Illustration Absmeier foto freepik

Eine E-Mail. Ein Klick. Eine Entscheidung mit Folgen.

Ein unscheinbarer Moment zum Arbeitsbeginn: Eine E-Mail trifft ein, der Absender scheint bekannt, der Kontext plausibel. Es geht um eine technische Rückfrage in einem Rüstungsprojekt, um eine Abstimmung entlang der Lieferkette oder um Dokumente mit sicherheitsrelevantem Bezug. Das Öffnen der Nachricht erfolgt routiniert – und genau darin liegt das Risiko.

In Organisationen mit Geheimschutz-Anforderungen ist die E-Mail weit mehr als ein Kommunikationsmittel. Sie ist Träger sensibler, teils klassifizierter Informationen und damit potenzielles Einfallstor für Spionage, Sabotage oder schwerwiegende Compliance-Verstöße. Vertrauensvolle Kommunikation entsteht hier nicht aus Gewohnheit, sondern durch nachweislich abgesicherte, regelkonforme Prozesse.

Regulatorischer Rahmen: Sicherheit ist Pflicht, keine Empfehlung

Unternehmen und Institutionen im Umfeld nationaler Sicherheit und Rüstung bewegen sich in einem eng definierten regulatorischen Rahmen. Informationssicherheit ist hier keine Empfehlung, sondern Geschäftsgrundlage. Zu den zentralen Anforderungen zählen:

Zu den zentralen Anforderungen zählen unter anderem:

ITAR und EAR bei internationalen Projekten, insbesondere bei der Kommunikation mit Partnern, Zulieferern oder Behörden außerhalb Deutschlands/EU.
VS-NfD-Konformität (Verschlusssache – Nur für den Dienstgebrauch) sowie vergleichbare nationale Klassifizierungen und Geheimhaltungsstufen;
branchenspezifische Vorschriften zur geheimschutzkonformen Kommunikation, die sowohl Übertragung, Zugriff als auch Nachvollziehbarkeit betreffen;
Anforderungen aus dem Bereich KRITIS/KRITIS+ sowie der europäischen Richtlinie NIS2.

Diese Regularien betreffen nicht nur das Speichern, sondern auch das Versenden und Empfangen sensibler Daten – und stellen somit die E-Mail-Kommunikation direkt in den Fokus

Klassische E-Mail-Sicherheit greift zu kurz

Spam- und Malware-Filter gelten mittlerweile als technischer Mindeststandard, adressieren jedoch nur einen Teil der realen Bedrohungslage. Denn in sicherheitskritischen Bereichen setzen Cyberangreifer zunehmend auf Social Engineering, Kontextwissen und gezielte Identitätsvortäuschung. Angreifer agieren dabei bewusst unauffällig, um bestehende Schutzmechanismen zu umgehen und Vertrauen auszunutzen.

Typische Schwachstellen sind dabei:

fehlende oder inkonsistente Ende-zu-Ende-Verschlüsselung;
manuelle Sicherheitsentscheidungen im Arbeitsalltag;
fehlende Absenderverifikation;
der Versand sensibler Inhalte über nicht geheimschutzkonforme Kanäle.

In Unternehmen mit VS-Anforderung und anderen kritischen Infrastrukturen darf Informationssicherheit jedoch nicht vom situativen Urteilsvermögen einzelner Mitarbeiter abhängen. Sie muss systemisch, überprüfbar und regelbasiert umgesetzt werden, um in komplexen Projektstrukturen zuverlässig zu funktionieren.

Sicherheit durch Verifizierung statt Vertrauen

Ein häufig unterschätzter Punkt ist die eindeutige Verifikation von Kommunikationspartnern. Gerade im Umfeld von Rüstung, Verteidigung und sicherheitsrelevanten Lieferketten zählt nicht nur die Frage, was kommuniziert wird, sondern mit wem. Fehlende Klarheit über Identitäten kann hier schnell sicherheitsrelevante Konsequenzen nach sich ziehen.

Technologien wie S/MIME, PGP oder PKI-basierte Zertifikatsinfrastrukturen unterstützen hier durch:

geprüfte Absenderidentifikation;
die Integrität und Authentizität von Nachrichten;
eine revisionssichere Nachvollziehbarkeit;
die Durchsetzung von Richtlinien entlang definierter Vertrauensketten.

E-Mail-Sicherheit als integraler Bestandteil des Betriebes

Wirksame E-Mail-Sicherheit in kritischen Bereichen muss sich nahtlos in bestehende Abläufe integrieren. Sie darf weder zusätzliche Fehlerquellen schaffen noch operative Prozesse verlangsamen. Gerade in sicherheitskritischen Projekten ist Akzeptanz entscheidend, damit Schutzmechanismen konsequent genutzt werden. Im Optimalfall müssen die Tools inkl. Festlegung der Regeln nur einmal eingerichtet werden und arbeiten anschließend im Hintergrund. So wird sichergestellt, dass sicherheitsrelevante Anforderungen eingehalten werden, ohne den Arbeitsalltag unnötig zu belasten.

Verantwortung beginnt oben – Sicherheitskultur ist Chefsache

Mit zunehmender Regulierung – sei es durch nationale Sicherheitsgesetze oder europäische Vorgaben wie NIS2 – wird deutlich: Sicherheitsvorfälle sind keine isolierten IT-Probleme. Sie sind Managementthemen, die strategische Entscheidungen und klare Verantwortlichkeiten erfordern.

Denn in die E-Mail-Kommunikation sind alle mit eingebunden: Fachabteilungen, Projektpartner, Zulieferer und staatliche Stellen. Fehler oder Verstöße lassen sich im Nachhinein häufig nicht korrigieren; besonders dann nicht, wenn Melde- und Nachweispflichten greifen. Für Geschäftsführungen und Sicherheitsverantwortliche bedeutet das: E-Mail-Sicherheit ist nicht delegierbar, sondern integraler Bestandteil der Unternehmensstruktur.

Günter Esch, Geschäftsführer SEPPmail Deutschland GmbH

3190 Artikel zu „E-Mail Sicherheit“

News | IT-Security | Kommunikation | Tipps | Whitepaper

E-Mail-Sicherheit: BSI untersucht E-Mail-Programme

18. Dezember 2025

In unserem E-Mail-Programm lesen, schreiben und verwalten wir all unsere E-Mails. Nicht selten enthalten die Anwendungen daher auch sensibelste Informationen. Entsprechend gut müssen sie vor Risiken wie etwa Mitlesen und Manipulation durch Dritte geschützt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat untersucht, inwiefern E-Mail-Programme relevante Eigenschaften wie Transport- und Inhaltsverschlüsselung, SPAM-, Phishing-…