Die E-Mail ist seit Jahren das Rückgrat der Unternehmenskommunikation – und genau deshalb bleibt sie für Angreifer das bevorzugte Einfallstor in Organisationen. Phishing und Business Email Compromise (BEC) nehmen weiter zu, wobei Gegner zunehmend KI nutzen, um klassische Schutzmechanismen zu umgehen. Damit entsteht ein verschärftes Problem: Die Bedrohung entwickelt sich schneller, als die traditionelle E-Mail-Sicherheit Schritt halten kann.
Von Dr. Martin J. Krämer, CISO Advisor bei KnowBe4.
Angriffe werden smarter, nicht unbedingt komplexer
Auffällig ist, wie stark sich Angriffe im vergangenen Jahr verändert haben. Einerseits steigt das Phishing-Volumen spürbar. Zum anderen sorgt KI dafür, dass Angriffe überzeugender wirken: E-Mails lassen sich im Stil interner Kommunikation nachahmen, Inhalte werden personalisiert und in großem Maßstab ausgerollt – bis hin zu kontextbezogenem Phishing und mehrsprachigen BEC-Versuchen.
Gleichzeitig stammen viele Angriffe heute nicht mehr aus „offensichtlich“ bösartigen Quellen, sondern aus legitimen, aber kompromittierten Absenderkonten. Dadurch wird die Erkennung erheblich erschwert, da Reputation und Domain-Signale plötzlich sauber aussehen. Zudem verschiebt sich der Schwerpunkt von Anhängen hin zu URL-basierten Angriffen.
Links führen auf präparierte Login-Seiten, gefälschte Cloud-Portale oder Malware-Infrastruktur und verändern sich oft so schnell, dass signaturbasierte Verfahren ins Leere laufen. Besonders heikel wird es, wenn Supply-Chain-Phishing über vertrauenswürdige Drittanbieter-Systeme erfolgt und legitime Domains zur Verteilung missbraucht werden.
Das Ergebnis: Selbst Organisationen mit vermeintlich solider E-Mail-Sicherheit sehen gefährliche Nachrichten in den Postfächern landen.
Warum klassische Filter und SEGs an ihre Grenzen stoßen
Damit rückt eine unbequeme Erkenntnis in den Mittelpunkt: Klassische Secure-Email-Gateways (SEGs) und native Filter stoßen strukturell an ihre Grenzen. Sie basieren stark auf statischen Regeln, Signaturen, Domain-Reputation und bekannten Indikatoren. Das reicht aus, um „Commodity“-Angriffe abzuwehren, jedoch nicht, um moderne Angriffsmuster zuverlässig zu erkennen.
KI-generierte Inhalte sind oft einzigartig und damit schwer mit Signaturen zu erfassen. Zudem funktionieren viele BEC-Angriffe ohne Links oder Anhänge - sie wirken für ein SEG unauffällig, obwohl sie auf Geldtransfers oder Geschenkkarten abzielen.
Und wenn echte, kompromittierte Konten „saubere“ Infrastruktur nutzen, greifen Domain- und Reputationsfilter kaum noch.Kurzum: Statische, richtlinienbasierte Systeme können sich nicht schnell genug an die Iterationsgeschwindigkeit der Angreifer anpassen.
Parallel dazu verändert sich die Plattformrealität in Unternehmen: Viele Konsolidierungen laufen in Richtung Microsoft 365, wobei native Schutzmechanismen wie Exchange Online Protection als solide Grundlage gesehen werden, aber allein nicht ausreichen.
Daraus leitet sich eine logische Konsequenz ab: Die E-Mail-Sicherheit muss sich zu einem mehrschichtigen Ansatz hin weiterentwickeln, der Verhalten bewertet, sich anpasst und den Faktor Mensch nicht ausblendet.
Verhaltensbasierte KI und der Faktor Mensch
Ein modernes Verteidigungsprinzip setzt nicht nur auf bekannte Signaturen, sondern auch auf Verhaltens- und Kontextsignale. Beispielsweise wird geprüft, ob der Schreibstil zum Absender passt. Ist die Nachricht für diese Beziehung ungewöhnlich? Verhält sich eine Domain abweichend? Wirkt eine URL in ihrer Absicht oder ihrem Verhalten verdächtig?
Ein solcher Blick auf die „Plausibilität“ adressiert genau die Angriffsformen, die klassische Filter häufig übersehen, zum Beispiel KI-gestütztes Phishing, BEC ohne Payload, Vendor Email Compromise, Zero-Day-Phishing oder schädliche Links in unauffällig wirkenden Nachrichten.
Entscheidend ist außerdem, dass diese Erkennung kontinuierlich lernt und sich an organisationsspezifische Muster sowie globale Bedrohungsinformationen anpasst, statt nur statische Regeln abzuarbeiten. Ergänzend sind schnelle Review- und Remediation-Workflows wichtig, um Alert-Fatigue zu reduzieren und die Reaktionszeiten zu verbessern.
Doch auch die beste Technik kompensiert nicht den menschlichen Faktor. Angreifer zielen nach wie vor auf Mitarbeitende ab, da sie die größte Angriffsfläche darstellen. Deshalb bleibt eine Sicherheitskultur zentral, die durch Awareness, simulierte Phishing-Übungen und „teachable moments“ gestärkt wird.
Eine widerstandsfähige E-Mail-Sicherheit entsteht dort, wo technische Schutzmaßnahmen und menschliche Risikoreduktion zusammenwirken. Das ist gerade in einer Phase wichtig, in der KI Angriffe glaubwürdiger macht. Außerdem heben kompromittierte Konten klassische Kontrollen immer häufiger aus.