämtliche ein- und ausgehenden Nachrichten der acib GmbH – unabhängig von der verwendeten Domain – automatisiert und revisionssicher archiviert, um den gesetzlichen Aufbewahrungspflichten nachzukommen.

Schutz der Absenderidentität (Authentifizierung).

Um sicherzustellen, dass E-Mails, die unter dem Namen der acib GmbH versendet werden, auch tatsächlich von uns stammen, nutzen wir modernste Authentifizierungsverfahren innerhalb unserer Microsoft-Umgebung:
  • SPF (Sender Policy Framework): Wir legen fest, welche Server berechtigt sind, E-Mails in unserem Namen zu versenden.
  • DKIM (DomainKeys Identified Mail): Jede ausgehende E-Mail erhält eine digitale Signatur, die deren Unversehrtheit auf dem Transportweg sicherstellt.
  • DMARC (Domain-based Message Authentication): Wir nutzen eine strikte DMARC-Richtlinie, um den Missbrauch unserer Domain durch Unbefugte (Spoofing) zu verhindern und Empfängersystemen klare Anweisungen zur Behandlung verdächtiger Mails zu geben.

Abwehr von Bedrohungen (Anti-Malware & Fraud)

Innerhalb unserer Microsoft 365-Infrastruktur kommen fortschrittliche Filtertechnologien zur Abwehr von Bedrohungen und zur Verhinderung von Datenabfluss zum Einsatz:
  • Spam- & Phishing-Schutz: Eingehende Nachrichten werden automatisiert auf schädliche Links, Anhänge und Phishing-Versuche gescannt.
  • Betrugsprävention (Anti-Fraud): Wir setzen Mechanismen zur Erkennung von Identitätsdiebstahl (z. B. CEO-Fraud) ein, um unsere Mitarbeiter und Partner vor gezielten Social-Engineering-Angriffen zu schützen.
  • Safe Links & Safe Attachments: Eingehende Dateianhänge werden in einer sicheren, isolierten Cloud-Umgebung (Sandbox) auf Schadcode geprüft, bevor sie zugestellt werden. Ebenso werden in E-Mails enthaltene URLs zum Zeitpunkt des Anklickens dynamisch auf bösartige Ziele kontrolliert (Time-of-Click-Protection).
  • Zero-Day-Threat-Protection: Durch den Einsatz KI-gestützter Bedrohungsanalysen innerhalb der Microsoft-Infrastruktur identifizieren und blockieren wir auch neuartige, noch unbekannte Angriffsmuster in Echtzeit, bevor sie unsere Systeme erreichen.
  • Automatisierte Quarantäne und Incident Response: Verdächtige Nachrichten, die auf fortgeschrittene Bedrohungen hindeuten, werden automatisch isoliert. Unser IT-Sicherheitsteam erhält umgehend Warnmeldungen, um potenzielle Sicherheitsvorfälle proaktiv zu analysieren und unternehmensweite Gegenmaßnahmen einzuleiten.
Trotz dieser umfassenden, automatisierten Schutzmechanismen bleibt aufmerksames Handeln unerlässlich. Technische Barrieren können das Restrisiko hochentwickelter, zielgerichteter Angriffe erheblich minimieren, sie jedoch nicht vollständig ausschließen. Aus diesem Grund ist jeder Mitarbeiter der acib GmbH dazu verpflichtet, verdächtige Nachrichten – auch wenn sie scheinbar von bekannten internen oder externen Absendern stammen – kritisch zu prüfen und im Zweifel unverzüglich über die Meldefunktion unseres E-Mail-Systems an die IT-Abteilung zur Analyse weiterzuleiten.

Hinweis zur Dokumentenübermittlung: Um die Einschleusung von Schadsoftware durch bösartige Makros (z. B. Ransomware) zu verhindern, blockiert unser E-Mail-Gateway den Empfang veralteter Office-Dateiformate (insbesondere .doc und .xls) serverseitig. Wir ersuchen unsere Kommunikationspartner nachdrücklich, ausschließlich aktuelle, sichere Dateiformate (wie .docx, .xlsx oder .pdf) für den Dokumentenaustausch zu verwenden.

Unabhängig davon weisen wir darauf hin, dass vertrauliche Dokumente niemals per E-Mail als Attachment übermittelt werden sollten. Auf Wunsch stellen wir gerne Uploadmöglichkeiten in unser System zur Verfügung. Eine Uploadbox kann unter short.acib.at/secureupload angefordert werden.

Klassifizierung und Informationskennzeichnung (Labels)

Wir verwenden ein internes Klassifizierungssystem, um die Sensibilität von Informationen sichtbar zu machen:
  • IE-Mail-Labels (Traffic Light Protocol): Ausgehende Nachrichten werden von unseren Mitarbeitern je nach Kritikalität des Inhalts mit spezifischen Vertraulichkeits-Labels (TLP:CLEAR, GREEN, AMBER, AMBER+, RED) versehen. Diese Kennzeichnung ist nicht als bloße Empfehlung zu verstehen, sondern definiert die strikten Grenzen der Informationsweitergabe. Eine detaillierte Übersicht und bindende Definition der verwendeten Labels und der damit verbundenen Verwendungsregeln finden Sie unter „Verschlüsselung und Datensicherheit„.
  • Automatisierte Disclaimer und Schutz von Geschäftsgeheimnissen: Basierend auf dem gewählten Label fügt unser System den Nachrichten automatisch rechtliche Hinweise und Vertraulichkeitsklauseln (Disclaimer) hinzu. Wir weisen ausdrücklich darauf hin, dass diese Disclaimer rechtsverbindlich sind. Sie dienen dem aktiven Schutz unserer Geschäftsgeheimnisse sowie des geistigen Eigentums unserer Forschungspartner.
Rechtliche Bindung und Konsequenzen bei Zuwiderhandlung: Die in den Labels und Disclaimern festgelegten Vorgaben zur Vertraulichkeit sind strikt einzuhalten. Eine unbefugte Weitergabe, Vervielfältigung oder missbräuchliche Nutzung von Informationen, die als vertraulich (z.B. TLP:AMBER oder RED) gekennzeichnet sind, stellt eine Verletzung allfälliger Verschwiegenheitsvereinbarungen (CDAs) bzw. des Schutzes von Geschäftsgeheimnissen nach UWG dar. Die acib GmbH behält sich bei Zuwiderhandlungen gegen diese Informationsschutzrichtlinien ausdrücklich rechtliche Schritte sowie die Geltendmachung von Schadensersatzansprüchen vor.

Verschlüsselung und Datensicherheit

Als Forschungseinrichtung an der Schnittstelle zwischen Wissenschaft und Industrie handhabt die acib GmbH täglich streng vertrauliche Forschungsdaten, geistiges Eigentum (IP) und sensible Geschäftsgeheimnisse. Um zu verhindern, dass diese Informationen während der Übertragung abgefangen, manipuliert oder von unbefugten Dritten eingesehen werden können, setzen wir auf ein mehrstufiges, hybrides Verschlüsselungskonzept. Dieses richtet sich streng nach unserem internen Informationsklassifizierungssystem (Traffic Light Protocol). Wir schützen den Inhalt unserer Nachrichten durch folgende technische Verschlüsselungsmechanismen:
  • Transportverschlüsselung (TLS): Standardmäßig wird jede E-Mail über eine verschlüsselte Verbindung (TLS 1.2 oder höher) übertragen.
  • Erhöhter Schutz (TLP:AMBER+STRICT): Für hochsensible Daten erzwingen wir die Verschlüsselungsstufe AMBER+STRICT. In diesen Fällen wird die Zustellung nur durchgeführt, wenn eine hochsichere, verifizierte Verbindung zum Empfänger garantiert ist. Darüber hinaus ist der Empfang nur durch authentifizierte Empfänger möglich. Um klassifizierte Dokumente dieser Vertraulichkeitsstufe öffnen zu können ist eine Authentiifizierung bei acib erforderlich. Kann ein Dokument nicht geöffnet werden, ersuchen Sie acib um Authentifizierung im acib Tenant.
  • Höchster Schutz (TLP:RED): Für die Vertraulichkeitsstufe TOP SECRET gilt, dass emails verschlüsselt sind und nur durch den Empfänger geöffnet werden können. Eine Weiterleitung auch innerhalb der Empfängerorganisation ist nicht möglich.
  • Individuelle Verschlüsselung (Microsoft Purview Message Encryption): Für den flexiblen und sicheren Austausch sensibler Informationen auf individueller Ebene stellen wir unseren Mitarbeitern die Microsoft-Verschlüsselung zur Verfügung. Durch Auswahl der Option „Verschlüsseln“ im E-Mail-Client können Nachrichten so geschützt werden, dass der Empfänger sich vor dem Lesen (z.B. via Einmal-Passcode oder Microsoft-Konto) authentifizieren muss.
  • Ende-zu-Ende-Verschlüsselung (S/MIME): S/MIME bietet eine zertifikatsbasierte Ende-zu-Ende-Verschlüsselung, bei der E-Mails digital signiert und verschlüsselt werden. Diese Technologie wird von der acib GmbH nur in spezifischen, stark reglementierten Projekten unterstützt, da sie den vorherigen Austausch persönlicher Zertifikate zwischen den Kommunikationspartnern erfordert.
Die Wahl der geeigneten Verschlüsselungsmethode obliegt der Eigenverantwortung der jeweiligen Mitarbeiter, muss jedoch zwingend den Richtlinien der Informationsklassifizierung (siehe TLP-Richtlinie) entsprechen. Wir weisen externe Kommunikationspartner darauf hin, dass der Empfang hochgradig verschlüsselter Nachrichten (insbesondere TLP:AMBER+STRICT und TLP:RED) spezifische technische Voraussetzungen (wie eine Authentifizierung in unserem Microsoft-Tenant) oder geeignete E-Mail-Clients erfordert. Bei technischen Schwierigkeiten beim Öffnen verschlüsselter Nachrichten steht unsere IT-Administration zur Unterstützung bereit. Ein unverschlüsselter Versand von Daten dieser Klassifizierungsstufen ist zur Wahrung der Datensicherheit strikt untersagt.

Sicherer Datentransfer statt E-Mail-Anhänge


Herkömmliche E-Mail-Anhänge bergen erhebliche systembedingte Risiken: Sie führen zu unkontrollierter Datenvervielfältigung, Versionskonflikten und erschweren den Schutz sensibler Informationen, da die Kontrolle über das Dokument beim Versand verloren geht. Die acib GmbH reduziert den Versand klassischer Dateianhänge daher auf ein absolutes Minimum und setzt für den Datenaustausch auf moderne, cloudbasierte Kollaborationslösungen innerhalb unseres Microsoft-Tenants:

  • Sicheres Filesharing (SharePoint / OneDrive Links): Anstelle von physischen Dateianhängen versenden wir standardmäßig gesicherte, temporäre Zugriffslinks aus unserer SharePoint-Umgebung. Um externe Empfänger zweifelsfrei zu verifizieren, sind diese Links in der Regel durch eine Gast-Authentifizierung (z.B. mittels eines an die E-Mail-Adresse gesendeten Einmal-Passcodes) sowie durch automatische Ablaufdaten geschützt. Dies gewährleistet, dass Dokumente zentral an einem Ort verbleiben („Single Source of Truth“) und wir jederzeit die Zugriffsrechte (z.B. Lese- oder Bearbeitungsrechte) kontrollieren und bei Bedarf sofort widerrufen können.
  • Temporäre Uploadboxen für Partner: Für den sicheren Empfang großer Datenmengen oder sensibler Dokumente von externen Kommunikationspartnern stellen wir dedizierte Uploadboxen in unserer SharePoint-Umgebung zur Verfügung. So entfällt der riskante Umweg über E-Mail-Postfächer.
  • Anforderung von Datentransfers: Wenn Sie als externer Partner vertrauliche Daten an uns übermitteln möchten, bitten Sie Ihren acib-Ansprechpartner einfach um einen personalisierten Upload-Link oder fordern Sie selbstständig eine sichere Filebox unter short.acib.at/secureupload an.
Wir ersuchen alle unsere Kooperationspartner ausdrücklich, sich diesem modernen Standard der Dokumentenübermittlung anzuschließen, um gemeinsam höchste Datensicherheits- und Compliance-Anforderungen zu erfüllen.

Massensendungen und Newsletter

Die acib GmbH nutzt die reguläre, interne E-Mail-Infrastruktur (Microsoft 365) grundsätzlich nicht für den Versand von Massen-E-Mails, Newslettern oder unverlangten Werbesendungen. Um den reibungslosen Geschäftsverkehr nicht zu gefährden, ist der Massenversand über unsere regulären Mailserver technisch unterbunden.
Für die professionelle Marketing- und Informationskommunikation gelten folgende Vorgaben
  • Zentraler Newsletter-Versand (Mailchimp): Für unsere Informationsdienste, Event-Einladungen und Newsletter setzen wir ausschließlich den zertifizierten, externen Dienstleister Mailchimp ein. Dies stellt sicher, dass hohe technische Zustellstandards eingehalten werden und die Serverauslastung unserer eigenen Systeme nicht beeinträchtigt wird. Schutz der Domain-Reputation: Durch die strikte Trennung von regulärer Projektkorrespondenz (über M365) und Massenversendungen (über Mailchimp) verhindern wir präventiv, dass unsere primäre Unternehmens-Domain (@acib.at) auf globalen Blacklists landet oder unsere regulären Geschäfts-E-Mails von Empfängersystemen fälschlicherweise als Spam klassifiziert werden.
  • DSGVO-Konformität (Anmeldung und Widerspruch): Der Versand von Marketing-Mails erfolgt ausschließlich an Empfänger, die vorab ausdrücklich ihre Zustimmung erteilt haben (Double-Opt-In) oder zu denen eine aufrechte Geschäftsbeziehung besteht. Jede über Mailchimp versendete Nachricht enthält zwingend einen unübersehbaren Link zur sofortigen, automatisierten Abmeldung (Opt-Out).
  • Datenschutzerklärung: Alle Informationen zur Verarbeitung personenbezogener Daten im Rahmen unseres Newsletter-Versands, zur Rechtsgrundlage sowie zum Widerrufsrecht sind transparent in unserer dedizierten Datenschutzerklärung unter Verweis auf DSE Newsletter geregelt.
Die Planung, Erstellung und der Versand von Massen-E-Mails über Mailchimp obliegen ausschließlich den hierfür autorisierten Abteilungen (z.B. Marketing/Communications). Einzelne Mitarbeiterinnen und Mitarbeiter, Forschungsgruppen oder Projektleiter sind nicht berechtigt, eigenmächtig Massenversendungen (weder über Outlook noch über externe Tools) durchzuführen, um die Einhaltung unserer Datenschutzvorgaben und die Integrität unserer Domain-Reputation jederzeit lückenlos zu garantieren.

Umgang mit externen Informations- und Weiterleitungsanfragen

Oft erreichen uns von externen Partnern oder Netzwerken Anfragen mit der Bitte, bestimmte Informationen an die gesamte Belegschaft der acib GmbH weiterzuleiten. Um die Relevanz der internen Kommunikation zu wahren, gelten hierfür klare Filterkriterien:
  • Keine Weiterleitung von Werbe- und Jobangeboten: Externe Werbesendungen, Produktplatzierungen, Dienstleistungsangebote sowie branchenfremde oder allgemeine Stellenausschreibungen (Jobangebote) von Drittunternehmen werden grundsätzlich nicht über unsere internen Kanäle verbreitet. Wir bitten externe Absender, von derartigen Zusendungen abzusehen, da diese ausnahmslos gefiltert und verworfen werden.
  • Gezielte Informationsweitergabe: Eingehende Informationen zu relevanten Forschungsförderungen, fachspezifischen Ausschreibungen, wissenschaftlichen Konferenzen oder branchenbezogenen Veranstaltungen prüfen wir hingegen gerne. Sofern diese für unsere Forschungs- und Projektarbeit von erkennbarem Wert sind, werden sie von der entsprechenden Fachabteilung kuratiert und über unsere internen Dashboards (nicht per Massen-E-Mail) den interessierten Mitarbeitern zugänglich gemacht.
Konsequenzen bei unerwünschten Massensendungen: Die acib GmbH toleriert keine missbräuchliche Nutzung unserer Kommunikationskanäle. Externe Absender oder Dienstleister, die unsere E-Mail-Adressen für unaufgeforderte Massen-Werbesendungen, aggressive Akquise oder den ungezielten Versand von Stellenanzeigen nutzen (Spam), verstoßen gegen unsere Kommunikationsrichtlinien. Um die Effizienz unserer Mitarbeiter und die Sicherheit unserer Systeme zu schützen, behält sich unsere IT-Administration das Recht vor, die betroffenen Absenderadressen oder gesamte Domains ohne vorherige Vorwarnung serverseitig zu blockieren (Blacklisting). Eine Wiederherstellung der Kommunikationswege ist in diesen Fällen in der Regel ausgeschlossen.

Zentrale Anlaufstellen und Erreichbarkeit

Für eine effiziente und sichere Kommunikation stehen Ihnen folgende zentrale Kontaktadressen zur Verfügung:
Allgemeine Anfragen und Informationenoffice@acib.at
Rechtsfragenlegal@acib.at
Fragen zu Rechnungen und Rechnungslegungaccounting@acib.at
Abrechnung und Controllingcontrolling@acib.at
Fragen zu Lieferungen und Bestellungenprocurement@acib.at
Fragen zu Projekten und Kooperationen (wissenschaftliche Kooperation)scico@acib.at
Fragen zu (neuen) Projektkooperationen und Lösungen (Business Developmentbd@acib.at
Fragen zu Publikationen und Open Accesspublications@acib.at
Fragen zum COMET-Programmcomet@acib.at
Fragen zur esib - European Summit for Industrial Biotechnologyesib@acib.at
Fragen zu LifeisScience - Europäische Lange Nacht der Forschunglis@acib.at
Fragen zu Events, Webinaren und Veranstaltungenevents@acib.at
Personalangelegenheitenpersonal@acib.at
Anfragen von Bewerber:innen jobs@acib.at
Arbeitssicherheitsafety@acib.at
Informations- und Systemsicherheitsecurity@acib.at
Datenschutzfragenprivacy@acib.at
Anfragen nach Informationsfreiheitsgesetzifg@acib.at
Presseanfragenpr@acib.at
Fragen zu Newsletter und Aussendungeneditorial@acib.at
Technische IT-Fragenit@acib.at
Technische Fragen Emailpostmaster@acib.at
E-Mail-Missbrauch (Spam, Phishing)abuse@acib.at
Technische Fragen zur Domainfragen und DNS-Registrierunghostmaster@acib.at
Anfragen Homepagewebmaster@acib.at
Compliance-Fragen, Compliance-Boardcompliance@acib.at
Ombudsstelle Wissenschaftliche Integritätresearch-integrity@acib.at
Gleichbehandlungsbeauftragteequality@acib.at
Geschäftsführunggef@acib.at
Betriebsratbetriebsrat@acib.at
Kontakt für Gremienmitgliedergremien@acib.at
Absendeadresse für Systeminformationen (kein Empfang)no-reply@acib.at

Rechtlich gesicherte Zustellung und Signatur

Da herkömmliche E-Mails für nachweisliche Zustellungen (z. B. zur Fristwahrung) oder den rechtsgültigen Vertragsabschluss oft nicht ausreichen, nutzt die acib GmbH für diese Zwecke spezialisierte, zertifizierte Kanäle. Die Wahl des Systems richtet sich nach dem jeweiligen Empfänger und dem rechtlichen Zweck der Kommunikation:
  • Behördenkommunikation (eZustellung / MeinPostkorb): Für den rechtswirksamen und fristgerechten Austausch mit österreichischen Ämtern und Behörden nutzen wir das System der elektronischen Zustellung. Dies ersetzt klassische RSa- und RSb-Briefe. Der Abruf und Versand erfolgt für die acib GmbH zentral über das Unternehmensserviceportal (USP) mittels ID Austria.
  • Nachweisliche Geschäftspost (eBrief): Für den zertifizierten Versand von wichtigen Dokumenten an Partner oder Unternehmen, die nicht an die behördliche eZustellung angebunden sind, kommt die digitale Briefzustellung (z. B. eBrief der Österreichischen Post) zum Einsatz. Dies gewährleistet eine hohe Sicherheit und Nachvollziehbarkeit auf dem Transportweg.
  • Vertragsunterzeichnung (DocuSign & PDF-Signaturen): Ein sicherer Transportweg ersetzt keine rechtlich bindende Unterschrift. Für Verträge und rechtlich bindende Dokumente nutzt die acib GmbH dezidierte elektronische Signatur-Workflows (wie DocuSign oder zertifizierte Adobe-Signaturen). Der Versand solcher Dokumente zur digitalen Signatur darf erst nach zwingender vorheriger Prüfung und Freigabe durch die Rechtsabteilung (legal@acib.at) erfolgen.

Die strikte Einhaltung dieser vorgegebenen Zustell- und Signaturwege ist essenziell, um die rechtliche Bindungswirkung unserer Verträge sowie unserer Behördenkorrespondenz zweifelsfrei zu gewährleisten. Die acib GmbH wird so wirksam vor rechtlichen Nachteilen, Fristversäumnissen oder ungültigen Vereinbarungen durch Formfehler geschützt. Die Nutzung privater oder nicht von der IT offiziell freigegebener Signatur- und Zustelldienste (sogenannte Shadow IT) für geschäftliche Zwecke ist aus Compliance- und Datenschutzgründen strengstens untersagt. Bei Unklarheiten zur Wahl des richtigen Übermittlungsweges oder zu den formalen Anforderungen an eine Signatur ist zwingend vorab die Rechtsabteilung (legal@acib.at) zu konsultieren.

Sicherheitshinweise für Empfänger (Vorsichtsmaßnahmen)

Trotz all unserer technischen Schutzmaßnahmen (wie SPF, DKIM und DMARC) können E-Mail-Absenderadressen von Dritten gefälscht werden (Spoofing). Um sich und Ihr Unternehmen vor Cyberkriminalität zu schützen, bitten wir Sie bei der Kommunikation mit der acib GmbH um folgende Vorsichtsmaßnahmen:

  • Rückversicherung bei Verdacht: Kontaktieren Sie Ihren Ansprechpartner bei der acib GmbH im Zweifelsfall über einen zweiten Weg (z. B. Telefon), um die Echtheit einer Anfrage zu verifizieren.
  • Keine Passwortabfragen: Wir werden Sie niemals per E-Mail auffordern, Passwörter oder Zugangsdaten preiszugeben. Zur Mitteilung oder zum Teilen von Passwörtern verwenden wir gesicherte Systeme wie 1Password oder verschlüsselte Nachrichten.
  • Vertraulichkeit in Betreffzeilen: Wir achten darauf, keine sensiblen Informationen in die Betreffzeile einer E-Mail zu schreiben, da diese technisch bedingt oft unverschlüsselt übertragen oder in Protokollen gespeichert werden kann.
  • Keine kurzfristigen Änderungen von Bankdaten per E-Mail: Die acib GmbH wird Sie niemals ausschließlich per E-Mail (ohne vorherige, persönliche Absprache) auffordern, Überweisungen auf geänderte oder neue Bankverbindungen zu tätigen. Bei entsprechenden Zahlungsaufforderungen kontaktieren Sie zwingend unsere Finanzabteilung unter accounting@acib.at oder telefonisch bzw. vergleichen Sie die Daten mit den auf unserer Homepage unter Verweis auf Rechnnungswesen bekannt gegebenen Daten.
    Vorsicht bei unerwarteten Links und Aufforderungen: Seien Sie misstrauisch bei E-Mails, die scheinbar von der acib GmbH stammen, aber einen ungewöhnlich hohen Zeitdruck aufbauen (z. B. „Dringende Prüfung erforderlich“) oder Sie unerwartet auffordern, auf externe Links zu klicken oder Login-Daten auf einer Webseite einzugeben.
  • Prüfung der Absenderadresse: Verlassen Sie sich nicht nur auf den angezeigten Namen des Absenders. Prüfen Sie bei unerwarteten Nachrichten stets die tatsächliche E-Mail-Adresse (hinter dem Namen), um sicherzustellen, dass die Nachricht tatsächlich von einer @acib.at Domain stammt und nicht von einer ähnlich aussehenden Fälschung (z. B. @acib.com oder @aclb.at).

Die Sicherheit unserer gemeinsamen Daten hat für die acib GmbH oberste Priorität. Sollten Sie eine E-Mail in unserem Namen erhalten, die Ihnen in Bezug auf Absender, Inhalt, Anhänge oder Handlungsaufforderungen suspekt vorkommt, bitten wir Sie, keinesfalls darauf zu antworten, keine Links anzuklicken und keine Anhänge zu öffnen. Bitte leiten Sie solche verdächtigen Nachrichten stattdessen umgehend an unser IT-Sicherheitsteam unter security@acib <security@acib.at>.atweiter und löschen Sie die E-Mail anschließend aus Ihrem Postfach. Wir danken Ihnen für Ihre Mithilfe und Wachsamkeit im gemeinsamen Kampf gegen Cyberkriminalität.</security@acib.at>

Sicherheitsbewusstsein und Training (Security Awareness)

Die fortschrittlichste technische IT-Sicherheit der acib GmbH kann nur dann ihre volle Wirkung entfalten, wenn sie durch das bewusste und geschulte Verhalten unserer Mitarbeiterinnen und Mitarbeiter unterstützt wird. Die Einhaltung höchster Sicherheitsstandards (Human Firewall) ist daher eine verpflichtende organisatorische Maßnahme:
  • Verpflichtende Mitarbeiterschulungen: Alle Mitarbeiter (inklusive Gastforschender und administrativer Kräfte) nehmen bei Eintritt sowie im Rahmen regelmäßiger Refresher-Kurse an verpflichtenden Security-Awareness-Trainings teil. Diese vermitteln essenzielles Wissen zur Früherkennung von Phishing, Spear-Phishing, Ransomware-Angriffen und Social-Engineering-Taktiken (wie CEO-Fraud).
  • Aktive Phishing-Simulationen: Zur kontinuierlichen Überprüfung und Schärfung unseres Sicherheitsbewusstseins führen wir in unregelmäßigen Abständen interne, unangekündigte Phishing-Simulationen durch. Diese dienen rein dem Trainingseffekt und helfen uns, Schwachstellen im Erkennungsprozess zu identifizieren und gezielt nachzuschulen.
  • Meldekultur (Phishing-Button): Wir fördern eine proaktive Meldekultur (See something, say something). Jeder E-Mail-Client in unserem Microsoft-Tenant ist mit einem speziellen „Phishing-Melde-Button“ ausgestattet. Mitarbeiter sind angehalten, verdächtige Nachrichten per Knopfdruck sofort zur Analyse an das IT-Sicherheitsteam weiterzuleiten, anstatt sie nur zu löschen oder zu ignorieren.
  • Incident Response Management: Sollte es dennoch zu einem Sicherheitsvorfall (z. B. einem angeklickten Schad-Link oder kompromittierten Zugangsdaten) kommen, greifen unsere fest definierten Incident-Response-Prozesse. Betroffene Mitarbeiter sind verpflichtet, Vorfälle unverzüglich und ohne Angst vor Sanktionen an security@acib.at zu melden, um eine schnelle Eindämmung, die Isolierung betroffener Systeme und die transparente Information etwaiger Partner gewährleisten zu können.

Gemeinsame Sicherheitsverantwortung im Forschungsnetzwerk (NISG)

Als international agierendes Spitzenforschungszentrum und Betreiber kritischer Infrastruktur unterliegt die acib GmbH den strengen Vorgaben des Netz- und Informationssystemsicherheitsgesetzes (NISG 2026). Dies umfasst auch eine weitreichende Verantwortung für die Sicherheit unserer digitalen Liefer- und Wertschöpfungsketten. Wir betrachten Informationssicherheit daher nicht nur als interne Verpflichtung, sondern als gemeinsame, netzwerkübergreifende Verantwortung. Wir erwarten von unseren wissenschaftlichen und industriellen Kommunikationspartnern ein vergleichbar hohes Maß an Security-Awareness und die Einhaltung zeitgemäßer IT-Sicherheitsstandards. Sollten wir feststellen, dass von Systemen unserer Partner kompromittierte Nachrichten, Phishing-Versuche oder Sicherheitsrisiken ausgehen, behalten wir uns zum Schutz unserer eigenen Infrastruktur vor, den E-Mail-Empfang aus diesen Quellen umgehend zu blockieren, bis die entsprechenden Systeme nachweislich bereinigt wurden.

Ablehnung unzureichend gesicherter Nachrichten (DMARC/SPF/DKIM): Um unsere Systeme vor Spoofing und Phishing zu schützen, prüft die acib GmbH eingehende E-Mails strikt auf die Einhaltung aktueller E-Mail-Authentifizierungsstandards (SPF, DKIM und DMARC). Wir garantieren keine Zustellung von Nachrichten, die von Mailservern ohne oder mit unzureichend konfigurierten Authentifizierungseinträgen gesendet werden. Solche E-Mails können von unseren Sicherheitssystemen automatisiert abgewiesen (Rejected) oder in Quarantäne verschoben werden.

Wir ersuchen unsere Kommunikationspartner, ihre E-Mail-Infrastruktur entsprechend den gängigen Best Practices abzusichern, um eine reibungslose Kommunikation zu gewährleisten
Sollten Ihre E-Mails an die acib GmbH aufgrund fehlender Authentifizierung abgewiesen werden (Non-Delivery Report / NDR), ersuchen wir Sie, umgehend Ihre interne IT-Abteilung oder Ihren E-Mail-Provider zu kontaktieren. Bitte fordern Sie diese auf, korrekte SPF- (Sender Policy Framework), DKIM- (DomainKeys Identified Mail) und DMARC-Einträge für Ihre Absenderdomain im DNS zu hinterlegen. Diese Maßnahmen entsprechen globalen Best Practices (u.a. BSI, Microsoft) und sind zwingend erforderlich, um eine sichere und reibungslose Kommunikation mit unseren Systemen wiederherzustellen.

Archivierung und Datenschutz

Um den gesetzlichen Dokumentationspflichten sowie unseren eigenen Compliance-Anforderungen nachzukommen, unterliegt die E-Mail-Kommunikation der acib GmbH strengen Archivierungs- und Datenschutzvorgaben
  • Revisionssichere und unveränderbare Archivierung: Gemäß den Vorgaben des österreichischen Unternehmensgesetzbuches (UGB § 212) sowie der Bundesabgabenordnung (BAO) werden alle ein- und ausgehenden geschäftlichen E-Mails (inklusive Anhängen) automatisiert, vollständig und revisionssicher archiviert. Die eingesetzte Archivierungslösung stellt sicher, dass Nachrichten nachträglich nicht manipuliert oder vor Ablauf der gesetzlichen Aufbewahrungsfristen (in der Regel 7 Jahre, bei spezifischen Forschungsprojekten oft länger) gelöscht werden können.
  • Datenschutz (DSGVO) und Betroffenenrechte: Die acib GmbH verarbeitet im Rahmen der E-Mail-Kommunikation unweigerlich personenbezogene Daten (z. B. Namen, Kontaktdaten, Kommunikationsinhalte). Diese Verarbeitung erfolgt auf Basis unseres berechtigten Interesses sowie zur Vertragserfüllung (Art. 6 Abs. 1 lit. b und f DSGVO). Detaillierte Informationen zur Datenverarbeitung, zu Speicherfristen sowie zu Ihren Betroffenenrechten (wie Auskunft, Löschung oder Einschränkung) entnehmen Sie bitte unserer vollumfänglichen Datenschutzerklärung unter Verweis auf DSE email.
  • Ausschluss der privaten Nutzung: Um Konflikte zwischen der unternehmerischen Archivierungspflicht und dem Fernmeldegeheimnis bzw. der Privatsphäre der Mitarbeiter zu vermeiden, ist die Nutzung der dienstlichen acib-E-Mail-Adressen für private Zwecke untersagt. Eingehende Nachrichten werden stets als Geschäftskorrespondenz behandelt und entsprechend den obigen Richtlinien verarbeitet und archiviert.
Der Zugriff auf das E-Mail-Archiv ist streng reglementiert und ausschließlich autorisiertem Personal (wie der Geschäftsführung oder designierten Compliance-Beauftragten) im Rahmen rechtlich bindender Notwendigkeiten – etwa bei juristischen Streitigkeiten (E-Discovery) oder behördlichen Prüfungen – gestattet. Sollten externe Kommunikationspartner gemäß der DSGVO die Löschung ihrer personenbezogenen Daten aus unserer E-Mail-Kommunikation beantragen, wird dieser Anspruch von unserem Datenschutz-Team individuell geprüft. Wir weisen darauf hin, dass dem Recht auf Löschung in vielen Fällen übergeordnete gesetzliche Aufbewahrungspflichten (z. B. aus Verträgen oder dem Unternehmensrecht) entgegenstehen können, weshalb eine vollständige Entfernung aus dem revisionssicheren Archiv vor Ablauf dieser Fristen technisch und rechtlich oftmals nicht möglich ist.