Warum E-Mail-Sicherheit fuer Berliner KMU unverzichtbar ist

Angreifer muessen Ihre Firewall nicht ueberwinden. Eine einzige ueberzeugende E-Mail an einen Mitarbeiter genuegt — und der Schaden ist entstanden. Fuer kleine Unternehmen in Berlin uebersteigen die Gesamtkosten eines erfolgreichen Phishing-Angriffs — Ausfallzeiten, forensische Untersuchung, Reputationsschaden — regelmaessig 25.000 €. Grosse Konzerne verkraften das; die meisten KMU nicht.

Microsoft 365 kommt mit grundlegender Spam- und Malwarefilterung, aber die Standardeinstellungen sind bewusst konservativ konfiguriert, um Fehlalarme zu vermeiden. Ohne Anpassung erkennt M365 keine ausgefeilten Spear-Phishing-Kampagnen, boschaertige Office-Makros oder Identitaetsangriffe, die einfache signaturbasierte Erkennung umgehen. Die Kontrollen gegen diese Bedrohungen sind in der Plattform vorhanden — sie muessen lediglich aktiviert und konfiguriert werden.

Die Microsoft 365 E-Mail-Sicherheitsarchitektur

Schritt 1: SPF, DKIM und DMARC einfuehren

Diese drei DNS-Eintraege bilden das Fundament der E-Mail-Authentifizierung. Ohne sie kann jeder eine E-Mail versenden, die scheinbar von Ihrer Domaene stammt — ein trivialer Angriff, der Angreifer nichts kostet und Ihrer Marke erheblichen Schaden zufuegen kann.

SPF (Sender Policy Framework)

SPF veroeffentlicht eine Liste autorisierter Absender-IP-Adressen fuer Ihre Domaene. Fuer einen reinen Microsoft 365-Mandanten ohne Drittanbieter-Absender lautet der korrekte SPF-Eintrag:

DKIM (DomainKeys Identified Mail)

DKIM versieht ausgehende Nachrichten mit einer kryptografischen Signatur. Empfaenger pruefen diese Signatur anhand des in Ihrem DNS veroffentlichten oeffentlichen Schluessels. Navigieren Sie im Microsoft 365 Admin Center zu Sicherheit > E-Mail & Zusammenarbeit > Richtlinien & Regeln > Bedrohungsrichtlinien > DKIM, waehlen Sie Ihre Domaene aus und aktivieren Sie die Signierung.

DMARC

DMARC verbindet SPF und DKIM und teilt empfangenden Servern mit, was bei fehlgeschlagener Authentifizierung zu tun ist. Beginnen Sie mit einer reinen Ueberwachungsrichtlinie, sammeln Sie Daten und scharfen Sie dann durch:

Schritt 2: Exchange Online Protection-Richtlinien haerten

EOP wird mit einer “Standard”-Richtlinie geliefert, die eine hohe Toleranz fuer Fehlalarme aufweist. Fuer ein Berliner KMU bieten die vordefinierten Sicherheitsrichtlinien “Standard” oder “Streng” deutlich mehr Schutz. Navigieren Sie im Microsoft Defender-Portal zu E-Mail & Zusammenarbeit > Richtlinien & Regeln > Bedrohungsrichtlinien > Vordefinierte Sicherheitsrichtlinien und wenden Sie den Standardschutz auf alle Benutzer an.

Schritt 3: Sichere Anlagen und Sichere Links aktivieren

EOP erkennt bekannte Bedrohungssignaturen. Defender for Office 365 (in M365 Business Premium enthalten) erkennt Zero-Day-Bedrohungen, indem er verdaechtige Anhaenge in einer virtuellen Sandbox detoniert und URLs zur Echtzeit-Reputationspruefung umschreibt.

Sichere Anlagen

Aktivieren Sie die Einstellung “Dynamische Zustellung”, damit Benutzer den E-Mail-Text sofort erhalten, waehrend der Anhang gescannt wird. Setzen Sie die Reaktion auf unbekannte Malware auf “Blockieren” statt “Ueberwachen” — der Ueberwachungsmodus verhindert die Zustellung nicht, er generiert nur Warnmeldungen.

Sichere Links

Sichere Links schreibt alle URLs in E-Mails und Office-Dokumenten um, sodass sie beim Anklicken gegen Microsofts Bedrohungsintelligenz geprueft werden — nicht zum Zeitpunkt der Zustellung. Das erfasst URLs, die bei der Zustellung harmlos sind, aber Stunden spaeter als Waffe eingesetzt werden — eine verbreitete Technik namens “Time-of-Click-Phishing”. Aktivieren Sie “Benutzer duerfen nicht zur Original-URL durchklicken”.

Schritt 4: Anti-Phishing-Richtlinien fuer Identitaetsschutz konfigurieren

Business-E-Mail-Compromise-Angriffe (BEC) beinhalten typischerweise, dass ein Angreifer Ihren CEO, CFO oder einen vertrauenswuerdigen Lieferanten imitiert, um eine betruegende Ueberweisung oder Anmeldedatenaenderung zu autorisieren. In den Anti-Phishing-Richtlinien von Defender for Office 365 konfigurieren Sie:

• Benutzerschutz vor Identitaetsbetrug: Fuegen Sie Geschaeftsfuehrer, CFO und alle Personen hinzu, die Finanztransaktionen initiieren.
• Domaenenschutz vor Identitaetsbetrug: Fuegen Sie Ihre Primaerdomaene und alle Domaenen hinzu, mit denen Sie regelmaessig Rechnungen austauschen.
• Postfachintelligenz: Aktivieren Sie diese Option, um ein Kommunikationsgraph aufzubauen. Wenn Ihr CFO noch nie E-Mails an Ihren IT-Administrator gesendet hat, faellt ein Imitationsversuch statistisch auf.
• Massnahme bei erkanntem Identitaetsbetrug: Setzen Sie diese auf “Nachricht in Quarantaene verschieben” statt “In Junk verschieben”.

Schritt 5: Multi-Faktor-Authentifizierung — Die wirksamste Einzelmassnahme

Keine E-Mail-Sicherheitsmassnahme bringt etwas, wenn ein Angreifer sich einfach mit einem gestohlenen Passwort bei Ihrem Mandanten authentifizieren und Ihre E-Mails lesen oder umleiten kann. MFA mit Conditional-Access-Richtlinien blockiert Credential-Stuffing-Angriffe vollstaendig. In Kombination mit den Anmelderisiko-Richtlinien von Entra ID werden auch gestohlene Anmeldedaten wertlos, solange der zweite Faktor fehlt.

Schritt 6: Angriffssimulation und laufende Ueberwachung

Microsoft 365 Business Premium enthaelt das Angriffssimulationstraining (Defender-Portal > E-Mail & Zusammenarbeit > Angriffssimulationstraining). Fuehren Sie vierteljaehrlich eine Phishing-Simulation durch: Senden Sie eine Kampagne zum Abgreifen von Anmeldedaten an alle Mitarbeiter und messen Sie die Klickrate. Benutzer, die klicken, erhalten automatisch gezieltes Training. Dieser Regelkreis — simulieren, erfassen, trainieren — senkt die Klickraten nachweislich und ist wesentlich kostenguenstiger als ein einziger Sicherheitsvorfall.

Kurzreferenz: Haertungscheckliste fuer E-Mail-Sicherheit

Wie IT Experts Berlin diese Massnahmen umsetzt

Unsere E-Mail-Sicherheitshaertung fuer Berliner KMU laeuft in drei Phasen ueber vier Wochen: DNS-Authentifizierungseintraege (SPF/DKIM/DMARC) in Woche eins; EOP- und Defender for Office 365-Richtlinienhaertung in Woche zwei; Identitaetsschutz und Angriffssimulations-Baseline in Wochen drei und vier. Nach der Inbetriebnahme ueberwachen wir den Bedrohungsschutzbericht wochentlich und fuehren vierteljaehrliche Phishing-Simulationen im Rahmen des Dienstes durch. Kontaktieren Sie uns fuer eine kostenlose E-Mail-Sicherheitsbewertung Ihrer aktuellen M365-Konfiguration.