[datensicherheit.de, 22.08.2025] Da in der digitalen Welt über den Kommunikationskanal E-Mail nahezu alle Prozesse zusammenlaufen, wurde zum „E-Mail-Sicherheitsjahr 2025“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem eco – Verband der Internetwirtschaft e.V. und dem Digitalverband Bitkom eine Aktionskampagne zur Verbesserung der E-Mail-Sicherheit in Deutschland ins Leben gerufen. Nun veröffentlichen diese Initiatoren erstmals eine „Hall of Fame der E-Mail-Sicherheit“: Damit sollen demnach rund 150 Unternehmen ausgezeichnet werden, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen und so die E-Mail-Kommunikation in Deutschland messbar sicherer machen – sowohl für Organisationen, als auch für Verbraucher.

In der „Hall of Fame“ gelistete Unternehmen dazu verpflichtet, Technische Richtlinien (TR) des BSI umzusetzen

Die in dieser „Hall of Fame“ gelisteten Unternehmen hätten sich dazu verpflichtet, zwei Technische Richtlinien (TR) des BSI und damit zentrale Schutzmechanismen umzusetzen oder aktiv auf deren Implementierung hinzuarbeiten:

• „In den Technischen Richtlinien TR-03108 und TR-03182 legt das BSI Kriterien für den sicheren Transport von E-Mails und die sichere Authentifizierung fest. Erstere sorgt dafür, dass E-Mails auf dem Weg zum Server sowie zwischen Servern verschlüsselt werden.“ Dies erschwere es Unbefugten, E-Mail-Nachrichten zu lesen oder zu verändern.

Zweitere bewirke, dass E-Mail-Programme u.a. erkennen, „welcher Absender eine E-Mail geschickt hat und ob dessen Adresse ggf. gefälscht ist“. Dies verhindere, dass Kriminelle sich als jemand anderes ausgeben.

Foto: BMI, Hennig Schacht

Claudia Plattner zum „E-Mail-Sicherheitsjahr 2025“: Gemeinsam machen wir den E-Mail-Verkehr in Deutschland in der Fläche sicherer!

Gemeinsam soll E-Mail-Verkehr in Deutschland in der Fläche sicherer gemacht werden

Die BSI-Präsidentin, Claudia Plattner, betont: „Als Cybersicherheitsbehörde Deutschlands ist es unser Anspruch, die Bürgerinnen und Bürger nicht nur für die Gefahren im Netz zu sensibilisieren, sondern sie aktiv zu schützen. Das leistet das ,E-Mail-Sicherheitsjahr’: Gemeinsam machen wir den E-Mail-Verkehr in Deutschland in der Fläche sicherer!“

Dazu hätten sie Unternehmen, die E-Mail-Infrastruktur betreiben oder anbieten, dazu gewonnen, ihre Technischen Richtlinien zum Sicheren E-Mail-Transport und E-Mail-Authentifizierung umzusetzen – bei sich selbst oder für andere, welche die Infrastruktur nutzen.

Foto: eco

Prof. Dr. (TU NN) Dipl.-Ing. Norbert Pohlmann: Sichere E-Mail-Kommunikation ist ein zentraler Baustein für das Vertrauen in die Nutzung digitaler Dienste!

„Hall of Fame“ würdigt genau jenes Engagement, welches der eco mit Nachdruck unterstützt

Prof. Dr. Norbert Pohlmann, Vorstand „IT-Sicherheit“ beim eco, kommentiert: „Sichere E-Mail-Kommunikation ist ein zentraler Baustein für das Vertrauen in die Nutzung digitaler Dienste!“

Die Unternehmen, welche sich jetzt engagierten, trügen nicht nur zur Stärkung der eigenen Marke bei – sie leisteten einen wichtigen Beitrag zum Schutz der Verbraucher. „Die ,Hall of Fame’ würdigt genau dieses Engagement, das wir als eco mit Nachdruck unterstützen.“

Anbieter, welche E-Mail-Verkehr ermöglichen, tragen große Verantwortung für digitale Kommunikation

Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, führt aus: „Die Anbieter, die jeden Tag unseren E-Mail-Verkehr sicherstellen, tragen eine große Verantwortung für die digitale Kommunikation. Nur wenn E-Mails wirksam abgesichert sind, sind Geschäftsprozesse sowie Kundendaten geschützt und wird das Vertrauen in digitale Dienste gestärkt.“

Sicherheit entstehe aber nicht nur durch die beste digitale Infrastruktur, sondern brauche auch gezielte Aufklärung und Sensibilisierung. Das „E-Mail-Sicherheitsjahr“ leiste deshalb nicht nur einen Beitrag zur technischen Absicherung von E-Mails, sondern vermittele auch Unternehmen sowie Bürgern das Wissen, sich wirksam zu schützen.

E-Mail-Systeme so absichern, dass Manipulationen erkannt, abgewehrt oder bestenfalls sogar unmöglich werden

Caroline Krohn, Fachbereichsleiterin für „Digitalen Verbraucherschutz“ im BSI und Leiterin dieser Aktionskampagne, unterstreicht: „Organisationen, die sich an unserer Initiative beteiligen, setzen nicht nur ein starkes Signal, sondern bewirken auch ganz direkt etwas:

Sie übernehmen Verantwortung für die Integrität, Vertraulichkeit und Authentizität ihrer digitalen Kommunikation, indem sie ihre E-Mail-Systeme so absichern, dass Manipulationen erkannt, abgewehrt oder bestenfalls gar nicht erst möglich gemacht werden.“

E-Mail-Konto als „digitales Zuhause“ der allermeisten Bürger

Beruflich wie privat sei das persönliche E-Mail-Konto quasi das „digitale Zuhause“ der allermeisten Bürger in Deutschland – und damit eben auch eine attraktive Zielscheibe für Cyberkriminelle. Den meisten sei nicht bewusst, dass Cyberkriminelle in der Lage seien, E-Mail-Verkehr einfach mitzulesen.

Unsichere E-Mails seien ein klassisches Einfallstor für Spionage- und Sabotageaktivitäten: Nutzer fielen häufig Betrugsmaschen wie Phishing und Identitätsdiebstahl zum Opfer. Daher wende sich das BSI im Rahmen des „E-Mail-Sicherheitsjahres“ zusätzlich mit einer multimedialen „Awareness“-Kampagne an Verbraucher.

Zahlreiche BSI-Angebote zur Stärkung der Sicherheit des E-Mail-Verkehrs

Mit dem „E-Mail-Checker“, einem neuen Online-Angebot des BSI, könnten Nutzer prüfen, ob ihr E-Mail-Anbieter die Kriterien der Technischen Richtlinien TR-03108 und TR-03182 einhält und E-Mails so vor unberechtigtem Mitlesen und Manipulation schützt. Der „Wegweiser Kompakt: 8 Tipps für mehr E-Mail-Sicherheit“ gebe zudem Handlungsempfehlungen für den digitalen Alltag – von der Absicherung des eigenen E-Mail-Kontos bis zum Schutz vor Phishing-Mails.

• Darüber hinaus erläutere eine von BSI und Polizei gemeinsam veröffentlichte „Checkliste für den Ernstfall“ die wichtigsten Schritte, sollten Unbefugte ein E-Mail-Konto übernehmen.

Das Informationsangebot für Verbraucher soll am 23. August 2025 auf der BSI-Website „einfachabsichern.de“ veröffentlicht werden. Beim „Tag der offenen Tür der Bundesregierung“ am 23. und 24. August 2025 in Berlin werde das BSI zudem Verbraucher an seinem Stand im Bundesministerium des Innern (BMI) beraten.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Deine E-Mails, dein digitales Zuhause / E-Mail-Sicherheitsjahr 2025

Bundesamt für Sicherheit in der Informationstechnik
Hall of Fame: Diese Unternehmen, Verbände und Akteure tragen einen Anteil an der Verbesserung des Sicherheitsniveaus der E-Mail in der Cybernation Deutschland

Bundesamt für Sicherheit in der Informationstechnik
8 Tipps für mehr E-Mail-Sicherheit

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03108 Sicherer E-Mail-Transport

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03182 E-Mail-Authentifizierung

Bundesamt für Sicherheit in der Informationstechnik
E-Mail-Check des BSI / Überprüfung des E-Mail-Anbieters

Bundesamt für Sicherheit in der Informationstechnik
Notfallplan gehacktes E-Mail-Konto – Hilfe für Betroffene

Bundesamt für Sicherheit in der Informationstechnik
Wenn ich du wäre – würde ich mich #einfachaBSIchern

Bundesamt für Sicherheit in der Informationstechnik, 30.06.2023
Claudia Plattner neue BSI-Präsidentin

NP
Norbert Pohlmann

bitkom
Susanne Dehmel – Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

Dialog für Cybersicherheit
Dialogteam des BSI

datensicherheit.de, 25.07.2025
Digitale Resilienz erfordert auch E-Mail-Sicherheit: Bewerbungsphase für BSI Hall of Fame läuft / Mit dem „E-Mail-Sicherheitsjahr 2025“ möchten das BSI, der eco sowie der Bitkom ein starkes Zeichen für eine sichere digitale Kommunikation setzen

[datensicherheit.de, 25.07.2025] Auch E-Mail-Sicherheit ist ein zentrales Kriterium für Digitale Resilienz – deshalb unterstützt der eco – Verband der Internetwirtschaft e.V. das „E-Mail-Sicherheitsjahr 2025“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Eine neue „BSI Hall of Fame“ soll zudem hohe Sicherheitsstandards explizit sichtbar machen und Unternehmen würdigen, welche mit gutem Beispiel vorangehen und Verantwortung für sichere digitale Kommunikation übernehmen.

Foto: eco

Prof. Dr. (TU NN) Dipl.-Ing. Norbert Pohlmann: Sichere E-Mail-Kommunikation ist eine Grundvoraussetzung für Vertrauen in die digitale Gesellschaft!

Konsequente E-Mail-Sicherheit soll gewürdigt werden

E-Mail-Sicherheit beginnt beim Versender – und soll nun ausgezeichnet werden. Mit dem „E-Mail-Sicherheitsjahr 2025“ möchten das BSI, der eco sowie der Bitkom ein starkes Zeichen für eine sichere digitale Kommunikation setzen.

Ziel dieser Initiative ist es demnach, Digitale Resilienz auch im E-Mail-Verkehr zu stärken und Anbieter sichtbar zu machen, welche höchste Sicherheitsstandards umsetzen.

„BSI Hall of Fame“ für Vorbilder der E-Mail-Sicherheit

Ein zentrales Element sei dann die neue „Hall of Fame für E-Mail-Sicherheit“. Sie würdige Unternehmen, „die sich klar zu modernen Sicherheitsstandards bekennen und so auch einen Beitrag zum Verbraucherschutz leisten“.

Die offizielle Präsentation soll am 23. August 2025 im Rahmen des „Tags der offenen Tür der Bundesregierung“ im Bundesministerium des Innern (BMI) erfolgen – eine Gelegenheit für zusätzliche Aufmerksamkeit und mediale Sichtbarkeit.

Betreiber von E-Mail-Infrastrukturen leisten zentralen Beitrag zur Stabilität und Integrität digitaler Kommunikation

„Sichere E-Mail-Kommunikation ist eine Grundvoraussetzung für Vertrauen in die digitale Gesellschaft. Betreiber von E-Mail-Infrastrukturen – seien es Hosting-Provider, spezialisierte E-Mail-Dienste oder Unternehmen mit eigener Mailserver-Struktur – leisten mit der konsequenten Umsetzung moderner Sicherheitsstandards einen zentralen Beitrag zur Stabilität und Integrität der digitalen Kommunikation“, unterstreicht Prof. Dr. Norbert Pohlmann, der eco-Vorstand für „IT-Sicherheit“.

Drei Kategorien für Verantwortung und Vorbildwirkung:

• „Goldstandard“ (TR-03108): Verpflichtung zur Umsetzung der BSI-Richtlinie inklusive DANE und DNSSEC
• „Silberstandard“ (MTA-STS): Mindestanforderung für sicheren E-Mail-Transport
• „Unterstützer“: Unternehmen, die beratend oder umsetzend anderen Organisationen helfen, diese Standards zu erreichen

ISD 2025: Herausforderungen und Chancen der E-Mail-Sicherheit im B2B-Kontext

Der eco begleitet das Projekt als Partner des BSI aktiv und unterstützt insbesondere seine Mitglieder dabei, ihre Sicherheitsmaßnahmen sichtbar zu machen. Darüber hinaus bietet eco mit den „Internet Security Days“ (ISD) am 15. und 16. September 2025 in Köln eine Plattform, um die Herausforderungen und Chancen im Bereich E-Mail-Sicherheit im B2B-Umfeld weiter zu diskutieren.

Pohlmann erläutert: „Wir wollen die Unternehmen hervorheben, die mit gutem Beispiel vorangehen und damit ein Zeichen für mehr Digitale Resilienz im B2B-Bereich setzen.“ Die Bewerbungsfrist läuft bis zum 15. August 2025 – Unternehmen, die sich einen Platz in der „BSI Hall of Fame“ sichern möchten, können sich formlos per E-Mail an „E-Mail-Sicherheitsjahr [at] bsi [dot] bund [dot] de“ bewerben.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 15.07.2025
Jetzt teilnehmen: E-Mail-Sicherheitsjahr 2025 für Unternehmen

Bundesamt für Sicherheit in der Informationstechnik
Danksagung / Hall of Fame

eco VERBAND DER INTERNETWIRTSCHAFT
ISD INTERNET SECURITY DAYS 2025 /15. & 16. September 2025 @ RheinEnergieSTADION / Die Fachkonferenz für eine starke Abwehr in der IT-Sicherheit

NP
Norbert Pohlmann

datensicherheit.de, 22.07.2025
Phishing-Simulationen: Falsche interne E-Mails erzielen bei KnowBe4-Untersuchung die meisten Klicks / Der nun vorliegende „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ unterstreicht die anhaltende Anfälligkeit von Mitarbeitern für bösartige E-Mails, welche vertraut wirken

datensicherheit.de, 13.02.2025
Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen / Sparkasse, Postbank, Telekom oder PayPal – oft werden Namen großer Unternehmen missbraucht, um in deren Namen Phishing-Mails zu versenden

datensicherheit.de, 09.01.2025
E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz / Täglich verbringen Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – höchste Zeit zum Handeln

[datensicherheit.de, 15.06.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf einen „cybereason“-Blog-Beitrag ein, welcher von einer neuen Phishing-Kampagne berichtet, deren Initiatoren es auf die Systeme und Daten europäischer Content-Kreatoren abgesehen haben. Opfer der Kampagne erhalten demnach teils stark personalisierte Phishing-E-Mails, in denen ihnen Urheberrechtsverletzungen vorgeworfen werden: „Geraten sie in Panik und klicken auf Dokumente, die angeblich weitergehende Informationen enthalten, laden sie sich – unbemerkt von ihren Sicherheitstools – die Infostealer-Malware ,Rhadamanthys’ auf ihr System.“

Foto: KnowBe4

Dr. Martin J. Krämer betont: Sämtliche Mitarbeiter müssten in die Lage versetzt werden, die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering zu erkennen!

Phishing-Mail bietet vermeintlich weiterführende Informationen über Link an

An Professionalität mangele es den Angreifern, „die vor allem in Mittel- und Osteuropa zu agieren scheinen“, nicht: „Getarnt als angebliche juristische Mitarbeiter der Rechtsabteilung eines Unternehmens versenden sie per E-Mail offiziell klingende Anschreiben an ihre Opfer, in denen sie ihnen vorwerfen, dass sie in ihrer Arbeit ein Urheberrecht des betreffenden Unternehmens verletzt hätten.“

Weiterführende Informationen seien über einen Link abrufbar. Krämer warnt: „Klicken die Content-Kreatoren auf diesen, werden sie über eine angemietete Domain auf einen Dienst wie ,Dropbox’, ,Discord’ oder ,Mediafire’ weitergeleitet. Dort befinden sich dann, in aller Regel, ein legitimer PDF-Reader, ein PDF-Dokument – zur Täuschung des Opfers – und eine bösartige ,Dynamic Link Library’ (DLL).“ Klickt das Opfer dann auf das Dokument, um es zu öffnen, nutzten die Angreifer das DLL-Ladeverhalten des legitimen PDF-Readers aus, um heimlich, verborgen vor den Sicherheitstools ihres Opfers, bösartigen Code zur Ausführung zu bringen – in diesem Fall die Infostealer-Malware „Rhadamanthys“ auf dem Rechner ihres Opfers zu installieren.

Phishing-Opfer Freelancer als Einfallstor zu ganzen Unternehmensnetzwerken

„Rhadamanthys“ ermögliche es ihnen dann, unterschiedliche Arten von gespeicherten Anmeldeinformationen und sensible Daten zu sammeln und aus dem System ihres Opfers zu exfiltrieren – „ohne, dass dieses hiervon etwas mitbekommt“. Ziel dieser Kampagne seien aber nicht allein die Daten der Content-Kreatoren:

„Auch die Daten der Unternehmen, die deren Dienste als Freelancer in Anspruch nehmen, liegen im Fokus.“ Häufig erhielten Content-Kreatoren als Externe für ihre Arbeit Zugang zu Unternehmensnetzwerken oder Zugangsdaten. „Das wissen die Angreifer!“ Gelingt es ihnen, die Systeme der Freelancer zu kompromittieren, könnten sie deren Konten als Einstieg nutzen, um tief in die Systeme der Unternehmen vorzustoßen – unentdeckt von deren Sicherheitstools und -Teams.

Phishing und Spear Phishing Ansatzpunkte mit größten Erfolgschancen für Cyberkriminelle

Diese aufgedeckte Kampagne zeige einmal mehr, wie wichtig es ist, dass Unternehmen sämtliche Mitarbeiter – auch die Externen – in ihre Maßnahmen zur Anhebung des Sicherheitsbewusstseins mit einbeziehen. Phishing und sogenanntes Spear Phishing seien nach wie vor die Ansatzpunkte mit den größten Erfolgschancen für Cyberkriminelle.

„Wollen Unternehmen sich effektiv vor Cyberangriffen schützen, haben sie dementsprechend hier als erstes anzusetzen“, so Krämer. Sämtliche Mitarbeiter – also auch die Externen – müssten in die Lage versetzt werden, „noch die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering zu erkennen – bevor es zu spät ist“.

Weitere Informationen zum Thema:

cybereason, Cybereason Security Services Team
Copyright Phishing Lures Leading to Rhadamanthys Stealer Now Targeting Europe

malpedia
Rhadamanthys

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

[datensicherheit.de, 07.05.2025] In der heutigen digitalen Welt verlassen sich viele Nutzer offenbar auf große Web-Plattformen wie z.B. „Google“, wenn es um Sicherheit und Vertrauenswürdigkeit geht. „Doch genau dieses Vertrauen machen sich Cyber-Kriminelle zunehmend zunutze!“, warnt Melissa Bischoping, „Head of Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme. Eine neue Methode mache nämlich aktuell dem Weltkonzern Google zu schaffen: „Täuschend echte E-Mails, die angeblich von ,no-reply [at] google [dot] com’ stammen und eine offizielle Vorladung oder dringende Benachrichtigung vortäuschen.“

Foto: Tanium

Melissa Bischoping rät zu robuster Multi-Faktor-Authentifizierung (MFA)

Cyber-kriminelle Nutzung legitim wirkender „Google“-Funktionen

Was auf den ersten Blick legitim wirkt, entpuppt sich bei genauerem Hinsehen demnach „als raffinierte Phishing-Falle“ – mit gravierenden Folgen für die Nutzer. Bischoping führt hierzu aus: „Bei diesen Angriffen werden legitim wirkende ,Google’-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen. Außerdem werden Google-Sites verwendet, um gefälschte Seiten zu hosten und Anmeldedaten zu sammeln.“

Solche E-Mails nutzten eine „OAuth“-Anwendung in Kombination mit einer kreativen „DKIM“-Umgehungslösung, um genau die Sicherheitsvorkehrungen auszuschalten, die vor dieser Art von Phishing-Versuchen schützen sollten. Was diese Taktik laut Bischoping besonders gefährlich macht, ist nicht nur die technische Raffinesse, sondern auch die gezielte Nutzung vertrauenswürdiger Dienste, um sowohl Nutzer als auch Erkennungswerkzeuge zu umgehen.

Einige Komponenten solcher Angriffe mittlerweile von Google behoben

Einige Komponenten dieses Angriffs seien zwar neu – und mittlerweile von Google behoben worden – doch Angriffe, die vertrauenswürdige Unternehmensdienste ausnutzen, sind keine Einzelfälle. Immer mehr Angreifer entschieden sich bewusst dafür, Web-Dienste mit legitimen Anwendungsfälle in Unternehmen zu missbrauchen. „Dies unterstreicht den Trend, dass Angreifer mit zunehmender Leistungsfähigkeit der Erkennungstools nach Möglichkeiten suchen, diese vollständig zu umgehen, anstatt sie mit teuren ,Exploits’ zu überlisten.“

Sie konzentrierten sich auf die „Tools“, Websites und Funktionen, welche Unternehmen in ihrer täglichen Arbeit verwenden. Indem sie sich in den normalen Datenverkehr einfügten und davon ausgingen, dass ein typischer Empfänger eine vertrauenswürdige Domain wie etwa „google.com“ nicht genauer unter die Lupe nehme, erzielten Angreifer eine hohe Erfolgsquote, ohne nennenswerte Investitionen in neue TTPs (Trusted Third Parties) tätigen zu müssen.

„Google“-Beispiel sollte Unternehmen zu mehrschichtigen Abwehrmaßnahmen inkl. Schulung der Benutzer motivieren

„Wie können Unternehmen also in Zukunft damit umgehen? Mehrschichtige Abwehrmaßnahmen und die Schulung der Benutzer sollten immer priorisiert werden!“ Schulungen zur Sensibilisierung sollten mit der Bedrohungslage Schritt halten und sowohl neue als auch weiterhin wirksame Techniken behandeln.

Bischoping rät abschließend: „Gleichzeitig sind technische Schutzmaßnahmen wie ,Link-Sandboxing’ und die Erkennung von Anomalien in heruntergeladenen Inhalten zur Suche nach Ausreißern und potenziellen Indikatoren für die frühzeitige Erkennung und Vertiefung der Verteidigungsebenen von entscheidender Bedeutung.“ Wie immer sei eine robuste Multi-Faktor-Authentifizierung (MFA) unerlässlich, da der Diebstahl und Missbrauch von Anmeldedaten auch weiterhin ein attraktives Ziel bleiben werde.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Phishing-Angriffe: Cyber-Kriminelle missbrauchen zunehmend Google Drive / KnowBe4-Forscher „Threat Labs“ haben einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 22.01.2021
Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020 / Berichte der Sicherheitsforscher des Unternehmens zeigen, dass Cyber-Kriminelle aktuell für Phishing am häufigsten den Tech-Riesen Microsoft und die Spedition DHL imitieren / Geschuldet ist dies der Zunahme von Fernzugriffen im Homeoffice und Online-Shopping.

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

[datensicherheit.de, 27.04.2025] Die elektronische Rechnung (E-Rechnung) – ab 2025 schrittweise im B2B-Bereich verpflichtend – sei „ein längst überfälliger Schritt in Richtung digitaler Effizienz“, so Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH, in seinem aktuellen Kommentar. Indes warnt er auch: „Doch in der Praxis zeigt sich: Mit der zunehmenden Digitalisierung von Geschäftsprozessen entstehen neue Angriffsflächen.“ Denn schnell sei es passiert: „Eine Rechnung wird als PDF-Datei per E-Mail an den Kunden verschickt. Doch Cyber-Kriminelle haben den Anhang manipuliert und die Kontodaten geändert. Der Kunde überweist gutgläubig den Rechnungsbetrag auf das falsche Konto…“

Foto: SEPPmail Deutschland GmbH

Günter Esch: Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken!

Geschäftlich relevante Dokumente wie E-Rechnungen brauchen mehr als Transportverschlüsselung über TLS

In vielen Organisationen gelte Transportverschlüsselung über TLS noch immer als ausreichend. „Dabei schützt diese Methode lediglich den Übertragungsweg zwischen den Mail-Servern – nicht jedoch den Inhalt der E-Mail selbst“, erläutert Esch.

• Sobald dann also eine Nachricht weitergeleitet, gespeichert oder auf Endgeräten geöffnet wird, ist sie unter Umständen ungeschützt.

Für rechtlich und geschäftlich relevante Dokumente wie E-Rechnungen reiche dies nicht aus. Esch betont: „Nur eine durchgehende Ende-zu-Ende-Verschlüsselung mit optionaler Signatur kann die notwendige Integrität und Vertraulichkeit sicherstellen.“

„Secure E-Mail-Gateways“ als zusätzliche Sicherheitsebene: Erkennung der E-Rechnungsformate „XRechnung“ und „ZUGFeRD“

Esch führt aus: „Eine zentrale Rolle bei der Absicherung des E-Mail-Verkehrs übernehmen sogenannte Secure E-Mail-Gateways. Diese Lösungen setzen nicht erst beim Endgerät an, sondern bereits beim zentralen Mailfluss:“

• „Sie erkennen typische E-Rechnungsformate wie ,XRechnung’ oder ,ZUGFeRD’, überprüfen die Signatur der Absender-Domain mittels E-Mail-Signatur, SPF, DKIM und DMARC und ermöglichen es, unverschlüsselte oder manipulierte Nachrichten frühzeitig zu blockieren.“

Zudem könnten sie automatisch durchsetzen, dass E-Rechnungen nur an vorab definierte, gesicherte Postfächer zugestellt werden. So entsteht laut Esch ein effektiver Schutzschild gegen gängige Betrugsmuster – etwa das gezielte Austauschen von Bankverbindungen.

Compliance-Frage: E-Rechnung enthält neben Rechnungsdaten häufig auch personenbezogene Informationen

„Mit dem verstärkten regulatorischen Fokus auf Datenschutz, IT-Sicherheit und digitale Prozesse verschwimmen die Grenzen zwischen technischer Absicherung und rechtlicher Pflicht“, gibt Esch zu bedenken.

• Die E-Rechnung enthalte nicht nur Rechnungsdaten, sondern häufig auch personenbezogene Informationen, interne Referenzen und Bankverbindungen – ein attraktives Ziel für Angreifer.

„Wer diesen sensiblen Kommunikationskanal nicht absichert, riskiert mehr als einen Imageschaden.“ Datenschutzbehörden und Gerichte würden künftig noch stärker auf die Einhaltung entsprechender Schutzmaßnahmen achten.

E-Mails als zu lange unterschätztes Einfallstor beim digitalen Rechnungsaustausch

Trotz aller Portal-Lösungen bleibe die E-Mail das Rückgrat vieler digitaler Geschäftsprozesse – aber auch ein Anfälliges. „Der Fall der manipulierten Rechnung zeigt exemplarisch, wie wichtig es ist, bestehende Kommunikationswege auf ein sicheres Fundament zu stellen.“

• Dabei gehe es nicht nur um den Schutz vor externen Angriffen, sondern auch um die rechtliche Absicherung interner Prozesse.

Mit der Einführung der verpflichtenden E-Rechnung stehe die Wirtschaft an einem Wendepunkt: „Weg vom Briefversand und hin zur E-Mail. Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken. Unternehmen sind gut beraten, ihre E-Mail-Infrastruktur jetzt auf den Prüfstand zu stellen – und Secure E-Mail-Gateways können dabei ein zentraler Baustein einer sicheren und rechtskonformen Lösung sein!“

Weitere Informationen zum Thema:

DATEV
E-Rechnungspflicht: Gesetzliche Regelungen

IHK Darmstadt Rhein Main Neckar
Umsatzsteuer / Ab 2025 müssen alle Unternehmen E-Rechnungen empfangen

IHK München und Oberbayern
Ratgeber: Elektronische Rechnungen (E-Rechnung)

datensicherheit.de, 06.01.2025
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden / Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

[datensicherheit.de, 13.02.2025] Laut einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Umfeld des Aktionstags „Safer Internet Day“, der diesmal am 11. Februar 2025 begangen wird, ist ein digitaler Alltag ohne E-Mails für die meisten Verbraucher kaum vorstellbar. Diese Abhängigkeit könne jedoch auch Gefahren bergen – nicht nur weil das E-Mail-Postfach ein beliebtes Ziel von z.B. Phishing-Angriffen sei. Das BSI und der Deutschland sicher im Netz e.V (DsiN) möchten demnach aus diesem Grund gemeinsam darüber aufklären, wie Verbraucher E-Mails sicher nutzen können. „Zum ,Safer Internet Day’ (SID) nehmen sie Mythen rund um die Sicherheit von E-Mail-Kommunikation unter die Lupe. Der ,Safer Internet Day’ ist ein Aktionstag rund um den sicheren Umgang mit digitalen Medien.“

Passen Absendername und E-Mail-Adresse nicht zusammen, ist Vorsicht geboten!

„Bereits der Absender einer E-Mail ist vergleichsweise leicht manipulierbar!“, warnt Caroline Krohn, Fachbereichsleiterin „Digitaler Verbraucherschutz im BSI“, in ihrer Stellungnahme. Daher empfehle es sich, immer auch die vollständige E-Mail-Adresse des Absenders anzeigen zu lassen. Sie erläutert: „Passen der angezeigte Absendername und die E-Mail-Adresse nicht zusammen, ist Vorsicht geboten!“ Generell gelte: Links und Anhänge sollten nur mit Vorsicht geöffnet werden, denn auch das Gerät eines eigentlich vertrauenswürdigen Absenders könne mit einem Schadprogramm infiziert sein.

BSI und DsiN empfehlen außerdem, „den Zugriff zum eigenen E-Mail-Postfach mit einer Kombination aus starkem Passwort und Zwei-Faktor-Authentisierung zu schützen“. Gelangten Unbefugte zum Beispiel durch einen Phishing-Angriff an das Passwort, reiche dies dann nicht mehr aus, um das jeweilige Benutzerkonto zu übernehmen. Eine sichere Alternative zu Passwörtern böten außerdem sogenannte Passkeys: Da Nutzer sich dank des dann passwortlosen Verfahrens eben kein Passwort mehr merken müssten, könne dies auch nicht mehr in falsche Hände geraten.

Misstrauen geboten, wenn per E-Mail oder Telefon Weitergabe von Zugangsdaten gefordert wird!

Die DsiN-Geschäftsführerin, Isabelle Rosière, gibt zudem zu bedenken: „Phishing-Maschen werden immer geschickter: Mitunter gelingt es dabei auch, die Zwei-Faktor-Authentisierung zu umgehen. Cyber-Kriminelle erstellen etwa täuschend echt aussehende Webseiten, die bekannte Seiten imitieren.“ Wenn dann Nutzer ihr Passwort und den Einmalcode aus ihrer Authentifizierungs-App eingeben, könnten die Angreifer die Daten in Echtzeit mit lesen und auf das Benutzerkonto zugreifen. „Misstrauen ist etwa dann angebracht, wenn eine Institution per E-Mail oder am Telefon um die Weitergabe von Zugangsdaten bittet“, betont Rosière.

Von Phishing-Mails bis E-Mail-Verschlüsselung untersucht das BSI auf seiner Website bekannte Mythen rund um die Sicherheit von E-Mail-Kommunikation genauer und gibt Verbrauchern niedrigschwellige Handlungsempfehlungen zur Prävention. Auf der Website „sicher-im-netz.de“ bietet DsiN außerdem weitere Hinweise rund um E-Mail-Sicherheit von DsiN.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
E-Mail-Sicherheit: Mythen im Faktencheck

Bundesamt für Sicherheit in der Informationstechnik
Zwei-Faktor-Authentisierung / Mehr Sicherheit für Online-Konten und vernetzte Geräte

Bundesamt für Sicherheit in der Informationstechnik
Spam, Phishing & Co / So erkennen Sie gefälschte und schadhafte E-Mails

Bundesamt für Sicherheit in der Informationstechnik
Schafft die Passwörter ab?! / Anmelden ohne Passwort mit Passkey

DsiN Deutschland sicher im Netz, DsiN für Verbraucher
E-Mail und Messenger sicher nutzen / Menschen tauschen sich im Netz hauptsächlich per E-Mail und Messenger aus. Um dabei sicher zu sein, sind einige Dinge zu beachten.

DsiN Deutschland sicher im Netz, DsiN für Verbraucher
Phishing im Netz erkennen und vorbeugen / Soziale Manipulation und Phishing sind ein alltägliches Sicherheitsproblem. Das beste Mittel gegen unerwünschte Nachrichten bleibt Wachsamkeit.

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 17.01.2025] Die Check Point Software Technologies Ltd. beleuchtet in ihrer aktuellen Stellungnahme die jüngste Phishing-Kampagne, welche demnach über 7.300 Unternehmen und 40.000 Einzelpersonen weltweit betroffen hat: Besonders stark betroffen seien die USA (75%) und die Europäische Union (10%).

Abbildung: Check Point Software Technologies Inc.

WARNUNG: In dieser Phishing-E-Mail wird der Benutzer aufgefordert, die sogenannte Krypto-Währung „Bitrock“ zu benutzen

Phishing-Kampagne zielt darauf ab, Malware zu installieren oder Zugangsdaten zu stehlen

Diese jüngste Phishing-Kampagne zeige, „wie gefährlich die Imitation von Marken sein kann“. Die Angreifer verwendeten dabei kompromittierte Konten einer bekannten Reiseagentur, um gefälschte E-Mail-Angebote zu verbreiten. Diese E-Mails zielten darauf ab, Malware zu installieren oder Zugangsdaten zu stehlen. Besonders tückisch sei die Nutzung populärer Trends und bekannter Marken, um das Vertrauen der Empfänger zu gewinnen.

Ein Großteil der Nachrichten (75%) verweise auf die sogenannte Krypto-Währung „Bitrock“, während zehn Prozent auf die Handelsplattform „ApolloX“ (APX) zielten. Zusätzlich gäben sich etwa zehn bis 15 Prozent der Betrüger über E-Mail als große Einzelhandelsketten aus. Diese gezielte Ansprache steigere die Erfolgsquote der Angriffe erheblich.

Besonders in der Hochsaison erhöhte Phishing-Bedrohung

Die Auswirkungen solcher Kampagnen seien gravierend: Im Jahr 2024 seien weltweit über 1,1 Milliarden US-Dollar (1,07 Milliarden Euro) durch Betrugsfälle verloren gegangen, welche auf Marken- und Behörden-Imitationen basiert hätten.

Besonders in der Hochsaison, wie der Weihnachtszeit, steige das Risiko solcher Angriffe deutlich. Unternehmen und Einzelpersonen seien daher gut beraten, präventive Schutzmaßnahmen zu ergreifen.

Check Point gibt Sicherheits-Tipps zur Vorbereitung auf Phishing-Kampagnen

Empfehlungen von Check Point für Unternehmen:

Nutzung von Marken-Management-Tools
Implementierung von Schutzmechanismen, welche Marken-Imitationen über verschiedene Angriffsvektoren hinweg verhindern. Solche Technologien könnten gefälschte Links effektiv blockieren.

KI-gestützte Bedrohungsprävention
Einsatz fortschrittlicher E-Mail-Filter, darunter „Sandboxen“, Verhaltensanalysen und KI-basierte Bedrohungserkennung.

Domain-Monitoring und Authentifizierung
Verwendung von Protokollen, wie SPF, DKIM und DMARC, um gefälschte Absender zu identifizieren und zu blockieren.

Schulung des Sicherheitsbewusstseins
Schaffung eines kontinuierlichen Lernumfeldes, welches Angestellten ermögliche, Phishing-Versuche zu erkennen.

Phishing-Notfallplan
Entwurf eines Konzepts, um Angriffe zu minimieren und deren Auswirkungen effektiv zu begrenzen.

Empfehlungen für Einzelpersonen:

Vorsicht bei E-Mails unbekannter Absender
Prüfen Sie die Absenderadresse sorgfältig und klicken Sie nicht auf verdächtige Links!

Schutz persönlicher Informationen
Teilen Sie keine Anmeldedaten oder finanziellen Informationen per E-Mail!

Prüfung der Markenkommunikation
Kontaktieren Sie Unternehmen direkt über offizielle Kanäle, wenn Sie unsicher sind!

Meldung verdächtiger E-Mails
Leiten Sie Phishing-Versuche an Ihren Postfach-Anbieter weiter und melden Sie diese über die offiziellen Betrugskanäle der betroffenen Marke!

Weitere Informationen zum Thema:

CHECK POINT,07.01.2025
Email Security / Brand Impersonation Scam Hijacks Travel Agency Accounts

datensicherheit.de, 15.01.2025
Apple iMessage: ESET warnt vor Phishing-Falle / Neue SMS-Phishing-Methode macht Nutzer laut ESET anfällig für Online-Betrug

datensicherheit.de, 14.01.2024
Neue Angriffskampagne per E-Mail: Youtube-Influencer im Visier Cyber-Krimineller / In den Köder-E-Mails geben sich Angreifer als Mitarbeiter bekannter, angeblich an einer Kooperation interessierter Marken aus

datensicherheit.de, 09.01.2025
E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz / Täglich verbringen Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – höchste Zeit zum Handeln

[datensicherheit.de, 14.01.2024] Vor Kurzem haben Sicherheitsexperten von CloudSEK in einem Blog-Beitrag (s.u.) eine neue Angriffskampagne Cyber-Krimineller per E-Mail vorgestellt: Deren primäre Zielgruppe seien „YouTube-Influencer“. Unter Vorspiegelung falscher Tatsachen würden diese dazu verleitet, Malware zu installieren, welche es den Angreifern dann entweder ermögliche, sich Zugriff auf deren Systeme zu verschaffen oder vertrauliche Daten zu entwenden. „Um geeignete Opfer aufzuspüren, deren Daten zu extrahieren und E-Mail-Adressen zu sammeln, setzen die Angreifer Multi-Parser-Tools auf ,YouTube’ an“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Dann komme ein Browser-Automatisierungs-Tool zum Einsatz, mit dem die E-Mails über SMTP-Server via Massenversand an ihre Opfer verschickt würden.

Foto: KnowBe4

Dr. Martin J. Krämer rät zu regelmäßigen Phishing-Tests

Auch gefälschte und kompromittierte E-Mail-Adressen kommen zum Einsatz

In den E-Mails gäben sich die Angreifer als Mitarbeiter bekannter Marken aus, welche an einer Zusammenarbeit interessiert seien. Um möglichst glaubwürdig zu erscheinen, kämen hierbei auch gefälschte und kompromittierte E-Mail-Adressen zum Einsatz. Den Opfern werde für eine Werbekooperation ein lukratives Angebot, basierend auf der Anzahl ihrer Abonnenten, unterbreitet. Diese E-Mails seien überzeugend und in einem professionellen Stil gehalten.

Die Malware sei nun entweder in den Anhängen der E-Mail, in „Word“-Dokumenten, PDF- oder „Excel“-Dateien, oder in einer verlinkten ZIP-Datei auf „OneDrive“ versteckt – getarnt als Geschäftsangebot, Vertrag, oder Werbematerial. In letzterem Fall befänden sich am Ende der E-Mail ein „OneDrive“-Link für den Zugriff auf eine mit einem Passwort gesicherte Zip-Datei. „Klickt das Opfer auf den Link, wird es auf die ,OneDrive’-Seite weitergeleitet.“

Verhängnisvolle E-Mail-Anhänge

„Lädt sich ein Opfer nun die Zip-Datei herunter und extrahiert sie – oder lädt sich einen der Anhänge herunter – wird Malware auf seinem System installiert.“ Um deren Erkennung durch gängige Sicherheitsfilter und Antiviren-Lösungen zu umgehen, sei die bösartige Nutzlast dabei in zwei komprimierte Dateien eingebettet. „Sobald das Archiv extrahiert ist, wird die Malware bereitgestellt und beginnt, das System des Empfängers zu kompromittieren.“

Diese Malware sei dabei in der Regel darauf ausgelegt, dem Angreifer Fernzugriff zu gewähren oder vertrauliche Daten, wie Anmeldedaten, Finanzinformationen und Geistiges Eigentum, zu entwenden. „Gestohlene Daten, wie Browser-Anmeldeinformationen, Cookies und ,Clipboard’-Daten, werden hierbei an einen Command-and-Control-Server (C2), der sich unter Kontrolle des Angreifers befindet, weitergeleitet.“

Eingehenden E-Mails wird immer noch viel zu häufig mit zu viel Vertrauen statt dem erforderlichen Misstrauen begegnet

Hauptzielgruppe der Angriffskampagne seien sogenannte Content-Kreatoren und Online-Influencer – vor allem auf „YouTube“ operierende. Zwei Opfergruppen also, die eigentlich gut mit dem Internet, seinen derzeitigen Risiken und Gefahren vertraut sein sollten. „Der Umstand, dass Cyber-Kriminelle sich dennoch gerade diesen Personenkreis zur Zielgruppe genommen haben, lässt dementsprechend tief blicken“, kommentiert Dr. Krämer. Auch hier werde eingehenden E-Mails immer noch viel zu häufig mit zu viel Vertrauen statt dem erforderlichen Misstrauen begegnet, fielen Online-Nutzer immer noch viel zu leicht auf „Social Engineering“-Angriffe herein.

Das Beispiel der neuartigen Angriffskampagne auf „Youtube“-Influencer zeigt laut Dr. Krämer, dass „noch mehr getan“ werden müsse: „Privatpersonen müssen sich mehr über aktuelle Risiken und Gefahren des ,World Wide Web’ auf dem Laufenden halten, Unternehmen mehr tun, mehr investieren, um die Sicherheitskultur ihrer Belegschaft zu erhöhen, das Sicherheitsbewusstsein ihrer Mitarbeiter zu verbessern!“ Neben einem Mehr an Fortbildungen und Trainings würden sie dabei auch an regelmäßigeren Phishing-Tests nicht herumkommen. „Anders wird sich die stetig wachsende Gefahr erfolgreicher Phishing-, Spear Phishing- und Social Engineering-Angriffe nicht in den Griff bekommen lassen!“

Weitere Informationen zum Thema:

CloudSEK, Mayank Sahariya, 16.12.2024
How Threat Actors Exploit Brand Collaborations to Target Popular YouTube Channels

[datensicherheit.de, 09.01.2025] Die Check Point Software Technologies Ltd. erläutert in einer aktuellen Stellungnahme, wie fortschrittliche E-Mail-Sicherheitslösungen nicht nur Unternehmen helfen können, sich vor Cyber-Bedrohungen zu schützen, sondern auch die Produktivität der Mitarbeiter zu steigern und IT-Ressourcen zu optimieren. Die Auswahl der richtigen Sicherheitslösung sei dabei entscheidend. Unternehmen sollten auf Anbieter setzen, welche kontinuierlich neue Funktionen entwickelten und benutzerfreundliche Systeme anböten, um sowohl Mitarbeiter als auch IT-Teams zu entlasten.

[chck-point-pete-nicoletti.jpg]

Unangenehme Folgen schwacher E-Mail-Sicherheitsmaßnahmen

Täglich verbrächten Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – einem gleichwohl unverzichtbaren Kommunikationsmittel, welches jedoch auch eine erhebliche Schwachstelle darstelle. Schwache E-Mail-Sicherheitsmaßnahmen führten nicht nur zu einer höheren Anfälligkeit für Phishing-Angriffe und Malware, sondern auch zu:

Zeitverlust
Mitarbeiter würden durch verdächtige Nachrichten abgelenkt und müssten diese manuell melden.

Erhöhtem Risiko
Verzögerungen beim Erkennen schädlicher Nachrichten könnten zu Datenverlust oder Compliance-Verstößen führen.

Überlastung der IT
Sicherheitsabteilungen verbrächten wertvolle Zeit mit der Analyse von falschem Alarm und der Behebung von Sicherheitsvorfällen.

Bösartige E-Mails: Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhinden

„Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhindern. Es gibt über 300 Merkmale, die vor der Zustellung überprüft werden müssen, und die Mitarbeiter haben weder das Wissen noch die Fähigkeiten oder die Zeit, diese zu analysieren“, führt Pete Nicoletti, „CISO“ von Check Point Software Technologies, aus.

Er ergänzt: „Außerdem hat Ihr Sicherheitsprogramm versagt, wenn Sie bösartige E-Mails versenden oder Ihre Endpunkt-Tools nicht verhindern können, dass eine bösartige Datei von einer angeklickten URL heruntergeladen wird!“ Zudem seien Mitarbeiterschulungen bloß ein „Sicherheitstheater“ – „und wenn Sie sich darauf verlassen, dass sie eine Verteidigungslinie darstellen, sollten Sie Ihr ,Incident Response Team’ und Ihren Anwalt auf der Kurzwahl haben.“

Dringende Empfehlung zur Nutzung fortschrittlicher E-Mail-Sicherheitslösungen

Fortschrittliche E-Mail-Sicherheitslösungen nutzten Künstliche Intelligenz (KI) und Maschinelles Lernen (ML), um Bedrohungen in Echtzeit zu erkennen und unschädlich zu machen. Mit verschiedenen Funktionen, wie dem automatisierten Entfernen schädlicher Links oder dem Verschieben verdächtiger Nachrichten in Quarantäne, schützten solche Lösungen nicht nur die Organisation, sondern verbesserten auch die Effizienz der Arbeitsabläufe.

Unternehmen, welche in bewährte E-Mail-Sicherheitslösungen investierten, profitierten von:

Gesteigerter Produktivität
Mitarbeiter könnten sich auf ihre Kernaufgaben konzentrieren, ohne durch Sicherheitsrisiken abgelenkt zu werden.

Erhöhtem Schutz
KI-gestützte Systeme verhinderten das Eindringen schädlicher Inhalte.

Optimierter IT-Nutzung
Automatisierte Prozesse reduzierten den manuellen Aufwand der Sicherheits-Teams.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

datensicherheit.de, 06.09.2024
Unterschätztes Problem: Datenverluste durch fehlgeleitete E-Mails / Irrläufer legitimer E-Mails in Großbritannien die am häufigsten gemeldeten Vorfälle im Zusammenhang mit der DSGVO

[datensicherheit.de, 03.01.2025] Die zum Jahresbeginn 2025 erfolgte Einführung der sogenannten E-Rechnung markiert offensichtlich „einen bedeutenden Schritt in Richtung Digitalisierung des Rechnungswesens“ – B2b-Rechnungen sind fortan in standardisierten, maschinenlesbaren Formaten wie „XRechnung“ oder „ZUGFeRD“ zu erstellen und können dann weiterhin per E-Mail versendet werden. Harald Krekeler, Geschäftsführer des Softwarebüros Krekeler, weist in seiner aktuellen Stellungnahme darauf hin, dass diese Entwicklung jedoch auch neue Herausforderungen mit sich bringt – nunmehr insbesondere im Hinblick auf die Sicherheit der E-Mail-Kommunikation: „Die E-Rechnung ermöglicht eine automatisierte Verarbeitung von Rechnungen mit einem Dokumentenmanagementsystem, wie beispielsweise ,Office Manager DMS’. Jedoch sind E-Mails im Rechnungsprozess auch besonders anfällig für verschiedene Arten von Cyber-Angriffen, darunter Phishing, Spam, Ransomware und Malware.“ Solche Bedrohungen könnten dazu führen, „dass Rechnungen abgefangen, manipuliert oder sogar in betrügerischer Absicht verändert werden“, so seine Warnung.

Foto: Softwarebüro Krekeler

Harald Krekeler zur E-Rechnungspflicht: Ein Grund mehr für Unternehmen, ihre E-Mail-Kommunikation gut abzusichern

E-Rechnungen müssen korrekt formatiert und durch Sicherheitsprotokolle geschützt werden

Mit der E-Rechnungspflicht werde die E-Mail damit weit mehr als nur ein Kommunikationsmittel sein – sie avanciere zu einem zentralen Element, welches sowohl die Effizienz als auch die Sicherheit im gesamten Rechnungsprozess maßgeblich beeinflusse. Krekeler unterstreicht: „Deshalb müssen Unternehmen ihre E-Mail-Kommunikation gut absichern – und zwar nicht nur den eingehenden E-Mail-Verkehr, sondern auch den ausgehenden!“

So müssten eingehende E-Mails mit Rechnungen vor der Weiterverarbeitung auf Echtheit und Sicherheit überprüft werden. „Sicherheitslösungen wie Spam-Filter, Viren-Scanner und Ransomware-Schutz spielen eine zentrale Rolle und helfen, schädliche E-Mails zu identifizieren und abzuwehren, bevor sie Schaden anrichten können“, so Krekeler.

Beim Versand von E-Rechnungen sollte sichergestellt sein, dass diese korrekt formatiert und durch Sicherheitsprotokolle wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) geschützt würden: „Diese Technologien gewährleisten die Authentizität der E-Mails und verhindern, dass sie beim Empfänger als Spam oder betrügerisch eingestuft werden.“

E-Rechnungen lassen sich direkt aus E-Mails extrahieren, verarbeiten und revisionssicher archivieren

Der Einsatz von Verschlüsselungstechnologien wie TLS (Transport Layer Security) stelle sicher, dass die Inhalte der E-Mails während der Übertragung vor unbefugtem Zugriff geschützt seien und somit keine sensiblen Daten abgefangen oder manipuliert werden könnten. Darüber hinaus seien digitale Signaturen von großer Bedeutung. Diese garantierten die Authentizität des Absenders und sorgten dafür, „dass die E-Rechnungen während des Versands nicht verändert wurden“. Dies sei besonders wichtig, um die Integrität und Verlässlichkeit von Rechnungsdaten zu sichern.

Schließlich böten Dokumentenmanagementsysteme (wie z.B. „Office Manager DMS“) automatisierte Schnittstellen, welche E-Rechnungen direkt aus E-Mails extrahierten, verarbeiteten und revisionssicher archivierten. Auf diese Weise könnten Unternehmen nicht nur ihre Prozesse optimieren, sondern auch sicherstellen, dass alle Daten gemäß den gesetzlichen Anforderungen aufbewahrt würden.

Mit der sogenannten Drag-and-Drop-Funktion des eingesetzten DMS könnten Nutzer E-Mails und ihre Anhänge direkt in das Dokumentenmanagement-System übertragen. Moderne Technologien wie OCR und die Verarbeitung des maschinenlesbaren XML-Anteils in „XRechnung“ oder „ZUGFeRD“ ermöglichten eine schnelle und präzise Datenextraktion. Krekeler führt aus: „Die extrahierten Informationen, beispielsweise Rechnungsnummern, Beträge, Lieferantendaten und Zahlungsfristen, werden automatisch geprüft, validiert und über Schnittstellen an ERP- oder Buchhaltungsprogramme wie DATEV oder SAP übergeben.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen