Mehrschichtige Sicherheit: Ein Muss, besonders für Microsoft 365

Zu den vielen wichtigen Enthüllungen des Mimecast-Berichts State of Email Security 2021 (SOES) gehörte auch diese: Fast neun von zehn (88 %) der Microsoft 365-Nutzer sind der Meinung, dass ihre Unternehmen über die von Microsoft bereitgestellten Schutzmaßnahmen hinaus zusätzliche E-Mail-Sicherheitsebenen benötigen.

Dies wirft mehrere wichtige Fragen auf, angefangen bei: Warum? Aber auch: "Was genau ist mehrschichtige Sicherheit?" und "Wie kann man sie am besten erreichen?"

Suche nach zusätzlichen Sicherheitsvorkehrungen

Eine große Mehrheit (81 %) der 1.175 MS 365 IT-Sicherheitsentscheider, die an der SOES-Studie 2021 teilgenommen haben, schätzt die von Microsoft in seine Office-Suite integrierten Sicherheitsvorkehrungen hoch ein. Dennoch sind fast drei von vier (72 %) der Meinung, dass es noch Raum für Verbesserungen gibt. Das mag zum Teil daran liegen, dass zwei Drittel der Befragten (67 %) angaben, dass ihr Unternehmen in den letzten 12 Monaten einen MS 365-E-Mail-Ausfall erlebt hat, und fast die Hälfte (49 %) bezeichnete die Auswirkungen als mittelschwer bis schwerwiegend.

Vielleicht liegt es aber auch an der wachsenden Erkenntnis, dass die Sicherheitsrisiken im Zusammenhang mit E-Mails größer sind als je zuvor. Reisebeschränkungen, Heimarbeit und andere Reaktionen auf COVID-19 haben dazu geführt, dass Unternehmen zunehmend auf E-Mails angewiesen sind. Laut der SOES-Umfrage wird die E-Mail-Nutzung im Jahr 2020 in mehr als acht von zehn Unternehmen zunehmen. Gleichzeitig stellte die Studie fest, dass die Bedrohungen durch E-Mails ( ) um 64 % gestiegen sind ( ), da Cyberkriminelle versucht haben, die Verwirrung und Angst vor der Pandemie auszunutzen.

Laut einer aktuellen PwC-Umfrage planen 55 % der Führungskräfte aus dem Technologie- und Sicherheitsbereich in diesem Jahr eine Aufstockung ihrer Budgets für Cybersicherheit und eine Aufstockung ihres Vollzeit-Cyber-Personals.[1] Ziel ist es, die Cyber-Resilienz ihrer Unternehmen zu erhöhen, damit sie schneller auf einen Angriff reagieren oder ihn ganz verhindern können. Dies deckt sich mit der SOES-Studie, die ergab, dass Unternehmen mit einer Cyber-Resilienz-Strategie viel zuversichtlicher sind, einem E-Mail-Angriff standhalten zu können, als Unternehmen ohne eine solche Strategie. Das bringt uns zurück zum Konzept der mehrschichtigen Sicherheit, auch bekannt als Defense-in-Depth.

Was ist Defense-in-Depth?

Defense-in-Depth ist ein mehrschichtiger Ansatz für die Cyber-Resilienz, der in Verbindung mit den bereits robusten nativen Sicherheitskomponenten von MS 365 Lücken schließen und die Nachlässigkeit von Endbenutzern bei der Abwicklung von Geschäften per E-Mail ausgleichen kann.

In der aktuellen Situation ist es besonders wichtig, den Nutzern eine Absicherung zu bieten. Da die Zahl der Phishing-Angriffe seit Beginn der Pandemie um 63 % gestiegen ist und die Mitarbeiter durch die Arbeit von zu Hause aus stärker abgelenkt werden, berichtet fast die Hälfte (46 %) der Teilnehmer an der SOES-Umfrage von größeren Schäden aufgrund von Fehlverhalten der Mitarbeiter. In diesem Zusammenhang stellte das Mimecast Threat Center fest, dass Angestellte weltweit dreimal so oft auf in E-Mails eingebettete bösartige URLs klicken wie vor Beginn der Pandemie.

Diese Entwicklungen unterstreichen die Bedeutung einer Defense-in-Depth (DiD)-Strategie, bei der, wenn eine Verteidigungslinie versagt, eine zweite oder dritte den Tag retten kann. Durch die Integration verschiedener Verteidigungsarten von unterschiedlichen Anbietern schließt das DiD-Modell Sicherheitslücken, durch die eine Bedrohung angreifen könnte.

Einige der wichtigsten Ebenen einer DiD-Strategie sind:

• Netzwerksicherheitskontrollen auf der Grundlage von Verkehrsanalysen. Aus dieser Analyse abgeleitete Regeln können Firewalls und Systemen zum Schutz vor Eindringlingen dabei helfen, potenzielle Bedrohungen zu erkennen und zu entscheiden, wann der Zugriff zu blockieren ist.
• Anti-Malware Programme, die über die signaturbasierte Erkennung hinausgehen und mit heuristischen Funktionen nach verdächtigen Mustern und Aktivitäten suchen.
• Datenintegritätsanalyse Software, die anhand der Prüfsumme einer Datei deren Quelle und Häufigkeit der Verwendung überprüft. Eingehende Dateien mit Unstimmigkeiten können als verdächtig gekennzeichnet werden, und ihre Quell-IP-Adresse kann überprüft werden, um sicherzustellen, dass sie bekannt und vertrauenswürdig ist.
• Verhaltensanalyse Software ist der Gürtel zu den DiD-Hosenträgern. Wenn eine Firewall oder ein Programm zum Schutz vor Eindringlingen versagt hat, übernimmt die Verhaltensanalyse die Aufgabe, indem sie ein Verhalten identifiziert, das nicht der Norm entspricht. Wenn dies der Fall ist, kann die Anwendung entweder eine Warnung ausgeben oder automatische Kontrollen durchführen, um ein laufendes Eindringen zu stoppen.

Ein weiterer Vorteil einer DiD-Strategie besteht darin, dass sie die Fähigkeit der Angreifer untergräbt, die Schwachstellen im Sicherheitsarsenal von Microsoft auszunutzen. Um zu erfahren, womit sie es zu tun haben, abonnieren Cyberkriminelle oft selbst MS 365 und führen Trockenübungen durch, um die Durchführbarkeit ihrer Angriffe zu testen. Der Einsatz einer Vielzahl von Drittanbieter-Schutzmechanismen nimmt ihnen diese Möglichkeit und zwingt sie, auf unbekanntem Terrain zu operieren.

Die Quintessenz

Viele Unternehmen verlassen sich auf die Sicherheitsvorkehrungen von Microsoft 365, um ihre E-Mails zu schützen. Die SOES-Umfrage ergab jedoch, dass fast neun von zehn Unternehmen der Meinung sind, dass sie zusätzliche Schutzmechanismen benötigen. Wie der SOES-Bericht deutlich macht, zahlt sich eine Cyber-Resilienz-Strategie, die einem Unternehmen hilft, sich anzupassen und auf neue Bedrohungen zu reagieren, erheblich aus. Unternehmen, die einen mehrschichtigen Ansatz wie Defense-in-Depth verfolgen, sind zuversichtlicher, dass sie einen E-Mail-Angriff verhindern können, und haben im Falle eines solchen Angriffs ein geringeres Risiko, ernsthaft beeinträchtigt zu werden.

[1] "2021 Global Digital Trust Insights," PwC