E-Mail-Sicherheit
Cloud-E-Mail-Sicherheit: KnowBe4 zeigt Maßnahmen zum Schutz vor Phishing und Kontoübernahmen
Fünf wirksame Maßnahmen gegen Kontoübernahmen und Phishing
E-Mail-Konten sind längst mehr als digitale Postfächer: Sie verbinden Mitarbeiter, Kunden, Lieferanten, Finanzprozesse und zahlreiche geschäftskritische Anwendungen miteinander. Gerät ein Cloud-E-Mail-Konto unter die Kontrolle von Cyberkriminellen, erhalten diese deshalb häufig Zugang zu weit mehr als nur einzelnen Nachrichten. Der Schutz der E-Mail-Umgebung wird damit zu einer zentralen Voraussetzung für die digitale Widerstandsfähigkeit eines Unternehmens.
Erich Kron, CISO-Advisor bei KnowBe4 erklärt die Cybersicherheitsmaßnahmen.
Cloud-E-Mails bilden heute den Dreh- und Angelpunkt der Unternehmenskommunikation. Unabhängig von Branche und Größe laufen über sie Abstimmungen, Verträge, Rechnungen, Zugangsdaten, vertrauliche Dokumente und interne Entscheidungsprozesse.

Genau dieses Vertrauen macht E-Mail-Konten zu einem bevorzugten Ziel von Angreifern. Gelingt die Kompromittierung eines Postfachs, ist dies vergleichbar mit einem Generalschlüssel für das Unternehmen: Cyberkriminelle können Informationen stehlen, sich als Mitarbeiter ausgeben, Zahlungen umleiten, Schadsoftware verbreiten oder Angriffe auf Kunden und Geschäftspartner vorbereiten. Besonders gefährlich ist, dass interne E-Mails meist deutlich mehr Vertrauen genießen als externe Nachrichten. Viele Unternehmen prüfen eingehende E-Mails von außerhalb deshalb umfassend, während interne Kommunikation weniger streng kontrolliert wird. Nach einer erfolgreichen Kontoübernahme können Angreifer genau diese Vertrauenslücke ausnutzen.
Eine einzelne Sicherheitslösung reicht für den Schutz von Cloud-E-Mails nicht aus. Entscheidend ist vielmehr ein mehrschichtiger Ansatz, bei dem technische Kontrollen, sichere Geschäftsprozesse und sensibilisierte Mitarbeiter ineinandergreifen.
1. Phishing-resistente Multi-Faktor-Authentifizierung einsetzen
Passwörter allein reichen nicht aus, um Cloud-E-Mail-Konten zuverlässig zu schützen. Die hohe Zahl erfolgreicher Account-Takeover-Angriffe zeigt, wie leicht Zugangsdaten durch Phishing, Datenlecks oder Schadsoftware in falsche Hände geraten können.
Eine Multi-Faktor-Authentifizierung, kurz MFA, gehört daher weiterhin zu den wirksamsten Sicherheitsmaßnahmen. Allerdings sind nicht alle MFA-Verfahren gleichermaßen widerstandsfähig. Angreifer haben ihre Methoden weiterentwickelt und können klassische Verfahren zunehmend umgehen.
Dazu gehören beispielsweise Angriffe durch eine Flut von Push-Benachrichtigungen, bei denen Nutzer zur Freigabe einer Anmeldung gedrängt werden. Auch gestohlene Einmal-Passcodes oder sogenannte Adversary-in-the-Middle-Phishing-Kits ermöglichen es Cyberkriminellen, Sitzungen zu übernehmen und schwächere MFA-Verfahren auszuhebeln. Unternehmen sollten deshalb möglichst auf phishing-resistente Authentifizierungsmethoden setzen. Dazu gehören:
- FIDO2-Sicherheitsschlüssel
- Passkeys
- Smartcards
- zertifikatsbasierte Authentifizierung
Diese Verfahren prüfen nicht nur die Identität des Nutzers, sondern beziehen auch die Legitimität der Website oder Anwendung in den Authentifizierungsprozess ein. Gestohlene Anmeldedaten lassen sich dadurch wesentlich schwerer auf gefälschten Webseiten wiederverwenden.
MFA sollte grundsätzlich für alle Nutzer verpflichtend sein. Gleichzeitig müssen Unternehmen veraltete Authentifizierungsprotokolle deaktivieren. Solche Legacy-Verfahren unterstützen häufig keine moderne MFA und können Angreifern einen direkten Weg an den eigentlichen Schutzmechanismen vorbei eröffnen.
2. SPF, DKIM und DMARC konsequent implementieren
Das Vortäuschen einer falschen Absenderidentität gehört zu den ältesten und weiterhin erfolgreichsten Methoden im E-Mail-Betrug. Angreifer geben sich dabei als Geschäftsführer, Lieferanten, Geschäftspartner oder bekannte Unternehmen aus, um das Vertrauen der Empfänger zu gewinnen.
SPF, DKIM und DMARC helfen Unternehmen dabei, den Missbrauch der eigenen E-Mail-Domain zu begrenzen. Das Sender Policy Framework, kurz SPF, legt fest, welche Server berechtigt sind, E-Mails im Namen einer Domain zu versenden. DomainKeys Identified Mail, kurz DKIM, versieht Nachrichten mit einer kryptografischen Signatur. Empfangende Systeme können damit prüfen, ob eine E-Mail tatsächlich von einem autorisierten System stammt und während der Übertragung verändert wurde.
Domain-based Message Authentication, Reporting and Conformance, kurz DMARC, verbindet beide Verfahren. DMARC legt fest, wie empfangende E-Mail-Systeme mit Nachrichten umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen.
Diese Mechanismen verhindern zwar nicht, dass Kriminelle ähnlich aussehende Domains registrieren. Sie erschweren es jedoch erheblich, eine Nachricht so erscheinen zu lassen, als sei sie direkt über die legitime Unternehmensdomain versendet worden.
Unternehmen sollten DMARC schrittweise einführen. Häufig beginnt die Implementierung mit einer reinen Überwachungsrichtlinie. Dadurch können Sicherheitsteams zunächst feststellen, welche internen Systeme, Cloud-Dienste und externen Dienstleister berechtigt E-Mails versenden. Anschließend lässt sich die Richtlinie verschärfen, sodass nicht authentifizierte Nachrichten zunächst in Quarantäne verschoben und später vollständig abgewiesen werden. Eine konsequente DMARC-Durchsetzung erhöht die Hürde für Domain-Spoofing deutlich.
3. Account Takeover frühzeitig erkennen und begrenzen
Erhalten Angreifer Zugriff auf ein legitimes E-Mail-Konto, verändert sich die Bedrohungslage grundlegend. Sie müssen sich nicht mehr als Mitarbeiter ausgeben, sondern kommunizieren tatsächlich über dessen Konto. Dadurch können sie bestehende E-Mail-Verläufe beobachten, sich in laufende Gespräche einschalten oder genau im richtigen Moment manipulierte Rechnungen versenden. Ebenso können sie sensible Informationen stehlen, Passwörter anderer Dienste zurücksetzen oder Phishing-Nachrichten an Kollegen und Geschäftspartner verschicken.
Besonders häufig richten Angreifer automatische Weiterleitungsregeln ein. Eingehende Nachrichten werden dann unbemerkt an externe Konten kopiert. Die Täter können auf diese Weise über längere Zeit vertrauliche Kommunikation mitlesen.
Unternehmen sollten deshalb davon ausgehen, dass Zugangsdaten früher oder später kompromittiert werden können. Entscheidend ist, verdächtige Aktivitäten möglichst schnell zu erkennen und den Handlungsspielraum der Angreifer zu begrenzen.
Zu den wichtigen Schutzmaßnahmen gehören:
- Richtlinien für bedingten Zugriff
- risikobasierte Authentifizierung
- Warnmeldungen bei ungewöhnlichen Anmeldungen
- Erkennung geografisch unplausibler Anmeldeversuche
- Überwachung neu eingerichteter Weiterleitungsregeln
- Erkennung neuer MFA-Registrierungen
- Einschränkung automatischer Weiterleitungen an externe Empfänger
- Überwachung auffälliger Postfachaktivitäten
Auch die Berechtigungen von Drittanbieteranwendungen müssen regelmäßig kontrolliert werden. Angreifer nutzen zunehmend manipulierte oder bösartige OAuth-Anwendungen, um dauerhaft auf E-Mail-Postfächer zuzugreifen. Der Vorteil für die Täter: Nach der einmaligen Genehmigung der Anwendung benötigen sie unter Umständen weder das Passwort noch eine erneute MFA-Freigabe. Unternehmen sollten daher App-Berechtigungen, OAuth-Zustimmungen und privilegierte Zugriffe kontinuierlich überprüfen.
4. Fortschrittlichen E-Mail-Schutz etablieren
Moderne Phishing-E-Mails sind häufig professionell formuliert, optisch überzeugend und exakt auf ihre Empfänger zugeschnitten. Offensichtliche Rechtschreibfehler, ungewöhnliche Formatierungen oder leicht erkennbare Schadanhänge sind längst nicht mehr zwingend vorhanden.
Viele Angriffe enthalten überhaupt keine Malware. Insbesondere beim Business Email Compromise, kurz BEC, setzen Cyberkriminelle vor allem auf Vertrauen, psychologischen Druck und glaubwürdige geschäftliche Zusammenhänge.
Ein wirksamer E-Mail-Schutz darf sich deshalb nicht auf bekannte Schadsoftware oder statische Signaturen beschränken. Moderne Systeme sollten unter anderem folgende Merkmale analysieren:
- Reputation des Absenders
- Alter und Vertrauenswürdigkeit der Domain
- Ergebnisse der E-Mail-Authentifizierung
- Inhalt und sprachliche Auffälligkeiten
- Verhalten eingebetteter Links
- Verhalten von Anhängen
- bekannte Kommunikationsmuster
- Abweichungen vom üblichen Nutzerverhalten
- Hinweise auf Identitätsbetrug
Zusätzliche Funktionen wie URL-Umschreibung, Link-Analyse zum Zeitpunkt des Klicks, Sandboxing von Anhängen, QR-Code-Erkennung, Schutz vor Absenderimitierung und die nachträgliche automatische Entfernung schädlicher Nachrichten können das Risiko weiter reduzieren.
Unternehmen sollten dabei nicht nur eingehende E-Mails analysieren. Auch interne und ausgehende Nachrichten müssen berücksichtigt werden. Nach einer Kontoübernahme nutzen Angreifer interne E-Mail-Konten häufig, um Kollegen oder externe Kontakte anzugreifen. Auffällige ausgehende Datenmengen, ungewöhnliche Empfänger oder Nachrichten mit sensiblen Informationen können deshalb wichtige Warnsignale sein.
Eine solche Überwachung schützt nicht nur vor gezieltem Datendiebstahl, sondern auch vor versehentlichen Datenverlusten durch Mitarbeiter.
5. Mitarbeiter schulen und Geschäftsprozesse absichern
Technologie ist für die E-Mail-Sicherheit unverzichtbar. Sie kann jedoch nicht jede Form der Manipulation zuverlässig erkennen. Mitarbeiter bleiben deshalb eine wichtige Verteidigungsebene. Dabei ist es wenig hilfreich, Nutzer grundsätzlich als schwächstes Glied zu betrachten. Cyberkriminelle gehen professionell vor. Sie analysieren menschliches Verhalten, interne Abläufe, Verantwortlichkeiten und typische Kommunikationsmuster eines Unternehmens.
Anschließend erzeugen sie gezielt Zeitdruck, Dringlichkeit oder Angst. Typische Beispiele sind angeblich auslaufende Konten, dringende Zahlungsanweisungen, vertrauliche Anfragen der Geschäftsleitung oder kurzfristige Änderungen von Bankverbindungen.
Security-Awareness-Trainings sollten solche realistischen Angriffsszenarien aufgreifen. Mitarbeiter müssen lernen, Warnzeichen zu erkennen und bei Unsicherheiten richtig zu reagieren. Schulungen allein reichen jedoch nicht aus. Unternehmen benötigen Geschäftsprozesse, die selbst dann Schutz bieten, wenn eine Phishing-Nachricht erfolgreich ist. Änderungen von Zahlungsinformationen sollten beispielsweise grundsätzlich über einen zweiten, bereits bekannten Kommunikationskanal bestätigt werden. Überweisungen, der Kauf von Geschenkkarten oder die Herausgabe sensibler Mitarbeiterdaten sollten klar definierten Freigabeprozessen unterliegen.
Besonders wichtig ist, dass diese Verfahren auch unter Zeitdruck nicht umgangen werden dürfen. Genau auf solche Ausnahmen spekulieren Angreifer. Verdächtige Nachrichten müssen einfach gemeldet werden können. Cyberkriminelle nutzen Dringlichkeit, um ihre Opfer zu schnellen und unüberlegten Handlungen zu bewegen. Gute Sicherheitsprozesse nehmen ihnen diesen Vorteil. Mitarbeiter sollten deshalb ermutigt werden, kurz innezuhalten, ungewöhnliche Anfragen zu prüfen und im Zweifelsfall nachzufragen. Gleichzeitig muss das Melden verdächtiger Nachrichten so einfach wie möglich sein, beispielsweise über eine direkt in den E-Mail-Client integrierte Meldefunktion. Wer potenzielle Phishing-Nachrichten meldet, trägt aktiv zur Verteidigung des Unternehmens bei. Eine positive Sicherheitskultur ist dabei wirksamer als eine Kultur der Schuldzuweisung. Backups und Wiederherstellung nicht vergessen
Viele Unternehmen gehen davon aus, dass ihr Cloud-Anbieter E-Mail-Daten automatisch und dauerhaft schützt. Diese Annahme kann sich im Ernstfall als problematisch erweisen. Cloud-Dienste stellen zwar häufig Verfügbarkeits-, Aufbewahrungs- und Wiederherstellungsfunktionen bereit. Diese entsprechen jedoch nicht zwangsläufig einer unabhängigen Datensicherung, die sämtliche geschäftlichen oder regulatorischen Anforderungen erfüllt.
Unternehmen sollten daher genau prüfen:
- Welche Aufbewahrungsfristen gelten?
- Wie lange können gelöschte Nachrichten wiederhergestellt werden?
- Welche Möglichkeiten bestehen bei manipulierten oder verschlüsselten Daten?
- Wie werden gesetzliche Aufbewahrungspflichten erfüllt?
- Gibt es unabhängige Backup- und Wiederherstellungsoptionen?
- Wurden Wiederherstellungsprozesse tatsächlich getestet?
Werden E-Mail-Daten gelöscht, verändert oder anderweitig kompromittiert, muss eine zuverlässige Wiederherstellung möglich sein. Ein Backup entfaltet seinen Wert erst dann, wenn Unternehmen sicherstellen können, dass die gesicherten Daten vollständig, unverändert und innerhalb der erforderlichen Zeit wiederhergestellt werden können.
Fazit: E-Mail-Sicherheit braucht mehrere Verteidigungsebenen
Der wirksame Schutz von Cloud-E-Mails basiert nicht auf einer einzelnen Technologie. Entscheidend ist das Zusammenspiel aus starker Authentifizierung, E-Mail-Authentifizierung, kontinuierlicher Überwachung, moderner Bedrohungserkennung, sicheren Geschäftsprozessen und einer funktionierenden Wiederherstellungsstrategie.
Angreifer suchen häufig nach dem einfachsten verfügbaren Ziel. Je mehr Hürden ein Unternehmen errichtet, desto größer ist die Wahrscheinlichkeit, dass ein Angriff frühzeitig erkannt wird, scheitert oder für die Täter zu aufwendig wird. Genau darin liegt das Ziel moderner E-Mail-Sicherheit: Angriffe nicht nur zu verhindern, sondern ihre Erfolgschancen auf jeder einzelnen Stufe konsequent zu reduzieren.