E-Mail-Verschlüsselung: Gericht bestätigt DSGVO-Konformität ohne Ende-zu-Ende

Eine aktuelle Studie offenbart ein gefährliches Missverhältnis zwischen der wachsenden Bedrohung durch KI-gesteuerte Cyberangriffe und den Schutzmaßnahmen deutscher Unternehmen. Obwohl die Mehrheit der Führungskräfte große Sorge vor KI-generierten Phishing-Mails und Deepfakes hat, bleibt die Investition in spezielle Sicherheitslösungen für viele Organisationen zweitrangig.

Bedrohung erkannt, Gefahr gebannt? Von wegen

Der „AI-Security-Report 2026", basierend auf einer Umfrage von YouGov und Hornetsecurity, zeigt ein erschreckendes Bild: Nur 15 Prozent der Unternehmenslenker haben keinerlei Angst vor KI-basierten Angriffen. 55 Prozent fürchten sich vor KI-gesteuertem Phishing, 41 Prozent vor den Auswirkungen von Deepfakes. Doch die Schere zwischen Sorge und Handeln klafft gewaltig auseinander: Gerade einmal 32 Prozent der Organisationen setzen KI auch zur Verteidigung ein.

Anzeige: KI-gesteuerte Phishing-Angriffe nehmen rasant zu – 55 Prozent der Führungskräfte fürchten sich davor, doch nur 32 Prozent setzen KI zur Verteidigung ein. Dieser Report liefert die konkrete Checkliste, um Ihr Unternehmen noch 2026 zu schützen. Jetzt kostenlosen Sicherheits-Report anfordern

72 Prozent der Führungskräfte räumen Investitionen in KI-Sicherheit nur eine mittlere bis gar keine Priorität ein. Die mangelnde Vorbereitung wird durch fehlende Kompetenzen der Mitarbeiter noch verschärft: 51 Prozent der Beschäftigten fühlen sich nur eingeschränkt oder gar nicht in der Lage, solche Bedrohungen zu erkennen oder abzuwehren. Ein weiteres Paradox: Obwohl mindestens 80 Prozent der Unternehmen Microsoft 365 nutzen, sind Cyberrisiken im Unternehmensbewusstsein noch nicht umfassend verankert.

Neue Angriffswellen: Phishing wird immer raffinierter

Die Methoden der Angreifer werden zunehmend perfider. Das FBI warnt aktuell vor „Kali365", einer Phishing-as-a-Service (PaaS)-Plattform, die seit April 2026 aktiv ist. Der Dienst zielt auf Microsoft-365-Konten ab, indem er Gerätecode-Logins manipuliert, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Seit Januar 2025 haben Kontenübernahmen durch solche Methoden Schäden von über 262 Millionen Euro verursacht – betroffen sind Gesundheitswesen, Bildung, Finanzsektor und Fertigungsindustrie.

Sicherheitsforscher von Kaspersky haben zudem eine neue Masche entdeckt: Textbasierte ASCII-Art-QR-Codes in E-Mails. Diese Codes umgehen herkömmliche E-Mail-Filter, die normalerweise nach bildbasierten Bedrohungen suchen. Wer den Code scannt, landet auf einer Phishing-Seite. Der M-Trends Report 2026 von Mandiant zeigt zudem, dass Voice-Phishing (Vishing) mit 11 Prozent inzwischen der zweithäufigste Infektionsvektor ist – nur übertroffen von Software-Schwachstellen (32 Prozent).

Identitätsschutz wird zur Chefsache

Da Angreifer zunehmend auf den Diebstahl von Anmeldedaten setzen statt auf die Ausnutzung von Softwarelücken, gewinnt das Konzept der „Identitätsperimeter" an Bedeutung. Experten verweisen auf Techniken wie „SyncJacking", das auf Entra-Connect-Sync-Server abzielt, oder die Ausnutzung von Schwachstellen wie CVE-2025-55241, um über die Azure AD Graph API an Zugriffstoken zu gelangen.

Die großen Anbieter reagieren: Salesforce hat eine verpflichtende MFA für interne Benutzerkonten angekündigt. Die Umsetzung ist für Sandbox-Umgebungen am 22. Juni 2026 und für Produktionsumgebungen am 20. Juli 2026 geplant. Sicherheitsexperten empfehlen phishing-resistente MFA-Verfahren wie FIDO2, Touch ID oder Windows Hello. Herkömmliche SMS- und E-Mail-Codes gelten zunehmend als unzureichend.

Rechtliche Klarheit bei E-Mail-Verschlüsselung

Das Verwaltungsgericht Düsseldorf hat mit einem Urteil vom 2. April 2026 für Klarheit im regulatorischen Dschungel gesorgt. Demnach kann Transportverschlüsselung für die DSGVO-konforme E-Mail-Übermittlung nach Artikel 32 ausreichen. Eine Ende-zu-Ende-Verschlüsselung ist demnach nicht für jede Datenübertragung erforderlich. Das Gericht betonte einen risikobasierten Ansatz: Für die Übermittlung einfacher persönlicher Daten an eine Versicherung sei Transportverschlüsselung ausreichend.

Anzeige: Ihre Mitarbeiter fühlen sich nicht in der Lage, KI-Bedrohungen zu erkennen – 51 Prozent der Beschäftigten sind überfordert. Der Report zeigt, wie Sie mit einem Schritt-für-Schritt-Plan die Sensibilisierung vorantreiben und Phishing-resistente MFA einführen. Mitarbeiter-Sensibilisierungs-Plan jetzt sichern

Vertrauenskrise in der Sicherheitsbranche

Das Vertrauen in die Sicherheitsindustrie selbst ist erschreckend gering. Eine Sophos-Studie unter 5.000 IT-Entscheidern ergab: 95 Prozent vertrauen ihren Cybersecurity-Anbietern nicht vollständig. Rund 79 Prozent der Befragten haben Schwierigkeiten, die Vertrauenswürdigkeit neuer Anbieter zu beurteilen. 51 Prozent fürchten trotz vorhandener Schutzmaßnahmen einen größeren Sicherheitsvorfall.

Um diesen Herausforderungen zu begegnen, wird die Veranstaltung „Public-IT-Security (PITS) 2026" am 16. und 17. Juni in Berlin einen Schwerpunkt auf sichere E-Mail-Kommunikation für die öffentliche Hand legen. Lösungen zum Schutz vor Spoofing, Identitätsdiebstahl und Verschlüsselung stehen im Fokus – denn die Zeit bis zur vollständigen Wiederherstellung nach einem Angriff (Mean Time to Clean Recovery) soll auf unter sechs Stunden sinken.

de | wirtschaft | 69479492 |