E-Mail-Sicherheit: Ein umfassender Leitfaden für IT-Teams und MSPs

E-Mails sind nach wie vor der am häufigsten ausgenutzte Angriffsvektor in der Cybersicherheit. Sie sind der Einstiegspunkt für Phishing, Business Email Compromise, die Verbreitung von Malware und Ransomware. Trotz jahrzehntelanger Aufklärungsarbeit beginnen die meisten erfolgreichen Angriffe immer noch hier.

Laut dem „Kaseya State of the MSP Report 2026“ geben 44 % der MSPs an, dass mindestens 10 % ihrer Kunden im Jahr 2025 Opfer eines Cyberangriffs wurden, wobei Phishing per E-Mail nach wie vor der häufigste Erstzugangsweg für diese Vorfälle ist. Der „2026 Kaseya INKY Security Report“ verdeutlicht das Ausmaß noch deutlicher: 26 % aller beim FBI eingereichten Beschwerden über Cyberkriminalität stehen im Zusammenhang mit Phishing, wobei allein bei Business Email Compromise Verluste in Höhe von 2,8 Milliarden US-Dollar gemeldet wurden. Laden Sie den MSP-Bericht herunter.

Der Grund, warum E-Mails als Angriffsvektor so effektiv sind, liegt auf der Hand: Sie sind unverzichtbar, allgegenwärtig und genießen großes Vertrauen. Die Menschen öffnen E-Mails. Sie klicken auf Links. Sie reagieren auf Anfragen von vermeintlichen Autoritäten. Die Mechanismen, die E-Mails als Kommunikationsmittel funktionsfähig machen, sind genau dieselben, die Angreifer ausnutzen. Keine technische Kontrollmaßnahme kann das menschliche Urteilsvermögen vollständig ersetzen, doch die richtige E-Mail-Sicherheitslösung reduziert die Menge an schädlichen Inhalten, die die Nutzer erreicht, erheblich und begrenzt den Schaden, wenn doch einmal Angriffe durchkommen.

Dieser Leitfaden beschreibt, wie eine umfassende E-Mail-Sicherheitsstrategie aussieht – von grundlegenden Protokollen bis hin zur KI-gestützten Erkennung – und richtet sich an IT-Teams sowie MSPs, die E-Mail-Umgebungen im Auftrag ihrer Kunden verwalten.

Warum E-Mail-Sicherheit mehrere Schutzebenen erfordert

Keine einzelne E-Mail-Sicherheitsmaßnahme reicht aus, da verschiedene Angriffsarten unterschiedliche Schwachstellen ausnutzen.

Massen-Phishing nutzt die Masse aus: Schon wenn nur ein kleiner Prozentsatz der Empfänger auf einen Link klickt, führt dies zu Tausenden von kompromittierten Konten. Spear-Phishing nutzt die Relevanz aus: Maßgeschneiderte Nachrichten wecken selbst bei gut geschulten Nutzern kein Misstrauen. BEC nutzt das Vertrauen aus: Nachrichten von kompromittierten oder nachahmten Konten umgehen inhaltsbasierte Filter vollständig. Die Verbreitung von Malware nutzt die Neugier aus: Schädliche Anhänge und Links setzen darauf, dass Nutzer den Inhalt öffnen. Die Kontoübernahme umgeht alle Sicherheitsmaßnahmen, sobald die Anmeldedaten erlangt wurden, da der Angreifer als legitimer Nutzer agiert.

Jede dieser Methoden erfordert unterschiedliche Kontrollmaßnahmen. Ein Gateway, das bekannte schädliche Inhalte filtert, hilft nicht gegen einen BEC-Angriff, der von einem legitimen Konto ausgeht. DMARC verhindert Domain-Spoofing, blockiert jedoch keine raffinierten Identitätsbetrugsversuche über ähnlich klingende Domains. Schulungen zur Sensibilisierung für Sicherheitsfragen senken die Klickraten, verhindern sie jedoch nicht vollständig. Der Kaseya INKY 2026 hat ergeben, dass KI-generiertes Phishing mittlerweile zur Norm geworden ist, wobei Angreifer in großem Umfang äußerst überzeugende Nachrichten erstellen und auf neue Angriffsflächen wie Kalendereinladungen, geschützte Dokumente und Rückrufnummern ausweiten. Laden Sie den E-Mail-Sicherheitsbericht 2026 herunter.

Die wirksame Lösung besteht in mehrschichtigen Sicherheitsmaßnahmen, die jeweils einen anderen Teil der Angriffsfläche abdecken.

Die Grundlage: E-Mail-Authentifizierungsprotokolle

Drei grundlegende Protokolle befassen sich mit der Domain-Identitätsfälschung, also der Technik, E-Mails zu versenden, die fälschlicherweise vorgeben, von einer legitimen Domain zu stammen.

SPF (Sender Policy Framework) legt fest, welche Mailserver berechtigt sind, E-Mails für eine Domain zu versenden. Wenn eine E-Mail eintrifft, die angeblich von Ihrer Domain stammt, überprüft der empfangende Server die SPF-Einträge, um sicherzustellen, dass der sendende Server autorisiert ist.

DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer kryptografischen Signatur, anhand derer empfangende Server überprüfen können, ob die Nachricht von einem autorisierten Absender stammt und während der Übertragung nicht verändert wurde.

DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf und legt für empfangende Server fest, wie bei fehlgeschlagener Authentifizierung vorzugehen ist – nicht authentifizierte E-Mails sollen entweder unter Quarantäne gestellt oder zurückgewiesen werden – und liefert Rückmeldung darüber, welche E-Mails versendet werden, die vorgeben, von Ihrer Domain zu stammen.

DMARC mit der Richtlinie `p=reject` ist die strengste Konfiguration: Sie verhindert, dass E-Mails, deren Authentifizierung fehlschlägt, zugestellt werden. Für eine vollständige Umsetzung muss zunächst sichergestellt werden, dass alle legitimen E-Mail-Ströme ordnungsgemäß authentifiziert sind, einschließlich Versanddiensten von Drittanbietern, Marketingplattformen und Anbietern von Transaktions-E-Mails, damit legitime E-Mails nicht von der Ablehnungsrichtlinie erfasst werden.

Viele Unternehmen haben zwar SPF und DKIM konfiguriert, versäumen es jedoch, DMARC durchzusetzen, wodurch die wichtigste Schutzebene fehlt.

Anti-Phishing und Eingangsfilterung

Moderne E-Mail-Sicherheitsplattformen nutzen KI und maschinelles Lernen, um weit über die Filterung anhand von Blacklists hinauszugehen.

Bei der Inhaltsanalyse werden der Inhalt der Nachricht, die Reputation des Absenders, die Versandinfrastruktur und die Metadaten untersucht, um Phishing-Muster zu identifizieren, einschließlich solcher, die keiner bekannten Kampagne entsprechen.

Die Link-Analyse überprüft eingebettete URLs anhand von Bedrohungsdaten, Reputationsdatenbanken und einer Echtzeit-Prüfung der Zielinhalte. Die „Time-of-Click“-Analyse schreibt Links so um, dass sie in dem Moment ausgewertet werden, in dem der Nutzer darauf klickt. Dies schützt vor verzögertem Phishing, bei dem ein Link zum Zeitpunkt der Zustellung sicher ist, aber auf bösartige Inhalte verweist, wenn der Nutzer darauf klickt.

Die KI-gestützte Anomalieerkennung identifiziert Nachrichten, die von den bekannten Kommunikationsmustern des scheinbaren Absenders abweichen, und markiert Nachrichten, die aufgrund der Verhaltensanalyse als verdächtig eingestuft werden – selbst wenn die inhaltlichen Anzeichen unauffällig erscheinen.

INKY, das E-Mail-Sicherheitsprodukt von Kaseya, das als eigenständige Lösung oder als Teil von Kaseya 365 erhältlich ist, verfolgt bei diesem Problem einen ganz eigenen Ansatz. Anstatt sich ausschließlich auf Mustererkennung zu verlassen, INKY GenAI, um E-Mail-Texte mit echtem Verständnis zu lesen und dabei Bedeutung, Absicht sowie subtile Manipulationssignale zu erkennen. Sein Computer-Vision-System analysiert E-Mails so, wie es ein Mensch tun würde, und erkennt Markenimitationen, Logo-Manipulationen, QR-Code-Bedrohungen sowie kombinierte Text- und Bildangriffe, die beim Musterabgleich völlig übersehen werden. Außerdem analysiert es Absenderbeziehungen und Schreibmuster, um Anomalien, kompromittierte Konten und subtile Veränderungen in der Kommunikation aufzudecken, die auf Phishing- oder Kontoübernahmeversuche hindeuten.

Wenn INKY eine Bedrohung INKY , wird diese nicht einfach stillschweigend unter Quarantäne gestellt. Stattdessen wird direkt im Posteingang ein deutliches, farbcodiertes Hinweisbanner angezeigt, das erklärt, was erkannt wurde und warum. So lernen die Nutzer in Echtzeit dazu, anstatt nur abgeschirmt zu werden. Eine unabhängige Studie von Secure Mentem ergab, dass Nutzer, denen INKY angezeigt wurden, Phishing-Nachrichten deutlich genauer erkennen konnten und weitaus seltener auf bösartige E-Mails reagierten.

Anhang- und Link-Schutz

Anhänge und Links sind die beiden wichtigsten Mechanismen zur Verbreitung von Malware per E-Mail.

Beim Sandboxing werden Anhänge in einer isolierten Umgebung geöffnet, bevor sie an die Benutzer weitergeleitet werden. Dabei wird der darin enthaltene Code ausgeführt und dessen Verhalten beobachtet. Schädliche Anhänge, die in der Sandbox die Ausführung von Malware auslösen, werden blockiert, bevor sie den Posteingang erreichen.

Durch URL-Umschreibung und „Time-of-Click“-Schutz werden Links in versendeten E-Mails so angepasst, dass sie beim Anklicken über einen Schutzdienst geleitet werden. Wenn ein Link zum Zeitpunkt des Versands sicher war, später jedoch bösartig wird, wird dies durch den „Time-of-Click“-Schutz erkannt.

Durch die Blockierung bestimmter Dateitypen wird die Zustellung von Dateiformaten verhindert, die häufig zur Verbreitung von Malware genutzt werden, darunter ausführbare Dateien, Office-Dokumente mit Makros und JavaScript-Dateien, sofern diese Dateitypen in der Umgebung keinen legitimen geschäftlichen Zweck erfüllen.

Schutz vor Kontoübernahmen

Sobald ein Angreifer über E-Mail-Zugangsdaten verfügt – sei es durch Phishing, Credential Stuffing oder eine Datenpanne –, agiert er wie ein legitimer Nutzer. Technische E-Mail-Filter halten keine E-Mails auf, die von einem legitimen, authentifizierten Konto gesendet werden.

Der Schutz vor Kontoübernahmen erfordert das Zusammenspiel mehrerer Kontrollmechanismen.

Durch die Einführung der Multi-Faktor-Authentifizierung (MFA) für alle E-Mail-Konten wird sichergestellt, dass der Diebstahl von Zugangsdaten allein nicht ausreicht, um Zugriff zu erlangen. Die MFA ist die wichtigste Sicherheitsmaßnahme und der wirksamste Einzelschritt, den die meisten Unternehmen ergreifen können.

Die Erkennung ungewöhnlicher Anmeldungen meldet Zugriffe von ungewöhnlichen Standorten, mit ungewöhnlichen Geräten oder zu ungewöhnlichen Zeiten, um Warnmeldungen auszulösen oder eine verstärkte Authentifizierung zu veranlassen.

Die Überwachung von Posteingangsregeln deckt eines der häufigsten Verhaltensmuster nach einem Sicherheitsverstoß auf: Angreifer, die auf E-Mail-Konten zugreifen, richten häufig Posteingangsregeln ein, um Kopien an eine externe Adresse weiterzuleiten oder eingehende Sicherheitsbenachrichtigungen zu löschen. Die Überwachung auf unerwartete Einrichtungsvorgänge von Posteingangsregeln ist ein Frühindikator für einen Sicherheitsverstoß.

Die Dark-Web-Überwachung identifiziert Anmeldedaten, die in Datenpools aus Datenlecks von Drittanbietern aufgetaucht sind, und löst sofortige Passwortzurücksetzungen aus, bevor Angriffe durch „Credential Stuffing“ erfolgreich sein können. INKY Absenderbeziehungen und Kommunikationsmuster, um Versuche der Kontoübernahme aufzudecken; die Dark-Web-Überwachung auf kompromittierte Anmeldedaten ist über den umfassenden Sicherheits-Stack Kaseya 365 verfügbar.

Sicherheit ausgehender E-Mails

Die Sicherheit ausgehender E-Mails schützt sowohl die Daten des Unternehmens als auch dessen Reputation als Absender.

DLP (Data Loss Prevention) überprüft ausgehende E-Mails auf Inhalte, die das Unternehmen nicht verlassen dürfen: sensible Datenmuster wie Zahlungskartennummern, Patientendaten oder vertrauliche Dokumente.

Die Verschlüsselung ausgehender vertraulicher E-Mails gewährleistet, dass Inhalte, die während der Übertragung geschützt werden müssen, auch tatsächlich geschützt sind.

Das Reputationsmanagement für den E-Mail-Versand überwacht die Bounce-Raten, Spam-Beschwerden und den Status auf Blacklists für versendende Domains. Ein gehacktes Konto, das Ihre Domain zum Versenden von Spam nutzt, kann die Zustellbarkeit Ihrer E-Mail-Infrastruktur beeinträchtigen und sich negativ auf Ihre legitime Geschäftskommunikation auswirken.

E-Mail-Sicherheit für MSPs

Für MSPs, die E-Mail-Umgebungen für Kunden verwalten, gelten einige zusätzliche Aspekte.

Die DMARC-Implementierung im gesamten Kundenportfolio ist eine hochwertige, skalierbare Dienstleistung. Viele Kunden verfügen zwar über SPF und DKIM, aber nicht über DMARC, oder DMARC ist im Überwachungsmodus ohne Durchsetzung konfiguriert. Die Umstellung der Kunden auf eine vollständige DMARC-Durchsetzung verringert das Risiko von Domain-Missbrauch erheblich und führt zu einer messbaren, dokumentierbaren Verbesserung der Sicherheit.

Eine zentralisierte Multi-Tenant-Verwaltung für alle Kunden sorgt sowohl für betriebliche Effizienz als auch für die Daten, die für die Kundenberichterstattung benötigt werden. Über das Multi-Tenant-Dashboard INKYkönnen Administratoren das Verhalten von Warnbannern anpassen, Erkennungsrichtlinien verfeinern und die Sicherheit für alle Kundenpostfächer über eine einzige Oberfläche verwalten. Die Fallstudien des Unternehmens zeigen, dass die Verwaltung von 1.000 Postfächern mit weniger als einer Stunde Aufwand pro Monat möglich ist.

Von Benutzern gemeldete Phishing-Workflows, die verdächtige E-Mails zur Überprüfung weiterleiten, den Kontakt zum Meldenden wiederherstellen und die gewonnenen Erkenntnisse in die Erkennungsregeln einfließen lassen. INKYintegrierten Untersuchungstools und Automatisierungsfunktionen unterstützen diesen Workflow und reduzieren den manuellen Aufwand für die Triage, der normalerweise bei von Benutzern gemeldeten Phishing-Fällen entsteht.

Entdecken Sie INKY Kaseya 365 für E-Mail-Sicherheit bei MSPs.

Mehr als nur E-Mail: Wenn der Posteingang nur der Einstiegspunkt ist

E-Mail-Sicherheitstools sollen Bedrohungen bereits im Posteingang abwehren. Die gefährlichsten Angriffe nutzen E-Mails jedoch als Einstiegspunkt, um sich anschließend quer durch die Systeme zu bewegen, dabei ihre Zugriffsrechte auszuweiten und Daten auf eine Weise zu entwenden, die sich mit Kontrollmechanismen auf Posteingabeebene weder erkennen noch eindämmen lässt.

Kaseya SIEM erweitert die Transparenz über den Posteingang hinaus, indem es E-Mail-Telemetriedaten mit Signalen von Endgeräten, Netzwerken, der Cloud und Identitätsdaten zusammenführt und mehr als 60 Datenquellen miteinander korreliert, um die gesamte Angriffskette aufzudecken: von der ersten Phishing-E-Mail über den Diebstahl von Anmeldedaten und die laterale Bewegung bis hin zur Datenexfiltration. Die automatisierte Reaktion eindämmt Bedrohungen innerhalb von Minuten und wirkt systemübergreifend, anstatt lediglich eine einzelne Nachricht unter Quarantäne zu stellen.

Für Unternehmen, bei denen E-Mails die primäre Angriffsfläche darstellen, bietet die Kombination aus INKY Posteingang und Kaseya SIEM in der gesamten Umgebung einen mehrschichtigen Schutz, den keines der beiden Systeme für sich allein bieten kann.