E-Mail-Sicherheit im Unternehmen – Lösungen im Vergleich

Inhalt in Kürze

• E-Mail ist Angriffsvektor Nr. 1: Über 90 % aller erfolgreichen Cyberangriffe starten mit einer Phishing-Mail – das BSI hat deshalb 2025 das E-Mail-Sicherheitsjahr ausgerufen.
• Fünf Schutzschichten sind entscheidend: Spam-Filter, Phishing-Erkennung, Verschlüsselung, Data Loss Prevention und Archivierung bilden zusammen eine belastbare E-Mail-Sicherheitsstrategie.
• Die richtige Lösung hängt von Ihrer Infrastruktur ab: Microsoft-365-Kunden brauchen andere Tools als Unternehmen mit On-Premise-Exchange oder Google Workspace.
• KMU starten am besten mit SPF, DKIM und DMARC – diese drei DNS-Einträge kosten nichts und blockieren bereits einen Großteil gefälschter E-Mails.

---

Jede dritte Datenpanne in Deutschland beginnt mit einer E-Mail. Kein USB-Stick, kein gehacktes Passwort – eine ganz normale Nachricht im Posteingang. Die Zahl der E-Mails mit Malware-Anhängen ist laut Branchenberichten 2025 im Vergleich zum Vorjahr um über 130 % gestiegen. Gleichzeitig werden Phishing-Mails durch KI-gestützte Texterstellung immer schwerer zu erkennen.

Das BSI hat deshalb gemeinsam mit eco und Bitkom das E-Mail-Sicherheitsjahr 2025 ausgerufen und konkrete Handlungsempfehlungen für Unternehmen veröffentlicht. Die Botschaft ist eindeutig: Wer seine E-Mail-Infrastruktur nicht absichert, riskiert Datenpannen, Bußgelder und Reputationsverlust.

Dieser Artikel zeigt Ihnen, welche Schutzmaßnahmen wirklich zählen, wie sich die gängigen Lösungen unterscheiden und worauf KMU bei der Auswahl achten müssen.

Die 5 Säulen der E-Mail-Sicherheit

Kein einzelnes Produkt deckt alles ab. Eine wirksame E-Mail-Sicherheitsstrategie besteht aus mehreren Schichten, die ineinandergreifen.

1. Spam- und Malware-Filter

Die Grundlage. Moderne Filter nutzen maschinelles Lernen, Reputationsdatenbanken und Sandbox-Analyse, um schädliche E-Mails abzufangen, bevor sie den Posteingang erreichen. Wichtig: Auch ausgehende E-Mails sollten gefiltert werden – sonst wird Ihre Domain bei einer Kompromittierung schnell auf Blocklisten gesetzt.

2. Phishing- und BEC-Schutz

Business Email Compromise (BEC) verursacht laut FBI weltweit die höchsten finanziellen Schäden unter allen Cybercrime-Kategorien. Fortgeschrittene Lösungen analysieren nicht nur Links und Anhänge, sondern auch den Sprachstil und Absenderkontext, um gefälschte Geschäftsführer-E-Mails zu erkennen.

3. Verschlüsselung (TLS, S/MIME, PGP)

Art. 32 DSGVO fordert angemessene technische Maßnahmen. Transportverschlüsselung (TLS 1.2+) ist Pflicht, bei sensiblen Daten empfiehlt die Datenschutzkonferenz zusätzlich Ende-zu-Ende-Verschlüsselung. Das BSI empfiehlt in der Technischen Richtlinie TR-02102-2 mindestens TLS 1.2, besser TLS 1.3.

4. Data Loss Prevention (DLP)

DLP-Regeln verhindern, dass Mitarbeitende versehentlich oder absichtlich vertrauliche Daten per E-Mail nach außen senden. Typische Auslöser: Kreditkartennummern, Sozialversicherungsnummern oder als "vertraulich" markierte Dokumente.

5. E-Mail-Authentifizierung (SPF, DKIM, DMARC)

Diese drei DNS-Einträge sind kostenlos und trotzdem bei vielen KMU noch nicht korrekt eingerichtet. SPF legt fest, welche Server für Ihre Domain senden dürfen. DKIM signiert jede E-Mail kryptografisch. DMARC gibt an, was mit nicht authentifizierten E-Mails passieren soll. Das BSI nennt die korrekte Umsetzung von SPF, DKIM und DMARC als ersten und wichtigsten Schritt für Unternehmen.

E-Mail-Security-Lösungen im Vergleich

Die folgende Tabelle zeigt die gängigsten Lösungen für den deutschen KMU-Markt. Alle bieten Phishing-Schutz, Malware-Filterung und Spam-Abwehr — die Unterschiede liegen im Detail.

Lösung	Typ	Ideal für	Stärken	Preis (ca.)
Microsoft Defender for Office 365	Cloud (in M365 integriert)	M365-Kunden	Nahtlose Integration, KI-gestützte Erkennung, zentrale Verwaltung	ab 2 €/Nutzer/Monat (Plan 1)
Sophos Email Security	Cloud (Sophos Central)	KMU mit Sophos-Infrastruktur	Sandboxing, Impersonation-Schutz, einfaches Dashboard	ab 3 €/Nutzer/Monat
Barracuda Email Protection	Cloud oder Appliance	KMU ohne bestehende Security-Plattform	E-Mail-Gateway + Awareness-Training + Backup in einem Paket	ab 4 €/Nutzer/Monat
Mimecast Email Security	Cloud	Mittelstand mit Compliance-Anforderungen	Archivierung, Continuity, DLP, starkes Reporting	ab 5 €/Nutzer/Monat
Trend Micro Email Security	Cloud	Unternehmen mit heterogener IT	Breite Plattform-Unterstützung, XDR-Integration	ab 3 €/Nutzer/Monat

Worauf Sie bei der Auswahl achten sollten:

• Integration: Arbeiten Sie mit Microsoft 365, Google Workspace oder On-Premise-Exchange? Nicht jede Lösung passt gleich gut.
• Verwaltungsaufwand: KMU ohne eigene IT-Abteilung profitieren von Cloud-Lösungen mit zentralem Dashboard.
• DSGVO-Konformität: Achten Sie auf EU-Serverstandorte und einen Auftragsverarbeitungsvertrag (AVV). Prüfen Sie, ob der Anbieter Daten in die USA überträgt.
• Awareness-Training: Einige Lösungen (Barracuda, Mimecast) bieten integrierte Phishing-Simulationen. Das spart ein separates Tool.

Aus der Praxis: Wenn der Geschäftspartner zum Risiko wird

Dieses Beispiel zeigt ein Problem, das technische Filter allein nicht lösen: Kompromittierte Absender-Konten. Der Angreifer hatte das E-Mail-Konto des Geschäftspartners übernommen und von dort eine manipulierte Rechnung versendet. SPF, DKIM und DMARC waren korrekt — denn die E-Mail kam tatsächlich vom richtigen Server.

Genau deshalb reicht Technik allein nicht aus. Mitarbeitende müssen wissen, wann sie misstrauisch werden sollten: ungewöhnliche Zahlungsaufforderungen, dringende Tonlage, geänderte Bankverbindungen. Ein IT-Sicherheitskonzept definiert klare Prozesse für solche Situationen — etwa die telefonische Rückbestätigung bei Überweisungen über einem bestimmten Betrag.

E-Mail-Sicherheit einrichten – Checkliste für KMU

Nicht alles muss sofort passieren. Diese Checkliste ist nach Priorität sortiert — starten Sie oben und arbeiten Sie sich durch.

• SPF, DKIM und DMARC für alle Unternehmens-Domains korrekt einrichten und mit einem Online-Tool (z. B. MXToolbox) validieren
• TLS 1.2 oder höher auf dem Mailserver erzwingen — veraltete Protokolle (SSL 3.0, TLS 1.0/1.1) deaktivieren
• E-Mail-Security-Lösung aktivieren oder nachrüsten: Microsoft Defender Plan 1 für M365-Kunden, Sophos/Barracuda für andere Umgebungen
• Phishing-Simulation mit allen Mitarbeitenden durchführen — mindestens einmal pro Quartal, Ergebnisse dokumentieren
• Notfallprozess festlegen: Wer wird informiert, wenn ein Mitarbeitender auf eine Phishing-Mail klickt? Meldekette und Sofortmaßnahmen definieren
• Ausgehende E-Mails filtern — DLP-Regeln für sensible Daten einrichten (Kreditkartennummern, Gesundheitsdaten, Personalakten)
• Verschlüsselung für sensible Kommunikation einrichten: Gateway-Lösung oder verschlüsselter PDF-Versand als pragmatische Alternative zu S/MIME
• E-Mail-Sicherheitsmaßnahmen in den TOM dokumentieren und im Verarbeitungsverzeichnis aufführen

Häufige Fragen (FAQ)

Welche E-Mail-Security-Lösung ist für KMU am besten?

Für die meisten KMU bieten Microsoft Defender for Office 365, Sophos Email oder Barracuda Email Protection ein gutes Preis-Leistungs-Verhältnis. Entscheidend ist die Integration in Ihre bestehende Infrastruktur: M365-Kunden fahren mit Defender am einfachsten, Sophos-Kunden profitieren von der zentralen Verwaltung über Sophos Central. Einen kostenlosen Schnellcheck Ihrer Ausgangslage liefert der Hugo Check.

Was kostet E-Mail-Security für Unternehmen?

Cloud-basierte Lösungen kosten zwischen 2 und 8 Euro pro Nutzer und Monat. Bei 50 Mitarbeitenden sind das 100 bis 400 Euro monatlich. On-Premise-Gateways (z. B. Barracuda Appliance) erfordern höhere Anfangsinvestitionen, sind dafür bei den laufenden Kosten günstiger. Verglichen mit den Kosten einer einzigen Datenpanne — laut BSI durchschnittlich im sechsstelligen Bereich — ist jede dieser Lösungen eine sinnvolle Investition.

Reicht Microsoft 365 als E-Mail-Schutz?

Exchange Online Protection (EOP) ist in jedem M365-Plan enthalten und filtert Spam und bekannte Malware zuverlässig. Für gezieltes Phishing, Zero-Day-Angriffe und BEC empfiehlt sich Defender for Office 365 Plan 1 oder höher. Das BSI rät Unternehmen, die Standardkonfiguration nicht als ausreichend zu betrachten und zusätzliche Schutzschichten zu implementieren.

Was ist ein Secure Email Gateway?

Ein Secure Email Gateway (SEG) ist ein vorgeschalteter Filter, der den gesamten ein- und ausgehenden E-Mail-Verkehr prüft, bevor er den Mailserver erreicht. Das Gateway analysiert Absender, Betreff, Inhalt, Links und Anhänge auf Bedrohungen. Bekannte Gateway-Anbieter sind Barracuda, Mimecast und Check Point SandBlast.

Ist E-Mail-Verschlüsselung Pflicht nach DSGVO?

Ja. Art. 32 DSGVO fordert "geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. Die Datenschutzkonferenz stuft TLS als obligatorische Mindestmaßnahme ein. Bei sensiblen Daten (Gesundheit, Finanzen, Art. 9 DSGVO) verlangt sie zusätzlich Ende-zu-Ende-Verschlüsselung. Ein externer Datenschutzbeauftragter hilft bei der Einschätzung, welche Verschlüsselung für Ihr Unternehmen erforderlich ist.