Bericht zur Einführung von DMARC und MTA-STS in Australien 2025

Im Jahr 2024 reagierte das Australian Signals Directorate (ASD) auf mehr als 1.200 Cybervorfälle mit hoher Priorität, was einem Anstieg von 11 % entspricht und die digitale Bedrohung für das Land unterstreicht. Ende 2025 waren die finanziellen Folgen dieser Angriffe erschütternd: Die durchschnittlichen Kosten einer Cyberkriminalitätsanzeige für große australische Unternehmen sind um 219 % in die Höhe geschnellt und liegen nun bei über 200.000 Dollar pro Vorfall. Da alle sechs Minuten eine neue Cyberkriminalitätsanzeige eingereicht wird, ist die australische Regierung von Empfehlungen zu Vorschriften übergegangen.

Der Inkrafttreten der Vorschriften zur Sicherheit kritischer Infrastrukturen (SOCI) im April 2025 markiert eine definitive Zäsur. Cybersicherheit ist nicht mehr nur eine freiwillige „IT-Checkbox“, sondern eine gesetzliche Verpflichtung gemäß der australischen Cybersicherheitsstrategie 2023–2030. Trotz dieser regulatorischen Vorgaben bleibt jedoch ein grundlegender Widerspruch bestehen: Während die meisten australischen Domänen grundlegende Sicherheitsvorschriften eingeführt haben, versäumt es fast die Hälfte, diese tatsächlich durchzusetzen, sodass die „digitalen Arterien“ der nationalen Wirtschaft, nämlich die E-Mail-Systeme, für Missbrauch weit offen stehen.

Dieser Bericht enthält eine sektorbezogene technische Analyse der E-Mail- und Domain-Sicherheit in Australien und deckt strukturelle Lücken bei der DMARC-Durchsetzung und Transitverschlüsselung auf, die weiterhin zu einem jährliche Betrugsepidemie in Höhe von 2 Milliarden Dollar.

Berichtsanfrage – Einführung von DMARC in Australien

"*" kennzeichnet Pflichtfelder

Dieses Feld dient der Validierung und sollte unverändert bleiben.
Name*

Gesamtlage auf nationaler Ebene: Die Lücke bei der Durchsetzung

Australien weist eine starke „Einstiegs“-Akzeptanz auf, wobei fast alle Domains über eine Form von SPF- und DMARC-Einträgen verfügen. Die „Bottom Line“ zeigt jedoch, dass sich die meisten Organisationen in einem passivund überwachen Bedrohungen, anstatt sie zu blockieren.

SPF

Australien SPF

DMARC

Australien-DMARC

MTA-STS

Australien MTA-STS

DNSSEC

Australien DNSSEC

Nationale Adoptionskennzahlen

ProtokollkomponentePreisRisikoauswirkungen
SPF Korrektheit92.3%Geringes Risiko, dass legitime E-Mails als Spam markiert werden.
DMARC-Durchsetzung (p=ablehnen)46.7%KRITISCH: 53,3 % der Domains können Spoofing nicht verhindern.
MTA-STS-Annahme5.8%Hohes Risiko einer „Man-in-the-Middle“-Abschöpfung.
DNSSEC-Annahme6.8%Anfällig für DNS-Hijacking und Cache Poisoning.

Analyse: Während 9 von 10 Domänen über DMARC verfügen, sind nur die Hälfte nutzen es tatsächlich, um nicht autorisierte E-Mails zu blockieren. Dies schafft ein falsches Gefühl der Sicherheit, da IT-Teams das „Kontrollkästchen” für DMARC sehen, aber weiterhin anfällig für raffinierte Identitätsdiebstähle sind.

15-Tage-Test starten

Branchenspezifische Schwachstellen und Leistungsfähigkeit

Während Australien eine hohe Basis für die E-Mail-Authentifizierung aufweist, zeigt ein genauerer Blick auf einzelne Branchen eine massive „Durchsetzungslücke“. Sektoren, die die sensibelsten Daten des Landes schützen, von Patientenakten bis hin zu amtlichen Ausweisen, verlassen sich häufig eher auf passive Überwachung als auf aktive Blockierung, was Möglichkeiten für ausgeklügelte Phishing-Angriffe und Abhörmaßnahmen schafft.

1. Gesundheitswesen: Schutz der Privatsphäre von Patienten

Der Medibank-Hack von 2024 ist nach wie vor ein deutliches Beispiel dafür, wie gefälschte Lieferantenkommunikationen zu katastrophalen Datenlecks führen können. Während Gesundheitswesen über eine hohe SPF-Basis verfügt, schafft das Fehlen von Transitverschlüsselung und DNS-Sicherheit eine erhebliche Schwachstelle für Patientenakten.

Sicherheitskennzahlen im Gesundheitswesen

Metrisch Adoptionsrate Status
SPF Korrektheit 93.3% Hoch
DMARC-Durchsetzung (p=ablehnen) 46.7% Mäßig
Kein DMARC-Eintrag 6.7% Verletzlich
MTA-STS-Annahme 2.2% vernachlässigbar
DNSSEC-Annahme 0% Nicht vorhanden
Gesundheitswesen SPF

Die Bedrohung

Da 97,8 % der Gesundheitsdomänen nicht über MTA-STS verfügen, sind per E-Mail versendete Patientendaten anfällig für „Man-in-the-Middle“-Angriffe (MiTM). Angreifer können Gesundheitsdaten während der Übertragung abfangen oder verändern, was zu Identitätsdiebstahl oder falschen medizinischen Abrechnungen führen kann.

Die PowerDMARC-Lösung

  • Gehostetes DMARC:
    Ermöglicht Krankenhäusern den Wechsel zu p=reject umstellen, ohne die Zustellung wichtiger automatischer Patientenbenachrichtigungen zu gefährden.
  • MTA-STS & TLS-RPT:
    Automatisiert die Verschlüsselung von E-Mails während der Übertragung, gewährleistet die Einhaltung des Datenschutzgesetzes und schützt PHI vor Abfangen.

2. Bankwesen und Finanzen: Bekämpfung von jährlichen Verlusten in Höhe von 1 Milliarde Dollar

Der Finanzsektor ist führend bei der Einführung von DNSSEC, um Website-Hijacking zu verhindern, hat jedoch weiterhin mit „passiven“ DMARC-Richtlinien , die betrügerische E-Mails nicht aktiv blockieren.

Bank- und Finanzkennzahlen

Metrisch Adoptionsrate Status
SPF Korrektheit 95.3% Hoch
DMARC-Durchsetzung (p=ablehnen) 51.6% Mäßig
Kein DMARC-Eintrag 4.7% Verletzlich
MTA-STS-Annahme 3.1% Niedrig
DNSSEC-Annahme 14.1% Führend (relativ)

Die Bedrohung

Da fast die Hälfte der Branche keine Durchsetzung vornimmt p=reject, können Betrüger E-Mails versenden, die die Domain einer Bank perfekt imitieren. Diese „Mule-Account“-Phishing-Angriffe verleiten Kunden dazu, Geld auf von Kriminellen kontrollierte Konten zu überweisen.

Die PowerDMARC-Lösung

  • SPF-Abflachung:
    Finanzinstitute nutzen häufig mehrere Drittanbieter (Marketing, CRM). PowerDMARC verhindert SPF-Fehler aufgrund zu vieler DNS-Lookups und stellt sicher, dass E-Mails immer authentifiziert werden.
  • KI-Bedrohungsinformationen:
    Erfasst die weltweiten Quellen, die E-Mails im Namen der Bank versenden, und identifiziert und blockiert nicht autorisierte IP-Adressen in Echtzeit.

3. Regierung: Der Maßstab für strenge Durchsetzung

Behörden digitalisieren Bürgerdienste schneller, als sie die Kommunikationskanäle sichern, über die diese bereitgestellt werden.

Regierungsmetriken

Metrisch Adoptionsrate Status
SPF Korrektheit 97.7% Ausgezeichnet
DMARC-Durchsetzung (p=ablehnen) 70.5% Stark
Kein DMARC-Eintrag 1.5% Sicher
MTA-STS-Annahme 18.2% Mäßig
DNSSEC-Annahme 6.1% Niedrig

Die Bedrohung

Trotz strenger DMARC-Durchsetzung ermöglicht die 81,8-prozentige Lücke in MTA-STS Angreifern, die E-Mail-Verschlüsselung auf Klartext herunterzustufen. Dadurch werden sensible Kommunikationen zwischen Bürgern und Behörden wie der ATO oder Centrelink offengelegt.

Die PowerDMARC-Lösung

  • Gehostetes MTA-STS & DNSSEC:
    Vereinfacht die komplexe Bereitstellung dieser Protokolle in verschiedenen Regierungsbehörden und steht im Einklang mit den     ASD Essential Eight .
  • Compliance-Berichterstattung:
    Bietet automatisierte Berichte für Auditoren, um nachzuweisen, dass E-Mail-Kanäle gemäß den Bundesstandards gesichert sind.
Demo buchen

4. Telekommunikation: Hohes Risiko für Teilnehmerdaten

Telekommunikationsunternehmen sind die Hüter der Identität, weisen jedoch derzeit die niedrigsten DMARC-Durchsetzungsraten unter den kritischen Sektoren auf, was SIM-Swapping und den Diebstahl von Zugangsdaten begünstigt.

Telekommunikationskennzahlen

Metrisch Adoptionsrate Status
SPF Korrektheit 84.3% Niedrig
DMARC-Durchsetzung (p=ablehnen) 24.1% Kritisches Risiko
Kein DMARC-Eintrag 12.0% Hohe Belichtung
MTA-STS-Annahme 1.2% vernachlässigbar
DNSSEC-Annahme 10.8% Mäßig

Die Bedrohung

Jedes achte Telekommunikationsunternehmen verfügt über keinen DMARC-Eintrag, was es Hackern leicht macht, gefälschte Rechnungsbenachrichtigungen zu versenden. Sobald ein Nutzer auf einen bösartigen Link klickt, werden seine Anmeldedaten gestohlen, was häufig zu SIM-Swaps führt, die die MFA für Bankkonten umgehen.

Die PowerDMARC-Lösung

  • Verwaltete DMARC-Dienste:
    Bietet einen stufenweisen Fahrplan, um Telekommunikationsunternehmen von     p=none zu p=rejectzu bringen und Millionen gefälschter E-Mails an der Quelle zu blockieren.
  • DMARC-Forensik-RUF-Berichte:
    Gibt Telekommunikationsunternehmen Einblick in die spezifischen Phishing-Kampagnen, die auf ihre Kunden abzielen.

5. Transport und Logistik: Schluss mit Rechnungsbetrug

Aufgrund des hohen Volumens an internationalen Abrechnungen ist der Transportsektor ein bevorzugtes Ziel für Business Email Compromise (BEC), hinkt jedoch bei der E-Mail-Authentifizierung deutlich hinterher.

Transport- und Logistikkennzahlen

Metrisch Adoptionsrate Status
SPF Korrektheit 90.2% Hoch
DMARC-Durchsetzung (p=ablehnen) 22.0% Kritisches Risiko
Kein DMARC-Eintrag 17.1% Hohe Belichtung
MTA-STS-Annahme 1.2% vernachlässigbar
DNSSEC-Annahme 4.9% Niedrig

Die Bedrohung

Erstaunliche 17,1 % der Domains verfügen über kein DMARC. Dies ermöglicht es Angreifern, sich als Logistikriesen (z. B. Qantas Freight oder Toll) auszugeben und gefälschte Rechnungen in die Lieferkette einzuschleusen, was zu Überweisungsbetrug in Millionenhöhe führt.

Die PowerDMARC-Lösung

  • Automatisiertes SPF-Management:
    Sichert komplexe Logistiknetzwerke, die auf externe Versanddienstleister angewiesen sind, und stellt sicher, dass alle legitimen E-Mails zugestellt werden, während Spoofing-Versender blockiert werden.
  • BIMI (Markenindikatoren zur Nachrichtenidentifizierung):
    Fügt das Firmenlogo zu authentifizierten E-Mails im Posteingang des Empfängers hinzu und stärkt so das Vertrauen zahlender Kunden.

6. Medien: Das Vertrauen im Informationszeitalter verteidigen

Der Mediensektor sieht sich einer einzigartigen Bedrohung gegenüber: der Instrumentalisierung seiner Domänen zur Verbreitung von Desinformation. Die Einführung von DMARC ist zwar recht weit fortgeschritten, doch das Fehlen einer Verschlüsselung stellt ein Risiko für den Quellenschutz dar.

Medienmetriken

Metrisch Adoptionsrate Status
SPF Korrektheit 91.2% Hoch
DMARC-Durchsetzung (p=ablehnen) 63.2% Stark
Kein DMARC-Eintrag 5.9% Mäßig
MTA-STS-Annahme 0% Nicht vorhanden
DNSSEC-Annahme 4.4% Niedrig
BIMI-Logo

Die Bedrohung

Die Nichtanwendung von MTA-STS bedeutet, dass die Kommunikation zwischen Journalisten und Quellen anfällig für staatlich geförderte Abhörmaßnahmen ist. Darüber hinaus können Domains ohne Durchsetzung dazu genutzt werden, gefälschte Pressemitteilungen zu versenden, die zu Schwankungen an den Aktienmärkten oder zu sozialer Panik führen können.

Die PowerDMARC-Lösung

  • Gehostetes MTA-STS:
    Sichert den „digitalen Fußabdruck“ des Journalisten, indem alle Kommunikationen verschlüsselt werden und Quellen vor neugierigen Blicken geschützt werden.
  • Dashboard für Unternehmen:
    Ermöglicht Medienkonzernen die Verwaltung von Hunderten von Subdomains und internationalen Nachrichtenredaktionen über eine einzige Oberfläche.
15-Tage-Test starten

7. Bildung: Schutz von geistigem Eigentum und Forschung

Australische Universitäten sind weltweit führend in der Forschung und damit Hotspots für den Diebstahl geistigen Eigentums (IP) durch ausgeklügelte Methoden zum Sammeln von Zugangsdaten.

Bildungsmetriken

Metrisch Adoptionsrate Status
SPF Korrektheit 91.4% Hoch
DMARC-Durchsetzung (p=ablehnen) 38.3% Mäßig
Kein DMARC-Eintrag 8.6% Mäßig
MTA-STS-Annahme 3.7% Niedrig
DNSSEC-Annahme 6.2% Niedrig

Die Bedrohung

Eine geringe Durchsetzung (38,3 %) ermöglicht es Angreifern, E-Mails zum Zurücksetzen von IT-Passwörtern zu fälschen. Wenn Forscher oder Studenten sich bei diesen gefälschten Portalen anmelden, werden ihre Anmeldedaten verwendet, um auf interne Datenbanken der Universität zuzugreifen und Geschäftsgeheimnisse oder Forschungsdaten zu stehlen.

Die PowerDMARC-Lösung

  • Domänenerkennung:
    Findet automatisch alle „Shadow-IT“-Domains, die von Studierenden oder Lehrkräften registriert wurden und möglicherweise keine Sicherheitskontrollen haben.
  • Managed Services:
    Entlastet die überlasteten IT-Abteilungen der Universitäten von der technischen Last der DMARC-Wartung.

Unter der Haube: Vier strukturelle Schwächen

Über branchenspezifische Risiken hinaus wird das australische E-Mail-Ökosystem durch vier systemische Schwachstellen behindert, die den jährliche Betrugssumme von 2 Milliarden Dollar.

1. Die „Compliance-Falle“ von p=none

Während 92,3 % der australischen Domains über DMARC verfügen, setzen nur 46,7 % eine strenge Richtlinie. Dies führt zu einer massiven Lücke, die nur überwacht wird, sodass Unternehmen zwar Bedrohungen erkennen, diese aber nicht stoppen können.

„Eine Richtlinie von p=none ist wie die Installation einer Überwachungskamera, bei der die Haustür jedoch unverschlossen bleibt. Man kann zwar beobachten, wie die Einbrecher eindringen, ist jedoch machtlos, sie daran zu hindern. Die Akzeptanzrate in Australien ist hoch, aber die Aufgabe ist erst zur Hälfte erledigt, bis die Richtlinie auf „Ablehnen” umgestellt wird.

Maitham Al Lawati, CEO, PowerDMARC

„Große australische Unternehmen verstoßen im Zuge ihres Wachstums häufig gegen ihre eigenen Sicherheitsvorschriften. Durch die Einführung eines neuen Marketing-Tools kann die Grenze von 10 Lookups, wodurch wichtige Rechnungen im Spam-Ordner landen. SPF Flattening ist kein Luxus mehr, sondern eine Voraussetzung für die Stabilität des Betriebs.“

Yunes Tarada, Service Delivery Manager, PowerDMARC

2. SPF-Komplexität und die 10-Lookup-Beschränkung

92,3 % der australischen Domains weisen einen korrekten SPF auf, aber große Unternehmen stoßen aufgrund umfangreicher Technologie-Stacks von Drittanbietern (CRMs, Zahlungsgateways) häufig an die „DNS-Lookup-Grenze”. Dies führt zu zufälligen Authentifizierungsfehlern, die die Zustellbarkeit beeinträchtigen.

3. MTA-STS: Der blinde Fleck der Verschlüsselung

Mit nur 5,8 % landesweiter Akzeptanzist Australien in Bezug auf Transportsicherheit nahezu blind. Dies ermöglicht „Downgrade-Angriffe“, bei denen Kriminelle Server dazu zwingen, die Verschlüsselung aufzuheben und sensible E-Mails im Klartext zu übertragen.

„Opportunistische Verschlüsselung (STARTTLS) reicht nicht aus. Ohne MTA-STS ist es für einen Angreifer ein Leichtes, die Sicherheit zu umgehen und die Unternehmenskommunikation während der Übertragung zu lesen. Dies ist ein primäres Risiko für alle Unternehmen, die den SOCI-Vorschriften unterliegen.“

Ayan Bhuiya, Schichtleiter für Betrieb und Lieferung, PowerDMARC

DNS-Hijacking kann das über Jahrzehnte aufgebaute Vertrauen in eine Marke innerhalb weniger Minuten zerstören. DNSSEC ist der Wächter der digitalen Identität und stellt sicher, dass Ihre Kunden mit dem echten Unternehmen in Verbindung treten und nicht mit einem kriminellen Klon. Es ist eine grundlegende Ebene des Marken-Reputationsmanagements.“

Ahona Rudra, Marketing Manager, PowerDMARC

4. DNSSEC: Das schwache Fundament

Die Einführung von DNSSEC liegt bei mageren 6,8 %. Ohne diese ist das Verzeichnissystem des Internets ungeschützt, sodass Angreifer ganze Domain-Flows kapern und auf betrügerische Server umleiten können.

Kontakt

Globales Benchmarking: Australien im Kontext

Während Australien eine hohe grundlegende Compliance aufweist, erzählen die Durchsetzungsraten im Vergleich zu anderen Ländern weltweit eine andere Geschichte. Australien rangiert als „passiver Vorreiter“ mit hoher Sichtbarkeit, hinkt jedoch bei der aktiven Verteidigung hinterher.

Die globale Rangliste: Daten für 2025

LandSPF RichtigDMARC-AnnahmeDMARC-Durchsetzung (p=ablehnen)MTA-STS (Verschlüsselung)
Australien 🇦🇺92.3%92.3%46.7%5.8%
Schweden 🇸🇪85.0%77.9%29.9%2.9%
Japan 🇯🇵95.0%74.6%9.2%0.5%
Norwegen 🇳🇴85.2%83.1%29.0%2.8%
Peru 🇵🇪86.1%66.0%17.9%0.6%
Nigeria 🇳🇬70.3%45.9%14.2%0.0%

Kritische Einblicke aus Australien

1. Der australische Vorteil

Australien weist eine deutlich höhere DMARC-Akzeptanz und -Durchsetzungsrate auf als Japan und viele europäische Länder, was wahrscheinlich auf die aggressive Förderung der ASD Essential Eight.

2. Das Paradox der Sichtbarkeit

Trotz einer DMARC-Akzeptanz von 92,3 % haben 53 % der Domains nicht p=reject sind nach wie vor weit offen für Identitätsdiebstahl.

3. Die Verschlüsselungskrise

Auch wenn Australien bei MTA-STS vor Japan liegt, ist eine Quote von 5,8 % immer noch eine „offene Tür” für Abhörmaßnahmen und liegt deutlich hinter den Sicherheitsanforderungen moderner digitaler Volkswirtschaften zurück.

PowerDMARC-Perspektive

„Australien hat eine technische Grundlage geschaffen, die einen Großteil der Welt übertrifft, doch die „Enforcement Gap“ bleibt eine Schwachstelle, die Schäden in Milliardenhöhe verursacht. Für 2026 ist es dringend erforderlich, von passiver Sichtbarkeit zu aktiver Verteidigung überzugehen. Durch die Umwandlung einer hohen DMARC-Akzeptanz in eine strenge „p=reject“-Durchsetzung und die Schließung der MTA-STS-Verschlüsselungslücke können australische Organisationen ihre E-Mail-Domains von anfälligen Zielen in gehärtete, vertrauenswürdige Kommunikationskanäle verwandeln, die mit der nationalen Cybersicherheitsstrategie im Einklang stehen.“

Fazit: Von Kennzahlen zu Maßnahmen

Die Daten für 2025 bestätigen, dass Australien zwar das Fundament (SPF) gelegt hat, aber noch nicht die Wände (DMARC-Durchsetzung) oder das Dach (MTA-STS) fertiggestellt hat. Um sich von einem „passiven Vorreiter“ zu einem „aktiven Verteidiger“ zu entwickeln, müssen Organisationen:

Automatisieren Sie die Reise: Verwenden Sie Hosted DMARC , um von p=none zu p=reject zu wechseln, ohne die Geschäftsabläufe zu unterbrechen.

Schließen Sie die Interception-Lücke: Implementieren Sie Hosted MTA-STS, um sicherzustellen, dass die gesamte Kommunikation mit Bürgern und Partnern verschlüsselt ist.

SPF glätten: Verhindern Sie DNS-Lookup-Fehler, um eine 100-prozentige E-Mail-Zustellbarkeit sicherzustellen. Hosted SPF können dabei helfen, die korrekte SPF-Einrichtung sicherzustellen.

Demo buchen Kontaktieren Sie uns

Verwandeln Sie Sichtbarkeit noch heute in Verteidigung

Die hohen Akzeptanzraten in Australien zeigen, dass Unternehmen die Gefahr erkennen; sie brauchen nur den richtigen Partner, um den Schalter umzulegen. Lassen Sie Ihre Domain nicht länger ein „Papiertiger“ sein, der Angriffe beobachtet, ohne sie zu stoppen. Wechseln Sie von passiver Überwachung zu aktivem Schutz, bevor es zum nächsten großen Sicherheitsverstoß kommt.

Kontaktieren Sie uns bei PowerDMARC, um Ihren Weg zur Durchsetzung zu beginnen.

15-Tage-TestDemo buchen