Warum Ihr Spamfilter Phishing-Mails nicht erkennt – und was das kostet
Der M365-Spamfilter schützt vor Newsletter-Spam. Gegen modernes Phishing versagt er. Was Angreifer heute anders machen und was Ihr Unternehmen schützt.
Microsoft 365 hat einen Spamfilter. Der filtert zuverlässig Newsletter heraus, die Sie nie bestellt haben. Gegen moderne Phishing-Angriffe ist er ungefähr so wirksam wie ein Schild mit der Aufschrift „Bitte nicht einbrechen."
Was Phishing heute bedeutet – und warum es nichts mehr mit nigerianischen Prinzen zu tun hat
Phishing-Mails sahen früher schlecht aus. Schlechtes Deutsch, seltsame Absenderadressen, offensichtliche Fehler. Wer aufgepasst hat, hat sie erkannt.
Das ist vorbei.
Moderne Angriffe sind präzise, personalisiert und technisch raffiniert. Eine Mail kommt scheinbar vom Geschäftsführer, fordert die Buchhaltung zu einer dringenden Überweisung auf und landet problemlos im Posteingang. Keine Warnung, kein roter Banner, kein Alarm. Der Spamfilter hat nichts gesehen. Er hatte auch keine Chance.
Warum der Standard-Spamfilter versagt
Der in z.B. Microsoft 365 eingebaute Schutz arbeitet mit Signaturen und Mustern. Er vergleicht eingehende Mails mit bekannten Bedrohungen, ähnlich wie ein klassischer Virenscanner. Kommt etwas Bekanntes an: Alarm. Kommt etwas Unbekanntes: Schweigen.
Genau das nutzen Angreifer aus. Eine Technik, die Hornetsecurity in ihrem aktuellen Threat Report beschreibt, heißt Fuzzing: Angreifer versenden keine identischen Phishing-Mails mehr, sondern tausende leicht veränderte Varianten. Absendername, Betreff, Formulierungen, alles wird automatisch randomisiert. Jede Mail sieht ein bisschen anders aus. Das Ergebnis: Kein Filter erkennt ein Muster, weil es kein Muster gibt.
Dazu kommt Spear-Phishing. Gezielte Angriffe auf einzelne Personen. Die Buchhaltung bekommt eine Mail, die aussieht als käme sie vom Chef. Der Name stimmt. Der Schreibstil stimmt. Die Anfrage klingt plausibel. Der Spamfilter sieht: eine normale Mail.
Das Szenario, das täglich passiert
Dienstag, 10:23 Uhr. Die Buchhalterin öffnet eine Mail vom Geschäftsführer. Betreff: „Dringende Überweisung – bitte heute noch." Der Absender sieht aus wie immer. Der Ton ist sachlich. Der Betrag: 47.000 Euro.
Sie überweist. Warum auch nicht, es ist eine interne Anfrage, nichts hat Alarm geschlagen.
Um 16:00 Uhr fragt der Geschäftsführer im Büro nach dem Stand eines anderen Projekts. Von einer Überweisung weiß er nichts.
Das Geld ist weg. Die Bank kann in den meisten Fällen nichts mehr tun. Und der Spamfilter hat korrekt funktioniert. Er hat keine bekannte Bedrohung erkannt, weil es keine bekannte war.
Was dedizierte E-Mail-Security anders macht
Der Unterschied liegt nicht in mehr Regeln oder strengeren Filtern. Er liegt im Ansatz.
Echtzeit-Linkprüfung. Links in E-Mails werden nicht beim Empfang geprüft, sondern beim Klick. Denn viele Phishing-Links sind beim Eingang der Mail noch harmlos. Die Weiterleitung auf die gefälschte Seite erfolgt erst Stunden später. Klassische Filter sehen das nicht. Hornetsecurity schon.
Absender-Authentifizierung. Gefälschte Absenderadressen, die den Namen des Chefs tragen aber von einer anderen Domain kommen, werden erkannt und blockiert – bevor die Mail im Postfach landet.
Verhaltensbasierte Erkennung. Statt Signaturen zu vergleichen, analysiert das System das Verhalten einer Mail. Ungewöhnliche Muster, verdächtige Anhänge die erst beim Öffnen ihren Inhalt nachladen, Nachrichten die auf Dringlichkeit setzen. All das wird erkannt, auch wenn die Mail noch nie in dieser Form aufgetaucht ist.
Schutz vor Fuzzing-Angriffen. Auch wenn jede Mail leicht anders aussieht: Die zugrunde liegende Absicht bleibt gleich. Dedizierte Systeme erkennen diese Muster über Kampagnengrenzen hinweg. Der Standard-Filter nicht!
Was das für Ihr Unternehmen bedeutet
E-Mail ist der häufigste Einstiegspunkt für Cyberangriffe. Nicht weil Mitarbeitende unaufmerksam sind, sondern weil die Angriffe professionell sind und gezielt darauf ausgelegt, Standardschutz zu umgehen.
Ein Sicherheitsbewusstsein im Team ist wichtig. Aber es ersetzt keine technische Schutzebene, die Bedrohungen erkennt bevor ein Mensch überhaupt eine Entscheidung treffen muss.
Wir setzen auf Hornetsecurity, dedizierte E-Mail-Security die speziell für Microsoft 365 entwickelt wurde und genau die Angriffe abfängt, die der Standard-Filter durchlässt. Als Partner übernehmen wir Einrichtung, Konfiguration und laufenden Betrieb.
Wer wissen will, wie gut die eigene E-Mail-Infrastruktur aktuell geschützt ist: Wir schauen es uns in 15 Minuten gemeinsam an.