Jede dritte Datenpanne in Deutschland beginnt mit einer E-Mail. Kein USB-Stick, kein gehacktes Passwort – eine ganz normale Nachricht im Posteingang. Die Zahl der E-Mails mit Malware-Anhängen ist laut Branchenberichten 2025 im Vergleich zum Vorjahr um über 130 % gestiegen. Gleichzeitig werden Phishing-Mails durch KI-gestützte Texterstellung immer schwerer zu erkennen.
Das BSI hat deshalb gemeinsam mit eco und Bitkom das E-Mail-Sicherheitsjahr 2025 ausgerufen und konkrete Handlungsempfehlungen für Unternehmen veröffentlicht. Die Botschaft ist eindeutig: Wer seine E-Mail-Infrastruktur nicht absichert, riskiert Datenpannen, Bußgelder und Reputationsverlust.
Dieser Artikel zeigt Ihnen, welche Schutzmaßnahmen wirklich zählen, wie sich die gängigen Lösungen unterscheiden und worauf KMU bei der Auswahl achten müssen.
Kein einzelnes Produkt deckt alles ab. Eine wirksame E-Mail-Sicherheitsstrategie besteht aus mehreren Schichten, die ineinandergreifen.
Die Grundlage. Moderne Filter nutzen maschinelles Lernen, Reputationsdatenbanken und Sandbox-Analyse, um schädliche E-Mails abzufangen, bevor sie den Posteingang erreichen. Wichtig: Auch ausgehende E-Mails sollten gefiltert werden – sonst wird Ihre Domain bei einer Kompromittierung schnell auf Blocklisten gesetzt.
Business Email Compromise (BEC) verursacht laut FBI weltweit die höchsten finanziellen Schäden unter allen Cybercrime-Kategorien. Fortgeschrittene Lösungen analysieren nicht nur Links und Anhänge, sondern auch den Sprachstil und Absenderkontext, um gefälschte Geschäftsführer-E-Mails zu erkennen.
Art. 32 DSGVO fordert angemessene technische Maßnahmen. Transportverschlüsselung (TLS 1.2+) ist Pflicht, bei sensiblen Daten empfiehlt die Datenschutzkonferenz zusätzlich Ende-zu-Ende-Verschlüsselung. Das BSI empfiehlt in der Technischen Richtlinie TR-02102-2 mindestens TLS 1.2, besser TLS 1.3.
DLP-Regeln verhindern, dass Mitarbeitende versehentlich oder absichtlich vertrauliche Daten per E-Mail nach außen senden. Typische Auslöser: Kreditkartennummern, Sozialversicherungsnummern oder als "vertraulich" markierte Dokumente.
Diese drei DNS-Einträge sind kostenlos und trotzdem bei vielen KMU noch nicht korrekt eingerichtet. SPF legt fest, welche Server für Ihre Domain senden dürfen. DKIM signiert jede E-Mail kryptografisch. DMARC gibt an, was mit nicht authentifizierten E-Mails passieren soll. Das BSI nennt die korrekte Umsetzung von SPF, DKIM und DMARC als ersten und wichtigsten Schritt für Unternehmen.
Seit 2024 behandeln Microsoft und Google Domains ohne korrekte SPF-, DKIM- und DMARC-Einträge als Risiko. E-Mails von solchen Domains landen im Spam oder werden komplett abgelehnt. Prüfen Sie Ihre DNS-Einträge — auch wenn Ihre E-Mails bisher ankamen, kann sich das jederzeit ändern.
Die folgende Tabelle zeigt die gängigsten Lösungen für den deutschen KMU-Markt. Alle bieten Phishing-Schutz, Malware-Filterung und Spam-Abwehr — die Unterschiede liegen im Detail.
| Lösung | Typ | Ideal für | Stärken | Preis (ca.) |
|---|---|---|---|---|
| Microsoft Defender for Office 365 | Cloud (in M365 integriert) | M365-Kunden | Nahtlose Integration, KI-gestützte Erkennung, zentrale Verwaltung | ab 2 €/Nutzer/Monat (Plan 1) |
| Sophos Email Security | Cloud (Sophos Central) | KMU mit Sophos-Infrastruktur | Sandboxing, Impersonation-Schutz, einfaches Dashboard | ab 3 €/Nutzer/Monat |
| Barracuda Email Protection | Cloud oder Appliance | KMU ohne bestehende Security-Plattform | E-Mail-Gateway + Awareness-Training + Backup in einem Paket | ab 4 €/Nutzer/Monat |
| Mimecast Email Security | Cloud | Mittelstand mit Compliance-Anforderungen | Archivierung, Continuity, DLP, starkes Reporting | ab 5 €/Nutzer/Monat |
| Trend Micro Email Security | Cloud | Unternehmen mit heterogener IT | Breite Plattform-Unterstützung, XDR-Integration | ab 3 €/Nutzer/Monat |
Worauf Sie bei der Auswahl achten sollten:
„Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff."
Nils OehmichenDatenschutzberater bei frag.hugoDieses Beispiel zeigt ein Problem, das technische Filter allein nicht lösen: Kompromittierte Absender-Konten. Der Angreifer hatte das E-Mail-Konto des Geschäftspartners übernommen und von dort eine manipulierte Rechnung versendet. SPF, DKIM und DMARC waren korrekt — denn die E-Mail kam tatsächlich vom richtigen Server.
Genau deshalb reicht Technik allein nicht aus. Mitarbeitende müssen wissen, wann sie misstrauisch werden sollten: ungewöhnliche Zahlungsaufforderungen, dringende Tonlage, geänderte Bankverbindungen. Ein IT-Sicherheitskonzept definiert klare Prozesse für solche Situationen — etwa die telefonische Rückbestätigung bei Überweisungen über einem bestimmten Betrag.
Nicht alles muss sofort passieren. Diese Checkliste ist nach Priorität sortiert — starten Sie oben und arbeiten Sie sich durch.
E-Mail-Sicherheit ist kein einmaliges Projekt, sondern ein laufender Prozess. Starten Sie mit den kostenlosen Basics (SPF, DKIM, DMARC), rüsten Sie eine passende Security-Lösung nach und schulen Sie Ihre Mitarbeitenden regelmäßig. Technik fängt 95 % der Angriffe ab — die letzten 5 % entscheiden die Menschen vor dem Bildschirm. Wer beides kombiniert, reduziert das Risiko einer E-Mail-basierten Datenpanne erheblich.
E-Mail-Sicherheit prüfen lassen
Wir analysieren Ihre aktuelle E-Mail-Infrastruktur und empfehlen passende Schutzmaßnahmen.
Kostenlose Erstberatung →Für die meisten KMU bieten Microsoft Defender for Office 365, Sophos Email oder Barracuda Email Protection ein gutes Preis-Leistungs-Verhältnis. Entscheidend ist die Integration in Ihre bestehende Infrastruktur: M365-Kunden fahren mit Defender am einfachsten, Sophos-Kunden profitieren von der zentralen Verwaltung über Sophos Central. Einen kostenlosen Schnellcheck Ihrer Ausgangslage liefert der Hugo Check.
Cloud-basierte Lösungen kosten zwischen 2 und 8 Euro pro Nutzer und Monat. Bei 50 Mitarbeitenden sind das 100 bis 400 Euro monatlich. On-Premise-Gateways (z. B. Barracuda Appliance) erfordern höhere Anfangsinvestitionen, sind dafür bei den laufenden Kosten günstiger. Verglichen mit den Kosten einer einzigen Datenpanne — laut BSI durchschnittlich im sechsstelligen Bereich — ist jede dieser Lösungen eine sinnvolle Investition.
Exchange Online Protection (EOP) ist in jedem M365-Plan enthalten und filtert Spam und bekannte Malware zuverlässig. Für gezieltes Phishing, Zero-Day-Angriffe und BEC empfiehlt sich Defender for Office 365 Plan 1 oder höher. Das BSI rät Unternehmen, die Standardkonfiguration nicht als ausreichend zu betrachten und zusätzliche Schutzschichten zu implementieren.
Ein Secure Email Gateway (SEG) ist ein vorgeschalteter Filter, der den gesamten ein- und ausgehenden E-Mail-Verkehr prüft, bevor er den Mailserver erreicht. Das Gateway analysiert Absender, Betreff, Inhalt, Links und Anhänge auf Bedrohungen. Bekannte Gateway-Anbieter sind Barracuda, Mimecast und Check Point SandBlast.
Ja. Art. 32 DSGVO fordert "geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. Die Datenschutzkonferenz stuft TLS als obligatorische Mindestmaßnahme ein. Bei sensiblen Daten (Gesundheit, Finanzen, Art. 9 DSGVO) verlangt sie zusätzlich Ende-zu-Ende-Verschlüsselung. Ein externer Datenschutzbeauftragter hilft bei der Einschätzung, welche Verschlüsselung für Ihr Unternehmen erforderlich ist.
Inhaltsverzeichnis
Endpoint Security für KMU: Virenschutz, Content Filtering und DSGVO-konforme Absicherung aller Endgeräte im Unternehmen.
WeiterlesenSecurity Awareness Training für Unternehmen: Inhalte, Methoden und wie Sie Phishing-Angriffe durch gezielte Mitarbeiterschulungen verhindern.
WeiterlesenSchwachstellenanalyse für KMU: Ablauf, Kosten und Unterschied zum Penetrationstest. Mit 6-Schritte-Anleitung, BSI-Zahlen und Tool-Vergleich.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
