E-Mail als Sicherheitsrisiko: „Schaden für die Wirtschaft summiert sich auf knapp 267 Milliarden Euro“
WirtschaftsWoche: Herr Atug, das Bundesamt für Sicherheit in der Informationstechnik (BSI), der ECO-Verband und Bitkom haben das „Jahr der E-Mail-Sicherheit“ ausgerufen. Warum ausgerechnet etwas so vergleichsweise Banales wie E-Mail – in Zeiten KI-generierter Angriffe, Zero-Day-Exploits und staatlich orchestrierter Cyberkriminalität?
Manuel Atug: Weil die E-Mail nach wie vor das Rückgrat der geschäftlichen Kommunikation ist – und gleichzeitig eines der größten Einfallstore für Cyberangriffe. Ransomware, Phishing, Identitätsdiebstahl: Die meisten dieser Attacken beginnen mit einer simplen Nachricht. Und das, obwohl es längst erprobte und standardisierte Sicherheitsmechanismen gibt, die sich mit überschaubarem Aufwand aktivieren lassen.
Was sind typische Angriffsformen?
Besonders verbreitet sind Phishing und der sogenannte Business E-Mail Compromise, also dass sich Kriminelle als Vorgesetzte ausgeben und Mitarbeitende zu Überweisungen oder der Herausgabe sensibler Informationen bewegen. Daneben sind in den E-Mails enthaltene Anhänge mit Schadcode oder Links auf verseuchte Seiten und sogenannte Callback-Phishing-Angriffe sehr verbreitet.
Lässt sich die Bedrohung quantifizieren?
Studien zufolge wurden im ersten Quartal 2025 92 Prozent der analysierten E-Mails als Spam eingestuft – 67 Prozent davon enthielten bösartige Inhalte. Die Schäden reichen von Datenverlust über Produktionsausfälle bis hin zu Erpressung durch Ransomware – oft im sechs- bis siebenstelligen Bereich. Laut den jüngsten Berechnungen von Digitalverband Bitkom und Bundesverfassungsschutz summieren sich die Schäden für die deutsche Wirtschaft inzwischen auf knapp 267 Milliarden Euro – und ein signifikanter Anteil dieser Schäden lässt sich auf Attacken über E-Mails zurückführen.
Schäden also, die sich reduzieren ließen, wenn Unternehmen die Vorschläge von BSI und den beteiligten Verbänden umsetzten. Um welche Schutzmechanismen geht es?
Es geht vor allem darum, wirksam zu verhindern, dass Kriminelle und Betrüger beim E-Mail-Versand falsche Identitäten annehmen können und auf diesem Weg die Empfänger entweder zur Preisgabe sicherheitsrelevanter Daten oder zu riskanten Handlungen bewegen können – wie etwa, mit Schadcode verseuchte E-Mail-Anhänge und Dokumente zu öffnen oder Überweisungen zu veranlassen oder freizugeben.
Und das lässt sich mit technischen Mitteln wirksam verhindern?
Ich will nicht in die Details gehen, die beschreibt das BSI sehr detailliert und für Fachleute gut nachvollziehbar auf seiner Infoseite zum Jahr der E-Mail-Sicherheit. Aber unter anderem geht es darum, einzustellen, welche Server berechtigt sind, E-Mails im Namen beziehungsweise mit Absenderadressen eines Unternehmens zu versenden. Dann gibt es die Option, E-Mails mit einer digitalen Signatur zu versehen, die nachweist, dass die Nachricht tatsächlich vom angegebenen Absender stammt. Dann gibt es Möglichkeiten, einzustellen, wie beispielsweise die Posteingangsserver mit E-Mails umgehen sollen, die diese Prüfungen nicht bestehen.
Solche Mechanismen erschweren es Angreifern deutlich, gefälschte E-Mails zu verschicken, und sie verbessern die Spam-Erkennung erheblich. Wenn sich neun von zehn eingehenden E-Mails schon deshalb aus dem Nachrichtenstrom herausfiltern lassen, weil sie die genannten Basisanforderungen an Sicherheit nicht erfüllen, dann fällt diese Gefahr sofort weg und es bleibt viel mehr Kapazität, die verbleibenden zehn Prozent der Nachrichten sorgfältiger auf Risiken zu untersuchen.
Wenn das so wirksam ist, warum sind diese Sicherheitsmechanismen nicht längst verpflichtend?
Weil die E-Mail historisch als freies Kommunikationsmittel konzipiert wurde. Seit es sie gibt, ist die unverschlüsselte Klartext-E-Mail Mindeststandard für diese Art der Kommunikation im Internet. Und es gibt bis heute keine zentrale Instanz, die weltweit vorschreiben kann, wie die E-Mail zu funktionieren hat. Die Sicherheitsfeatures sind freiwillige Ergänzungen, keine Pflichtbestandteile. Viele Unternehmen ignorieren sie – aus Bequemlichkeit, Unwissenheit oder falscher Sparsamkeit.
Was kostet es, sie zu aktivieren?
Weniger als man denkt. Wer seinen Mailserver nicht selbst betreibt, kann die Aktivierung oft einfach beim IT-Dienstleister beauftragen. Manche Anbieter haben die Funktionen sogar schon integriert – sie müssen nur konfiguriert werden. Und selbst wenn ein Dienstleister das nicht anbietet, ist das ein Warnsignal: Dann stimmt etwas Grundsätzliches nicht mit der Sicherheitskultur dieses Partners.
Viele Unternehmen setzen auf Awareness-Schulungen bei ihren Beschäftigten. Warum reicht das nicht?
Schulungen sind wichtig – aber sie adressieren nur den Menschen. Technische Schutzmaßnahmen wirken zentral und skalierbar. Wenn ich den Mailserver absichere, schütze ich automatisch alle Mitarbeitenden – vom Azubi bis zur Geschäftsführung. Das ist effizienter und nachhaltiger. Sicherheit muss ganzheitlich gedacht werden: als Prozess, nicht als einmalige Maßnahme.
Was haben Unternehmen konkret davon, wenn sie ihre E-Mail-Infrastruktur absichern?
Ganz einfach: weniger Angriffsfläche, weniger Schadensfälle, weniger Kosten. Studien zeigen, dass jeder Euro in Prävention sieben bis neun Euro an Schaden vermeidet. Und das ist nur die betriebswirtschaftliche Perspektive. Weiterhin leisten Unternehmen einen Beitrag zur digitalen Resilienz – also zur gesamtgesellschaftlichen Widerstandsfähigkeit gegen Cyberbedrohungen. Wer seine Infrastruktur schützt, schützt auch Partner, Kunden und die Gesellschaft.
Das klingt nach digitalem Katastrophenschutz.
Genau. Wenn jeder Einzelne vorsorgt, ist das System als Ganzes robuster. Das gilt für Stromausfälle, Pandemien – und eben auch für Cyberangriffe. E-Mail-Sicherheit ist kein Luxus, sondern eine Basismaßnahme für digitale Souveränität.
Was kann die aktuelle Kampagne von BSI, ECO und Bitkom erreichen?
Sie ist ein niedrigschwelliger Einstieg. Alle drei Partner bieten in diesem Jahr den Unternehmen umfangreiche Beratungsangebote an, die sie außerhalb des Kampagnenjahres nicht bereitstellen würden. Es ist daher auch aus diesem Blickwinkel für Unternehmen attraktiv, sich jetzt damit zu befassen. Zudem können sich Unternehmen bis zum 15. August zur Umsetzung der empfohlenen Maßnahmen verpflichten – und werden dann in der „Hall of Fame“ des BSI gelistet. Das ist nicht nur ein Zeichen für gelebte Verantwortung, sondern auch ein starkes Marketinginstrument: Wer zeigt, dass er Sicherheit ernst nimmt, gewinnt Vertrauen.
Und danach?
Auch nach dem Stichtag lohnt sich die Umsetzung. Die technischen Empfehlungen bleiben gültig – und jedes Unternehmen kann öffentlich kommunizieren, dass es sich an den Standards des BSI orientiert. Das ist ein starkes Signal in einer Zeit, in der Vertrauen zur digitalen Währung geworden ist.