E-mail Security

E-Mail Security 2.0 – Schutz vor Angriffen & Phishing effektiv stoppen.

Wie helfen wir dem schwarzen Schaf in eine sichere Umgebung?

Weshalb ist E-Mail Security ein so kritisches Thema?

Die E-Mail gilt in allen Publikationen als Angriffsvektor Nummer 1. Die Angaben schwanken dabei für den traurigen Sieger, in ca. 85-95% aller Angriffe involviert zu sein.

Warum ist das so? Nun, zunächst einmal können wir nicht entscheiden, welcher Absender uns mit welcher Absicht eine Mail versendet. Des Weiteren liegt die Hoheit über das Medium primär beim Empfänger, also oft dem Benutzer. Auch wenn er sensibilisiert ist und etablierte Regeln befolgen sollte, hat er im Vergleich zu anderen Bereichen und Services erheblichen Handlungsspielraum.

Es ist neben technischen Maßnahmen, maßgeblich der Mensch, der nach eigenem Ermessen entscheidet, wie er eine Nachricht behandelt. So werden oft durch Phishing-Mails vertrauliche Informationen abgegriffen.

Aus Perspektive der Security Verantwortlichen ist E-Mail ein „Graus“.

Nicht zuletzt, weil man jedes einzelne E-Mail-Konto als „Tür“ in die das Unternehmensnetz betrachten muss.

Der aktuelle Stand der Sicherheitsvorkehrungen: Ausreichende Sicherheit oder Überlastung des Personals?

Was sehen wir? Viele unserer Kunden haben bereits gute Lösungen im Einsatz, welche die OnPremise Umgebung oder den Mailserver in der Cloud schützen. Teilweise sind auch nach Cloudmigration noch OnPremise Appliances, sogenannte Secure E-Mail Gateways im Einsatz, welche grundsätzlich ihren Zweck erfüllen, jedoch teilweise zu einem Umweg (durch Rückführung von Traffic aus der Cloud und anschließend wieder in die Cloud) führen.

Werden diese Lösungen durch den Kunden selbst betrieben, beobachten wir häufig eine Vernachlässigung dieser IT-Systeme, weil man sich auf die Cloud-Administration der Mailserver konzentriert. Konfigurationsfehler oder ein Aufweichen der Regelwerke findet häufig statt, wenn das Admin-Team hoffnungslos überlastet ist, so wie auch der tägliche System- und Quarantäne-Check ausbleibt, wenn der Alltag andere Themen priorisiert.

Wenn sie sich hier wieder finden … sie sind nicht allein.

Die gute Nachricht: es gibt Lösungen für die Überlastung und weitere Herausforderungen.

Moderne Email-Security-Lösungen adressieren viele der genannten Probleme. Sie setzen zum einen natürlich auf KI, zum anderen werden sie in der Regel als Cloudlösung bereitgestellt.

Wie bei vielen anderen Security-Lösungen, z.B. EDR, wird die Erkennungsqualität schlicht durch Quantität gesteigert. Die Ergebnisqualität der KI wächst, je mehr analysierbare und korrelierbare Daten zur Verfügung stehen.

Die uns bekannten Lösungen aus Kundenprojekten, welche meist unter dem Begriff „E-Mail-Security-Lösung“ angeboten werden, unterscheiden sich signifikant.

Sowohl inhaltlich, also in Lösungsumfang und Features, als auch kommerziell sehen wir Möglichkeiten aber auch Fallstricke in der Auswahl.

Wesentlich ist zum Beispiel die Auswahl der geeigneten Prozessarchitektur. Einige Anbieter sind sehr flexibel und bieten sowohl Inline-Verarbeitung als auch API/Journaling-Methodik an, um dem Mailserver mit Sicherheitsfeatures zu assistieren.

Bei InLine, wie der Name sagt, findet eine lineare bzw. sequenzielle Verarbeitung statt. Der MX-Record der Domain zeigt auf die Infrastruktur des Anbieters und eingehende Mails durchlaufen zunächst dessen Security-Stack, bevor sie an den Mailserver des Kunden geleitet werden.

Beim API/Journaling-Verfahren findet eine parallele Verarbeitung statt, indem auf Mail auf dem Mailserver zugegriffen werden, oder wie bei einigen Archivierungstools, jede Mail in Kopie in den Security-Stack eines Anbieters weitergeleitet wird. Einige Anbieter kombinieren die Verfahren zu hybriden Modellen.

Die Architektur bestimmt in der Regel, welche Features über die Security-Features hinaus möglich sind. Failover Lösungen, Data Retention und Langzeit-Archivierung sind Anforderungen die mittlerweile als zweite Verfügbarkeitsschicht zum Mailserver und dessen primären Backupkonzept dienen. Darüber hinaus bieten einige Lösungen integriertes Verschlüsselungs- und Schlüsselmanagement mit modernen Technologien, wie zum Beispiel Regel-basierter Verschlüsselung.

Warum mit E-Mail Security beschäftigen?

Wesentliche Motivation ist selbstverständlich die Vermeidung von Vorfällen durch höchste Erkennungsqualität mit niedrigsten False-Positive Raten und geringem Betriebsaufwand. Hier machen viele Lösungen bereits einen guten Job, aber, wie bei EDR, ist es für den Kunden schwer die Wirksamkeit zu evaluieren. Allerdings gibt es Anbieter, die kostenlose Testphasen ermöglichen und so eine Erprobung parallel bzw. ergänzend zur derzeitigen Lösung ermöglichen.

Auf diese Weise lässt sich simulieren, wie die neue Lösung mit den Mails umgegangen wäre und welche Bedrohungen die alte Lösung ggf. übersehen hat.

Moderne Lösungen setzen auf verschiedene Malware-Engines, Sandboxing und KI zur Erkennung von betrügerischen Inhalten. Die Qualität der Verarbeitung und Erkennung geht dabei so weit, dass einige Anbieter zum Beispiel Links, die einmal in der Datenbank erfasst sind, dauerhaft wiederkehrend überprüfen, so dass nachträglich veränderte Ziele einer URL erkannt werden und entsprechend regiert werden kann. Ebenso verhält es sich mit nachträglich veränderter Reputation von Absendern oder ganzen Domains. Solche POST-Delivery-Maßnahmen sind wesentlich, da die Angreifer ausgeklügelte Verfahren entwickeln die statische Erkennung von Lösungen älterer Generation zu umgehen.

Wir empfehlen stets auch die Nutzer- und Admin-Oberflächen relevanter Lösungen in einer Demo und wenn möglich einem PoC zu evaluieren. Hier sollten neben dem Look & Feel und der Logik der Menüs auch die Möglichkeiten für Regelwerk Vorlagen und die Automation genauer betrachtet werden. Die Entlastung der Admins sollte wesentlicher Bestandteil sein.

Was ist unser Fazit?

Wir empfehlen unseren Kunden dem Bereich Email-Security besondere Aufmerksamkeit zu widmen. Wo, wenn nicht für den Top-Angriffsvektor, sollte Layered-Security eine wesentliche Rolle spielen. Produkte, die Online-Mailserver schützen, wie beispielsweise die Tools der Defender for Office Pläne im Microsoft-Kosmos, können durch zusätzliche Lösungen, welche eine zweite Barriere bilden, ergänzt werden (API/Journaling basierte Lösungen). Umgekehrt kann eine vorgeschaltete InLine-E-Mail-Lösung zum Beispiel mit einem Cloud-basierten E-Mail Gateway mit mehrstufigen Malware Scanning und Sandboxing den Integrierten Schutz der Mailserverumgebung stärken.

Es ist aus unserer Sicht essenziell sich im Detail mit den individuellen Anforderungen auseinanderzusetzen, um die am besten geeignete Lösung zu finden.

CyberCompare unterstützt sie dabei mit etablierter Methodik und Projekterfahrung.