Quelle: Eigene Darstellung
Die RWTH verfügt über eine leistungsfähige Infrastruktur zur E-Mail-Sicherheit: Effiziente Spamfilter und verlässliche Schutzmechanismen sorgen dafür, dass täglich große Mengen unerwünschter Nachrichten gar nicht erst in unseren Postfächern landen. Trotzdem finden in letzter Zeit vermehrt Spam- und Phishing-Mails als „undetected“ ihren Weg in persönliche und dienstliche RWTH-Postfächer. Welche Mechanismen führen also dazu, dass selbst die zuverlässigsten Spamfilter nicht jede verdächtige Nachricht abfangen können?
Wenn verdächtige Mails nicht mehr verdächtig aussehen
Dass trotz moderner Filtermaßnahmen weiterhin Spam- oder Phishing-Mails im Postfach landen, liegt vor allem an der professionalisierten Qualität der Angriffe. Moderne Phishing-Mails sind heute sprachlich korrekt, meist fehlerfrei und orientieren sich eng an echter dienstlicher Kommunikation. Typische Warnsignale wie holprige Formulierungen und falsche (Fach-) Termini verschwinden zunehmend.
Tarnung durch Variation und Reputation
Ein großes Problem für technische Filter ist die Individualisierung: Viele Kampagnen bestehen nicht mehr aus identischen Massenmailings. Betreffzeilen, Layouts und Absendenamen werden minimal variiert. Was für Menschen wie dieselbe Masche wirkt, ist für Algorithmen oft nicht ähnlich genug, um sofort als bekanntes Muster blockiert zu werden.
Besonders effektiv sind Angriffe über kompromittierte, legitime Absendekonten. Stammt eine Nachricht von einem Server, der bisher nie negativ aufgefallen ist, fehlen die technischen Warnsignale. Die E-Mail wirkt dadurch sowohl inhaltlich als auch technisch glaubwürdig.
Der Angriff findet außerhalb der E-Mail statt
Ein weiterer Faktor, der die Erkennung durch klassische Filter erschwert, ist der Wandel der Angriffsmethoden. Viele Angriffe enthalten keine schädlichen Anhänge mehr. Früher waren Makros oder ausführbare Dateien klare Indikatoren für Gefahr. Heute setzen Angreifer*innen auf scheinbar harmlose Links, QR-Codes oder einfache Aufforderungen zur Rückmeldung.
Da die E-Mail selbst keinen Schadcode enthält, findet der eigentliche Angriff außerhalb des Postfaches statt – etwa auf einer gefälschten Login-Seite, über einen nachgelagerten Download oder durch die Weitergabe sensibler Daten. Hinzu kommt: Ein Link kann zunächst auf eine unauffällige Seite führen und erst nachträglich auf eine schädliche Webseite umgeleitet werden. Diese zeitliche Entkopplung macht eine eindeutige Bewertung im Moment des Posteingangs schwierig.
Sichtbarkeit als Zielscheibe
Gerade im Hochschulkontext ist öffentliche Erreichbarkeit von zentraler Bedeutung. Dienstliche E-Mail-Adressen sind daher häufig bewusst sichtbar – etwa auf Institutsseiten, in Publikationen oder in Projektzusammenhängen. Diese Sichtbarkeit ist für wissenschaftlichen Austausch und Kooperationen unverzichtbar, macht die Adressen jedoch zugleich für Spam- und Phishing-Kampagnen attraktiv. Je höher die Zahl eingehender Angriffsversuche ist, desto größer ist auch die Wahrscheinlichkeit, dass einzelne Nachrichten trotz technischer Schutzmaßnahmen das Postfach erreichen.
Warum Meldungen wichtig bleiben
Da Spam-Kampagnen sehr schnell angepasst werden, können Erkennungssysteme neue Varianten nicht immer unmittelbar und vollständig erfassen. Sie müssen wiederkehrende Muster, technische Merkmale und auffällige Strukturen zunächst zuverlässig identifizieren. Deshalb ist das Melden verdächtiger E-Mails unverzichtbar: Es unterstützt die Analyse neuer Taktiken und hilft dabei, Schutzmaßnahmen für alle Nutzenden weiter zu verbessern. Auch wenn die Wirkung im eigenen Postfach nicht immer sofort sichtbar ist, tragen Meldungen dazu bei, die Erkennung aktueller Spam- und Phishing-Kampagnen kontinuierlich nachzuschärfen.
Dass einzelne Nachrichten als „undetected“ im Postfach landen, bedeutet daher nicht automatisch, dass die Schutzmechanismen versagen. Vielmehr zeigt es, wie stark sich Phishing verändert hat – und warum technische Filter und ein aufmerksamer Umgang mit E-Mails weiterhin Hand in Hand gehen müssen.
Abschließend bleibt festzuhalten, dass die kontinuierliche Verbesserung unserer Schutzmechanismen auch künftig im Fokus steht.
Verantwortlich für die Inhalte dieses Beitrags ist Maike Lennartz.
Schreibe einen Kommentar