Bericht zur E-Mail-Sicherheit im deutschen Einzelhandel und E-Commerce 2026

Eine umfassende Analyse der E-Mail-Authentifizierung bei 228 deutschen Einzelhandelsdomains zeigt, dass die Branche zwar die Grundlagen beherrscht, ihre Abwehrmechanismen jedoch noch nicht aufgebaut hat.

Deutschland ist derzeit weltweit das am zweithäufigsten von Phishing-Angriffen betroffene Land; auf das Land entfallen 14 % der weltweiten Angriffe. Der Einzelhandel sieht sich mit einem beispiellosen Anstieg von KI-gestützter Markenimitation und „Quishing“ konfrontiert, wobei Cyberkriminalität die deutsche Wirtschaft im Jahr 2025. Phishing dient als Einstiegspunkt für über 90 % aller erfolgreichen Angriffe und zielt auf hochwertige Kundendaten und Lieferketten ab. Die Implementierung einer „Reject“-Richtlinie ist die wichtigste Verteidigungsmaßnahme, um diese digitalen Berührungspunkte zu sichern und das Vertrauen der Verbraucher zu wahren. Der Einsatz von PowerDMARC stellt sicher, dass diese Schwachstellen geschlossen werden, bevor es zu einer Sicherheitsverletzung kommt (PowerDMARC).

Anfrage nach einem Bericht – E-Mail-Sicherheit im deutschen Einzelhandel und E-Commerce

"*" kennzeichnet Pflichtfelder

Dieses Feld dient der Validierung und sollte unverändert bleiben.
Name*

Unternehmen und Regierungen auf der ganzen Welt vertrauen uns

Coca-Cola
Rutgers-Universität
Tunstall
Toshiba
Merck-Gruppe
Talpa-Netz
Cloud-Security-Allianz
OLX-Gruppe
Virgin-Australien
Öl- und Gas-Behörde
Australian-National-University
Tal-Verkehrsbehörde
96.1%
SPF-Annahme
An der Spitze unter den globalen Einzelhandelsunternehmen
26.3%
P=Durchsetzung ablehnen
Nur jede vierte Domain blockiert aktiv
3.1%
VERWENDUNG VON MTA-STS
96,9 % sind Angriffen durch Herabstufung ausgesetzt

ZUSAMMENFASSUNG

Übersicht über E-Mail-Sicherheit im deutschen Einzelhandel

Der deutsche Einzelhandel steht an einem entscheidenden Wendepunkt. Die technischen Grundlagen sind wirklich erstklassig; die Umsetzung fehlt jedoch gefährlich.

PowerDMARC hat die E-Mail-Authentifizierungssituation bei 228 deutschen Einzelhandels- und E-Commerce-Domains analysiert. Die Ergebnisse zeigen, dass die Branche mit 96,1 % weltweit führend bei der SPF-Einhaltung ist, bei der aktiven Abwehr von Bedrohungen jedoch hinter ihren globalen Mitbewerbern zurückbleibt. Da nur 26,3 % der Domains DMARC p=reject erreichen und 96,9 % keine MTA-STS-Transportverschlüsselung nutzen, ist der deutsche Einzelhandelssektor ein „passiver Vorreiter“: erstklassige grundlegende Akzeptanz gepaart mit einem kritischen Versagen bei der Durchsetzung. Vor dem Hintergrund eines jährlichen Anstiegs von KI-gesteuerten Phishing-Angriffen, die speziell auf den .de-Namensraum abzielen, hat die Kluft zwischen Überwachung und Blockierung noch nie höhere Kosten verursacht.

Wichtigste Erkenntnis: Fast 47,4 % der deutschen E-Commerce-Domains – also diejenigen mit dem Wert „p=none“ (32,5 %) sowie diejenigen ohne DMARC-Eintrag (14,9 %)– bieten keinerlei aktiven Schutz vor Spoofing und Markenmissbrauch.

BEDROHUNGSLAGE

Die sich verschärfende Sicherheitskrise im deutschen Einzelhandel

In den Jahren 2025–2026 entwickelte sich der deutsche Einzelhandel zu einem Hauptschauplatz für KI-gestützte Business-E-Mail-Betrugsangriffe. Drei Bedrohungsmuster prägen dabei das Angriffsspektrum.

Durch KI gestützte Markenimitation

Mithilfe von KI-Automatisierung können Angreifer pixelgenaue Benachrichtigungen in deutscher Sprache, Versandbenachrichtigungen von DHL/UPS sowie Rechnungskorrekturen erstellen, die im industriellen Maßstab die Websites großer Einzelhändler imitieren.

Der Trend zum „Ghost Shipping“

Cyberkriminelle fälschen zunehmend Domains von Einzelhändlern, um wertvolle Lieferkettenlogistik abzufangen. Betrügerische E-Mail-Anweisungen leiten Sendungen um, indem sie die Vertrauenswürdigkeit der Absender ausnutzen.

Verschärfung der regulatorischen Anforderungen (BSI & NIS2)

Da die NIS2-Vorschriften EU-weit in Kraft getreten sind, sehen sich deutsche Einzelhandelsunternehmen einem zunehmenden rechtlichen Druck ausgesetzt, von der passiven Überwachung zur aktiven Durchsetzung von E-Mail-Sicherheitsprotokollen überzugehen.

Angriffe zielen auf den .de-Namensraum ab

Die Phishing-Vorfälle in den Jahren 2025–2026 zeigen, dass die direkte Nachahmung von .de-Domains zunimmt, was belegt, dass deutsche Einzelhandelsmarken Hauptziele für raffinierte Fälschungsversuche sind.

BRANCHENLAGE

Einführung der E-Mail-Authentifizierung bei 228 deutschen Einzelhandels-Domains

Die Gesamtsituation aller analysierten Unternehmen zusammenfassen, um ein klares Bild davon zu vermitteln, wo die Branche steht und wo sie Defizite aufweist.

E-Mail-Sicherheits-Dashboard
SPF Richtig 96.1%
96.1%
DMARC p=ablehnen 26.3%
26.3%
DMARC p=quarantäne 25.9%
25.9%
DMARC p=none (nur Überwachung) 32.5%
32.5%
MTA-STS gültig 3.1%
3.1%
DNSSEC aktiviert 3.5%
3.5%
i
Gesamtbetroffenheit: Die 32,5 % bei p=none plus 14,9 % ohne Datensatz bedeuten, dass 47,4 % der deutschen E-Commerce-Domains derzeit keinerlei aktiven Schutz vor Spoofing bieten.
Verteilung der DMARC-Richtlinie
26.3%
25.9%
32.5%
14.9%
0.4%
p=ablehnen 26.3%
p=Quarantäne 25.9%
p=kein 32.5%
Keine Einträge 14.9%
Falsch 0.4%
15-Tage-Test starten

Ursachenanalyse

Lücken bei der E-Mail-Authentifizierung im deutschen E-Commerce

Abgesehen von den Schlagzeilenzahlen lassen sich vier konkrete Fehlerquellen ausmachen, die erklären, warum sich Deutschlands technisch hervorragende Grundlagen nicht in einen tatsächlichen Schutz niederschlagen.

SCHWACHSTELLE 01

47.4%

Ungeschützt

Die „Compliance-Falle“ bei p=none

32,5 % der Domains sind im reinen Überwachungsmodus gesperrt und beobachten Angriffe, anstatt sie zu blockieren. Da zudem 14,9 % überhaupt keinen DMARC-Eintrag haben, verfügt fast die Hälfte der Branche über keine aktive Verteidigung. Ein DMARC-Eintrag mit dem Wert „p=none“ sorgt zwar für Transparenz, nicht jedoch für Sicherheit.

Expertenwissen:

„Der deutsche Einzelhandel hat bei der Einführung von DMARC-Einträgen beeindruckende Fortschritte gemacht, doch die Einführung allein bietet noch keinen Schutz. Eine Domain mit der Einstellung „p=none“ ist ein passiver Beobachter; sie sammelt Daten über Angriffe, unternimmt aber nichts, um diese zu stoppen. Jeder Tag, an dem nur überwacht wird, ist ein weiterer Tag, an dem Kriminelle sich ungehindert als Ihre Marke ausgeben können. Der Übergang zur Durchsetzung stellt kein technisches Risiko dar; mit der richtigen Plattform ist es ein kontrollierter, messbarer Prozess.“

Maitham Al Lawati, Geschäftsführer, PowerDMARC

POWERDMARC-LÖSUNG

Geführter Durchsetzungsprozess: Sichere Eskalation von p=none → p=quarantine → p=reject, ohne den legitimen E-Mail-Verkehr zu stören

Intuitiv DMARC-Berichtsanalysator wandelt rohes XML in übersichtliche Dashboards um und beseitigt so die Sichtbarkeitsbarriere, die Unternehmen bisher daran hinderte, den Überblick zu behalten

PowerAlerts benachrichtigen Sicherheitsteams in Echtzeit über Spoofing-Versuche und schaffen so die operative Dringlichkeit, Maßnahmen durchzusetzen

Expertenwissen:

„Deutsche Einzelhändler betreiben einige der komplexesten Marketing- und Logistik-Systeme in Europa, und diese Komplexität stellt eine direkte Bedrohung für die Integrität ihrer SPF-Einträge dar. Jedes neue SaaS-Tool, das dem Versand-Ökosystem hinzugefügt wird, ist ein weiterer Schritt in Richtung der Obergrenze von 10 Lookups. Ohne proaktives SPF-Management kann ein Einzelhändler in die absurde Situation geraten, dass seine eigenen legitimen Transaktions-E-Mails zurückgewiesen werden, während Angreifer, die diese E-Mails fälschen, ungehindert durchkommen.“

Yunes Tarada, Leiter der Dienstleistungsabteilung, PowerDMARC

SCHWACHSTELLE 02

3.9%

SPF falsch

Die Komplexität von SPF und die Beschränkung auf 10 Lookups

Da Einzelhändler moderne Cloud-Lösungen wie Klaviyo, SAP Emarsys, Salesforce Commerce Cloud und Zahlungsgateways einsetzen, überschreiten sie häufig das in RFC 7208 festgelegte Limit von 10 DNS-Abfragen. Die Folge: Legitime Bestellbestätigungen und Versandbenachrichtigungen scheitern bei der Authentifizierung, landen im Spam-Ordner oder werden im ungünstigsten Moment der Customer Journey gänzlich abgelehnt.

POWERDMARC-LÖSUNG

Gleicht automatisch ab und optimiert SPF-Einträgeund hält die Anzahl der DNS-Lookups stets innerhalb der Grenzen von RFC 7208

Dynamische SPF-Aktualisierungen sorgen dafür, dass neu hinzugefügte Cloud-Dienste sofort berücksichtigt werden, ohne dass manuelle DNS-Änderungen oder Ausfallzeiten erforderlich sind

Echtzeit-Benachrichtigungen informieren die Teams, sobald ein SPF-Eintrag die Schwellenwerte für die Abfrage erreicht, und ermöglichen so proaktive Abhilfemaßnahmen

SCHWACHSTELLE 03

96.9%

Kein MTA-STS-Eintrag

MTA-STS: Die Schwachstelle bei der Verschlüsselung

Da bei 96,9 % der Domains MTA-STS fehlt, ist der deutsche Einzelhandel in hohem Maße anfällig für SMTP-Downgrade-Angriffe, bei denen ein Angreifer einen Mailserver dazu zwingt, TLS aufzugeben und Daten im unverschlüsselten Klartext zu übertragen. Das Standard-STARTTLS ist opportunistisch und lässt sich vollständig umgehen. Ohne MTA-STS gibt es keinen Mechanismus, der verhindert, dass dies unbemerkt geschieht, wodurch personenbezogene Daten von Kunden und Transaktionsdaten während der Übertragung ungeschützt bleiben.

Expertenwissen:

„Opportunistische Verschlüsselung vermittelt ein falsches Gefühl der Sicherheit; sie ist wie ein Handschlag, den ein Angreifer einfach in Ihrem Namen ablehnen kann. Ohne MTA-STS, das eine strenge TLS-Richtlinie durchsetzt, kann jeder Angreifer, der sich im Netzwerk befindet, die Verschlüsselung bei der E-Mail-Zustellung unbemerkt aufheben. Für deutsche Einzelhändler, die Bestelldaten und Kundenzugangsdaten verarbeiten, ist dies kein abstraktes Risiko. Es handelt sich um ein akutes DSGVO-Risiko, von dem die meisten Unternehmen gar nicht wissen, dass sie es haben.“

Ayan Bhuiya, Schichtleiter für Betrieb und Lieferung, PowerDMARC

POWERDMARC-LÖSUNG

Hosted MTA-STS Richtlinienbereitstellung in wenigen Minuten, keine Serverinfrastruktur erforderlich, kein technischer Aufwand

Leitet den gesamten eingehenden E-Mail-Verkehr über Kanäle mit erzwungenem TLS 1.2+ um und eliminiert so Angriffsvektoren durch SMTP-Downgrade vollständig

PowerTLS-RPT bietet Echtzeit-Berichte zu Fehlern bei MTA-STS-Richtlinien und versuchten Abhörversuchen

Expertenwissen:

„DNSSEC ist die Sicherheitsschicht, die alles andere vertrauenswürdig macht. SPF-, DKIM- und DMARC-Einträge sind nur so zuverlässig wie die DNS-Infrastruktur, über die sie bereitgestellt werden. Ohne DNSSEC muss ein Angreifer Ihre Authentifizierung nicht knacken; er leitet sie einfach um. In einer Branche, in der das Vertrauen in die Marke ein zentraler Umsatztreiber ist, kommt das Unschutzlassen des DNS dem Einbau einer Tresortür bei gleichzeitig offenem Boden gleich.“

Ahona Rudra, Marketing Manager, PowerDMARC

SCHWÄCHE 04

96.5%

DNSSEC Deaktiviert

DNSSEC: Die Lücke in den Grundlagen

Nur 3,5 % der untersuchten deutschen E-Commerce-Domains haben DNSSEC aktiviert. Ohne kryptografische DNS-Validierung können Angreifer DNS-Cache-Poisoning- und Hijacking-Angriffe durchführen, die Nutzer auf betrügerische Websites umleiten, den gesamten E-Mail-Verkehr auf DNS-Ebene abfangen oder sich als beliebige Domain ausgeben – und dabei alle anderen Authentifizierungsebenen, die sorgfältig darüber eingerichtet wurden, vollständig umgehen.

POWERDMARC-LÖSUNG

Der Domain Analyzer von PowerDMARC zeigt den DNSSEC-Status Status aller überwachten Domains an und bietet so sofortigen Einblick in Lücken in der DNS-Integrität

Praktische Anleitungen zur Fehlerbehebung helfen Unternehmen dabei, gemeinsam mit DNS-Anbietern die DNSSEC-Signierung zu aktivieren, ohne die Auflösung zu beeinträchtigen

Durch die kontinuierliche Überwachung werden Teams benachrichtigt, wenn DNSSEC-Signaturen ablaufen oder DNS-Einträge auf Zonenebene manipuliert werden

Kontakt

GLOBALES BENCHMARKING

WICHTIGSTE ERGEBNISSE

Was uns die Daten verraten

Vier zentrale Erkenntnisse, die die E-Mail-Sicherheitslage im deutschen Einzelhandel im Jahr 2026 prägen.

Elite SPF-Disziplin

Deutschland erreicht eine SPF-Korrektheit von 96,1 %. Die DNS-Verwaltungspraktiken Deutschlands setzen weltweit Maßstäbe für die grundlegende E-Mail-Authentifizierung.

Mangelnde Durchsetzung

Nur jeder vierte deutsche Händler blockiert gefälschte E-Mails aktiv über DMARC p=reject. Ein erstklassiger SPF-Mindeststandard reicht nicht aus, solange die Durchsetzung von DMARC freiwillig bleibt.

Lücke bei der Transportverschlüsselung

96,9 % der E-Mail-Infrastruktur im deutschen Einzelhandel verfügt über keinen MTA-STS-Eintrag, was bedeutet, dass eingehende E-Mails anfällig für SMTP-Downgrade-Angriffe sind. Personenbezogene Daten von Kunden und zahlungsbezogene Mitteilungen werden während der Übertragung ohne erzwungene Verschlüsselung versendet.

Die Überwachungsfalle

Über 32 % der Domains haben zwar DMARC-Einträge eingerichtet, diese sind jedoch weiterhin auf „p=none“ gesetzt, sodass keinerlei Blockierungsfunktion gegeben ist. Angesichts des im Vergleich zum Vorjahr stark angestiegenen Phishing-Aufkommens kommt eine reine Überwachungsstrategie faktisch einer passiven Kapitulation gegenüber den Angreifern gleich.

EMPFOHLENE MASSNAHMEN

Empfehlungen zur E-Mail-Sicherheit für den Einzelhandel 2026

Ein nach Dringlichkeit und Auswirkungen geordneter Maßnahmenplan für deutsche Einzelhandelsunternehmen.

HÖCHSTE PRIORITÄT

Auf DMARC p=reject hochstufen

Die 32,5 % der Absender mit dem Status „p=none“ müssen auf den Status „p=reject“ umgestellt werden. Die gehostete DMARC-Plattform von PowerDMARC bietet einen schrittweisen, angeleiteten Prozess zur Durchsetzung der Regeln – von der Überwachung über die Quarantäne bis hin zur vollständigen Zurückweisung –, ohne den legitimen E-Mail-Verkehr zu beeinträchtigen. Dies ist die Maßnahme mit der größten Wirkung, die derzeit zur Verfügung steht.

HÖCHSTE PRIORITÄT

MTA-STS bereitstellen

Schließen Sie die 96,9-prozentige Lücke bei der Transportverschlüsselung. PowerMTA-STS verhindert SMTP-Downgrade-Angriffe, indem es TLS für den gesamten eingehenden E-Mail-Verkehr erzwingt. Für Einzelhändler, die personenbezogene Daten von Kunden und Transaktionsdaten verarbeiten, ist dies sowohl eine Sicherheitsanforderung als auch eine neue Erwartung hinsichtlich der Einhaltung der DSGVO.

KURZFRISTIG

SPF-Konfigurationsfehler beheben

Die SPF-Fehlerquote von 3,9 % sollte mithilfe der SPF-Flattening- oder Makro-Methode von PowerSPF behoben werden. Da die Technologiestacks im Einzelhandel durch die Einbindung von CRM-, CDP- und Marketing-Automatisierungsplattformen immer komplexer werden, beugt ein proaktives SPF-Management Zustellungsfehlern und Authentifizierungsproblemen vor.

LANGFRISTIG

Setzen Sie auf BIMI, um das Vertrauen in Ihre Marke zu stärken

In einem wettbewerbsintensiven Einzelhandelsmarkt, in dem E-Mails nach wie vor der wichtigste Kanal für Konversionen sind, fügt BIMI ein verifiziertes Markenlogo direkt in authentifizierte E-Mails in unterstützenden Posteingängen ein. Unternehmen, die BIMI implementieren, berichten von messbaren Verbesserungen bei den Öffnungsraten und der Wiedererkennungsrate durch Kunden.

Demo buchen Kontaktieren Sie uns

FAZIT

Deutschland hat das Fundament. Jetzt kommt der Aufbau.

Der deutsche Einzelhandel ist ein echter Weltmarktführer im Bereich der E-Mail-Authentifizierung. Die SPF-Konformitätsrate von 96,1 % ist kein Zufall, sondern spiegelt eine konsequente DNS-Verwaltung und einen ausgereiften Ansatz bei der Umsetzung technischer Standards wider.

In einem Bedrohungsumfeld, in dem KI-gestütztes Phishing stark zugenommen hat und deutsche Einzelhandelsmarken direkt imitiert werden, gleicht die bloße Einführung solcher Maßnahmen ohne konsequente Durchsetzung jedoch einer Alarmanlage ohne Sirene. Die E-Mail des Angreifers wird versendet. Die Marke erleidet einen Reputationsschaden. Der Kunde verliert das Vertrauen.

Der Weg vom passiven Vorreiter zum widerstandsfähigen Verteidiger ist klar abgesteckt: DMARC durchsetzen, die MTA-STS-Lücke schließen und den Authentifizierungsstack auf dieser hervorragenden Grundlage weiter ausbauen. Für den deutschen Einzelhandel ist der Aufbau dieses Schutzes im Jahr 2026 keine Option mehr.

Deutschland hat ein makelloses Fundament gelegt. Das darüber liegende Gebäude ist noch unvollendet. Im Jahr 2026 ist der Bau des Daches keine Option mehr.

PowerDMARC-Forschungsteam

METHODIK

Dieser Bericht basiert auf einer automatisierten DNS-Analyse von PowerDMARC, die im Jahr 2026 an 228 deutschen Domains aus dem Einzelhandel und E-Commerce durchgeführt wurde. Authentifizierungsdatensätze, SPF, DMARC, MTA-STS und DNSSEC wurden programmgesteuert abgefragt und bewertet. Alle Ergebnisse spiegeln den Stand der öffentlich auflösbaren DNS-Einträge zum Zeitpunkt der Analyse wider. Die Daten zum Anstieg von Phishing-Angriffen stammen aus den Bedrohungsinformationen von PowerDMARC und den Vorfallmeldungen des BSI für den Zeitraum 2025–2026.

Beginnen Sie mit der Umsetzung von DMARC

PowerDMARC bietet deutschen Einzelhandelsunternehmen eine sichere, schrittweise Umstellung von „p=none“ auf „p=reject“, ohne dass es dabei zu Unterbrechungen beim Empfang legitimer E-Mails kommt.

15-Tage-TestDemo buchen