92,4% aller Angriffe kommen per E-Mail. Möge EUNOMIA euch gnädig sein.

CISCO warnt:

92,4 % aller Malware-Angriffe und 96 % aller Phishing-Attacken erfolgen per E-Mail. Quelle: Cisco - E-Mail-Sicherheit, wie man sie sich wünscht

Darktrace nennt es “die neue Frontlinie” – mit KI-gesteuerter Selbstverteidigung, die Abweichungen in Kommunikationsmustern erkennt.

“Unsere Self-Learning AI blockiert neuartige Bedrohungen bis zu 13 Tage früher.”
Quelle: Darktrace - The fastest-growing email security solution in the market

Acronis empfiehlt eine „ganzheitliche Absicherung” durch SPF, DKIM, DMARC, Zero-Trust-Ansätze, Reputationsfilter, Sandboxing, Threat Intelligence – und ja, ein gesundes Bauchgefühl gehört auch dazu.

“E-Mail-Sicherheit ist mehr als nur ein Spam-Filter. Sie ist ein strategischer Prozess.”
Quelle: Acronis - Fortifying Your Inbox: The Ultimate Guide to Email Security Best Practices

Und das ist alles richtig. Wirklich. Besser als nichts.

Aber…

Was ist mit den Menschen ohne Konzern-Budget?

Was ist eigentlich mit all den Menschen,

  • die kein Budget für Cloud-AI-Filter haben?
  • die keinen Konzern-SOC hinter sich wissen?
  • die mit Mail-Clients und Alias-Diensten arbeiten, sich aber sicher fühlen wollen?

Was, wenn du kein Security-Experte bist? Kein Admin, kein Spezialist – nur jemand, der sich Gedanken macht, bevor es knallt?

Mein Aha-Moment: Auch ich war betroffen

Ich habe ein System. Seit Jahren. Selbstgebaut, durchdacht, gepflegt. Aber auch das schützt dich nicht immer. Denn auch ich war Teil eines Leaks – ohne etwas falsch gemacht zu haben.

Ich wollte nur zocken. Ein bisschen Cloud-Gaming, unterwegs, Laptop im Hotel. Ich bin über Shadow gestolpert – klang smart, war technisch interessant. Hat funktioniert.

Aber der Bedarf ging. Also hab ich den Dienst gekündigt.

Monate später, bei einer meiner regelmäßigen Checks – und ich meine wirklich regelmäßigen. Ich prüfe meine E-Mail-Adressen manuell, doppelt, dreifach. Ich scanne auf Leaks, auf verdächtige Einträge, auf jede noch so kleine Abweichung. Strikt. Kompromisslos.

Und genau deshalb hab ich’s überhaupt erst bemerkt:

Mein Name. Meine Adresse. In einem Datenleck.

Französische Bürger. Irgendeine Liste. Ohne Warnung. Ohne Kontext. Ohne Hinweis. Kein DSGVO-Hinweis. Keine E-Mail. Keine Entschuldigung.

Einfach: Du bist jetzt Teil davon.

FUCK YOU, Pfui, bäh – schämt euch shadow.tech! Nicht cool, bei sowas die Menschen dahinter nicht zu informieren!

Und genau da wurde mir klar:

Es geht nicht darum, was du tust, nachdem etwas passiert ist. Es geht darum, ob du überhaupt weißt, wem du gerade vertraust – und warum.

Vertrauen ist keine Checkbox

Vertrauen ist kein Schalter, den man umlegt. Kein Kästchen zum Abhaken. Es ist nichts, was man einmal einstellt und dann für immer ignorieren kann – wie ein Cookie-Banner, das suggeriert: Alles sicher, alles okay.

Vertrauen wird gefährlich, wenn es zur Gewohnheit wird. Und trügerisch, wenn man sich in der Bequemlichkeit wiegt.

Vor allem in einer Welt, in der eine einzige E-Mail reicht, um dein System zu sprengen – Zugänge weg, Identitäten missbraucht, Existenzen bedroht.

Ich höre oft Geschichten wie diese: “Ich wollte nur eine PDF öffnen.” Projektanfrage. Seriöse Signatur. Alles wirkt professionell. Und dann passiert’s:

Antivirus springt an. Fehlermeldung. Kalter Schweiß.

Mit Glück bleibt es bei der Panik. Mit Pech ist ein Konto futsch. Oder ein kompletter Geschäftszugang. Oder mehr.

Aber selbst wenn alles glimpflich ausgeht – der Moment bleibt. Der Zweifel. Und plötzlich stellt man sich die einzige Frage, die wirklich zählt: Wem hab ich da eigentlich vertraut?

Das E-Mail-Koma: Wenn das System gegen dich arbeitet

Die meisten merken erst, wie kaputt ihr System ist, wenn sie mittendrin stehen. Ein Passwortmanager ist nicht genug. 2FA ist kein Allheilmittel. Und eine einzige E-Mail-Adresse für alles ist kein System – sondern Gottvertrauen mit Augen zu.

Postfächer mit 8.000 ungelesenen Nachrichten. GitHub-Warnungen zwischen Amazon-Werbung. Zwei-Faktor-Codes, die nie rechtzeitig geöffnet werden. Sicherheitsmails, die aussehen wie Spam – und Spam, der aussieht wie Sicherheitsmails.

Newsletter, Phishing, legitime Rechnungen – alles in einem Strom. Alles gleich wichtig. Oder gleich egal.

Es ist wie der Moment, in dem du versuchst, dich an den Ort zu erinnern, wo du in einem brennenden Haus den Ersatzschlüssel hingelegt hast.

Und dann kommt die Frage: „Wo war nochmal die Mail mit dem Deployment-Zugriffsschlüssel?”

Zehn Minuten später: Passwort zurückgesetzt. Zwanzig Minuten später: Panik, ob man gerade den falschen Link geklickt hat.

War das wirklich der echte Login? Oder ein täuschend echter Phishing-Link? Der Zweifel frisst sich rein.Und dann nimmt das Unheil meistens seinen eigenen Lauf.

Die wenigsten wissen in dem Moment, was sie tun sollen – und ehrlich gesagt: Ich könnte es ihnen oft auch nicht sagen. Weil es immer davon abhängt, was genau passiert ist, wie gut oder schlecht das Setup war, und ob man überhaupt merkt, dass gerade etwas schiefgelaufen ist.

Viele vergessen dabei: Wir leben längst in einem neuen Zeitalter der digitalen Kriminalität.

KI macht alles perfekter – auch den Betrug

Willkommen im Zeitalter der digitalen Täuschung. Nicht mehr geprägt von Spam-Mails mit kaputtem Deutsch oder offensichtlichen Fehlern – sondern von Täuschungen, die so perfekt sind, dass sie Vertrauen missbrauchen, bevor du überhaupt den Verdacht hast.

  • Rechnungen im exakten Stil deiner Buchhaltungssoftware
  • E-Mails, die aussehen, als kämen sie von deinem CEO – inklusive Signatur, Sprachstil, Absenderdomain
  • Login-Masken, die dein Tool pixelgenau nachbauen
  • Deepfake-Videos mit echten Stimmen

Früher war das der Plot aus einem schlechten Hackerfilm. Heute ist das Alltag.

Was gestern noch unglaubwürdig wirkte, ist heute Realität. Was gestern wie Spam aussah, ist heute perfekt choreografierter Betrug.

Und genau das macht es so gefährlich: Weil der Angriff nicht mehr aussieht wie ein Angriff. Sondern wie dein ganz normaler Dienstagvormittag im Posteingang.

Meine Antwort: Zwei Jahre Entwicklung, ein System

Ich bin kein Security-Profi. Kein SOC-Admin. Ich bin einfach jemand, der nicht mehr warten wollte, bis was schiefläuft. Und ich will kompromisslose Kontrolle – nicht über Menschen, sondern über meine digitale Infrastruktur.

Also habe ich aufgehört zu hoffen und angefangen zu bauen.

Zwei Jahre lang getestet, verworfen, neu gedacht. Kein Tool, kein Abo, keine Extension hat mir wirklich geholfen – aber jeder Fehler hat mir etwas beigebracht. Die Anforderungen waren klar: So günstig wie möglich, so flexibel wie nötig und so sicher wie es nur geht. Ich hatte keine Roadmap. Nur eine Frage:

Was, wenn ich Mails nicht einfach annehme – sondern sie wie Netzwerk-Traffic bewerte? Nach Vertrauen. Nach Dringlichkeit. Nach Herkunft.

Denn mein Ansatz ist nicht Zero Trust – sondern das radikale Gegenteil: Ich will verstehen, kontrollieren, einordnen – und dann entscheiden. Nicht alles blockieren. Sondern alles bewusst bewerten.

Der Realitätscheck: Besser als nichts ist nicht genug

Die gängigen Methoden? Alias-Adressen, Label-Systeme, Spam-Filter mit KI-Unterstützung, Zwei-Faktor-Authentifizierung – das sind keine schlechten Tools. Sie schützen ein Stück weit. Sie halten das Schlimmste ab. Und ja: Sie sind besser als nichts.

Aber sie sind nicht genug.

Denn ich will keine Tools, die mir ein Gefühl von Sicherheit geben – ich will wissen, wie sicher mein System wirklich ist. Keine Blackbox. Keine Gnade der Anbieter. Keine 100-Euro-Pakete mit Marketing-Versprechen.

Ich will verstehen. Kontrollieren. Reagieren können, wenn es zählt.

Trust ist kein Gefühl. Es ist Struktur.

Die Besinnung

Ich habe mich tief reingearbeitet. In RFCs, in Protokolle, in Sicherheitsrichtlinien. Nicht weil ich musste, sondern weil ich es wissen wollte. Wissen, wie Systeme scheitern. Wie Menschen sie falsch nutzen. Und wie man etwas baut, das selbst dann noch steht, wenn alles andere brennt. Karameht bedeutet:

Reduktion ist Kontrolle. Und Kontrolle ist kein Kontrollzwang – sondern digitale Selbstachtung.

Also: Denk drüber nach. Bau dir was Eigenes. Oder warte auf das, was ich hier aufbaue.

Aber hör auf zu hoffen, dass es schon gut geht.

Weißt du gerade spontan, welche deiner Mails – wenn sie geleakt wird – dein digitales Leben zerstören könnte?

Wenn nicht: Dann bist du nicht sicher. Nur optimistisch.

Denn Vertrauen ist kein Bauchgefühl. Es ist Architektur. Es ist Eunomia.

Teil einer Serie: Wie aus einem Leak ein System wurde innerhalb von 2 Jahren – das hier war nur der Opener!

Euer Mehmet

‹ Zurück zum Archiv