Phishing-E-Mails sind seit Jahrzehnten ein ernstes Sicherheitsproblem und stellen für Privatpersonen ebenso wie für Unternehmen eine erhebliche Gefahr dar. Jedes Jahr werden Millionen von Nutzerinnen und Nutzern Opfer von Betrugsversuchen über gefälschte E-Mails, die oftmals als offizielle Nachrichten von Banken, Online-Shops oder Paketdiensten getarnt sind. Trotz des rasanten technologischen Fortschritts, insbesondere im Bereich Künstliche Intelligenz (KI), setzen Phishing-Angriffe Menschen weltweit nach wie vor erfolgreich zu. Die Frage, warum Phishing-E-Mails auch im Jahr 2025 nicht vollständig aus dem digitalen Verkehr gezogen wurden, führt zu einem komplexen Geflecht aus technischen, wirtschaftlichen und menschlichen Faktoren – die wir an dieser Stelle beleuchten möchten. Grundlegend ist zu verstehen, dass die E-Mail als Kommunikationsmedium traditionell offen gestaltet wurde und prinzipiell jede Person E-Mails versenden darf – unabhängig davon, ob die Identität geprüft oder bestätigt wurde.
Diese Offenheit bietet natürlich kriminellen Akteuren große Freiräume. Um dem entgegenzuwirken, wurden Standards wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) entwickelt. Diese Technologien werden oft als eine Art „digitaler Ausweis“ für E-Mails bezeichnet, weil sie helfen, die Herkunft der Nachrichten zu verifizieren und somit Fälschungen zu erkennen. Allerdings sind diese Standards alles andere als perfekt und noch immer kein Allheilmittel gegen Phishing. Ein wesentlicher Grund dafür liegt in der Art und Weise, wie große E-Mail-Anbieter wie Google oder Microsoft arbeiten.
Diese Dienste betreiben komplexe Infrastruktur und verkaufen ihren Kunden die Möglichkeit, große Mengen an E-Mails über offiziell anerkannte Server zu versenden. Leider schließen auch Kriminelle Verträge mit solchen Cloud-Anbietern oder nutzen sogenannte Allowlisting-Mechanismen, um ihre betrügerischen E-Mails durch offizielle Kanäle zu senden. Damit umgehen sie zum Teil sogar die rigorosesten Spam-Filter. Da der Versand von E-Mails für diese Anbieter ein Geschäftsmodell ist, besteht ein grundlegender Interessenkonflikt: Sie verdienen mit dem Versand Geld, aber erhalten nichts für den Schutz vor eingehenden Phishing-Nachrichten. Diese Dynamik behindert nachhaltige Maßnahmen gegen den ungewollten Eingang von gefährlichen E-Mails.
Neben der technischen Machbarkeit zeigt sich, dass viele Phishing-Kampagnen mit extrem ausgeklügelten Methoden arbeiten. Betrüger erstellen komplette Fake-Websites, die denen von Banken, Paketdiensten oder Online-Brokern oft täuschend ähnlich sehen. Dabei verwenden sie sogar unterschiedliche Top-Level-Domains, die auf den ersten Blick glaubwürdig wirken, etwa „firma-global.com“ oder „firma-eu.com“.
Oft werden Profile auf beruflichen Netzwerken wie LinkedIn gefälscht oder von automatisierten Systemen gesteuert, deren Antworten sich sehr menschlich lesen lassen. So verstärken sie die Authentizität ihrer Angriffe erheblich und täuschen nicht nur Spamfilter, sondern auch potenzielle Opfer. Die menschliche Komponente darf dabei natürlich nicht unterschätzt werden. Viele Nutzer erkennen auch schlecht gemachte Phishing-E-Mails, klicken aber aus Neugier oder Unachtsamkeit dennoch auf gefährliche Links. Angehörige einer jüngeren Generation, die mit digitalen Technologien aufgewachsen sind, sind meist sehr vorsichtig, während ältere oder weniger technisch bewanderte Menschen oft zu den Opfern gehören.
Trotz der zunehmenden Verbreitung von Sicherheits- und Medienkompetenz gelingt es den Angreifern immer wieder, durch gezielte Täuschung und geschickte Manipulation Menschen zu betrügen. Auch die Meldesysteme bei E-Mail-Anbietern funktionieren nicht so effektiv, wie man sich das wünschen würde. Nutzer können zwar verdächtige E-Mails als Spam oder Phishing melden, aber vielfach werden diese Hinweise nicht konsequent verarbeitet. Die Konsequenz daraus ist, dass die Täter oft ungestört weitermachen können, weil zeitnah keine Maßnahmen ergriffen werden. Stärker ausgeprägte Kontrollmechanismen würden allerdings erhöhte Kosten und erhebliche technische Herausforderungen für die Anbieter bedeuten.
Darüber hinaus steht einem flächendeckenden Schutz eine generell fehlende Rechtsgrundlage oder mangelnde Durchsetzung entgegen. Banken, Paketdienste und andere Branchen, deren Kunde im Fokus von Phishing-Angriffen stehen, haben wenig Anreize, aktiv gegen Phishing vorzugehen. Sie fokussieren sich eher auf den Schutz der eigenen Systeme und auf Sicherheitsaufklärung bei ihren Kunden. Staatliche Behörden wie die Bundesnetzagentur oder die Datenschutzbehörden verfügen zwar über Regelungen, können aber erst im Fall konkreter Verstöße oder großer Kampagnen einschreiten. Eine umfassende Gesetzgebung, die beispielsweise Anbieter von E-Mail-Diensten in die Pflicht nimmt, ist noch nicht etabliert.
Ein möglicher Ausweg könnte in zusätzlichen Sicherheitsdiensten liegen, die auf E-Mail-Schutz spezialisiert sind und noch umfassender arbeiten als herkömmliche Spamfilter. So gibt es etwa Unternehmen, die E-Mail-Kommunikation auf verdächtige Inhalte analysieren, Links vor dem Klick überprüfen und verdächtiges Verhalten in Echtzeit erkennen – letztlich gewissermaßen als Wächter zwischen Absender und Empfänger. Solche Dienste sind gerade in Unternehmen bereits weit verbreitet, weil der Schaden durch Phishing über teure Datenlecks und Betrugsfälle enorm sein kann. Für den Endnutzer oder kleinere Organisationen sind sie aber oft zu komplex oder teuer. Die Rolle der KI ist bei der Bekämpfung von Phishing zweischneidig.
Einerseits helfen fortschrittliche Algorithmen, Textinhalte, Verhaltensmuster und Absenderinformationen deutlich besser zu analysieren als einfache Regelwerke. KI kann zum Beispiel gefälschte E-Mails anhand von Schreibstil, ungewöhnlichen Begriffen oder inkonsistenten Metadaten identifizieren. Andererseits setzen Betrüger inzwischen selbst KI-Systeme ein, um ihre Täuschungen zu verfeinern und ihre Opfer besser zu manipulieren. So entstehen dynamische Angriffe, die sich an die Sicherheitsmechanismen anpassen und typische Erkennungsmerkmale aus dem Weg räumen. Diese Gegenentwicklung macht die Verteidigung noch herausfordernder.
Ein weiterer Aspekt ist das Versagen der Nutzer in Bezug auf Technik, die eigentlich verfügbar wäre. So lassen sich beispielsweise E-Mails mit Signaturen digital zertifizieren, sodass man nahezu sicher sein kann, dass eine Nachricht tatsächlich vom angegebenen Absender stammt. Doch viele Firmen implementieren solche Systeme nicht oder nicht konsequent, weil es zusätzliche Komplexität oder Kosten verursacht. Hier spielen auch mangelndes Bewusstsein und fehlende Standards eine Rolle. Zusammenfassend lässt sich sagen, dass die Behebung der Phishing-Problematik ein übergreifendes Problem darstellt, das technologische, ökonomische und soziale Komponenten umfasst.
Die rein technische Lösung durch Protokolle wie SPF, DKIM oder DMARC reicht alleine nicht aus. Genauso wenig gibt es eine Monopol-Lösung durch E-Mail-Anbieter, solange der wirtschaftliche Anreiz fehlt, eingehende Nachrichten wirklich umfassend zu prüfen und betrügerische Kommunikation aktiv zu unterbinden. Die Angreifer nutzen geschickt zwischenmenschliche Schwächen sowie die aktuellen technischen Grenzen aus und entwickeln ihre Methoden ständig weiter. Für Nutzer bleibt daher der wichtigste Schutz die persönliche Wachsamkeit, eine kritische Haltung gegenüber unerwarteten Nachrichten und die Nutzung moderner Sicherheitswerkzeuge. Auf Seiten der Anbieter ist es notwendig, nicht nur Standards weiterzuentwickeln, sondern auch durch Kooperationen mit Behörden und Industrien eine umfassendere Infrastruktur gegen Phishing zu schaffen.
Letztlich wird die Bekämpfung von Phishing eine umfassende, gemeinsame Aufgabe sein, die eine Vielzahl von Akteuren und Maßnahmen vereint. Bis dahin werden Phishing-E-Mails leider weiterhin ein harter und unangenehmer Teil unseres digitalen Alltags bleiben.
