E-Mail Sicherheit

SMTP (Simple Mail Transfer Protocol) wurde 1982 von Jon Postel entworfen — für ein Netzwerk von ein paar hundert Universitäts-Rechnern, in dem sich jeder kannte. Authentifizierung war schlicht nicht vorgesehen. Die erste Spam-Mail wurde 1978 verschickt (Gary Thuerk, DEC, an 393 ARPANET-Nutzer). Phishing als Begriff entstand 1996 in der AOL-Hacker-Szene. Heute werden täglich 3,4 Milliarden Phishing-Mails verschickt — mehr als ein Drittel aller E-Mails weltweit. SPF, DKIM und DMARC sind Pflaster auf einem 40 Jahre alten Riss.

• 1982: SMTP ohne Authentifizierung — jeder kann E-Mails von jeder Adresse fälschen (Spoofing)
• 1994: Erstes massives Spam-Ereignis durch Canter & Siegel (Anwaltskanzlei im USENET)
• 1996: "Phishing" als Begriff in AOL-Hackerforen geboren — Passwörter durch gefälschte Logins stehlen
• 2004: SPF (Sender Policy Framework) als erste technische Gegenwehr entwickelt
• 2011: DKIM + DMARC kombiniert — heute der Goldstandard für Domain-Authentifizierung
• 2023: 3,4 Mrd. Phishing-Mails täglich — BEC (Business E-Mail Compromise) = 2,9 Mrd. Dollar Schaden

Business E-Mail Compromise (BEC) ist seit 2022 die kostspieligste Cybercrime-Kategorie weltweit — teurer als Ransomware. Ein Angreifer kompromittiert oder imitiert die E-Mail-Adresse eines CEO oder Buchhalters und weist die Finanzabteilung an, eine dringende Überweisung durchzuführen. Kein Malware nötig, keine technische Schwachstelle — nur Glaubwürdigkeit. Deepfake-Audio-Angriffe haben das bereits auf die nächste Stufe gehoben: 2019 überwiesen Mitarbeiter eines britischen Unternehmens 220.000 Euro, nachdem sie einen Anruf "vom CEO" erhielten — der Anruf war KI-generiert.

• Phishing-Kits kaufbar: Fertige Fälschungen von PayPal, DHL, Amazon für unter 50 € im Darkweb
• Spear-Phishing: Gezielte Attacke mit persönlichen Details — 3× höhere Erfolgsquote als Mass-Phishing
• BEC (Business E-Mail Compromise): CEO-Fraud, Lieferanten-Imitationen — 2,9 Mrd. Dollar Schaden 2023
• QR-Code-Phishing ("Quishing"): Links im Bild umgehen URL-Filter in Mail-Gateways
• Deepfake-Voice-Angriffe: KI-geklonte Stimmen für telefonische Bestätigungen
• E-Mail-Thread-Hijacking: Angreifer hängt sich in echte E-Mail-Konversationen ein

SPF (Sender Policy Framework) ist ein DNS-Eintrag, der definiert, welche Server E-Mails für deine Domain senden dürfen. DKIM fügt jeder ausgehenden Mail eine kryptografische Signatur bei, die der Empfänger verifizieren kann. DMARC verbindet beide und legt fest, was bei Fehlern passiert: nichts, Quarantäne oder Ablehnen. Richtig konfiguriert verhindert DMARC, dass Angreifer Mails "von deiner-domain.de" versenden. Falsch oder gar nicht konfiguriert? 2023 hatte noch über 75 % aller Top-1M-Domains keine DMARC-Policy.

• SPF-Record im DNS: Whitelist erlaubter Mail-Server — ohne SPF ist Spoofing trivial
• DKIM: Kryptografische Signatur auf jeder Mail — Manipulation im Transit erkennbar
• DMARC: Policy-Durchsetzung + tägliche Berichte über Missbrauch deiner Domain
• MTA-STS + DANE: Erzwingt TLS-Verschlüsselung für E-Mail-Transport (gegen Abhören)
• Header-Analyse: "Received:" Header zeigen die echte Reiseroute einer Mail
• E-Mail-Aliase (SimpleLogin, AnonAddy): Separate Adresse pro Dienst — Spam isoliert, Leak erkennbar

Der wichtigste Schutz ist paradoxerweise kein technischer: gesundes Misstrauen. Jede E-Mail, die Dringlichkeit erzeugt, nach Login-Daten fragt oder zu einer Überweisung auffordert, ist verdächtig — unabhängig davon, von wem sie scheinbar kommt. Technisch hilft E-Mail-Verschlüsselung (S/MIME oder PGP) für sensible Kommunikation und Zwei-Faktor-Authentifizierung für alle E-Mail-Konten als absolute Pflicht.

• 2FA für alle E-Mail-Konten aktivieren — ein kompromittiertes Mailkonto öffnet alles andere
• Separate E-Mail-Adressen: Arbeit / Privat / Newsletter — Leaks bleiben isoliert
• Anmeldelinks immer manuell eintippen oder aus Lesezeichen öffnen, nie aus der Mail klicken
• Protonmail oder Tutanota für vertrauliche Kommunikation — Ende-zu-Ende-verschlüsselt
• Firmenkunden: DMARC "reject"-Policy einrichten — verhindert CEO-Fraud im eigenen Namen
• Phishing-Simulation für Teams (KnowBe4, Proofpoint): Mitarbeiter regelmäßig testen