Das Bundesamt für Sicherheit in der Informationstechnik (BSI) startet eine neue Aufklärungskampagne. Sie zielt auf gravierende Sicherheitslücken in mobilen E-Mail-Programmen ab. Auslöser sind alarmierende Ergebnisse einer aktuellen Marktuntersuchung.
Die Behörde reagiert damit auf die Realität: Für die meisten Bürger ist das Smartphone die primäre Steuerzentrale ihrer digitalen Identität. Von der Passwort-Wiederherstellung bis zur Zwei-Faktor-Authentifizierung läuft alles über den kleinen Bildschirm.
Untersuchung zeigt: Lokale Daten oft ungeschützt
Das BSI hatte Mitte Dezember zwölf weit verbreitete E-Mail-Programme analysiert. Das beunruhigende Kernergebnis: Viele Apps speichern Nachrichten und sogar Zugangsdaten unverschlüsselt auf dem Gerät.
Für Angreifer mit physischem Zugriff gleicht das einem offenen Buch. „E-Mail-Programme sind Archive privatester Nachrichten, sensibler Rechnungen und persönlicher Fotos“, sagt Caroline Krohn, Fachbereichsleiterin für Digitalen Verbraucherschutz beim BSI. Diese ungeschützte lokale Speicherung sei ein unnötiges und vermeidbares Risiko.
Phishing-Angriffe und gefälschte E‑Mails nutzen genau die Lücken, die das BSI benennt – oft genügt ein Klick, und Zugangsdaten sind weg. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte-Anleitung aktuelle Methoden, psychologische Tricks (zum Beispiel CEO‑Fraud) und sofort umsetzbare Schutzmaßnahmen für Ihr Smartphone und Ihr E‑Mail‑Konto. Besonders Eltern und Mobile‑Banking‑Nutzer profitieren von den Praxistipps. Jetzt Anti‑Phishing‑Guide herunterladen
BSI fordert „Security-by-Default“ von Anbietern
Ein zentraler Pfeiler der Kampagne ist der Appell an die Softwarehersteller. Das BSI fordert eine Abkehr vom Prinzip, dass Nutzer sich Sicherheit erst mühsam in Untermenüs aktivieren müssen.
Stattdessen soll „Security-by-Default“ zum Standard werden. Das bedeutet: Funktionen wie lokale Verschlüsselung und moderner Identitätsschutz müssen ab Werk aktiviert sein. Die Behörde drängt besonders auf die flächendeckende Integration von Passkeys und biometrischen Verfahren als Standard.
Das können Nutzer sofort tun
Unter dem Dach der Initiative „einfachaBSIchern“ gibt das BSI konkrete Handlungsanweisungen. Diese Sofortmaßnahmen erhöhen das Sicherheitsniveau deutlich:
- Bildschirmsperre immer aktivieren: Sie ist die erste Verteidigungslinie gegen physischen Datenzugriff.
- Zwei-Faktor-Authentifizierung (2FA) nutzen: Für das E-Mail-Konto als „Master-Schlüssel“ ist 2FA unverzichtbar.
- Verschlüsselung prüfen: In den App-Einstellungen sollte nach einer Option für lokale Verschlüsselung gesucht werden.
- Der „3-Sekunden-Check“: Vor dem Klick auf Links oder Anhänge immer Absender, Betreff und Plausibilität prüfen.
Besonders im Fokus stehen auch Eltern. Die E-Mail-Konten von Kindern und Jugendlichen sind oft attraktive Ziele für Cyberkriminelle.
Kampagne als Höhepunkt des „E-Mail-Sicherheitsjahres“
Die aktuelle Fokussierung auf Smartphones markiert den Höhepunkt des vom BSI ausgerufenen „E-Mail-Sicherheitsjahres 2025“. Während bisher vor allem serverseitige Standards im Mittelpunkt standen, schließt dieser Vorstoß die Lücke zum Endgerät.
Experten halten diesen Schritt für überfällig. In einer Zeit, in der Mobile Banking und behördliche Kommunikation über Apps laufen, ist ein kompromittiertes E-Mail-Konto ein Einfallstor für Identitätsdiebstahl. Manche Kritiker fragen jedoch: Reicht der Appell an die Anbieter, oder braucht es gesetzliche Vorgaben?
Eines zeichnet sich ab: Das Thema „Mobile Security“ wird auch 2026 die Agenda des BSI bestimmen. Für Verbraucher bedeutet das, künftig noch genauer auf Sicherheitskennzeichen in den App-Stores zu achten.
PS: Sie wollen verhindern, dass ein kompromittiertes E‑Mail‑Konto zur Identitätsfalle wird? Das Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte‑Strategie gegen gefälschte Nachrichten, zeigt branchenspezifische Gefahren (inklusive CEO‑Fraud) und enthält Checklisten für Eltern und Privatnutzer. Schnell umsetzbare Maßnahmen erhöhen sofort Ihre Smartphone‑Sicherheit. Der Download ist kostenlos und wird direkt per E‑Mail zugestellt. Anti‑Phishing‑Paket jetzt sichern
