Der deutsche Bundestag hat ein Spoofing-Problem

Eine Analyse von DmarcDkim.com untersucht 555 E-Mail-Domains von deutschen Parlamentsmitgliedern und stellt fest, dass die große Mehrheit keinen wirksamen Schutz gegen E-Mail-Spoofing bietet.

 

Was wir gemessen haben

555 Mitglieder des Deutschen Bundestags nutzen neben ihren offiziellen parlamentarischen Konten auch persönliche oder Partei-E-Mail-Adressen für die politische Kommunikation. Diese Adressen sind auf persönlichen Websites und in den sozialen Medien der Abgeordneten öffentlich einsehbar. Wir haben jede dieser Domains auf DMARC-Konfiguration und Durchsetzungsstatus geprüft.

DMARC - Domain-based Message Authentication, Reporting, and Conformance - ist das Protokoll, das empfangenden Mailservern mitteilt, wie sie mit einer E-Mail umgehen sollen, die vorgibt, von einer Domain zu stammen, aber nicht authentifiziert werden kann. Ohne eine durchgesetzte DMARC-Richtlinie kann jeder eine E-Mail versenden, die scheinbar von einer legitimen Adresse stammt und diese landet ungehindert im Posteingang des Empfängers.

 

Was die Daten zeigen

450 Domains, 81,1 % der überwachten, haben keinen wirksamen DMARC-Schutz. Davon haben 246 überhaupt keinen DMARC-Eintrag. Weitere 202 haben zwar einen Eintrag veröffentlicht, die Richtlinie jedoch auf p=none gesetzt. Das bedeutet: Der Domaininhaber erhält Berichte über Authentifizierungsergebnisse, hat der Welt aber mitgeteilt, verdächtige E-Mails trotzdem zuzustellen. Das ist keine Schutzmaßnahme, es ist Monitoring ohne Durchsetzung.

Nur 79 Domains, also 14,2 % der Gesamtmenge, sind mit vollständiger Durchsetzung konfiguriert, das heißt mit einer Reject-Richtlinie bei 100 % Abdeckung. Das ist die einzige Konfiguration, die gefälschte E-Mails tatsächlich blockiert. Die verbleibenden 26 Domains, 4,7 %, befinden sich in einer Teilabsicherung durch eine Quarantine-Richtlinie oder einen schrittweisen Rollout, der noch nicht auf den gesamten E-Mail-Verkehr angewendet wird.

Die Lücke zieht sich konsistent durch alle großen Parteien. CDU/CSU liegt bei 9,8 % vollständigem Schutz. Die SPD bei 12,0 %. Bündnis 90/Die Grünen bei 19,3 %. Die AfD führt die Gruppe mit 23,5 % an. Selbst beim besten Ergebnis sind mehr als drei Viertel der Domains innerhalb jeder Partei ungeschützt.

 

Warum das ein operatives Risiko ist

E-Mail-Spoofing ist keine theoretische Bedrohung. Ein Angreifer, der ein Parlamentsmitglied imitieren will, muss kein System kompromittieren. Er muss lediglich eine E-Mail von einer Domain versenden, für die keine Durchsetzungsrichtlinie gilt. Der empfangende Server hat keine Anweisung, sie abzulehnen oder unter Quarantäne zu stellen. Die Nachricht kommt an, trägt einen bekannten Namen und eine bekannte Adresse — und der Empfänger hat kein zuverlässiges Signal dafür, dass sie gefälscht ist.

Die Angriffsfläche ist erheblich. Wahlkreisbüros, Parteimitarbeiter, Journalisten, Behörden und die Öffentlichkeit erhalten E-Mails von diesen Adressen. Das Vertrauen ist in die Vertrautheit des Absenders eingebettet. Eine gut gestaltete gefälschte Nachricht, die Informationen anfordert, eine Überweisung autorisiert oder einen schädlichen Anhang enthält, ist ohne technische Prüfung kaum von einer echten zu unterscheiden — und die meisten Empfänger werden diese Prüfung niemals vornehmen.

Cybersicherheitsforscher Sven Herpig, Leiter der Abteilung Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung, beschrieb die Situation gegenüber der Schwäbischen Post so, dass Gegner unserer Demokratie Abgeordnete oder Bundestagsbüros davon überzeugen könnten, dass sie die legitimen Absender seien. Diese Einschätzung trifft den Kern. Was Spoofing wirksam macht, ist keine technische Raffinesse — es ist das bestehende Vertrauen, das ein Name und eine E-Mail-Adresse transportieren.

 

Die Lücke liegt in der Durchsetzung

Einen DMARC-Eintrag zu veröffentlichen ist nicht dasselbe wie DMARC-Schutz zu haben. 202 der von uns analysierten Domains haben einen Eintrag. Sie erscheinen im DNS. Aber die Richtlinie ist auf none gesetzt, das bedeutet, der Domaininhaber empfängt Berichte über Authentifizierungsergebnisse, hat aber gleichzeitig mitgeteilt, verdächtige E-Mails zuzustellen. Dieser Konfigurationsstatus wird häufig missverstanden und als eine Art Schutz wahrgenommen. Er ist keiner.

Vollständiger Schutz erfordert p=reject oder p=quarantine bei 100 % Durchsetzung. Reject weist empfangende Server an, die Nachricht während der SMTP-Transaktion vollständig zu blockieren. Quarantine leitet sie in den Spam-Ordner statt in den Posteingang. Beide Optionen schaffen eine wirksame Barriere. None schafft den Anschein eines Eintrags ohne jeden praktischen Effekt.

Das ist der Kernbefund: Das Problem liegt nicht darin, dass diese Domains unbekannt oder unverwaltet wären. Viele haben bereits teilweise Einträge hinterlegt. Das Problem ist, dass die Konfiguration vor der Durchsetzung stoppt, und die Durchsetzung ist der einzige Punkt, an dem DMARC irgendjemanden tatsächlich schützt.

 

Was vollständiger Schutz bedeutet

Eine korrekt konfigurierte Domain, die nicht imitiert werden kann, benötigt drei Dinge, die zusammenwirken. SPF muss die legitimen Versandquellen der Domain autorisieren. DKIM muss ausgehende E-Mails signieren, damit die Signatur von empfangenden Servern verifiziert werden kann. Und DMARC muss mit einer Durchsetzungsrichtlinie konfiguriert sein — reject oder quarantine —, sodass E-Mails, die diese Prüfungen nicht bestehen, nicht zugestellt werden.

Der Weg von keinem Eintrag zu vollständiger Durchsetzung muss nicht schnell sein, aber er muss bewusst gegangen werden. Man beginnt mit p=none, um Berichte zu sammeln und zu verstehen, wer im Namen der Domain E-Mails versendet. Dann werden alle legitimen Quellen identifiziert und korrekt konfiguriert. Anschließend wechselt man zu quarantine, um verdächtige E-Mails zu filtern, bevor man zu reject übergeht, sobald die Konfiguration stabil ist. Das Risiko, dauerhaft bei none zu bleiben, liegt darin, dass diese Überwachungshaltung Sichtbarkeit ohne Schutz bietet.

Für Domains, die nie E-Mails versenden — was auf einige der sekundären Domains in diesem Datensatz zutrifft — ist die korrekte Konfiguration noch einfacher. Eine Reject-Richtlinie ohne autorisierte Absender ist der richtige Standard. Es gibt nichts, das dabei kaputtgehen könnte. Da die Domain keine legitimen E-Mails versendet, ist jede E-Mail, die vorgibt, von ihr zu stammen, per Definition gefälscht.

 

Der größere Kontext

Diese Analyse bezieht sich auf Bundestagsmitglieder, aber das Muster, das sie aufzeigt, ist nicht auf sie beschränkt. DmarcDkim.com überwacht die DMARC-Verbreitung in verschiedenen Sektoren — und die Verteilung der Schutzniveaus hier, mit einer großen Mehrheit bei none oder ohne Eintrag und einer kleinen Minderheit mit vollständiger Durchsetzung, ist konsistent mit dem, was wir in Organisationen vergleichbarer Größe und Bedeutung beobachten.

E-Mail-Authentifizierung ist keine neue Technologie. DMARC wurde 2015 standardisiert. SPF und DKIM sind älter. Die technischen Werkzeuge existieren, die Dokumentation ist frei verfügbar, und die Konfiguration ist mit der richtigen Unterstützung handhabbar. Was hinterherhinkt, ist das organisationale Bewusstsein dafür, dass die Sicherheit einer E-Mail-Domain nicht automatisch gegeben ist und ohne kontinuierliche Wartung und Aufsicht nicht stabil bleibt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in seinen jährlichen Lageberichten zur Cybersicherheit regelmäßig auf E-Mail-basierte Bedrohungen hin. Die Durchsetzungslücke bei Bundestags-Domains ist ein konkretes und behebbares Beispiel für ein Muster, das das BSI seit Jahren dokumentiert.

 

Ihre Domain prüfen

Wenn Sie E-Mail-Infrastruktur für eine Organisation verwalten und sich über Ihre aktuelle DMARC-Konfiguration nicht sicher sind, beginnen Sie mit einer kostenlosen Prüfung des DNS-Eintrags Ihrer Domain.

Kostenloser DMARC-Check auf DmarcDkim.com

---

Forschung durchgeführt von DmarcDkim.com. Daten vom 20. Februar 2026. Basierend auf der Überwachung von 555 Domains in Bundestagsparteien.