[datensicherheit.de, 16.12.2025] Aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigten deutlich, dass digitale Kommunikationswege auch 2025 zu den bevorzugten Angriffszielen gehörten. Besonders E-Mail-Infrastrukturen stehen demnach weiterhin im Zentrum der Bedrohung. „Allein in der Bundesverwaltung waren täglich rund 684.000 E-Mail-Adressen potenziellen Angriffen ausgesetzt – von Spam über Phishing bis hin zu Malware. Diese Menge zeigt deutlich, warum die E-Mail nach wie vor das beliebteste Angriffsziel für Cyberkriminelle ist“, erläutert Günter Esch, Geschäftsführer SEPPmail – Deutschland GmbH, in seiner aktuellen Stellungnahme.

Foto: SEPPmail Deutschland GmbH

Günter Esch: Auch wenn die Menge eingehender E-Mails zurückgeht, bleibt die Bedrohungslage unverändert hoch!

Vernetzte Angriffspfade nehmen E-Mail konzentriert ins Visier

Auffällig sei, „dass die Angriffsfläche längst nicht mehr nur aus klassischen Posteingängen besteht“. Auch Social-Media-Profile und andere digitale Kontaktpunkte würden systematisch in Angriffskampagnen einbezogen.

• Esch führt aus: „Die zunehmende Vermischung dieser Kanäle führt zu vernetzten Angriffspfaden: Zum Beispiel, wenn gefälschte Identitäten über Soziale Medien Vertrauen schaffen, bevor der eigentliche Schadlink dann per E-Mail zugestellt wird.“ Diese Entwicklung bedeute für Unternehmen, dass die Sicherheit kanalübergreifend gedacht werden müsse.

Gleichzeitig zeige der BSI-Bericht deutlich, dass sinkende Zahlen nicht über vorhandene Gefahren hinwegtäuschen dürften. „Auch wenn die Menge eingehender E-Mails zurückgeht, bleibt die Bedrohungslage unverändert hoch.“ Cyberkriminelle setzten zunehmend auf gezielte und qualitativ hochwertige Angriffe, bei denen „Social Engineering“, Identitätsmissbrauch und täuschend echte Absenderdomains im Mittelpunkt stünden.

BSI-Lagebericht zeigt klar: E-Mail-Sicherheit ein fortlaufender Prozess

„Die Anforderungen an E-Mail-Schutz steigen rasant, und herkömmliche Filter sind dieser Dynamik nicht mehr gewachsen!“, unterstreicht Esch. Moderne Sicherheitslösungen arbeiteten heute deutlich intelligenter: „Sie analysieren Kommunikationsbeziehungen statt nur Inhalte, erkennen Identitätsabweichungen in Echtzeit und nutzen KI-gestützte Modelle, um ungewöhnliche Muster oder verfälschte Kontexte sofort sichtbar zu machen.“

• Auch automatisierte Schutzmechanismen würden immer wichtiger: „,Sandboxing’ für unbekannte Anhänge, linkbasierte Prüfungen in Echtzeit sowie Absender-Authentifizierung entlasten Sicherheits-Teams und schließen Lücken, bevor sie ausgenutzt werden können.“ Entscheidend sei dabei die Integration in ein übergreifendes Sicherheitskonzept. „Denn nur wenn Analyse, Prävention und Reaktion eng zusammenspielen, lassen sich heutige Angriffskampagnen zuverlässig eindämmen“, betont Esch.

Abschließend gibt er zu bedenken: „Der aktuelle Lagebericht des BSI zeigt klar: E-Mail-Sicherheit ist kein abgeschlossenes Projekt, sondern ein fortlaufender Prozess! Nur durch ein Sicherheitskonzept, dass sich den Anforderungen anpasst und mit der Zeit geht, können die vielfältigen Angriffsszenarien wirksam eindämmt werden.“

Weitere Informationen zum Thema:

SEPPMAIL
Wir entwickeln universell einsetzbare E-Mail-basierte Lösungen: ehrlich, sicher, einfach / Über uns

SEPPMAIL
Günter Esch – Geschäftsführung

Bundesamt für Sicherheit in der Informationstechnik
Angriffsfläche Digitale Kommunikationskanäle der Bundesverwaltung

datensicherheit.de, 25.11.2025
E-Mail-Sicherheit bei Webmail-Diensten: BSI-Anforderungen hinsichtlich Sicherheit, Transparenz und Benutzerfreundlichkeit / Das BSI hat am 24. November 2025 in seiner Whitepaper-Reihe des „Digitalen Verbraucherschutzes“ den Titel „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ bereitgestellt

datensicherheit.de, 06.09.2025
E-Mail Threat Landscape Report: Zunahme dynamischer Phishing-Angriffe auf Unternehmen / Der vorliegende Bericht zeigt ganz klar auf, dass E-Mails ein Haupteinfallstor für Cyberangriffe bleiben – dabei setzen Cyberkriminelle verstärkt auf Quishing

datensicherheit.de, 22.08.2025
„E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne / Initiatoren veröffentlichen erstmals „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen

datensicherheit.de, 13.02.2025
Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen / Sparkasse, Postbank, Telekom oder PayPal – oft werden Namen großer Unternehmen missbraucht, um in deren Namen Phishing-Mails zu versenden

datensicherheit.de, 09.01.2025
E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz / Täglich verbringen Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – höchste Zeit zum Handeln

[datensicherheit.de, 27.04.2025] Die elektronische Rechnung (E-Rechnung) – ab 2025 schrittweise im B2B-Bereich verpflichtend – sei „ein längst überfälliger Schritt in Richtung digitaler Effizienz“, so Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH, in seinem aktuellen Kommentar. Indes warnt er auch: „Doch in der Praxis zeigt sich: Mit der zunehmenden Digitalisierung von Geschäftsprozessen entstehen neue Angriffsflächen.“ Denn schnell sei es passiert: „Eine Rechnung wird als PDF-Datei per E-Mail an den Kunden verschickt. Doch Cyber-Kriminelle haben den Anhang manipuliert und die Kontodaten geändert. Der Kunde überweist gutgläubig den Rechnungsbetrag auf das falsche Konto…“

Foto: SEPPmail Deutschland GmbH

Günter Esch: Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken!

Geschäftlich relevante Dokumente wie E-Rechnungen brauchen mehr als Transportverschlüsselung über TLS

In vielen Organisationen gelte Transportverschlüsselung über TLS noch immer als ausreichend. „Dabei schützt diese Methode lediglich den Übertragungsweg zwischen den Mail-Servern – nicht jedoch den Inhalt der E-Mail selbst“, erläutert Esch.

• Sobald dann also eine Nachricht weitergeleitet, gespeichert oder auf Endgeräten geöffnet wird, ist sie unter Umständen ungeschützt.

Für rechtlich und geschäftlich relevante Dokumente wie E-Rechnungen reiche dies nicht aus. Esch betont: „Nur eine durchgehende Ende-zu-Ende-Verschlüsselung mit optionaler Signatur kann die notwendige Integrität und Vertraulichkeit sicherstellen.“

„Secure E-Mail-Gateways“ als zusätzliche Sicherheitsebene: Erkennung der E-Rechnungsformate „XRechnung“ und „ZUGFeRD“

Esch führt aus: „Eine zentrale Rolle bei der Absicherung des E-Mail-Verkehrs übernehmen sogenannte Secure E-Mail-Gateways. Diese Lösungen setzen nicht erst beim Endgerät an, sondern bereits beim zentralen Mailfluss:“

• „Sie erkennen typische E-Rechnungsformate wie ,XRechnung’ oder ,ZUGFeRD’, überprüfen die Signatur der Absender-Domain mittels E-Mail-Signatur, SPF, DKIM und DMARC und ermöglichen es, unverschlüsselte oder manipulierte Nachrichten frühzeitig zu blockieren.“

Zudem könnten sie automatisch durchsetzen, dass E-Rechnungen nur an vorab definierte, gesicherte Postfächer zugestellt werden. So entsteht laut Esch ein effektiver Schutzschild gegen gängige Betrugsmuster – etwa das gezielte Austauschen von Bankverbindungen.

Compliance-Frage: E-Rechnung enthält neben Rechnungsdaten häufig auch personenbezogene Informationen

„Mit dem verstärkten regulatorischen Fokus auf Datenschutz, IT-Sicherheit und digitale Prozesse verschwimmen die Grenzen zwischen technischer Absicherung und rechtlicher Pflicht“, gibt Esch zu bedenken.

• Die E-Rechnung enthalte nicht nur Rechnungsdaten, sondern häufig auch personenbezogene Informationen, interne Referenzen und Bankverbindungen – ein attraktives Ziel für Angreifer.

„Wer diesen sensiblen Kommunikationskanal nicht absichert, riskiert mehr als einen Imageschaden.“ Datenschutzbehörden und Gerichte würden künftig noch stärker auf die Einhaltung entsprechender Schutzmaßnahmen achten.

E-Mails als zu lange unterschätztes Einfallstor beim digitalen Rechnungsaustausch

Trotz aller Portal-Lösungen bleibe die E-Mail das Rückgrat vieler digitaler Geschäftsprozesse – aber auch ein Anfälliges. „Der Fall der manipulierten Rechnung zeigt exemplarisch, wie wichtig es ist, bestehende Kommunikationswege auf ein sicheres Fundament zu stellen.“

• Dabei gehe es nicht nur um den Schutz vor externen Angriffen, sondern auch um die rechtliche Absicherung interner Prozesse.

Mit der Einführung der verpflichtenden E-Rechnung stehe die Wirtschaft an einem Wendepunkt: „Weg vom Briefversand und hin zur E-Mail. Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken. Unternehmen sind gut beraten, ihre E-Mail-Infrastruktur jetzt auf den Prüfstand zu stellen – und Secure E-Mail-Gateways können dabei ein zentraler Baustein einer sicheren und rechtskonformen Lösung sein!“

Weitere Informationen zum Thema:

DATEV
E-Rechnungspflicht: Gesetzliche Regelungen

IHK Darmstadt Rhein Main Neckar
Umsatzsteuer / Ab 2025 müssen alle Unternehmen E-Rechnungen empfangen

IHK München und Oberbayern
Ratgeber: Elektronische Rechnungen (E-Rechnung)

datensicherheit.de, 06.01.2025
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden / Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

[datensicherheit.de, 13.11.2024] Gerade in Herbsttagen oft zu beobachten: Eine vermeintlich harmlose E-Mail wird übermittelt – mit dem Betreff: „Ihr exklusiver Black-Friday-Gutschein ist da!“ Günter Esch, Geschäftsführer SEPPmail – Deutschland GmbH, erläutert in seiner aktuellen Stellungnahme: „Solche E-Mails landen derzeit immer häufiger im Posteingang. Die E-Mails sind dabei perfekt gestaltet – mit einem offiziellen Logo, einer persönlichen Anrede und einem Call-to-Action-Button.“ Er warnt: „Ein Klick auf den eingebetteten Link führt jedoch nicht zum versprochenen Rabatt, sondern zu einer gefälschten Website, die Kreditkarteninformationen oder andere persönliche Daten abfragt.“ Dies sei kein ungewöhnlicher Vorfall in einem Monat, der von einer Flut an Rabattaktionen geprägt sei.

Foto: SEPPmail – Deutschland GmbH

Günter Esch: Prävention ist der Schlüssel, denn der „Black Friday“ bringt nicht nur attraktive Schnäppchen, sondern auch erhebliche Risiken mit sich!

„Black Friday“ als eines der lukrativsten Shopping-Events des Jahres lockt Käufer und Betrüger an

Mit Milliardenumsätzen weltweit gehöre der „Black Friday“ zu den lukrativsten Shopping-Events des Jahres. „Das enorme Kaufinteresse, gepaart mit dem Zeitdruck vieler Angebote, schafft ideale Bedingungen für Cyber-Kriminelle. Phishing-Mails nutzen die Hektik und die Schnäppchenjagd gezielt aus.“

Die Angriffe seien dabei nicht nur häufiger, sondern auch deutlich raffinierter geworden. Phishing-Mails enthielten immer öfter personalisierte Inhalte und nutzten Informationen, „die aus früheren Datenlecks stammen, um den Nutzern glaubwürdig zu erscheinen“.

Die größten Gefahren für Unternehmen und Privatpersonen lt. SEPPmail:

Fake-Angebote:
Vermeintliche Gutscheine oder Rabatte lockten Nutzer auf gefälschte Webseiten, um dort sensible Daten preiszugeben oder unbemerkt Schadsoftware herunterzuladen.

Angriffe auf Geschäftskommunikation:
Auch Unternehmen seien ein beliebtes Ziel – Cyber-Kriminelle tarnten sich als Partner oder Dienstleister und versendeten Rechnungen mit gefährlichen Anhängen oder Links.

Ausnutzung mobiler Geräte:
Viele Nutzer shoppten unterwegs auf mobilen Geräten – gefälschte Apps oder schlecht gesicherte WLAN-Netzwerke böten zusätzliche Angriffsflächen.

Wie sich Unternehmen und Nutzer nicht nur in der „Black Friday“-Saison schützen können:

Um sich effektiv gegen die zunehmenden Phishing-Bedrohungen (nicht nur) in der „Black Friday“-Saison zu wappnen, seien verschiedene Maßnahmen erforderlich: „Ein zentraler Ansatzpunkt ist die Aufklärung und Sensibilisierung der Mitarbeiter. Unternehmen sollten gezielt auf die Gefahren von Phishing-Mails hinweisen und regelmäßige Schulungen anbieten, um das Bewusstsein für aktuelle Angriffsmethoden zu schärfen. Nur wer die Tricks der Cyber-Kriminellen kennt, kann entsprechende E-Mails rechtzeitig erkennen und darauf reagieren!“

Ebenso unverzichtbar seien technologische Schutzmaßnahmen: Moderne E-Mail-Sicherheitslösungen, welche beispielsweise auf Maschinelles Lernen (ML) setzten, könnten Phishing-Muster frühzeitig erkennen und blockieren. Ergänzend dazu böten Verschlüsselungstechnologien wie „S/MIME“ und „open PGP“ einen zusätzlichen Schutz, „indem sie sicherstellen, dass geschäftskritische E-Mails nicht manipuliert oder abgefangen werden“.

Mit einer Kombination aus Schulung, Technologie und kritischem Denken könnten sich Unternehmen und Nutzer wirksam gegen die Gefahren im Umfeld des „Black Friday“ absichern. „Prävention ist hier der Schlüssel. Denn der ,Black Friday’ bringt nicht nur attraktive Schnäppchen, sondern auch erhebliche Risiken mit sich“, gibt Esch abschließend zu bedenken.

Weitere Informationen zum Thema:

datensicherheit.de, 24.11.2023
Black Friday: Umsätze im Online-Handel steigen – damit häufen sich auch Betrugsfälle / Datensicherheit gilt es auch im Schnäppchen-Rausch am Black Friday und an anderen saisonalen Sonderverkaufstagen zu beachten

datensicherheit.de, 17.11.2023
Black Friday: Proofpoint rät zur Vorsicht vor betrügerischen E-Mails / Nur sieben der 20 größten Händler in Deutschland schützen laut Proofpoint-Analyse Verbraucher ausreichend vor Betrügereien in ihrem Namen

datensicherheit.de, 23.11.2022
5 DsiN-Tipps zum Black Friday / 13 Prozent der Nutzer laut DsiN-Sicherheitsindex Opfer von Shopping-Betrug

[datensicherheit.de, 22.05.2018] IT-Sicherheitsexperten der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben nach eigenen Angaben Sicherheitslücken in den beiden gängigen E-Mail-Verschlüsselungs-Verfahren „PGP“ und „S/MIME“ entdeckt: Damit verschlüsselte E-Mails könnten demnach auf zwei verschiedene Arten so manipuliert werden, dass Angreifer den Klartext der verschlüsselten Nachricht erhalten. Der diesbezügliche Bericht mit dem Schlagwort „Efail“ habe schnell ein großes Echo in den Medien gefunden. Dabei sei häufig die falsche Aussage gemacht worden, dass die Verschlüsselung von E-Mails mit diesen beiden Verfahren nicht wirksam sei.

Bekannte Schwachstelle in E-Mail-Clients ausgenutzt

„Die aufgedeckten Sicherheitslücken betreffen nicht die beiden Verschlüsselungstechnologien selbst, sondern nutzen eine schon lange bekannte Schwachstelle in E-Mail-Clients aus“, erläutert hierzu Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH.

Automatisches Nachladen von Links im Mail-Client deaktivieren!

Esch: „Diese Schwachstelle lässt sich einfach ausmerzen bzw. ist in der Regel gar nicht vorhanden. Dazu muss nur das automatische Nachladen von Links im Mail-Client deaktiviert werden – eine Einstellung, die auch bei unverschlüsselter Kommunikation empfehlenswert ist. Denn das automatische Nachladen von Links im Mail-Client ermöglicht Spammern, einfach festzustellen, wann und wo ein Empfänger eine unerwünschte Werbemail angeschaut hat.“

Verschlüsselung korrekt implemetieren und sicher konfigurieren!

In einer kürzlich verbreiteten Medienmitteilung habe auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden könnten, sofern sie korrekt implementiert und sicher konfiguriert sind.

Weitere Informationen zum Thema:

SEPPMAIL, 21.05.2018
Statement zu Efail

datensicherheit.de, 22.05.2018
Bitkom empfiehlt Nutzern E-Mails weiterhin zu verschlüsseln

datensicherheit.de, 21.03.2017
Fraunhofer SIT bietet Volksverschlüsselung für kleine und mittlere Unternehmen