E-Mail-Infrastruktur für Banken und Fintech unter DORA, PSD3 und dem Markenidentitätsdiebstahl-Problem
Banken senden transaktionale E-Mails — Kontoauszüge, Warnungen, Passwort-Zurücksetzungen, Zahlungsbestätigungen — an Kunden, die das lukrativste Phishing-Ziel der digitalen Wirtschaft sind. Die Infrastruktur darunter ist jetzt eine regulierte Komponente: DORA gilt seit Januar 2025, der PSD3/PSR-Text wurde im November 2025 vereinbart, und das Bulk-Sender-Mandat 2024 fügte technische Compliance obendrauf. Wir liefern Finanz-Grade-Versand: DMARC-Durchsetzung, BIMI/VMC, nur-EU-Routing in Stockholm und Frankfurt, ICT-Incident-Reporting-Workflows, die DORA Art. 19 tatsächlich akzeptiert, null US-Eigentum im Datenpfad.
DORA ist live. PSD3/PSR ist vereinbart. Das Bulk-Sender-Mandat setzt seit zwei Jahren durch.
Für den Großteil der letzten zwanzig Jahre wurde E-Mail von Finanzinstituten als Kommunikationskanal mit geringem Einsatz behandelt: nützlich, gelegentlich peinlich wenn etwas leckte, aber nicht als kritische Infrastruktur reguliert. Das endete am 17. Januar 2025, als die Digital Operational Resilience Act (DORA) anwendbar wurde. DORA bringt jedes elektronische Kommunikationssystem, das einen Finanzdienst unterstützt — einschließlich transaktionaler Post, Kundenbenachrichtigungen, Kontoauszugsversand, Passwort-Zurücksetzungen und 2FA-Bestätigungs-E-Mails — in den ICT-Risikomanagement-Rahmen. Die Durchsetzungs-Ära 2026 hat begonnen. Die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) gaben im November 2025 ihre erste Charge von designierten kritischen Drittanbieter-Providern (CTPP) heraus und begannen den jährlichen Aufsichtsplan-Zyklus in Q1 2026.
PSD3 und PSR wurden politisch von Verhandlern des EU-Parlaments und des Rates am 27. November 2025 vereinbart. Das Inkrafttreten wird zwischen Q1 und Q2 2026 erwartet, mit einer 21-monatigen Übergangsfrist — was nationale Umsetzung bis 2027 und volle operative Compliance bis 2028 bedeutet. PSD3/PSR mandatiert einen Rahmen mit Minderungs- und Kontrollmechanismen zur Verwaltung von Sicherheits- und Betriebsrisiken, explizit ausgerichtet auf DORAs ICT-Risikomanagement-Bestimmungen.
Obendrauf: die Gmail/Yahoo-Bulk-Sender-Durchsetzung, die im Februar 2024 live ging und sich durch 2025-2026 verschärfte, das Microsoft-Outlook-Authentifizierungsmandat zum 5. Mai 2025, die La-Poste-Durchsetzung ab September 2025, und Gmail Postmaster Tools v2's binärer Pass/Fail Compliance Status, der im Oktober 2025 startete. Für eine Bank, die mehr als 5.000 transaktionale Nachrichten pro Tag an Gmail-Adressen sendet, muss DMARC gültig und ausgerichtet sein, SPF und DKIM müssen jeden Stream authentifizieren, One-Click-Unsubscribe muss für jede Kommunikation funktionieren, die nicht rein transaktional ist, und die Spam-Beschwerderate muss unter 0,30 % bleiben.
Die Schnittmenge dieser Regime macht Finanz-E-Mail schwieriger als E-Mail jeder anderen Branche. Das Markenidentitätsdiebstahl-Problem ist das schlimmste der Wirtschaft — Spamhaus, APWG und die Anti-Phishing Working Group berichten konsistent, dass Banking und Zahlungen die Top-Phishing-Zielsektoren sind. Die Kundenauswirkung einer Phishing-Welle, die durchkommt, ist direkter Finanzverlust für reale Personen, was DORA als ein ICT-bezogenes Vorkommnis mit der höchsten Meldepriorität und der strengsten 72-Stunden-Uhr für die Erstmeldung an die zuständige Behörde klassifiziert.
Für den DACH-Markt speziell: die BaFin in Deutschland mit MaRisk und BAIT (Bankaufsichtliche Anforderungen an die IT), die FMA in Österreich, die FINMA in der Schweiz mit dem revidierten Rundschreiben 2008/21 zu operationellen Risiken bei Banken. DORA selbst gilt direkt für deutsche und österreichische Institute; für Schweizer Institute ist DORA nicht direkt anwendbar, aber die FINMA-Anforderungen sind funktional äquivalent. Die deutsche Datenschutzkonferenz (DSK) hat zusätzlich spezifische Anforderungen für die Verarbeitung von Bankkundendaten unter DSGVO + BDSG-neu festgelegt. Was wir liefern, ist speziell für dieses Regime gebaut.
Was Ihre Bank jährlich an Phishing verliert, das erfolgreich Ihre Domain imitiert
Bewegen Sie die Schieberegler. Die Mathematik approximiert dokumentierte Phishing-Verlustexposition für Banken verschiedener Größen, wobei die Authentifizierungs-Haltung die Imitationsfläche bestimmt.
Reduktionsfaktoren pro Haltung: p=none = volle Exposition (1,0×); p=quarantine = 0,45×; p=reject = 0,10×; BIMI/VMC = 0,04×.
Wechseln Sie auf p=reject + BIMI/VMC, und dieselben Parameter senken die jährliche Exposition um etwa 96 %. Die Zertifikatskosten (~€780-€1.668/Jahr pro VMC) zahlen sich bei dieser Skala typischerweise im ersten Monat selbst.
Vier sich überschneidende Regime, alle aktuell aktiv oder unmittelbar bevorstehend
Jedes Regime hat seinen eigenen Anwendungsbereich, seine eigene Durchsetzungs-Uhr und seine eigenen technischen Anforderungen. E-Mail-Infrastruktur für eine Bank 2026 muss alle gleichzeitig erfüllen.
Digital Operational Resilience Act
EU-Verordnung, die jedes ICT-System, das einen Finanzdienst unterstützt, in einen einheitlichen Risikomanagement-Rahmen bringt. 72-Stunden-Uhr für ICT-Vorfalls-Erstmeldung. Drittparteiaufsicht für designierte CTPPs.
- E-Mail-Touchpoints
- ICT-Risikomanagement, Vorfallsmeldung
- Status 2026
- Erste CTPP-Designationen Nov 2025
Payment Services Directive 3 + Regulation
Politische Einigung 27. Nov 2025. Ersetzt PSD2 und die Electronic Money Directive. Stärkt SCA, verschärft Transaktions-Risiko-Analyse, mandatiert Ausrichtung auf DORA für operative Resilienz.
- E-Mail-Touchpoints
- SCA-Bestätigung, Zahlungsmeldungen
- Zeitplan
- Inkrafttreten Q1-Q2 2026, Compliance ~2028
Gmail / Yahoo / Microsoft / La Poste
Ursprünglich Gmail/Yahoo Feb 2024, dann Microsoft Outlook 5. Mai 2025 (550 5.7.515), dann La Poste September 2025. Postmaster Tools v2 mit binärem Pass/Fail Compliance Status seit Oktober 2025.
- E-Mail-Touchpoints
- DMARC-Alignment, SPF/DKIM, One-Click-Unsubscribe
- Durchsetzung 2026
- Gmail permanente 550-Ablehnung seit Nov 2025
DSGVO + BDSG-neu, BaFin, FMA, FINMA
Nationale Bankenaufsichten: BaFins MaRisk und BAIT für deutsche Institute, die FMA in Österreich, FINMAs revidiertes Rundschreiben 2008/21 für Schweizer Banken. DSK-Anforderungen zur Bankkundendaten-Verarbeitung.
- E-Mail-Touchpoints
- Datenresidenz, AVV Art. 28, Meldungen
- Reibungspunkt
- US-besitzende ESPs lösen Schrems-II-Fragen aus
Ihr verifiziertes Logo im Posteingang ist jetzt das stärkste Signal, dass eine E-Mail wirklich von Ihnen stammt
BIMI (Brand Indicators for Message Identification) zeigt Ihr verifiziertes Markenlogo neben authentifizierten E-Mails in Gmail, Yahoo Mail, Apple Mail, Fastmail und AOL an. Für eine Bank erfüllt das Logo ebenso eine Sicherheits- wie eine Marken-Funktion: Kunden, die darauf trainiert werden, das Logo bei einer Nachricht „ihrer Bank" zu suchen, werden eine logolose Nachricht als verdächtig kennzeichnen.
Die technische Untergrenze ist nicht verhandelbar. BIMI erfordert DMARC bei p=quarantine oder p=reject für mindestens 30 aufeinanderfolgende Tage, bevor Mailbox-Anbieter das Logo abrufen und anzeigen. Die meisten Banken erreichen BIMI etwa sechs bis zwölf Monate nach Beginn der DMARC-Durchsetzungsprogression — die Zeit, die erforderlich ist, um jede legitime Sendequelle zu finden, alle DKIM-ausgerichtet zu bekommen und dann die Policy von Monitoring zu Quarantine zu Reject zu bewegen, ohne legitime Post zu brechen.
Das Verified Mark Certificate fügt eine rechtliche Schicht hinzu: ein digitales Zertifikat, ausgestellt von einer Zertifizierungsstelle (DigiCert und Entrust sind die dominanten CAs), das bestätigt, dass das Logo eine eingetragene Marke ist. VMC-Preise 2026 reichen von $780/Jahr bis $1.668/Jahr; das Zertifikat schaltet das blaue Gmail-Häkchen und die volle Logoanzeige in Apple Mail frei. Für Banken ohne eingetragene Marke ist das Common Mark Certificate bei etwa $650/Jahr eine Alternative.
Der Fall für Banken ist eindeutig. Eine dokumentierte EU-Finanzinstitutsfallstudie von Ende 2025 berichtete einen signifikanten Rückgang von Kunden-gemeldeten Phishing-Meldungen sechs Monate nach VMC-Deployment, wobei das interessantere Ergebnis eine Verhaltensänderung war: Kunden begannen Nachrichten ohne das Logo als verdächtig zu melden. Das ist der echte Wert.
Was wir auf der BIMI/VMC-Schicht liefern: DMARC-Reporting und -Analyse bei p=none für die ersten 30-60 Tage, Alignment-Fixes für die Streams, die sie brauchen, die Progression zu p=quarantine und dann zu p=reject, die SVG-Tiny-PS-Datei-Generierung (unter 32 KB, 1:1-Verhältnis), die VMC-Antragsverbindung mit DigiCert oder Entrust, die DNS-TXT-Record-Publikation und die Per-Subdomain-BIMI-Verifikation.
Die Plattformteile, die DORA, PSD3 und das Bulk-Sender-Mandat zusammen erfüllen
Was wir liefern, ist die regulierte Sendeschicht: eine managed PowerMTA-Infrastruktur in unseren Stockholm-Primär- und Frankfurt-Sekundär-Rechenzentren, mit den operativen Disziplinen und Reporting-Workflows, die die Finanzregime erfordern.
- DMARC-Durchsetzungsprogression auf p=reject 30 Tage bei
p=nonemit vollem DMARC-Aggregatreport-Parsing. 30 Tage beip=quarantine. Finaler Wechsel zup=reject. Die Grundlage für BIMI/VMC. - BIMI / VMC-Deployment SVG-Tiny-PS-Logo-Vorbereitung aus Ihrer bestehenden Marke, VMC-Antrag bei DigiCert oder Entrust, DNS-TXT-Record-Publikation, Per-Subdomain-Verifikation, monatliche Verifikation. Jährliche VMC-Erneuerung gehandhabt.
- DORA-Artikel-19-Vorfallsmeldungs-Workflow Vordefinierte ICT-Vorfalls-Eskalationspfade. Erstmeldungs-Vorlage innerhalb von 72 Stunden, Zwischenbericht innerhalb von 30 Tagen, Abschlussbericht innerhalb von 90 Tagen. Die Stockholm-Bereitschaftsrotation liefert den Menschen, der abnimmt.
- Nur-EU-Routing in Stockholm und Frankfurt Primärinfrastruktur in Stockholm, Sekundär in Frankfurt. Beide EU-Jurisdiktionen. Kein US-Eigentum. Der Schrems-II-Übertragungswirkungs-Bewertung gilt nicht. Für Schweizer Banken: Behandlung unter dem revidierten DSG ohne zusätzliche vertragliche Schichten.
- Per-Marken-Reputationsisolation für Multi-Entity-Gruppen Eine typische Finanzgruppe hat 5-15 Marken (Retail Bank, Corporate Bank, Asset Management, Versicherung, Zahlungsabwickler), jede mit ihrer eigenen Kundenbasis. Wir isolieren jede Marke auf ihrer eigenen Sendedomain.
- Bounce-Handling pro Regulierungskategorie Transaktionale Post wird in unserer Bounce-Handling-Logik anders behandelt als Werbe-Post — ein gebouncter Passwort-Reset löst einen Authentifizierungs-Fehler-Workflow aus, eine gebouncte Werbenachricht einen Listenhygiene-Workflow.
- AVV-Framework für die Art.-28-DSGVO + DORA Art.-30-Kette Unser AVV ist für die typische Financial-Services-Kette strukturiert: die Bank ist Verantwortlicher, wir sind Auftragsverarbeiter (unter DORA Art. 30). Banken in Deutschland unterzeichnen unter DSGVO + BDSG-neu + AVV Art. 28. Banken in Österreich unter DSG. Banken in der Schweiz unter dem revidierten DSG + FINMA-Anforderungen.
Wie Banking-Engagements typischerweise dimensioniert werden
PowerMTA Pro + Managed Deliverability · €2.699/Monat
PowerMTA Pro (€1.499) + Managed-Deliverability-Retainer (€1.200). 20 dedizierte IPs, 150K Nachrichten/h, benannter Zustellbarkeitsingenieur, DMARC-Progression auf p=reject und BIMI/VMC in den ersten 90 Tagen inklusive.
PowerMTA Enterprise + Managed Deliverability · €3.999/Monat
PowerMTA Enterprise (€2.799) + Managed Deliverability (€1.200). 30 dedizierte IPs, 500K Nachrichten/h, Per-Marken-Isolation über die Entitäten der Finanzgruppe, BIMI/VMC für jede Marke.
Managed Deliverability ansehenCustom · ab €7.500/Monat
Multi-Server-Architektur mit Active-Active über Stockholm und Frankfurt, dedizierter /24-IP-Raum, benannter SLA mit Sub-15-Minuten-Antwortzeit, vierteljährliche TLPT-Teilnahme, Audit-Unterstützung für DORA-Art.-19-Reviews.
Gespräch eröffnenWas Banken vor Vertragsabschluss fragen
Sind Sie ein DORA-designierter kritischer Drittanbieter-Provider?
+
Derzeit nicht. Die erste Charge von CTPP-Designationen wurde von den ESAs im November 2025 herausgegeben und bestand aus den allergrößten Cloud- und IT-Services-Anbietern. Unsere Größe erreicht die CTPP-Schwelle nicht. Was das praktisch bedeutet: unter DORA Art. 28 ist Ihre Bank für das Drittparteienregister verantwortlich; unter Art. 30 muss der Vertrag die spezifischen Klauseln enthalten, die DORA erfordert; unter Art. 19 ist Ihre Bank der Melder an die zuständige Behörde. Wir liefern die technischen Vorfallsdaten innerhalb einer Stunde; Sie liefern den aufsichtsseitigen Bericht.
Was ist mit Schrems II und US-besitzenden Anbietern in der Kette?
+
Authorize Hosting ist eine schwedisch-inkorporierte Entität (Stockholm, gegründet 2003) ohne US-Eigentum in der Unternehmenskette. Primärinfrastruktur in Stockholm, Sekundär in Frankfurt. Es gibt keinen Transfer in die USA in irgendeinem normalen Mail-Flow, und die Instabilität des EU-US-Data-Privacy-Frameworks gilt nicht für unsere Kette.
Für deutsche und österreichische Banken, die DSGVO + BDSG-neu unterliegen, beseitigt dies die Notwendigkeit für eine Datentransfer-Folgenabschätzung (DTIA) gegen US-Provider. Der AVV schließt US-Unterauftragsverarbeiter explizit aus.
Wie funktioniert die DMARC-Progression für eine Bank mit 50+ Sendestreams?
+
Banken haben typischerweise mehr Sendestreams, als ihnen bewusst ist: die transaktionale Post der Core-Banking-Plattform, die Service-Benachrichtigungen des CRMs, die Marketing-Automation, das Reporting der Vermögensverwaltungsabteilung, der separate Stream der Corporate Banking-Abteilung, die interne Post des HR-Systems, die verschiedenen Office-Microsoft-365- / Google-Workspace-Tenants. Ein 50-Stream-Inventar ist üblich für eine Tier-2-Bank.
Die Progression: erste 30 Tage bei p=none mit DMARC-Reporting. Die meisten Banken entdecken 5-10 Streams, die nicht sauber authentifizieren. Wir arbeiten mit den internen Teams, um jeden zu beheben, dann p=quarantine für weitere 30 Tage. Finaler Wechsel zu p=reject. Gesamtdauer: typischerweise 90-120 Tage.
Wie schnell können Sie DORA Art. 19 Vorfallsmeldung unterstützen?
+
Die DORA-Art.-19-Uhr für größere ICT-bezogene Vorfälle: Erstmeldung innerhalb von 24 Stunden nach Bewusstwerden, Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb von 30 Tagen (erweiterbar auf 90). Banken in unserer Pricing-Stufe erhalten eine Stockholm-Bereitschaftsrotation mit benannten Ingenieuren. Kritische Vorfälle lösen Antwort innerhalb einer Stunde während EU-Geschäftszeiten aus; außerhalb der Geschäftszeiten 2-3 Stunden.
Was wir nicht tun, ist die Meldung in Ihrem Namen bei der zuständigen Behörde einzureichen. Das ist die regulatorische Verantwortung der Bank.
Wie reduziert BIMI/VMC tatsächlich Phishing?
+
Zwei Effekte, über verschiedene Zeithorizonte. Sofort-Effekt: BIMI erfordert DMARC bei p=reject als Voraussetzung. p=reject erreichen stoppt direkten Domain-Spoofing (Mail gesendet von der Domain Ihrer Bank). Das Phishing, das nach BIMI-Deployment durchkommt, ist Lookalike-Domain-Phishing, das schwieriger einzurichten und für Kunden leichter zu erkennen ist.
Langzeit-Effekt: Kunden lernen wirklich, das Logo zu suchen, aber es dauert 6-18 Monate konsistenter visueller Präsenz. Die dokumentierte EU-Finanzinstitutsfallstudie von 2025 zeigte Kundenverhaltensänderung bei sechs Monaten — Kunden begannen Nachrichten ohne das Logo als verdächtig zu melden.
Wie integriert dies mit unserem bestehenden ESP (SFMC / Adobe Campaign / Selligent)?
+
Zwei Patterns. SMTP-Relay-Pattern: Ihr ESP (SFMC, Adobe, Selligent, Acoustic, oder ein anderer) behält seine UI, seinen Campaign Builder, seine Segmentierung. Was sich ändert, ist, wo die Mail rausgeht. Statt der geteilten Infrastruktur des ESPs authentifiziert der ESP an unser SMTP-Relay, und die Mail geht auf unseren dedizierten IPs unter Ihrer Domain raus.
Direkt-API-Pattern: für transaktionale Post speziell — Kontoauszugsversand, Zahlungsbestätigungen, 2FA-Codes — bauen Banken oft direkt gegen unsere HTTP-API oder unser SMTP-Relay von der Core-Banking-Plattform aus, indem sie den marketingorientierten ESP komplett umgehen.
Was ist mit TLPT und DORAs Testanforderungen?
+
DORA Art. 26 erfordert TLPT (threat-led penetration testing) für bedeutende Finanzentitäten mindestens alle drei Jahre. Der TLPT-Umfang kann ICT-Dritte einschließen, deren Störung die Bank meaningfully betreffen würde — was die E-Mail-Infrastruktur einschließen kann, wenn das transaktionale Mail-Volumen der Bank signifikant ist.
Für Banken in der Tier-1-Pricing-Stufe nehmen wir an TLPT-Engagements als Drittpartei im Umfang teil. Wir bieten kontrollierte Testumgebungen, Dokumentation unseres Perimeters und die technische Verbindung für das Red Team während des Testfensters.
Procurement-bereites Gespräch
Erzählen Sie uns von Ihrem Institut: regulatorischer Perimeter (DORA-Umfang, Zahlungsdienste-Autorisierung, Jurisdiktionen), aktueller Send-Estate, DMARC-Haltung, und was speziell Sie dazu gebracht hat, die E-Mail-Infrastruktur zu prüfen. Wir kommen mit einem dimensionierten Vorschlag, einem AVV und einem vorausgefüllten Sicherheitsfragebogen zurück.