Einblicke in eine realitätsnahe Phishing-Simulation an einer deutschen Universitätsklinik zeigen: Die gängige Praxis, eingehende E-Mails mit einem EXTERN-Tag zu kennzeichnen, schützt kaum vor Cyberangriffen. Der Artikel beleuchtet die Hintergründe und zeigt wirksamere Alternativen auf.
EXTERN-Tags als Sicherheitsmaßnahme: Ein Placebo mit Nebenwirkungen?
In vielen Organisationen – insbesondere im Gesundheitswesen und im öffentlichen Bereich – gelten EXTERN-Tags seit Jahren als einfache, kostengünstige Maßnahme zur Erkennung potenziell gefährlicher E-Mails. Mails, die von außerhalb der eigenen Organisation stammen, werden am Anfang der Betreffzeile mit einem auffälligen Hinweis versehen, etwa: [EXTERN] Diese E-Mail stammt von außerhalb Ihres Unternehmens.
Die Hoffnung hinter dem Verfahren: Mitarbeitende sollen gewarnt und zur Vorsicht aufgerufen werden, wenn sie auf Links klicken oder Anhänge öffnen. Doch wie wirksam ist dieser Ansatz tatsächlich? Eine aktuelle Phishing-Simulation an einer deutschen Universitätsklinik mit über 4.000 Teilnehmenden gibt ernüchternde Antworten.
Studien-Design: So lief die Phishing-Simulation ab
Im Rahmen eines groß angelegten Awareness-Programms wurde eine interne Phishing-Testkampagne unter wissenschaftlicher Begleitung durchgeführt. Die simulierten Phishing-Mails trugen bewusst das EXTERN-Tag und imitierten typische Kommunikation wie Versandbenachrichtigungen, Rechnungsaufforderungen oder IT-Warnungen. Ziel war es, die tatsächliche Wirksamkeit der EXTERN-Markierung zu analysieren.
Die Ergebnisse waren alarmierend: Rund 17 % der Empfänger klickten trotz EXTERN-Tag auf einen Link im Phishing-Mail – ein Wert, der laut Security Awareness-Anbieter KnowBe4 selbst bei Einsteigern über dem Durchschnitt liegt (KnowBe4 2023 Benchmark Report).
Besonders gravierend: Der EXTERN-Hinweis wurde von vielen Nutzern entweder übersehen oder schlicht ignoriert. Einige empfanden ihn sogar als störend, da er relevante Betreffzeilen kürzte und so die Lesbarkeit reduzierte.
Warum EXTERN-Tags scheitern – eine psychologische und technische Analyse
Die grundlegende Schwäche von EXTERN-Tags liegt in zwei Aspekten:
- Gewöhnungseffekt: Wenn jede externe E-Mail mit dem gleichen Warnhinweis versehen wird – unabhängig von tatsächlicher Gefährlichkeit –, stumpfen User gegenüber der Warnung ab.
- Fehlende Kontextualisierung: Der Hinweis liefert keine echten Informationen über Herkunft, Inhalt oder potenzielle Bedrohung der Nachricht.
Hinzu kommt, dass moderne Phishing-Kampagnen zunehmend intern imitierte Identitäten nutzen (z. B. gefälschte Vorstände, HR-Teams oder IT-Abteilungen), wodurch der EXTERN-Tag bewusst durch Täuschungstechniken umgangen wird. Laut dem Verizon Data Breach Investigations Report 2024 nutzen 68 % aller erfolgreichen Phishing-Kampagnen gefälschte bekannte Identitäten (Verizon DBIR 2024).
Auch aus technischer Sicht ist die EXTERN-Markierung kein valides Sicherheitsfeature: Sie basiert schlicht auf dem E-Mail-Header und kann von geschickten Angreifern manipuliert oder vollständig umgangen werden.
Moderne Alternativen: Technische Schutzmaßnahmen gegen Phishing
EXTERN-Tags sind lediglich kosmetischer Natur. Um Phishing-Angriffe proaktiv zu erkennen und zu blockieren, benötigen Organisationen moderne Werkzeuge. Zu den wirksameren technischen Maßnahmen zählen:
- Advanced Threat Protection (ATP): Lösungen wie Microsoft Defender for Office 365 oder Proofpoint analysieren E-Mails in Echtzeit und blockieren verdächtige Anhänge und Links dynamisch.
- KI-gestützte Phishing-Erkennung: Systeme auf Basis maschinellen Lernens werten Metadaten und Inhaltsmerkmale aus, um Phishing-Muster zu erkennen – inklusive Zero-Day-Angriffe.
- DMARC, SPF und DKIM: Diese Protokolle erlauben eine verlässliche Authentifizierung von Absenderdomänen – ein effektiver Schutz vor E-Mail-Spoofing.
Laut einer Studie von Mimecast aus dem Jahr 2024 verhindern Unternehmen mit DMARC-konformer Konfiguration bis zu 92 % der direkten Spoofing-Versuche (Mimecast SOES 2024).
Security Awareness: Der Mensch bleibt das Ziel
Tech-Lösungen sind nur ein Teil der Antwort. Denn Phishing-Angriffe richten sich in erster Linie gegen Menschen, nicht Maschinen. Deshalb bleibt die regelmäßige Schulung und Sensibilisierung der Mitarbeitenden ein wesentlicher Faktor – allerdings unter Berücksichtigung neurowissenschaftlicher Erkenntnisse.
So zeigen Studien, dass kontextbasierte Trainings in Echtzeit, die direkt auf ein Fehlverhalten folgen (z. B. das Klicken auf einen Phishing-Link in einer Simulation), signifikant höhere Lerneffekte erzielen als klassische Schulungsvideos. Die Universitätsklinik passte ihr Awareness-Programm entsprechend an und verzeichnete nach dem ersten Zyklus bereits einen Rückgang der Klickrate auf nur noch 5 %.
Praktische Handlungsempfehlungen für Organisationen
Basierend auf den Erkenntnissen aus der Simulation und dem Stand der Technik empfehlen sich folgende Schritte:
- Implementieren Sie eine Kombination aus technischen Filtern (ATP, DMARC) und kontextsensitiver Mitarbeiterschulung.
- Vermeiden Sie generische EXTERN-Tags. Wenn Sie Warnhinweise nutzen, dann personalisieren Sie diese mit zusätzlichem Kontext zur Nachricht.
- Führen Sie regelmäßig interne Phishing-Kampagnen mit Auswertung und anschließendem Coaching durch, um Risiken zu identifizieren und auf Ebene der Benutzer zu mindern.
Fazit: Ein neuer Standard für E-Mail-Sicherheit ist überfällig
Die Ergebnisse der klinikinternen Simulation sind ein Weckruf: Die Ära der statischen EXTERN-Tags als alleinige Schutzmaßnahme ist vorbei. Stattdessen brauchen Organisationen einen mehrschichtigen Ansatz, der Technik, Sensibilisierung und Echtzeitanalyse vereint.
IT-Sicherheitsverantwortliche sind jetzt gefordert, ihre bestehenden Richtlinien kritisch zu hinterfragen und auf ein zukunftstaugliches Fundament zu stellen. Welche Erfahrungen haben Sie mit EXTERN-Tags gemacht? Nutzen Sie moderne Schutzmechanismen? Diskutieren Sie mit uns in den Kommentaren und teilen Sie Ihre Best Practices!
