30. Juni 2026 News

Wenn die E-Mail lügt – Was wir über die Ghost-Sender-Lücke wissen müssen

Eine neue Betrugsmasche macht klassische Schutzmaßnahmen wirkungslos.

Mehr Informationen +

Im Juni 2026 wurde bekannt, dass Kriminelle eine grundlegende Schwäche im weltweit meistgenutzten E-Mail-Dienst – Microsoft Exchange Online – gezielt ausnutzen können. Der Name dieser Technik: Ghost Sender.

Das Prinzip lässt sich einfach erklären: Stellen Sie sich vor, jemand kann Ihnen einen Brief schicken, der äußerlich exakt wie ein amtliches Schreiben Ihrer Hausbank aussieht – mit dem richtigen Briefkopf, der richtigen Unterschrift, dem richtigen Logo. Kein Experte könnte auf den ersten Blick erkennen, dass der Brief eine Fälschung ist. Genau das passiert jetzt mit E-Mails. Kriminelle können jede beliebige Absenderadresse fälschen – den Geschäftsführer, den Steuerberater, den Lieferanten – und die E-Mail kommt ohne Warnhinweis, ohne Phishing-Banner, ohne Auffälligkeiten an. In Microsofts E-Mail-Programm Outlook zeigt das System sogar automatisch das korrekte Profilbild der gefälschten Person an.

Microsofts Reaktion: „Kein Produktfehler”

Microsoft wurde am 21. April 2026 erstmals über das Problem informiert. Das Microsoft Security Response Center (MSRC) schloss den Bericht zunächst als „Non-Vulnerability”. Am 22. April 2026 wurde intern eine Mitigation ausgerollt – die jedoch bereits am 27. April wieder zurückgenommen wurde. In der letzten Kommunikation vom 29. Mai 2026 klassifizierte Microsoft Ghost Sender als „known architectural limitation” – also als bekannte architektonische Einschränkung, nicht als Sicherheitslücke im klassischen Sinne. Eine plattformseitige Behebung existiert damit bis zum heutigen Zeitpunkt nicht.

Warum ist das ein Problem für Unternehmen, die alles „richtig” machen?

Bisherige Empfehlungen an Unternehmen lauteten: Aktiviert die Sicherheitsstandards für E-Mail-Authentifizierung, setzt auf einen spezialisierten Spam- und Phishing-Filter, schult eure Mitarbeiter. All das ist nach wie vor sinnvoll – aber bei Ghost Sender reicht es schlicht nicht mehr.

Die Schwachstelle liegt nämlich nicht im Unternehmen selbst, sondern in der Art, wie Microsoft Exchange Online mit externen E-Mail-Sicherheitsdiensten zusammenarbeitet. Viele Firmen schalten einen Drittanbieter für Spam- und Virenfilterung vor ihre E-Mail-Infrastruktur. Genau in dieser Schnittstelle liegt die Lücke: Angreifer können sie umgehen und E-Mails direkt an das Microsoft-System zustellen – an allen Sicherheitsprüfungen vorbei. Das betroffene Unternehmen hat dabei keinen einzigen Konfigurationsfehler gemacht.

Das ist das Wesen eines sogenannten Lieferketten-Risikos in der Cloud: Der Schaden entsteht nicht durch eigenes Versagen, sondern durch eine Schwäche in einem Dienst, den man täglich nutzt und dem man zwangsläufig vertrauen muss. Und genau deshalb sind auch technisch gut aufgestellte, sicherheitsbewusste Unternehmen betroffen – mehr als 20% der analysierten Unternehmens-Domains waren anfällig.

Wie sehen die Schadensszenarien im Alltag aus?

Ghost Sender ist kein theoretisches Risiko. Es ist ein Werkzeug, das für die gängigsten und finanziell folgenreichsten Betrugsformen maßgeschneidert ist:

Szenario 1 – Die dringende Überweisung vom Chef
Ein Mitarbeiter in der Buchhaltung erhält eine E-Mail, die augenscheinlich vom Geschäftsführer stammt. Profilbild stimmt, Absenderadresse stimmt, Schreibstil passt. Der Inhalt: eine vertrauliche, dringende Überweisung auf ein neues Konto. Das Geld ist überwiesen, bevor jemand die echte Mobilnummer des Geschäftsführers wählt. Diese Betrugsform ist als CEO-Fraud oder Fake-President-Betrug bekannt.

Szenario 2 – Die neuen Bankdaten des Lieferanten
Ein Unternehmen erhält eine E-Mail von einem langjährigen Lieferanten mit dem Hinweis, dass sich die Bankverbindung geändert hat. Die nächste Rechnung wird auf das neue Konto überwiesen – das dem Lieferanten nicht gehört. Diese Variante nennt sich Payment Diversion.

Szenario 3 – Der IT-Support mit dem Link
Eine E-Mail der „eigenen IT-Abteilung” bittet um eine Passwortbestätigung über einen mitgeschickten Link. Der Link führt auf eine Fälschung. Das Passwort landet bei den Angreifern.

Die Zahlen dahinter sind eindeutig: Betrugsfälle über gefälschte E-Mails machen 60% aller Schäden in der Cyberversicherung aus. Im deutschsprachigen Raum war 2024 jedes fünfte Unternehmen direkt von solchen Angriffen mit finanziellem Schaden betroffen. Im Jahr 2025 waren 81% aller untersuchten Cybervorfälle in Unternehmen in Deutschland und den Benelux-Ländern auf diese Betrugsform zurückzuführen.

Warum reichen bestehende Versicherungen oft nicht aus?

Hier liegt die eigentliche Herausforderung für Makler. Auf den ersten Blick scheint die Antwort einfach: „Mein Kunde hat eine Cyberversicherung, also ist er abgesichert.” In der Praxis ist das leider zu kurz gedacht.

Die Cyberversicherung wurde ursprünglich für technische Vorfälle entwickelt – Datenpannen, Hackerangriffe, Systemausfälle. Bei Ghost-Sender-Schäden handelt es sich aber primär um Betrugsschäden durch Täuschung: Kein System wurde gehackt, kein Passwort gestohlen. Ein Mitarbeiter wurde manipuliert, eine Zahlung auszulösen. Viele Cyberversicherungs-Policen decken diesen direkten Geldverlust gar nicht oder nur mit niedrigen Höchstgrenzen ab.

Die Vertrauensschadenversicherung ist das Produkt, das für genau diese Schäden gemacht wurde. Ein modernes Produkt greift bei CEO-Fraud, bei gefälschten Zahlungsanweisungen und bei Identitätsbetrug – auch dann, wenn kein eigenes IT-System angegriffen wurde. Genau das ist bei Ghost Sender der Regelfall: Die eigene IT ist intakt, das Geld trotzdem weg.

Das Problem: In vielen Unternehmensportfolios fehlt die Vertrauensschadenversicherung ganz. Und dort, wo sie vorhanden ist, deckt sie häufig nur Schäden durch eigene Mitarbeiter – nicht durch externe Täter, die sich von außen als jemand anderes ausgeben.

Das Ergebnis ist eine Schutzlücke, die erst im Schadenfall sichtbar wird – das zeigt: Erst das Zusammenspiel beider Produkte schließt die Lücken, die Ghost Sender reißt.

Was Geschäftsführer zusätzlich wissen sollten: Persönliche Haftung

Ghost Sender trifft auf eine Rechtslage, die das Thema für Unternehmenslenker noch brisanter macht. Die EU-Richtlinie NIS-2, die seit 2024 in nationales Recht umgesetzt wird, verpflichtet Unternehmen ausdrücklich dazu, die Sicherheitsrisiken ihrer Dienstleister und Cloud-Anbieter zu bewerten und zu managen. Geschäftsführer haften bei schwerwiegenden Versäumnissen persönlich – mit Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes.

Ein Unternehmen, das Microsoft Exchange Online und einen externen E-Mail-Filter einsetzt, ohne diese Schnittstelle auf Ghost-Sender-Anfälligkeit geprüft zu haben, riskiert nicht nur den Betrugsschaden – sondern auch behördliche Konsequenzen. Das ist ein Gesprächsthema, das Makler im Kundentermin gezielt ansprechen sollten: nicht als Panikmache, sondern als sachlicher Hinweis auf eine reale, regulatorisch relevante Pflicht.

Fünf Fragen, die im nächsten Kundentermin den Unterschied machen

Ein gutes Beratungsgespräch beginnt nicht mit Produkten, sondern mit der richtigen Diagnose. Diese fünf Fragen öffnen das Thema, ohne technisches Vorwissen beim Kunden vorauszusetzen:

„Wie würde Ihre Buchhaltung reagieren, wenn der Geschäftsführer per E-Mail eine dringende Auslandsüberweisung anweist – und die E-Mail von seiner richtigen Adresse kommt?” – Die meisten Mitarbeiter würden überweisen. Das ist keine Schwäche, das ist menschliches Vertrauen.
„Was deckt Ihre Cyberversicherung konkret, wenn kein System gehackt wurde, aber trotzdem Geld verloren geht?” – Hier zeigen sich die meisten Deckungslücken.
„Haben Sie eine Vertrauensschadenversicherung – und deckt sie auch Schäden durch externe Täter, die sich als jemand anderes ausgeben?” – Viele Policen sichern nur interne Schadensfälle ab.
„Wer in Ihrem Unternehmen ist dafür verantwortlich, die Sicherheit der von Ihnen genutzten Cloud-Dienste zu überwachen?” – Diese Frage öffnet die NIS-2-Diskussion ohne Fachjargon.
„Falls morgen eine gefälschte E-Mail Ihres Steuerberaters bei Ihnen eingeht und ein Mitarbeiter daraufhin Dokumente weiterleitet – wer haftet, und wer zahlt?” – Diese Frage verdeutlicht, dass das Risiko nicht nur die eigene Firma betrifft, sondern das gesamte Geschäftsnetzwerk.

Resilienz durch Absicherung, nicht nur durch Prävention

Ghost Sender zeigt in aller Deutlichkeit, was in der modernen Risikolandschaft gilt: Kein Unternehmen ist eine Insel. Wer Cloud-Dienste nutzt, trägt Risiken aus der Infrastruktur seiner Dienstleister mit – ob er will oder nicht. Microsoft selbst klassifiziert Ghost Sender nicht als Fehler, sondern als architektonische Eigenschaft. Eine plattformseitige Lösung ist nicht in Sicht – ein Absicherung ist durch eine Konfigurationsänderung möglich – Informationen dazu findet man bei Infoguard auf einer speziell eingerichteten Seite.

BEC-Angriffe machen bereits einen Großteil aller Cyber-Versicherungsschäden aus. Ghost Sender gibt Angreifern ein hochpräzises Werkzeug in die Hand, um genau diese Angriffsform zu industrialisieren.

Die Antwort auf strukturelle Risiken außerhalb des eigenen Einflussbereichs lautet nicht allein technische Härtung – sondern finanzielle Resilienz durch Versicherungslösungen, die im Schadenfall greifen, bevor ein Unternehmen existenziell gefährdet ist. Genau darin liegt die zentrale Beratungsaufgabe für spezialisierte Versicherungsmakler im Bereich Financial Lines und Cyber.