Sichere E-Mail im Unternehmen: Was müssen KMU beachten?

Verschlüsselt, geschützt, rechtskonform. Klingt nach viel Aufwand. Muss aber nicht sein.

Sichere E-Mail im Unternehmen gehört 2026 zu den drängendsten Themen für Geschäftsführer kleiner und mittlerer Betriebe. Das NIS2-Gesetz gilt seit Dezember 2025 ohne Übergangsfrist, die Zahl der Phishing-Angriffe steigt weiter, und ein einziger kompromittierter Account reicht aus, um sechsstellige Schäden zu verursachen. Trotzdem arbeiten viele KMU noch mit demselben E-Mail-Setup wie vor fünf Jahren.

Das Wichtigste in Kürze

• Das NIS2-Umsetzungsgesetz verpflichtet seit Dezember 2025 rund 30.000 Unternehmen in Deutschland zu verschärften Maßnahmen bei der E-Mail-Sicherheit. Bußgelder reichen bis zu 10 Millionen Euro.
• Business Email Compromise (BEC) verursacht Milliardenschäden. Über 70 Prozent aller Cybervorfälle beginnen mit einer manipulierten E-Mail.
• Verschlüsselung, Zwei-Faktor-Authentifizierung und Mitarbeiterschulungen bilden zusammen die wirksamste Verteidigung gegen E-Mail-basierte Angriffe.
• Sichere Business-E-Mail-Anbieter mit Ende-zu-Ende-Verschlüsselung und europäischem Serverstandort verschaffen KMU einen schnellen Einstieg ohne eigene IT-Infrastruktur.

Warum ist E-Mail 2026 das größte Einfallstor für Cyberangriffe?

Die E-Mail-Adresse eines Unternehmens funktioniert längst als digitale Schaltzentrale. Über sie laufen Logins für Cloud-Dienste, der Austausch mit dem Steuerberater, Verträge, Rechnungen und Kundendaten. Das BSI zählt rund 150 Millionen aktive E-Mail-Adressen in Deutschland. Für Kriminelle ein riesiges Spielfeld.

Laut dem Wirtschaftsschutzbericht 2025 von Bitkom und Bundesverfassungsschutz summieren sich die Schäden durch Cyberkriminalität für die deutsche Wirtschaft auf knapp 267 Milliarden Euro. Ein erheblicher Teil davon geht auf E-Mail-basierte Angriffe zurück. Im ersten Quartal 2025 enthielten 67 Prozent aller als Spam eingestuften E-Mails bösartige Inhalte.

Große Konzerne beschäftigen eigene Security-Teams. Kleine und mittlere Betriebe verlassen sich dagegen häufig auf den Standardschutz ihres E-Mail-Anbieters. Genau diese Lücke nutzen Angreifer aus.

DMARC erklärt: So schützt du dein Unternehmen vor E-Mail-Betrug & Phishing | INOVACOM IT-Security

Was steckt hinter Business Email Compromise?

Der teuerste Trick ohne Schadsoftware

Business Email Compromise (BEC) zählt zu den kostspieligsten Angriffsformen weltweit. Das FBI bezifferte die Schäden allein für 2023 auf über 2,9 Milliarden US-Dollar (rund 2,7 Milliarden Euro). Der Cybersicherheitsdienstleister Perseus Technologies meldete im ersten Halbjahr 2025 eine Verdopplung dieser Angriffsform gegenüber dem Vorjahr.

Das Prinzip funktioniert ohne Viren, ohne Trojaner, ohne infizierte Anhänge. Kriminelle geben sich per E-Mail als Vorgesetzte, Geschäftspartner oder Lieferanten aus und bewegen Mitarbeitende dazu, Geld zu überweisen oder vertrauliche Daten weiterzugeben. Ein dokumentierter Fall aus 2025: Angreifer übernahmen das E-Mail-Konto eines Finanzcontrollers und lenkten Zahlungen von mehreren Niederlassungen um. Gesamtschaden: eine Million Euro.

Warum klassische Spamfilter versagen

Herkömmliche E-Mail-Filter suchen nach verdächtigen Links, infizierten Anhängen und bekannten Absendermustern. BEC-Angriffe umgehen all das. Die E-Mails enthalten weder Links noch Malware. Sie lesen sich wie eine normale Nachricht vom Chef oder vom Lieferanten.

Laut dem Incident Response Report 2026 von Eye Security entfallen über 70 Prozent aller untersuchten Sicherheitsvorfälle auf Business Email Compromise. Selbst Zwei-Faktor-Authentifizierung ließ sich in 62 Prozent der Fälle umgehen, weil Mitarbeitende durch Phishing-Seiten unbewusst laufende Sitzungen bestätigten.

Angriffsform	Erkennungsmerkmal	Typischer Schaden
Klassisches Phishing	Massenmails mit gefälschten Links	Zugangsdaten, Identitätsdiebstahl
Spear-Phishing	Gezielte E-Mail an Einzelpersonen	Datenabfluss, Kontenzugriff
BEC / CEO-Fraud	Gefälschte Identität ohne Malware	Fehlüberweisungen im fünf- bis siebenstelligen Bereich
Ransomware per E-Mail	Infizierter Anhang oder Link	Verschlüsselung aller Systeme, Lösegeld

Was verlangt das NIS2-Gesetz von Ihrem Unternehmen?

Keine Übergangsfrist, sofortige Pflichten

Das NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft. Anders als bei vielen EU-Verordnungen gibt es keine Schonfrist. Rund 30.000 Unternehmen aus 18 kritischen Sektoren müssen die Anforderungen ab sofort erfüllen. Betroffen sind nicht nur Energieversorger und Krankenhäuser. Auch mittelständische IT-Dienstleister, Online-Händler und Zulieferer fallen unter die Regelung, sobald sie mehr als 50 Mitarbeitende beschäftigen oder mehr als 10 Millionen Euro Jahresumsatz erzielen.

Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Bis dahin hatten nur rund 11.500 von geschätzt 29.000 betroffenen Einrichtungen ihre Registrierung abgeschlossen. Über 18.000 Unternehmen fehlen. Säumige riskieren Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes.

Was NIS2 konkret für Ihre E-Mail-Sicherheit bedeutet

Das Gesetz nennt zehn Themenbereiche, die Unternehmen als Maßnahmen umsetzen müssen. Für die E-Mail-Kommunikation sind drei Punkte besonders relevant:

Kryptografie und Verschlüsselung: Sie müssen Konzepte für den Einsatz kryptografischer Verfahren definieren und umsetzen. Für E-Mail bedeutet das: Transport- und idealerweise auch Inhaltsverschlüsselung nach aktuellem Stand der Technik.

Sichere Kommunikation: NIS2 fordert gesicherte Sprach-, Video- und Textkommunikation. Die geschäftliche E-Mail fällt klar in diesen Bereich. Auch eine Notfallkommunikation muss vorbereitet sein, falls das reguläre E-Mail-System kompromittiert wird.

Meldepflicht: Bei einem erheblichen Sicherheitsvorfall müssen Sie innerhalb von 24 Stunden eine erste Meldung an das BSI übermitteln. Eine detaillierte Folgemeldung folgt nach 72 Stunden, ein Abschlussbericht nach einem Monat.

„NIS2 macht E-Mail-Sicherheit zur Chefsache. Geschäftsführer, die das Thema weiter an die IT-Abteilung abschieben, haften ab sofort persönlich.“ — Markus Seyfferth, Chefredakteur Dr. Web

Wie schützen Sie Ihre geschäftliche E-Mail wirksam?

Verschlüsselung verstehen und richtig einsetzen

Zwei Begriffe tauchen bei E-Mail-Sicherheit immer wieder auf: Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung. Der Unterschied zählt.

Transportverschlüsselung (TLS) schützt E-Mails auf dem Weg zwischen zwei Servern. Die meisten Anbieter beherrschen das inzwischen. Auf dem Server selbst liegt die Nachricht allerdings unverschlüsselt vor. Der Anbieter kann sie lesen. Behörden können Zugriff verlangen. Ein Angreifer, der den Server kompromittiert, sieht alles.

Ende-zu-Ende-Verschlüsselung (E2EE) geht weiter. Die E-Mail wird auf Ihrem Gerät verschlüsselt und erst beim Empfänger wieder entschlüsselt. Selbst der E-Mail-Anbieter hat keinen Zugriff auf den Inhalt. Die beiden etablierten Standards dafür heißen S/MIME (zertifikatsbasiert, verbreitet in Unternehmen) und OpenPGP (dezentral, ohne zentrale Zertifizierungsstelle).

Sichere Business-E-Mail-Anbieter als schneller Hebel

Viele Gründer und Kleinunternehmer kommunizieren mit Kunden und Partnern über eine kostenlose @gmail.com- oder @outlook.com-Adresse. Das spart zunächst Geld, hat aber drei handfeste Nachteile. Sie haben keine Kontrolle über die Domain und damit über Ihre digitale Identität.

Sie können keine unternehmensweiten Sicherheitsrichtlinien durchsetzen. Und Sie signalisieren Geschäftspartnern, dass IT-Sicherheit bei Ihnen keinen hohen Stellenwert hat. Eine professionelle Business Email mit eigener Domain, zentraler Nutzerverwaltung und Ende-zu-Ende-Verschlüsselung löst alle drei Probleme auf einen Schlag.

Kriterium	Worauf Sie achten sollten
Verschlüsselung	Ende-zu-Ende als Standard, nicht nur TLS
Serverstandort	EU oder Schweiz, idealerweise ISO-27001-zertifiziert
Eigene Domain	Professionelle Adresse statt @anbieter.com
Nutzerverwaltung	Zentrale Verwaltung aller Team-Konten
Compliance	DSGVO-Konformität, NIS2-taugliche Dokumentation
Migration	Import bestehender E-Mails und Kontakte

Zwei-Faktor-Authentifizierung richtig einrichten

Ein starkes Passwort allein reicht nicht mehr aus. Zwei-Faktor-Authentifizierung (2FA) verlangt neben dem Passwort einen zweiten Nachweis. Das kann ein Code aus einer Authenticator-App sein, ein Hardware-Token oder eine biometrische Bestätigung.

SMS-basierte 2FA gilt inzwischen als unsicher, weil sich SIM-Karten kapern lassen. Authenticator-Apps wie Google Authenticator, Authy oder der in Proton Pass integrierte 2FA-Generator bieten deutlich besseren Schutz.

Wie kann man sein Konto sicher mit der Zwei-Faktor-Authentifizierung (2FA) absichern?

Was bringt eine Security-Awareness-Schulung wirklich?

Der Mensch bleibt die größte Schwachstelle

Technische Schutzmaßnahmen fangen einen großen Teil der Angriffe ab. Den Rest nicht. Die letzte Verteidigungslinie sitzt vor dem Bildschirm. Erkennt eine Mitarbeiterin die gefälschte Rechnung? Hinterfragt ein Controller die angeblich dringende Überweisung vom Geschäftsführer?

NIS2 macht Mitarbeiterschulungen zur gesetzlichen Pflicht. Die Geschäftsleitung muss laut § 38 des neuen BSI-Gesetzes spezifische Fachkenntnisse nachweisen und regelmäßige Awareness-Trainings für alle Beschäftigten organisieren.

Was wirksame Schulungen von Pflichtübungen unterscheidet

Einmal jährlich eine PowerPoint-Präsentation durchklicken bringt wenig. Wirksame Security-Awareness-Programme arbeiten mit simulierten Phishing-E-Mails, kurzen Lerneinheiten im Monatsrhythmus und klaren Meldewegen für verdächtige Nachrichten.

Entscheidend: Mitarbeitende dürfen keine Angst haben, einen Vorfall zu melden. Wer auf eine Phishing-Mail hereinfällt und das sofort meldet, begrenzt den Schaden. Wer es aus Scham verschweigt, gibt Angreifern Tage oder Wochen Zeit. Der Eye Security Report belegt: Mit kontinuierlichem Monitoring sinkt die Erkennungszeit bei BEC-Angriffen von durchschnittlich 24 Tagen auf unter 24 Minuten.

Welche technischen Maßnahmen sollten Sie sofort umsetzen?

Die Sofortmaßnahmen-Checkliste

Nicht jede Maßnahme erfordert ein großes Budget oder externe Berater. Einige Schritte lassen sich an einem Nachmittag umsetzen und senken das Risiko sofort.

SPF, DKIM und DMARC konfigurieren: Diese drei DNS-Einträge verhindern, dass Kriminelle E-Mails im Namen Ihrer Domain versenden. SPF legt fest, welche Server für Ihre Domain senden dürfen. DKIM signiert jede ausgehende E-Mail digital. DMARC definiert, was mit E-Mails passiert, die beide Prüfungen nicht bestehen. Das BSI hat im Mai 2025 eine eigene Cyber-Sicherheitsempfehlung zur E-Mail-Sicherheit veröffentlicht, die genau diese Konfiguration Schritt für Schritt beschreibt. Viele KMU haben diese Authentifizierungsstandards noch nicht vollständig eingerichtet.

Automatische Weiterleitungen prüfen: Angreifer richten nach einer Kontoübernahme häufig stille Weiterleitungen ein, um mitzulesen. Prüfen Sie alle E-Mail-Konten auf unbekannte Weiterleitungsregeln.

Zugriffsrechte aktualisieren: Ehemalige Mitarbeitende, gewechselte Abteilungen, vergessene Testkonten. Jedes aktive Konto ohne Berechtigung ist ein potenzielles Einfallstor. Führen Sie eine vierteljährliche Bereinigung ein.

Anhangsprüfung verschärfen: Blockieren Sie ausführbare Dateitypen (.exe, .scr, .bat) generell. Prüfen Sie Office-Dokumente auf Makros. Laut BSI prüfen nur 3 von 12 getesteten E-Mail-Programmen Anhänge aktiv auf verdächtige Muster.

Backup-Strategie für E-Mails: Ein separates, verschlüsseltes Backup Ihrer E-Mail-Daten schützt bei Ransomware-Angriffen. Testen Sie regelmäßig, ob die Wiederherstellung tatsächlich funktioniert.

Was kostet E-Mail-Sicherheit und was kostet sie nicht?

Ein Rechenbeispiel

Die Kosten für sichere E-Mail-Infrastruktur wirken auf den ersten Blick wie eine zusätzliche Ausgabe. Im Vergleich zu den möglichen Schäden relativiert sich das schnell.

Ein Rechenbeispiel: Angenommen, ein Unternehmen mit 20 Mitarbeitenden wechselt zu einem verschlüsselten Business-E-Mail-Anbieter für 8 Euro pro Nutzer und Monat. Die jährlichen Kosten lägen bei rund 1.920 Euro. Eine Awareness-Schulungsplattform käme mit etwa 1.000 Euro pro Jahr hinzu. Die Gesamtinvestition betrüge damit rund 3.000 Euro jährlich.

Dem gegenüber steht: Ein einzelner erfolgreicher BEC-Angriff verursacht laut FBI einen durchschnittlichen Schaden von rund 120.000 Euro. Ein Ransomware-Vorfall kann den gesamten Betrieb für Tage oder Wochen lahmlegen. Ein NIS2-Bußgeld kann in die Millionen gehen.

Sichere E-Mail ist keine Ausgabe. Sie gehört zu den günstigsten Absicherungen, die ein Unternehmen treffen kann.

Lesetipps:

• Dedicated Server oder Terminal Server: Was passt zu Ihnen?
• Server-Side Tracking : Hype oder Pflicht? (Kommt drauf an.)
• Microsoft Edge 142 macht Passwörter überflüssig

Glossar: 12 wichtige Fachbegriffe zu E-Mail-Sicherheit

BEC

Business Email Compromise (BEC) bezeichnet eine Betrugsmasche, bei der Kriminelle die Identität von Vorgesetzten oder Geschäftspartnern vortäuschen, um Mitarbeitende zu Überweisungen oder zur Preisgabe vertraulicher Daten zu bewegen. BEC kommt ohne Schadsoftware aus und zählt zu den kostspieligsten Formen der Cyberkriminalität.

DKIM

DomainKeys Identified Mail (DKIM) ist ein Authentifizierungsstandard, der jede ausgehende E-Mail mit einer digitalen Signatur versieht. Der empfangende Server prüft diese Signatur gegen einen öffentlichen Schlüssel in den DNS-Einträgen der Absenderdomain und erkennt so gefälschte Nachrichten.

DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) baut auf SPF und DKIM auf und legt fest, wie mit E-Mails umgegangen wird, die diese Prüfungen nicht bestehen. DMARC liefert Domaininhabern zudem Berichte über versuchte Fälschungen.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) regelt den Schutz personenbezogener Daten in der EU. Für die E-Mail-Kommunikation bedeutet das unter anderem Verschlüsselungspflichten bei der Übertragung sensibler Daten und Dokumentationspflichten bei Datenpannen.

E2EE

Ende-zu-Ende-Verschlüsselung (E2EE) sorgt dafür, dass eine E-Mail auf dem Gerät des Absenders verschlüsselt und erst auf dem Gerät des Empfängers entschlüsselt wird. Weder der E-Mail-Anbieter noch Dritte können den Inhalt lesen.

NIS2

Die NIS2-Richtlinie (Network and Information Security Directive 2) verschärft die Cybersicherheitsanforderungen für Unternehmen in der EU. In Deutschland trat das Umsetzungsgesetz am 6. Dezember 2025 in Kraft und betrifft rund 30.000 Organisationen.

OpenPGP

OpenPGP (Pretty Good Privacy) ist ein offener Standard für die Verschlüsselung und Signierung von E-Mails. Anders als S/MIME benötigt OpenPGP keine zentrale Zertifizierungsstelle, sondern arbeitet mit einem dezentralen Vertrauensmodell.

Phishing

Phishing bezeichnet den Versuch, über gefälschte E-Mails, Websites oder Nachrichten an persönliche Daten wie Passwörter oder Bankverbindungen zu gelangen. Varianten wie Spear-Phishing richten sich gezielt an einzelne Personen oder Unternehmen.

S/MIME

Secure/Multipurpose Internet Mail Extensions (S/MIME) ist ein zertifikatsbasierter Standard für die Verschlüsselung und digitale Signierung von E-Mails. S/MIME wird besonders in Unternehmensumgebungen eingesetzt und erfordert ein Zertifikat von einer anerkannten Zertifizierungsstelle.

SPF

Sender Policy Framework (SPF) ist ein DNS-Eintrag, der festlegt, welche Server E-Mails im Namen einer Domain versenden dürfen. Empfangende Server prüfen eingehende E-Mails gegen diese Liste und können nicht autorisierte Nachrichten abweisen.

TLS

Transport Layer Security (TLS) verschlüsselt die Verbindung zwischen zwei E-Mail-Servern während der Übertragung. TLS schützt vor dem Mitlesen unterwegs, verschlüsselt die E-Mail aber nicht auf dem Server selbst.

Zero-Access-Verschlüsselung

Zero-Access-Verschlüsselung bedeutet, dass der E-Mail-Anbieter die gespeicherten Nachrichten technisch nicht entschlüsseln kann. Der Schlüssel liegt ausschließlich beim Nutzer. Selbst bei einer Beschlagnahme des Servers bleiben die Inhalte geschützt.

FAQ