Die E-Mail ist längst kein reines Kommunikationsmittel mehr und erst recht kein beliebiges weiteres Online-Konto. Sowohl im Privatleben als auch im Berufsalltag ist sie der Türöffner zur digitalen Welt. Über sie lassen sich Passwörter für andere Konten zurücksetzen, Identitäten bestätigen, Kontobenachrichtigungen empfangen sowie Buchungen und Rechnungen verwalten. 

Im Posteingang sammeln sich oft über Jahre hinweg sensible Informationen, von Reiseplänen und Einkaufsbelegen bis hin zu Arztterminen, Verträgen, Steuerunterlagen und gescannten Ausweisdokumenten. Er verrät unter anderem, wohin Sie reisen, was Sie besitzen, welche Dienste Sie nutzen, wem Sie vertrauen und wie sich andere Online-Konten erreichen lassen.

Kein Wunder also, dass E-Mail-Postfächer zu den beliebtesten Angriffszielen von Cyberkriminellen gehören. Wer private oder geschäftliche Konten und Daten schützen möchte, sollte deshalb beim Schutz des eigenen Posteingangs beginnen.

Warum Angreifer es auf Ihren Posteingang abgesehen haben

Cyberkriminelle haben Ihren Posteingang nicht ohne Grund im Visier. Wer Zugriff auf Ihr E-Mail-Konto erhält, kann oft weite Teile Ihres digitalen Lebens übernehmen. So lassen sich Passwörter zahlreicher weiterer Online-Konten zurücksetzen und unter Umständen Einmalcodes abfangen, die von Ihrer Bank, sozialen Netzwerken, Cloud-Diensten oder anderen Online-Anbietern versendet werden.

Mitunter versuchen Angreifer sogar, dauerhaft unentdeckt zu bleiben. Sie richten beispielsweise automatische Weiterleitungen ein, damit eingehende Nachrichten auch dann noch bei ihnen landen, wenn Sie das kompromittierte Passwort längst geändert haben. Selbst Passwortrücksetzungen helfen dann wenig, weil auch die Bestätigungscodes weitergeleitet werden. Andere missbrauchen Zugriffstoken, verbundene Anwendungen oder aktive Sitzungen, um ihren Zugang aufrechtzuerhalten.

Kriminelle können außerdem auf persönliche Fotos zugreifen und diese für Erpressungsversuche missbrauchen oder Ihre Kommunikation mitlesen. Die so gewonnenen Informationen bilden häufig die Grundlage für besonders glaubwürdige Phishing-Nachrichten, die sich als vertrauenswürdige Organisation ausgeben. Darin werden Sie etwa zur Zahlung einer Rechnung aufgefordert oder dazu verleitet, weitere persönliche Daten preiszugeben, die später für Identitätsdiebstahl missbraucht werden können. Je mehr Informationen Angreifer über ihre Opfer besitzen, beispielsweise Kontodaten oder andere persönliche Angaben, desto überzeugender wirken solche Betrugsversuche.

Phishing zählt nach wie vor zu den größten Cyberbedrohungen und verliert keineswegs an Bedeutung. Im Gegenteil: Die Telemetriedaten von ESET zeigen, dass die Zahl erkannter schädlicher E-Mails in der zweiten Jahreshälfte 2025 im Vergleich zu den vorangegangenen sechs Monaten um 36 Prozent gestiegen ist.
email-threats-h1-h2-2025
Abbildung 1. Entwicklung der Erkennung bösartiger E-Mails im Jahr 2025 (Quelle: ESET-Bedrohungsbericht 2. Halbjahr 2025)
top malicious email attachment types in H2 2025
Abbildung 2. Häufigste Arten bösartiger E-Mail-Anhänge (Quelle: ESET-Bedrohungsbericht 2. Halbjahr 2025)

Die Auswirkungen auf den Berufsalltag können noch gravierender sein. Gelangen Angreifer an ein geschäftliches E-Mail-Konto, öffnen sich ihnen häufig weitere Türen. Sie können auf Cloud-Anwendungen und gemeinsame Laufwerke zugreifen, Einblicke in CRM-, Finanz- und HR-Systeme erhalten, die Kommunikation mit Kollegen und Kunden mitlesen oder sensible Kundendaten stehlen.

Ein erfolgreicher Phishing-Angriff auf ein geschäftliches E-Mail-Konto ist deshalb häufig nur der erste Schritt einer größeren Attacke, etwa eines Datendiebstahls, einer Erpressung mit Ransomware oder eines Spionageangriffs. Nach aktuellen Statistiken der britischen Regierung war Phishing mit 38 Prozent im vergangenen Jahr die häufigste Form von Cyberangriffen. Dahinter folgten Betrugsversuche, bei denen sich Angreifer in E-Mails als Unternehmen ausgaben, mit einem Anteil von 12 Prozent.

Cryptostealers_Delf Fujifilm campaign
Abbildung 3. Phishing-E-Mail, die den Trojaner „Win/PSW.Delf“ verbreitet und vorgibt, von Fujifilm zu stammen (Quelle: ESET Threat Report H2 2024)

Es wird immer schwieriger, Ihren Posteingang zu schützen

E-Mail bleibt für Cyberkriminelle besonders attraktiv, weil sie an der Schnittstelle zwischen Technik, digitaler Identität und menschlichem Vertrauen steht. Phishing setzt gezielt dort an, wo Sicherheitsmaßnahmen am leichtesten ausgehebelt werden können: beim Menschen. Fast jeder nutzt E-Mail täglich unter Zeitdruck, sei es für Rechnungen, Lieferbenachrichtigungen, Mitteilungen der Personalabteilung, Kundenanfragen, Passwortrücksetzungen, Termineinladungen oder Sicherheitswarnungen. Viele dieser Nachrichten fordern dazu auf, einen Link anzuklicken, einen Anhang herunterzuladen, etwas zu bestätigen, zu antworten oder eine Zahlung auszuführen.

Genau diese Routine machen sich Angreifer zunutze. Selbst aufmerksame Nutzer können Fehler machen, wenn eine Nachricht scheinbar von einem bekannten Absender stammt, in einem stressigen Moment eintrifft oder besonders dringlich wirkt. Mit Identitätsmissbrauch und Social Engineering erhöhen Cyberkriminelle ihre Erfolgschancen erheblich.

Der Faktor Mensch spielte laut dem Verizon Data Breach Investigations Report 2026 bei 62 Prozent aller Sicherheitsverletzungen eine Rolle. Social Engineering war mit 16 Prozent das dritthäufigste Angriffsmuster. Gleichzeitig entwickeln Kriminelle ihre Methoden ständig weiter. Der Bericht zeigt außerdem, dass die durchschnittliche Erfolgsquote bei Phishing-Simulationen auf mobilen Geräten 40 Prozent höher lag als bei klassischen E-Mail-Phishing-Tests.

Auch die Werkzeuge der Angreifer werden immer leistungsfähiger. Generative KI (GenAI) hilft Cyberkriminellen dabei, sprachlich überzeugende Phishing-Nachrichten nahezu fehlerfrei zu verfassen und in großem Maßstab zu erstellen.

Business Email Compromise (BEC) als Einfallstor

Einige der schädlichsten und kostspieligsten Cyberangriffe, die jemals verzeichnet wurden, begannen mit der Kompromittierung eines E-Mail-Postfachs. Dazu gehören:

  • Facebook und Google: Die beiden Technologiekonzerne verloren zusammen mehr als 120 Millionen US-Dollar, nachdem ein Angreifer ihnen gefälschte Rechnungen eines vermeintlich legitimen Lieferanten zusandte. Die Nachrichten enthielten zudem gefälschte Dokumente und führten dazu, dass die Zahlungen tatsächlich ausgeführt wurden.
  • Children’s Healthcare of Atlanta: Nachdem ein Bauunternehmen öffentlich bekannt gegeben hatte, den Zuschlag als Generalunternehmer für ein neues Krankenhausgebäude erhalten zu haben, nutzten Betrüger diese Information aus. Sie verschickten eine Zahlungsaufforderung im Namen des Unternehmens und fälschten dabei sowohl Briefkopf als auch E-Mail-Adresse. Die Nachricht erweckte den Eindruck, direkt vom Finanzvorstand des Unternehmens zu stammen.
  • Crelan Bank: Die belgische Bank verlor mehr als 75 Millionen US-Dollar, nachdem ein Mitarbeiter Geld auf ein von Betrügern kontrolliertes Konto überwiesen hatte. Die Täter hatten zuvor offenbar das E-Mail-Konto einer Führungskraft kompromittiert und sich anschließend als CEO des Unternehmens ausgegeben.

So schützen Sie Ihren Posteingang

Privatanwender sollten für jedes Online-Konto ein starkes, einzigartiges Passwort oder eine Passphrase verwenden und diese in einem vertrauenswürdigen Passwortmanager speichern. Alternativ bietet sich eine passwortlose Anmeldung mit einem Passkey an. Aktivieren Sie außerdem überall dort, wo es möglich ist, die Multi-Faktor-Authentifizierung. Ebenso wichtig ist es, Ihre Wiederherstellungsoptionen aktuell zu halten, damit Angreifer nicht über eine alte Telefonnummer oder eine vergessene Backup-E-Mail-Adresse erneut Zugriff auf Ihr Konto erhalten.

Ebenso lohnt sich ein regelmäßiger Blick in die Einstellungen Ihres E-Mail-Kontos. Prüfen Sie, ob unbekannte Weiterleitungsregeln eingerichtet wurden, ungewöhnliche Filter aktiv sind oder Ihnen verbundene Anwendungen beziehungsweise Geräte unbekannt vorkommen. Falls Ihr E-Mail-Postfach kompromittiert wurde, sollten Sie umgehend das Passwort ändern, verdächtige Sitzungen beenden, die Wiederherstellungsoptionen überprüfen und kontrollieren, ob Nachrichten unbemerkt weitergeleitet werden.

Weitere bewährte Sicherheitsmaßnahmen sind:

  • Gehen Sie bei unerwarteten E-Mails grundsätzlich vorsichtig vor. Prüfen Sie den Absender genau und achten Sie darauf, ob Name und E-Mail-Adresse tatsächlich zusammenpassen. Kontrollieren Sie außerdem die Schreibweise der Domain auf mögliche Tippfehler. Öffnen Sie keine Links oder Anhänge, wenn Sie Zweifel an der Echtheit der Nachricht haben. Fragen Sie im Zweifelsfall über einen anderen Kommunikationsweg beim vermeintlichen Absender nach.
  • Bestätigen Sie keine Gerätecodes oder MFA-Benachrichtigungen (z. B. auf Ihrem Handy), die Sie nicht selbst ausgelöst haben, da es sich um Hacker handeln könnte, die ihr Glück versuchen.
  • Halten Sie Ihre Wiederherstellungsoptionen aktuell und überprüfen Sie sie regelmäßig.
  • Wenn Sie beruflich mit Zahlungsanweisungen zu tun haben, sollten Sie dringende Überweisungsaufforderungen grundsätzlich hinterfragen, selbst wenn sie scheinbar von der Geschäftsführung oder der IT-Abteilung stammen. Lassen Sie solche Anfragen immer über einen zweiten Kommunikationskanal bestätigen.
  • Nehmen Sie Schulungen zum Sicherheitsbewusstsein ernst und informieren Sie sich regelmäßig über aktuelle Phishing-Methoden und neue Angriffstechniken.
  • Nutzen Sie eine umfassende Sicherheitslösung eines vertrauenswürdigen Anbieters, um sich vor Malware und betrügerischen Nachrichten zu schützen.

Nahezu jeder nutzt heute E-Mail. Genau deshalb bleibt sie eines der wichtigsten Angriffsziele für Cyberkriminelle. Doch nicht jedes E-Mail-Postfach muss zwangsläufig zum Opfer werden. Mit den richtigen Sicherheitsmaßnahmen erhöhen Sie Ihre Chancen deutlich, auch künftig sicher im Internet unterwegs zu sein.