Exchange ist nicht genug

Microsoft hat sich nun auf den Versuch konzentriert, Office 365 undurchdringlich für Sicherheitsangriffe zu machen. Warum also übersehen sie immer wieder neue Wellen von Phishing-Angriffen?

Die großartige Suite von Office-Produktivitätsprodukten, zusammen mit ihren anderen gekoppelten Anwendungen, einschließlich Microsoft Exchange - dem Standard-E-Mail-Server für eine große Mehrheit der Benutzer - machte Office (und jetzt Office 365) extrem populär. Gerade weil Exchange so weit verbreitet und so stark in das Microsoft-Universum der Interoperabilität eingebunden ist, wurde Exchange zum beliebtesten Ziel für E-Mail-Phishing-Angriffe sowie zur Nummer 1 Quelle für Spammer, die es sehr einfach finden, Benutzerkonten einzurichten (oder zu stehlen), um massive Mengen an Spam, Phishing und Malware zu versenden.

Das Microsoft Exchange Online Protection (EOP)-System ist das E-Mail-Sicherheitssystem für Office 365, aber Unternehmen können ein Add-on namens Advanced Threat Protection (ATP) erwerben.

Microsoft schützt rund 180 Millionen Firmenpostfächer einer riesigen und vielfältigen Office 365-Benutzerbasis. Um den Erfolg fortzusetzen, musste Microsoft den universellen Zugang und die Benutzerfreundlichkeit sicherstellen sowie unterschiedliche Pläne anbieten, um ihre Produkte an die Benutzer und Unternehmen zu verkaufen, die bereit sind, mehr zu zahlen, um auch mehr zu bekommen. Aus diesen Gründen kommt Microsoft Exchange (Office365) mit eingeschränkten Funktionen und Konfigurationsoptionen für Sicherheit und Kontrolle über die Nutzung. Ihr (richtiger) Anspruch ist, dass Top-Sicherheit ("Advanced Threat Protection") ihren Preis hat, da sie auf High-End-Kunden zugeschnitten ist, aber nicht einfach genug ist, um von allen Nutzern verwendet zu werden, die sich mit der Einheitsgröße Office 365 Exchange zufrieden geben müssen, einem E-Mail-System, das sich auf Benutzerfreundlichkeit konzentriert und gerade genug Online-Schutz bietet, um einen großen Teil von Spam und Malware abzufangen.

Office 365 kann nicht für jedes Unternehmen maßgeschneidert werden

Die Feststellung, ob gesendete Inhalte bösartig sind, hat einen statistischen Aspekt. Es gibt unzählige offensichtliche Fälle von Phishing-Angriffen, aber es gibt auch einige Grauzonen Beispiele. Daher muss der standardmäßige Exchange Online-Schutz das Risiko, einen Angriff zu übersehen, dem Blockieren einer legitimen Nachricht vorziehen (falsch negativ > falsch positiv). Dieser Ansatz ist notwendig, um die Masse zu sichern, aber er zeigt auch, dass der Schutz vor Bedrohungen nicht vollständig auf jedes Unternehmen zugeschnitten werden kann.

Unklare Berichts- und Forensik-Funktionalität

Die Sicherung der Massen erfordert auch, dass Microsoft die Konfigurationen auf einem Minimum hält, da die meisten ihrer Anwender keine Sicherheitsexperten sein werden. Daher sind Sichtbarkeit und Kontrolle in der Microsoft EOP-Oberfläche begrenzt, was es schwierig macht, tief in einen bestimmten Vorfall einzutauchen, die Grundursache zu finden, die betroffenen Benutzer zu ermitteln, herauszufinden, ob das Benutzerkonto kompromittiert ist oder ob Daten verloren gegangen sind, usw. Außerdem schränkt ATP die Berichterstattung aufgrund von Zeitbeschränkungen ein.

Vorhersehbare Umgehung

Eines der Hauptprobleme ist die Tatsache, dass ein Angreifer mit der Anmeldung eines Office-Kontos seine IP-Reputationsprobleme gelöst hat und auch herausgefunden hat, wie er die Sicherheitseinschränkungen umgehen kann.

ATP verfügt über gute Funktionalitäten und wird in seiner Qualität immer weiter verbessert. Da es jedoch erst vor fünf Jahren eingeführt wurde, fehlen im Vergleich zu Lösungen von zuverlässigen Sicherheitsunternehmen einige Leistungsmerkmale und Funktionen.

Die Notwendigkeit einer zusätzlichen E-Mail-Sicherheit

Anders als erwartet, wuchs der Markt für Email Security Gateways (von Cybersecurity-Lösungen, die nur für die Filterung und Kontrolle von E-Mails zwischen Internet und E-Mail-Server zuständig sind), nachdem Microsoft eine Sicherheitskomponente zu seinem Office 365 Exchange hinzugefügt hatte. Es stellte sich heraus, dass EOP für ein bestimmtes Segment von Unternehmen ausreichend war, aber bald erkannten die Unternehmen, dass sie die Lücken in diesem System berücksichtigen und ihre E-Mail-Sicherheit und -Kontrolle verbessern sollten - z. B. Erkennung bekannter Malware, geprüfte Quarantäne-Verwaltung, Unterstützung für externe Bedrohungsdaten und Entschärfung und Rekonstruktion von Inhalten - die nur durch dedizierte, separate „Secure Email Gateways“ (SEG) gefüllt werden konnten.

Der Grund, warum Microsoft unter so vielen Phishing-Attacken leidet, hat nichts mit einem bestimmten Systemfehler zu tun, sondern vielmehr mit der weiten Verbreitung des Systems.

Zuverlässige Lösungen, die sowohl aktuellen als auch zukünftigen Anforderungen gerecht werden und als zusätzliche und separate Sicherheitsebene fungieren, sollten von fortschrittlichen Unternehmen in Betracht gezogen werden.