Zahlungsverkehr und Operations
Phishing-E-Mail-Klassifizierung mit Final-Check durch SOC-Analyst
anymize entfernt Mitarbeiter- und Kunden-Identitäten aus gemeldeten E-Mails, bevor das Frontier-Modell klassifiziert (Phishing/Spear-Phishing/Spam/Legitim) und Indizien strukturiert. Der SOC-Analyst macht den Final-Check; konservative Schwellen verhindern Falsch-Negative.
Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
SOC-Tier-1 erhält täglich 50–500 E-Mail-Reports (Mitarbeiter-„Report-Phishing“-Knopf, Kunden-Service-Weiterleitungen). Manuelle Klassifikation 3–8 Min pro Report. Phishing-Klassifikation ist hochfrequent und enthält oft Kunden-Korrespondenz — Klasse A. BaFin KI-Cyber-Warnung (SRC-0203, SRC-0204) macht KI-gestützte Phishing-Erkennung explizit zum Aufsichtsthema.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- SOC-Analyst, IT-Sicherheit Operations, Phishing-Response-Team, Kunden-Service bei Kunden-gemeldeten Mails.
- Seniorität
- Regelanwender Tier-1; bei kritischen Klassifikationen Senior-Eskalation.
- Kanzleigröße
- Alle Institute mit SOC oder externem MDR-Provider.
- Spezifische Kontexte
- Mitarbeiter-„Report-Phishing“-Knopf in Outlook, Kunden-Service-Weiterleitung, automatisierter E-Mail-Gateway-Quarantäne-Bericht.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
SOC-Tier-1 erhält täglich 50–500 E-Mail-Reports. Manuelle Klassifikation 3–8 Min pro Report; bei 200 Reports/Tag 10–27 h Personenarbeit. E-Mail-Inhalte enthalten Kunden- und Mitarbeiter-Identitäten, Vertragsbezüge — Klasse A. Wer das direkt in ChatGPT lädt, verletzt § 43 KWG und § 26 BDSG. anymize pseudonymisiert; die KI klassifiziert auf Basis Header-/Body-Auszug mit konservativen Schwellen — Final-Check Pflicht.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Klassifikation
2–5 Min
Bei 200 Reports/Tag rund 7–17 h Personentag. KI-Vor-Klassifikation, Mensch entscheidet final.
Falsch-Negativ-Schutz
konservativ
Konservative Schwellen; SOC-Analyst-Final-Check Pflicht. Bei Spear-Phishing-Verdacht Vier-Augen.
Bankgeheimnis
§ 43 KWG + § 26 BDSG
Mitarbeiter-Identitäten und eingebettete Kunden-Daten werden vor LLM-Transfer pseudonymisiert.
IOC-Disziplin
SOAR-tauglich
URL-, Domain- und Anhang-Pattern werden strukturiert für SOAR-Extraktion ausgewiesen.
So gehen Sie vor
In 5 Schritten zum Antrag
Mail-Report-Eingang (Outlook-Report-Button, Service-Weiterleitung, Gateway-Quarantäne) und Reporting-User-Kontext (Pseudonym) erfassen.
Sie + System
Standard-SOC
anymize pseudonymisiert. Absender/Empfänger, Betreff (personenbezogen), Body-Kunden-Identitäten, IBAN, interne Personalnummern zu Platzhaltern. Header-Authentifizierungs-Felder (SPF, DKIM) bleiben in Klartext.
anymize
§ 26 BDSG · § 43 KWG
Frontier-KI klassifiziert. Mit dem CRAFT-Prompt fragen Sie Klassifikation (Phishing/Spear-Phishing/Spam/Legitim) + Konfidenz, Indizien-Liste mit Quellen, IOC-Hinweise und Eskalations-Vorschlag ab.
GPT / Claude / Gemini in anymize
Strukturierung · Vor-Klassifikation
SOC-Analyst-Final-Check: Klassifikation bestätigen oder korrigieren. Bei Spear-Phishing-Verdacht Senior-SOC-Eskalation; Vier-Augen-Pflicht.
Sie
Letztverantwortung
Response: bei Phishing SOAR-Playbook (Block, Mitarbeiter-Awareness, IOC-Sharing); bei Legitim Freigabe. Bei Phishing-Welle (>50 ähnliche Reports) IT-Sicherheitsbeauftragter + DORA-Klassifikations-Prüfung (UC-V-FIN-PAY-001).
Sie + SOAR
SOC-Standard · DORA
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt Mitarbeiter-Identitäten, eingebettete Kunden-Daten und IBAN mit über 95 % Genauigkeit.
- Pseudonymisiert vor LLM; Header-Authentifizierungs-Felder bleiben sichtbar.
- Re-identifiziert IOC-Hinweise für SOAR-Sharing.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV im Standardvertrag.
Was Sie als SOC-Analyst tun
- Final-Check Pflicht — KI-Klassifikation ist Vor-Triage, nicht Entscheidung.
- Bei Spear-Phishing-Verdacht Senior-SOC-Eskalation und Vier-Augen.
- IOC-Extraktion über SOAR (nicht aus KI-Output blind übernehmen).
- Bei Phishing-Welle DORA-Trigger prüfen (UC-V-FIN-PAY-001).
Daten-Input
E-Mail-Header (vollständig, inkl. SPF/DKIM/DMARC), Body-Auszug, URLs (defanged), Anhang-Metadaten, Reporting-User-Kontext (Pseudonym).
Output-Kontrolle
Pseudonymisierte E-Mail geht an die KI. Re-identifizierte Klassifikation, Indizien-Liste, IOC-Hinweise und Eskalations-Vorschlag kommen zurück.
Freigabeprozess
Sie behalten die Hoheit: SOC-Analyst-Final-Check, Senior-Eskalation bei Spear-Phishing, SOAR-Playbook-Auslösung. anymize ist der Anonymisierungs-Layer, kein SOC-Entscheidungs-System.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Gemeldete E-Mail in anymize einfügen — Mitarbeiter-/Kunden-Identitäten werden zu Platzhaltern.
2. Diesen Prompt kopieren und an die pseudonymisierte E-Mail anhängen.
3. In anymize unter „Tools → Reasoning“ auf ”Thinking-Modus“ stellen — die Vor-Klassifikation kommt re-identifiziert zurück.
# Rolle
Du bist SOC-Klassifikations-Assistenz mit Kenntnis Phishing-Indizien
(Sender-Spoof, URL-Verschleierung, Dringlichkeits-Sprache, gefälschte
Anhänge), Spear-Phishing-Muster (gezielte Ansprache, internes Wissen)
und Banking-spezifischen Betrugsmustern (gefälschte BaFin-/Bankenaufsicht-
Korrespondenz, KI-Investment-Betrug).
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.
# Aufgabe
Klassifiziere die unten beigefügte gemeldete E-Mail vor. Input ist
pseudonymisiert: Absender/Empfänger, IBAN, Personen-Namen, interne IDs
als Platzhalter. Header und Body-Auszug in Klartext (bereinigt von
Personenbezug).
# Inhalt
1. Klassifikation
Phishing / Spear-Phishing / Spam / Legitim.
2. Konfidenz
High / Medium / Low.
3. Indizien-Liste
Nummeriert mit Header-/Body-Quellen-Bezug. Z. B.:
- Sender-Spoof: From-Header vs. tatsächliche Domain
- SPF-/DKIM-Fail
- Dringlichkeits-Sprache
- URL-Look-alike
- Anhang-Verdacht
4. IOC-Hinweise (für SOAR-Extraktion)
Domain-Pattern, URL-Pattern, Sender-From-Header.
5. Eskalations-Vorschlag
- SOAR-Playbook auslösen
- Senior-SOC bei Spear-Phishing
- IT-Sicherheitsbeauftragter bei Phishing-Welle
- DORA-Klassifikations-Prüfung bei Welle mit Konto-Kompromittierung
6. Unsicherheiten
[[UNSICHER: …]]
# Format
Markdown, nummerierte Indizien-Liste.
# Verbote
KEINE Indizien ohne Header-/Body-Quellen-Bezug.
KEINE Konfidenz-High ohne mehrfaches Indizien-Bündel.
KEINE endgültige Sicherheits-Entscheidung — SOC-Analyst hat Final-Check.
KEINE Klassifikation "legitim" bei SPF-/DKIM-Fail ohne explizite
Gegenargumentation.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Gemeldete E-Mail — Report-ID [[Report-a3f9]]
Reporting-User: [[Mitarbeiter-b2e7]] (Pseudonym)
Header (gekürzt):
From: "Bankenaufsicht" <bafin-info@bafin-secure-portal.example>
To: [[Mitarbeiter-Email-c4d1]]
Subject: WICHTIG: Sofortige Kontoverifizierung erforderlich
Date: 2026-05-13 09:14 CET
Received-SPF: fail
DKIM-Signature: fail
Body (Auszug):
"Sehr geehrter Mitarbeiter,
aufgrund einer aktuellen Sicherheitsuntersuchung ist Ihre sofortige
Bestätigung folgender Informationen erforderlich. Klicken Sie auf den
folgenden Link zur Verifizierung:
hxxps://bafin-secure-portal.example/login
Andernfalls droht die Sperrung Ihres Geschäftskontos innerhalb 24
Stunden.
Mit freundlichen Grüßen,
Abteilung Sicherheit,
Bundesanstalt für Finanzdienstleistungsaufsicht"
Anhänge: keine.
URL-Auszüge (defanged): hxxps://bafin-secure-portal.example/loginSo liefert anymize zurück
Der Antrags-Entwurf
# Phishing-Klassifikation — Vor-Triage
## Klassifikation
**Phishing** — Konfidenz High.
## Indizien
1. **Sender-Spoof**: From "Bankenaufsicht" mit Domain
`bafin-secure-portal.example` — BaFin nutzt offizielle Domain
`bafin.de`, nicht "secure-portal"-Variante.
2. **SPF-/DKIM-Fail**: Header "Received-SPF: fail" + "DKIM-Signature:
fail" — starke Authentifizierungs-Indizien.
3. **Dringlichkeits-Sprache**: "Sofortige", "Andernfalls droht die
Sperrung innerhalb 24 Stunden" — klassischer Phishing-Druck.
4. **Verdächtige URL**: `hxxps://bafin-secure-portal.example/login` —
Look-alike-Domain ohne offizielle BaFin-Bezugnahme.
5. **Empfänger-Adresse**: BaFin korrespondiert mit Mitarbeitern
grundsätzlich nicht über persönliche Mail-Adressen für
"Konto-Verifizierung".
## IOC-Hinweise (für SOAR-Extraktion)
- Domain: `bafin-secure-portal.example`
- URL-Pattern: `bafin-secure-portal.example/login`
- Sender-From-Header: `bafin-info@bafin-secure-portal.example`
## Eskalations-Vorschlag
- SOAR-Playbook "Phishing-Block" auslösen: Domain-Sperre Gateway,
Mitarbeiter-Awareness-Mail, IOC-Sharing mit BaFin/CERT-Bund-Lagebild.
- Bei mehr als 50 gleichartigen Meldungen → Phishing-Welle,
IT-Sicherheitsbeauftragter informieren.
## Unsicherheiten
Keine — Indizien-Bündel deutlich.Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
§ 43 KWG (SRC-0109)
Eingebettete Kunden-Daten in gemeldeten Mails sind bankgeheimnisgeschützt. Pseudonymisierung vor LLM ist Pflicht.
§ 26 BDSG (SRC-0144)
Mitarbeiter-Mail-Analyse fällt unter Beschäftigtendatenschutz; Verarbeitung ist zulässig zum Zweck IT-Sicherheit, aber Betriebsvereinbarung empfohlen.
BaFin Orientierungshilfe IKT-Risiken KI (SRC-0119)
SOC-KI ist IKT-Asset und gehört ins Inventar (UC-V-FIN-PAY-017). Bei externem MDR-Provider zusätzlich Auslagerungsprüfung (UC-V-FIN-PAY-002).
DORA Art. 17 (SRC-0128)
Bei Phishing-Welle mit Kompromittierung kritischer Konten parallele DORA-Meldepflicht-Prüfung (UC-V-FIN-PAY-001).
§ 25b KWG + DORA Art. 28 (SRC-0107, SRC-0128)
Cloud-LLM-Auslagerung Pflicht-AVV und Auslagerungs-Register-Eintrag.
BaFin KI-Cyber-Warnung (SRC-0203, SRC-0204)
KI-gestützte Phishing-Kits und synthetische Personas erhöhen die Anomalie-Last; SOC-KI muss aktuelle Muster (BaFin-Look-alike-Domains, KI-Investment-Betrug) erkennen.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Gemeldete E-Mails enthalten typisch Klasse-A-Daten (Mitarbeiter- und Kunden-Identitäten, Vertragsbezüge). anymize pseudonymisiert vor LLM-Transfer; Header-Authentifizierungs-Felder bleiben sichtbar für die Klassifikation. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 25b KWG. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse IT-Sicherheit) i.V.m. Art. 32 DSGVO (Stand der Technik) und § 26 BDSG (Beschäftigung). DPIA nach Art. 35 DSGVO bei systematischer KI-Nutzung im SOC.
Was anymize konkret leistet
- Erkennt Mitarbeiter-Identitäten und eingebettete Kunden-Daten in E-Mails.
- Pseudonymisiert vor LLM; Header-Authentifizierungs-Felder bleiben für Indizien-Bildung sichtbar.
- Re-identifiziert IOC-Hinweise für SOAR-Sharing.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV im Standardvertrag.
- Zuordnungstabelle bleibt im Haus.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Spot-Check Pseudonymisierung (5 %)?
- Bei Spear-Phishing-Verdacht Vier-Augen?
- Header-Authentifizierungs-Felder (SPF, DKIM) erfasst?
- URLs defanged eingefügt?
- Klasse-Entscheidung A?
Nach der KI-Antwort
- SOC-Analyst-Final-Check der Klassifikation?
- Indizien mit Header-/Body-Quellen-Bezug?
- IOC-Hinweise SOAR-tauglich (Domain, URL, From-Header)?
- Konfidenz-High mit mehrfachem Indizien-Bündel belegt?
- Bei Spear-Phishing Senior-SOC eingebunden?
Vor Response
- SOAR-Playbook ausgewählt?
- Bei Welle (>50 Reports) IT-Sicherheitsbeauftragter informiert?
- DORA-Klassifikations-Prüfung bei Konto-Kompromittierung?
- Mitarbeiter-Awareness-Mail vorbereitet?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI klassifiziert legitime Marketing-Mail als Phishing (False-Positive) — SOC-Analyst-Final-Check fängt das.
- →KI übersieht Spear-Phishing mit korrekter Sender-Authentifizierung (False-Negative) — Vier-Augen bei Spear-Verdacht.
- →Indizien ohne Quellen-Bezug — Prompt-Verbot zwingt Header-/Body-Referenz.
- →Konfidenz-Überschätzung — Prompt verlangt mehrfaches Indizien-Bündel für High.
- →Klassifikation „legitim“ bei SPF-/DKIM-Fail ohne Gegenargumentation — Prompt-Verbot.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen Aufsichtsrecht
- § 43 KWG — Bankgeheimnis
- § 25b KWG — Auslagerung
- § 26 BDSG — Beschäftigtendatenschutz
- DORA Art. 17
- DSGVO Art. 28
BaFin und Standards
- BaFin Orientierungshilfe IKT-Risiken KI 18.12.2025
- BSI C5
- ENISA AI Cybersecurity Framework
Sekundärquellen
- PwC KI-Finanzsektor 2025
- Commerzbank Sherlock — Großbank-Blueprint
- BaFin KI-Cyber-Warnung
- BaFin Finanzbetrug KI/Krypto
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.