Bericht über die Einführung von DMARC und MTA-STS in Deutschland 2025

In Deutschland belaufen sich die durchschnittlichen Kosten für jeden Cyberangriff auf 16.000 Euro. Das ist zwar weniger als in den Vorjahren, aber immer noch ein enormer Betrag, den die Unternehmen aufbringen müssen. Infolgedessen müssten 2024 fast 38 % der Unternehmen in Deutschland rund 10-20% ihres IT-Budgets für die IT-Sicherheit aufwenden.

Die deutsche Regierung bezeichnet den Banken-, Gesundheits- und Verkehrssektor offiziell als "kritische Infrastrukturen", die für die nationale Stabilität unerlässlich sind. Unsere Analyse aus dem Jahr 2025 zeigt jedoch, dass genau diese Sektoren in gefährlicher Weise ungeschützt gegen raffinierten E-Mail-Betrug und Spionage sind.

Dieser PowerDMARC-Bericht analysiert über 600 Domänen in sieben Schlüsselsektoren und enthüllt eine Landschaft, in der die grundlegende Authentifizierung stark ist, aber die Durchsetzung und Verschlüsselung gefährlich unterentwickelt bleiben.

Berichtsanforderung - DMARC-Einführung in Deutschland

"*" kennzeichnet Pflichtfelder

Dieses Feld dient der Validierung und sollte unverändert bleiben.
Name*

Deutschlands E-Mail-Sicherheitslage: Metriken für 2025

Deutschland verfügt über ein solides SPF-Fundament, aber die kritischen Ebenen der DMARC-Durchsetzung und der MTA-STS-Einführung hinken weit hinterher, was das Land anfällig für raffinierte E-Mail-Angriffe macht.

DMARC-Deutschland
BIMI-Logo
MetrischAdoptionsrateWichtigste Erkenntnis
SPF Korrektheit96.8%Eine sehr starke Basis für die E-Mail-Authentifizierung.
DMARC-Präsenz67.2%Ein guter Anfang, aber es bleibt eine große Lücke.
Kein DMARC-Eintrag32.3%Fast 1 von 3 Unternehmen ist sehr anfällig für Nachahmungen.
DMARC-Durchsetzung (p=ablehnen)17.5%KRITISCH: Die große Mehrheit blockiert nicht aktiv den Betrug.
MTA-STS-Annahme2.6%KRITISCH: Der E-Mail-Verkehr wird fast durchgängig unverschlüsselt übertragen.
DNSSEC-Annahme13.0%Eine weit verbreitete Schwachstelle für DNS-Hijacking.

Die Quintessenz:

In Deutschland hat mehr als 1 von 3 Organisationen keinerlei DMARC-Richtlinie. Von denjenigen, die eine Richtlinie haben, nutzen mehr als 80 % sie nicht zur Durchsetzung. Dies bedeutet ein ernstes, unmittelbares Risiko von finanziellen Verlusten, Datenschutzverletzungen und einer katastrophalen Erosion des öffentlichen Vertrauens.

15-Tage-Test starten

Aufschlüsselung nach Sektoren: Risiken und Chancen aufdecken

Bankensektor: Führend, aber immer noch gefährdet

Der deutsche Bankensektor ist Vorreiter in Sachen E-Mail-Sicherheit, doch in einem Sektor, in dem Vertrauen von größter Bedeutung ist, gibt es immer noch kritische Lücken.

Metrik Bankensektor Adoptionsrate
SPF Korrektheit 93.2%
DMARC-Durchsetzung (p=ablehnen) 39.0%
Kein DMARC-Eintrag 6.7%
MTA-STS-Annahme 0%
DNSSEC-Annahme 3.4%
Bankensektor-(DMARC)

Risikoanalyse:

Trotz der führenden Rolle bei der DMARC-Durchsetzung ist die 0%ige Annahme von MTA-STS und DNSSEC eine große Schwachstelle dar. Sensible Finanzkommunikation ist dem Abfangen und DNS-Hijacking ausgesetzt, was ein Schlupfloch für raffinierte Phishing-Angriffe schafft, die sich als vertrauenswürdige Banken ausgeben können.

Beispiel:

Ein vermögender Kunde schickt seiner Bank eine E-Mail über eine große Überweisung. Ein Angreifer fängt diese unverschlüsselte E-Mail ab, ändert in einer Antwort die Daten der Empfängerbank und stiehlt das Geld.

Staatlicher Sektor: Starke Grundlagen, große Durchsetzungslücken

Die staatlichen Stellen verpflichten sich zwar zu einer grundlegenden Authentifizierung, aber die Durchsetzung ist alarmierend schwach.

Sektor Staat Metrik Adoptionsrate
SPF Korrektheit 98.3%
DMARC-Durchsetzung (p=ablehnen) 12.5%
Kein DMARC-Eintrag 42.7%
MTA-STS-Annahme 1.7%
DNSSEC-Annahme 20.7%
Regierung-Sektor-(SPF)

Risikoanalyse:

Mit Über 40 % der Regierungsdomänen verfügen nicht über DMARC fehlen und nur 12,5 % es durchsetzen, ist es erschreckend einfach, sich als Regierungsbehörden auszugeben. Dies ermöglicht eine breite Palette von Steuerbetrügereien, Social-Engineering-Kampagnen und Desinformationsangriffen gegen Bürger.

Beispiel:

Bürger erhalten eine betrügerische E-Mail von einer gefälschten Finanzamtsdomäne (z.B., [email protected]), in der die sofortige Zahlung einer "versäumten Steuer" gefordert wird, um rechtliche Schritte zu vermeiden.

Gesundheitssektor: Das Vertrauen der Patienten steht auf der Kippe

Die E-Mail-Sicherheitsvorkehrungen im Gesundheitswesen sind unzureichend, was zu inakzeptablen Risiken für Patientendaten und Vertrauen führt.

Metrik für das Gesundheitswesen Adoptionsrate
SPF Korrektheit 97.7%
DMARC-Durchsetzung (p=ablehnen) 9.3%
Kein DMARC-Eintrag 53.4%
MTA-STS-Annahme 2.3%
DNSSEC-Annahme 7.0%
Gesundheitswesen - MTA-STS

Risikoanalyse:

Dies ist ein Krisenpunkt. Über die Hälfte der Domänen im Gesundheitswesen haben kein DMARCund weniger als 10 % setzen es durch. Dadurch sind Patienten Phishing-Kampagnen ausgesetzt, die sensible Gesundheitsdaten stehlen, Versicherungsbetrug begehen und den Ruf vertrauenswürdiger Gesundheitsdienstleister schädigen können.

Beispiel:

Die Patienten erhalten eine gefälschte E-Mail mit dem Betreff "Testergebnisse liegen vor" von einer gefälschten Domäne ihres Krankenhauses (z. B., [email protected]). Über den Link werden die Anmeldedaten für das Patientenportal gestohlen, wodurch ihre sensiblen persönlichen Gesundheitsdaten gefährdet werden.

Demo buchen

Der Mediensektor: Die Frontlinie gegen Desinformation

Medien sind ein Hauptangriffsziel für Imitationen und Desinformationen, doch ihre Abwehrmechanismen sind nicht robust genug.

Metrik des Mediensektors Adoptionsrate
SPF Korrektheit 91.0%
DMARC-Durchsetzung (p=ablehnen) 17.9%
Kein DMARC-Eintrag 17.9%
MTA-STS-Annahme 0%
DNSSEC-Annahme 11.5%

Risikoanalyse:

Mit weniger als 18 % der Medienunternehmen, die DMARC durchsetzen, und keine MTA-STS-Annahmehaben böswillige Akteure einen fruchtbaren Boden, um Fake News zu verbreiten, Phishing-Kampagnen gegen Journalisten durchzuführen und sich als vertrauenswürdige Nachrichtenmarken auszugeben, um die Öffentlichkeit zu betrügen.

Beispiel:

Ein Journalist erhält eine gefälschte E-Mail von einer "vertraulichen Quelle" (oder sogar von seinem Redakteur) mit einem "streng geheimen" Dokument, bei dem es sich in Wirklichkeit um Spionagesoftware handelt, die die gesamte Redaktion gefährden soll.

Verkehrssektor: Anfällig für Betrug und Unterbrechungen

Transport- und Logistikunternehmen sind aufgrund ihrer komplexen Lieferketten sehr anfällig für Rechnungsbetrug und Kundenbetrug.

Verkehrssektor Metrik Adoptionsrate
SPF Korrektheit 96.1%
DMARC-Durchsetzung (p=ablehnen) 18.2%
Kein DMARC-Eintrag 33.7%
MTA-STS-Annahme 5.2%
DNSSEC-Annahme 10.4%
Verkehr-Branche-DMARC

Risikoanalyse:

In mehr als einem Drittel der Transportdomänen fehlt DMARC, und nur 18,2 % setzen es durch. Dies schafft ein hohes Risiko für Rechnungs- und Zahlungsumleitungsbetrug, der Millionen kosten und den Betrieb empfindlich stören kann.

Beispiel:

Ein Angreifer gibt sich als Hafenbehörde aus und sendet eine betrügerische Rechnung mit dem Titel "Aktualisierte Liegeplatzgebühren" an eine Reederei, wodurch eine Zahlung in sechsstelliger Höhe fehlgeleitet wird.

Bildungssektor: Ein Hauptziel für Zeugnisdiebstahl

Universitäten und Bildungseinrichtungen sind ein bevorzugtes Ziel von Cyberangriffen, doch ihre Schutzmaßnahmen gehören zu den schwächsten.

Metrik für den Bildungssektor Adoptionsrate
SPF Korrektheit 98.8%
DMARC-Durchsetzung (p=ablehnen) 8.2%
Kein DMARC-Eintrag 31.8%
MTA-STS-Annahme 3.5%
DNSSEC-Annahme 8.2%
BIMI-Logo

Risikoanalyse:

Mit weniger als 10% Durchsetzungsind die Bereiche des Bildungswesens weit offen. Das macht sie besonders anfällig für Kampagnen zum Abfangen von Zugangsdaten, die auf Studenten und Lehrkräfte abzielen und zum Diebstahl wertvoller Forschungs- und personenbezogener Daten führen.

Beispiel:

Angreifer nutzen diese gestohlenen Zugangsdaten, um auf wertvolle, unveröffentlichte akademische Forschungsergebnisse zuzugreifen und sie zu stehlen, die dann an Konkurrenten oder ausländische Unternehmen verkauft werden.

15-Tage-Test starten

Telekommunikationssektor: Schutz von Kunden und Kerndiensten

Als kritische Infrastruktur sind Telekommunikationsanbieter ein wertvolles Ziel, aber ihre E-Mail-Sicherheitsvorkehrungen können noch erheblich verbessert werden.

Metrik für den Telekommunikationssektor Adoptionsrate
SPF Korrektheit 98.7%
DMARC-Durchsetzung (p=ablehnen) 30.4%
Kein DMARC-Eintrag 21.5%
MTA-STS-Annahme 6.3%
DNSSEC-Annahme 8.9%

Risikoanalyse:

Die Durchsetzung ist zwar besser als der Durchschnitt, über 20 % der Telekommunikationsanbieter haben immer noch kein DMARC. Dadurch sind Millionen von Abonnenten ausgeklügelten Betrügereien ausgesetzt (z. B. gefälschte Rechnungen, Kontoaktualisierungsanfragen), die sich als ihr vertrauenswürdiger Anbieter ausgeben.

Beispiel:

Ein Kunde erhält eine gefälschte E-Mail "SIM-Update erforderlich" von seinem Anbieter. Dadurch werden sie dazu verleitet, Informationen preiszugeben, die es dem Angreifer ermöglichen, einen SIM-Swap-Angriff durchzuführen und die Telefonnummer zu übernehmen, um die 2-Faktor-Authentifizierung für ihre Bankkonten zu umgehen.

Benchmarking: Wo steht Deutschland?

Deutschland ist führend bei der Einführung von SPF, bleibt aber in den beiden wichtigsten Bereichen hinter seinen europäischen Konkurrenten zurück: DMARC-Durchsetzung und DNSSEC-Anwendung.

LandSPF KorrektheitDMARC-Durchsetzung (p=ablehnen)MTA-STS-AnnahmeDNSSEC-Annahme
Deutschland
Deutschland		96.8%17.5%2.6%13.0%

Belgien		90.1%24.7%2.1%21.4%

Niederlande		70.0%23.2%0.9%37.7%

Schweden		85.0%29.7%2.9%25.9%

Norwegen		85.2%29.0%4.4%45.6%

Italien		91.0%16.7%1.0%3.5%

1. Der falsche Schutzschild von partiellem DMARC

Viele deutsche Organisationen haben eine DMARC Datensatz eingestellt auf p=none gesetzt (nur Überwachung). Dies ist zwar ein wichtiger erster Schritt zur Transparenz, bietet aber null Schutz. Angreifer wissen das und zielen aktiv auf Domänen ab, die noch nicht auf p=Quarantäne oder p=zurückweisen. A p=keine Richtlinie ist eine offene Tür für Angreifer.

2. Die Fragilität von SPF

Hinter der hohen Akzeptanz von SPF verbirgt sich eine grundlegende Komplexität. SPF-Datensätze sind begrenzt auf 10 DNS-Abfragen. Da Unternehmen immer mehr Dienste von Drittanbietern nutzen (z. B. Marketing, HR, Zahlungsplattformen), wird diese Grenze leicht überschritten. Dieser "Permerror" führt dazu, dass der SPF-Eintrag nicht validiert wird und die Domäne trotz SPF-Eintrag ungeschützt bleibt.

3. MTA-STS: Der unsichtbare Schutzschild

Mit nur 2,6% Annahme, MTA-STS der größte blinde Fleck Deutschlands. Wenn SPF und DMARC die Passkontrolle für eine E-Mail sind, ist MTA-STS das gepanzerte Fahrzeug, das sie während des Transports schützt. Ohne MTA-STS werden E-Mails im Klartext versendet, was es Angreifern ermöglicht, die Kommunikation zwischen Mailservern abzufangen, zu lesen und zu verändern (ein "Man-in-the-Middle"-Angriff).

4. DNSSEC: Die vergessene Stiftung

Die geringe Verbreitung von DNSSEC (13 %) ist ein grundlegender Schwachpunkt. DNS ist das Telefonbuch des Internets. Ohne DNSSECkönnen Angreifer DNS-Hijacking und "Cache Poisoning"-Angriffe durchführen, bei denen sie dieses Telefonbuch beschädigen, um Benutzer von einer legitimen, sicheren Domäne auf eine bösartige, identisch aussehende Domäne umzuleiten und Zugangsdaten oder Daten zu stehlen.

Schlussfolgerung: Vom Bewußtsein zum Handeln

Deutschland steht an einem kritischen Wendepunkt. Das weit verbreitete Bewusstsein für DMARC und die starke Einführung von SPF bieten eine hervorragende Ausgangsbasis. Dennoch, Bewusstsein ist kein Schutz.

Der Weg muss nun entschlossen von der Überwachung zur Durchsetzung und von der Authentifizierung zur Verschlüsselung. Die Risiken der Untätigkeit liegen auf der Hand: finanzielle Verluste durch die Kompromittierung von Geschäfts-E-Mails, Untergrabung des Kundenvertrauens durch Phishing, Betriebsunterbrechungen durch Ransomware und Nichteinhaltung von Datenschutzbestimmungen. Die nächsten wichtigen Schritte zur Sicherung des E-Mail-Vertrauensnetzes in Deutschland sind der flächendeckende Einsatz von MTA-STS und eine erneute Konzentration auf DNSSEC.

PowerDMARC ist die beste DMARC-Lösung in Deutschland

PowerDMARC bietet eine vollständig integrierte Plattform, mit der deutsche Unternehmen die Lücke zwischen Sensibilisierung und echter E-Mail-Resilienz schließen können. Wir bieten den schnellsten und zuverlässigsten Weg zur DMARC-Durchsetzung, MTA-STS-Einführung und DNSSEC-Validierung. Unsere verwalteten Lösungen beseitigen die Komplexität, liefern Echtzeit-Bedrohungsdaten und sichern Ihre E-Mail-Kanäle von Anfang bis Ende.

Warten Sie nicht auf einen Angriff, um die Notwendigkeit einer Durchsetzung zu beweisen. Wenden Sie sich an [email protected] oder buchen Sie noch heute ein persönliches Gespräch mit unseren Experten, um die E-Mail-Sicherheit in Ihrem Unternehmen zu verbessern.

15-Tage-TestDemo buchen