Security

BSI E-Mail-Sicherheit 2025 – was jetzt zählt, und warum Abwarten keine Option ist

28.08.2025 Comments Off on BSI E-Mail-Sicherheit 2025 – was jetzt zählt, und warum Abwarten keine Option ist

– Warum E-Mail-Sicherheit endlich strategisch gedacht werden muss

Der E-Mail-Verkehr ist das Rückgrat der digitalen Kommunikation – und gleichzeitig der Lieblingsangriffspfad für Cyberkriminelle. Das weiß man. Das sagt man. Und trotzdem dümpeln viele Domains technisch immer noch im Sicherheits-Kindergarten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) zieht nun die Zügel an – mit neuen Anforderungen, klareren Empfehlungen und einem deutlichen Appell an Unternehmen: Werdet verbindlich sicher.

Was steht 2025 konkret an?
Im aktualisierten Maßnahmenkatalog für E-Mail-Sicherheit (vormals nur als Empfehlung positioniert) fordert das BSI:
Verpflichtender Einsatz von SPF, DKIM und DMARC – mit gültiger und strikter Policy („reject“ empfohlen)
TLS-Verschlüsselung (DANE/TLSA) als verbindlicher Standard für Transportverschlüsselung
MTA-STS als alternative Maßnahmen, um Transparenz & Ausfallsicherheit zu erhöhen
Reporting-Pflicht via DMARC Reports, um Zustellprobleme & Angriffsversuche sichtbar zu machen

Und das Ganze nicht nur als optionalen Leitfaden, sondern als neue Grundlage z. B. für KRITIS-Betreiber, Behörden – und perspektivisch wohl auch für Versicherungen und Partnernetzwerke.

Was bedeutet das für Unternehmen?
Kurz gesagt: Wer 2025 noch ungeschützt per Mail kommuniziert, handelt grob fahrlässig. Doch viele IT-Abteilungen scheuen sich noch immer davor, ihre Maildomänen vollständig abzusichern – oft aus Angst vor False Positives oder Zustellproblemen. Dabei ist das Gegenteil der Fall:
Ein sauber konfiguriertes SPF/DKIM/DMARC-Setup verbessert nicht nur die Sicherheit, sondern auch die Zustellbarkeit, weil große Provider wie Microsoft, Google & Co. auf diese Signale setzen.

Realität: Es hapert oft an der Umsetzung
In Kundengesprächen zeigt sich regelmäßig:
SPF ist fast überall vorhanden, aber oft mit „~all“ oder fehlerhaften Includes.
DKIM ist häufig unvollständig – z. B. nicht für Drittanbieter (Mailchimp, HR-Tools, CRM-Systeme) eingerichtet.
DMARC steht meist auf „none“ – also reines Reporting ohne Wirkung.
TLS-Verschlüsselung ist Standard, aber ohne MTA-STS kaum überprüfbar.
Kaum jemand wertet DMARC-Berichte aktiv aus.

💬 „Wir haben das mal irgendwann eingerichtet – ich glaub, das war 2019“ – ein häufiger Satz, den man so oder so ähnlich in der Beratung hört.

Was du jetzt tun solltest (auch wenn du nicht KRITIS bist):
✅ DMARC-Policy mit „quarantine“ oder „reject“ planen – über 2–3 Monate hinweg kontrolliert hochfahren
✅ SPF und DKIM für ALLE Mail sendenden Systeme prüfen – inkl. externer Tools
✅ DMARC-Aggregatberichte aktiv auswerten – z. B. via Tools wie dmarcian, Postmark, oder Open-Source-Lösungen
✅ MTA-STS konfigurieren – für gesicherte TLS-Verschlüsselung und Fall-back Protection
✅ TLS-RPT aktivieren – Monitoring von verschlüsseltem Mailverkehr

Damit erfüllen Sie TR03108:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03108/tr03108_node.html

Sowie TR03182:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03182/TR-03182_node.html

Tipp: Wer Microsoft 365 nutzt, kann vieles direkt über das Defender Portal bzw. Exchange Admin Center konfigurieren.

Fazit: Das BSI erhöht den Druck – zu Recht.
Wer E-Mail weiterhin wie 2010 absichert, riskiert nicht nur Phishing-Erfolge und Datenabfluss, sondern auch Vertrauensverlust bei Kunden und Partnern. Wir sind stolz darauf, unsere Kunden mit Workshops und individueller Betreuung auf den richtigen Weg zu bringen und sie aktiv bei der Umsetzung nachhaltiger E-Mail-Sicherheit zu unterstützen. Für unser Engagement durften wir in die E-Mail Hall of Fame des BSI einziehen und wurden als Goldpartner ausgezeichnet.
https://www.bsi.bund.de/DE/Themen/Kampagne-einfach-absichern/EMSJ/Hall-of-Fame/Hall-of-Fame_node.html

Buchen Sie sich gerne ein kostenloses Erstgespräch:
Buchen Sie einen Termin mit Jonas Möhrling – No23 Digital GmbH: No23 Digital GmbH M365/Microsoft Coffee talk

E-Mail-Sicherheit wird zur strategischen Verantwortung der IT-Führung – und ein Thema für Audits, Cyberversicherungen und Compliance-Officer.

🚦 Warten ist keine Option mehr.

Jonas Möhrling ist Head of Digital Workplace bei der No23 Digital GmbH und Experte für moderne Arbeitsumgebungen. Mit einem starken Hintergrund in IT-Workplace-Management und langjähriger Erfahrung in der technischen Beratung und Umsetzung gestaltet er digitale Arbeitsplätze, die nicht nur leistungsfähig, sondern auch benutzerfreundlich und sicher sind. Sein Fokus liegt auf der strategischen Entwicklung und Umsetzung innovativer Lösungen, die Unternehmen helfen, den digitalen Wandel aktiv zu gestalten. In diesem Blog teilt er praxisnahe Einblicke, Best Practices und zukunftsweisende Impulse rund um den Digital Workplace – für alle, die Arbeit smarter und nachhaltiger denken wollen.