CyberCompare sprach mit Adrian Kyburz von xorlab über E-Mail Security.
Lieber Adrian, wie würden Sie xorlab in 3 schlagfertigen Worten beschreiben?
E-Mail Security: Sicherer, effizienter, KI-gestützt
Nun stelle dich bitte kurz vor und erzähle uns gerne etwas über deinen Hintergrund.
Mein Hintergrund ist technisch. Ich habe an der ETH Zürich Informatik studiert und meinen Master in Informationssicherheit gemacht. Mich hat schon immer interessiert, wie die Dinge funktionieren. Programmieren zu lernen war die ursprüngliche Motivation für das Studium. Schnell war mir jedoch wichtiger, dass das Programm gut (und sicher) funktioniert, einfach zu bedienen ist und über eine tolle UX verfügt. Als Head of Marketing bei xorlab kann ich all das nun verbinden. Zusammen mit meinem Team versuche ich, die Bedürfnisse im Markt zu antizipieren und konkrete Angebote dafür zu entwickeln.
Was zeichnet xorlab aus?
Wir sind ein Europäisches Unternehmen aus der Schweiz, das antritt, die E-Mail-Kommunikation in Unternehmen bestmöglich zu schützen. Unser junges und motiviertes Team arbeitet täglich daran, dass unsere Lösung modernen E-Mail-Bedrohungen immer einen Schritt voraus ist.
Heutige E-Mail-Angriffe sind kontextualisiert, das heißt, sie sind perfekt auf den Kontext des Opfers zugeschnitten: Angreifer antworten auf tatsächlich geschriebene E-Mails, geben sich als vertrauenswürdige Absender aus oder versenden Mails von bereits kompromittierten Partner- Accounts. Das alles erschwert die Erkennung der Angriffe, insbesondere für herkömmliche Lösungen.
Wir beobachten bei unseren Kunden beispielsweise, dass 4 von 5 Phishing-E-Mails “Zero-Hour”-Angriffe sind. Eine E-Mail ist dann ein “Zero-Hour”-Angriff, wenn keine bereits bekannten Angriffsindikatoren (engl. „Indicators of Attack“) nachgewiesen werden können und herkömmlichLösungen die E-Mail deshalb nicht als gefährlich erkennen.
Wir haben mit unserer KI-gestützten Engine eine Lösung, die Hunderte von Signalen pro E-Mail analysiert und mit dem Kontext der Organisation abgleicht. Damit kann xorlab kontextualisierte Angriffe erkennen. xorlab lernt, welche Kommunikationsmuster für die Organisation typisch sind und klassifiziert E-Mails dann als bedrohlich, wenn die Analyse einer E-Mail vom erwarteten Muster abweicht.
Wie hilft xorlab Unternehmen?
xorlab unterstützt Unternehmen in drei Bereichen. Erstens maximiert xorlab die E-Mail Security. xorlabs Verständnis der jeweils typischen Unternehmenskommunikation ermöglicht den SecurityTeams, E-Mail-Bedrohungen proaktiv und präzise abzuwehren und von dynamischen Regeln zuprofitieren, die sich im Lauf der Zeit automatisch anpassen.
- Proaktiv: Zero-Hour-Angriffe abwehren.
- Präzise: Sehr tiefe False Positive Rate.
- Dynamisch: E-Mail Security, die sich automatisch an sich ändernde Kommunikationsmuster des Unternehmens anpasst.
Bei unseren Kunden beobachten wir zudem, dass die Kosten im Betrieb optimiert werden können.Mit den gesammelten Daten können beispielsweise interne Meldeprozesse weitgehendautomatisiert werden. Die Proaktivität der Lösung führt zudem dazu, dass die manuelle Pflege vonBlock- und Allow-Lists entfällt.
Die Fülle an Daten und der Fokus auf die UX sorgt auch dafür, dass xorlab-Kunden die Kontrolle überdie E-Mail Security zurückerhalten. Wann eine E-Mail als bedrohlich eingestuft und unter Quarantäne gestellt wird, ist gut nachvollziehbar und die Parameter für die Entscheide können mitdem Verständnis der Kommunikationsmuster an die Bedürfnisse des Unternehmens angepasst werden.
Was siehst Du vielleicht etwas anders als vorherrschende Meinungen im Bereich Cyber-Security?
Ich würde nicht sagen, dass dies unbedingt die vorherrschende Meinung ist, aber ich höre oft, dass die Mitarbeitenden als das schwächste Glied in der E-Mail Security bezeichnet werden, was das Thema allerdings stark vereinfacht und falsch darstellt.
Dies wird besonders deutlich, wenn es um Awareness Trainings der User geht. Die meisten Unternehmen führen solche Schulungen durch, um den Faktor Mensch besser „in den Griff zu bekommen“ und die damit verbundenen Risiken zu minimieren. Eine Studie der ETH Zürich legt jedoch nahe, dass diese Bemühungen nicht nur ineffizient sind, sondern die Situation sogar verschlimmern können, indem sie das Verhalten der Mitarbeiter negativ beeinflussen (https://arxiv.org/abs/2112.07498).
Ich denke, dass eine bessere User Experience sehr hilfreich ist. Wenn man in fast jeder E-Mail den Hinweis „Achtung, externer Absender“ sieht, nimmt man das irgendwann nicht mehr wahr. Das ist ein Beispiel für schlechte UX und nicht das Problem des Users. Gute UX hingegen befähigt den Einzelnen und gibt ihm das Gefühl, wirklich in der Lage zu sein, sichere und selbstständige Entscheidungen zu treffen. Gute UX verwandelt das so genannte „schwächste Glied“ in eine starke „Line of Defense“, die die allgemeine Resilienz verbessert. Daran arbeiten wir bei xorlab.
Welche Security-Toolkategorien sind Deiner Ansicht nach über- bzw. unterbewertet? Würdest Du beispielsweise erst in ein NDR oder ein EDR System investieren?
So allgemein lässt sich die Frage nicht beantworten. Bevor ich entscheide, in welche Tools ich investieren soll, würde ich mir überlegen, gegen welche Angreifer und welche Angriffstechniken ich mich verteidigen muss. Erst wenn ich das Angreifermodell definiert habe, wähle ich die Tools aus, die die Fähigkeiten meines Modellangreifers am besten eliminieren. Idealerweise kann ich dabei gleich ganze Teile der Angriffsfläche eliminieren. Nehmen wir Ransomware als Beispiel: wenn ich mich gegen Ransomware schützen will, muss ich verhindern, dass Schadsoftware ausgeführt werden und Daten abfließen können. Ich kann das erreichen, in dem ich verhindere, dass Schadsoftware in meine Umgebung gelangt, z.B. mit E-Mail Security. Ich kann auch verhindern, dass Schadsoftware ausgeführt wird, z.B. auf dem Client mit EDR. Ich kann gleichzeitig versuchen, die Menge an kompromittierten Geräten möglichst klein zu halten, indem ich mein Netzwerk segmentiere und die Zugänge stark authentisiere.
Wie geht es weiter – Was steht bei Euch technisch auf der Roadmap, was habt Ihr Euch vorgenommen?
Diverse Beispiele und auch die bereits erwähnte Studie der ETH Zürich zeigen auf, dass Awareness Trainings im Bereich Cyber Security allein leider nicht ausreichen. Je grösser ein Unternehmen ist, desto höher ist die Wahrscheinlichkeit, dass ein Mitarbeiter doch eine bedrohliche E-Mail anklickt. Daher ist es uns wichtig, dem mit verschiedenen situativen Benutzerwarnungen entgegenzuwirken. Mit diesen Contextual Banners kann ein Mitarbeiter dann punktuell und effizient gewarnt werden, z.B. wenn ein bisher noch nicht aufgetretener externer Sender eine E-Mail schickt, oder eine neue Organisation eine Rechnung zustellt.
Ein weiteres Einfallstor für Cyberangriffe ist die Lieferkette oder Supply Chain. Wir entwickeln mit dem Third Party Risk Management gerade ein Feature, das es einem Unternehmen ermöglicht, zu sehen, welchen Lieferanten und Kunden von Attacken möglicherweise betroffen sind. Dadurch soll verhindert werden, dass Angriffe auf Unternehmen, mit denen man zusammenarbeitet, bis zu einem selbst durchdringen.
Darüber hinaus wird es bald möglich sein, selbst erstellte Sicherheitsregeln, unsere sogenannten Adaptive Policies, über eine Art Community mit anderen xorlab Kunden zu teilen und so Zugriff auf eine noch grössere Bibliothek an Regeln zu bekommen. Damit wird der Filter für schädliche E-Mails noch präziser und Automatisierungen wie z.B. zum Herausfiltern von ähnlichen E-Mails (gleicher Sender, gleiche Betreffzeile, etc.) werden noch einfacher. Man profitiert von der „Schwarmintelligenz“ und den Erfahrungen anderer Unternehmen.
Wenn Sie eine E-Mail an alle CISOs schicken könnten, um ein Sicherheitsproblem anzusprechen – was würden Sie wählen?
Die Anzahl der deutschen Unternehmen, die Schäden durch Phishing verzeichnen, hat sich von 18% im Jahr 2021 auf 31% im Jahr 2023 fast verdoppelt (Bitkom Research 2023. Report:Wirtschaftsschutz 2023). Wir glauben, dass ein Grund für diesen Anstieg ein Paradigmenwechsel ist: 4 von 5 Phishing-E-Mails, die von xorlab gestoppt werden, sind unbekannte Zero-Hour-Angriffe, diesowohl herkömmliche Lösungen als auch die nativen Kontrollen von Cloud-E-Mail-Dienstenumgehen.
Beobachten Sie das Gleiche wie wir? Wir freuen uns, mit Ihnen zusammen bestehende Sicherheitslücken zu schliessen.
