Nahezu jedes Unternehmen, das Microsoft 365 für seine E-Mails einsetzt, steht letztendlich vor dieser einen Frage: Reichen die in Microsoft verfügbaren Tools aus, um zu verhindern, dass Spam, Phishing und andere unerwünschte E-Mails die Postfächer der Benutzer erreichen?

Organisationen und MSPs stellen innerhalb von Microsoft 365 zwar einige Tools zur Verfügung, die zum Schutz der Benutzer-Mailboxen beitragen können, die bekannteste Option ist jedoch Exchange Online Protection (EOP). EOP, ein Feature, das früher ein kostenpflichtiges Add-on für die meisten von Microsoft angebotenen Lizenzstufen war, ist jetzt für alle Lizenztypen im Preis für ein Jahres- oder Monatsabonnement enthalten.

EOP hat seit seiner Erfindung einen langen Weg zurückgelegt. Es war ursprünglich auf das Herausfiltern von Spam und Massen-E-Mails ausgerichtet, setzt jetzt jedoch eine Vielzahl an Erkennungstechniken ein, um Phishing- und Spear-Phishing-E-Mails sowie E-Mails mit bösartigen Inhalten, die Malware zustellen sollen, zu identifizieren. Dies wird größtenteils durch Multi-Scanning und Antiviren-Scanning erreicht, und dabei verlässt sich Microsoft stark auf den Datenbestand seines weltweiten E-Mail-Verkehrs und auf die Berichte von Endbenutzern in Unternehmen über falsch positive und falsch negative Ergebnisse.

Wenn Organisationen jedoch beginnen, sich selbst oder ihre MSPs zu fragen, ob EOP ausreicht, dann liegt das üblicherweise daran, dass diese unerwünschten Bedrohungen und Spam-E-Mails zu häufig die Benutzer erreichen.

Ehre wem Ehre gebührt: Die Erkennungsraten von Microsoft haben sich im Laufe der Zeit verbessert. Aber die Probleme mit zielgerichteteren, personalisierten Angriffen (wobei sich oft als Kollege des Empfängers ausgegeben wird) und kleineren Phishing-Kampagnen macht EOP anfälliger für Fehler, wenn die Bedrohungen nicht mit dem Datenbestand erklärt werden können oder wenn die Benutzermeldungen nicht auf ein Niveau steigen, das eine Klassifizierung in sauber oder bösartig erlaubt. Dies führt zu einem erhöhten Risiko, und die Lösungen innerhalb von Microsoft selbst erfordern in der Regel viel manuelle Arbeit und sind für die Organisation und ihren MSP aufwändig.

Wenn man EOP also für unzureichend hält, welche anderen Optionen gibt es dann für Organisationen und MSPs, und was sollten die Alternativen können?

Man kann davon ausgehen, dass sich die meisten Organisationen E-Mail-Sicherheitslösungen wünschen, die einfach zu implementieren sind, nur einen geringen Verwaltungsaufwand erfordern und Bedrohungen effektiver erkennen als Vorgängertechnologien. Organisationen und MSPs erwarten heute eine rasche Implementierung und damit eine schnelle Wertschöpfung, ohne dass sie viel Zeit in den laufenden Betrieb und die Wartung investieren müssen und ohne dass es zu Beeinträchtigungen oder Effizienzverlusten kommt.

Eine bekannte Technologie, die für die E-Mail-Sicherheit implementiert wurde, ist der Secure Email Gateway (SEG oder Gateway). SEGs gibt es seit etwa zwei Jahrzehnten, und das spiegelt sich auch in ihrem architektonischen Design wider: Sie arbeiten, indem sie den E-Mailfluss zu ihrem Dienst umleiten lassen, der in Form eines gehosteten oder Cloud-basierten Geräts bereitgestellt wird. Dieser architektonische Ansatz schränkt die Wirksamkeit von Gateways oft ein, aber dazu gleich mehr.

Unter dem Gesichtspunkt der Erkennung nutzen Gateways Feeds mit Bedrohungsdaten, heuristische Regeln und in einigen Fällen Sandboxing, um bösartigen Datenverkehr zu identifizieren und zu verhindern oder isolieren, damit er nicht in die Postfächer der Endbenutzer gelangt. Dieser Ansatz sollte Ihnen vertraut vorkommen: Er ähnelt sehr den bereits von EOP verwendeten Erkennungsmethoden. Oft können die Benutzer einen Teil dieses unter Quarantäne gestellten Traffics über ein webbasiertes Portal wieder freigeben.

Es dauert lange, bis sich ein SEG bezahlt macht, denn die Implementierung, die anfängliche Konfiguration und die kontinuierliche administrative Prüfung von E-Mails in Quarantäne durch MSPs oder Organisationen, die mit der Verwaltung des Tools beauftragt sind, kann beachtliche Zeit in Anspruch nehmen. Eine weitere Überlegung ist hier die erforderliche Arbeit im Zusammenhang mit dem veränderten E-Mailfluss, wenn neue Dienste und/oder Domains hinzugefügt werden.

In den letzten Jahren gab es auf dem Markt für E-Mail-Sicherheit neue Akteure, die die verschiedenen APIs nutzen, die über Microsoft 365 verfügbar sind. Der spezifische Ansatz unterscheidet sich natürlich von Anbieter zu Anbieter, aber einige dieser Technologien sind so konzipiert, dass sie Daten aus E-Mails extrahieren, Analysen durchführen und über APIs automatisierte Aktionen durchführen können, ohne den Mail-Fluss zu verändern. In der Regel ist die Zeit bis zur Bereitstellung dieser Lösungen relativ kurz, sodass MSPs sie schnell ihrem gesamten Kundenstamm zur Verfügung stellen können.

Auch aus der Wartungsperspektive gibt es ein paar Überlegungen. Viele dieser Technologien sind in der Lage, ähnliche Erkennungsmethoden zu verwenden wie die, die bereits seit einiger Zeit in SEGs verwendet werden: Feeds mit Bedrohungsdaten, heuristische Regeln, Sandboxing von URLs/Anhängen sowie Analysen. Die API-basierte Architektur wird im Hinblick auf die Erkennung jedoch durch die Fähigkeit des Systems, Echtzeitanalysen in einer Weise durchzuführen, die mit der SEG-Architektur nicht möglich ist, zu einem echten Vorteil. Das bedeutet, dass die Erkennung genauer ausfällt, da sie weniger auf statische Daten angewiesen ist und stattdessen jede E-Mail dynamischer analysiert wird, was dazu beiträgt, auch solche Bedrohungen zu identifizieren, die in kleineren Mengen auftreten.

Neben den verbesserten Erkennungsmethoden und Erkennungsraten haben Administratoren und Endbenutzer in der Regel viel reibungslosere Erfahrungen, die weniger Anwendungen oder Portale von Drittanbietern mit robusteren und benutzerfreundlicheren Tools erfordern.

Vade Secure for Microsoft 365 ist eine API-basierte Lösung, die EOP überlagert und ergänzt. Die Lösung wurde für vielbeschäftigte MSPs entwickelt und kann innerhalb von Minuten implementiert werden, ohne dass ein MX-Eintrag geändert werden muss. Im Gegensatz zu SEGs führt Vade Secure for Microsoft 365 eine Echtzeitanalyse von E-Mails durch, ohne Quarantäne oder Sandboxing – eine wartungsarme Lösung für MSPs, die nach einer Alternative zu EOP suchen, und die genau das erkennt, was Microsoft übersieht, während sie gleichzeitig die Margen für Microsoft 365 erhöht.