E-Mail-Sicherheit 2025: Wichtige Erkenntnisse zeigen, dass Branche und Standort Ihr Risiko bestimmen
Executive Summary
E-Mails bleiben das wichtigste Einfallstor für Cyberkriminelle, dennoch setzen die meisten Unternehmen bei der E-Mail-Sicherheit auf überholte Annahmen. Neue Untersuchungen mit 461 Cybersicherheitsexperten aus 11 Branchen und 4 Regionen zeigen überraschende Muster von Verwundbarkeit, die herkömmliche Sicherheitsstrategien infrage stellen.
Main Idea
Ihr E-Mail-Sicherheitsrisiko wird maßgeblich von zwei oft übersehenen Faktoren bestimmt: Branche und Standort. Die Daten zeigen eine Risikolücke von 52% zwischen den Branchen (Defense & Security mit 6,21 vs. Life Sciences mit 4,09) und einen regionalen Unterschied von 28% (APAC mit 5,73 vs. Europa mit 4,48). Diese Faktoren potenzieren sich gefährlich – APAC-Verteidigungsunternehmen erreichen einen effektiven Risikowert von 7,95. Trotz jahrzehntelanger Sicherheitsentwicklung bleibt E-Mail um 15,9% riskanter als speziell entwickelte Kanäle wie SFTP. Die grundlegende Architektur traditioneller E-Mails schafft anhaltende Schwachstellen, die sich mit zusätzlichen Sicherheitsfunktionen allein nicht vollständig beheben lassen.
Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Doch können Sie es nachweisen?
Why You Should Care
Generische Sicherheitsstrategien scheitern, weil Angreifer nicht wahllos vorgehen – sie nutzen gezielt branchenspezifische Schwachstellen in Regionen mit schwächeren Schutzmaßnahmen aus. Wenn Sie sich an branchenüblichen Durchschnittswerten orientieren, verschwenden Sie entweder Ressourcen oder lassen gefährliche Lücken offen. Organisationen, die 40–60% Risikoreduktion erreichen, setzen auf drei Maßnahmen: menschliche Fehler verhindern, bevor sie passieren (nicht nur Bedrohungen blockieren), Zero-Knowledge-Verschlüsselung, bei der selbst IT-Admins keinen Zugriff auf Daten haben, und unsichtbare Sicherheit, die 95% Akzeptanz erreicht. Die wichtigste Erkenntnis: 60% der Vorfälle beginnen mit Mitarbeiterfehlern, dennoch konzentrieren sich die meisten Unternehmen nur auf die Erkennung eingehender Bedrohungen. Wer seine Position in der Branchen- und Standort-Risikomatrix kennt, kann gezielt in die Fähigkeiten investieren, die für das eigene Bedrohungsprofil wirklich zählen.
I. Introduction & Key Findings Summary
Als 461 Cybersicherheitsexperten die E-Mail-Schwachstellen ihrer Unternehmen offenlegten, zeigte sich ein klares Muster: Ihre Branche entscheidet darüber, ob Sie ein um 52% höheres Risiko für einen E-Mail-Verstoß haben – und die meisten Unternehmen wissen nicht einmal, zu welcher Kategorie sie gehören.
In einer Zeit, in der eine einzige kompromittierte E-Mail Millionen kosten und jahrzehntelangen Ruf zerstören kann, ist das Verständnis des eigenen Risikoprofils unerlässlich. Die Ergebnisse aus einer umfassenden Analyse von Cybersicherheitsexperten aus 11 Branchen und 4 großen geografischen Regionen zeigen: Das Risiko in der E-Mail-Sicherheit ist nicht universell – es ist eine komplexe Landschaft, geprägt von Faktoren, die die meisten Unternehmen übersehen.
Die Daten sprechen eine deutliche Sprache:
- Organisationen aus Defense & Security haben einen Risikowert von 6,21 – 52% höher als Unternehmen aus Life Sciences
- APAC-Unternehmen tragen einen durchschnittlichen Risikowert von 5,73 – 28% anfälliger als ihre europäischen Pendants
- E-Mail bleibt 16% riskanter als SFTP, trotz jahrzehntelanger Sicherheitsentwicklung
Bemerkenswert ist, dass Unternehmen, die diese Risiken erfolgreich reduzieren, gemeinsame Ansätze verfolgen: Sie setzen auf proaktive Vermeidung menschlicher Fehler, Zero-Knowledge-Verschlüsselungsarchitekturen und nahtlose Sicherheitsintegration, die Arbeitsabläufe nicht stört. Diese Erkenntnisse liefern nicht nur Zahlen, sondern auch umsetzbare Informationen, um zu verstehen, wo Ihr Unternehmen steht und welche spezifischen Fähigkeiten Ihre Sicherheitslage wirklich verbessern.
wichtige Erkenntnisse
-
Ihre Branche zählt mehr als Ihr Security Stack
Organisationen aus Defense & Security haben einen Risikowert von 6,21, während Life Sciences bei 4,09 liegen – ein Unterschied von 52% allein durch die Branche. Das bedeutet: Ein Pharmaunternehmen kann bessere Sicherheitstools haben als ein Verteidigungsunternehmen und dennoch ein geringeres Risiko, weil Angreifer militärische Geheimnisse höher priorisieren als Arzneimittelformeln.
-
Geografie verursacht eine 28%ige Sicherheitsdifferenz
Europäische Unternehmen haben einen durchschnittlichen Risikowert von 4,48 im Vergleich zu 5,73 in APAC – ein Vorteil von 28% dank regulatorischer Kultur und Infrastruktur. Doch wenn Hochrisikobranchen in Hochrisikoregionen agieren, potenzieren sich diese Faktoren – ein APAC-Verteidigungsunternehmen hat ein effektives Risiko von 7,95.
-
E-Mail bleibt 15,9% riskanter als sichere Alternativen
Trotz jahrzehntelanger Sicherheitsentwicklung ist E-Mail (5,11) weiterhin deutlich anfälliger als SFTP (4,41) für die Übertragung sensibler Daten. Dennoch nutzen Unternehmen E-Mail für 90% der Geschäftskommunikation, weil 4,9 Milliarden Menschen sie verwenden und keine spezielle Schulung nötig ist.
-
Vermeidung menschlicher Fehler reduziert Vorfälle um 41%
Unternehmen, die Mitarbeitern helfen, Fehler zu vermeiden (z. B. falsch adressierte E-Mails erkennen oder vor sensiblen Daten warnen), verzeichnen 41% weniger Vorfälle als solche, die sich nur auf das Blockieren bösartiger E-Mails nach deren Eingang verlassen. Die Daten zeigen: Ist Sicherheit unsichtbar und automatisch, liegt die Akzeptanzrate bei über 95%; erfordert sie zusätzliche Schritte, sinkt sie unter 30%.
-
Branchenmittelwerte verschleiern gefährliche Abweichungen
Life Sciences zeigt das deutlichste Beispiel: eine Lücke von 1,72 Punkten zwischen Durchschnitt (4,09) und Median (5,81) – das heißt, die Hälfte der Branche hat militärische Sicherheit, die andere Hälfte fast keine. Diese Varianz gibt es in allen Sektoren, wodurch Mittelwerte für Benchmarks wertlos werden; kluge Unternehmen vergleichen sich mit dem 75. Perzentil, nicht mit dem Durchschnitt.
So haben wir die Risikowerte berechnet: Unsere Methodik
Die in dieser Analyse dargestellten Risikowerte (zwischen 4,09 und 6,21) wurden als gewichteter Mittelwert aus drei Schlüsselfaktoren von 461 Befragten berechnet:
1. Gemeldete Vorfallhäufigkeit (Gewichtung: 40%)
- Anzahl der E-Mail-Sicherheitsvorfälle in den letzten 12 Monaten
- Schweregrad der Vorfälle (Datenschutzverstoß, finanzieller Schaden, Betriebsunterbrechung)
- Zeit bis zur Erkennung und Behebung
2. Wirksamkeit der Kontrollen (Gewichtung: 35%)
- Umsetzung von 25 zentralen Sicherheitskontrollen (DMARC, Verschlüsselung, DLP usw.)
- Reifegrad jeder Kontrolle (keine, Basis, fortgeschritten, hochentwickelt)
- Anwenderakzeptanz und Compliance-Quoten
3. Bedrohungsexposition (Gewichtung: 25%)
- Anzahl versuchter Angriffe
- Komplexität der Angriffe
- Branchenspezifische Bedrohungsinformationen
- Regionale Bedrohungslandschaft
Die Skala von 1–10:
- 8–10: Kritisches Risiko (häufige Vorfälle, schwache Kontrollen, extreme Exposition)
- 6–7: Hohes Risiko (regelmäßige Vorfälle, Lücken in Kontrollen, erhöhte Exposition)
- 4–5: Moderates Risiko (einige Vorfälle, Standardkontrollen, durchschnittliche Exposition)
- 1–3: Geringes Risiko (minimale Vorfälle, starke Kontrollen, geringe Exposition)
Regionale Modifikatoren: Wir haben diese berechnet, indem wir den Durchschnittswert jeder Region mit dem globalen Basiswert verglichen und Multiplikationsfaktoren erstellt haben (Europa = 0,88x, APAC = 1,28x usw.). So können Unternehmen ihren Branchenrisikowert je nach geografischer Lage anpassen.
II. Die Branchen-Risiko-Hierarchie: Wer steht im Fadenkreuz?
A. Hochrisikobranchen: Die Hauptziele
Die Daten zeigen drei Branchen mit Risikowerten über 5,3:
| Branche | Durchschnittlicher Risikowert | Median Risikowert | Risikostufe |
|---|---|---|---|
| Defense & Security | 6.21 | 6.46 | Kritisch |
| Professional Services | 5.51 | 5.48 | Hoch |
| Technology | 5.37 | 5.81 | Hoch |
Defense & Security (6,21) führt unseren Risikoindex an – aus nachvollziehbaren Gründen. Diese Organisationen verarbeiten vertrauliche Informationen, militärische Geheimdienste und kritische Infrastrukturdaten – und sind damit Hauptziele für staatliche Akteure und Advanced Persistent Threat (APT)-Gruppen. Die Übereinstimmung von Durchschnitts- und Medianwert (6,21 vs. 6,46) zeigt: Es handelt sich nicht um Ausreißer – der gesamte Sektor steht unter erhöhtem Druck.
Zusätzlich verlangt das US-Verteidigungsministerium mit CMMC 2.0 (Cybersecurity Maturity Model Certification) nun spezifische E-Mail-Sicherheitskontrollen für alle Auftragnehmer, die kontrollierte, nicht klassifizierte Informationen (CUI) verarbeiten. Während CMMC 2.0 Basisschutz bietet, zeigen unsere Daten: Mindeststandards reichen nicht – die erfolgreichsten Organisationen gehen darüber hinaus und setzen auf proaktive Bedrohungsprävention statt reiner Erkennung.
Warum ist das so? Wer weiß, dass eine Organisation nationale Sicherheitsdaten besitzt, investiert mehr Ressourcen in den Angriff. Erfolgreiche Unternehmen in diesem Sektor nutzen KI-gestützte Bedrohungsschutzsysteme, die ausgefeilte Angriffe erkennen, bevor sie Anwender erreichen, kombiniert mit automatisierter Data Loss Prevention (DLP), die jede ausgehende Kommunikation auf vertrauliche Daten prüft.
Professional Services (5,51) – darunter Beratungs-, Buchhaltungs- und Unternehmensdienstleister – verfügen über wertvolle Kundendaten. Von M&A-Plänen bis zu Finanzunterlagen: Diese Organisationen haben oft schwächere Sicherheit als ihre Unternehmenskunden, halten aber ebenso sensible Informationen. Das macht sie zu attraktiven Zielen für Supply-Chain-Angriffe.
Die Ursache ist klar: Angreifer suchen das schwächste Glied. Können sie ein Fortune-500-Unternehmen nicht direkt kompromittieren, greifen sie das Beratungsunternehmen an, das Zugang zu denselben Daten hat. Die effektivsten Maßnahmen, die wir beobachten, sind der Einsatz von Machine-Learning-Systemen, die Risiken wie falsch adressierte E-Mails oder unsachgemäßen Umgang mit Daten erkennen, bevor Nachrichten versendet werden, und Echtzeitwarnungen, die kostspielige Fehler verhindern.
Technologieunternehmen (5,37) stehen vor einem Paradox: Trotz ausgefeilter Security Stacks und technischer Talente bleiben sie bevorzugte Ziele. Warum? Sie verarbeiten große Datenmengen, entwickeln wertvolles geistiges Eigentum und sind zentrale Knotenpunkte in der digitalen Lieferkette. Die Lücke zwischen Durchschnitt und Median (5,37 vs. 5,81) zeigt, dass einige Tech-Unternehmen in der Umsetzung deutlich besser abschneiden als andere.
B. Branchen mit mittlerem Risiko: Die konstanten Ziele
Fünf Branchen bewegen sich im moderaten Risikobereich (5,0–5,3), jede mit eigenen Herausforderungen:
| Branche | Durchschnittlicher Risikowert | Median Risikowert |
|---|---|---|
| Energy/Utilities | 5.32 | 5.32 |
| Legal/Law | 5.18 | 5.64 |
| Financial Services | 5.13 | 5.32 |
| Education | 5.09 | 5.81 |
| Government | 5.00 | 5.16 |
Energy/Utilities (5,32) geraten wegen ihrer Rolle in der kritischen Infrastruktur ins Visier. Fällt ein Strom- oder Wassernetz aus, sind ganze Regionen betroffen – ein attraktives Ziel für Kriminelle mit Lösegeldforderungen und Staaten auf der Suche nach Einfluss. Die perfekte Übereinstimmung von Durchschnitt und Median zeigt ein durchgängig hohes Bedrohungsniveau.
Diese Organisationen profitieren am meisten von zentralen Data-Governance-Plattformen, die Sicherheit, Protokollierung und Audit über alle Kommunikationskanäle hinweg bündeln. Warum? Angriffe erfolgen oft über mehrere Vektoren, und isolierte Sicherheit schafft blinde Flecken.
Rechtsanwaltskanzleien (5,18) verwalten vertrauliche Mandantendaten, Fusionsdetails und Prozessstrategien – alles wertvoll für Wettbewerber und Kriminelle. Der höhere Median (5,64) zeigt, dass die meisten Kanzleien erhöhten Risiken ausgesetzt sind, einige Ausreißer senken den Durchschnitt.
Kanzleien, die ihr Risiko senken, setzen häufig auf Zero-Knowledge-Verschlüsselungsarchitekturen. Das ist logisch: Kann die Kanzlei selbst Mandantenkommunikation nicht entschlüsseln, gelingt dies auch Hackern nicht. Kombiniert mit integrierten Audit-Trails und rechtssicherer Zustellung erfüllt dieser Ansatz sowohl Sicherheits- als auch Compliance-Anforderungen.
Finanzdienstleister (5,13) profitieren von strengen Regulierungen (SOX, PCI-DSS), die Investitionen in Sicherheit erzwingen, bleiben aber wegen des direkten Geldwerts attraktive Ziele. Die moderate Platzierung zeigt: Compliance-getriebene Sicherheit schützt – aber nur bei korrekter Umsetzung.
Die effektivsten Finanzinstitute kombinieren gesetzliche Vorgaben mit adaptiven Sicherheitsrichtlinien, die Verschlüsselung und DLP dynamisch nach Nutzerverhalten, Inhaltssensitivität und Echtzeitrisiko durchsetzen – das geht über reine Compliance hinaus und senkt das tatsächliche Risiko.
C. Branchen mit niedrigerem Risiko: Weiterhin gefährdet
Auch „niedrigriskante“ Branchen weisen bedenkliche Werte über 4,0 auf:
| Branche | Durchschnittlicher Risikowert | Median Risikowert |
|---|---|---|
| Healthcare | 4.80 | 4.84 |
| Manufacturing | 4.56 | 4.84 |
| Life Sciences/Pharma | 4.09 | 5.81 |
Healthcare (4,80) profitiert von HIPAA-Compliance, die Investitionen in Sicherheit erzwingt. Die enge Übereinstimmung von Durchschnitt und Median zeigt eine konsistente Umsetzung im Sektor. Interessant: Healthcare-Organisationen erzielen Erfolge mit Lösungen, die nativ in bestehende E-Mail-Plattformen wie Outlook und Gmail integriert sind.
Warum ist das wichtig? Weil Ärzte und Pflegekräfte keine Sicherheitstools nutzen, die sie ausbremsen. Ist Sicherheit unsichtbar und automatisch, steigt die Akzeptanz und das Risiko sinkt.
Life Sciences/Pharma (4,09) liefert die überraschendste Erkenntnis: den niedrigsten Durchschnittswert, aber eine Varianz von 1,72 Punkten zum Median. Das zeigt: Die Branche teilt sich in Unternehmen mit exzellenter Sicherheit und solche mit fast keiner.
Branchen-Insight-Box: Was treibt diese Risikounterschiede? Unsere Analyse zeigt drei Schlüsselfaktoren:
- Datenwert: Je wertvoller die Daten, desto mehr Angriffe. Branchen mit Finanz-, Verteidigungs- oder geistigem Eigentum sehen 35% mehr Angriffsversuche.
- Regulatorischer Druck: Compliance wirkt. Sektoren mit strikten Vorgaben weisen 22% niedrigere Risikowerte auf – aber nur, wenn Technologie die Compliance automatisiert.
- Human Factor: Technik allein reicht nicht. Unternehmen, die Mitarbeiter bei der Fehlervermeidung unterstützen, verzeichnen 41% weniger Vorfälle als solche, die nur bösartige E-Mails blockieren.
III. Geografische Verwundbarkeiten: Die globale Risikokarte
A. Regionale Risiko-Rankings: Ihr Standort prägt Ihre Bedrohung
Die geografische Analyse zeigt deutliche Unterschiede beim E-Mail-Sicherheitsrisiko:
| Region | Durchschnittliches Risiko | Median Risiko | Analysierte Länder | Risikodifferenz |
|---|---|---|---|---|
| APAC | 5.73 | 6.29 | Australien, NZ, Singapur | +28% ggü. Europa |
| Nordamerika | 5.60 | 5.81 | USA, Kanada | +25% ggü. Europa |
| Mittlerer Osten | 4.83 | 5.00 | Israel, VAE, Saudi-Arabien | +8% ggü. Europa |
| Europa | 4.48 | 4.84 | UK, Frankreich, Deutschland, Österreich, Schweiz | Basiswert |
APAC (5,73 Durchschnitt, 6,29 Median) führt das Risikoranking an, und der hohe Median zeigt: Es handelt sich nicht um Ausreißer – die meisten Organisationen der Region stehen unter erhöhtem Druck. Warum? Die rasante Digitalisierung in Australien, Neuseeland und Singapur überholte die Sicherheitsentwicklung. Unternehmen führten E-Mail und digitale Kommunikation schnell ein, investierten aber nicht im gleichen Maß in Sicherheit.
Nordamerika (5,60 Durchschnitt, 5,81 Median) folgt dicht dahinter. Die USA beherbergen die größte Wirtschaft und die wertvollsten Unternehmen der Welt – ein attraktives Ziel. Kanadische Rohstoffunternehmen verstärken das regionale Risikoprofil. Hinzu kommt: Viele Altsysteme lassen sich nicht einfach mit modernen Sicherheitsfunktionen nachrüsten.
Europa (4,48 Durchschnitt, 4,84 Median) zeigt, was passiert, wenn Regulierung Investitionen in Sicherheit antreibt. DSGVO hat nicht nur Compliance-Anforderungen geschaffen – sie hat das Denken über Datenschutz grundlegend verändert. Europäische Organisationen setzen breit auf flexible Verschlüsselungsstandards, die verschiedene Protokolle verbinden und gleichzeitig sichere Zustellung gewährleisten. Das Ergebnis: messbar geringeres Risiko.
B. Warum Geografie zählt: Die vier Säulen des regionalen Risikos
1. Regulatorisches Umfeld schafft Sicherheitskultur
Europas 28% Risikovorteil beruht nicht nur auf DSGVO-Strafen. Die Regulierung hat eine Kultur geschaffen, in der Datenschutz erwartet, Sicherheit finanziert und Verstöße nicht akzeptiert werden. Dieser Wandel fördert Technologien wie Zero-Knowledge-Architekturen, bei denen nur der Dateninhaber den Schlüssel besitzt.
2. Regionale Infrastruktur prägt Verwundbarkeiten
Neuere Infrastrukturen in APAC-Ländern erhöhen paradoxerweise das Risiko. Warum? Sie wurden für Geschwindigkeit und Konnektivität gebaut, nicht für Sicherheit. Europas Infrastruktur hingegen wurde mit Datenschutzvorgaben im Hinterkopf neu aufgebaut – inklusive Sicherheit durch Technikgestaltung.
3. Bedrohungsakteure folgen dem Geld
Nordamerikanische Unternehmen erleben mehr Angriffe, weil dort das Geld sitzt. Mit der größten Wirtschaft und dem wertvollsten geistigen Eigentum zieht die Region sowohl Kriminelle als auch Staaten an. Die Rechnung ist einfach: Höhere Gewinne rechtfertigen mehr Aufwand für Angriffe.
4. Kulturelle Einstellungen beeinflussen Nutzerverhalten
In Europa erwarten Mitarbeiter Datenschutz und hinterfragen verdächtige E-Mails. In Regionen mit starkem Wachstum steht oft Bequemlichkeit über Sicherheit. Dieser Human Factor macht bis zu 40% des regionalen Risikounterschieds aus.
IV. E-Mail vs. alternative Kommunikationskanäle
A. Die Kommunikations-Risiko-Hierarchie
Unsere Analyse liefert überraschende Einblicke in die Sicherheit von Kommunikationskanälen:
| Kommunikationskanal | Risikowert | Abweichung zu E-Mail | Warum (un-)sicherer |
|---|---|---|---|
| Web-Formulare | 5.22 | +2,1% | Oft fehlt die Sicherheitsentwicklung von E-Mail |
| 5.11 | Basiswert | Grundlegende Protokollschwächen | |
| Chat-Plattformen | 5.07 | -0,8% | Neuere Protokolle, aber schnelle Verbreitung |
| Filesharing | 4.83 | -5,8% | Bessere Zugriffskontrollen |
| Managed File Transfer | 4.72 | -8,3% | Speziell für Sicherheit entwickelt |
| SFTP | 4.41 | -15,9% | Verschlüsselung und Authentifizierung integriert |
Warum E-Mail verwundbar bleibt (5,11)
Das Risiko von E-Mail liegt in ihrem Ursprung. 1971 für akademische Zusammenarbeit entwickelt, basiert E-Mail auf Vertrauen – jeder gilt als legitim, bis das Gegenteil bewiesen ist. Moderne Sicherheitsfunktionen sind Zusatzlösungen, keine Grundarchitektur. Um Risiken wirklich zu senken, müssen Unternehmen zero trust und Zero-Knowledge-Prinzipien auf der Datenebene verankern, sodass Authentizität, Integrität und Vertraulichkeit von Anfang an gewährleistet sind. Dieser datenzentrierte Ansatz erfüllt Data-Sovereignty-Anforderungen durch granulare Zugriffskontrollen und revisionssichere Audit-Trails nach Standards wie NIST CSF über alle Kanäle hinweg – E-Mail, Filesharing und Web-Formulare.
Die meisten Unternehmen setzen entweder auf ausgehenden oder eingehenden Schutz, selten auf beides – das schafft ausnutzbare Lücken. Outbound-Schutz verhindert Datenabfluss durch regelbasierte Scans und Verschlüsselung, bevor Nachrichten das Netzwerk verlassen. Inbound-Schutz blockiert Bedrohungen wie Malware und Phishing, bevor sie Anwender erreichen. Ohne bidirektionalen Schutz testen Angreifer einfach den ungeschützten Weg – deshalb sind 60% der Verstöße trotz Investitionen weiterhin erfolgreich.
Organisationen, die E-Mail-Risiken am effektivsten reduzieren, setzen auf vollständigen bidirektionalen Schutz mit zero trust (kontinuierliche Authentifizierung und richtlinienbasierte Steuerung) und Zero-Knowledge-Verschlüsselung (nur autorisierte Empfänger können Inhalte entschlüsseln). Dieser kombinierte Ansatz schließt nicht nur Sicherheitslücken, sondern erfüllt auch Data-Sovereignty-Anforderungen durch regionale Data-Residency-Durchsetzung, Richtlinien für grenzüberschreitende Datenflüsse und umfassende Auditierbarkeit.
Überraschung: Web-Formulare (5,22) sind riskanter
Web-Formulare bergen ein höheres Risiko als E-Mail. Warum? Während E-Mail jahrzehntelange Sicherheitsentwicklung durchlief, werden viele Web-Formulare schnell gebaut – oft ohne Input-Validierung, Verschlüsselung oder Audit-Trails. Sie geraten erst nach einem Vorfall in den Fokus von Sicherheitsaudits.
Das Problem geht tiefer als bloße Nachlässigkeit. Web-Formulare werden meist von Entwicklern auf Funktionalität getrimmt, nicht auf Sicherheit. Anders als bei E-Mail (mit SPF, DKIM, DMARC) ist jedes Formular individuell und birgt eigene Schwachstellen – Speicherung im Klartext, fehlendes Rate-Limiting, Annahme von Schadcode oder unverschlüsselte Übertragung sensibler Daten. Unternehmen wiegen sich in falscher Sicherheit, weil Formulare „auf der eigenen Website“ laufen – und überwachen sie kaum, während Angreifer diese offenen Einfallstore ausnutzen.
Die Lösung ist klar: Unternehmen benötigen sichere Web-Formular-Lösungen, die den fortschrittlichen Sicherheitsfunktionen moderner Filesharing-, Managed-File-Transfer– (MFT) und Kommunikationsplattformen entsprechen. Das heißt: integrierte Verschlüsselung, umfassende Audit-Trails, Input-Validierung, DLP-Scanning und Echtzeit-Bedrohungserkennung – nicht nur einfache Kontaktformulare auf Websites. Wie Sie keine Consumer-E-Mail für sensible Daten nutzen würden, sollten Sie auch keine Basis-Web-Formulare einsetzen, wenn sichere Alternativen mit Enterprise-Schutz und Benutzerfreundlichkeit verfügbar sind.
Der Sicherheitschampion: SFTP (4,41)
SFTP zeigt, wie Sicherheit „by Design“ aussieht. Mit Verschlüsselung und Authentifizierung als Kernfunktion – nicht als Add-on – ist SFTP 16% sicherer als E-Mail. Die Herausforderung: Sender und Empfänger benötigen SFTP-Zugang, was den Einsatz für die allgemeine Kommunikation erschwert.
Viele Unternehmen setzen jedoch weiterhin auf veraltete Filesharing-Plattformen, die eigene Schwachstellen schaffen. Diese Systeme bieten nur begrenzte Transparenz und Überwachung, sodass Verstöße oft erst spät entdeckt werden. Ihre Zugriffskontrollen sind nicht granular genug, während komplexe Client-Software und aufwendige Bereitstellung das Risiko von Datenabfluss erhöhen – etwa beim Bearbeiten oder Übertragen sensibler Daten. Die eigentlich schützenden Maßnahmen behindern die Zusammenarbeit, weil sie Kopieren, Bearbeiten und externes Teilen einschränken – und so einen falschen Gegensatz zwischen Sicherheit und Produktivität schaffen.
Der Unterschied zwischen Legacy-Plattformen und modernen sicheren Filesharing-Lösungen ist deutlich: Aktuelle Lösungen bieten zentrales Tracking, granulare Zugriffskontrolle, nahtlose Bereitstellung und umfassende Audit-Trails – und das bei gewohnter Nutzererfahrung. Sie unterstützen verschiedene Dateitypen ohne Sicherheitsverlust und ermöglichen Versionierung, die sowohl Zusammenarbeit als auch regulatorische Anforderungen erfüllt. Die Lehre: Sicherheit durch Technikgestaltung schlägt Sicherheit durch Restriktion – immer.
V. Die verborgenen Muster: Was die Daten wirklich zeigen
A. Das Varianzproblem: Warum Durchschnittswerte nicht alles sagen
Life Sciences: Zwei Welten in einer Branche (1,72-Punkte-Lücke)
- Durchschnittliches Risiko: 4,09 (niedrigster aller Branchen)
- Median Risiko: 5,81 (höher als Technologie!)
- Bedeutung: Die Hälfte der Branche hat exzellente Sicherheit, die andere Hälfte fast keine
Diese Spaltung ist nachvollziehbar: Große Pharmaunternehmen mit milliardenschweren Patenten investieren zwangsläufig in Sicherheit. Kleine Biotech-Startups? Sie konzentrieren sich auf Forschung, nicht auf IT-Sicherheit. Das Ergebnis: Ein Branchenmittelwert, der wenig aussagt.
Das Konsistenzproblem im Bildungssektor (0,72-Punkte-Lücke)
Universitäten zeigen ähnliche Muster. Gut ausgestattete Forschungsuniversitäten verfügen über eigene Sicherheitsteams und fortschrittliche Tools. Community Colleges haben oft nur einen IT-Mitarbeiter für alles. Schulen? Sie sind häufig leichte Ziele für Ransomware.
Die Lehre: Kennen Sie Ihre echte Vergleichsgruppe
Vergleichen Sie Ihre Sicherheit nicht mit Branchenmittelwerten – diese verschleiern gefährliche Realitäten. Stattdessen:
- Finden Sie Organisationen ähnlicher Größe und vergleichbarer Datensensitivität
- Nutzen Sie das 75. Perzentil als Benchmark, nicht den Durchschnitt
- Denken Sie daran: Angreifer zielen auf die Schwächsten, nicht auf den Durchschnitt
B. Wenn Risiken sich multiplizieren: Der Kompound-Effekt
Jetzt wird es spannend. Wenn Hochrisikobranchen in Hochrisikoregionen agieren, addieren sich die Gefahren nicht nur – sie multiplizieren sich:
Praxisbeispiele:
- APAC-Verteidigungsunternehmen: 6,21 × 1,28 = 7,95 effektives Risiko
- Nordamerikanische Finanzdienstleister: 5,13 × 1,25 = 6,41 effektives Risiko
- Europäisches Gesundheitswesen: 4,80 × 0,88 = 4,22 effektives Risiko
Warum Multiplikation statt Addition?
Weil Angreifer clever sind. Sie suchen die einfachsten Ziele mit dem höchsten Gewinn. Ein Verteidigungsunternehmen (wertvolle Daten) in APAC (schwächere Regulierung) ist exponentiell attraktiver als jeder Faktor für sich allein.
VI. Umsetzbare Sicherheitsstrategien je Risikoprofil
A. Für Organisationen mit kritischem Risiko (6,0+): Defense & Security
In dieser Kategorie reicht traditionelle Sicherheit nicht aus. Sie brauchen:
1. Prävention statt nur Erkennung. Stoppen Sie Verstöße, bevor sie passieren:
- Machine Learning, das falsch adressierte E-Mails vor dem Versand erkennt
- Echtzeit-Warnungen, wenn jemand sensible Daten unsicher senden will
- Verhaltensanalysen, die erkennen, wenn etwas „nicht stimmt“
Warum das wirkt: Die meisten Verstöße beginnen mit menschlichen Fehlern. Fehler frühzeitig zu erkennen, senkt das Risiko um über 40%.
2. Zero-Knowledge-Architektur.
Wenn Sie es nicht lesen können, können es Angreifer auch nicht:
- Ende-zu-Ende-Verschlüsselung, bei der nur Empfänger die Schlüssel besitzen
- Keine Möglichkeit für IT-Admins, Nachrichten zu entschlüsseln
- Hardware-Sicherheitsmodule schützen die Schlüssel-Infrastruktur
Warum das wirkt: Selbst wenn Angreifer Ihre Systeme kompromittieren, erhalten sie keine verwertbaren Daten.
3. Einheitliche Sicherheit über alle Kanäle
Beenden Sie das „Whack-a-Mole“-Spiel:
- Eine Sicherheitsrichtlinie für E-Mail, File Transfer und Chat
- Konsistente Protokollierung und Audit-Trails
- Eine zentrale Übersicht über alle Kommunikationsrisiken
Warum das wirkt: Angreifer suchen den schwächsten Kanal. Konsistente Sicherheit beseitigt einfache Ziele.
B. Für Organisationen mit hohem Risiko (5,3–5,9): Technologie, Professional Services, Energie
Sie brauchen Unternehmenssicherheit, die das Geschäft nicht ausbremst:
1. KI, die Ihr Geschäft versteht
- Erkennt normale Kommunikationsmuster
- Markiert ungewöhnliches Verhalten ohne Fehlalarme
- Passt sich automatisch neuen Bedrohungen an
Implementierungstipp: Starten Sie mit einer Lernphase, in der die KI nur beobachtet, aber nicht blockiert. Das reduziert Fehlalarme um 70%.
2. Unsichtbare Sicherheit für Anwender
- Funktioniert in Outlook, Gmail, Microsoft 365
- Keine zusätzlichen Passwörter oder Portale
- Automatische Verschlüsselung je nach Inhalt
Erfolgskennzahl: Wenn Anwender sich über Sicherheit beschweren, läuft etwas falsch. Gute Sicherheit ist unsichtbar.
3. Compliance ohne Komplexität
- Automatische Klassifizierung regulierter Daten
- Compliance-Berichte per Klick
- Integrierte Unterstützung für branchenspezifische Vorgaben
Realitätscheck: Manuelle Compliance kostet Geld und übersieht Risiken. Automatisierung rechnet sich durch vermiedene Bußgelder.
C. Für Organisationen mit moderatem Risiko (4,5–5,3): Der ausgewogene Ansatz
Sie brauchen solide Sicherheit ohne Enterprise-Preise:
1. Intelligente Basics
- Korrekt konfigurierte E-Mail-Authentifizierung (SPF, DKIM, DMARC)
- Standardmäßige Multi-Faktor-Authentifizierung für alle Anwender
- Regelmäßige Security-Awareness-Schulungen
Häufiger Fehler: Die Tools sind vorhanden, aber nicht richtig konfiguriert. DMARC im Monitoring-Modus bietet keinen Schutz.
2. Zielgerichteter Schutz
- Zusätzliche Sicherheit für Führungskräfte und Finanzteams
- Automatisiertes Scanning von Zahlungs-E-Mails
- Erhöhte Überwachung in Hochrisikophasen
Warum das wirkt: Sie können nicht alles gleich schützen. Konzentrieren Sie sich auf die attraktivsten Ziele für Angreifer.
3. Lieferantenmanagement
- Sicherheitsanforderungen in allen Verträgen
- Regelmäßige Bewertung von Drittparteien-Risiken
- Vorgaben zur Vorfallbenachrichtigung
Denken Sie daran: Die Sicherheit Ihrer Partner ist Ihre eigene. Ein schwacher Partner kann alles kompromittieren.
VII. Zukunftssichere E-Mail-Sicherheit
A. Was kommt: Die nächste Angriffswelle
KI-generierte Angriffe (bereits Realität) Angreifer nutzen KI, um:
- Perfekte Phishing-E-Mails in jeder Sprache zu schreiben
- Schreibstile von Führungskräften zu imitieren
- Deepfake-Audio für Voice-Phishing zu erzeugen
- Den perfekten Zeitpunkt für Angriffe zu finden
Verteidigungsstrategie: KI gegen KI einsetzen. Menschliche Überprüfung reicht bei KI-generierten Bedrohungen nicht mehr aus.
Quantencomputing (in 3–5 Jahren) Wenn Quantencomputer verfügbar sind:
- Wird aktuelle Verschlüsselung angreifbar
- Können alte verschlüsselte E-Mails entschlüsselt werden
- Wird Echtzeit-Entschlüsselung möglich
Verteidigungsstrategie: Wechseln Sie jetzt zu quantensicherer Verschlüsselung. Sie ist mit aktuellen Systemen kompatibel und schützt vor zukünftigen Bedrohungen.
Supply-Chain-Angriffe (nehmen zu) Angreifer zielen verstärkt darauf ab:
- Lieferanten zu kompromittieren, um eigentliche Ziele zu erreichen
- Mit einem Angriff viele Unternehmen zu treffen
- Vertrauensbeziehungen als Waffe zu nutzen
Verteidigungsstrategie: Erweitern Sie Ihre Sicherheitsanforderungen auf alle Partner. Vertrauen ist gut – Kontrolle ist besser.
B. Resiliente E-Mail-Sicherheit aufbauen
Die Architektur der Zukunft umfasst:
- Prädiktive Risikoanalyse: KI, die Angriffe verhindert, bevor sie starten
- Kontextabhängiger Schutz: Sicherheit, die sich an Nutzer, Inhalt und Bedrohungslage anpasst
- API-gesteuerte Sicherheit: Schutz, der Daten überallhin folgt
- Quantensichere Verschlüsselung: Zukunftssicherer Schutz ab sofort
VIII. Fazit & nächste Schritte
Die Analyse von 461 Unternehmen zeigt: Das Risiko in der E-Mail-Sicherheit variiert erheblich je nach Branche (52% Unterschied) und Region (28% Unterschied). Die Daten weisen aber auch einen klaren Weg nach vorn.
Was das Risiko tatsächlich senkt:
- Vermeidung menschlicher Fehler, bevor sie passieren (41% Reduktion)
- Unsichtbare Sicherheit für Anwender (95% Akzeptanz vs. 30%)
- Vereinheitlichung der Sicherheit über alle Kanäle (schließt Lücken)
- Einsatz von KI gegen KI-basierte Bedrohungen (notwendig für moderne Angriffe)
- Aufbau von Zero-Knowledge-Architekturen (schützt auch bei Kompromittierung)
- Einsatz eines Private Data Network mit umfassender Governance
Die erfolgreichsten Unternehmen gehen über Einzellösungen hinaus und setzen auf Private Data Networks, die Sicherheit und Governance über alle Kommunikationskanäle hinweg vereinen. Dieser Ansatz behandelt E-Mail, Filesharing, Web-Formulare und Managed File Transfer als vernetzte Bestandteile eines Datenökosystems – nicht als isolierte Tools. Durch konsistente, fortschrittliche Sicherheitsrichtlinien, einheitliche Audit-Trails und die Durchsetzung von Data-Sovereignty-Anforderungen über alle Kanäle hinweg eliminieren Unternehmen die Lücken, die Angreifer ausnutzen, und vereinfachen Compliance sowie den Betrieb.
Der vollständige Ergebnisbericht mit detaillierter Methodik und weiteren Branchenanalysen erscheint im August 2025. Unternehmen, die ihre Sicherheitslage mit diesen Ergebnissen vergleichen möchten, sollten sich auf Fähigkeiten konzentrieren, die sowohl technologische als auch menschliche Aspekte der E-Mail-Sicherheit in einem einheitlichen Governance-Rahmen adressieren.
Abschließender Gedanke: In der heutigen Bedrohungslandschaft ist nicht die Frage, ob Sie angegriffen werden – sondern ob Sie vorbereitet sind. Die Daten zeigen: Vorbereitung bedeutet nicht, die meisten Tools zu haben. Es geht darum, die richtigen Fähigkeiten richtig umzusetzen, mit eingebauter Nutzerakzeptanz – alles in einem Private Data Network, das Transparenz, Kontrolle und Schutz über jeden Kommunikationskanal bietet.
Häufig gestellte Fragen
Organisationen mit den niedrigsten Risikowerten setzen konsequent auf fünf Ansätze: Fehlerprävention vor dem Eintreten (z. B. falsch adressierte E-Mails abfangen), Zero-Knowledge-Verschlüsselung (nur Empfänger können entschlüsseln), nahtlose Integration in bestehende E-Mail-Tools, automatisierte Richtliniendurchsetzung und einheitliche Governance über alle Kommunikationskanäle. Zusammen senken sie das Risiko um 40–60%.
Sie machen Sicherheit unsichtbar. Das bedeutet: Integration in bestehende E-Mail-Clients, automatischer Schutz je nach Inhalt und Hilfestellung statt Hürden. Wenn Sicherheit keine zusätzlichen Schritte erfordert, liegt die Akzeptanzrate über 95%. Ist Mehraufwand nötig, sinkt sie unter 30%.
Fehlerprävention beim Menschen. Die meisten Unternehmen konzentrieren sich auf die Erkennung eingehender Bedrohungen, aber 60% der Verstöße beginnen mit Mitarbeiterfehlern. Organisationen, die Mitarbeiter beim Vermeiden von Fehlern unterstützen (z. B. Versand an falsche Empfänger verhindern), verzeichnen 41% weniger Vorfälle als solche, die nur bösartige E-Mails blockieren.
Vier Faktoren verursachen regionale Unterschiede: Regulierung (DSGVO senkte das europäische Risiko um 28%), Infrastruktur (neuere Systeme in APAC haben oft keine integrierte Sicherheit), Bedrohungsakteure (folgen dem Geld nach Nordamerika) und Kultur (Datenschutz-Erwartungen variieren regional). Diese Faktoren führen zu messbaren Risikounterschieden.
Nicht zwingend. Für hochsensible Daten sollten Sie sichere Kanäle wie SFTP nutzen (15,9% sicherer). Für allgemeine Geschäftskommunikation gilt: Machen Sie E-Mail durch geeignete Kontrollen sicherer. Ziel ist es, den Schutz an die Sensitivität anzupassen – nicht nützliche Tools aufzugeben.
Wir haben einen gewichteten Mittelwert aus drei Faktoren genutzt: gemeldete Vorfallhäufigkeit (40%), Wirksamkeit der Kontrollen (35%) und Bedrohungsexposition (25%). Die Werte reichen von 1–10, regionale Modifikatoren ergeben sich aus dem Vergleich des Durchschnitts jeder Region mit dem globalen Basiswert. Diese Methodik ermöglicht Unternehmen eine genaue Risikoeinschätzung.
Diese Erkenntnisse stammen aus einer umfassenden Analyse von 461 Cybersicherheitsexperten aus 11 Branchen und 4 geografischen Regionen, erhoben im April 2025. Die Risikowerte wurden mit einer gewichteten Methodik zu Vorfallhäufigkeit, Kontrollwirksamkeit und Bedrohungsexposition berechnet. Der vollständige Bericht mit detaillierter Methodik erscheint im August 2025.
Weitere Ressourcen
- Blog Post Zero Trust Architecture: Never Trust, Always Verify
- Video How Kiteworks Helps Advance the NSA’s Zero Trust at the Data Layer Model
- Blog Post What It Means to Extend Zero Trust to the Content Layer
- Blog Post Building Trust in Generative AI with a Zero Trust Approach
- Video Kiteworks + Forcepoint: Demonstrating Compliance and Zero Trust at the Content Layer