E-Mail-Accounts als Sicherheitslücke – was tun?

Zuletzt aktualisiert am 1. Juni 2026

Cyberattacken auf E-Mail-Accounts von Unternehmen nehmen bundesweit massiv zu. Worin liegen die Ursachen und wie können Unternehmen ihre Sicherheit in diesem Bereich stärken?

Alles, was Sie dazu wissen müssen, erfahren Sie hier.

Cyberattacken auf E-Mail-Accounts

In ganz Deutschland werden immer mehr Cyberangriffe auf E-Mail-Accounts von Unternehmen gemeldet. Die Täter klinken sich darüber in die vertraulichen E-Mail-Kommunikationen ein. Ab hier wird die Schwachstelle Mensch ausgenutzt: Täter veranlassen oder manipulieren finanzielle Transaktionen, indem Sie sich zum Beispiel via Mail-Spoofing als Vorgesetzter ausgeben. Für die Opfer im Unternehmen sieht es dann aus, als hätten Sie tatsächlich eine entsprechende E-Mail von ihrem Chef bekommen und deshalb führen sie die Anweisung aus, ohne diese zu hinterfragen.

Externen Datenschutzbeauftragten beauftragen — bundesweit ab 250 € / Monat

DATUREX GmbH stellt Ihnen einen externen Datenschutzbeauftragten nach Art. 37 DSGVO — inklusive Audit, Schulungen, VVT-Pflege und Datenpannen-Meldung. Kostenlose Ersteinschätzung in 30 Minuten.

→ Leistungen ansehenErsteinschätzung anfragen

Andere Täter dringen über die E-Mail-Accounts und darin vorgefundenen Informationen wie z.B. Login Daten tiefer in die Netzwerkstrukturen des Unternehmens ein. Hierüber könne sie auch Schadsoftware bis zu den Kontakten des E-Mail-Accounts (meist Kunden des Unternehmens) verbreiten oder direkt Hacker Angriffe durchführen.

Bei Erfolg solcher Angriffe entstehen große Schäden. Diese werden oftmals als größte Gefahr für Unternehmen überhaupt bezeichnet. Wenn man bei dem Angriffen im Verborgenen bleibt und nicht durch offensive Schäden Aufmerksamtkeit erregt, sind solche Arten des Eindringens in Unternehmennetwerke zum Zwecke der Informationsbeschaffung auch meist persitent und damit dauerhaft möglich.

Ursachen für erfolgreiche Cyberattacken

Von den Datenschutzaufsichtsbehörden aus Bayern (BayLDA) und Berlin (BInBDI) werden aktuell Prüfverfahren bei Unternehmen durchgeführt. Diese haben unter anderem den Zweck, E-Mail-Accounts zum Schutz vor Phishing sowie Spoofing und Cyberattacken abzusichern. Hierzu haben die Behörden einen Fragebogen entwickelt. Dieser behandelt die grundsätzlichen Sicherheitsanforderungen im Umgang mit E-Mail-Accounts (Art. 32 DSGVO).

Das BayLDA sieht hauptsächlich zwei Gründe als ursächlich für erfolgreiche Cyberangriffe über E-Mail-Accounts: „Die eigentlichen Ursachen solcher Cyberangriffe sind nicht selten in einer unsachgemäßen Bedienung (u. a. auf Grund mangelndem Sicherheitsbewusstsein bei den Beschäftigten) oder in einer fehlerhaften Konfiguration und Absicherung der E-Mail-Accounts zu finden.“

Was tun für mehr Sicherheit?

Laut BayLDA können die Risiken mit verhältnismäßigem Aufwand verringert bis beseitigt werden. Eine Große Rolle spielen dabei auch entsprechende Schulungen für mehr Sicherheitsbewusstsein bei den Mitarbeitern (Awareness).

Außerdem hat das BayLDA eine Handreichung veröffentlicht, die die Absicherung von E-Mail-Accounts unterstützen soll. Hierin sind technische und organisatorische Maßnahmen vorgestellt, die beim Schutz von E-Mail-Accounts eine große Rolle spielen. In den dort aufgeworfenen Fragen stellen sich die grundsätzlichen Sicherheitsanforderungen nicht nur für die vom BayLDA überprüften Unternehmen dar. Verfahren wie DKIM und DMARC sollten bereits bei allen Firmen technische Standards sein, nur leider signieren die wenigsten Firmen bisher Ihre E-Mails. Wir helfen Ihnen Ihre Mail-Infrastruktur und Mailabwicklung nach innen und außen abzusichern.

Sie benötigen Unterstützung im Bereich Informationssicherheit und Mitarbeiterschulung? Kontaktieren Sie uns für ein Angebot bezüglich einer individuellen Mitarbeiterschulung im Bereich Informationssicherheit/Awareness in Ihrem Betrieb! Unser Team an Experten hilft Ihnen gerne bei allen Anliegen rund um Datenschutz und Datensicherheit weiter.

Häufige Angriffsmethoden auf E-Mail-Accounts

Cyberkriminelle nutzen verschiedene Techniken, um Zugriff auf geschäftliche E-Mail-Accounts zu erlangen. Die häufigste Methode ist das sogenannte Phishing — dabei erhalten Mitarbeiter täuschend echt aussehende E-Mails, die sie zur Eingabe ihrer Zugangsdaten auf gefälschten Webseiten verleiten. Besonders gefährlich ist das sogenannte Spear-Phishing, bei dem Angreifer gezielt einzelne Personen mit personalisierten Nachrichten anschreiben.

Eine weitere verbreitete Methode ist das sogenannte Credential Stuffing. Dabei nutzen Angreifer Zugangsdaten aus früheren Datenlecks anderer Dienste und testen diese automatisiert bei geschäftlichen E-Mail-Systemen. Da viele Nutzer identische Passwörter für verschiedene Dienste verwenden, ist diese Methode erschreckend erfolgreich. Laut dem BSI-Lagebericht werden jährlich Milliarden kompromittierter Zugangsdaten im Darknet gehandelt.

Business E-Mail Compromise (BEC)

Eine besonders gefährliche Form des E-Mail-Betrugs ist der sogenannte Business E-Mail Compromise (BEC). Dabei verschaffen sich Angreifer Zugang zum E-Mail-Account eines Geschäftsführers oder einer Führungskraft und nutzen diesen, um Mitarbeiter zu Überweisungen auf fremde Konten zu veranlassen. Das FBI schätzt den weltweiten Schaden durch BEC-Angriffe auf über 50 Milliarden US-Dollar seit 2013.

Für Unternehmen ist ein solcher Angriff nicht nur ein finanzielles Risiko, sondern auch ein Datenschutzproblem: Wenn über kompromittierte E-Mail-Accounts personenbezogene Daten abfließen, liegt eine meldepflichtige Datenpanne nach Art. 33 DSGVO vor. Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen.

Konkrete Schutzmaßnahmen für Unternehmen

Um E-Mail-Accounts wirksam zu schützen, empfehlen wir als externer Datenschutzbeauftragter ein mehrstufiges Sicherheitskonzept:

  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle geschäftlichen E-Mail-Accounts
  • Führen Sie regelmäßige Datenschutz-Schulungen mit Phishing-Simulationen durch
  • Implementieren Sie strenge Passwortrichtlinien mit Mindestlänge und Komplexitätsanforderungen
  • Nutzen Sie DMARC, DKIM und SPF zur Absicherung Ihrer E-Mail-Domäne
  • Richten Sie Benachrichtigungen bei ungewöhnlichen Anmeldeaktivitäten ein
  • Beschränken Sie den Zugriff auf E-Mail-Accounts von unbekannten Geräten und Standorten

Notfallplan bei kompromittierten Accounts

Trotz aller Schutzmaßnahmen kann ein E-Mail-Account kompromittiert werden. Für diesen Fall sollte ein Notfallplan bereitstehen: Sofortige Sperrung des betroffenen Accounts, Überprüfung aller Weiterleitungsregeln, Information der IT-Abteilung und des Datenschutzbeauftragten sowie eine forensische Analyse des Vorfalls. Die DATUREX GmbH unterstützt Unternehmen in Dresden und Sachsen bei der Entwicklung solcher Notfallpläne und der Umsetzung wirksamer E-Mail-Sicherheitskonzepte.

E-Mail-Sicherheit und DSGVO-Compliance

Die Absicherung geschäftlicher E-Mail-Kommunikation ist nicht nur eine IT-Sicherheitsfrage, sondern auch eine datenschutzrechtliche Pflicht. Art. 32 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Da über E-Mail regelmäßig personenbezogene Daten verarbeitet werden, müssen E-Mail-Systeme entsprechend abgesichert sein.

Mehrere Datenschutzaufsichtsbehörden haben in der Vergangenheit Bußgelder gegen Unternehmen verhängt, deren E-Mail-Systeme unzureichend gesichert waren. Die Datenschutzkonferenz (DSK) empfiehlt als Mindeststandard die Implementierung einer obligatorischen Transportverschlüsselung (TLS) für alle E-Mail-Kommunikation sowie eine Ende-zu-Ende-Verschlüsselung für besonders sensible Inhalte. Die regelmäßige Überprüfung der E-Mail-Sicherheit sollte fester Bestandteil eines jeden Datenschutz-Audits sein.

Professionelle Datenschutz-Unterstützung für Ihr Unternehmen

Als erfahrene Datenschutzexperten unterstützen wir Sie bei allen Anforderungen der DSGVO. Unsere Leistungen im Überblick:

→ Jetzt unverbindlich beraten lassen

Professioneller Datenschutz für Ihr Unternehmen

Die DATUREX GmbH ist Ihr zertifizierter externer Datenschutzbeauftragter — bundesweit, persönlich und DSGVO-konform. Ab 250 €/Monat.

Kostenlose Erstberatung anfragen