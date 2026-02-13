Eine E-Mail. Ein Klick. Eine Entscheidung mit Folgen.

Ein unscheinbarer Moment zum Arbeitsbeginn: Eine E-Mail trifft ein, der Absender scheint bekannt, der Kontext plausibel. Es geht um eine technische Rückfrage in einem Rüstungsprojekt, um eine Abstimmung entlang der Lieferkette oder um Dokumente mit sicherheitsrelevantem Bezug. Das Öffnen der Nachricht erfolgt routiniert – und genau darin liegt das Risiko.

In Organisationen mit Geheimschutz-Anforderungen ist die E-Mail weit mehr als ein Kommunikationsmittel. Sie ist Träger sensibler, teils klassifizierter Informationen und damit potenzielles Einfallstor für Spionage, Sabotage oder schwerwiegende Compliance-Verstöße. Vertrauensvolle Kommunikation entsteht hier nicht aus Gewohnheit, sondern durch nachweislich abgesicherte, regelkonforme Prozesse.

Regulatorischer Rahmen: Sicherheit ist Pflicht, keine Empfehlung

Unternehmen und Institutionen im Umfeld nationaler Sicherheit und Rüstung bewegen sich in einem eng definierten regulatorischen Rahmen. Informationssicherheit ist hier keine Empfehlung, sondern Geschäftsgrundlage. Zu den zentralen Anforderungen zählen:

Zu den zentralen Anforderungen zählen unter anderem:

ITAR und EAR bei internationalen Projekten, insbesondere bei der Kommunikation mit Partnern, Zulieferern oder Behörden außerhalb Deutschlands/EU.

VS-NfD-Konformität (Verschlusssache – Nur für den Dienstgebrauch) sowie vergleichbare nationale Klassifizierungen und Geheimhaltungsstufen;

branchenspezifische Vorschriften zur geheimschutzkonformen Kommunikation, die sowohl Übertragung, Zugriff als auch Nachvollziehbarkeit betreffen;

Anforderungen aus dem Bereich KRITIS/KRITIS+ sowie der europäischen Richtlinie NIS2.

Diese Regularien betreffen nicht nur das Speichern, sondern auch das Versenden und Empfangen sensibler Daten – und stellen somit die E-Mail-Kommunikation direkt in den Fokus

Klassische E-Mail-Sicherheit greift zu kurz

Spam- und Malware-Filter gelten mittlerweile als technischer Mindeststandard, adressieren jedoch nur einen Teil der realen Bedrohungslage. Denn in sicherheitskritischen Bereichen setzen Cyberangreifer zunehmend auf Social Engineering, Kontextwissen und gezielte Identitätsvortäuschung. Angreifer agieren dabei bewusst unauffällig, um bestehende Schutzmechanismen zu umgehen und Vertrauen auszunutzen.

Typische Schwachstellen sind dabei:

fehlende oder inkonsistente Ende-zu-Ende-Verschlüsselung;

manuelle Sicherheitsentscheidungen im Arbeitsalltag;

fehlende Absenderverifikation;

der Versand sensibler Inhalte über nicht geheimschutzkonforme Kanäle.

In Unternehmen mit VS-Anforderung und anderen kritischen Infrastrukturen darf Informationssicherheit jedoch nicht vom situativen Urteilsvermögen einzelner Mitarbeiter abhängen. Sie muss systemisch, überprüfbar und regelbasiert umgesetzt werden, um in komplexen Projektstrukturen zuverlässig zu funktionieren.

Sicherheit durch Verifizierung statt Vertrauen

Ein häufig unterschätzter Punkt ist die eindeutige Verifikation von Kommunikationspartnern. Gerade im Umfeld von Rüstung, Verteidigung und sicherheitsrelevanten Lieferketten zählt nicht nur die Frage, was kommuniziert wird, sondern mit wem. Fehlende Klarheit über Identitäten kann hier schnell sicherheitsrelevante Konsequenzen nach sich ziehen.

Technologien wie S/MIME, PGP oder PKI-basierte Zertifikatsinfrastrukturen unterstützen hier durch:

geprüfte Absenderidentifikation;

die Integrität und Authentizität von Nachrichten;

eine revisionssichere Nachvollziehbarkeit;

die Durchsetzung von Richtlinien entlang definierter Vertrauensketten.

E-Mail-Sicherheit als integraler Bestandteil des Betriebes

Wirksame E-Mail-Sicherheit in kritischen Bereichen muss sich nahtlos in bestehende Abläufe integrieren. Sie darf weder zusätzliche Fehlerquellen schaffen noch operative Prozesse verlangsamen. Gerade in sicherheitskritischen Projekten ist Akzeptanz entscheidend, damit Schutzmechanismen konsequent genutzt werden. Im Optimalfall müssen die Tools inkl. Festlegung der Regeln nur einmal eingerichtet werden und arbeiten anschließend im Hintergrund. So wird sichergestellt, dass sicherheitsrelevante Anforderungen eingehalten werden, ohne den Arbeitsalltag unnötig zu belasten.

Verantwortung beginnt oben – Sicherheitskultur ist Chefsache

Mit zunehmender Regulierung – sei es durch nationale Sicherheitsgesetze oder europäische Vorgaben wie NIS2 – wird deutlich: Sicherheitsvorfälle sind keine isolierten IT-Probleme. Sie sind Managementthemen, die strategische Entscheidungen und klare Verantwortlichkeiten erfordern.

Denn in die E-Mail-Kommunikation sind alle mit eingebunden: Fachabteilungen, Projektpartner, Zulieferer und staatliche Stellen. Fehler oder Verstöße lassen sich im Nachhinein häufig nicht korrigieren; besonders dann nicht, wenn Melde- und Nachweispflichten greifen. Für Geschäftsführungen und Sicherheitsverantwortliche bedeutet das: E-Mail-Sicherheit ist nicht delegierbar, sondern integraler Bestandteil der Unternehmensstruktur.

Günter Esch, Geschäftsführer SEPPmail Deutschland GmbH

3190 Artikel zu „E-Mail Sicherheit“

News | IT-Security | Kommunikation | Tipps | Whitepaper E-Mail-Sicherheit: BSI untersucht E-Mail-Programme In unserem E-Mail-Programm lesen, schreiben und verwalten wir all unsere E-Mails. Nicht selten enthalten die Anwendungen daher auch sensibelste Informationen. Entsprechend gut müssen sie vor Risiken wie etwa Mitlesen und Manipulation durch Dritte geschützt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat untersucht, inwiefern E-Mail-Programme relevante Eigenschaften wie Transport- und Inhaltsverschlüsselung, SPAM-, Phishing-… Weiterlesen →

News | Geschäftsprozesse | IT-Security | Kommunikation | Tipps E-Mail-Sicherheit: Die Kommunikation mit Zertifikaten verschlüsseln In einer Zeit, in der die digitale Kommunikation aus dem Geschäftsalltag nicht mehr wegzudenken ist, ist die Sicherheit von E-Mails für Unternehmen eine dringliche Angelegenheit. Die Verschlüsselung von E-Mails und ihren Anhängen ist sogar ein entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen. Darauf machen die Sicherheitsexperten der PSW… Weiterlesen →

News | Favoriten der Redaktion | IT-Security | Kommunikation | Tipps Dauerthema E-Mail-Sicherheit Auch im Jahr 2023 haben die Angriffe auf die IT-Infrastruktur von Unternehmen weiter zugenommen. Laut einer Studie der Cyber Rescue Alliance aus dem Jahr 2022 sind so gut wie alle Unternehmen weltweit Ziel von Phishing-Angriffen geworden. Bei 12 % der erfolgreichen Angriffe hatten die Angreifer mehr als ein Jahr lang vollen Zugriff auf Unternehmensdaten, bevor… Weiterlesen →

News | IT-Security | Kommunikation Brief Version 08.15 ? – Wenn man E-Mail-Sicherheit auf die Briefpost anwenden würde Wissen Sie immer, von wem die E-Mails wirklich stammen, die Sie täglich erhalten? Die meisten Mitarbeiter beantworten diese Frage wahrscheinlich mit »Ja«, doch die Realität sieht anders aus. Schließlich bekommt nahezu jeder Mitarbeiter jeden Tag zahlreiche E-Mails. Bei dieser Masse von Nachrichten kommt es schnell vor, dass nur kurz der Inhalt überflogen und schnell geantwortet wird. Beinhaltet eine E-Mail darüber hinaus beispielsweise konkrete Handlungsanweisungen, leitet der Verantwortliche meist umgehend die erforderlichen Maßnahmen ein – und schon passiert es: Darauf, von wem die Nachricht eigentlich stammt, wird nicht geachtet. Dies kann schwerwiegende Folgen haben, da sich Cyberkriminelle so Zugang ins Unternehmensnetzwerk verschaffen und großen Schaden anrichten können. Vermeiden lässt sich dies durch die sogenannte Funktion »DomainKeys Identified E-Mail« (DKIM). Weiterlesen →