Inhalt in Kürze
- E-Mail ist Angriffsvektor Nr. 1: Über 90 % aller erfolgreichen Cyberangriffe starten mit einer Phishing-Mail – das BSI hat deshalb 2025 das E-Mail-Sicherheitsjahr ausgerufen.
- Fünf Schutzschichten sind entscheidend: Spam-Filter, Phishing-Erkennung, Verschlüsselung, Data Loss Prevention und Archivierung bilden zusammen eine belastbare E-Mail-Sicherheitsstrategie.
- Die richtige Lösung hängt von Ihrer Infrastruktur ab: Microsoft-365-Kunden brauchen andere Tools als Unternehmen mit On-Premise-Exchange oder Google Workspace.
- KMU starten am besten mit SPF, DKIM und DMARC – diese drei DNS-Einträge kosten nichts und blockieren bereits einen Großteil gefälschter E-Mails.
Jede dritte Datenpanne in Deutschland beginnt mit einer E-Mail. Kein USB-Stick, kein gehacktes Passwort – eine ganz normale Nachricht im Posteingang. Die Zahl der E-Mails mit Malware-Anhängen ist laut Branchenberichten 2025 im Vergleich zum Vorjahr um über 130 % gestiegen. Gleichzeitig werden Phishing-Mails durch KI-gestützte Texterstellung immer schwerer zu erkennen.
Das BSI hat deshalb gemeinsam mit eco und Bitkom das E-Mail-Sicherheitsjahr 2025 ausgerufen und konkrete Handlungsempfehlungen für Unternehmen veröffentlicht. Die Botschaft ist eindeutig: Wer seine E-Mail-Infrastruktur nicht absichert, riskiert Datenpannen, Bußgelder und Reputationsverlust.
Dieser Artikel zeigt Ihnen, welche Schutzmaßnahmen wirklich zählen, wie sich die gängigen Lösungen unterscheiden und worauf KMU bei der Auswahl achten müssen.
90 %
der Cyberangriffe starten per E-Mail
2–8 €
pro Nutzer/Monat für Cloud-Lösungen
3 Sek.
bis zum Klick auf einen Phishing-Link
Die 5 Säulen der E-Mail-Sicherheit
Kein einzelnes Produkt deckt alles ab. Eine wirksame E-Mail-Sicherheitsstrategie besteht aus mehreren Schichten, die ineinandergreifen.
1. Spam- und Malware-Filter
Die Grundlage. Moderne Filter nutzen maschinelles Lernen, Reputationsdatenbanken und Sandbox-Analyse, um schädliche E-Mails abzufangen, bevor sie den Posteingang erreichen. Wichtig: Auch ausgehende E-Mails sollten gefiltert werden – sonst wird Ihre Domain bei einer Kompromittierung schnell auf Blocklisten gesetzt.
2. Phishing- und BEC-Schutz
Business Email Compromise (BEC) verursacht laut FBI weltweit die höchsten finanziellen Schäden unter allen Cybercrime-Kategorien. Fortgeschrittene Lösungen analysieren nicht nur Links und Anhänge, sondern auch den Sprachstil und Absenderkontext, um gefälschte Geschäftsführer-E-Mails zu erkennen.
3. Verschlüsselung (TLS, S/MIME, PGP)
Art. 32 DSGVO fordert angemessene technische Maßnahmen. Transportverschlüsselung (TLS 1.2+) ist Pflicht, bei sensiblen Daten empfiehlt die Datenschutzkonferenz zusätzlich Ende-zu-Ende-Verschlüsselung. Das BSI empfiehlt in der Technischen Richtlinie TR-02102-2 mindestens TLS 1.2, besser TLS 1.3.
4. Data Loss Prevention (DLP)
DLP-Regeln verhindern, dass Mitarbeitende versehentlich oder absichtlich vertrauliche Daten per E-Mail nach außen senden. Typische Auslöser: Kreditkartennummern, Sozialversicherungsnummern oder als “vertraulich” markierte Dokumente.
5. E-Mail-Authentifizierung (SPF, DKIM, DMARC)
Diese drei DNS-Einträge sind kostenlos und trotzdem bei vielen KMU noch nicht korrekt eingerichtet. SPF legt fest, welche Server für Ihre Domain senden dürfen. DKIM signiert jede E-Mail kryptografisch. DMARC gibt an, was mit nicht authentifizierten E-Mails passieren soll. Das BSI nennt die korrekte Umsetzung von SPF, DKIM und DMARC als ersten und wichtigsten Schritt für Unternehmen.
Microsoft und Google weisen E-Mails ohne Authentifizierung ab
Seit 2024 behandeln Microsoft und Google Domains ohne korrekte SPF-, DKIM- und DMARC-Einträge als Risiko. E-Mails von solchen Domains landen im Spam oder werden komplett abgelehnt. Prüfen Sie Ihre DNS-Einträge — auch wenn Ihre E-Mails bisher ankamen, kann sich das jederzeit ändern.
E-Mail-Security-Lösungen im Vergleich
Die folgende Tabelle zeigt die gängigsten Lösungen für den deutschen KMU-Markt. Alle bieten Phishing-Schutz, Malware-Filterung und Spam-Abwehr — die Unterschiede liegen im Detail.
| Lösung | Typ | Ideal für | Stärken | Preis (ca.) |
|---|
| Microsoft Defender for Office 365 | Cloud (in M365 integriert) | M365-Kunden | Nahtlose Integration, KI-gestützte Erkennung, zentrale Verwaltung | ab 2 €/Nutzer/Monat (Plan 1) |
| Sophos Email Security | Cloud (Sophos Central) | KMU mit Sophos-Infrastruktur | Sandboxing, Impersonation-Schutz, einfaches Dashboard | ab 3 €/Nutzer/Monat |
| Barracuda Email Protection | Cloud oder Appliance | KMU ohne bestehende Security-Plattform | E-Mail-Gateway + Awareness-Training + Backup in einem Paket | ab 4 €/Nutzer/Monat |
| Mimecast Email Security | Cloud | Mittelstand mit Compliance-Anforderungen | Archivierung, Continuity, DLP, starkes Reporting | ab 5 €/Nutzer/Monat |
| Trend Micro Email Security | Cloud | Unternehmen mit heterogener IT | Breite Plattform-Unterstützung, XDR-Integration | ab 3 €/Nutzer/Monat |
Worauf Sie bei der Auswahl achten sollten:
- Integration: Arbeiten Sie mit Microsoft 365, Google Workspace oder On-Premise-Exchange? Nicht jede Lösung passt gleich gut.
- Verwaltungsaufwand: KMU ohne eigene IT-Abteilung profitieren von Cloud-Lösungen mit zentralem Dashboard.
- DSGVO-Konformität: Achten Sie auf EU-Serverstandorte und einen Auftragsverarbeitungsvertrag (AVV). Prüfen Sie, ob der Anbieter Daten in die USA überträgt.
- Awareness-Training: Einige Lösungen (Barracuda, Mimecast) bieten integrierte Phishing-Simulationen. Das spart ein separates Tool.
Aus der Praxis: Wenn der Geschäftspartner zum Risiko wird
„Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff."
Nils OehmichenDatenschutzberater bei frag.hugo
Dieses Beispiel zeigt ein Problem, das technische Filter allein nicht lösen: Kompromittierte Absender-Konten. Der Angreifer hatte das E-Mail-Konto des Geschäftspartners übernommen und von dort eine manipulierte Rechnung versendet. SPF, DKIM und DMARC waren korrekt — denn die E-Mail kam tatsächlich vom richtigen Server.
Genau deshalb reicht Technik allein nicht aus. Mitarbeitende müssen wissen, wann sie misstrauisch werden sollten: ungewöhnliche Zahlungsaufforderungen, dringende Tonlage, geänderte Bankverbindungen. Ein IT-Sicherheitskonzept definiert klare Prozesse für solche Situationen — etwa die telefonische Rückbestätigung bei Überweisungen über einem bestimmten Betrag.
E-Mail-Sicherheit einrichten – Checkliste für KMU
Nicht alles muss sofort passieren. Diese Checkliste ist nach Priorität sortiert — starten Sie oben und arbeiten Sie sich durch.
- SPF, DKIM und DMARC für alle Unternehmens-Domains korrekt einrichten und mit einem Online-Tool (z. B. MXToolbox) validieren
- TLS 1.2 oder höher auf dem Mailserver erzwingen — veraltete Protokolle (SSL 3.0, TLS 1.0/1.1) deaktivieren
- E-Mail-Security-Lösung aktivieren oder nachrüsten: Microsoft Defender Plan 1 für M365-Kunden, Sophos/Barracuda für andere Umgebungen
- Phishing-Simulation mit allen Mitarbeitenden durchführen — mindestens einmal pro Quartal, Ergebnisse dokumentieren
- Notfallprozess festlegen: Wer wird informiert, wenn ein Mitarbeitender auf eine Phishing-Mail klickt? Meldekette und Sofortmaßnahmen definieren
- Ausgehende E-Mails filtern — DLP-Regeln für sensible Daten einrichten (Kreditkartennummern, Gesundheitsdaten, Personalakten)
- Verschlüsselung für sensible Kommunikation einrichten: Gateway-Lösung oder verschlüsselter PDF-Versand als pragmatische Alternative zu S/MIME
- E-Mail-Sicherheitsmaßnahmen in den Datenschutzkonzept dokumentieren und im Verarbeitungsverzeichnis aufführen
Zusammenfassung
E-Mail-Sicherheit ist kein einmaliges Projekt, sondern ein laufender Prozess. Starten Sie mit den kostenlosen Basics (SPF, DKIM, DMARC), rüsten Sie eine passende Security-Lösung nach und schulen Sie Ihre Mitarbeitenden regelmäßig. Technik fängt 95 % der Angriffe ab — die letzten 5 % entscheiden die Menschen vor dem Bildschirm. Wer beides kombiniert, reduziert das Risiko einer E-Mail-basierten Datenpanne erheblich.
E-Mail-Sicherheit prüfen lassen
Wir analysieren Ihre aktuelle E-Mail-Infrastruktur und empfehlen passende Schutzmaßnahmen.
Kostenlose Erstberatung →
Häufige Fragen (FAQ)
Welche E-Mail-Security-Lösung ist für KMU am besten?
Für die meisten KMU bieten Microsoft Defender for Office 365, Sophos Email oder Barracuda Email Protection ein gutes Preis-Leistungs-Verhältnis. Entscheidend ist die Integration in Ihre bestehende Infrastruktur: M365-Kunden fahren mit Defender am einfachsten, Sophos-Kunden profitieren von der zentralen Verwaltung über Sophos Central. Einen kostenlosen Schnellcheck Ihrer Ausgangslage liefert der Hugo Check.
Was kostet E-Mail-Security für Unternehmen?
Cloud-basierte Lösungen kosten zwischen 2 und 8 Euro pro Nutzer und Monat. Bei 50 Mitarbeitenden sind das 100 bis 400 Euro monatlich. On-Premise-Gateways (z. B. Barracuda Appliance) erfordern höhere Anfangsinvestitionen, sind dafür bei den laufenden Kosten günstiger. Verglichen mit den Kosten einer einzigen Datenpanne — laut BSI durchschnittlich im sechsstelligen Bereich — ist jede dieser Lösungen eine sinnvolle Investition.
Reicht Microsoft 365 als E-Mail-Schutz?
Exchange Online Protection (EOP) ist in jedem M365-Plan enthalten und filtert Spam und bekannte Malware zuverlässig. Für gezieltes Phishing, Zero-Day-Angriffe und BEC empfiehlt sich Defender for Office 365 Plan 1 oder höher. Das BSI rät Unternehmen, die Standardkonfiguration nicht als ausreichend zu betrachten und zusätzliche Schutzschichten zu implementieren.
Was ist ein Secure Email Gateway?
Ein Secure Email Gateway (SEG) ist ein vorgeschalteter Filter, der den gesamten ein- und ausgehenden E-Mail-Verkehr prüft, bevor er den Mailserver erreicht. Das Gateway analysiert Absender, Betreff, Inhalt, Links und Anhänge auf Bedrohungen. Bekannte Gateway-Anbieter sind Barracuda, Mimecast und Check Point SandBlast.
Ist E-Mail-Verschlüsselung Pflicht nach DSGVO?
Ja. Art. 32 DSGVO fordert “geeignete technische Maßnahmen” zum Schutz personenbezogener Daten. Die Datenschutzkonferenz stuft TLS als obligatorische Mindestmaßnahme ein. Bei sensiblen Daten (Gesundheit, Finanzen, Art. 9 DSGVO) verlangt sie zusätzlich Ende-zu-Ende-Verschlüsselung. Ein externer Datenschutzbeauftragter hilft bei der Einschätzung, welche Verschlüsselung für Ihr Unternehmen erforderlich ist.
E-Mail-Sicherheit für Hamburger Unternehmen
Hamburger Unternehmen sind täglich Phishing-Angriffen und E-Mail-Betrug ausgesetzt. Der HmbBfDI hat mehrfach Datenpannen dokumentiert, die auf kompromittierte E-Mail-Konten zurückgehen. Für eine umfassende E-Mail-Sicherheitsstrategie beraten wir Sie als Security-Awareness-Schulung in Hamburg.