Tausende Nutzer erhielten Phishing-Mails von scheinbar offiziellen Adressen der österreichischen Polizei. IT-Experten machen dafür mangelhafte Schutzmaßnahmen im BMI verantwortlich, im Ministerium spricht man von “laufender Evaluierung.”

“Im Zuge eines behördlichen Verfahrens wurde Ihrer Organisation ein offizielles Dokument durch die Landespolizeidirektion Wien übermittelt.” Und: “Wir ersuchen Sie, den Inhalt dieses Dokuments unverzüglich zu prüfen und gegebenenfalls entsprechend der darin enthaltenen Hinweise oder Fristen zu handeln.”

Mit Behördensprech und blauem Polizei-Logo trudelte eine angeblich “amtliche Mitteilung” seit Ende letzten Jahres tausendfach in E-Mail-Postfächern österreichischer Nutzer ein. Besonders bedenklich: Die Nachricht stammte laut Absender von einer augenscheinlich echten Polizei-Adresse – inklusive der offiziellen Endung “polizei.gv.at”, über die eigentlich nur die heimischen Sicherheitsbehörden verfügen sollten. Im Fall dieses Schreibens meldete sich aber nicht die Polizei, sondern Betrüger, die mit der Phishing-Mail wohl auf Daten und Vermögen von Firmen und Privatpersonen aus waren.

Zwar informierte das Bundeskriminalamt Mitte Jänner auf seinen Kanälen über die Betrugsmasche, IT-Sicherheitsberater bemängeln aber, dass es mit den richtigen Sicherheitseinstellungen gar nicht so weit gekommen wäre. Das BMI sei hier säumig und nehme Betrug im Namen der Polizei in Kauf, so die Kritik.

“DMARC”-Einstellungen in der Kritik

Tobias Winter ist Inhaber des IT-Dienstleisters twin IT Solutions. Er betreut Unternehmen bei ihrer digitalen Infrastruktur und hat täglich mit E-Mail-Konfigurationen zu tun. Einer seiner Kunden war unter den tausenden Empfängern der falschen Polizei-Mails. Die Mail landete zwar im Spam-Ordner. Bei einem Routinecheck fiel dem Betroffenen jedoch die scheinbar authentische Domain auf – er wollte den Anweisungen bereits folgen und machte erst im letzten Moment einen Rückzieher. Winter ist sich sicher: “Hätte die Polizei beziehungsweise das Innenministerium die korrekten Sicherheitseinstellungen gesetzt, würden Mailserver die gefälschten E-Mails automatisch ablehnen.”

Das Versenden von Mails im Namen fremder Domains nennt man “Spoofing”. Der Experte merkt an, dass entsprechende Sicherheitseinstellungen – sogenanntes Domain-based Message Authentication, Reporting & Conformance (kurz DMARC) – das Versenden verhindern können. Die aktuelle DMARC-Policy des Innenministeriums sei dafür allerdings nur mangelhaft eingestellt.

Winter wandte sich mit dem Sachverhalt im Februar an das Cybercrime Competence Centre im Bundeskriminalamt (BK) und schrieb: “Dass ausgerechnet die Institution, die für Cybersicherheit und Betrugsbekämpfung zuständig ist, auf diesen fundamentalen Standard der E-Mail-Authentifizierung verzichtet, ist schwer nachvollziehbar und untergräbt das Vertrauen der Bürger in die digitale Kommunikation der Exekutive.”

Dort zweifelte man das bereits bekannte Problem an und ging davon aus, dass lediglich der Absender-Name gefälscht sei und es sich um “gefälschte Header” handelte, also nur um eine polizeilich anmutende Empfänger-Zeile, keine Kopie der echten Domain. “Leider würde dagegen keine korrekte DMARC-Policy helfen, sondern Aufklärung und ein wachsames Auge”, schrieb ein Mitarbeiter des BK. Winter reichte relevante Daten des Originalmails nach und bat “diesen Hinweis an die zuständige BMI IT-Sicherheit weiterzuleiten.” Eine weitere Antwort erhielt der Hinweisgeber nicht mehr.

Aber nicht nur Winter ortet Mängel bei den Sicherheitseinstellungen, auch andere IT-Experten äußerten sich im Zuge der jüngsten Phishing-Attacke durch scheinbar echte Polizei-Domains kritisch. “Wer hat noch keinen DMARC-Eintrag? Die polizei.gv.at hat keinen DMARC-Eintrag. War da nicht irgendwas mit Datenschutz und ‘Stand der Technik’?”, kommentierte der IT-Berater David Lang bei Linkedin, dessen Firma BIGBYTES ebenfalls eine gefälschte Polizei-Mail erhielt. Auch das deutsche Unternehmen “noSpamproxy” beschrieb in einem Blogbeitrag “erhebliche Sicherheitsrisiken” durch die vom BMI gewählte DMARC-Einstellung “none.” Dadurch könne Missbrauch zwar beobachtet, allerdings nicht verhindert werden.

Strengere Einstellung in anderen Ministerien und Behörden

Während Adressen von BMI und Polizei also recht einfach gekapert werden können, sind andere Behörden einen Schritt weiter. Domains des Justiz- und Finanzministeriums setzen bereits auf den strengeren Schutz “quarantine”, eine Zustellung gänzlich unterbinden kann die Einstellung “reject.”

Im Finanzministerium hätte man den Schutz “im Jahr 2020” implementiert, heißt es gegenüber ZackZack. “Das BMF orientiert sich am nationalen, europäischen und internationalen Sicherheitsstandard.” Dass man “quarantine” wählt, wird mit der “Empfehlung anerkannter Sicherheitsstandards“, begründet. Auch das Justizministerium bestätigt: “Die Justiz nutzt für ihre IT‑ und E‑Mail‑Infrastruktur das Bundesrechenzentrum als Full‑Service‑Provider. Im Rahmen dieser Zusammenarbeit und vor dem Hintergrund aktueller sicherheitstechnischer Entwicklungen wurde entschieden, den bestehenden DMARC‑Schutz weiter zu stärken.”

Dass auch Polizeibehörden auf strengen DMARC-Schutz setzen, zeigt eine ZackZack-Nachfrage in Bayern. Das dortige Landeskriminalamt teilt mit: “Für die Domain polizei.bayern.de wird ein restriktiver DMARC-Schutz eingesetzt; zuletzt wurde die entsprechende DMARC-Policy im 1. Halbjahr 2025 verschärft. Die Schutzmaßnahme erstreckt sich auf die gesamte Bayerische Staatsverwaltung. Sie basiert auf Empfehlungen des Landesamtes für Sicherheit in der Informationstechnik Bayern.”

BMI “evaluiert Sicherheitsmechanismen laufend”

Warum verzichtet man also im österreichischen Innenministerium auf den stärkeren Schutz? Man begründet das mit der Sorge, dass echte Mails nicht mehr ankommen könnten. “Bei restriktiveren DMARC-Policies (z. B. „quarantine“ oder „reject“) besteht das Risiko, dass E-Mails von Behörden aufgrund uneinheitlicher oder fehlerhafter Implementierungen auf empfangenden Mailservern fälschlich blockiert oder nicht zugestellt werden“, so ein Sprecher. “Gerade für Behörden mit umfangreicher Kommunikation mit Bürgerinnen und Bürgern sowie unterschiedlichsten Organisationen ist eine verlässliche Zustellung zentral.” Sicherheitsmechanismen würden “laufend evaluiert” werden und sich an “internationale Standards sowie Erfahrungen anderer Organisationen orientieren.”

IT-Unternehmer Tobias Winter überzeugen die Bedenken nicht: “Das ist technischer Unsinn. DMARC ist ein Standard, der dem Empfänger exakt sagt, was er tun soll. Wenn eine legitime E-Mail abgewiesen wird, liegt das fast immer daran, dass die Behörde selbst ihre Hausaufgaben nicht gemacht hat – sprich: Sie hat vergessen, ein eigenes System sauber zu konfigurieren.”

Während große Anbieter wie Gmail noch Lücken haben, setzen zumindest offizielle Behörden zunehmend auf strengeren Schutz. Eine Analyse der Plattform “Powerdmarc” verzeichnet bei US-Behörden eine Implementierung der strengen “reject”-Einstellung von über 80 Prozent. Auch britische Behörden setzen auf strenge Einstellungen, sie bieten auch ein Tool an, um den Schutz verschiedener Domains zu testen.

Titelbild: Christopher Glanzl / canva