E-Mail‑Bedrohungstrends: Wie Angreifer E‑Mail‑Attacken neu erfinden

Die Entwicklungen bei E‑Mail‑Bedrohungen verlaufen schneller als die meisten Playbooks von Sicherheitsteams sich weiterentwickeln können. E‑Mail war lange das unscheinbare Rückgrat der Geschäftskommunikation, ist heute jedoch die Zielscheibe für nahezu jede ernsthafte Sicherheitsbedrohung – vom Einstiegspunkt für Ransomware über den Diebstahl von Zugangsdaten bis hin zur Datenexfiltration. 

Angreifer verschwenden keine Zeit mehr mit Spam oder plumpen Täuschungen. Sie kombinieren KI‑verfasste Köder, subtile E‑Mail‑Betrugsmaschen und scheinbar harmlose Dateien zu Attacken, die wie gewöhnlicher Geschäftsbetrieb aussehen – bis jemand klickt. 

Die Daten unseres Cybersecurity Report 2026 zeigen klar: Diese E‑Mail‑Bedrohungstrends entwickeln sich schneller als traditionelle Schutzmaßnahmen wie statische Filter oder jährliche Schulungen. Ransomware erlebt ein Comeback, mehrstufige Kampagnen erstrecken sich über Identitäten und SaaS‑Plattformen, und Lücken in Erkennung und Reaktion werden in großem Maßstab ausgenutzt. 

In den folgenden Abschnitten beleuchten wir die Trends hinter den Zahlen, zeigen, wie neue Techniken, Automatisierung und kompromittierte Zugangsdaten zusammenspielen, und skizzieren, wie moderne E‑Mail‑Abwehr aussehen sollte. 

Neue E‑Mail‑Bedrohungstrends, die 2025 prägten

E-Mails bleiben das Fundament der geschäftlichen Kommunikation und sind, wie unsere Daten zeigen, nach wie vor das Hauptziel von Angreifern. Die Veränderungen in Klassifizierung und Bedrohungstypen im Jahr 2025 zeigen zwei parallele Entwicklungen: Erstens experimentieren Angreifer mit neuen Dateiformaten und niedrigschwelligen Zustellmethoden (insbesondere ein Anstieg bei TXT- und alten DOC-Dateien). Zweitens bleibt Social Engineering ein durchgehend wirksames Mittel, um Systeme zu kompromittieren. 

Kurz gesagt: Sowohl Quantität als auch Qualität der Angriffe verändern sich. Während sich das Volumen klassischer Spam-Mails nach einer Phase der Normalisierung stabilisiert hat, nehmen hochwirksame Methoden wie Malware, Betrug und Phishing deutlich zu. Diese Kombination – gefährlichere Inhalte, die in großem Umfang verbreitet werden – erhöht die Wahrscheinlichkeit, dass selbst gut geschützte Organisationen Vorfälle erleben, sofern sie ihre Erkennungsmechanismen, Benutzeraufklärung und Wiederherstellungsprozesse nicht anpassen. 

Spam, Malware und Advanced-Threat-Kennzahlen 

Die wichtigsten Zahlen sind eindeutig: Malware verzeichnete den größten relativen Anstieg (+130,92 %), gefolgt von Betrugsversuchen (+34,70 %) und Phishing (+20,97 %). Diese drei Kategorien machen den Großteil der Risiken aus, die zu operativen Auswirkungen wie Datendiebstahl, Verschlüsselung und Geschäftsstörungen führen. 

Gleichzeitig zeigten Kategorien mit traditionell geringerem Geschäftsrisiko – etwa legitime Nachrichten, transaktionale oder kommerzielle E-Mails – nur moderate Veränderungen. Das deutet darauf hin, dass böswillige Akteure ihre Bemühungen zunehmend auf Angriffsformen mit höherem Ertragspotenzial konzentrieren. 

Zentrale Erkenntnisse:   

• Zunahme bösartiger Nutzlasten: Ein Anstieg der Malware-Klassifizierung um 131 % bedeutet, dass mehr E-Mails aktive Schadkomponenten (oder zumindest Indikatoren dafür) enthalten, statt harmloseren Inhalten. Erkennungsstrategien müssen daher grundsätzlich von einer böswilligen Absicht ausgehen. 
  
  
• Zunahme von Betrugsversuchen und fortgeschrittenen Social-Engineering-Angriffen: Der Anstieg von Betrugsversuchen (+34,7 %) in Kombination mit Phishing (+21,0 %) zeigt, dass Angreifer ihre Täuschungsstrategien und Rendite optimieren. Sie erstellen überzeugendere, individuell zugeschnittene Betrugsnachrichten, vermutlich unterstützt durch generative KI-Technologien.   
  
  
• Zunahme sogenannter „Dirty Commercial“-E-Mails erschwert Erkennung durch heuristische Filter: Der Anstieg verdächtiger oder minderwertiger Werbe-E-Mails (+17,72 %) deutet darauf hin, dass Angreifer E-Mail-Marketingvorlagen als Tarnung einsetzen, um einfache Inhaltsfilter zu umgehen und sich unauffällig unter legitimen Marketing-Kommunikation mischen.   
  
  
• Gezielte Spear-Phishing-Anteile nehmen ab, aber sie verschwinden nicht. Der Anteil verdächtiger oder Spear-Phishing-E-Mails ist um 9,75 % zurückgegangen, was wahrscheinlich auf eine Verlagerung hin zu stärker automatisiertem oder massenhaft eingesetztem Phishing und Zugangsdatendiebstahl hindeutet, der klassische Spear-Phishing-Erkennung umgeht. Hier ist Vorsicht geboten, denn trotz geringerer Häufigkeit bleibt der Schaden solch zielgerichteter Angriffe hochwirksam. 

E-Mail-Klassifizierungskategorien 

Kategorie	Anpassung YoY 2025 vs. 2024
Malware	+130.92%
Scam	+34.70%
Phishing	+20.97%
Verdächtige kommerzielle E-Mails (Dirty Commercial Emails)	+17.72%
Kommerzielle E-Mail	+2.37%
Legitime Nachrichten	+3.38%
Transaktional	+3.19%
Spam	+0.03%
Social	-8.05%
Verdächtige / Spear-Phishing-E-Mail	-9.75%
Professionelle kommerzielle E-Mails	-13.73%
Rückläufer (Bounce)	-18.69%

Kategoriebeschreibungen:

• Spam: Unerwünschte Massen-E-Mails, die an eine große Anzahl von Empfängern gesendet werden, typischerweise zu Werbe- oder böswilligen Zwecken. 
  
  
• Phishing: Betrügerische E-Mails, die Empfänger dazu verleiten sollen, vertrauliche Informationen wie Passwörter, Kreditkartennummern oder persönliche Daten preiszugeben. 
  
  
• Kommerzielle E-Mails: Legitime Marketing- oder Werbe-E-Mails, die von Unternehmen an Kunden oder Interessenten gesendet werden, häufig mit Produktankündigungen oder Angeboten. 
  
  
• Legitime Nachrichten: Authentische, nicht-werbliche E-Mails, die zwischen Einzelpersonen oder Organisationen im Rahmen normaler Kommunikation ausgetauscht werden. 
  
  
• Professionelle kommerzielle E-Mails: Hochwertige, oft stark zielgerichtete und personalisierte Marketing-E-Mails, die typischerweise in B2B-Kampagnen eingesetzt werden. 
  
  
• Transaktional: E-Mails, die durch Benutzeraktionen oder Systemereignisse ausgelöst werden, z. B. Bestellbestätigungen, Passwortzurücksetzungen oder Konto-Benachrichtigungen. 
  
  
• Social: E-Mails, die von sozialen Medien stammen, einschließlich Benachrichtigungen, Freundschaftsanfragen und Aktivitätsmeldungen. 
  
  
• Rückläufer: E-Mails, die nicht an den Empfänger zugestellt werden können, z. B. aufgrund ungültiger Adressen, voller Postfächer oder Serverprobleme. 
  
  
• Verdächtige kommerzielle E-Mails (Dirty Commercial Emails): Marketing-E-Mails, die gegen Compliance-Vorgaben oder Best Practices verstoßen, oft schlecht formatiert oder irreführend gestaltet. 
  
  
• Scam: E-Mails mit betrügerischer Absicht, häufig mit gefälschten Angeboten, angeblichen Lotteriegewinnen oder Identitätsbetrug. 
  
  
• Malware: E-Mails, die bösartige Anhänge oder Links enthalten, welche darauf abzielen, schädliche Software auf dem Gerät des Empfängers zu installieren. 
  
  
• Verdächtige / Spear-Phishing-E-Mails: Hochgradig zielgerichtete Phishing-Versuche, die sich an bestimmte Personen oder Organisationen richten und persönliche Details nutzen, um glaubwürdig zu wirken. 

Angriffstechniken in E-Mail-Angriffen 2025 

Die Bedrohungslandschaft 2025 zeigt eine deutliche Verschiebung hin zu „Evasion-first“-Taktiken: Angreifer konzentrieren sich weniger auf auffällige Einzelangriffe, sondern darauf, Sicherheitsfilter und menschlichen Verdacht hinsichtlich verdächtiger E-Mails zu umgehen. 

Zu den führenden Techniken gehören: Header-Fälschung, subtile HTML-Manipulationen, Nutzung legitimer Hosting-Dienste und URL-Verschleierung. Diese Methoden sind darauf ausgelegt, bösartige Absichten in scheinbar harmlose E-Mails einzubetten. 

Das erklärt, warum heute weniger offensichtliche Spear-Phishing-Beispiele, aber mehr erfolgreiche Zugangsdatendiebstähle und mehrstufige Angriffe beobachtet werden: Die E-Mail ist nicht mehr der Endpunkt des Angriffs, sondern der Einstiegspunkt. 

Wichtige Beobachtungen:

• Manipulation von Headern und Metadaten dominiert: Bei Spam-Attacken finden sich besonders häufig gefälschte From-Angaben und manipulierte Header und zeigen, dass Spoofing und Manipulation von Metadaten weiterhin kostengünstige, aber wirkungsvolle Methoden sind, um naive Filter zu überwinden und menschliches Vertrauen zu erwecken.  
  
  
• Missbrauch legitimer Infrastrukturen nimmt zu: Kampagnen über renommierte Hosting-Plattformen zu versenden lässt bösartige E-Mails so erscheinen, als kämen sie von vertrauenswürdigen Quellen. Diese Taktik erhöht die Zustellbarkeit und verringert den unmittelbaren Verdacht von Filtern.  
  
  
• URL-Verschleierung ist allgegenwärtig: URL-Verkürzung, nicht-ASCII-Zeichen, exotische TLDs (Top-Level-Domains) und Domain-Fuzzing sind einfache Mittel, um das Ziel zu verbergen und Blocklisten oder visuelle Prüfungen zu umgehen.  
  
  
• HTML-/MIME-Tricks zielen darauf ab, Detektoren zu verwirren, nicht Leser. Leere <a>-Tags, mehrteilige Nachrichten und das Einfügen von Schrift in Größe 0 sind darauf ausgelegt, Signatur- und schlüsselwortbasierte Scanner zu täuschen, während die Nachricht für für Empfänger lesbar bleibt.  
  
  
• Automatisierte, groß angelegte Umgehungsversuche sind effektiver als gezielte, kleine Angriffe: Angreifer können viele Kampagnen ausrollen, die einzeln harmlos erscheinen, aber zusammen Zugangsdaten abgreifen, Konten kompromittieren oder Downloads ermöglichen. 

Die 10 häufigsten Techniken bei E-Mail-Angriffen 2025 

Rang	Technik
1	Manipulation des From -Headers
2	Manipulation des „Spamcause”-Headers
3	Nutzung legitimer Hosting-Plattformen zum Versand von Kampagnen
4	Verwendung exotischer oder nicht existenter TLDs
5	URL-Verkürzung
6	Leeres HTML-<a>-Tag
7	Mehrteilige (Multi-Part) E-Mails
8	URLs mit Nicht-ASCII-Zeichen
9	Zufallsdomains / URL-Fuzzing
10	Zero-Font-Technik (Schriftgröße 0)

Beschreibungen der Techniken:

• Manipulation des From -Headers: Angreifer fälschen den From-Header in E-Mails, um vertrauenswürdige Absender zu imitieren und Empfänger glauben zu lassen, die Nachricht sei legitim. 
  
  
• Manipulation des „Spamcause“-Headers: Manipulation von Headern in Spam-Attacken, um Spam-Filter zu umgehen und bösartige E-Mails als harmlos erscheinen zu lassen. 
  
  
• Nutzung legitimer Hosting-Plattformen zum Versand von Kampagnen: Verwendung renommierter Hosting- oder E-Mail-Dienste (z. B. Cloud-Plattformen), um Phishingkampagnen oder schädliche Inhalte zu versenden und die Erkennung zu erschweren. 
  
  
• Verwendung exotischer oder nicht existenter TLDs: Verwendung ungewöhnlicher oder gefälschter Top-Level-Domains (z. B. .xyz, .club), um betrügerische URLs zu erstellen, die legitim wirken. 
  
  
• URL-Verkürzung: Einsatz von URL-Verkürzungsdiensten (z. B. bit.ly), um das tatsächliche Ziel bösartiger Links zu verbergen und die Erkennung zu erschweren. 
  
  
• Leeres HTML-<a>-Tag: Einbetten leerer Anker-Tags in HTML-E-Mails, um Spam-Filter zu verwirren oder bösartige Links zu verschleiern. 
  
  
• Mehrteilige (Multi-Part) E-Mails: Versenden von E-Mails mit mehreren MIME-Teilen (z. B. Text und HTML), um die Erkennung durch Sicherheitstools zu umgehen. 
  
  
• URLs mit Nicht-ASCII-Zeichen: Einfügen spezieller oder Unicode-Zeichen in URLs, um visuell irreführende Links zu erzeugen (z. B. Homoglyphen-Angriffe). 
  
  
• Zufallsdomains / URL-Fuzzing: Generierung zufälliger oder leicht veränderter Domains, um domainbasierte Filter und Erkennungssysteme zu umgehen. 
  
• Zero-Font-Technik: Einfügen von E-Mail-Text in Schriftgröße 0 (zero-size font), um schlüsselwortbasierte Filter zu manipulieren und gleichzeitig die Lesbarkeit für Menschen zu erhalten. 

Verwendung von Anhängen und Typen in Angriffen 

Die Trends bei Dateianhängen 2025 zeigen eine deutliche Verschiebung in der Strategie zur Verbreitung von Malware. Die am schnellsten wachsenden Dateiträger sind TXT (+181,39 %) und DOC (+118,25 %), während ZIP und moderne Office-Formate (DOCX, XLSX) ebenfalls vertreten sind, jedoch moderater wachsen. 

Veraltete oder früher populäre Vektoren (HTML, RAR, HTM, XLS) sind zurückgegangen, während ICS und SHTML als neue Einträge in unserer Top-10-Liste auftauchen. Das deutet darauf hin, dass Angreifer vermehrt nach übersehenen oder unzureichend inspizierten Dateitypen suchen, ebenso nach Kalenderdateien oder Server-Side-Include-Vektoren. 

Wichtige Erkenntnisse:   

• TXT- und alte DOC-Dateien sind Alarmzeichen: TXT-Dateien, die oft als geringes Risiko eingestuft werden, werden als Staging-Artefakte missbraucht (z. B. mit verschleierten URLs oder Skripten). Alte DOC-Dateien (mit Makro-Unterstützung) bleiben attraktiv, da viele Umgebungen Makros noch zulassen oder nicht ausreichend überprüfen.
  
  
• Archive sind WEITERHIN relevant: ZIP-Dateien (+29,82 %) bleiben ein Mittel zum Bündeln von Schadcode und zur Umgehung von Filtern; komprimierte Archive sind nach wie vor eine zuverlässige Taktik für Angreifer.  
  
  
• Aufkommen von ICS und SHTML ist nennenswert: Kalendereinladungen (ICS) und Server-Include-Varianten (SHTML) stellen nicht-traditionelle Angriffsvektoren dar, die einige Mailfilter und Nutzererwartungen umgehen können, besonders bei Empfängern, die Kalendereinträge akzeptieren oder HTML-Inhalte in der Vorschau öffnen.  
  
  
• Der Rückgang von HTML-, HTM-, RAR- und XLS-Dateien spiegelt wahrscheinlich eine verbesserte Abwehrlage wider, zeigt aber auch, dass Angreifer auf weniger überwachte Kanäle ausweichen, anstatt E-Mail als Angriffsvektor aufzugeben. 

Dateitypen für Schadsoftware 2025 

Dateityp	Angepasste Veränderung (YoY) 2025 vs. 2024
TXT	+181.39%
DOC	+118.25%
ZIP	+29.82%
DOCX	+11.69%
XLSX	+7.85%
PDF	-3.32%
HTML	-27.44%
RAR	-36.93%
HTM	Nicht mehr in den Top 10 enthalten
XLS	Nicht mehr in den Top 10 enthalten
ICS	Neuer Eintrag 2025
SHTML	Neuer Eintrag 2025

Dateityp-Definitionen:

• PDF: Portable Document Format – Weit verbreitetes Dokumentenformat; Angreifer betten häufig bösartige Links oder Skripte in PDFs ein. 
  
  
• DOC: Microsoft Word-Dokument (veraltet) – Älteres Word-Dateiformat; kann Makros enthalten, die schädlichen Code ausführen. 
  
  
• DOCX: Microsoft Word-Dokument (modern) – Aktuelles Word-Format; unterstützt eingebettete Inhalte (z. B. Makros/Skripte), die ausgenutzt werden können. 
  
  
• XLS: Microsoft Excel-Tabelle (veraltet) – Älteres Excel-Format; häufig Ziel makrobasierter Angriffe. 
  
  
• XLSX: Microsoft Excel-Tabelle (modern) – Aktuelles Excel-Format; kann schädliche Makros oder Links enthalten. 
  
  
• TXT: Reine Textdatei – Einfache Textdateien; Angreifer nutzen sie, um Phishing-Inhalte oder als Text getarnte Skripte zu verbreiten. 
  
  
• HTML: HyperText Markup Language-Datei – Webseitendatei; wird oft in Phishing-E-Mails mit eingebetteten bösartigen Links verwendet. 
  
  
• HTM: HyperText Markup Language-Datei (Variante) – Die ältere Dateinamenerweiterung für HTML-Inhalte; genutzt für Webinhalte und Phishing-Schadsoftware. 
  
  
• SHTML: Secure HTML File – Eine HTML-Variante, die Server-Side-Includes unterstützt; kann für bösartige Weiterleitungen oder Server-seitige Angriffspfade missbraucht werden. 
  
  
• ZIP: Komprimierte Archivdatei – Häufig zum Bündeln mehrerer Dateien verwendet; Angreifer verstecken Malware in komprimierten Archiven. 
  
  
• RAR: Komprimierte Archivdatei (Alternative) – Ähnlich wie ZIP, nutzt ein anderes Kompressionsformat; wird ebenfalls zur Verbreitung von Malware eingesetzt. 
  
  
• ICS: Kalenderdatei – iCalendar-Format; Angreifer missbrauchen bösartige Kalendereinladungen, um Phishing-Links oder Schadsoftware zu verbreiten. 

---

Schützen Sie Ihre Microsoft‑365‑Umgebung vor den heutigen, sich wandelnden E‑Mail‑Bedrohungen 

Das Wiedererstarken von Ransomware und die veränderten E‑Mail‑Bedrohungstrends zeigen: Die nativen Schutzmechanismen in Microsoft 365 genügen nicht. Sie benötigen einen spezifischen Schutz vor E‑Mail‑Bedrohungen, der mit Ausweichtaktiken, Identitätsmissbrauch und Multi-Vektor-Kampagnen Schritt hält. 

Hornetsecuritys 365 Total Protection ergänzt Microsoft 365 um eine erweiterte E‑Mail‑Bedrohungsabwehr und kombiniert KI‑gestützte Filterung und Sandboxing, um verdächtige Nachrichten frühzeitig zu stoppen. 

Es umfasst einen KI-gestützten E‑Mail‑Scanner, der:

• gefälschte Header,
• als Angriffswerkzeuge missbrauchte TXT‑Dateien, 
• und verschleierte URLs

überprüft, bevor Nutzer sie überhaupt zu Gesicht bekommen.

Gestützt auf globale E‑Mail‑Threat‑Intelligence lernt der Service kontinuierlich aus neuen Kampagnen, sodass Richtlinien und Erkennungen Angreifern stets einen Schritt voraus sind. 

Mit automatisierter E‑Mail‑Bedrohungsabwehr halten Sie moderne Angriffe aus den Postfächern fern und schützen Ihre Microsoft‑365‑Umgebung. Entdecken Sie 365 Total Protection noch heute. 

---

Fazit: E‑Mail‑Bedrohungstrends in Maßnahmen umsetzen 

In Summe zeichnet die diesjährige Datenlage ein einfaches, aber unbequemes Bild: E‑Mail‑Angriffe werden leiser, smarter und besser darin, herkömmliche Kontrollmechanismen zu umgehen. Die gefährlichsten Trends sind jene, die sich in normal wirkenden Unterhaltungen, Dateifreigaben und Workflows verstecken, anstatt Aufmerksamkeit zu erregen.  

Von gefälschten Kopfzeilen in E-Mails und missbrauchter Hosting‑Infrastruktur bis hin zu manipulierten TXT‑Dateien und Kalendereinladungen optimieren Angreifer jede Stufe der Zustellungskette, um Filter zu umgehen und Vertrauen auszunutzen. 

Diese Lücke zu schließen bedeutet, E‑Mail als Teil eines größeren Ökosystems aus Ransomware und Identitäten zu betrachten: gestaffelte Kontrollen, starke Authentifizierung, kontinuierliches Monitoring und eine Benutzerschulungen, die die heutige Realität widerspiegeln – nicht die Betrugsmuster vergangener Jahre. 

E‑Mails werden nicht verschwinden, ebenso wenig wie Angreifer, aber Sie sind nicht machtlos. Mit der richtigen Mischung aus Richtlinien, Schulung und modernen Plattformen zum Schutz von E-Mails lassen sich Rohdaten zu E‑Mail‑Trends in praktische Schutzmaßnahmen übersetzen, die den Geschäftsbetrieb aufrechterhalten – selbst wenn sich Angreifer weiterentwickeln.