Cybersecurity
April 27, 2026
Julia Wolf
Täglich 3,4 Milliarden schädliche E-Mails. Das Gateway filtert. Der Endpoint schweigt. Der Nutzer klickt. Phishing-Abwehr, die im Postfach aufhört, ist keine Abwehr mehr – sie ist Einladungspolitik für Angreifer mit KI-Unterstützung.
Es war eine schöne Idee. Man stellt ein Mail-Gateway vor die Infrastruktur, konfiguriert Spamfilter, schreibt Blacklists fort und hofft, dass die wirklich gefährlichen Nachrichten draußen bleiben. Jahrelang hat das funktioniert – zumindest gut genug, um es als Standard zu akzeptieren. Das war gestern. Heute ist diese Logik so veraltet wie ein Faxgerät in einem Zero-Trust-Architekturgespräch.
Die Zahlen sind eindeutig und wenig überraschend, wenn man den Entwicklungen der letzten drei Jahre gefolgt ist: Im vierten Quartal 2025 wurden täglich rund 3,4 Milliarden schädliche E-Mails versendet. Nicht pro Monat. Pro Tag. Allein in der deutschen Bundesverwaltung standen 2025 täglich rund 684.000 E-Mail-Adressen unter aktiver Beschusslage – Spam, Phishing, Malware, alles inklusive. Das Bundesamt für Sicherheit in der Informationstechnik dokumentiert diese Angriffslage mit wachsender Ausführlichkeit und kommt zu einem Schluss, der eigentlich keiner mehr ist: Herkömmliche Filter sind strukturell überfordert. Semantisch passt dazu unser Hintergrund Phishing erkennen: Schutz vor modernen Angriffsmethoden.
Der Clou dabei: Die Angriffe haben sich längst vom Mail-Gateway abgewandt. Sie beginnen dort, sicher. Aber sie enden am Endpunkt. Am Browser. Am Identitätsprovider. An der Schnittstelle zwischen Mensch und Maschine, die kein Spamfilter der Welt vollständig absichert. Phishing-Abwehr, die ausschließlich im Postfach operiert, lässt genau diese Lücken offen – und Angreifer wissen das sehr genau. Semantisch passt dazu unser Hintergrund Angriffe auf den Onlinehandel – zu wenige Unternehmen schützen sich ausreichend.
Wer heute noch glaubt, mit einem gut konfigurierten Gateway und einer halbwegs gepflegten Blacklist auf der sicheren Seite zu sein, unterschätzt den Gegner systematisch. Moderne Phishing-Kampagnen sind nicht mehr die plumpen Nigeria-Prinzen-Mails aus den Nullerjahren. Sie sind personalisiert, KI-generiert, visuell perfekt und technisch so aufgebaut, dass sie klassische Signaturen-basierte Filter schlicht nicht triggern. Das ist kein Bug. Das ist das Design.
Plot Twist: Die gleiche Technologie, die Verteidiger für ihre Anomalie-Erkennung nutzen wollen, steht Angreifern seit Monaten kostengünstig zur Verfügung. Generative KI hat das Phishing-Handwerk demokratisiert. Früher brauchte man zumindest sprachliches Geschick, um eine überzeugende CEO-Fraud-Mail zu schreiben. Heute reichen wenige Prompt-Iterationen.
Das Pikante daran: KI-generierte Phishing-Mails umgehen nicht nur sprachliche Erkennungsmuster, sondern optimieren sich aktiv gegen bekannte Filterlogiken. Angreifer testen ihre Payloads gegen öffentlich verfügbare Sicherheitslösungen, bevor sie sie ausliefern. Die Trefferquote steigt. Die Entdeckungsrate sinkt. Credential-Phishing allein ist laut Trend-Micro-Telemetrie im vergangenen Jahr um 36 Prozent gestiegen – bei gleichzeitig steigender Umgehungsrate statischer Filter.
Besonders brisant ist die Entwicklung beim sogenannten Quishing. QR-Codes in E-Mails sind für klassische URL-Scanner weitgehend unsichtbar. Der Code selbst enthält keine verdächtige URL, die ein Gateway analysieren könnte – die gefährliche Adresse entsteht erst, wenn das Gerät des Nutzers den Code liest. Statische Filter sehen: harmloser PNG-Anhang. Der Nutzer sieht: scheinbar legitime Aufforderung, einen QR-Code zu scannen. Das Ergebnis ist bekannt.
Gleichzeitig wächst die Qualität von Business Email Compromise (BEC) in einem Tempo, das Sicherheitsverantwortlichen erfahrungsgemäß schlaflose Nächte beschert. KI analysiert öffentlich verfügbare Informationen über Führungskräfte, deren Schreibstil, Kommunikationsmuster und typische Kontexte. Eine BEC-Mail, die exakt so klingt wie der CFO – weil sie stilistisch auf dessen LinkedIn-Posts und E-Mail-Signaturen trainiert wurde –, ist für den durchschnittlichen Mitarbeitenden kaum als Angriff identifizierbar. Das ist kein Szenario aus einem Thriller. Das passiert.
Auf der Verteidigungsseite gibt es allerdings eine konkrete Gegenbewegung: KI-gestützte Sicherheitssysteme identifizieren nach aktuellen Auswertungen 6,5-mal mehr Bedrohungen als rein signaturbasierte Ansätze, verbessern die Erkennungsgenauigkeit um bis zu 77 Prozent und entlasten Analysten um rund 53 Prozent ihrer manuellen Prüfzeit. Das sind keine Marketing-Zahlen aus einem Hersteller-Whitepaper, das man ignorieren darf – das ist die Messlatte, an der man sich orientieren muss.
Phishing endet selten im Postfach. Es beginnt dort. Die eigentliche Schadenswirkung entfaltet sich am Endpunkt: wenn ein Nutzer auf einen Link klickt, wenn ein Anhang in einer Sandbox nicht analysiert wurde, wenn ein Browser ohne Isolierung eine bösartige Seite lädt, wenn ein Credential-Harvest-Formular die eingegebenen Zugangsdaten direkt an einen Command-and-Control-Server sendet.
Der Endpoint ist das eigentliche Schlachtfeld, und er wird strukturell unterschätzt. Viele Unternehmen investieren erheblich in Gateway-Lösungen und relativ wenig in den Schutz des Geräts, auf dem der Nutzer sitzt. Das ist, mit Verlaub, rückwärts gedacht. Ein Mail-Gateway, das 99 Prozent aller schädlichen Nachrichten filtert, klingt beeindruckend. Für das eine Prozent, das durchkommt, brauchen Sie trotzdem eine Antwort am Endpoint.
Browser-Isolierung ist hier ein zunehmend diskutierter Ansatz. Statt einen Link direkt im lokalen Browser zu öffnen, wird die Seite in einer isolierten Umgebung gerendert – der Nutzer sieht das Ergebnis, aber keine ausführbaren Inhalte erreichen das lokale System. Sandboxing für Links und Anhänge funktioniert ähnlich: Verdächtige Inhalte werden in einer kontrollierten Umgebung geöffnet, analysiert und erst nach Freigabe dem Nutzer zugänglich gemacht.
Das klingt nach Overhead. In der Praxis ist es das auch – wenn man es falsch implementiert. Richtig konfiguriert, mit klaren Ausnahmeregeln und einer Policy, die Nutzbarkeit nicht vollständig opfert, ist Browser-Isolierung ein erheblicher Schutzgewinn. URL-Sandboxing-Erkennungen sind laut Trend-Micro-Telemetrie um 211 Prozent gestiegen – was zeigt, dass diese Vektoren aktiv ausgenutzt werden und entsprechende Schutzmechanismen tatsächlich greifen.
Hinzu kommt die Frage der Echtzeit-Verhaltensanalyse. Statische Filter prüfen eine E-Mail zum Zeitpunkt des Eingangs. Was aber, wenn ein Link beim Eingang harmlos ist und erst Stunden später auf eine Phishing-Seite umgeleitet wird? Time-of-Click-Analyse, also die erneute Prüfung einer URL genau in dem Moment, in dem ein Nutzer draufklickt, schließt diese Lücke. Es ist kein Allheilmittel, aber es ist der Unterschied zwischen einem statischen Schnappschuss und einem dynamischen Sicherheitsnetz.
Zero Trust ist als Buzzword so weit durch den Marketingzyklon gedreht worden, dass man reflexartig die Augen verdreht, wenn man es hört. Trotzdem: Für E-Mail-Sicherheit ist das Konzept aktuell relevanter denn je – und zwar nicht als Philosophie, sondern als konkrete technische Praxis.
Zero Trust für E-Mail bedeutet: Keine Nachricht wird automatisch als vertrauenswürdig eingestuft, nur weil sie von einer intern bekannten Adresse kommt oder weil der Absender im Adressbuch steht. Jede Nachricht wird geprüft. Interne E-Mails eingeschlossen. Das klingt paranoid. Es ist realistisch.
Account Takeover – also die vollständige Übernahme eines legitimen E-Mail-Kontos durch einen Angreifer – ist eines der wachstumsstärksten Angriffsszenarien überhaupt. Wenn ein Angreifer das Konto eines Kollegen oder gar eines Vorgesetzten übernimmt, senden schädliche Mails von einer Adresse, die in jedem Whitelist-System als sicher gilt. Das Gateway sieht: interner Absender, gültige Authentifizierung. Der Angreifer sieht: freie Fahrt.
Verhaltensbasierte Analyse ist hier der entscheidende Unterschied. Wenn ein Konto, das normalerweise täglich 40 E-Mails versendet, plötzlich 4.000 E-Mails in einer Stunde versendet – oder wenn ein Mitarbeitender, der üblicherweise aus München arbeitet, sich plötzlich aus Singapur einloggt – sind das Signale, die ein signaturbasierter Filter niemals erkennt, ein verhaltensbasiertes System jedoch unmittelbar flaggt.
Identitätsbasierte Sicherheit geht noch weiter: Sie verknüpft E-Mail-Aktivität mit Login-Verhalten, Gerätezustand und Netzwerkkontext. Eine E-Mail von einer bekannten Adresse, die von einem nicht-verwalteten Gerät aus einem unbekannten Netzwerk über eine neue IP-Adresse gesendet wird, ist kein sicherer Absender – egal, was die Whitelist sagt. Das ist der Kern der Zero-Trust-Logik, auf E-Mail-Sicherheit angewandt.
Für Unternehmen, die das operativ umsetzen wollen, bedeutet das: Identitätsprovider (IdP) und E-Mail-Sicherheitssystem müssen miteinander sprechen. Isolierte Systeme, die keine gemeinsamen Kontextsignale austauschen, produzieren Sicherheitslücken durch ihre eigene Fragmentierung.
Wer den Begriff „Phishing-Abwehr“ hört und nicht unmittelbar an DMARC denkt, hat ein Problem. DMARC – Domain-based Message Authentication, Reporting and Conformance – ist seit Jahren verfügbar, wird aber erschreckend schlecht implementiert. Das Pikante daran: Die Technik ist nicht neu, nicht teuer und nicht schwer zu verstehen. Sie wird trotzdem stiefmütterlich behandelt.
SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) sind die technischen Vorläufer. SPF definiert, welche Server berechtigt sind, E-Mails für eine Domain zu versenden. DKIM signiert E-Mails kryptografisch, sodass Manipulationen auf dem Übertragungsweg erkennbar werden. DMARC verbindet beide Mechanismen und definiert, was mit E-Mails passieren soll, die die Prüfungen nicht bestehen: zustellen, in Quarantäne schieben oder ablehnen.
Das Problem: Viele Domains betreiben DMARC mit der Policy p=none – also im reinen Monitoring-Modus, ohne tatsächliche Durchsetzung. Das ist so, als würde man eine Alarmanlage installieren und den Alarm stumm schalten. Man sieht die Einbrüche in den Logs. Man hält sie nicht auf.
Der richtige Ansatz ist p=reject: E-Mails, die SPF und DKIM nicht bestehen, werden abgelehnt. Konsequent. Nicht in Quarantäne verschoben, wo sie ein Nutzer vielleicht doch noch öffnet. Abgelehnt. PowerDMARC dokumentiert ausführlich, warum die vollständige Enforcement-Policy der einzig sinnvolle Endpunkt einer DMARC-Konfiguration ist – und warum der Weg dorthin schrittweise, aber zielgerichtet beschritten werden sollte.
Seit der EU-Richtlinie NIS-2 und dem PCI DSS 4.0-Standard ist E-Mail-Authentifizierung in bestimmten Sektoren nicht mehr optional, sondern regulatorisch verpflichtend. Das sollte eigentlich ausreichen, um die Implementierungsrate zu heben. Tut es oft nicht. Die Realität in vielen mittelständischen Unternehmen ist: SPF existiert mit zu vielen Include-Verweisen, die den DNS-Lookup-Limit sprengen, DKIM ist auf Unterdomains vergessen worden und DMARC steht auf p=none seit dem Tag, an dem irgendein Consultant es konfiguriert und dann nie wieder angefasst hat.
BIMI – Brand Indicators for Message Identification – ist der nächste logische Schritt. Das Protokoll erlaubt es, ein verifiziertes Logo neben dem Absendernamen in unterstützenden Mailclients anzuzeigen. Das ist nicht nur eine Branding-Spielerei: Es gibt Nutzenden einen visuellen Hinweis auf authentifizierte Absender. Ein Phishing-Versuch ohne gültiges BIMI-Logo sieht plötzlich verdächtig leer aus – zumindest für diejenigen, die wissen, was das bedeutet. Schulung bleibt also unverzichtbar, selbst bei technisch perfekter Implementierung.
Ein Aspekt, der in der Sicherheitsdiskussion regelmäßig untergeht: Der Mail-Client selbst ist oft das schwächste Glied. Das BSI hat in einer Studie zu E-Mail-Clients festgestellt, dass Security-by-Default in vielen gängigen Anwendungen fehlt. Sicherheitsrelevante Einstellungen sind entweder nicht aktiviert, nicht erklärt oder hinter Menüs vergraben, die ein Standardnutzender nie aufruft.
Konkretes Beispiel: Viele Mail-Clients laden externe Inhalte – Bilder, Tracking-Pixel, externe Ressourcen – automatisch beim Öffnen einer E-Mail. Das ist für Angreifer ein Informationsgewinn: Sie erfahren, dass die Adresse aktiv ist, welcher Client verwendet wird, wann die Mail geöffnet wurde und von welcher IP-Adresse. Das klingt harmlos. Es ist es nicht – es ist wertvolle Rekognoszierung für gezieltere Angriffe.
HTML-Rendering in Mail-Clients ist ein weiteres Feld. Vollständiges HTML-Rendering mit CSS und JavaScript-Unterstützung schafft Oberfläche für Angriffe, die rein textbasierte Clients nicht betreffen. Phishing-Mails nutzen CSS-Tricks, um sicherheitsrelevante Warnungen visuell zu verstecken oder um Links so zu formatieren, dass der angezeigte Text und die tatsächliche Ziel-URL maximal voneinander abweichen.
Manuelle Anpassungen sind möglich, werden aber selten vorgenommen. Das BSI empfiehlt explizit, automatisches Laden externer Inhalte zu deaktivieren, HTML-Rendering einzuschränken und Makros in Anhängen standardmäßig zu blockieren. Das sind keine exotischen Härtungsmaßnahmen – das ist sicherheitshygienisches Basisniveau, das in vielen Organisationen schlicht nicht umgesetzt wird.
Meine persönliche Einschätzung: Die Tatsache, dass das BSI diese Empfehlungen 2025 noch explizit aussprechen muss, sagt mehr über den Zustand der Sicherheitskultur in deutschen Unternehmen aus als jede Statistik über Angriffsvolumina. Nicht weil die IT-Teams es nicht wissen. Sondern weil die organisatorische Priorität, diese Einstellungen flächendeckend durchzusetzen, fehlt.
Moderne Phishing-Kampagnen sind selten einkanalig. E-Mail ist der Türöffner – die eigentliche Attacke findet woanders statt. Hybride Angriffe kombinieren E-Mail-Phishing mit Social-Media-Kontaktaufnahme, gefälschten SMS (Smishing), Telefonanrufen (Vishing) und manipulierten Web-Präsenzen, die Schritt für Schritt Vertrauen aufbauen, bevor sie zuschlagen.
Ein typisches Angriffsszenario aus aktuellen Incident-Response-Berichten sieht so aus: Zunächst landet eine E-Mail beim Zielpersonen, die einen Link zu einem vermeintlichen Dokument enthält. Der Link führt zu einer legitim aussehenden SharePoint- oder OneDrive-Seite – manchmal tatsächlich auf der Microsoft-Infrastruktur gehostet, was alle URL-Reputation-Filter aushebelt. Das Dokument fordert zur Anmeldung auf. Die eingegebenen Credentials landen beim Angreifer. Parallel dazu hat der Angreifer auf LinkedIn bereits Kontakt zur Zielperson aufgebaut, um den Kontext der E-Mail glaubwürdig zu machen.
Das ist kein APT (Advanced Persistent Threat) staatlicher Akteure. Das sind zunehmend auch kriminelle Gruppen mit professioneller Infrastruktur, die auf Phishing-as-a-Service-Plattformen zurückgreifen können. Evilginx, Modlishka, Caffeine – die Namen der Phishing-Toolkits klingen harmlos. Ihre Wirkung ist es nicht. Sie ermöglichen Real-Time-Proxy-Angriffe, die selbst Multi-Faktor-Authentifizierung (MFA) umgehen können, weil sie Session-Cookies abgreifen, statt Passwörter zu stehlen.
Wenig überraschend ist, dass diese Entwicklung die Diskussion um MFA-Resistenz neu entfacht hat. Klassisches TOTP-basiertes MFA schützt nicht mehr vollständig gegen Real-Time-Phishing. FIDO2/Passkeys, die phishing-resistent sind, weil sie kryptografisch an die Ursprungsdomain gebunden sind, werden zunehmend als einziger verlässlicher zweiter Faktor gegen diese Angriffsklasse positioniert.
Für die Phishing-Abwehr bedeutet das: Der Schutz muss kanalübergreifend denken. Eine E-Mail-Sicherheitslösung, die nur E-Mails analysiert, hat den Angriff nicht verstanden.
Jede Sicherheitsdiskussion mündet irgendwann in der Aussage „Der Mensch ist das schwächste Glied.“ Das stimmt. Und es ist gleichzeitig der bequemste Ausweg aus einer komplexen Problemanalyse. Ja, Menschen klicken auf Phishing-Links. Aber nicht, weil sie dumm sind. Sondern weil Angriffe gut gemacht sind, weil Arbeitsalltag stressig ist und weil kognitive Sicherheitslast irgendwann zu Erschöpfung führt.
Security-Awareness-Trainings sind notwendig. Aber sie reichen alleine nicht. Studien zeigen konsistent, dass Mitarbeitende, die regelmäßig Phishing-Simulationen ausgesetzt werden, sich im Laufe der Zeit zwar verbessern – aber auch bei intensivem Training eine Restquote von fünf bis zehn Prozent Klickrate behalten. Bei einem Unternehmen mit 500 Mitarbeitenden bedeutet das: Zwischen 25 und 50 Personen klicken auf die simulierte Phishing-Mail. In einer echten Kampagne reicht einer. Semantisch passt dazu unser Hintergrund KI-gestützte Cybersicherheit: Wie maschinelles Lernen Unternehmen vor Angriffen schützt.
Was funktioniert besser als reine Trainingsmaßnahmen? Erstens: Kontext-sensitive Warnungen direkt im Mail-Client, die in dem Moment erscheinen, in dem ein Nutzer auf einen potenziell gefährlichen Link zeigt. Nicht als generelle „Sei vorsichtig!“-Banner, die nach drei Tagen ignoriert werden. Sondern als spezifische, erklärende Hinweise: „Dieser Link leitet auf eine Domain weiter, die vor 48 Stunden registriert wurde.“ Das ist verhaltenspsychologisch wirksamer als abstrakte Schulung.
Zweitens: Einfache Meldewege. Wenn das Melden einer verdächtigen E-Mail sechs Klicks und eine Erklärung an die IT-Abteilung erfordert, meldet niemand etwas. Wenn es ein Ein-Klick-Plugin im Mail-Client gibt, das die Mail direkt an das SOC-Team weiterleitet und analysiert, steigt die Melderate messbar. Menschliche Intelligenz als Sensor-Netzwerk ist eines der unterschätzten Assets in der Bedrohungserkennung.
Drittens: Fehlerkultur. Organisationen, in denen das Klicken auf eine Phishing-Mail mit Konsequenzen oder Beschämung verbunden ist, trainieren Mitarbeitende dazu, Vorfälle zu verbergen. Das ist das Gegenteil von sinnvoll. Offene Meldung von Fehlern – verbunden mit schneller, nicht-wertender Reaktion – ermöglicht frühzeitige Eindämmung und organisationales Lernen.
Betrachten wir ein konkretes Phishing-Szenario, wie es heute in Incident-Response-Einsätzen vorkommt. Ein Mitarbeitender eines mittelständischen Maschinenbauunternehmens erhält eine E-Mail, die aussieht wie eine Benachrichtigung vom internen IT-Support: „Ihre Mailbox-Kapazität ist erschöpft. Bitte melden Sie sich an, um Ihr Konto zu verwalten.“
Die E-Mail besteht mehrere technische Prüfungen: Die Absender-Domain ist leicht abgewandelt (support@firmename-it.de statt firmname.de), aber das fällt im Vorschaufenster nicht auf. DMARC ist nicht auf p=reject gesetzt, also passiert die Mail das Gateway. Der enthaltene Link führt zu einer Seite auf einer legitimen Cloud-Plattform – die URL-Reputation-Prüfung findet nichts Auffälliges.
Die Landingpage ist eine pixel-genaue Kopie der internen Login-Seite, mit gültigem HTTPS-Zertifikat und einer Domain, die vier Tage zuvor registriert wurde. Der Mitarbeitende gibt Benutzername und Passwort ein. Seite zeigt eine Erfolgsmeldung. Credentials sind beim Angreifer.
Was hätte diesen Angriff gestoppt? Ein auf p=reject gesetztes DMARC hätte die leicht abgewandelte Absender-Domain möglicherweise geblockt – wenn die Konfiguration korrekt war. Eine Time-of-Click-Analyse hätte die junge Domain als Risikofaktor identifiziert. Browser-Isolierung hätte verhindert, dass das Credential-Formular tatsächlich Daten überträgt. Ein Kontext-sensitiver Warnhinweis hätte den Mitarbeitenden auf die Domain-Abwandlung aufmerksam gemacht. Jede dieser Maßnahmen einzeln: unzuverlässig. Alle zusammen: erheblich robuster.
Das ist der Kern des mehrschichtigen Ansatzes. Keine Einzelmaßnahme schützt vollständig. Mehrere Schichten zusammen erhöhen die Wahrscheinlichkeit, dass der Angriff irgendwo abgefangen wird – und reduzieren das Schadenspotenzial, wenn er doch durchkommt.
Theorie ist gut. Checklisten sind besser. Hier sind die Maßnahmen, die tatsächlich den Unterschied machen – nicht als Marketing-Wunschliste, sondern als priorisierte, umsetzbare Schritte.
Eine der meistgestellten Fragen in diesem Themenfeld lautet: Reicht der Schutz, den Microsoft 365 und Google Workspace mitbringen, nicht aus? Immerhin investieren beide Konzerne erheblich in ihre Sicherheitsinfrastruktur.
Die ehrliche Antwort: Sie bieten eine gute Basis. Aber eine Basis ist keine vollständige Architektur. Microsoft Defender for Office 365 und Googles Advanced Phishing and Malware Protection decken viele gängige Angriffsvektoren ab. Sie haben aber Grenzen: Bei Zero-Day-Phishing-URLs, bei gezielten BEC-Angriffen, die auf interne Kommunikationsmuster abgestimmt sind, und bei Quishing-Angriffen mit QR-Codes zeigen integrierte Lösungen systematische Schwächen.
Hinzu kommt das Konfigurationsproblem. Die integrierten Schutzfunktionen sind oft nicht in ihrer stärksten Form aktiviert. Standard-Anti-Phishing-Policies sind konservativer konfiguriert, als sie sein sollten – um False-Positive-Raten zu minimieren. Wer sich die Mühe macht, Microsofts Anti-Phishing-Policy-Dokumentation durchzuarbeiten, wird feststellen, dass die härtesten Schutzoptionen manuell aktiviert werden müssen und erhebliches Konfigurations-Know-how voraussetzen.
Zusätzliche spezialisierte Lösungen – insbesondere für Endpoint-Sicherheit, Verhaltensanalyse und Identitätsschutz – sind in den meisten Unternehmensumgebungen sinnvoll. Nicht als Ersatz für die integrierten Funktionen, sondern als Ergänzung, die die Lücken schließt, die die integrierten Lösungen strukturell offen lassen.
Der globale E-Mail-Sicherheitsmarkt wächst stark – und mit ihm die Anzahl der Anbieter, die alle behaupten, das Phishing-Problem gelöst zu haben. Die Orientierung fällt schwer. Ein paar Anhaltspunkte für die Evaluierung.
Erstens: Technologieschichten prüfen. Eine Lösung, die ausschließlich auf Signaturen setzt, ist 2025 kein ernsthafter Kandidat mehr. KI-basierte Anomalie-Erkennung, verhaltensbasierte Analyse und Echtzeit-URL-Bewertung sollten als Features, nicht als Add-ons positioniert sein.
Zweitens: Integrationsfähigkeit bewerten. Eine E-Mail-Sicherheitslösung, die nicht mit dem Identitätsprovider, dem Endpoint-Management und dem SIEM spricht, produziert blinde Flecken durch ihre eigene Isoliertheit. API-Schnittstellen und vorgefertigte Integrationen sind Pflicht, nicht Kür.
Drittens: Benutzer-Transparenz einfordern. Lösungen, die E-Mails stillschweigend im Hintergrund analysieren, ohne dem Nutzenden kontext-sensitive Informationen zu liefern, verspielen das menschliche Sensor-Potenzial. Die besten Lösungen verbinden maschinelle Analyse mit verständlichen, handlungsorientierten Hinweisen für den Menschen am Endpoint.
Viertens: Reporting und Messbarkeit. Wie viele Phishing-Versuche wurden abgefangen? Welche Vektoren überwiegen? Welche Nutzendengruppen sind am häufigsten betroffen? Ohne Telemetrie kein Lerneffekt, ohne Lerneffekt keine Verbesserung.
Meine persönliche Meinung dazu: Unternehmen, die ihre E-Mail-Sicherheitslösung zuletzt vor drei Jahren evaluiert haben, haben wahrscheinlich ein Problem – nicht weil ihre Lösung damals schlecht war, sondern weil sich die Angriffstechnik seit damals fundamental verändert hat. Eine Lösung, die für 2022 gebaut wurde, ist nicht für 2025 ausreichend.
E-Mail-Sicherheit ist längst kein rein technisches Thema mehr. Sie ist Compliance-Thema, Haftungsthema und – in bestimmten Sektoren – inzwischen gesetzliches Muss.
NIS-2, die EU-Richtlinie zur Netzwerk- und Informationssicherheit, verpflichtet Unternehmen in kritischen Infrastrukturen und weiteren definierten Sektoren zu konkreten technischen und organisatorischen Maßnahmen. Dazu gehören explizit: Maßnahmen zur E-Mail-Sicherheit, Authentifizierungsverfahren und Incident-Response-Fähigkeiten. Unternehmen, die NIS-2 unterliegen, haben hier keine Wahl mehr.
Auch PCI DSS 4.0 – der Sicherheitsstandard für die Zahlungskartenbranche – enthält explizite Anforderungen an E-Mail-Authentifizierung. DMARC-Implementierung ist hier dokumentationspflichtig. Das trifft alle Unternehmen, die Zahlungsdaten verarbeiten – also erheblich mehr als nur klassische Finanzdienstleister.
Die DSGVO kommt durch die Hintertür: Ein erfolgreicher Phishing-Angriff, der zur Kompromittierung personenbezogener Daten führt, ist meldepflichtig. Die Frage, ob das Unternehmen angemessene technische und organisatorische Maßnahmen getroffen hat, wird von Aufsichtsbehörden zunehmend kritisch gestellt. Unzureichende E-Mail-Sicherheit kann hier direkt zu Bußgeldern führen.
Brisant ist die Gemengelage besonders für Unternehmen, die mehreren Regelwerken gleichzeitig unterliegen. NIS-2-Pflichten, DSGVO-Anforderungen und branchenspezifische Standards wie PCI DSS oder KRITIS-Regulierungen überlagern sich und schaffen einen komplexen Compliance-Teppich, der ohne systematisches Vorgehen schnell zu Lücken führt.
Die Richtung ist klar: Phishing-Abwehr wird noch weiter aus dem Postfach herauswachsen. Der Trend zeigt hin zu nativem Endpoint-Schutz, der E-Mail, Browser, Identität und Gerätekontext in Echtzeit zusammenführt. Kanalübergreifende Analyse – E-Mail, Collaboration-Tools, Social Media – wird zum Standard statt zur Ausnahme.
KI wird auf beiden Seiten weiter an Bedeutung gewinnen. Das Wettrüsten zwischen angreifender und verteidigender KI ist kein metaphorisches Bild – es ist der aktuelle Zustand des Feldes. Verteidiger, die ausschließlich auf traditionelle Methoden setzen, werden strukturell benachteiligt sein. Nicht weil KI ein Allheilmittel ist, sondern weil manuell kuratierte Signaturen-Systeme schlicht nicht schnell genug auf neue Angriffsmuster reagieren können.
Phishing-resistente Authentifizierung – FIDO2, Passkeys, hardwaregebundene Credentials – wird sich mittelfristig als Standard für kritische Konten durchsetzen. Der Druck kommt aus mehreren Richtungen gleichzeitig: regulatorisch, versicherungstechnisch (Cyber-Policen stellen zunehmend MFA-Anforderungen) und aus der schieren Notwendigkeit, da klassisches MFA gegen Real-Time-Phishing nicht mehr ausreicht.
Und der Faktor Mensch? Verschwindet nicht. Aber seine Rolle verschiebt sich: weg vom letzten Verteidigungswall, der er nie sein sollte, hin zum intelligenten Sensor im Netzwerk – unterstützt von Technik, die ihm den richtigen Kontext liefert, und einer Organisationskultur, die Meldung belohnt statt Klicken bestraft.
Täglich 3,4 Milliarden schädliche E-Mails. Eine Angriffsfläche, die sich vom Postfach auf jeden Browser, jeden Endpunkt und jede Identität ausgedehnt hat. KI-generierte Phishing-Mails, die klassische Filter systematisch umgehen. Und eine Verteidigungslandschaft, die – wenn sie ehrlich ist – zugibt: Das Postfach war nie der richtige Ort, um diese Bedrohung aufzuhalten.
E-Mail-Sicherheit, die 2025 noch am Gateway endet, ist keine Sicherheit. Sie ist ein dokumentiertes Versäumnis mit absehbaren Konsequenzen. Die Technologie für mehrschichtige, endpunktbasierte, identitätsbewusste Phishing-Abwehr ist verfügbar. Die regulatorischen Anforderungen sind formuliert. Die Angriffsstatistiken sind eindeutig.
Die Frage, die bleibt, ist nicht technischer Natur: Wann treffen Sicherheitsverantwortliche die Entscheidung, die Abwehr dort aufzubauen, wo Phishing tatsächlich Schaden anrichtet – und hören auf zu warten, bis der nächste Incident die Diskussion erzwingt?
