DMARC
← Blog

DMARC für Banken: warum Finanzmarken bevorzugte Ziele sind

Von Thomas · virtueller CISO · 2026-06-16

Wenige Marken werden so unermüdlich imitiert wie Banken. Eine gefälschte E-Mail „von deiner Bank" trägt eine unmittelbare Autorität, kommt oft im richtigen Moment (eine Zahlung, ein Login-Alarm) und führt direkt zum Geld. Diese Kombination macht Finanzmarken zum Lieblingskostüm der Phishing-Kampagnen weltweit — genau deshalb zählt ein durchgesetztes DMARC für Banken mehr als für fast jeden anderen. Dieser Artikel untersucht, warum die Finanzbranche ein solches Ziel ist, was die öffentlichen Daten über die reale Haltung der Branche verraten und wie eine Bank vorgehen sollte, um sich zu schützen.

Warum Angreifer die Domain einer Bank lieben

Drei Eigenschaften machen eine Bankdomain außergewöhnlich wertvoll zum Imitieren:

  • Das eingebaute Vertrauen. Menschen sind darauf konditioniert, auf Nachrichten ihrer Bank zu reagieren. Ein überzeugendes From: sicherheit@deinebank.de hebt die Skepsis des Empfängers, noch bevor er ein Wort gelesen hat.
  • Das Geld am Ende. Anders als die Imitation einer beliebigen Marke führt das Ausgeben als Bank direkt zum Diebstahl von Zugangsdaten, zu betrügerischen Überweisungen und zur Kontoübernahme. Der Gewinn ist unmittelbar.
  • Ein hohes legitimes Volumen. Banken versenden enorme Mengen echter transaktionaler Post — Kontoauszüge, Alarme, Einmalcodes — eine betrügerische Nachricht fügt sich also in einen erwarteten Fluss ein. Sie sticht nicht heraus.

Ohne DMARC-Durchsetzung hat ein empfangender Server keine zuverlässige Möglichkeit, den echten Alarm der Bank von der Fälschung des Angreifers zu unterscheiden. Beide zeigen dieselbe Adresse.

Das Paradox: Banken sollten führen, aber viele tun es nicht

Man würde erwarten, dass Banken — Institutionen, die massiv in Sicherheit investieren — bei der DMARC-Einführung an der Spitze stünden. Viele sind es. Aber eine überraschende Zahl veröffentlicht einen DMARC-Eintrag, blockiert bei p=none: Überwachung, kein Schutz. Die Gründe sind dieselben wie bei allen anderen (siehe warum die meisten Domains blockiert bleiben), verstärkt durch die Größenordnung: Eine große Bank versendet von Dutzenden Plattformen aus, quer über Geschäftsbereiche und Regionen, und die Angst, einen einzigen legitimen Kontoauszug zu blockieren, hält die Policy jahrelang weich.

Das ist messbar, nicht anekdotisch. Unser DMARC-Observatorium verfolgt die öffentliche DMARC-Haltung der großen Banken in mehreren Ländern und ordnet jede als geschützt (p=reject), in Durchsetzung (p=quarantine), nur Beobachtung (p=none) oder ungeschützt ein. Der wiederkehrende Befund: Ein nennenswerter Teil bekannter Privatkundenbanken ist noch immer nicht in Durchsetzung — und lässt so ihre publikumsnahe Domain heute imitierbar.

Die Falle Publikumsmarke vs. Corporate-Domain

Es gibt eine Feinheit, die großen Institutionen eigen ist, und sie ist es wert, betont zu werden, weil sie eine reale Exposition verschleiert. Eine Bank hat oft eine gepflegte und gut geschützte Corporate-Domain (die der Pressemitteilungen und Investor-Relations-Seiten), während die publikumsnahe Markendomain — die, von der Kunden tatsächlich Post empfangen und die sie erkennen würden — bei p=none hinterherhinkt. Die Sicherheitsteams verweisen auf die geschützte Corporate-Domain; die Angreifer zielen auf die exponierte publikumsnahe Domain.

Wenn du eine Bank (oder deine eigene Organisation) bewertest, prüfe die Domain, die die Kunden in ihrem Postfach sehen, nicht nur die Corporate-Muttergesellschaft. Das ist die Adresse, die der Betrug imitieren wird. Unsere Prüfseiten pro Domain zeigen das Urteil der genauen Domain, die du eingibst, um die beiden zu unterscheiden.

DORA, NIS2 und der regulatorische Rückenwind

Für Finanzunternehmen der EU ist es nicht mehr nur eine Frage der Sicherheit — es ist zunehmend eine Frage der Compliance. DORA (Digital Operational Resilience Act) hebt die Erwartungen an das IT-Risikomanagement und den Schutz vor Eindringen für die Finanzbranche, und NIS2 weitet die Cybersicherheitspflichten über die kritischen Industrien hinweg aus. Keiner nennt „DMARC" ausdrücklich, aber die E-Mail-Authentifizierung ist eine offensichtliche und auditierbare Kontrolle für die Anti-Phishing- und operativen Resilienzerwartungen, die sie stellen. Hinzu kommen die Absenderanforderungen von Gmail und Yahoo, die DMARC bereits zu einer Voraussetzung für jeden machen, der in Volumen versendet — was jede Bank tut.

Die Richtung ist eindeutig: Durchgesetztes DMARC wird von „guter Sicherheitshygiene" zu „erwarteter Kontrolle". Die Banken, die früh dort ankommen, verwandeln eine drohende Pflicht in einen Vertrauensvorteil.

Wie eine Bank DMARC angehen sollte

Die Methode ist die jedes großen Absenders, ausgeführt mit zusätzlicher Strenge, weil der Versandpark groß ist:

  1. Den gesamten Versandpark inventarisieren. Jeder Geschäftsbereich, jede Region, jede Drittplattform (Kontoauszüge, Marketing, Betrugsalarme, elektronische Signatur, Umfragen). Veröffentliche DMARC in p=none und nutze die aggregierten Berichte, um unvermutete Quellen zu entdecken — es gibt immer welche.
  2. Jede legitime Quelle alignen. Richte SPF und DKIM für jede Plattform bis zu einem alignten Durchgang ein. Das DKIM-Alignment ist das dauerhafte Ziel, besonders bei Weiterleitung.
  3. Jede Markendomain gesondert behandeln. Die publikumsnahe Domain verdient dieselbe Durchsetzung wie die Corporate-Domain — sogar mehr, denn es ist die, der die Kunden vertrauen.
  4. Bewusst hochstufen. Wechsle zu quarantine, dann zu reject, während du bei jeder Etappe die Berichte überwachst. (Das „prozentuale" Deployment über pct wird von DMARCbis zugunsten des Testmodus t=y entfernt — siehe unten.) Die vollständige Sequenz steht in p=reject erreichen, ohne seine E-Mails zu brechen.
  5. Dort bleiben. Versandparks driften — neue Dienstleister tauchen auf. Eine kontinuierliche Überwachung hält die Domain in Durchsetzung, statt still zurückzufallen.

DMARCbis und die Subdomains von Banken

DMARCbis (RFC 9989, Mai 2026) kommt für Banken wie gerufen, die oft Dutzende von Subdomains betreiben — alarme., auszuege., secure., news. — und ebenso viele nicht existierende, aber imitierbare lassen. Der neue Tag np legt genau die Policy für die Subdomains fest, die nicht existieren: Ein np=reject schließt mit einem Schlag eine Angriffsfläche, die sp allein nicht abdeckte, und das ohne jedes Risiko für die legitime Post, da von diesen Subdomains nichts ausgeht. Für eine Finanzmarke ist das eine Härtung zu nahezu null Kosten. DMARCbis ersetzt zudem die Public Suffix List durch einen DNS Tree Walk (maximal acht Anfragen), um die organisatorische Domain zu identifizieren — vorhersehbarer bei den komplexen Domainbäumen großer Konzerne. Nichts umzubauen: Dein bestehender Eintrag bleibt gültig, es ist die Gelegenheit, np hinzuzufügen und ein unnötig gewordenes pct zu entfernen.

Jenseits von reject: BIMI und das verifizierte Logo

p=reject zu erreichen schaltet etwas frei, das Banken im Besonderen wollen sollten: BIMI (Brand Indicators for Message Identification). BIMI erlaubt, dein verifiziertes Logo neben deinen Nachrichten in kompatiblen Postfächern anzuzeigen — ein sichtbares Vertrauenszeichen, platziert genau dort, wo die Kunden entscheiden, ob eine E-Mail echt ist. Für eine Marke, deren gesamtes Geschäft auf Vertrauen beruht, ist dieser Platz ein kostbares Gut.

Das entscheidende Detail: BIMI erfordert DMARC in Durchsetzung (quarantine oder, idealerweise, reject). Du kannst dein Logo nicht anzeigen, bevor du die in diesem Artikel beschriebene Arbeit erledigt hast. Das verwandelt das Projekt der Imitationsprävention in einen Gewinn an Markensichtbarkeit: Dasselbe p=reject, das die Imitation stoppt, gewinnt auch das Logo, das deine legitime Post sofort erkennbar macht — und eine Fälschung ohne Logo sichtbar verdächtig erscheinen lässt.

Die meisten Anbieter, die BIMI honorieren, erwarten auch ein VMC (Verified Mark Certificate), das das Logo kryptografisch an eine eingetragene Marke bindet. Das ist naheliegend für etablierte Finanzmarken, die fast immer eingetragene Marken besitzen. Die Sequenz ist also eindeutig: jede Quelle alignen, p=reject erreichen, dann BIMI mit einem VMC veröffentlichen.

Sieh es als die letzte Sprosse der Leiter. p=none dokumentiert nur deine Exposition; p=quarantine und p=reject schließen sie; BIMI wandelt diese hart erarbeitete Durchsetzung in ein für den Kunden sichtbares Echtheitssignal um, das die bei p=none blockierten Konkurrenten schlicht nicht anzeigen können. Es lohnt sich, die BIMI-Etappe von Anfang eines DMARC-Programms an zu planen — nicht, um sie zuerst zu aktivieren, sondern weil das Wissen, dass das Logo die Belohnung ist, hilft, die Durchsetzungsarbeit gegenüber den Stakeholdern zu rechtfertigen, denen die Marke ebenso am Herzen liegt wie die Sicherheit.

Der besondere Fall des Weiterleitungsproblems

Banken stoßen auf eine Schwierigkeit, die kleinere Absender oft nicht kennen: das massive Weiterleiten ihrer Post. Ein großer Teil der Bankkommunikation landet in Postfächern, die zu einer anderen Adresse weitergeleitet werden — ein Kunde, der seine Bankmails auf ein privates Konto umleitet, ein Firmenpostfach, das an einen Sammelverteiler weitergibt. Die Weiterleitung bricht in der Regel SPF, weil der weiterleitende Server nicht in deinem SPF-Eintrag steht. Nur ein korrekt alignedes DKIM überlebt die Weiterleitung, weil die Signatur an die Nachricht selbst gebunden ist und nicht an den sendenden Server. Deshalb ist für eine Bank das DKIM-Alignment nicht nur eine der beiden Optionen, sondern das eigentlich tragfähige Fundament: Ohne es scheitert ein erheblicher Teil legitimer, weitergeleiteter Post an DMARC, sobald du auf p=reject gehst. Bevor eine Bank verschärft, muss sie also sicherstellen, dass jede kundennahe Quelle mit einem alignten DKIM signiert, nicht nur mit SPF.

Das erklärt auch, warum die aggregierten Berichte für eine Bank noch wertvoller sind als für einen kleinen Absender. In der Masse der Weiterleitungen verstecken sich sowohl legitime Fälle (die du schützen musst) als auch tatsächliche Imitationsversuche (die du blockieren willst). Nur die Berichte erlauben es, die beiden auseinanderzuhalten, bevor du eine durchsetzende Policy aktivierst. Eine Bank, die auf p=reject geht, ohne diese Analyse durchgeführt zu haben, riskiert entweder, legitime weitergeleitete Post zu verlieren, oder — aus Angst davor — jahrelang in p=none festzustecken. Die geduldige Arbeit an den Berichten ist der Weg zwischen diesen beiden Sackgassen.

Prüfe deine Bank — oder deine eigene Domain

Neugierig, wo eine bestimmte Bank heute steht? Gib sie in unseren kostenlosen Analyzer für ein sofortiges Urteil, oder durchstöbere das Observatorium, um einen ganzen Markt auf einen Blick zu vergleichen. Wenn du in einem Finanzinstitut arbeitest, beginne mit der Domain, von der deine Kunden tatsächlich Post empfangen.

Einen großen Multi-Domain-Park auf p=reject zu bringen ist eine echte Baustelle — und genau das ist es, wofür Thomas, dein virtueller CISO, gebaut wurde. Er benennt jede Versandquelle auf deinen Domains, generiert das genaue zu veröffentlichende DNS (DMARCbis-Tags inklusive), bewertet die Bereitschaft pro Domain auf gleitenden Daten und sagt dir, wann jede risikofrei durchgesetzt werden kann.

Analysiere eine Domain kostenlos → · erkunde das Observatorium · beginne mit Thomas. Neu beim Thema? Beginne mit was ist DMARC.

Bereit, DMARC anzuwenden?

Zu p=reject — kostenlos

Verwandte Leitfäden

Über den Autor

ThomasThomas ist der virtuelle CISO von DMARC.com: ein auf E-Mail-Authentifizierung spezialisierter Copilot, der Organisationen von p=none bis p=reject begleitet, ohne ihren Mailverkehr zu stören. Seine Leitfäden stützen sich auf echte Daten aus dem DMARC-Observatorium und aus den von der Plattform analysierten RUA-Berichten.