Email-Security-Trends 2026: KI, Compliance, neue Standards

2026 prägen sechs Trends die Email-Security-Landschaft: KI-generiertes Phishing (BSI-Lagebericht 2025: 82,6 % aller Phishing-Mails KI-generiert, Deepfake-Vishing über 300 % gestiegen), Microsoft-Hard-Reject seit 5. Mai 2025, NISG 2026 in Österreich (BGBl. I Nr. 94/2025, Inkrafttreten 1. Oktober 2026), PCI DSS 4.0.1 DMARC-Pflicht seit 31. März 2025, BIMI-Adoption-Beschleunigung und DKIM2-Draft als Ausblick. Dieser Deep-Dive ordnet die Trends ein, mit konkreten Daten aus BSI, Verizon DBIR, FBI IC3 und IETF-Drafts.

Eigene Domain prüfen Plattform entdecken
Einführung · Trends + Verschlüsselung
Von Wolf-Agents Security Team · Aktualisiert: 18. Mai 2026
Bedrohungs-Trends

KI-Phishing dominiert 2026

KI-generiertes Phishing ist 2026 der dominante Angriffsvektor in der Email-Bedrohungs-Landschaft. Der BSI-Lagebericht 2025 (Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025) zitiert KnowBe4 mit 82,6 % KI-generierten Phishing-Mails. Deepfake-Angriffe gegen Unternehmen sind über 300 % gestiegen. Sprachbarrieren, Rechtschreibfehler und stilistische Unstimmigkeiten — die klassischen Erkennungsmerkmale — fallen bei KI-generierten Mails weg. Damit verschiebt sich die Verteidigung von „User-Awareness“ zu „technischer Authentifizierung“ (SPF/DKIM/DMARC mit Enforcement) als letzte zuverlässige Schutzlinie.

Verizon Data Breach Investigations Report 2025 (12.195 bestätigte Breaches): Credential Abuse erstmals knapp vor Phishing (22 % vs. 16 % als Initial-Access-Vektor). In EMEA bleibt Phishing mit 19 % besonders dominant. Stand-Vermerk 19. Mai 2026: Verizon hat den DBIR 2026 (Berichtszeitraum 1. November 2024 bis 31. Oktober 2025) publiziert — neue Top-Akzente: 31 % Software-Vulnerabilities als primärer Initial-Access-Vektor (vor Credential Abuse), 48 % aller Breaches mit Ransomware (sinkende Ransom-Zahlungen), 15 GenAI-gestützte Angriffstechniken, 40 % höhere Klickraten auf Mobile. Die DBIR-2025-Zahlen bleiben für 2025-Retrospektiven gültig; DBIR-2026-Detaileinarbeitung erfolgt in der nächsten Trends-Welle. FBI IC3 Annual Report 2024 (859.532 Beschwerden, 16,6 Mrd. USD Gesamt-Cybercrime-Schaden, +33 % gegenüber 2023): Business Email Compromise (BEC) mit 2,77 Mrd. USD Schaden ist die zweitgrößte Cybercrime-Schadens-Kategorie nach Investment Fraud. Quishing (QR-Code-Phishing) hat sich laut Keepnet 2025 verfünffacht — von rund 47.000 Mails im August auf über 249.000 im November 2025. SVG-Phishing-Mails sind laut Sophos X-Ops 2025 um den Faktor 50 gestiegen. Mimecast Global Threat Intelligence Report 2025 (Berichtszeitraum Januar bis September 2025, Pressemitteilung 22. Oktober 2025): Phishing macht 77 % aller Angriffe aus (von 60 % in 2024), ClickFix-Schemes plus 500 % in H1, 9,13 Mrd. Threats über 43.000 Kunden ausgewertet.

82,6 % KI-Phishing BSI-Lagebericht 2025 zitiert KnowBe4: 82,6 % aller Phishing-Mails 2025 sind KI-generiert. Deepfake-Vishing über 300 % gestiegen. 950 Ransomware-Meldungen, 80 % der Betroffenen KMU. BSI-Lagebericht 2025
2,77 Mrd. USD BEC FBI IC3 Annual Report 2024: 2,77 Mrd. USD Schaden durch Business Email Compromise — zweitgrößte Cybercrime-Schadens-Kategorie. Total 16,6 Mrd. USD (+33 %), 859.532 Beschwerden. FBI IC3 Annual Report 2024
5x Quishing Keepnet 2025: QR-Code-Phishing-Mails stiegen von rund 47.000 (August) auf über 249.000 (November) — C-Level-Empfänger 40-mal häufiger Ziel als Standard-Nutzer. Keepnet QR Phishing Trends 2025
Compliance-Trends

Compliance-Verschärfung 2025/2026

Drei Compliance-Rahmen verschärfen die Anforderungen an Email-Security 2026: NISG 2026 in Österreich (Inkrafttreten 1. Oktober 2026), NIS2-Umsetzungsgesetz in Deutschland (seit 6. Dezember 2025 in Kraft) und PCI DSS 4.0.1 (seit 31. März 2025 mit DMARC-Pflicht). Die ENISA Technical Implementation Guidance EU 2024/2690 ergänzt mit konkreten technischen Vorgaben für alle Mitgliedstaaten. BSI TR-03182 (Februar 2024) definiert SPF/DKIM/DMARC als mandatory.

AT

NISG 2026 — Österreich (Inkraft 1. Oktober 2026)

Beschlossen am 12. Dezember 2025 vom Nationalrat (Zwei-Drittel-Mehrheit: ÖVP, SPÖ, NEOS, Grüne; FPÖ dagegen). Publiziert am 23. Dezember 2025 als BGBl. I Nr. 94/2025. Inkrafttreten 1. Oktober 2026.

  • Rund 4.000 österreichische Unternehmen im Anwendungsbereich
  • Neues Bundesamt für Cybersicherheit (172 Stellen bis 2029)
  • Meldepflichten: binnen 6 Monaten nach Vorfall-Ende
  • Provider-Detail-Änderungen binnen 2 Wochen
  • Registry-Updates alle 2 Jahre
  • „Advising rather than penalizing“ (Innenminister Karner) in Anfangsphase
DE

NIS2-Umsetzungsgesetz Deutschland (seit Dezember 2025)

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit 6. Dezember 2025 in Kraft (BGBl. 2025 I Nr. 301). Persönliche Haftung der Geschäftsleitung nach §38 BSIG. EU-Umsetzungsfrist war 17. Oktober 2024 — bis Mitte 2025 hatten erst rund 14 Mitgliedstaaten umgesetzt.

  • Art. 21 Abs. 2 lit. h (Kryptografie) — SPF/DKIM/DMARC/MTA-STS/DNSSEC direkt prüfbar
  • Art. 21 Abs. 2 lit. b (ICT-Sicherheit) — Vorfall-Bewältigung, Phishing-Response
  • Art. 23 (Meldepflichten) — 24h/72h/1-Monat dreistufig
  • §38 BSIG — persönliche Geschäftsleitungs-Haftung
EU

ENISA EU 2024/2690 Implementing Regulation

Die ENISA Technical Implementation Guidance EU 2024/2690 ist eine direkt anwendbare EU-Verordnung mit konkreten technischen Maßnahmen für die NIS2-Umsetzung. Erwägungsgrund 8 fordert explizit „best practices for DNS security“ — DNSSEC ist hier de facto gemeint, ohne den Begriff zu nennen.

  • Direkt anwendbar in allen EU-Mitgliedstaaten ohne nationale Umsetzungs-Pflicht
  • Authentifizierungs- und Verschlüsselungs-Anforderungen
  • Vorfall-Meldungs-Prozesse standardisiert
  • Supply-Chain-Sicherheit (relevant für Lieferanten-Email-Authentifizierung)
!

PCI DSS 4.0.1 — DMARC-Pflicht seit März 2025

PCI DSS 4.0.1 Requirement 5.4.1 ist seit 31. März 2025 verpflichtend: technische Anti-Phishing-Mechanismen. Die offizielle PCI-Guidance nennt DMARC, SPF und DKIM explizit als Beispielkontrollen — Security-Awareness-Training allein reicht NICHT mehr.

  • Betroffen: jedes Unternehmen, das Kartenzahlungen akzeptiert
  • Strafrahmen: 5.000 USD bis 100.000 USD pro Monat (verhängt durch Acquirer-Banken)
  • Kombination mit NIS2 + DSGVO = „Compliance-Trias“ für Email-Authentifizierung
  • Für E-Commerce ist DMARC p=reject regulatorisch notwendig
Provider-Trends

Mailbox-Provider verschärfen Anforderungen

Die großen Mailbox-Provider haben ab 2024 schrittweise strenge Authentifizierungs-Anforderungen durchgesetzt — inzwischen mit harten Ablehnungen abgesichert. Microsoft hat den größten Sprung: Hard-Reject seit 5. Mai 2025 für Hochvolumen-Sender ohne SPF/DKIM/DMARC, ab November 2025 permanente 550-Rejects statt temporärer Fehler.

Datum Provider Maßnahme
Februar 2024Google, YahooSPF + DKIM + DMARC-Pflicht für Bulk-Sender (ab 5.000 Mails/Tag)
April 2024Google, YahooErste aktive Ablehnungen nicht-konformer E-Mails
Juni 2024Google, YahooOne-Click-Unsubscribe Pflicht, DMARC p=none als Minimum
Mai 2025MicrosoftHard-Reject (550; 5.7.515) für Bulk-Sender bei Outlook.com, Hotmail.com, Live.com — ohne Gradualphase
September 2025La Poste.netVergleichbare Anforderungen implementiert
November 2025GooglePermanente 550-Rejects statt temporärer Fehler
laufendDeutsche TelekomÄhnliche Authentifizierungs-Anforderungen implementiert

Strategische Konsequenz für Sender

  • p=none ist nicht mehr ausreichend: Empfangende Server werten das Fehlen einer durchsetzungsfähigen DMARC-Policy aktiv als Risikosignal — selbst bei technisch validen Mails. Ziel: DMARC mit p=reject in 4-12 Wochen über stufenweise Enforcement.
  • SPF-Lookup-Budget kritisch: Bei mehreren transaktionalen Sendern + Marketing-Tools wird das 10-Lookup-Limit (RFC 7208 § 4.6.4) schnell erreicht. PermError führt zu Microsoft 550-Reject.
  • DKIM-Selektor-Pflege: 2048-Bit-Mindest-Empfehlung gemäß NIST SP 800-131A. Rotation alle 6-12 Monate als Best Practice.
  • One-Click-Unsubscribe-Pflicht: Seit Juni 2024 (Google/Yahoo) Pflicht für Hochvolumen-Sender — List-Unsubscribe-Header + List-Unsubscribe-Post-Header nach RFC 8058.
Standards-Entwicklung

DMARCbis, DKIM2 und BIMI 2026

Die Email-Authentifizierungs-Standards befinden sich in aktiver Weiterentwicklung. Drei Themen sind 2026 für Administratoren relevant: DMARCbis (RFC-Veröffentlichung steht aus, draft-ietf-dmarc-dmarcbis-41 April 2025), DKIM2 (frühes Draft-Stadium, draft-ietf-dkim-dkim2-motivation-02 November 2025) und BIMI-Adoption (rund 12 % aller DMARC-Domains Q1 2026).

1

DMARCbis — die Modernisierung von DMARC

Der Internet-Draft draft-ietf-dmarc-dmarcbis-41 (April 2025, unverändert seitdem) wurde von der IESG genehmigt und wartet auf Veröffentlichung als Proposed Standard. Die Spezifikation wird in drei separate RFCs aufgespalten: Core Protocol, Aggregate Reporting und Failure Reporting. Die RFC-Publikation wird derzeit durch den Companion-Draft draft-ietf-dmarc-failure-reporting blockiert (zuletzt Januar 2026 aktualisiert, Revision -24).

  • v=DMARC1 bleibt bestehen — es gibt keinen Versionswechsel auf v=DMARC2. Bestehende Records funktionieren weiter.
  • pct=-Parameter wird deprecated — die prozentuale Anwendung der Policy entfällt. Empfohlen: direkter Übergang von p=none zu p=quarantine zu p=reject.
  • rf= und ri= entfallen — Report-Format und -Intervall werden nicht mehr im DMARC-Record konfiguriert.
  • DNS Tree Walk ersetzt Public Suffix List — Organizational-Domain-Erkennung über DNS-Abfragen, eliminiert eine externe Pflegelast.
2

DKIM2 — Signaturverfahren der nächsten Generation

Parallel arbeitet die IETF an DKIM2 (draft-ietf-dkim-dkim2-motivation-02, zuletzt aktualisiert 2. November 2025), das grundlegende Schwächen von DKIM adressiert. Stand 19. Mai 2026: Draft ist abgelaufen (IETF-Standard-Status „Expired & archived“), keine aktive Bearbeitung dokumentiert. Nachfolger-Draft oder Wiederaufnahme nicht öffentlich angekündigt. Produktive Implementierung weiter offen — frühestens in 2-3 Jahren ab erneuter Spec-Stabilisierung.

  • Geplante Hop-basierte Signierung: Source und Destination jedes SMTP-Hops signiert — nicht nur die erste Signatur. Transportkette nachvollziehbar.
  • DKIM-Replay-Schutz: Timestamps und Empfängeradressen in der Signatur sollen Wiederverwendung verhindern — aktuell ein aktiv ausgenutztes Spam-Problem.
  • Moderne Kryptografie: Ed25519 unterstützt, Vorbereitung für Post-Quanten-Algorithmen.
  • Empfehlung: bestehende Standards (SPF, DKIM RFC 6376, DMARC RFC 7489) konsequent umsetzen — DKIM2-Entwicklung über IETF-Mailingliste beobachten, aber nicht auf Veröffentlichung warten.
3

BIMI-Adoption beschleunigt

BIMI (Brand Indicators for Message Identification) zeigt das Markenlogo im Posteingang nach erfolgreicher DMARC-Authentifizierung. Voraussetzung: DMARC mindestens p=quarantine, BIMI-Record im DNS, optional VMC (Verified Mark Certificate) für Gmail/Apple-Anzeige.

  • Provider-Support 2026: Gmail, Apple Mail, Yahoo, Fastmail nativ. Microsoft Outlook unterstützt BIMI Stand 2026 nicht.
  • VMC-Anbieter: DigiCert, Sectigo, GlobalSign.
  • Adoption global: Rund 12 % aller Domains mit DMARC haben BIMI-Record (BIMI Group Stats Q1 2026).
  • DACH-Adoption: Deutlich niedriger, frühe Differenzierungs-Chance für DACH-Marken.
!

ARC — Experiment abgeschlossen

Der Internet-Draft draft-adams-arc-experiment-conclusion-01 (Dezember 2025) empfiehlt, RFC 8617 (Authenticated Received Chain) als obsolet zu markieren. ARC sollte ursprünglich das Problem der DKIM-Signaturbrüche bei Mailinglisten lösen, konnte sich aber in der Praxis nicht ausreichend durchsetzen. DKIM2 adressiert die Problematik grundlegend anders.

  • RFC 8617 bleibt zunächst gültig — Kapitel 10 ARC bleibt relevant für aktuelle Konfigurationen
  • Langfristig wird ARC durch DKIM2 abgelöst
  • Keine sofortige Aktion erforderlich — bestehende ARC-Konfigurationen weiter pflegen
MTA-STS + DNSSEC

MTA-STS- und DNSSEC-Adoption 2026

MTA-STS (RFC 8461) ist die HTTPS-basierte Policy für STARTTLS-Erzwingung. Die Adoption ist seit 2024 langsam gewachsen, aber im DACH-Raum bleibt sie 2026 unter 10 % bei DAX-Konzernen und unter 5 % im Mittelstand (Stand PowerDMARC-Analyse 2025). DNSSEC-Adoption ist im DACH-Raum stark fragmentiert: hohe Quote bei deutschen .de-Domains durch DENIC-Standardisierung, niedrigere Quote bei .at und .ch. Hetzner-DNS-Console laut offizieller Hetzner-Dokumentation (Stand Oktober 2018) noch ohne nativen DNSSEC-Support — aktueller Stand muss im Panel pro Zone bestätigt werden.

Adoptions-Trends 2026

  • DMARC mit p=reject: Global 5,2 % aller Domains (Red Sift 2025, 73,1 Mio. Domains analysiert). Deutschland Top 250 nur 26 % (dmarcian 2025). Deutschland Top 100 Banken nur 19 % (dmarcian 2025).
  • MTA-STS-Mode enforce: Stark unterrepräsentiert. DAX-Konzerne und DACH-Banken praktisch ohne MTA-STS (PowerDMARC 2025: 0 % bei deutschen Banken). Cloud-Mail-Plattformen (M365, Google Workspace) haben MTA-STS-Support, müssen aber pro Tenant aktiviert werden.
  • DNSSEC: .de-Domains mit DENIC-Auto-DNSSEC haben hohe Adoption. .at und .ch hängen hinterher. DNSSEC ist Voraussetzung für DANE, ohne DNSSEC ist DANE wirkungslos (RFC 7672).
  • DANE TLSA: Nur bei Self-Hosted-Mailservern mit DNSSEC-fähigem DNS-Provider praxisrelevant. Cloud-Mail-Plattformen bieten kein DANE-Signing.
  • BIMI mit VMC: Rund 12 % der DMARC-Domains haben BIMI-Record (Q1 2026). VMC-Zertifikate sind kostenpflichtig (vierstelliger USD-Jahresbetrag bei DigiCert/Sectigo/GlobalSign).
Information-Gain

Standards-Stand 19. Mai 2026 — DMARCbis, DKIM2, BIMI im Detail

Die wichtigsten IETF- und Provider-Standards-Entwicklungen, die für Email-Administratoren 2026 strategisch relevant sind — mit zeichengenauem Stand und konkreten Implementierungs-Konsequenzen.

IETF DMARCbis (draft-ietf-dmarc-dmarcbis-41)

  • Status: AUTH48-Phase (Author Approved, awaiting RFC Editor processing). RFC-Publikation absehbar, aber durch Companion-Draft draft-ietf-dmarc-failure-reporting blockiert.
  • Drei-RFC-Aufspaltung: Core Protocol, Aggregate Reporting, Failure Reporting werden separate RFCs.
  • Neue Tags: psd (Public Suffix Domain-Indikator), np (Policy für nicht-existente Subdomänen), t (Test-Modus für Operatoren).
  • Entfernte Tags: pct= entfällt, rf= und ri= nicht mehr in der Spezifikation.
  • DNS Tree Walk: ersetzt Public Suffix List für Organizational-Domain-Bestimmung — eliminiert externe Pflegelast.
  • v=DMARC1 bleibt: keine v=DMARC2-Inkompatibilität. Bestehende Records funktionieren weiter.
  • Quelle: datatracker.ietf.org Draft Status (Abruf 19. Mai 2026).

BIMI-Adoption — konkrete Provider-Liste 2026

  • Vollständig BIMI-fähig: Google Gmail, Yahoo Mail, Apple Mail (iCloud), Fastmail.
  • Outlook-Status: Microsoft Exchange Online ohne BIMI-Support; Consumer-Outlook.com seit Ende 2023 nur in einer Preview ohne GA-Termin und mit inkonsistentem Rendering.
  • VMC-Anbieter (Verified Mark Certificate, Pflicht für Gmail/Apple-Logo-Anzeige): DigiCert, Sectigo, GlobalSign.
  • BIMI-Voraussetzungen: DMARC mindestens p=quarantine, BIMI-Record im DNS unter default._bimi.domain, SVG-Logo (Tiny PS Profile) auf HTTPS-URL, optional VMC für volle Logo-Anzeige.
  • Global-Adoption Q1 2026: rund 12 % aller DMARC-Domains haben BIMI-Record (BIMI-Group-Schätzung, exakter Zahlenwert nicht öffentlich publiziert).
  • DACH-Differenzierungs-Chance: Adoption deutlich niedriger als US/UK — DACH-Marken können mit BIMI-Implementierung in 2026 visuell aus dem Posteingang stechen.
  • Quelle: bimigroup.org (Abruf 19. Mai 2026).

Microsoft-Hard-Reject (Stand Mai 2026) — Hochvolumen-Sender

  • Seit 5. Mai 2025: Microsoft (Outlook.com, Hotmail.com, Live.com) lehnt Hochvolumen-Sender (≥ 5.000 Mails/Tag) ohne SPF/DKIM/DMARC mit SMTP-Status 550; 5.7.515 Access denied, sending domain [DOMAIN] does not meet the required authentication level. hard ab — ohne Gradualphase.
  • Seit November 2025: permanente 550-Rejects statt temporärer Fehler — Wiederholungs-Versuche werden ebenfalls abgelehnt.
  • Strategische Konsequenz für DACH-Sender: jeder Bulk-Sender (Newsletter, Transaktional, Marketing-Automation) muss SPF korrekt konfiguriert + DKIM signieren + DMARC mindestens p=none als Minimum haben. p=quarantine oder p=reject empfohlen.
  • SPF-Lookup-Limit-Risiko: Bei mehreren kombinierten Sendern (Marketing-ESP + Cloud-Mail + Transactional-Provider) wird das 10-Lookup-Limit nach RFC 7208 § 4.6.4 schnell erreicht. PermError führt zu Microsoft 550-Reject ohne Vorwarnung.
Wolf-Agents-USP

Trends 2026 im Wolf-Agents-Scanner

Wolf-Agents Email Security Check und Monitoring decken die 2026 relevanten Standards vollständig ab: SPF (RFC 7208) mit Lookup-Counter, DKIM (RFC 6376) mit Selektor-Erreichbarkeit, DMARC (RFC 7489) mit Alignment und Subdomain-Override, MTA-STS (RFC 8461), DNSSEC + DANE + CAA, BIMI mit VMC-Validierung, ARC-Detection. DKIM2 wird mit dem Draft-Reifegrad integriert.

  • 165-Punkte Email Security Scanner — vollständige Outside-In-Bewertung aller 2026 relevanten Standards. Microsoft-Hard-Reject-Risiko wird durch SPF-Lookup-Counter und DKIM-Schlüssellängen-Prüfung präzise bewertet.
  • BIMI-Monitoring — BIMI-Record-Syntax, VMC-Zertifikatskette, SVG-Konformität (Tiny PS Profile). Frühwarnung bei VMC-Ablauf.
  • NIS2-Compliance-Dashboard (geplant) — Mapping aller Scanner-Checks gegen NIS2 Art. 21 Abs. 2 lit. b/h, ENISA EU 2024/2690, BSI TR-03182. PDF-Export für Audit-Vorbereitung.
  • DKIM2-Adoption-Tracking (Roadmap) — sobald DKIM2 produktiv wird, Integration in Scanner und Monitoring. Heute bereits Vorbereitung über Ed25519-Support in DKIM-Bewertung.
Compliance

Compliance-Konsequenz: Wie sich die Trends auf Audits auswirken

NIS2 Art. 21 Abs. 2 lit. h + DSGVO Art. 32

2026 ist „Stand der Technik“ für Email-Authentifizierung klar definiert: SPF, DKIM, DMARC mit Enforcement, MTA-STS, DNSSEC. Wer diese Standards 2026 nicht implementiert hat, kann die DSGVO-Anforderung an „geeignete technische Maßnahmen“ schwer verteidigen.

NISG 2026 + Bundesamt für Cybersicherheit (AT)

Ab 1. Oktober 2026 sind rund 4.000 österreichische Unternehmen verpflichtet. Das neue Bundesamt für Cybersicherheit hat zunächst beratende Funktion, kann aber bei wiederholten Verstößen sanktionieren. Email-Authentifizierung ist direkt prüfbar.

PCI DSS 4.0.1 + BSI „Jahr der E-Mail-Sicherheit“

Für Karten-Datenverarbeiter ist DMARC seit März 2025 Pflicht. Das BSI hat 2025 zum „Jahr der E-Mail-Sicherheit“ erklärt — TR-03182 als dokumentierter Stand der Technik. Kombination der drei Rahmen schafft eine starke regulatorische Argumentation.

Pillar-Cluster

Vertiefen Sie weiter

Hauptkapitel

Verwandte Deep-Dives

Bedrohungen + Verifikation

Wie steht Ihre Domain bei Trends 2026?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten

Häufig gestellte Fragen

Was sind die wichtigsten Email-Security-Trends 2026?

Sechs Trends prägen 2026: (1) KI-generiertes Phishing dominiert — BSI-Lagebericht 2025 zitiert KnowBe4 mit 82,6 % KI-generierten Phishing-Mails, Deepfake-Vishing über 300 % gestiegen. (2) Microsoft-Hard-Reject seit 5. Mai 2025 für Hochvolumen-Sender ohne SPF/DKIM/DMARC (SMTP-Status 550; 5.7.515). (3) NISG 2026 in Österreich, beschlossen am 12. Dezember 2025 (BGBl. I Nr. 94/2025), Inkrafttreten 1. Oktober 2026. (4) PCI DSS 4.0.1 seit 31. März 2025 mit DMARC-Pflicht für Kartenzahlungs-Annehmer. (5) BIMI-Adoption beschleunigt, VMC-Zertifikat etabliert sich. (6) DKIM2-Draft (draft-ietf-dkim-dkim2-motivation-02, November 2025) als Ausblick auf nächste Generation.

Was ist neu am NISG 2026 in Österreich?

Das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz) wurde am 12. Dezember 2025 vom österreichischen Nationalrat mit Zwei-Drittel-Mehrheit beschlossen (ÖVP, SPÖ, NEOS, Grüne; FPÖ dagegen). Publiziert am 23. Dezember 2025 als BGBl. I Nr. 94/2025. Inkrafttreten: 1. Oktober 2026. Rund 4.000 österreichische Unternehmen fallen in den Anwendungsbereich. Zur Umsetzung wird ein eigenes Bundesamt für Cybersicherheit gegründet (172 Stellen bis 2029). Meldepflichten: 6 Monate nach Vorfall-Ende. Provider-Detail-Änderungen binnen 2 Wochen. Registry-Updates alle 2 Jahre. Innenminister Karner betont „advising rather than penalizing“ in der Anfangsphase.

Was ist die ENISA EU 2024/2690?

Die ENISA Technical Implementation Guidance EU 2024/2690 ist eine Implementing Regulation der EU-Kommission (verabschiedet 2024), die konkrete technische Maßnahmen für die NIS2-Umsetzung in Mitgliedstaaten vorschreibt. Sie definiert in Erwägungsgrund 8 „best practices for DNS security“ — ohne den Begriff DNSSEC zu nennen, aber DNSSEC ist hier de facto gemeint. Die Verordnung adressiert Authentifizierungs- und Verschlüsselungs-Anforderungen, Vorfall-Meldungs-Prozesse und Supply-Chain-Sicherheit. Sie ist direkt anwendbar in allen Mitgliedstaaten ohne nationale Umsetzungs-Pflicht.

Wo steht die BIMI-Adoption 2026?

BIMI (Brand Indicators for Message Identification) ist die Markenlogo-Anzeige im Posteingang nach erfolgreicher DMARC-Authentifizierung. Voraussetzung: DMARC mindestens p=quarantine, BIMI-Record im DNS, optional VMC (Verified Mark Certificate) für Gmail/Apple-Anzeige. Stand 2026: Gmail, Apple Mail, Yahoo, Fastmail unterstützen BIMI nativ. Microsoft Outlook und Exchange Online unterstützen BIMI Stand 2026 nicht. VMC-Anbieter: DigiCert, Sectigo, GlobalSign. Adoption global: rund 12 % aller Domains mit DMARC haben BIMI-Record (BIMI Group Stats Q1 2026). DACH-Adoption deutlich niedriger.

Was ändert sich bei DMARC mit DMARCbis?

Der Internet-Draft draft-ietf-dmarc-dmarcbis-41 (April 2025) wurde von der IESG genehmigt und wartet auf Veröffentlichung als Proposed Standard. RFC-Publikation derzeit blockiert durch Companion-Draft draft-ietf-dmarc-failure-reporting (Stand -24, Januar 2026). Wichtige Änderungen: v=DMARC1 bleibt bestehen (keine v=DMARC2-Inkompatibilität), pct=-Parameter wird deprecated (direkter Übergang p=none zu p=quarantine zu p=reject empfohlen), rf= und ri= entfallen, DNS Tree Walk ersetzt Public Suffix List für Organizational-Domain-Erkennung. Bestehende Records müssen NICHT geändert werden.

Was ist DKIM2 und wann kommt es?

DKIM2 (draft-ietf-dkim-dkim2-motivation-02, November 2025) ist der frühe Internet-Draft für die nächste Generation der DKIM-Signierung. Hauptänderungen: (1) Hop-basierte Signierung (Source und Destination jedes SMTP-Hops, nicht nur die erste Signatur). (2) DKIM-Replay-Schutz durch Timestamps und Empfängeradressen in der Signatur. (3) Moderne Kryptografie (Ed25519, Vorbereitung für Post-Quanten-Algorithmen). Status: frühes Draft-Stadium, produktive Implementierung frühestens in 2-3 Jahren. Empfehlung: bestehende Standards (SPF, DKIM, DMARC) konsequent umsetzen, DKIM2-Entwicklung beobachten.

Was bedeutet der Microsoft-Hard-Reject seit Mai 2025 für Sender?

Seit dem 5. Mai 2025 lehnt Microsoft Outlook.com, Hotmail.com und Live.com Hochvolumen-Sender (≥ 5.000 Mails/Tag) ohne korrekte SPF/DKIM/DMARC mit SMTP-Status 550; 5.7.515 hard ab — ohne Gradualphase. Im November 2025 wurde die Regel auf permanente 550-Rejects statt temporärer Fehler verschärft. Konsequenz: Wer als Mailing-Volumen-Sender (Newsletter, transaktional, Marketing-Automation) nicht alle drei Mechanismen sauber konfiguriert hat, verliert Outlook-Zustellbarkeit komplett. Microsoft hat damit die strikteste Enforcement-Politik aller großen Mailbox-Provider — Google und Yahoo haben über 18 Monate (Februar 2024 bis November 2025) graduell verschärft.