Absender vertrauenswürdig, Inhalt unverändert, und keine Phishing-Falle? Mit dieser Frage beschäftigt sich jede Person, die den E-Mail-Empfang verwaltet. Die Tech-Industrie hat es bislang über Jahrzehnte verabsäumt, Lösungen zu liefern. Jetzt soll Brand Indicators for Message Identification E-Mail-Empfänger über ein Logo im Posteingang mehr Vertrauen geben. Doch Lookalike-Domains untergraben dieses Versprechen.
BIMI soll E-Mail-Empfängern per Logo mehr Vertrauen geben. Doch Lookalike-Domains mit täuschend ähnlichen Namen können dieses Vertrauen missbrauchen.
Die E-Mail ist mehr als 50 Jahre alt. Zu Beginn galt hier eine „Vertraue jedem“-Strategie. Das war in einer Zeit, in der man froh war, wenn IT überhaupt funktioniert hat. Mit der Entwicklung zum Massenkommunikations-Medium hat sich diese Denkweise bald ins Gegenteil gedreht. Laut einem BSI-Bericht von 2022 bekommen Nutzer für jede erwünschte E-Mail vier unerwünschte.
Der SPAM- und Phishing-Tsunami, der somit täglich auf die Mail-Infrastruktur der Wirtschaft einprasselt, erfordert kostenintensive Gegenmaßnahmen. Das Abfangen von SPAM, Phishing und Schadcode ist ein gutes Geschäft für die Anbieter von Sicherheitsprodukten. Jeder namhafte Hersteller bietet dafür etwas an. Die Tech-Industrie hat also nur zögerlich reagiert, wenn es um die Vermeidung von unerwünschten E-Mails geht; dafür mit Produkten, die das Problem bekämpfen. Das passierte teils aufgrund der beschränkten Möglichkeiten und teils wegen des Geschäfts mit E-Mail-Security-Software.
Rufen wir in diesem Kontext die Eckpfeiler der E-Mail-Technologie ins Gedächtnis:
Jedes Unternehmen kann ein System ins Netz stellen, welches E-Mails versenden und empfangen kann, es gibt keine zentrale, steuernde Instanz.
Basis dafür ist das uralte SMTP-Protokoll, entwickelt für verteilte, sich einander vertrauende Systeme.
SMTP bildet einen physischen Brief nach und hat zwei Absenderadressen: den MAIL-FROM (Umschlag)- und den FROM (Briefkopf)-Sender, ein Umstand, den Angreifer tagtäglich nutzen.
Mittels DNS kann man die Eigentümerschaft über die Domänen beweisen, für die man E-Mails sendet und empfängt.
Die Verschlüsselung über TLS sichert die gesamte Kommunikation zwischen zwei Punkten, wie bei einem Webbrowser zwischen Client und Server. Der Versand von E-Mails passiert aber nicht immer direkt zwischen Sender und Empfänger, sondern kann auch „Hops“ dazwischen beinhalten.
Private/Public Key-Verfahren können Daten signieren und verschlüsseln. Das Empfänger-System braucht nur den Public Key.
Vertrauensstellungen über Dritte (Authorities) erfordern, dass sowohl sendendes als auch empfangendes System der Authority vertrauen.
Aufgrund dieser Rahmenbedingungen folgte nun eine Reihe von Maßnahmen, um SPAM einzudämmen und die E-Mail-Kommunikation vertrauenswürdiger zu machen.
Das Feedback der IT-Industrie zum Einsatz dieser Technologien ist nach wie vor zurückhaltend. In der Praxis werden viele dieser Verfahren nur inkonsequent umgesetzt. Einer der Gründe dafür könnte sein, dass der größte Anbieter von Business-Mailboxen sich sehr lange Zeit gelassen hat, um DMARC in der M365-Cloud für Exchange-Online überhaupt zur Verfügung zu stellen. Zwölf Jahre nach der Einführung von Exchange-Online in Europa hat Microsoft erstmals DMARC möglich gemacht, das war vor drei Jahren. Wie ernst ist es der Industrie also wirklich damit?
Die AuthIndicators Working Group hat das Konzept für Brand Indicators for Message Identification (BIMI) ab 2019 in großen Pilotprojekten ausgerollt. Es basiert grundlegend auf dem E-Mail-Sicherheitsstandard DMARC und nutzt für seine DNS-Einträge die Strukturvorgaben, die unter anderem in RFC 8553 für Namen mit Unterstrichen hinterlegt sind. Dahinter stehen große, internationale Anbieter von E-Mail Services wie Google, Yahoo, mailchimp und Twilio (Sendgrid). Mit BIMI können Unternehmen ihr Firmenlogo direkt im Posteingang der Empfänger anzeigen lassen. Voraussetzung dafür ist, dass die betreffende E-Mail zuvor bestimmte Authentifizierungsverfahren erfolgreich durchlaufen hat und der E-Mail-Client diese Logos anzeigen kann.
Dazu muss:
eine korrekt konfigurierte DMARC-Richtlinie (mindestens „quarantine“ oder „reject“) des Absenders existieren und diese gültig durchlaufen worden sein;
ein Logo im SVG-Format, das über DNS abrufbar und im besten Fall sogar mit einem sogenannten Verified Mark Certificate (VMC) beglaubigt ist, in DNS abgelegt sein.
Wichtig ist dabei: BIMI baut auf aktuellen Sicherheitsmechanismen auf und nutzt existierende, nämlich DNS und eine Vertrauensstellung zu einer externen Autorität.
Es ist nicht überraschend, dass große Anbieter mit kommerziellen Interessen den Standard unterstützen. Sie erhalten so die Möglichkeit, ein visuelles Element, das für Vertrauen steht, direkt in die Inbox des Empfängers zu bringen. Damit ist Werbung für die Marke und mehr Sicherheit aus Sendersicht in einem Paket kombiniert.
Ein zentrales Missverständnis im Kontext von BIMI ist die Gleichsetzung von technischer Authentifizierung mit tatsächlicher Identität. DMARC bestätigt lediglich, dass eine Domain technisch korrekt verwendet wurde – nicht, dass sie zum Unternehmen gehört.
Deswegen sind die größte Gefahr bei BIMI vor allem Lookalike-Domains. Es ist für den Durchschnittsanwender schon schwierig, zwischen MAIL-FROM- und FROM-Domäne zu unterscheiden. Wenn BIMI wirklich Standard werden sollte, bekommt ein Logo vom Sender in der Inbox eine ganz neue Bedeutung. Empfänger von E-Mails könnten sich in trügerischer Sicherheit wiegen und die Scheu verlieren, in Fallen zu tappen. Ein Cyberangreifer von gutef1rma.de kann ein Logo von gutefirma.de in DNS ablegen und dann eine E-Mail mit ordnungsgemäßer DMARC Policy an ein potenzielles Opfer senden. Wenn Empfänger von E-Mails einmal BIMI-Logos gewöhnt sind, kann die Wirkung fatal sein. Der visuelle Reiz eines Bildes wird die falsche Domäne im Text sehr wahrscheinlich überstrahlen, und die Falle kann zuschnappen. Der Schutz der Logos über VMC hilft da nur bedingt weiter. VMC hadert aktuell mit der Anzahl der Certificate Authorities, die BIMI unterstützen, und den Kosten des Zertifikates. Ungefähr 150 € mögen für E-Mail-Sicherheit zunächst nicht viel erscheinen. Ein Blick auf die geringe Verbreitung sowie die Möglichkeit der Fälschung über Fake-Domains relativiert diesen Business Case jedoch deutlich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Im Vergleich zu anderen Standardtechnologien wird BIMI von vielen Anbietern von E-Mail-Sicherheitslösungen weniger als Fortschritt, sondern eher als potenzielles neues Risiko bewertet. Deswegen liegt der Fokus weiterhin auf der konsequenten Durchsetzung etablierter Verfahren wie DMARC, DANE, DNSSEC und MTA-STS.
Echtes Vertrauen in E-Mail-Kommunikation lässt sich nur durch konsequent umgesetzte Ende-zu-Ende-Sicherheitsmechanismen erreichen. Verfahren, die unabhängig von der korrekten Konfiguration einzelner Transportstationen funktionieren und die Integrität sowie die Identität des Absenders eindeutig absichern, bieten hier klare Vorteile gegenüber rein transportbasierten Ansätzen.
Solange die E-Mail jedoch primär auf nachträglich ergänzten Schutzmechanismen basiert, bleibt sie anfällig für Missbrauch. Wenn sie langfristig als sicheres Kommunikationsmedium bestehen soll, wird kein Weg daran vorbeiführen, stärker auf verbindliche, durchsetzbare Sicherheitsverfahren zu setzen.
Über den Autor: Roman Stadlmair beschäftigt sich seit vielen Jahren mit E-Mail-Technologien und sammelte Erfahrung mit Microsoft Mail, Exchange Server und Exchange Online. Er ist neunfacher Microsoft MVP sowie Gründer und Betreiber der PowerShell Usergroup Austria. Seit 2019 ist Stadlmair Country Manager Österreich bei SEPPmail und verantwortet Partnermanagement, Kundenbetreuung, Vertrieb sowie die Weiterentwicklung der PowerShell SEPPmail-Toolbox.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/a2/f3a229a81b509f0a52d836b25a640278/0131998141v2.jpeg "BIMI soll E-Mail-Empfängern per Logo mehr Vertrauen geben. Doch Lookalike-Domains mit täuschend ähnlichen Namen können dieses Vertrauen missbrauchen. (Bild: © lisha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/f7/7ff7cb47382628b2b7a10e3a13e7eed4/0132017356v2.jpeg "Cyberattacken nehmen in Deutschland zu. Leider nutzen die Hacker verstärkt die Mittel der künstlichen Intelligenz, weshalb sie noch schwerer zu stoppen sind. Dagegen will die Regierung etwas tun. Außerdem gab es kürzlich einen schönen Erfolg gegen diese Art der Kriminalität ... (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/c4/a7c4d7b5a39b5b6dca3502c3657e32bf/0132018277v2.jpeg "Drei CVSS-10.0-Lücken in UniFi OS lassen sich ohne Anmeldung zu einer vollständigen Root-Übernahme verketten. CISA stuft sie als aktiv ausgenutzt ein, der Patch liegt mit Version 5.0.8 vor. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/87/af870dceba71f676a57aff96bacc9247/0131994344v2.jpeg "SearchLeak verschafft Cyberkriminellen per Klick Zugriff auf Postfach, Kalender und Microsoft-365-Dateien. Klassische Phishing-Filter erkennen den Angriff nicht, weil er über einen echten Microsoft-Link erfolgt. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/91/60918a90c10e4f626af3b6ad937c057f/0131873319v1.jpeg "Das Bild visualisiert einen Zufallszahlengenerator, der auf Quantenfluktuationen beruht (Bild: Fraunhofer IPMS/KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/00/a9/00a9f10bccfd04a166aea3aec68c619d/0131975032v2.jpeg "Gefährdungsbeurteilungen ohne IT-Sicherheit hinterlassen blinde Flecken im Arbeitsschutz. TRBS 1115 zeigt, wie Unternehmen diese Lücken systematisch schließen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/ef/e7ef3de359cc67fd1633fb2bbde612bc/0131901892v1.jpeg "Unternehmen, die heute anfangen, ihre Anwendungsbereitstellung zu standardisieren und zu automatisieren, werden sich in wenigen Jahren einen erheblichen Vorsprung in Sachen Effizienz, Sicherheit und Compliance erarbeiten. (Bild: © Finkenherd - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/da/b4/dab4612f7c2dcfc259b9ccd933a87cd8/0131971369v2.jpeg "Eine Phishing-Mail reicht aus, um ein Netzwerk in Minuten zu kompromittieren. Darauf antwortet Barracuda jetzt mit Integrated Email Protection. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/e2/6ae2b161550c351083edc918172ea541/0129495526v1.jpeg "Deepfakes erkennen, wenn das Auge versagt: Im Podcast erklärt Raphael Frick vom Fraunhofer SIT, wie KI-basierte Forensik Fälschungen entlarvt, die Menschen nicht mehr erkennen können. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/42/8d/428dc0efc2c83df53175fd9c7184e9fd/0131903746v1.jpeg "Über acht Terabyte an unverschlüsselten Passwörtern, Benutzernamen und E-Mail-Adressen waren zeitweise frei im Netz zugänglich. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b4/47/b447a541d13297e9442c83d3c04e07f1/0124964432v1.jpeg "Mit der aktuellen Mitteilung des Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen Unternhemen ihre E-Mail-Sicherheit upgraden können. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/60/3f/603f792d820ec7d8d04113c8f0f20a5c/0122090450v2.jpeg "Cyberkriminelle nutzen Künstliche Intelligenz, um ihre Angriffe zu verbessern. CISOs sollten KI ebenfalls für die Abwehr einsetzen. (Bild: Gstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/ab/78ab6031a2bfedc8580359a3d00ea6f6/90364462.jpeg "DKIM ist für Unternehmen und vor allem E-Mail Service Provider (ESP) das erste Puzzleteil für die erfolgreiche Implementierung von DMARC und schließlich BIMI. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/72/e8/72e8ce3f4b573d059393e5a5991e9e2f/0128518662v2.jpeg "Phishing nutzt psychologische Trigger und bleibt trotz Technik gefährlich. Vernetzte Abwehr mit Micro-Trainings, einfachen Meldemechanismen und E-Mail-Authentifizierung senkt Risiken. (Bild: © mk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/66/4b66437c281843d7f2c99a1757c8dfa4/0128929211v2.jpeg "Der Cybercrime-Dienst RedVDS bot kriminellen Nutzern Zugang zu virtuellen Wegwerfcomputern, die für 24 Dollar im Monat gemietet werden konnten. Diese Computer ermöglichten anonyme Straftaten und konnten nach der Nutzung schnell abgeschaltet werden, um die Strafverfolgung zu erschweren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/32/db/32db04cde917090220c3ae1c95ba38d2/0129686939v2.jpeg "Das Hamburger E-Mail-Security-Startup Conbool wurde ins Karlsruher CyberLab-Accelerator-Programm aufgenommen und will dort seine KI-basierte Erkennungstechnologie gegen Phishing und Betrugsversuche weiterentwickeln. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")