PhishingService
    Respond

    Wer analysiert die gemeldeten E-Mails?

    22. Dezember 2025
    4 Min. Lesezeit
    Marcel Oberli
    Marcel Oberli
    Co-CEO
    Wer analysiert die gemeldeten E-Mails?

    Verdächtige E-Mails melden ist einfach – die Analyse dahinter leider nicht

    Dass Mitarbeitende verdächtige E-Mails melden können und sollen, ist heute in vielen Unternehmen angekommen. Ein klarer Meldeknopf im Mailclient senkt die Hemmschwelle und gibt den Usern eine einfache Möglichkeit, aktiv zur Sicherheit des Unternehmens beizutragen.

    Das ist gut so und es funktioniert.

    Denn genau über diese Meldungen erhalten Security Operations Center (SOC) und E-Mail-Administratoren wertvolle Hinweise auf Angriffe, die es durch technische Filter geschafft haben – sei es Phishing, Malware oder gezielte Social-Engineering-Versuche. Kein technischer Filter ist perfekt, und der Mensch bleibt eine extrem wichtige zusätzliche Sensorik.

    Die unbequeme Frage: Wer analysiert diese E-Mails eigentlich?

    Was jedoch in vielen Organisationen erstaunlich unklar bleibt, ist die Frage: Was passiert nach dem Melden konkret?, respektive, Wer analysiert diese verdächtigen E-Mails?

    In der Praxis landet diese Aufgabe häufig beim Helpdesk. Und genau hier beginnen die Probleme.

    Der Helpdesk ist in der Regel bereits stark ausgelastet und auf schnelle Problemlösung ausgelegt. Die Analyse verdächtiger E-Mails ist jedoch:

    • zeitaufwendig
    • repetitiv, aber nicht trivial
    • sicherheitskritisch
    • und erfordert spezialisiertes technisches Wissen

    Die zuverlässige Unterscheidung zwischen einem echten Angriff und einer harmlosen E-Mail ist anspruchsvoll. Woher soll der Helpdesk beispielsweise wissen, ob eine PDF-Datei schädlich ist? Ob ein eingebetteter Link zu einer bekannten Infrastruktur gehört oder Teil eines gezielten Angriffs ist? Oder ob ein Office-Dokument tatsächlich harmlose Makros enthält?

    Ohne die passenden Analyse-Tools, Threat-Intelligence-Quellen und Erfahrung ist diese Aufgabe kaum seriös zu erledigen.

    Helpdesk vs. SOC

    Das SOC wäre geeignet, ist aber oft überlastet

    Technisch und fachlich wären Security Operations Center deutlich besser für diese Aufgabe geeignet. SOC-Analysten verfügen über das notwendige Know-how, kennen die Angriffsmuster und hätten auch den Kontext, um Meldungen richtig einzuordnen.

    In der Realität sind SOC-Teams jedoch häufig bereits stark ausgelastet. Incident Response, Alarme aus SIEM, EDR, NDR und Cloud-Systemen, Compliance-Anforderungen und Reporting lassen wenig Spielraum. Zudem ist die Rolle des „Mail Analysten" nicht besonders beliebt. Sie ist monoton in grossen Stückzahlen, aber gleichzeitig fehleranfällig und verantwortungsvoll.

    Das Ergebnis ist oft ernüchternd:

    • Die Analyse wird verzögert oder ganz vernachlässigt
    • Mitarbeitende erhalten keine Rückmeldung
    • Oder sie erhalten eine sehr generische, wenig hilfreiche Antwort
    • Oder die Antwort kommt viel zu spät

    Ein gefährlicher Nebeneffekt: Die Meldekultur leidet

    Für Mitarbeitende ist das extrem frustrierend. Wer sich die Mühe macht, eine verdächtige E-Mail zu melden, erwartet zumindest eine kurze, zeitnahe Rückmeldung. Bleibt diese aus oder wirkt unprofessionell, geht die Motivation schnell verloren.

    Die Folge ist, dass Mitarbeitende aufhören zu melden und genau damit geht ein enorm wertvoller Sicherheitsgewinn verloren.

    Das ist schade. Und vor allem unnötig.

    Unterstützung durch Tools und Automatisierung

    Die gute Nachricht: Unternehmen müssen diese Herausforderung nicht rein manuell lösen.

    Es gibt inzwischen eine ganze Reihe von spezialisierten Tools, die Analysten bei der E-Mail-Analyse unterstützen – inklusive Automatisierung, Orchestrierung und natürlich auch KI-gestützten Funktionen. Solche Lösungen können unter anderem:

    • E-Mails automatisch zerlegen (Anhänge, Links, Header)
    • Dateien und URLs in Sandboxes analysieren
    • Threat Intelligence einbeziehen
    • bekannte Angriffe schnell wiedererkennen
    • Standardfälle automatisiert abschliessen
    • strukturierte und verständliche Rückmeldungen an Mitarbeitende liefern

    So wird aus einer zeitintensiven Einzelanalyse ein effizienter, skalierbarer Prozess. Der Mensch bleibt in der Kontrolle – aber wird dort eingesetzt, wo er wirklich Mehrwert bringt.

    Fazit

    Das Melden verdächtiger E-Mails ist ein wichtiger und funktionierender Baustein der Unternehmenssicherheit. Doch ohne eine klar geregelte, professionelle Analyse dahinter läuft dieses Konzept ins Leere.

    Unternehmen sollten sich deshalb nicht nur fragen ob Mitarbeitende melden können, sondern auch:

    • Wer analysiert die Meldungen?
    • Mit welchen Tools?
    • In welcher Zeit?
    • Und wie erhält der Mitarbeitende Feedback?
    MeldenAnalyseRespond