Email-Bedrohungen 2026: 11 Angriffstypen, Erkennung, Schutz
Email ist seit Jahrzehnten der häufigste Initial-Access-Vektor für Cyberangriffe. Dieser Cluster erklärt 11 konkrete Angriffstypen — von klassischem Spoofing bis HTML-Smuggling — mit MITRE-ATT&CK-Zuordnung, dokumentierten Vorfällen und konkreten Schutzmaßnahmen aus SPF, DKIM, DMARC, MTA-STS und Anti-BEC-Hardening.
Email ist der häufigste Einstieg in Cyberangriffe
Verizon DBIR 2025 und der BSI-Lagebericht 2025 zeigen seit Jahren dasselbe Muster: E-Mail ist der dominierende Initial-Access-Vektor für Cyberangriffe in DACH und weltweit. Phishing eröffnet Ransomware-Kampagnen, Business Email Compromise (BEC) verursacht laut FBI IC3 2024 allein 2,77 Mrd. USD Schaden, und neuere Inhalt-Angriffe wie Quishing (Keepnet 2025: 5-fache Steigerung) und HTML-/SVG-Smuggling umgehen klassische Gateway-Filter. Wer Email-Authentifizierung vernachlässigt, lässt die häufigste Einbruchstür offen.
Dieser Bedrohungs-Cluster systematisiert die 11 wichtigsten Email-Angriffe in drei Gruppen: Authentifizierungs-Angriffe (Absender-Fälschung), Inhalt-Angriffe (Payload-Auslieferung) und Identitäts-Angriffe (Domain-Imitation). Jede Bedrohung wird mit MITRE-ATT&CK-Zuordnung, dokumentierten Vorfällen und konkreten Schutzmaßnahmen aus den Schutzmaßnahmen-Kapiteln (SPF, DKIM, DMARC, DMARC-Enforcement, MTA-STS, SMTP-TLS) verlinkt.
Bedrohungslage 2025 in fünf Zahlen
- APWG Q2 2025: 1.130.393 Phishing-Angriffe — der höchste Quartalswert seit Q2 2023, dokumentiert in den Phishing Activity Trends Reports der Anti-Phishing Working Group.
- Verizon DBIR 2025: Credential Abuse 22 % — gestohlene Anmeldedaten haben Phishing als initialen Vektor 2025 erstmals knapp überholt; 88 % der Web-App-Angriffe nutzen gestohlene Credentials.
- BSI 2025: 119 Schwachstellen pro Tag — durchschnittlich 119 neue CVEs pro Tag (+24 % zum Vorjahr), 461 dokumentierte Datenpannen mit Email-Adressen, Gesundheits- und Finanzdaten.
- Abnormal Security 2024: 83 % der Großunternehmen mit Vendor Email Compromise konfrontiert, 41 % der Kunden waren wöchentlich Ziel — der schnellst-wachsende BEC-Subtyp.
- Keepnet 2025: Quishing-Verfünffachung — QR-Code-Phishing-Mails stiegen von rund 47.000 (August) auf über 249.000 (November) 2025, C-Level-Empfänger 40-mal häufiger Ziel als Standard-Nutzer.
Quellen: APWG Q2 2025 · Verizon DBIR 2025 · BSI-Lagebericht 2025 · Abnormal Security VEC 2024 · Keepnet Quishing Trends 2025. Abruf-Datum 13. Mai 2026.
Email-Bedrohungs-Landschaft 2026 — 11 Bedrohungen in 3 Gruppen + Statistik-Schicht
Multimodale Vektor-Frequenz-Matrix: 11 Email-Bedrohungen gruppiert nach Authentifizierung (4) / Inhalt (5) / Identität (2) mit Häufigkeit + Schadenshöhe + MITRE-ID. Statistik-Schicht: Verizon DBIR 2025 (16% Phishing, EMEA 19%, 22% Credentials, 12.195 Breaches), FBI IC3 2024 (2,77 Mrd USD BEC, 16,6 Mrd USD Total, 859.532 Beschwerden), BSI Lagebericht 2025 (KnowBe4 82,6% KI-Phishing), APWG Q1 2025 (1.003.924 Phishing-Angriffe).
Drei Gruppen: Authentifizierung, Inhalt, Identität
Die elf Email-Bedrohungen gruppieren sich entlang des Angriffs-Mechanismus: Authentifizierungs-Angriffe fälschen den Absender, Inhalt-Angriffe schmuggeln Payload durch Gateways, Identitäts-Angriffe missbrauchen Domain-Strukturen. Jede Gruppe braucht eine andere Verteidigung — SPF/DKIM/DMARC gegen Authentifizierung, Gateway-Hardening gegen Inhalt, DNS-Hygiene gegen Identität.
Authentifizierungs-Angriffe
Der Angreifer fälscht oder übernimmt einen legitimen Absender. SPF, DKIM und DMARC sind die direkte Verteidigung.
Email-Spoofing
Absender-Fälschung ohne SPF/DKIM/DMARC. Der Klassiker — und immer noch wirksam, wo Domains keine Authentifizierungs-Records haben.
Business Email Compromise
CEO-Fraud, Lohnumleitung, Lieferanten-Manipulation. FBI IC3 zählt BEC seit Jahren zur teuersten Cybercrime-Kategorie.
Vendor Email Compromise
BEC-Untervariante über übernommene Lieferanten-Accounts. Rechnungsfälschung im Namen eines vertrauenswürdigen Geschäftspartners.
Phishing (klassisch)
Massen-Versand mit gefälschten Links zu Credential-Harvesting oder Malware. Laut Verizon DBIR der häufigste Initial-Access-Vektor.
Inhalt-Angriffe
Die Authentifizierung ist nicht das Problem — der Payload ist es. Mail-Gateway-Hardening und Endpoint-Schutz greifen hier.
Quishing (QR-Code-Phishing)
Phishing-Link versteckt im QR-Code. Umgeht URL-Scanner, weil der Link erst nach dem Scan auf dem privaten Smartphone sichtbar wird.
Gefährliche Anhänge
Makro-Dokumente, ISO/IMG-Container, OneNote-Notizbücher, LNK-Dateien. Container-Formate umgehen Mark-of-the-Web — Microsoft warnt seit 2022.
HTML-Smuggling
Malware in HTML-Anhängen via JavaScript-Blob-Decoding. Gateway sieht harmloses HTML, Browser baut Payload erst beim Empfänger zusammen.
SVG-Angriffe
SVG ist XML mit JavaScript-Support. Gateways klassifizieren SVG als harmloses Bild — Browser führen darin eingebettetes Skript aus.
Identitäts-Angriffe
Der Angreifer missbraucht die Domain-Struktur selbst — über fremde Schriftzeichen oder vergessene Subdomains.
Homograph- & IDN-Angriffe
Cyrillisches „а“ sieht aus wie lateinisches „a“. Unicode-Domains imitieren legitime Marken — visuell perfekt, technisch fremd.
Echospoofing & SubdoMailing
Übernahme verwaister Subdomains oder Dangling-CNAMEs. Versand im Namen der Hauptdomain — bei laxer Subdomain-Policy auch DMARC-konform.
Kalender-Einladungs-Angriffe
iCal-Anhänge fügen sich auto-akzeptiert in Outlook/Google Calendar ein. Phishing-Links in der Einladung umgehen das User-Bewusstsein „E-Mail prüfen“ — Identitäts-Trust-Default wird missbraucht.
Pillar-Cluster-Architektur — Hub & 6 R1+R2-Schutzmaßnahmen × 11 R3-Bedrohungen
Hub-and-Spoke-Diagramm: Zentraler Email-Security-Hub im Zentrum, 6 R1+R2-Schutzmaßnahmen (SPF/DKIM/DMARC/DMARC-Enforcement/MTA-STS/SMTP-TLS) im inneren Ring mit RFC-Ankern, 11 R3-Bedrohungen in 3 Gruppen (Authentifizierung 4 / Inhalt 5 / Identität 2) im äußeren Ring. Pfeile zeigen Wirksamkeit. Wolf-Agents 165-Punkte-Scanner deckt alle 6 Schutzmaßnahmen technisch ab.
Welche Schutzmaßnahme gegen welche Bedrohung?
Die Matrix zeigt, gegen welche Bedrohung jede Schutzmaßnahme aus den R1- und R2-Kapiteln wirkt. SPF, DKIM und DMARC schließen Authentifizierungs-Angriffe (Spoofing, BEC-Vorbedingung, klassisches Phishing). MTA-STS und SMTP-TLS schützen den Transport, nicht den Inhalt. Inhalt- und Identitäts-Angriffe brauchen zusätzliche Maßnahmen — Sandboxing, Awareness, CT-Log-Monitoring.
| Bedrohung | SPF | DKIM | DMARC | DMARC-Enf. | MTA-STS | Zusätzliche Maßnahmen |
|---|---|---|---|---|---|---|
| Spoofing | ✓ Pflicht | ✓ Pflicht | ✓ Pflicht | ✓ p=reject | Hilfreich | — |
| BEC / CEO-Fraud | Pflicht | Pflicht | Pflicht | ✓ Hoch | — | MFA, Out-of-Band |
| VEC (Lieferkette) | — | — | Hoch | ✓ Hoch | — | Lieferanten-DMARC |
| Phishing (klassisch) | Pflicht | Pflicht | Pflicht | Hilfreich | — | URL-Filter, Awareness |
| Quishing | — | — | — | — | — | Anhang-Scan, MFA |
| Gefährliche Anhänge | — | — | — | — | — | Sandbox, CDR |
| HTML-Smuggling | — | — | — | — | — | Content-Inspection, EDR |
| SVG-Angriffe | — | — | — | — | — | MIME-Block, Sanitization |
| Kalender-Angriffe | — | — | — | — | — | Auto-Accept aus, Awareness |
| Homograph | — | — | — | — | — | CT-Logs, Browser-Punycode |
| SubdoMailing | ✓ inkl. sp= | — | ✓ sp=reject | ✓ Pflicht | — | DNS-Audit, CT-Logs |
DMARC-Triangle gegen Spoofing — SPF + DKIM + DMARC Trust-Architektur
Multimodales Trust-Triangle: 3 RFC-Ecken (SPF RFC 7208 oben / DKIM RFC 6376 links unten / DMARC RFC 7489 rechts unten) verbunden durch Alignment-Pfeile (aspf relaxed/strict + adkim relaxed/strict) zum Email-Zentrum. DMARC-Policy: p=none (Monitoring) → p=quarantine (Quarantäne) → p=reject (Block). Wiederverwendbar in spoofing/bec/vec/phishing/echospoofing-subdomailing.
Die SPF-Kapitel-Seite, DKIM-Kapitel-Seite und DMARC-Kapitel-Seite erklären die Grundlagen. Die DMARC-Enforcement-Roadmap beschreibt den sicheren Weg von p=none zu p=reject in vier Phasen. MTA-STS und SMTP-TLS härten den Transport.
NIS2 Art. 21 + Art. 23: Schutz und Meldung
Die NIS2-Richtlinie verlangt für Email-Bedrohungen zwei Dinge: Risikomanagement-Maßnahmen nach Art. 21 Abs. 2 und Meldung erheblicher Vorfälle nach Art. 23 in drei Stufen. Die deutsche Umsetzung im NIS2UmsuCG ergänzt die persönliche Geschäftsleitungs-Haftung nach §38 BSIG. Pro Bedrohung greift ein anderer NIS2-Buchstabe — Spoofing fällt unter lit. h (Kryptografie), BEC unter lit. b (Vorfall-Bewältigung) und lit. j (MFA), VEC unter lit. d (Lieferkette).
Art. 21 Abs. 2 — Risikomanagement
- lit. a — Risikoanalyse-Konzepte (Bedrohungs-Inventar)
- lit. b — Bewältigung von Sicherheitsvorfällen (Phishing-Response)
- lit. d — Lieferketten-Sicherheit (VEC)
- lit. g — Cyberhygiene + Schulung (Phishing-Awareness)
- lit. h — Kryptografie + Verschlüsselung (DKIM, MTA-STS)
- lit. j — MFA + sichere Sprach-/Video-/Textkommunikation (Anti-BEC)
Art. 23 — Meldepflichten
- 24 Stunden — Frühwarnung an die zuständige Behörde (in DE: BSI als zentrale Meldestelle)
- 72 Stunden — Vorfallsmeldung mit erster Bewertung
- 1 Monat — Abschlussbericht mit Root-Cause + Mitigation
- §38 BSIG — Persönliche Haftung der Geschäftsleitung bei Verletzung der Sorgfaltspflicht
Wo finde ich aktuelle Bedrohungs-Statistiken?
Belastbare Zahlen zu Email-Bedrohungen kommen aus wenigen, gut nachvollziehbaren Quellen. Der BSI-Lagebericht ist die DACH-Referenz, Verizon DBIR die globale empirische Großstudie, FBI IC3 die BEC-Schaden-Quelle, APWG das Phishing-URL-Tracking. Alle vier sind jährlich aktualisiert, frei verfügbar und werden in den 11 Deep-Dives dieses Clusters direkt referenziert.
BSI-Lagebericht zur IT-Sicherheit
Jährliche Auswertung der Bedrohungslage in Deutschland — die maßgebliche DACH-Referenz für Email-Vorfälle, Ransomware-Initial-Access und Phishing-Trends.
bsi.bund.de/LageberichtVerizon DBIR
Data Breach Investigations Report — globale empirische Großstudie zu Initial-Access-Vektoren, Branchen und Angriffstypen. Quelle für „Phishing #1 Vektor“-Aussagen.
verizon.com/dbirFBI IC3 Annual Report
Jährlicher Bericht zur US-Internet-Kriminalität — Standard-Quelle für BEC-Schadenshöhen mit zweistelligen Milliarden-Aggregaten seit Jahren.
ic3.gov AnnualReportAPWG Phishing Activity Trends
Vierteljährliches Tracking aller bekannten Phishing-URLs, gebrandeten Imitations-Ziele und Branchen-Verteilungen — die Referenz für Phishing-Volumen-Trends.
apwg.org/trendsreportsMITRE ATT&CK
Standardisierter Katalog gegnerischer Techniken — jede Bedrohung in diesem Cluster ist mit der entsprechenden Technik-ID (T1566.*, T1027.006, T1199, T1584.001) verknüpft.
attack.mitre.org/T1566Wolf-Agents Email Security Check
Kostenloser Scanner für SPF, DKIM, DMARC, MTA-STS, DANE und BIMI — 165 Punkte pro Domain. Monitoring alle 6 Stunden + Drift-Alerts auf Konfigurations-Änderungen.
Email Security Check startenAbnormal Security VEC Threat Reports
Marktführende Forschung zu Vendor Email Compromise — der schnellst wachsende BEC-Subtyp. Daten 2024-2025 zeigen 83 % der Großunternehmen mindestens einmal pro Jahr betroffen.
abnormal.ai BEC/VEC-TrendsMicrosoft Threat Intelligence + Defender Anti-Phishing
Microsoft hat HTML-Smuggling 2021 als eigene Technik etabliert; Threat-Intel-Reports zu NOBELIUM, Mekotio (DEV-0238), Ousaban (DEV-0253) liefern dokumentierte Kampagnen-Analysen mit IoC. Defender for Office 365 ergänzt mit Spoof Intelligence, Brand-Impersonation, Mailbox Intelligence (AI-Kontaktmuster), Tenant Allow/Block Lists und „Honor-DMARC“ separat für p=quarantine/p=reject.
microsoft.com Threat Intel learn.microsoft.com Anti-PhishingBIMI — Brand Indicators for Message Identification
BIMI (AuthIndicators Working Group) macht eine erfolgreich authentifizierte Marken-Mail sichtbar — das Empfänger-Postfach zeigt das verifizierte Markenlogo. Voraussetzung: DMARC-Enforcement (mindestens p=quarantine) plus optional VMC-Zertifikat für Gmail/Apple-Unterstützung.
bimigroup.orgWie steht Ihre Domain bei Email-Bedrohungen?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.
Häufig gestellte Fragen
Was sind die häufigsten Email-Bedrohungen 2026?
Verizon DBIR 2025 und der BSI-Lagebericht 2025 zeigen ein klares Muster: Credential-Abuse (22 %) hat Phishing (16 %) erstmals knapp als Top-Initial-Access-Vektor abgelöst, in EMEA bleibt Phishing mit 19 % besonders dominant. Business Email Compromise (BEC) ist mit 2,77 Mrd. USD Schaden 2024 (FBI IC3) die teuerste Cybercrime-Kategorie. Hinzu kommen seit 2023/2024 stark wachsende Inhalt-Angriffe wie Quishing (5-fache Steigerung 2025 laut Keepnet), HTML-Smuggling und SVG-basierte Malware-Auslieferung (50-fache Steigerung 2025 laut Sophos X-Ops), die klassische Mail-Gateway-Filter umgehen.
Wie unterscheide ich BEC von normalem Phishing?
Klassisches Phishing ist Massen-Versand mit niedrigem Personalisierungsgrad — der Angreifer streut breit. Business Email Compromise (BEC) ist gezielt: Der Angreifer recherchiert Geschäftsbeziehungen, imitiert eine konkrete Vertrauensperson (CEO, Lieferant, Steuerberater) und löst eine Einzelaktion aus, meist eine Überweisung oder Daten-Freigabe. BEC hat keine bösartigen Links oder Anhänge — die Bedrohung ist rein sozial. Deshalb greifen klassische Anti-Phishing-Filter nicht.
Was ist der Unterschied zwischen Spoofing und Phishing?
Spoofing ist die technische Fälschung der Absender-Adresse — ohne SPF/DKIM/DMARC kann jeder Mailserver E-Mails mit beliebiger From-Adresse versenden. Phishing nutzt Spoofing als Bestandteil eines Social-Engineering-Angriffs: Der gefälschte Absender soll Vertrauen erzeugen, damit der Empfänger auf einen Link klickt oder einen Anhang öffnet. Spoofing ist also Vorbedingung und Werkzeug — Phishing ist der eigentliche Angriff.
Müssen wir nach NIS2 Email-Bedrohungen melden?
Ja, wenn die NIS2-Richtlinie auf Ihr Unternehmen anwendbar ist (Sektoren-Liste in Anhang I/II). Art. 23 schreibt drei Meldestufen vor: 24-Stunden-Frühwarnung an die zuständige Behörde, 72-Stunden-Vorfallsmeldung mit Erst-Bewertung und 1-Monats-Schlussbericht. BEC-Vorfälle, erfolgreiche Phishing-Kampagnen oder größere Spoofing-Wellen erfüllen typischerweise die Schwelle „erhebliche Sicherheitsvorfälle“. Die deutsche Umsetzung im NIS2UmsuCG ergänzt §38 BSIG-Geschäftsleitungs-Haftung.
Welche Schutzmaßnahme sollten wir priorisieren?
Die Reihenfolge ist empirisch klar: Erst SPF, DKIM und DMARC im Beobachtungsmodus (p=none) für vollständige Sichtbarkeit Ihrer Email-Flows. Danach DMARC-Enforcement (p=quarantine → p=reject) gegen Spoofing und einfaches Phishing. Parallel MTA-STS für Transport-Verschlüsselung. Anti-BEC-Maßnahmen wie MFA für privilegierte Konten, Out-of-Band-Verifikation für Überweisungen und Awareness-Training schließen die organisatorischen Lücken — sie greifen dort, wo Technik nicht ausreicht.
Welche Email-Bedrohungen erkennt der Wolf-Agents-Scanner?
Der Wolf-Agents Email Security Check prüft 165 Punkte gegen die technischen Voraussetzungen jeder Bedrohung: SPF-Hardness gegen Spoofing, DKIM-Signatur-Stärke gegen Inhalt-Manipulation, DMARC-Alignment und Subdomain-Policy gegen SubdoMailing, MTA-STS gegen Transport-Downgrade, DANE als kryptografische Validierung. Das kontinuierliche Monitoring (alle 6 Stunden) alarmiert bei Konfigurations-Drift, neuen Stack-Erkennungen und CT-Log-Funden für homograph-ähnliche Domains.
BSI-Lagebericht — wo finde ich aktuelle Statistiken?
Der jährliche BSI-Lagebericht zur IT-Sicherheit in Deutschland ist die maßgebliche Quelle für DACH-Daten zu Email-Vorfällen, Ransomware-Initial-Access und Phishing-Trends. Verfügbar als PDF unter bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht. Ergänzend liefern Verizon DBIR (global), FBI IC3 Annual Report (USA, BEC-fokussiert) und APWG Phishing Activity Trends (Phishing-URLs, Branchen) eine empirische Außensicht.