Moderne Mail-Gateways arbeiten häufig im Markieren-statt-Blockieren-Modus: Eine verdächtige Mail wird mit einem Banner versehen — der Empfänger entscheidet dann selbst, ob er klickt. Diese Architektur stammt aus einer Zeit, in der False Positives das größere Problem waren als False Negatives. Heute hat sich das Bild gedreht: Phishing-Angriffe sind so professionell geworden, dass jeder einzelne durchgelassene Klick ein realer Schaden sein kann.
Warum Markieren in der Praxis nicht ausreicht
Branchen-Studien zeigen recht konsistent: Mitarbeitende klicken in 8 bis 12 Prozent der Fälle trotzdem auf den Link, selbst wenn die Mail als verdächtig markiert war. Routine schlägt Warnung — gerade wenn die Mail aus einer Domäne kommt, die wie der eigene Provider aussieht, oder wenn der Banner durch häufige False Positives bei legitimen Marketing-Mails an Wirkung verloren hat.
Drei strukturelle Probleme der Markieren-Logik
1. Banner werden ignoriert
Nach dem zehnten harmlosen Marketing-Mail-Banner schaltet das Auge auf Tunnelvision. Das menschliche Gehirn lernt, Warnungen, die meistens grundlos sind, herauszufiltern. Genau diese Lernkurve ist beim Mail-Banner ein Problem.
2. Keine Konsequenz beim Klick
Wer auf den Link klickt, landet in einer Phishing-Seite — und der Schaden geschieht beim Login, nicht bei der Mail. Das Mail-Gateway hat seine Funktion zu diesem Zeitpunkt bereits beendet.
3. Keine Telemetrie über tatsächliche Klicks
Das Mail-Gateway sieht in der Regel nicht, was im Browser passiert. War es nur eine geöffnete Mail? Wurde der Link geklickt? Wurden Zugangsdaten eingegeben? Genau diese Information fehlt — und ohne sie lassen sich gezielte Awareness-Maßnahmen nicht aufsetzen.
Die Lücke schließen: Defense in Depth
Die robuste Antwort heißt nicht, das Mail-Gateway abzuschaffen, sondern es um eine zweite Schicht zu ergänzen. Drei Komponenten greifen ineinander:
- Das Gateway markiert weiterhin verdächtige Mails — als erste Warnung im Posteingang.
- Die Browser-Warnung unterbricht den kritischen Moment am Login — als zweite Warnung dort, wo der Schaden tatsächlich entstehen würde.
- Die zentrale Telemetrie zeigt, welche Klicks tatsächlich erfolgten und welche Mitarbeitenden zusätzliche Awareness brauchen — als Grundlage für gezieltes Coaching.
Phishgate-Perspektive auf die Mail-Gateway-Lücke
Phishgate ergänzt das Markieren des Gateways um eine Warnung im Browser. Sobald auf einer nicht freigegebenen Domain ein Passwortfeld erscheint, schlägt die Extension Alarm. Das Ergebnis: Selbst wenn die Phishing-Mail vom Gateway durchgelassen wird und der Klick erfolgt, steigt die Chance deutlich, dass keine Zugangsdaten eingegeben werden.
Im Admin-Dashboard sieht die IT in Echtzeit, welche Mitarbeiter auf welchen Domains gewarnt wurden, wie sie reagiert haben (übersprungen, abgebrochen, gemeldet) und welche Domains gehäuft auftreten. Genau diese Telemetrie war im reinen Mail-Gateway-Setup nicht verfügbar.
Was die Kombination im Alltag konkret bewirkt
Stellen Sie sich folgendes Szenario vor: Eine KI-generierte Phishing-Mail wird vom Gateway als „mittleres Risiko“ markiert. Eine Mitarbeiterin sieht das Banner, ignoriert es aus Routine und klickt auf den Link. Sie landet auf einer perfekt nachgebauten Microsoft-365-Login-Seite — auf einer Domain, die nicht zur Whitelist gehört. Phishgate erkennt das Passwortfeld, zeigt eine Warnung. Die Mitarbeiterin bricht den Vorgang ab, klickt auf „Als Phishing melden“. Die IT sieht den Vorfall innerhalb von Minuten im Dashboard und kann reagieren.
Ohne Phishgate hätte die Mitarbeiterin ihre Zugangsdaten eingegeben — der Angriff wäre erfolgreich gewesen.
Fazit
Mail-Gateway-Banner allein reichen heute nicht mehr — Mitarbeitende klicken trotzdem. Eine Browser-seitige Warnung schließt die Lücke, liefert die fehlende Telemetrie und macht das Sicherheitskonzept als Ganzes deutlich robuster. Phishgate ist genau diese zweite Schicht: leichtgewichtig, zentral verwaltet und genau dort wirksam, wo der Schaden tatsächlich entsteht.