Eine E-Mail der Geschäftsführung landet im Postfach: „Bitte überweisen Sie sofort 50.000 Euro auf folgendes Konto – vertrauliche Geschäftsangelegenheit!“ Der Mitarbeitende aus der Buchhaltung zögert nicht lange und führt die Überweisung aus. Erst später stellt sich heraus: Die E-Mail war gefälscht, das Geld ist weg. Was nach einem Einzelfall klingt, passiert täglich hundertfach in deutschen Unternehmen. E-Mail-basierte Cyberangriffe haben sich zu einer der größten Bedrohungen für kleine und mittlere Unternehmen entwickelt – mit verheerenden Folgen für Finanzen, Reputation und Geschäftsbeziehungen. Doch die gute Nachricht ist: Mit den richtigen Maßnahmen können Sie Ihr Unternehmen effektiv schützen. In diesem Artikel erfahren Sie, wie Sie Ihre Kommunikation absichern.
Die unterschätzte Gefahr: Warum E-Mail-Sicherheit für den Mittelstand kritisch ist
E-Mails sind das Einfallstor Nummer eins für Cyberkriminelle. Laut Check Point Software beginnen über 90% aller Cyberangriffe mit einer bösartigen E-Mail – sei es durch Phishing, Malware-Anhänge oder Business E-Mail Compromise (Cyberkriminelle geben sich als Geschäftsführung aus und verleiten Mitarbeitende zu Überweisungen). Bei Phishing- oder Malware-Attacken gelangt Erpressersoftware über Mailanhänge in das Unternehmensnetzwerk und wirkt sich auf die gesamten Betriebsprozesse aus.
Gleichzeitig hat sich die Bedrohungslandschaft massiv verändert. Hacker setzen auf KI-generierte Phishing-Mails, die selbst geübte Augen täuschen. Besonders brisant: Ihr E-Mail-Konto ist oft der Schlüssel zu Ihrer gesamten digitalen Identität. Es ermöglicht den Zugang zu einer Vielzahl anderer Konten im Internet: von Banking über Cloud-Dienste bis hin zu Kundendatenbanken. Dort läuft Ihre digitale Identität zusammen. Ein kompromittiertes E-Mail-Konto kann daher weitreichende Folgen haben.
Technische Schutzmaßnahmen: Das Fundament Ihrer E-Mail-Sicherheit
Im Rahmen des E-Mail-Sicherheitsjahres hat das Bundesamt für Sicherheit in der Informationstechnik technische Handlungsempfehlungen für eine moderne E-Mail-Infrastruktur in Unternehmen veröffentlicht. Im Folgenden fassen wir die drei Empfehlungen für Sie zusammen:
- Häufige Fehler bei E-Mail-Authentifizierung vermeiden (SPF, DKIM, DMARC)
Was ist das Problem? Viele Unternehmen nutzen bereits Authentifizierungsprotokolle namens SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance), die wie ein digitaler Ausweis für E-Mails funktionieren. Diese beweisen, dass eine E-Mail wirklich von Ihrem Unternehmen (Ihrer Domain) kommt. Leider werden bei der Einrichtung oft einfache Fehler gemacht, die den Schutz schwächen.
Die häufigsten Fehler:
- Tippfehler: Wie bei normalen Texten passieren auch hier Schreibfehler (z.B. „inlcude“ statt „include“)
- Falsche Anführungszeichen: DNS-Einträge dürfen nicht in Anführungszeichen stehen, sondern müssen mit dem Identifizierungsmerkmal des jeweiligen Standards beginnen
- Doppelte Einträge: Pro Technologie darf nur ein Eintrag existieren, nicht mehrere. Die Einträge müssen mit den nötigen Angaben zusammengeführt werden.
- Veraltete Einträge: Nicht mehr genutzte Server-Einträge sollten entfernt werden
- Falsche Syntax: Die technischen Regeln müssen exakt befolgt werden und die jeweiligen Standards erfüllen.
Was Sie tun sollten: Lassen Sie Ihre bestehenden E-Mail-Sicherheitseinstellungen von einem IT-Experten überprüfen und korrigieren. Oft sind es nur kleine Änderungen, die große Sicherheitsverbesserungen bringen. Das Dokument vom BSI zeigt praxisnah an Beispielen, wo Fehlerquellen lauern und wie diese behoben werden können.
- Moderne Transportverschlüsselung nutzen – DANE mit DNSSEC (am Beispiel von Microsoft Exchange Online)
Was ist das Problem? E-Mails können auf ihrem Weg durch das Internet abgefangen oder manipuliert werden, wie Briefe, die aus einem unverschlossenen Umschlag fallen könnten.
Die Lösung: DANE mit DNSSEC Diese Technologien funktionieren wie ein gepanzerter Geldtransporter für E-Mails:
- DANE ermöglicht, dass E-Mails nur verschlüsselt übertragen werden
- Sie verhindern, dass Kriminelle sich als Ihr E-Mail-Server ausgeben
- Sie schützen vor dem Abfangen und Verändern von E-Mails unterwegs
Für Microsoft Exchange Online-Nutzer: Microsoft bietet diese Sicherheit bereits an, aber Sie müssen sie aktivieren. Dazu sind zwei Schritte nötig:
- DNS-Einträge anpassen: Ein neuer „Postweg“ wird eingerichtet
- DANE aktivieren: Aktivierung von DANE für eingehenden E-Mails, damit diese akzeptiert werden
Wichtige Voraussetzung: Ihre Domain muss DNSSEC unterstützen (nicht alle Anbieter bieten das an). Falls Ihr Anbieter dies noch nicht unterstützt, kann ein separater Dienstleister für das DNS-Management genutzt werden.
- Alternative Transportverschlüsselung – MTA-STS (am Beispiel Google Workspace mit Gmail)
Was ist das Problem? E-Mails sind auf ihrem Transportweg angreifbar.
Die Lösung: MTA-STS Eine alternative Sicherheitstechnologie, die ähnlich wie DANE funktioniert, aber:
- Nutzt digitale Zertifikate als Sicherheitsanker
- Erstellt Sicherheitsrichtlinien, die festlegen, welche Server E-Mails empfangen dürfen
Für Google Workspace-Nutzer: Google bietet diese Sicherheit an, die Einrichtung erfolgt in zwei Schritten:
- DNS-Einträge hinzufügen: Zwei neue Einträge aktivieren die Sicherheitsfunktionen
- Sicherheitsrichtlinie erstellen: Eine Textdatei definiert die Regeln und muss auf einem Webserver veröffentlicht werden
Vorteil: Funktioniert auch ohne DNSSEC und ist daher einfacher umzusetzen.
Die beiden Protokolle DANE und MTA-STS verfolgen beide das Ziel, sicherzustellen, dass E-Mails beim Transport verschlüsselt werden und dadurch gewisse Cyberangriffe verhindert werden. Sie sollten vorab in Erfahrung bringen, welches Protokoll bei Ihrem Mailanbieter zum Einsatz kommt bzw. unterstützt wird und sicherstellen, dass Sie diese für Ihre Domain aktivieren.
Generell schützen die genannten drei Empfehlungen Ihre E-Mails vor Manipulation, verhindern Phishing und E-Mail-Betrug und stellen sicher, dass E-Mails wirklich von Ihrem Unternehmen stammen. Falls Sie intern keine Ressourcen für die Umsetzung der Handlungsempfehlungen haben, sollten Sie einen IT-Dienstleister beauftragen. Außerdem sollten Sie sicherstellen, dass Sie die vorhandenen Sicherheitsfeatures Ihres E-Mail-Anbieters nutzen und Ihre bestehenden Einstellungen auf Fehler überprüfen.
Neben diesen drei Verschlüsselungs- und Authentifizierungsmaßnahmen sollten Sie auch Ihre Spam- und Malware-Filter aktivieren. Diese Filter sorgen dafür, dass verdächtige und schädliche E-Mails und/oder Anhänge blockiert werden. Sie sollten jedoch regelmäßig Ihr Spam-Postfach überprüfen, da in manchen Fällen auch legitime E-Mails gefiltert werden. Zusätzlich sollten Sie eine Antivirensoftware installieren, die verdächtige Aktivitäten erkennt und Ihr System kontinuierlich scannt. Sie können sich auch warnen lassen, wenn eine E-Mail von außerhalb Ihrer Organisation stammt. Das vereinfacht die Erkennung oder Warnung vor Phishing-Mails.
Organisatorische Maßnahmen: Menschen und Prozesse absichern
Damit die genannten technischen Maßnahmen auch eine Wirkung erzielen, sind ergänzende organisatorische Schritte empfehlenswert. Entwickeln Sie klare E-Mail-Richtlinien für Ihren Betrieb. Diese Regeln zeigen, was per E-Mail verschickt werden darf oder wie mit vertraulichen Informationen umzugehen ist. Diese Abläufe müssen dokumentiert werden und allen Mitarbeitenden zur Verfügung gestellt werden. Im Idealfall gibt es in Ihrem Unternehmen eine Person, die für das Thema E-Mail-Sicherheit zuständig ist und in einem Sicherheitsvorfall die erste Ansprechperson ist.
Sofortmaßnahmen für sichere Unternehmens-E-Mails
Die gute Nachricht: Auch wenn die Bedrohungslage sich zuspitzt, können Sie Ihre E-Mail-Kommunikation bereits mit grundlegenden Maßnahmen erheblich sicherer machen.
Sorgen Sie dafür, dass alle E-Mail-Konten mit komplexen, einzigartigen Passwörtern geschützt sind. Nutzen Sie Passwort-Manager, um diese zu verwalten. Aktivieren Sie zusätzlich die Zwei-Faktor-Authentifizierung (2FA) – sie erschwert unbefugten Zugriff erheblich, da zusätzlich zum Passwort ein zweiter Faktor wie ein Fingerabdruck oder ein Code benötigt wird.
Stellen Sie sicher, dass berufliche und private Kommunikation in Ihrem Betrieb getrennt ablaufen. Verbieten Sie das Versenden privater E-Mails über Firmenkonten und umgekehrt. Dies reduziert nicht nur Sicherheitsrisiken, sondern hilft auch bei der DSGVO-Compliance.
Definieren Sie klare Regeln, welche Geräte dienstlich genutzt werden dürfen. Implementieren Sie Mobile Device Management (MDM), um zentrale Kontrolle zu behalten und im Verlustfall eine Fernlöschung durchführen zu können.
Sensibilisieren Sie Ihre Mitarbeitenden für die Gefahren ungeschützter Netzwerke, z.B. beim Remote arbeiten oder bei der Nutzung des WLANs in Restaurants, Cafés oder Hotels. Falls die Nutzung unvermeidbar ist, sollten VPN-Clients verwendet werden.
Etablieren Sie die Grundregel: Keine Anhänge oder Links aus unbekannten oder nicht vertrauenswürdigen Quellen öffnen. Bei Unsicherheit sollten Mitarbeitende beim IT-Support oder beim vermeintlichen Absender nachfragen.
Halten Sie E-Mail-Programme und Betriebssysteme stets aktuell, um bekannte Sicherheitslücken zu schließen. Implementieren Sie automatische Updates, wo immer möglich.
Implementieren Sie SPF, DKIM und DMARC für Ihre Domain und achten Sie auf die korrekte Einrichtung. Nehmen Sie, wie oben bei den technischen Maßnahmen erwähnt, das BSI Dokument dafür zur Hilfe.
Erstellen Sie Notfallpläne speziell für E-Mail-Sicherheitsvorfälle. Diese sollten klare Zuständigkeiten, Kommunikationswege und Eskalationsstufen definieren. Testen Sie Ihre Pläne regelmäßig und sorgen Sie für sichere Backups Ihrer E-Mail-Daten.
Das E-Mail-Sicherheitsjahr 2025: Ihre Chance zur Verbesserung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), der eco-Verband der Internetwirtschaft und Bitkom setzen sich 2025 gemeinsam dafür ein, die digitale Kommunikation in Deutschland sicherer zu gestalten. Unternehmen aus der deutschen Wirtschaft sind eingeladen, sich an der Initiative „E-Mail-Sicherheitsjahr“ zu beteiligen.
Das BSI unterstützt teilnehmende Unternehmen mit Workshops, Webinaren und direkten Gesprächen mit Expertinnen und Experten.
Mit sicheren E-Mails in eine sichere Zukunft
E-Mail-Sicherheit muss nicht komplex sein. Oft reichen schon grundlegende Maßnahmen wie die Konfiguration von Authentifizierungsprotokollen, sichere Passwörter mit Zwei-Faktor-Authentifizierung und geschulte Mitarbeitende, um das Sicherheitsniveau erheblich zu verbessern. Wichtig ist, dass Sie systematisch vorgehen.
Beginnen Sie mit einer ehrlichen Bestandsaufnahme Ihrer E-Mail-Infrastruktur und priorisieren Sie dann die Maßnahmen nach Risiko und Umsetzbarkeit. Auch mit begrenzten Ressourcen können Sie Ihre E-Mail-Kommunikation deutlich sicherer machen und damit nicht nur Ihr Unternehmen schützen, sondern auch rechtlichen Anforderungen gerecht werden.
Die Bedrohungslage wird nicht abnehmen, im Gegenteil: Cyberkriminelle werden ihre Angriffe weiter professionalisieren und verstärkt auf E-Mail als Einfallstor setzen. Wer heute in E-Mail-Sicherheit investiert, schützt nicht nur sein Unternehmen, sondern sichert auch seine Zukunftsfähigkeit.
Verfasst von Johanna Baldus
Projektmanagerin Kommunikation
