Detection

DACH-Phishing — deutsche Wellen werden erkannt.

„Konto gesperrt — sofort handeln", „Steuererstattung 1.247 € fordern", „DHL-Paket konnte nicht zugestellt werden". US-Cloud-Anbieter trainieren ihre ML-Modelle auf englischen Phishing-Mails. Wir haben deutsche, österreichische und schweizer Phishing-Pattern als eigene Detection-Schicht.

Welche Pattern wir erkennen

Phishing folgt regional spezifischen Mustern. In Deutschland, Österreich und der Schweiz sind das andere Tropes als in den USA oder UK — andere Marken, andere Behörden, andere Zahlungs-Pretexte. MailGuard hat eine eigene Keyword-Liste die der Operator anpassen kann:

Banking & Payment

  • Sparkasse / Volksbank / Postbank / Commerzbank / DKB-Konto-Sperrung
  • „TAN-Verfahren wird umgestellt", „pushTAN aktualisieren", „Sicherheits-App"
  • PayPal-Konto bestätigen / einschränken
  • Klarna-Zahlung autorisieren / Rechnung offen
  • SEPA-Lastschrift-Mandat erneuern

Behörden & öffentliche Stellen

  • Finanzamt-Steuererstattung
  • GEZ / ARD ZDF Deutschlandradio Beitragsservice
  • BaFin / Bundesbank-Hinweise
  • Bundeszentralamt für Steuern
  • BMWK / Bundesministerium-Mitteilungen

Logistik & E-Commerce

  • DHL / Hermes / DPD / GLS Paket-Zustellung gescheitert
  • Amazon-Bestätigung / Rückerstattung / Rechnung
  • Zollgebühren nachzahlen
  • Apple-ID gesperrt / Apple-Pay-Bestätigung
  • Microsoft-365-Lizenz erneuern / Authentifizierung

Telekom & Provider

  • Telekom / Vodafone / O2 Rechnung / Vertrag verlängert sich automatisch
  • Strato / IONOS Domain-Auslauf / Server-Migration
  • 1&1 Tarifumstellung

Plus die Pendants für Österreich (Erste Bank, BAWAG, FinanzOnline, Post.at) und die Schweiz (PostFinance, Raiffeisen, Swisscom).

Wie die Detection funktioniert

Subject-Line und Mail-Body werden gegen die Keyword-Liste gematcht. Treffer erhöht den Spam-Score, mehrere Treffer zusammen mit anderen Indikatoren (verdächtige Sender-Domain, Suspicious-TLD, URL-Shortener im Body, fehlende DKIM) führen zur Quarantäne. Der Score-Beitrag pro Keyword ist konservativ — ein einzelnes „Klarna" in einer legitimen Bestellbestätigung blockt nicht.

Eigene Pattern hinzufügen

Operator pflegt im Admin-UI eigene Keyword-Listen pro Domain. Wer eine gezielte Phishing-Welle gegen das eigene Unternehmen bekommt (CEO-Fraud-Versuch mit firmen-spezifischen Begriffen), kann diese als Detection-Regel hinzufügen ohne auf den Hersteller zu warten. Die Default-Liste wird mit jedem Update gepflegt — eigene Patterns überleben Updates.

Warum US-Cloud-Modelle das übersehen

Mimecast, Proofpoint, Microsoft Defender ATP trainieren ihre Klassifikatoren auf globalem Mail-Korpus, der zu >80 % englisch ist. Deutsche Phishing-Wellen sind dort statistisches Rauschen. Konkrete Beispiele aus Vergangenheit:

  • 2024-Q3: Welle von „Bundesfinanzministerium — Energiepreispauschale 300 € beantragen"-Mails — wurde von Microsoft 365 EOP für 6 Wochen nicht erkannt
  • 2025-Q1: „Sparkassen-Mail mit pushTAN-Sicherheits-Update" — Hornet erkannte die Welle erst nach Operator-Reports aus dem Channel-Netzwerk
  • 2025-Q2: „GEZ-Rückforderung wegen Härtefall-Antrag" — Proofpoint-Heuristik klassifizierte als „Government legitimate"

Eine deutsche Detection-Schicht erkennt diese Wellen ab Tag 1.

DACH-Phishing erkennen, bevor Mitarbeiter klicken.

Default-Keyword-Liste plus operator-pflegbare Erweiterungen pro Mandant.

Preise ansehen