E-Mail-Sicherheit in kleinen und mittleren Unternehmen: Was realistisch ist und was nicht
Kevin Hofius | 22.08.2025
Lesedauer: 5 min
E-Mails gehören zum Alltag jedes Unternehmens. Sie sind oft das zentrale Kommunikationsmittel im Austausch mit Kunden, Partnern, Dienstleistern oder Behörden. Dabei wird eine grundlegende Frage oft ausgeblendet:
Wie sicher ist E-Mail-Kommunikation eigentlich? Und wie viel Sicherheit ist für ein kleines oder mittleres Unternehmen überhaupt sinnvoll umsetzbar?
1. Warum E-Mails grundsätzlich unsicher sind
Das technische Fundament der E-Mail stammt aus den frühen 1980er-Jahren. Die zugrunde liegenden Protokolle wie SMTP, POP oder IMAP wurden nicht mit dem Ziel entwickelt, Sicherheit zu gewährleisten, sondern lediglich die Zustellung zu ermöglichen.
Bis heute bringt das einige grundlegende Schwächen mit sich:
Nachrichten werden meist unverschlüsselt übertragen
Absenderadressen lassen sich leicht fälschen (‚Spoofing‘)
Inhalte sind für Dritte einsehbar, wenn der Datenverkehr mitgeschnitten wird
E-Mails können während der Übertragung manipuliert werden
Es gibt keine eingebaute Kontrolle, ob eine Nachricht verändert wurde
Inhalte lassen sich automatisch weiterleiten oder archivieren, oft ohne Wissen der Beteiligten
Im Vergleich ist die E-Mail wie eine Postkarte: Sie wird in der Regel zugestellt, aber sie kann unterwegs von vielen gelesen werden.
2. Häufige Missverständnisse
Gerade in kleinen und mittleren Unternehmen wird E-Mail-Kommunikation oft als sicher eingeschätzt. Einige verbreitete Annahmen:
„Wir nutzen einen professionellen Mailanbieter, also ist alles sicher.“
Bekannte Maildienste wie Microsoft 365 oder Google Workspace bieten zwar einige Sicherheitsfunktionen. Diese greifen aber nur, wenn sie korrekt konfiguriert sind. Der Transportweg zwischen zwei Mailservern ist häufig unverschlüsselt oder lückenhaft geschützt.
„Unsere Server stehen in Deutschland, das reicht für die Sicherheit.“
Ein Serverstandort allein sagt wenig über die tatsächliche Sicherheit aus. Entscheidend ist, wer auf die Inhalte zugreifen kann und wie gut diese Zugriffe abgesichert sind.
„Unsere Mitarbeitenden erkennen Phishing-Versuche sofort.“
Phishing-Mails sind inzwischen oft so gut gemacht, dass selbst erfahrene Mitarbeitende sie nicht immer erkennen. Angreifende setzen gezielt auf Zeitdruck, Vertrauen oder Nachlässigkeit.
3. Welche Schutzmaßnahmen es gibt – und wie praktikabel sie sind
Technisch lässt sich E-Mail-Kommunikation absichern. Die Frage ist, welche Maßnahmen sich mit vertretbarem Aufwand in einem KMU sinnvoll umsetzen lassen. Hier einige Optionen im Überblick:
Transportverschlüsselung (TLS)
Viele Mailserver nutzen heute Transportverschlüsselung über TLS, vergleichbar mit einer https-Verbindung bei Webseiten. Die E-Mail wird dabei auf dem Weg zwischen zwei Servern verschlüsselt übertragen.
Vorteil:
Wird bei modernen Mailanbietern oft automatisch eingesetzt.
Einschränkung:
Die E-Mail ist nur während der Übertragung verschlüsselt. Auf den Servern selbst und beim Empfänger liegt sie im Klartext vor.
Inhaltsverschlüsselung (PGP / S/MIME)
Verfahren wie PGP oder S/MIME verschlüsseln den tatsächlichen Inhalt einer E-Mail. Nur der Empfänger mit dem passenden privaten Schlüssel kann sie lesen.
Vorteil:
Hoher Schutz für den Inhalt der Nachricht.
Einschränkungen:
Erfordert technisches Verständnis, Schulung der Mitarbeitenden und auf beiden Seiten installierte Software. Für die Kommunikation mit Kundinnen und Kunden oder externen Partnern oft nicht praktikabel.
Absenderauthentifizierung (SPF, DKIM, DMARC)
Diese Techniken helfen dabei, E-Mails auf ihre Echtheit zu prüfen:
SPF legt fest, welche Server E-Mails im Namen Ihrer Domain versenden dürfen.
DKIM versieht Ihre E-Mails mit einer digitalen Signatur, die Manipulation erkennt.
DMARC definiert, wie Empfängerserver mit Mails umgehen sollen, die SPF oder DKIM nicht bestehen.
Vorteil:
Vergleichsweise einfach umsetzbar mit IT-Unterstützung und hilft, den Ruf Ihrer eigenen Domain zu schützen.
Einschränkung:
Schützt nur vor gefälschten Absendern, nicht vor kompromittierten Konten oder guten Phishing-Mails.
4. Was ist im KMU-Kontext sinnvoll?
Nicht jede Maßnahme passt zu jedem Unternehmen. Entscheidend ist, was mit Blick auf das Risiko und die verfügbaren Ressourcen wirklich nötig und umsetzbar ist. Hier einige Empfehlungen:
Vermeiden Sie es, sensible Daten wie Passwörter, Bankdaten oder personenbezogene Informationen unverschlüsselt per E-Mail zu versenden.
Verwenden Sie sichere Alternativen zur Datenübertragung, etwa geschützte Kundenportale, Cloudlösungen mit Zugriffsbeschränkungen oder verschlüsselte Messenger.
Aktivieren Sie Zwei-Faktor-Authentifizierung für alle Mailkonten, wenn möglich.
Schulen Sie Ihre Mitarbeitenden regelmäßig im Erkennen von Phishing-Mails und im sicheren Umgang mit E-Mail-Anhängen.
Definieren Sie interne Regeln: Welche Informationen dürfen per Mail versendet werden? Wann sollte ein zweiter Kommunikationsweg genutzt werden?
5. Was tun bei einem Vorfall?
Wenn ein E-Mail-Konto kompromittiert wurde oder eine gefährliche Nachricht im Umlauf ist, zählt vor allem schnelles und besonnenes Handeln:
Passwörter ändern und betroffene Konten sperren.
IT-Verantwortliche oder externe Dienstleister informieren.
Verdächtige Nachrichten sichern und dokumentieren.
Betroffene Kunden oder Partner ggf. informieren.
Die DAB Cyberhotline kontaktieren, um den Vorfall fachlich einzuordnen und weitere Schritte zu klären.
Sie sind Opfer eines Cyberangriffs oder haben einen akuten IT-Notfall in Ihrem Unternehmen? Die DAB Cyberhotline hilft: 0800 360 30 60
6. Fazit
E-Mail ist ein etabliertes Kommunikationsmittel, aber kein sicheres. Für kleine und mittlere Unternehmen heißt das: Risiken kennen, Prozesse überdenken und realistische Schutzmaßnahmen umsetzen. Absolute Sicherheit wird es nicht geben – aber man kann viel erreichen, wenn man weiß, wo man ansetzen muss.
Wenn Sie unsicher sind, wie gut Ihr Unternehmen beim Thema E-Mail-Sicherheit aufgestellt ist, unterstützen wir Sie gern. Die DAB bietet kostenfreie Orientierungsgespräche zur IT-Sicherheit – individuell, verständlich und auf Ihr Unternehmen abgestimmt.
Ähnliche Artikel
MagazinFachartikelIT-SicherheitGefälschte Rechnungen per E-Mail: Wenn manipulierte PDFs zur Falle werden
Mehr lesen
MagazinFachartikelIT-SicherheitNutzeraccounts pflegen
Mehr lesen
MagazinFachartikelIT-SicherheitPasswortsicherheit neu gedacht: Das schwächste Glied stärken
Mehr lesen
MagazinFachartikelIT-SicherheitSocial Engineering
Mehr lesen
MagazinFachartikelIT-SicherheitPhishing – Wenn E-Mails zur Bedrohung werden
Mehr lesen
MagazinFachartikelIT-SicherheitQuishing – Wenn QR-Codes zur Falle werden
Mehr lesen
