Zum Hauptinhalt springen
Passwork LogoPasswork LogoSecurity champion course

E-Mail-Sicherheit

Ihr CEO erhält eine E-Mail von „[email protected]" mit der Bitte, 50.000 € an einen Lieferanten zu überweisen. Die E-Mail wirkt legitim – sie stammt von Ihrer Domain. Nur tut sie das nicht. Ein Angreifer hat Ihre Domain gefälscht, weil Sie nie E-Mail-Authentifizierung eingerichtet haben. Und jetzt erklären Sie dem Vorstand, warum jemand Geld an einen Betrüger überwiesen hat.

Das passiert kleinen Unternehmen regelmäßig. E-Mail-Spoofing erfordert null technische Kenntnisse – kostenlose Tools generieren gefälschte E-Mails in Sekunden. Ohne SPF, DKIM und DMARC kann jeder E-Mails senden, die scheinbar von Ihrer Domain kommen.

Dieses Kapitel behebt das. Sie konfigurieren E-Mail-Authentifizierung, damit gefälschte E-Mails abgelehnt werden, und richten grundlegende Phishing-Abwehr ein, damit Ihr Team nicht auf die Angriffe hereinfällt, die doch durchkommen.

Warum E-Mail der #1-Angriffsvektor ist

E-Mail ist der Ausgangspunkt der meisten Angriffe. Nicht weil E-Mail-Systeme unsicher sind, sondern weil Menschen das Ziel sind. Ein Entwickler, der niemals eine verdächtige Binärdatei ausführen würde, klickt bereitwillig auf einen Link in einer E-Mail, die aussieht, als käme sie von GitHub.

Die Angriffe sind einfach:

Spoofing — E-Mails senden, die scheinbar von Ihrer Domain stammen. Wird für CEO-Betrug, Lieferanten-Imitation und Credential-Phishing verwendet. Ohne Authentifizierung kann jeder als Sie senden.

Phishing — Menschen dazu bringen, auf bösartige Links zu klicken oder Zugangsdaten auf gefälschten Anmeldeseiten einzugeben. Die gefälschte Google-Anmeldeseite, die Ihr Passwort stiehlt? Klassisches Phishing.

Business Email Compromise (BEC) — Angreifer kompromittieren ein echtes E-Mail-Konto (durch Phishing oder Credential-Stuffing) und nutzen es, um Überweisungen anzufordern, Zahlungsdetails zu ändern oder Daten zu stehlen. Das ist kein Spoofing – es ist tatsächlich Ihre E-Mail, die gegen Sie eingesetzt wird.

E-Mail-Authentifizierung (SPF, DKIM, DMARC) stoppt Spoofing. Mitarbeiterschulungen und technische Kontrollen reduzieren den Phishing-Erfolg. Keines von beiden ist ohne das andere vollständig.

SPF, DKIM und DMARC verstehen

Diese drei funktionieren zusammen. Jedes löst ein anderes Problem.

SPF (Sender Policy Framework)

SPF teilt der Welt mit, welche Server berechtigt sind, E-Mails für Ihre Domain zu senden. Es ist ein DNS-TXT-Eintrag, der Ihre autorisierten Absender auflistet.

Wenn jemand eine E-Mail erhält, die scheinbar von [email protected] stammt, prüft sein Mailserver Ihren SPF-Eintrag. Wenn der sendende Server nicht auf der Liste steht, schlägt die E-Mail SPF fehl.

Beispiel-SPF-Eintrag:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Das bedeutet: „Nur Googles Server und SendGrid dürfen E-Mails für unsere Domain senden. Alles andere ablehnen (-all)."

Das Problem, das SPF löst: Jemand richtet einen zufälligen Server ein und sendet E-Mails als Ihre Domain.

Was SPF nicht löst: Der „From"-Header kann noch immer gefälscht werden. SPF prüft nur den Umschlag-Absender (den Return-Path), nicht was in E-Mail-Clients angezeigt wird.

DKIM (DomainKeys Identified Mail)

DKIM fügt Ihren ausgehenden E-Mails eine kryptografische Signatur hinzu. Ihr Mailserver signiert jede Nachricht mit einem privaten Schlüssel. Sie veröffentlichen den öffentlichen Schlüssel im DNS. Empfänger verifizieren, dass die Signatur übereinstimmt.

So sieht es im DNS aus:

google._domainkey.ihrUnternehmen.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Das Problem, das DKIM löst: Verifizieren, dass eine E-Mail während der Übertragung nicht verändert wurde und tatsächlich von einem Server mit Ihrem privaten Schlüssel kam.

Was DKIM nicht löst: Für sich allein sagt es Empfängern nicht, was mit nicht signierten oder fehlgeschlagenen E-Mails zu tun ist.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC verbindet SPF und DKIM und teilt empfangenden Servern mit, was zu tun ist, wenn die Authentifizierung fehlschlägt. Es sendet Ihnen auch Berichte darüber, wer E-Mails als Ihre Domain sendet.

Beispiel-DMARC-Eintrag:

_dmarc.ihrUnternehmen.com TXT "v=DMARC1; p=reject; rua=mailto:[email protected]"

Das bedeutet: „Wenn eine E-Mail sowohl SPF als auch DKIM fehlschlägt, ablehnen. Aggregierte Berichte an [email protected] senden."

Die Richtlinienebenen:

  • p=none — Nur überwachen, nichts ablehnen (dies zuerst verwenden)
  • p=quarantine — Fehler in den Spam-Ordner schicken
  • p=reject — Fehler direkt ablehnen (das Ziel)

Was DMARC löst: Authentifizierung tatsächlich durchsetzen und Transparenz darüber gewinnen, wer Ihre Domain fälscht.

E-Mail-Authentifizierung einrichten

Das ist der praktische Teil. Die Reihenfolge ist wichtig.

Schritt 1: Aktuellen Zustand prüfen

Bevor Sie etwas ändern, prüfen Sie, was Sie haben:

# Check existing SPF record
dig +short TXT yourcompany.com | grep spf

# Check DKIM (Google Workspace example)
dig +short TXT google._domainkey.yourcompany.com

# Check DMARC
dig +short TXT _dmarc.yourcompany.com

Oder verwenden Sie Online-Tools:

Notieren Sie, was Sie finden. Viele Unternehmen haben Teilkonfigurationen von vor Jahren, die niemand pflegt.

Schritt 2: E-Mail-Absender inventarisieren

Listen Sie jeden Dienst auf, der E-Mails als Ihre Domain sendet:

  • Primäre E-Mail (Google Workspace, Microsoft 365)
  • Marketing-E-Mail (Mailchimp, SendGrid, HubSpot)
  • Transaktions-E-Mail (Benachrichtigungs-E-Mails Ihrer App)
  • Support-Systeme (Zendesk, Intercom)
  • HR-/Recruiting-Tools
  • CRM, das E-Mails sendet

Jeder dieser Dienste muss in Ihrem SPF-Eintrag stehen oder DKIM konfiguriert haben. Vergessen Sie einen, und legitime E-Mails beginnen zu scheitern.

Schritt 3: SPF konfigurieren

Fügen Sie Ihren SPF-Eintrag im DNS hinzu oder aktualisieren Sie ihn:

Für Google Workspace:

v=spf1 include:_spf.google.com ~all

Für Microsoft 365:

v=spf1 include:spf.protection.outlook.com ~all

Mit zusätzlichen Diensten (Beispiel):

v=spf1 include:_spf.google.com include:sendgrid.net include:mailchimp.com ~all

Wichtige Hinweise:

  • Beginnen Sie mit ~all (Soft Fail) statt -all (Hard Fail). Das schickt Fehler in den Spam statt sie abzulehnen. Wechseln Sie zu -all, nachdem Sie sicher sind, dass alles korrekt konfiguriert ist.
  • SPF hat ein Limit von 10 DNS-Lookups. Jedes include: zählt als eines. Wenn Sie viele Absender haben, müssen Sie möglicherweise zusammenfassen oder konsolidieren.
  • Nur ein SPF-Eintrag pro Domain. Wenn Sie zwei haben, brechen beide.

Schritt 4: DKIM konfigurieren

Die DKIM-Einrichtung variiert je nach Anbieter. So finden Sie die benötigten Einträge:

Google Workspace:

  1. Admin-Konsole → Apps → Google Workspace → Gmail → E-Mail authentifizieren
  2. „Neuen Eintrag generieren" klicken
  3. Den TXT-Eintrags-Wert kopieren und zu Ihrem DNS hinzufügen

Microsoft 365:

  1. Microsoft 365 Defender → E-Mail & Zusammenarbeit → Richtlinien → DKIM
  2. DKIM für Ihre Domain aktivieren
  3. Die bereitgestellten CNAME-Einträge zu Ihrem DNS hinzufügen

Drittanbieter-Absender (SendGrid, Mailchimp usw.): Jeder Dienst hat seine eigene DKIM-Einrichtung. Meist:

  1. Zu den Domain-Authentifizierungseinstellungen gehen
  2. Sie erhalten DNS-Einträge zum Hinzufügen
  3. Diese hinzufügen, dann in ihrem Dashboard verifizieren

Richten Sie DKIM für jeden Dienst ein, der E-Mails als Ihre Domain sendet. Das braucht Zeit, ist aber wichtig.

Schritt 5: DMARC konfigurieren (vorsichtig)

Die DMARC-Einführung sollte schrittweise erfolgen:

Woche 1–2: Überwachungsmodus

v=DMARC1; p=none; rua=mailto:[email protected]

Das blockiert nichts – es sendet Ihnen nur Berichte über jede E-Mail, die vorgibt, von Ihrer Domain zu stammen. Sie werden sehen:

  • Ihre legitimen Absender
  • Dinge, die Sie vergessen haben
  • Tatsächliche Spoofing-Versuche

Woche 3–4: Berichte analysieren

DMARC-Berichte sind XML-Dateien. Sie sind roh unleserlich. Verwenden Sie ein kostenloses Tool:

Suchen Sie nach:

  • Legitimen Absendern, die SPF/DKIM scheitern (deren Konfiguration beheben)
  • Unbekannten Absendern (untersuchen – sind sie legitim oder fälschen sie?)
  • Klaren Spoofing-Versuchen (Angreifer senden als Ihre Domain)

Woche 5+: Durchsetzung beginnen

Sobald Sie sicher sind, dass legitime E-Mails die Prüfung bestehen:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

Noch einige Wochen überwachen. Wenn nichts kaputt geht, zur vollständigen Ablehnung wechseln:

v=DMARC1; p=reject; rua=mailto:[email protected]

Überstürzen Sie das nicht. Ein falsch konfiguriertes DMARC mit p=reject blockiert Ihre eigenen E-Mails. Der schrittweise Ansatz dauert 4–6 Wochen, verhindert aber selbst verursachte Ausfälle.

Jenseits der Grundlagen: MTA-STS, TLS-RPT und BIMI

Sobald SPF, DKIM und DMARC funktionieren, gibt es drei weitere Standards, die es wert sind, bekannt zu sein.

MTA-STS (Mail Transfer Agent Strict Transport Security)

MTA-STS zwingt andere Mailserver, verschlüsselte Verbindungen (TLS) beim Senden an Ihre Domain zu verwenden. Ohne es könnte ein Angreifer Verbindungen auf Klartext herunterstufen und E-Mails abfangen.

Einrichtung:

  1. Erstellen Sie eine Richtlinien-Datei unter https://mta-sts.ihrUnternehmen.com/.well-known/mta-sts.txt:
version: STSv1
mode: enforce
mx: mail.yourcompany.com
mx: *.mail.protection.outlook.com
max_age: 604800
  1. Fügen Sie einen DNS-TXT-Eintrag hinzu:
_mta-sts.yourcompany.com TXT "v=STSv1; id=20240115"

Ändern Sie den id-Wert, wenn Sie die Richtlinie aktualisieren.

TLS-RPT (TLS Reporting)

TLS-RPT sendet Ihnen Berichte, wenn andere Server Probleme haben, TLS-Verbindungen zu Ihrem Mailserver herzustellen. Nützlich, um Zertifikatsprobleme zu erkennen.

DNS-Eintrag:

_smtp._tls.yourcompany.com TXT "v=TLSRPTv1; rua=mailto:[email protected]"

BIMI (Brand Indicators for Message Identification)

BIMI zeigt Ihr Unternehmenslogo neben E-Mails in unterstützten Clients an (Gmail, Apple Mail, Yahoo). Es erfordert DMARC auf p=quarantine oder p=reject.

Anforderungen:

  1. DMARC mit Durchsetzung
  2. Ihr Logo im SVG-Format (spezifische Anforderungen – verwenden Sie den BIMI Generator)
  3. Ein VMC (Verified Mark Certificate) für Gmail – kostet ~1.500 $/Jahr von DigiCert oder Entrust
  4. DNS-Eintrag, der auf Ihr Logo zeigt

DNS-Eintrag:

default._bimi.yourcompany.com TXT "v=BIMI1; l=https://yourcompany.com/logo.svg"

BIMI ist optional und hat laufende Kosten. Erwägen Sie es, sobald alles andere solide ist – es geht mehr um Marke als um Sicherheit, obwohl es Empfängern hilft, Ihren E-Mails zu vertrauen.

Das SPF-Lookup-Limit lösen

Das 10-DNS-Lookup-Limit ist real und lästig. So gehen Sie damit um.

Ihre aktuelle Anzahl prüfen

Verwenden Sie MXToolbox SPF Record Check – es zeigt Ihre Gesamtanzahl an Lookups.

Jedes include: löst Lookups aus. Einige Dienste verschachteln mehrere Includes. Google Workspace allein verbraucht intern 4–5 Lookups.

Option 1: Ungenutzte Absender entfernen

Prüfen Sie, welche Dienste tatsächlich E-Mails senden. Das Mailchimp-Include von 2019, als Sie einen Monat lang E-Mail-Marketing ausprobiert haben? Entfernen Sie es.

Option 2: IP-Adressen direkt verwenden

Statt include:sendgrid.net können Sie SendGrids IP-Bereiche direkt auflisten:

v=spf1 ip4:167.89.0.0/16 ip4:208.117.48.0/20 include:_spf.google.com ~all

IP-Adressen zählen nicht zum Lookup-Limit. Aber sie sind schwerer zu pflegen – IPs ändern sich.

Option 3: SPF-Flattening

Flattening ersetzt include:-Anweisungen durch die tatsächlichen IP-Adressen, die sie auflösen. Tools, die das automatisieren:

Der Haken: Flattening-Einträge müssen aktualisiert werden, wenn Anbieter IPs ändern. Manuelles Flattening verursacht Wartungsaufwand. Verwenden Sie einen Dienst, wenn Sie diesen Weg gehen.

Option 4: Nach Subdomain aufteilen

Verschiedene Subdomains für verschiedene Absender verwenden:

  • @ihrUnternehmen.com — Nur primäre E-Mail
  • @mail.ihrUnternehmen.com — Marketing-Tools
  • @notify.ihrUnternehmen.com — Anwendungsbenachrichtigungen

Jede Subdomain hat ihren eigenen SPF-Eintrag mit eigenem 10-Lookup-Limit.

E-Mail-Header lesen

Bei der Untersuchung von Phishing oder Zustellungsproblemen erzählen E-Mail-Header die Geschichte. Hier ist, worauf Sie achten müssen.

Header finden

Gmail: E-Mail öffnen → Drei Punkte → „Original anzeigen" Outlook: E-Mail öffnen → Datei → Eigenschaften → „Internetheader" Apple Mail: Darstellung → Nachricht → Alle Header

Wichtige zu prüfende Header

Authentication-Results — Zeigt SPF, DKIM, DMARC bestanden/fehlgeschlagen:

Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass (google.com: domain of [email protected] designates 209.85.220.41 as permitted sender);
       dmarc=pass (p=REJECT sp=REJECT) header.from=company.com

Received — Kette der Server, durch die die E-Mail gegangen ist. Von unten nach oben lesen (ältester zuerst):

Received: from mail.attacker.com (suspicious-ip.com [192.168.1.1])
        by your-server.com with SMTP
        for <[email protected]>;
        Thu, 15 Jan 2024 10:30:00 -0500

From vs Return-Path — Der From:-Header ist das, was Nutzer sehen. Return-Path: ist das, was SPF prüft. Wenn sie nicht übereinstimmen, untersuchen Sie:

From: [email protected]
Return-Path: [email protected]

Das ist klassisches Spoofing – der Anzeigename täuscht Ihre Domain vor, aber der tatsächliche Absender ist ein anderer.

Tools für Header-Analyse

Schutz vor Look-alike-Domains

SPF/DKIM/DMARC schützen Ihre Domain. Aber Angreifer registrieren ähnliche Domains:

  • ihrUnternehmen.co (andere TLD)
  • ihrUrnehmen.com (ein Buchstabe fehlt)
  • ihrUnternehmen-support.com (zusätzliches Wort)
  • ihrUnternehmen0.com (Buchstabenersetzung)

Defensive Registrierung

Registrieren Sie offensichtliche Variationen Ihrer Domain, insbesondere:

  • Häufige TLDs (.co, .io, .net, .org)
  • Tippfehler Ihres Namens
  • Ihr Name mit häufigen Suffixen (-app, -mail, -support)

Das kostet Geld, verhindert aber einfache Imitation.

Monitoring nach Look-alikes

Tools, die nach neu registrierten ähnlichen Domains scannen:

Kostenlos:

  • dnstwist — Open Source, generiert Permutationen und prüft, welche registriert sind
  • URLCrazy — Ähnlich, generiert Typosquatting-Domains
# Run dnstwist
dnstwist --registered yourcompany.com

Kommerziell:

  • PhishLabs — Domain-Monitoring plus Takedown-Dienste
  • Bolster — KI-basierte Phishing-Erkennung
  • Red Points — Markenschutz einschließlich Domains

Was tun, wenn Sie eine finden

  1. Prüfen, ob sie Inhalte hostet (E-Mail, Website)
  2. Wenn sie Sie klar imitiert, Missbrauchsbeschwerde beim Registrar einreichen
  3. Bei aktivem Phishing bei Google Safe Browsing und Browser-Anbietern melden
  4. Bei schwerwiegenden Fällen rechtliche Schritte in Betracht ziehen

E-Mail-Sicherheitsgateways

Für Unternehmen, die mehr als grundlegenden Schutz wollen, fügen E-Mail-Sicherheitsgateways Filterebenen, Sandboxing und Bedrohungserkennung hinzu.

Cloud-basierte Optionen

Enterprise:

Mittelklasse:

KMU-freundlich:

Wann Sie eines benötigen

Erwägen Sie ein Gateway, wenn:

  • Sie trotz DMARC erhebliches Phishing erhalten
  • Sie erweiterten Bedrohungsschutz benötigen (Sandboxing, URL-Umschreiben)
  • Compliance E-Mail-Archivierung oder -Verschlüsselung erfordert
  • Sie eine zentralisierte Richtlinie über mehrere Domains benötigen

Für die meisten kleinen Unternehmen reicht die native Google-/Microsoft-Sicherheit plus ordentliches DMARC. Gateways fügen Komplexität und Kosten hinzu.

BEC-Schutz: Finanzielle Verifizierungsverfahren

Business Email Compromise kostet Unternehmen mehr als jeder andere Cyberangriffs-Typ. Technische Kontrollen helfen, aber Prozesskontrollen sind für Finanztransaktionen unverzichtbar.

Die Verifizierungsrichtlinie

Schreiben Sie das auf und machen Sie es offiziell:

Für Überweisungen und Zahlungsänderungen:

  1. Jede Anfrage zur Änderung von Zahlungsdetails muss per Telefon verifiziert werden
  2. Verwenden Sie eine bekannte Telefonnummer – nicht die aus der Änderungsanfrage-E-Mail
  3. Zwei Personen müssen Überweisungen über X € genehmigen (legen Sie Ihre Schwelle fest)
  4. Neue Lieferanten erfordern Verifizierung vor der ersten Zahlung

Für sensible Datenanfragen:

  1. Anfragen nach Mitarbeiterdaten (Gehaltsabrechnungen, Sozialversicherungsnummern usw.) müssen persönlich oder telefonisch verifiziert werden
  2. Niemals sensible Daten per E-Mail senden – verwenden Sie verschlüsselte Dateifreigabe

Das Rückrufverfahren

Wenn Sie eine Überweisungsanfrage erhalten:

  1. Antworten Sie nicht auf die E-Mail
  2. Suchen Sie die Telefonnummer des Absenders unabhängig (Unternehmensverzeichnis, frühere Aufzeichnungen)
  3. Rufen Sie direkt an
  4. Bestätigen Sie die Anfrage, den Betrag und die Kontodaten
  5. Verifizierung dokumentieren

Das dauert 5 Minuten und verhindert sechsstellige Verluste.

Finanzabteilung speziell schulen

Ihr Finanzteam ist das primäre BEC-Ziel. Geben Sie ihm spezifische Schulungen:

  • Echte Beispiele von BEC-E-Mails (fordern Sie gefälschte von KnowBe4 oder ähnlichem an)
  • Das Verifizierungsverfahren üben
  • Erlaubnis, verdächtige Anfragen zu verzögern („Ich muss das verifizieren, ich bearbeite es nach einem Rückruf")
  • Direkten Kontakt zu IT/Sicherheit für verdächtige E-Mails

Was tun, wenn Sie gefälscht werden

Sie richten DMARC-Berichte ein und entdecken, dass jemand Ihre Domain aktiv fälscht. Was nun?

Sofortmaßnahmen

  1. Ihre DMARC-Durchsetzungsstufe prüfen — Wenn Sie auf p=none sind, werden gefälschte E-Mails zugestellt. Wechseln Sie so schnell wie sicher möglich zu p=quarantine oder p=reject.

  2. Ihre Kunden/Partner warnen — Wenn Angreifer Sie gegenüber Ihren Kontakten fälschen, warnen Sie diese. Eine kurze E-Mail: „Wir haben betrügerische E-Mails entdeckt, die vorgeben, von unserer Domain zu kommen. Wir arbeiten daran. Bitte verifizieren Sie unerwartete Anfragen über offizielle Kanäle."

  3. Das Spoofing dokumentieren — Speichern Sie DMARC-Berichte, E-Mail-Header und etwaige Beispiele. Sie könnten diese für rechtliche Schritte oder die Strafverfolgung benötigen.

Die Quelle verfolgen

DMARC-Berichte zeigen die IP-Adressen, die gefälschte E-Mails senden. Sie können:

  • Den Eigentümer der IP nachschlagen (wer hostet den Server des Angreifers)
  • Missbrauchsbeschwerden beim Hosting-Anbieter einreichen
  • Bei Spamhaus melden, wenn es eine bedeutende Spam-Quelle ist

Phishing-Kampagnen melden

Wenn das Spoofing Teil einer Phishing-Kampagne ist:

Langfristige Behebung

  1. Vollständige DMARC-Durchsetzung (p=reject)
  2. Subdomain-Richtlinie (sp=reject)
  3. Look-alike-Domains defensiv registrieren
  4. DMARC-Berichte laufend überwachen

Phishing-Abwehr: Die menschliche Ebene

Technische Kontrollen stoppen Spoofing. Aber Angreifer können noch immer:

  • Look-alike-Domains verwenden (ihrUnternehmen-support.com statt ihrUnternehmen.com)
  • Ein echtes Konto kompromittieren und von dort senden
  • Von ihrer eigenen Domain mit überzeugenden Inhalten senden

Die menschliche Ebene ist wichtig.

Schulungen, die wirklich funktionieren

Die meisten Sicherheitsbewusstseins-Schulungen sind nutzlos. Mitarbeiter klicken sich durch Folien, bestehen einen Test und vergessen alles innerhalb einer Woche. Was wirklich funktioniert:

Echte Beispiele zeigen

Sammeln Sie echte Phishing-E-Mails, die Ihr Unternehmen (oder ähnliche Unternehmen) angegriffen haben. Zeigen Sie dem Team:

  • Was sie legitim wirken ließ
  • Was die Warnsignale waren
  • Was passiert wäre, wenn jemand geklickt hätte

Echte Beispiele bleiben besser haften als hypothetische.

Phishing-Simulationen durchführen

Senden Sie gefälschte Phishing-E-Mails an Ihr Team. Verfolgen Sie, wer klickt. Das geht nicht darum, Menschen zu bestrafen – es geht darum:

  • Ihr Ausgangsrisiko zu messen
  • Menschen Übung im Erkennen von Phishing in einer sicheren Umgebung zu geben
  • Zu identifizieren, wer mehr Schulung benötigt

Kostenlose/günstige Tools:

Kommerziell (einfacher zu bedienen):

Führen Sie Simulationen vierteljährlich durch. Halten Sie sie realistisch – machen Sie sie nicht offensichtlich. Das Ziel ist Schulung, nicht Tricks.

Den „Im Zweifel"-Prozess lehren

Geben Sie Menschen einen klaren Ablauf, wenn sie unsicher sind:

  1. Nichts anklicken
  2. Die E-Mail an [email protected] (oder Ihre designierte Adresse) weiterleiten
  3. Wenn es dringend ist (wie eine Überweisungsanfrage), über einen separaten Kanal verifizieren – die Person direkt anrufen unter einer bekannten Nummer, nicht der in der E-Mail

Das muss einfach sein. Wenn das Melden kompliziert ist, tun es die Leute nicht.

Technische Anti-Phishing-Kontrollen

Jenseits von SPF/DKIM/DMARC:

Externe E-Mail-Warnungen

Konfigurieren Sie Ihren E-Mail-Anbieter so, dass er E-Mails von außerhalb Ihrer Organisation kennzeichnet:

  • Google Workspace: Admin → Apps → Gmail → Sicherheit → Warnung für externe Empfänger aktivieren
  • Microsoft 365: Nachrichtenfluss-Regeln → „[EXTERN]"-Präfix zum Betreff hinzufügen

Das erinnert Menschen, vorsichtig zu sein, wenn eine E-Mail vorgibt, von einem Kollegen zu sein, aber eigentlich von außen kommt.

Link- und Anhang-Scanning

Sowohl Google Workspace als auch Microsoft 365 haben integriertes Scanning:

  • Google: Security Sandbox, Safe Browsing
  • Microsoft: Safe Attachments, Safe Links

Aktivieren Sie diese. Sie sind nicht perfekt, fangen aber bekannte Malware und Phishing-Domains.

Phishing-Melde-Schaltfläche

Machen Sie das Melden verdächtiger E-Mails mit einem Klick möglich:

  • Google Workspace: „Phishing melden" in Gmail-Einstellungen aktivieren
  • Microsoft 365: „Nachricht melden"-Add-in aktivieren

Berichte sollten an jemanden gehen, der sie tatsächlich prüft.

Häufige Fehler vermeiden

Mit Ihrer eigenen Domain testen

Wenn Sie Ihre SPF/DKIM/DMARC-Einrichtung testen, senden Sie nicht nur an sich selbst. Ihr Mailserver könnte interne E-Mails anders behandeln. Senden Sie an eine persönliche Gmail-Adresse oder verwenden Sie Mail Tester für genaue Ergebnisse.

Subdomains vergessen

Ihre DMARC-Richtlinie gilt möglicherweise standardmäßig nicht für Subdomains. Angreifer können billing.ihrUnternehmen.com fälschen, auch wenn ihrUnternehmen.com geschützt ist. Fügen Sie hinzu:

v=DMARC1; p=reject; sp=reject; rua=mailto:[email protected]

Das sp=reject wendet die Richtlinie auf alle Subdomains an.

Legitime Absender kaputt machen

Zu schnell zu p=reject wechseln bricht E-Mails. Häufige Opfer:

  • Alte Marketing-Tools, die niemand mehr kennt
  • Der Lieferant, den Ihr Finanzteam für Rechnungen nutzt
  • Der persönliche Mail-Client des CEOs, der über Ihre Domain weiterleitet

Überwachen Sie im p=none-Modus, bis Sie sicher sind, alles gefunden zu haben.

SPF-Lookup-Limit

SPF erlaubt maximal 10 DNS-Lookups. Jedes include: zählt typischerweise als eines (einige Dienste verschachteln Includes). Wenn Sie 10 überschreiten, bricht SPF still.

Prüfen Sie Ihre Anzahl:

# Online tools like MXToolbox show this
# Or manually trace each include

Wenn Sie überschreiten, müssen Sie Ihren SPF-Eintrag flatten oder ungenutzte Absender entfernen.

Schutz für Führungskräfte und Hochrisiko-Nutzer

Führungskräfte und Finanzteams sind Hauptziele. Sie haben die Autorität, Transaktionen zu genehmigen, und Zugriff auf sensible Informationen. Zusätzlicher Schutz ist gerechtfertigt.

Hochrisiko-Nutzer identifizieren

Erstellen Sie eine Liste von Konten, die zusätzliches Monitoring benötigen:

  • CEO, CFO, COO und andere Führungskräfte
  • Finanzteam (alle, die Zahlungen initiieren können)
  • HR (Zugriff auf Mitarbeiterdaten)
  • IT-Administratoren (erhöhte Rechte)
  • Alle mit Zugriff auf Kundendaten oder Geschäftsgeheimnisse

Verstärkte Kontrollen für Führungskräfte

Dedizierte Phishing-Simulation

Führen Sie führungskräftespezifische Simulationen mit raffinierteren Angriffen durch. CEO-Betrug nutzt oft Dringlichkeit und Autorität – testen Sie dafür.

Strengere MFA

Verlangen Sie Hardware-Schlüssel (YubiKey) für Führungskräfte, nicht nur TOTP. Hardware-Schlüssel sind gegen Phishing resistent auf eine Weise, die SMS und Authenticator-Apps nicht sind.

Out-of-Band-Verifizierung

Für Führungskräfte sollte jede ungewöhnliche Anfrage einen Telefonanruf auslösen. „Der CEO hat per E-Mail nach einer Überweisung gefragt" → Den CEO unter einer bekannten Nummer anrufen, bevor man handelt.

VIP-Imitationswarnungen

Einige E-Mail-Sicherheitstools können E-Mails kennzeichnen, die Ihre Führungskräfte namentlich imitieren. Google Workspace und Microsoft 365 haben diese Funktionen in erweiterten Stufen.

Begrenzte E-Mail-Exposition

Erwägen Sie verschiedene E-Mail-Adressen:

Reduziert gezieltes Spear-Phishing, wenn Angreifer Führungskräfte-E-Mails nicht leicht finden können.

E-Mail-Konto-Kompromittierung: Incident Response

Wenn ein E-Mail-Konto kompromittiert wird, zählt Geschwindigkeit. Hier ist das Playbook.

Anzeichen für Kompromittierung

  • Passwort unerwartet geändert
  • Login von ungewöhnlichem Ort/Gerät (Login-Verlauf prüfen)
  • Kontakte erhalten Phishing vom Konto
  • Unbekannte Weiterleitungsregeln eingerichtet
  • Gesendete-Ordner enthält E-Mails, die der Nutzer nicht gesendet hat
  • Nutzer aus seinem Konto ausgesperrt

Sofortmaßnahmen (erste 30 Minuten)

  1. Passwort zurücksetzen — Sofort, über die Admin-Konsole, wenn der Nutzer ausgesperrt ist
  2. Alle Sitzungen beenden — Abmelden auf allen Geräten erzwingen
  3. Konto vorübergehend deaktivieren, wenn die Kompromittierung schwerwiegend ist
  4. Weiterleitungsregeln prüfen und entfernen — Angreifer richten diese für Persistenz ein
  5. Postfach-Regeln prüfen und entfernen — Nach Regeln suchen, die E-Mails löschen, weiterleiten oder verstecken
  6. OAuth-/App-Verbindungen prüfen — Verdächtige Drittanbieter-App-Zugriffe widerrufen
  7. MFA aktivieren, falls nicht bereits aktiviert (das sollte den Angriff verhindern)

Untersuchung (nächste Stunden)

  1. Login-Verlauf prüfen — Woher hat sich der Angreifer eingeloggt? Wann begann es?
  2. Gesendete E-Mails prüfen — Was hat der Angreifer während der Kontrolle gesendet?
  3. Prüfen, ob Kontakte angephisht wurden — Hat der Angreifer das Konto genutzt, um andere anzugreifen?
  4. Einstiegspunkt identifizieren — Wie wurde das Passwort kompromittiert? Phishing? Credential-Stuffing? Malware?
  5. Datenzugriff prüfen — Welche E-Mails/Dateien hat der Angreifer eingesehen oder heruntergeladen?

Benachrichtigung (nach Bedarf)

  • Intern: Betroffene Kollegen warnen, wenn Phishing vom Konto gesendet wurde
  • Extern: Partner/Kunden benachrichtigen, wenn sie betrügerische E-Mails erhalten haben
  • Rechtlich: Wenn sensible Daten zugegriffen wurden, können Sie Meldepflichten haben

Nach dem Vorfall

  1. Nutzerschulung — Wie wurde der Nutzer kompromittiert? Das spezifisch ansprechen
  2. MFA-Abdeckung prüfen — War MFA aktiviert? Wenn ja, wie wurde es umgangen?
  3. Vorfall dokumentieren — Für zukünftige Referenz und Mustererkennung
  4. Erkennung aktualisieren — Können Sie das nächste Mal schneller reagieren? Benachrichtigungen für die beobachteten IOCs hinzufügen

OAuth und App-Passwörter: Versteckter E-Mail-Zugriff

E-Mail-Kompromittierung dreht sich nicht immer um das Stehlen von Passwörtern. OAuth-Gewährungen und App-Passwörter bieten persistenten Zugriff, der Passwortänderungen überlebt.

Die OAuth-Bedrohung

Wenn Nutzer auf „Mit Google anmelden" oder „E-Mail verbinden" klicken, gewähren sie OAuth-Tokens. Diese Tokens erlauben Drittanbieter-Apps, E-Mails zu lesen, manchmal unbegrenzt.

Angreifer nutzen das:

  1. Phishing-E-Mail mit „Dieses Dokument überprüfen" senden
  2. Nutzer klickt und landet auf gefälschtem OAuth-Zustimmungsbildschirm
  3. Nutzer gewährt Zugriff auf „Dokument-Viewer"-App
  4. App ist tatsächlich angreifer-gesteuert, hat jetzt E-Mail-Zugriff
  5. Passwortänderung widerruft das OAuth-Token nicht

OAuth-Gewährungen prüfen

Google Workspace: Admin-Konsole → Sicherheit → API-Steuerung → App-Zugriffskontrolle

Verbundene Apps prüfen. Alles Verdächtige oder Ungenutzte widerrufen.

Microsoft 365: Azure AD → Enterprise-Anwendungen → Benutzerzustimmungseinstellungen

Prüfen, welchen Apps Zugriff gewährt wurde.

App-Passwörter

App-Passwörter sind alternative Zugangsdaten, die MFA umgehen. Nutzer erstellen sie für Mail-Clients oder Apps, die keine moderne Authentifizierung unterstützen.

Das Problem: App-Passwörter sind genauso gut wie das echte Passwort, ohne MFA.

App-Passwörter deaktivieren, wenn Ihre Apps OAuth unterstützen. Die meisten modernen Clients tun das. Prüfen Sie:

  • Google Workspace: Admin → Sicherheit → Weniger sichere Apps → Deaktivieren
  • Microsoft 365: Azure AD → Authentifizierungsmethoden → App-Passwörter deaktivieren

Mobile E-Mail-Sicherheit

Ihre Sicherheit ist nur so gut wie das unsicherste Gerät, das auf E-Mails zugreift.

Grundlegende mobile Kontrollen

Geräteverschlüsselung verlangen

  • iOS: Standardmäßig mit Passcode verschlüsselt
  • Android: In Einstellungen → Sicherheit → Verschlüsselung aktivieren

Bildschirmsperre verlangen Sowohl Google Workspace als auch Microsoft 365 können eine Mindest-PIN-Länge und Biometrie durchsetzen.

Remote-Wipe-Fähigkeit Aktivieren Sie die Möglichkeit, Unternehmensdaten zu löschen, wenn ein Gerät verloren geht:

  • Google Workspace: Admin-Konsole → Geräte → Mobilgeräte
  • Microsoft 365: Endpoint Manager / Intune

Mobile App-Auswahl

Für sensible Umgebungen erwägen Sie:

  • Nur offizielle Apps — Gmail-App, Outlook-App (keine zufälligen Drittanbieter-Mail-Apps)
  • Verwaltete Apps — Apps, die IT konfigurieren und separat von persönlichen Daten löschen kann
  • Container-Apps — Arbeits-E-Mails in einem separaten, verschlüsselten Container halten

MDM-Überlegung

Mobile Device Management (MDM) bietet zentrale Kontrolle, fügt aber Komplexität hinzu. Für kleine Unternehmen:

  • Google Workspace hat integriertes einfaches MDM (kostenlos mit Workspace)
  • Microsoft 365 hat Intune (in einigen Plänen enthalten)
  • Erwägen Sie MDM, wenn Sie Compliance-Anforderungen oder Hochrisiko-Daten haben

Für die meisten kleinen Unternehmen reicht das Verlangen von MFA und das Aktivieren von Remote-Wipe ohne vollständiges MDM.

Häufige Phishing-Muster

Zu wissen, wie Angriffe aussehen, hilft beim Erkennen. Diese Muster treffen kleine Unternehmen regelmäßig.

Die gefälschte Rechnung

„Ihre Rechnung ist zur Zahlung bereit" mit einem Anhang oder Link. Der Anhang ist Malware oder der Link führt zu Credential-Phishing. Häufige Absender: „DocuSign", „QuickBooks", „Ihre Bank".

Warnsignale: Unerwartete Rechnung, Absender-Domain stimmt nicht mit dem Unternehmen überein, Dringlichkeit.

Das geteilte Dokument

„[Kollegen-Name] hat ein Dokument mit Ihnen geteilt" von Google Drive, Dropbox oder OneDrive. Link führt zu gefälschter Anmeldeseite.

Warnsignale: Sie haben kein geteiltes Dokument erwartet, die Link-Domain ist falsch (drive.google.com.malicious.com).

Die Konto-Sperrung

„Ihr Konto wird gesperrt, es sei denn, Sie verifizieren" von IT, Microsoft, Google oder der Bank. Erzeugt Dringlichkeit, ohne nachzudenken zu klicken.

Warnsignale: Allgemeine Anrede, Drohungen, Dringlichkeit, Absender-Domain stimmt nicht überein.

Die CEO-Anfrage

„Ich brauche Sie, um etwas dringend zu erledigen" scheinbar vom CEO oder CFO. Meist Anfragen für Überweisungen, Geschenkkarten oder sensible Daten. Oft wird behauptet, auf Reisen oder in einer Besprechung zu sein (nicht erreichbar per Telefon).

Warnsignale: Ungewöhnliche Anfrage, Dringlichkeit, bittet um Vertraulichkeit, andere Antwort-Adresse.

Die Paketzustellung

„Ihr Paket konnte nicht zugestellt werden" von UPS, FedEx, DHL. Link führt zu Credential-Phishing oder Malware.

Warnsignale: Unerwartete Zustellungsbenachrichtigung, falsches Tracking-Format, verdächtiger Link.

Das ablaufende Passwort

„Ihr Passwort läuft in 24 Stunden ab" von IT. Link führt zu gefälschter Unternehmens-Anmeldeseite, die Zugangsdaten erntet.

Warnsignale: IT schreibt wahrscheinlich nicht so über ablaufende Passwörter, Link führt zur falschen Domain.

Wenn E-Mail nicht sicher genug ist

E-Mail wurde in einer Ära des Vertrauens entworfen. Für wirklich sensible Kommunikation erwägen Sie Alternativen.

End-to-End-verschlüsselte Nachrichten

Für sensible interne Diskussionen:

  • Signal — Goldstandard für verschlüsselte Nachrichten
  • Wire — Geschäftsorientiert, end-to-end-verschlüsselt
  • Element (Matrix) — Self-hostbar, Open Source

Sichere Dateifreigabe

Senden Sie keine sensiblen Dokumente per E-Mail. Verwenden Sie:

  • Passwortgeschützte Links mit Ablaufdatum
  • Plattformen mit Zugriffskontrollen und Audit-Protokollen
  • Ihren Passwort-Manager für das Teilen von Zugangsdaten (Passwork usw.)

Wann Alternativen verwenden

Erwägen Sie Nicht-E-Mail-Kanäle für:

  • Passwörter oder API-Schlüssel teilen (Passwort-Manager verwenden)
  • M&A-, Rechts- oder HR-Angelegenheiten besprechen (verschlüsselte Nachrichten)
  • Verträge oder rechtliche Dokumente senden (sichere Portale mit Audit-Trails)
  • Während eines Sicherheitsvorfalls kommunizieren (davon ausgehen, dass E-Mail kompromittiert ist)

Tools und Ressourcen

Testen und Validierung

DMARC-Berichterstattung

  • Postmark DMARC — Kostenlose wöchentliche Digests
  • DMARC Analyzer — Kostenlose Stufe, gute Visualisierung
  • dmarcian — Kostenlose Stufe, detaillierte Analyse
  • Valimail — Enterprise, automatische Durchsetzung
  • EasyDMARC — Kostenlose Stufe, einfache Oberfläche

Phishing-Simulation

Kostenlos/Open Source:

Kommerziell:

Domain-Monitoring

  • dnstwist — Open-Source-Look-alike-Finder
  • PhishTank — Community-Phishing-Datenbank
  • URLhaus — Malware-URL-Datenbank

Praktische Tipps

Einige Dinge, die E-Mail-Sicherheit einfacher machen.

Die vierteljährliche DMARC-Überprüfung

Setzen Sie eine Kalender-Erinnerung alle 3 Monate, um:

  1. Ihre DMARC-Berichte auf neue unbefugte Absender zu prüfen
  2. Zu verifizieren, dass alle legitimen Absender noch funktionieren
  3. Nach fehlgeschlagenen DKIM-Signaturen zu schauen (Zertifikatsablauf, Dienständerungen)
  4. Ihren SPF-Eintrag auf Dienste zu prüfen, die Sie nicht mehr nutzen

Dauert 30 Minuten. Erkennt Abweichungen, bevor sie Probleme verursachen.

Vor DNS-Änderungen testen

Bevor Sie SPF/DKIM/DMARC in der Produktion aktualisieren:

  1. Die neue Eintragsyntax mit MXToolbox testen
  2. Vor Änderungen eine kurze TTL (300 Sekunden) setzen
  3. Die Änderung vornehmen
  4. Sofort Test-E-Mails an Mail Tester senden
  5. Wenn etwas kaputt geht, bedeutet die kurze TTL schnellen Rollback
  6. Sobald verifiziert, TTL wieder auf normal erhöhen (3600+)

Die Phishing-Beispielsammlung

Erstellen Sie einen geteilten Ordner (Notion-Seite, Google Doc, was auch immer), wo jeder Phishing-Versuche, die er erhält, hinzufügen kann. Mit der Zeit bauen Sie auf:

  • Eine Bibliothek echter Beispiele für Schulungen
  • Muster darin, was Angreifer bei Ihrem Unternehmen ins Visier nehmen
  • Beweise, falls Sie sie jemals für die Strafverfolgung benötigen

Machen Sie es einfach, Beispiele hinzuzufügen – ein einfaches Formular oder E-Mail-Weiterleitung funktioniert.

Weiterleiten vs. Umleiten zum Melden

Wenn Nutzer Phishing melden, sollten sie als Anhang weiterleiten (nicht normale Weiterleitung). Normale Weiterleitung kann Header entfernen, die Sie für die Analyse benötigen.

Gmail: E-Mail auswählen → Drei Punkte → „Als Anhang weiterleiten" Outlook: E-Mail auswählen → Start → Mehr → „Als Anlage weiterleiten"

Schulen Sie Nutzer darin oder richten Sie ein System ein, das das automatisch handhabt.

Die „bekannte Absender"-Liste

Für Hochrisiko-Transaktionen (Überweisungen, sensible Daten) pflegen Sie eine verifizierte Kontaktliste:

  • Name
  • Verifizierte Telefonnummer (nicht aus E-Mail)
  • Verifizierte E-Mail-Domain
  • Letztes Verifizierungsdatum

Wenn Anfragen eingehen, prüfen Sie gegen diese Liste. Wenn der Absender nicht darauf ist oder etwas seltsam erscheint, verifizieren Sie, bevor Sie handeln.

E-Mail-Weiterleitungs-Audit

E-Mail-Weiterleitungsregeln sind ein bevorzugter Persistenz-Mechanismus. Angreifer kompromittieren ein Konto, richten eine Weiterleitung an ihre externe E-Mail ein und erhalten dann Kopien von allem, auch nachdem Sie das Passwort geändert haben.

Prüfen Sie regelmäßig:

  • Google Workspace: Admin-Konsole → Berichte → Audit → Gmail → Nach „E-Mail-Weiterleitung aktiviert" filtern
  • Microsoft 365: Sicherheit & Compliance → Bedrohungsmanagement → Nachrichtenfluss → Automatisch weitergeleitete Nachrichten

Entfernen Sie alle Weiterleitungen, die Sie nicht erkennen. Prüfen Sie auch individuelle Postfach-Regeln (Angreifer erstellen Regeln, die bestimmte E-Mails weiterleiten).

Schnell-Win-Checkliste

Dinge, die Sie heute tun können:

  • Aktuelle SPF-, DKIM-, DMARC-Einträge prüfen
  • Alle Dienste inventarisieren, die E-Mails als Ihre Domain senden
  • Externe E-Mail-Markierung in Ihrem E-Mail-Anbieter aktivieren
  • Link-/Anhang-Scanning aktivieren
  • DMARC-Eintrag im p=none-Modus einrichten, um Daten zu sammeln
  • Die „Phishing melden"-Schaltfläche für Nutzer aktivieren

Dinge, die einige Wochen dauern:

  • DKIM für alle Absender konfigurieren
  • SPF so korrigieren, dass alle legitimen Absender enthalten sind
  • DMARC-Berichte analysieren und Probleme beheben
  • DMARC zu p=quarantine, dann p=reject verschieben
  • Erste Phishing-Simulation durchführen

Workshop: Ihre E-Mail absichern

Reservieren Sie 2–3 Stunden für die Ersteinrichtung, dann laufendes Monitoring.

Teil 1: Audit und SPF (45 Minuten)

  1. Aktuelle Einträge mit MXToolbox prüfen
  2. Alle Dienste auflisten, die E-Mails als Ihre Domain senden
  3. SPF-Eintrag mit allen Absendern erstellen oder aktualisieren
  4. Den DNS-Eintrag hinzufügen/aktualisieren
  5. Mit Test-E-Mail an Mail Tester verifizieren

Teil 2: DKIM-Einrichtung (60 Minuten)

  1. DKIM in Ihrem primären E-Mail-Anbieter aktivieren
  2. DNS-Einträge hinzufügen
  3. Verifizieren, dass DKIM E-Mails signiert (Header gesendeter E-Mail prüfen)
  4. Für jeden Drittanbieter-Absender wiederholen (das dauert)

Teil 3: DMARC-Einführung (30 Minuten initial, dann laufend)

  1. DMARC-Eintrag mit p=none erstellen
  2. Kostenlosen DMARC-Berichtsanalysator einrichten
  3. Den DNS-Eintrag hinzufügen
  4. Auf Berichte warten (meist 24–48 Stunden)
  5. Wöchentlich prüfen, Probleme beheben, Durchsetzung schrittweise erhöhen

Teil 4: Phishing-Simulations-Einrichtung (45 Minuten)

  1. Gophish installieren oder für ein kommerzielles Tool anmelden
  2. Eine realistische Phishing-Vorlage erstellen
  3. Mitarbeiter-E-Mail-Liste importieren
  4. Simulation für einige Tage im Voraus planen
  5. Ergebnisse prüfen und Folgeschulung planen

Ergebnisse:

  • SPF, DKIM, DMARC konfiguriert
  • DMARC-Monitoring eingerichtet
  • Erste Phishing-Simulation geplant
  • Externe E-Mail-Markierung aktiviert
  • Meldeprozess dokumentiert

Gespräch mit der Unternehmensleitung

Wenn jemand fragt, warum Sie Zeit damit verbracht haben:

„Ich habe E-Mail-Authentifizierung eingerichtet, damit niemand gefälschte E-Mails senden kann, die aussehen, als kämen sie von unserem Unternehmen. Davor konnte jeder E-Mails als unser CEO senden und nach Überweisungen fragen – das ist ein häufiger Angriff. Jetzt werden diese E-Mails blockiert. Außerdem habe ich einen Phishing-Test durchgeführt und das Team geschult, worauf man achten muss. Phishing ist der Ausgangspunkt der meisten Einbrüche, und wir haben dieses Risiko reduziert."

Kurzfassung: „Ich habe dafür gesorgt, dass Angreifer unsere E-Mail nicht imitieren können, und das Team in Phishing-Erkennung geschult."

Selbstcheck: Haben Sie es wirklich getan?

E-Mail-Authentifizierung

  • SPF-Eintrag mit allen legitimen Absendern konfiguriert
  • SPF besteht die Validierung (keine Lookup-Limit-Probleme)
  • DKIM für den primären E-Mail-Anbieter aktiviert
  • DKIM für wichtige Drittanbieter-Absender konfiguriert
  • DMARC-Eintrag veröffentlicht (mindestens p=none)
  • DMARC-Berichtsanalysator eingerichtet
  • Durch Senden an Mail Tester oder ähnliches getestet

Anti-Phishing-Kontrollen

  • Externe E-Mail-Warnung aktiviert
  • Link-/Anhang-Scanning aktiviert
  • „Phishing melden"-Schaltfläche für Nutzer verfügbar
  • Prozess für den Umgang mit gemeldeten Phishing-Versuchen dokumentiert

Schulung

  • Erste Phishing-Simulation geplant oder abgeschlossen
  • „Im Zweifel"-Prozess dem Team kommuniziert
  • Echte Phishing-Beispiele für Schulungen gesammelt

Wenn Sie mindestens 10 dieser 14 Punkte abhaken können, sind Sie bereit, weiterzumachen.

Was kommt als Nächstes

Technische Kontrollen behandeln Spoofing. Aber kein Filter stoppt eine gut gestaltete Phishing-E-Mail – das ist ein Menschenproblem.

Nächstes Kapitel: E-Mail-Hygiene und Phishing-Sensibilisierungstraining – die menschliche Seite der E-Mail-Sicherheit aufbauen.

© 2014–2025 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum