11. Februar 2026
In der vergangenen Woche erreichten das BACS vermehrt Meldungen über ein Phänomen, das auf den ersten Blick wie massiver Spam wirkt, in Wahrheit aber ein gezieltes Ablenkungsmanöver von Cyberkriminellen ist: Das sogenannte «Subscription Bombing»
Stellen Sie sich vor, Sie erhalten innerhalb weniger Minuten hunderte oder gar tausende Bestätigungs-E-Mails, beispielsweise für Newsletter-Anmeldungen von Webseiten aus der ganzen Welt. Der Zweck dieser Attacke ist nicht die Belästigung: Die Angreifer nutzen die E-Mail-Flut, um eine einzige, kritische E-Mail zu verbergen. Meist haben die Täter bereits Zugriff auf ein Konto des Opfers erlangt (z. B. beim E-Banking oder bei Online-Shops) und dort eine Transaktion ausgelöst. Die Sicherheitswarnung bzw. Bestätigung des betroffenen Dienstes geht in der Masse des «Bombings» unter und wird vom Opfer übersehen.
Warum klassische Filter versagen
Für Administratoren stellt «Subscription Bombing» eine besondere Herausforderung dar. Die E-Mails stammen von legitimen Servern auf der ganzen Welt, sodass klassische Blacklists und Spamfilter oft nicht greifen.
- Legitimität durch «SPF», «DKIM» und «DMARC»
Die Angreifer nutzen echte Webformulare seriöser Firmen. Da diese Firmen ihre E-Mail-Server korrekt mittels SPF («Sender Policy Framework») und DKIM («DomainKeys Identified Mail») konfigurieren, stufen Spam-Filter die Nachrichten als unbedenklich ein. Eine harte Filterung würde zudem dazu führen, dass auch erwünschte Systembenachrichtigungen blockiert werden. - «Backscatter»-Problematik
In einigen Fällen wird das «Bombing» durch Fehlermeldungen (sogenannte «Non-Delivery Reports») erzeugt, wenn die Täter die E-Mail-Adresse des Opfers als Absender fälschen. Eine strikte DMARC-Policy (p=reject) für die eigene Domain hilft hier, den Missbrauch der eigenen Identität einzuschränken – ganz vermeiden lässt es sich leider nicht.
E-Mail-Adressen gehören nicht in den Klartext
Ein zentraler Punkt für die Angriffsplanung ist die einfache Verfügbarkeit von Zieladressen. Das BACS stellt fest, dass Adressen oft durch automatisiertes «Scraping» von Firmenwebseiten gesammelt werden.
- Keine E-Mail-Adressen im Klartext: E-Mail-Adressen sollten auf Webseiten niemals im Klartext stehen. Bots können diese automatisiert extrahieren.
- Schutzmassnahmen: Setzen Sie bei Kontaktformularen CAPTCHAs ein, mit welchen geprüft werden kann, ob ein Online-Nutzer wirklich ein Mensch und kein Bot ist,oder verschleiern Sie E-Mail-Adressen im Quellcode mittels JavaScript oder Obfuskation, um die automatisierte Erfassung zu erschweren.
Empfehlungen für Betroffene
Wenn Sie von einer plötzlichen E-Mail-Flut überrascht worden sind:
- Löschen Sie nicht panisch alles. Suchen Sie zunächst gezielt nach Begriffen wie «Passwort», «Zahlung», «Bestellung» oder «Sicherheit», um versteckte Warnungen zu finden.
- Kontrollieren Sie Ihre wichtigsten Konten (E-Banking, Kreditkarten) direkt auf verdächtige Aktivitäten. Nehmen Sie gegebenenfalls mit den betreffenden Anbietern Kontakt auf und ändern Sie die Passwörter.
- Reagieren Sie nicht auf Spam-E-Mails.
Empfehlungen für Webseiten-Betreiber
Verhindern Sie, dass Ihre eigene Webseite zum Werkzeug für solche Angriffe wird:
- Schützen Sie alle Webformulare (Newsletter-Anmeldungen, Kontaktformulare) durch Abfragen wie «reCAPTCHA» oder «hCaptcha».
- Begrenzen Sie die Anzahl der Anmeldungen oder Kontaktaufnahmen pro IP-Adresse und Zeitspanne.
- Senden Sie Bestätigungs-E-Mails erst nach einer erfolgreichen CAPTCHA-Abfrage.
Quelle: NCSC Schweiz
