IT-Security Microsoft 365 Exchange

Sie haben gewonnen! – Ein Satz, welcher oftmals in E-Mails zu lesen ist. Klickt der unwissende Empfänger auf den in der E-Mail enthaltenen Button mit der Beschriftung „Hier klicken, um ihren Gewinn zu erhalten“, erfährt dieser das exakte Gegenteil. Entweder wird der Empfänger aufgefordert Informationen über sich preiszugeben und diese werden anschließend gestohlen und verkauft oder ein schädliches Programm wird auf das Endgerät gedownloadet.

Die Rede ist von Cyberangriffen. Diese haben in Deutschland in den Jahren 2020 und 2021 vor allem bei KMU stark zugenommen. Nahezu 9 von 10 Unternehmen waren betroffen, bei 86 % wurde ein Schaden verursacht. Im Fokus steht der Diebstahl von IT- oder Telekommunikationsgeräten sowie von sensiblen digitalen Daten bzw. Informationen. Besonders oft werden Unternehmen dabei Opfer von Schadsoftware oder auch von Phishing-Attacken. (vgl. Bitkom e.V, 2021, S. 3–6)

Um diesen Cyberattacken vorzubeugen, setzen Unternehmen meist auf technische Vorkehrungen (vgl. KPMG, 2019). Jedoch fehlt es bei kleinen IT-fremden Unternehmen häufig an Know-how, um eine passende Lösung zu finden. Teure IT-Security-Berater übersteigen größtenteils die Kosten. So sind diese Unternehmen häufig auf sich selbst beziehungsweise auf kleine IT-Agenturen angewiesen.

Microsoft Office ist in Deutschland die am häufigsten eingesetzte Office-Software (vgl. presseportal.de, 2020). Diese enthält auch den Mailserver Microsoft Exchange, welcher den Mittelpunkt der Unternehmenskommunikation darstellt (vgl. Carius, o. J.). Meine Motivation ist es für kleine Unternehmen eine kosteneffiziente und umfassende E-Mail-Security-Lösung für die Cloud Variante von Microsoft Exchange anhand eines Best-Practice-Modells zu erarbeiten, um diese vor Cyberangriffen zu schützen.

„Der E-Mail-Dienst ist eine elastische Anwendung, in der diskrete Medien, die zeitunabhängig sind, wie Text und Grafik, ausgetauscht werden. Der E-Mail-Dienst ist einer der am weitesten verbreiteten und meist genutzten Dienste des Internets.“ (Pohlmann, Bedrohungen und Herausforderungen des E-Mail-Dienstes, 2010, S. 607)

Microsoft 365 ist die Zusammenfassung verschiedener Microsoft Produkte zu einem Clouddienst. Dieser erweitert die ehemals bekannte Cloudlösung Office 365 um intelligente Funktionen und erweiterte Sicherheit (vgl. Microsoft Corporation, 2021b). „Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können“ (Mell, Grance, 2011, S. 2). Hieraus ergeben sich die Einsatzmöglichkeiten von Microsoft 365 für Unternehmen. Das Grundprinzip ist zu jeder Zeit, von jedem Client und von jeder Plattform aus Zugriff auf seine Daten zu haben und mit diesen arbeiten zu können. Weitere Aspekte sind effektive Meetings, vernetztes Arbeiten, übergreifende Suchmöglichkeiten und Wissen zu verteilen (vgl. Widl, Microsoft Office 365, 2020, S. 31–35).

Besonders der Exchange-Dienst ist für viele Benutzer der ausschlaggebende Dienst von Microsoft 365 (vgl. Widl, Microsoft Office 365, 2020). Viele Benutzer halten Outlook für Exchange, da dies in der Regel der E-Mail-Client ist, welcher die Mails bereitstellt (vgl. Nikkia Carter, Office 365 User Guide, 2019). Dem ist aber nicht so. Exchange ist eine Software, welche auf einem Server installiert wird (vgl. Carius, o. J.). Exchange gibt es in einer lokal auf dem eigenen Server installierten Version, in der von Microsoft gehosteten Variante, als auch in einer hybriden Variante. In dieser Hausarbeit gehe ich primär auf die von Microsoft gehostete Variante ein. Der große Vorteil dieser Variante liegt darin, dass Komplexität und verbundene Kosten bei der Einführung verringert werden können (vgl. Widl, Microsoft Office 365, 2020, S. 429).

Die grundlegende Funktion von Exchange besteht darin, Nachrichten jeder Art zu verarbeiten. Hierbei handelt es sich meistens um E-Mails. Es ist also ein Mailserver welcher den Mittelpunkt der Unternehmenskommunikation intern als auch extern darstellt. Ein Mailserver kümmert sich um das Routen von E-Mails. Der Mailserver empfängt und versendet die E-Mails von oder an anderen Systeme. Diese Funktion allein reichte heute aber nicht mehr aus (vgl. Carius, o. J.). So bietet Exchange noch andere Funktionen für Kalender, Kontaktmanagement und zur Abwehr von Gefahren aus dem Internet (vgl. Microsoft Corporation, 2021b).

Vor Microsoft Exchange gab es Microsoft-Mail bis zur Version 3.5, welche 1996 durch Exchange Server 4.0 ersetzt wurde. Im darauffolgenden Jahr wurde die Version 5.0 mit einer Admin-Konsole und SMTP und Outlook veröffentlicht. Die volle Integration in die Active Directory erfolgte im Jahr 2000 in der Version 6.0 beziehungsweise unter dem Namen Exchange Server 2000 inklusive einem Feature für Instant-Messaging. In den Jahren 2003 bis 2009 bekam Exchange verschiedene Features hinzu. Es wurden Standard und Unternehmensversionen kreiert und die Entwicklung passte sich an die rechtlichen Vorgaben an. Im Jahr 2009 wurde Office 365 veröffentlicht, mit einer neuen Version für Exchange, welche den Namen Exchange Online trug. Bis heute veröffentlicht Microsoft immer wieder neue Versionen und arbeitet an Verbesserungen und neuen Features. (vgl. Nikkia Carter, Office 365 User Guide, 2019)

Generell gibt es ein großes Sicherheitsproblem mit E-Mails, denn jeder kann weltweit E-Mails verschicken. Prinzipiell ist der Erhalt von E-Mails für den Empfänger so lange gut, wie dieser sich auch wirklich wünscht diese E-Mail zu bekommen. Der weitaus größere Teil, der beim Empfänger ankommt, sind allerdings ungewollte E-Mails wie z. B. Werbung, politische Inhalte, kriminelle Absichten. Diese E-Mails werden als „Spam“ bezeichnet. Zusätzlich dazu gibt es auch noch jene, die versuchen durch Links zu gefälschten Webseiten Zugangsdaten des Nutzers „abzufischen“, sogenannte Phishing-Mails, und solche, die das direkte Ziel haben dem Empfänger bzw. dem Unternehmen des Empfängers Schaden zuzufügen, indem Malware der E-Mail hinzugefügt wird. (vgl. Pohlmann, 2019, S. 454)

Unter Spam bzw. Junk versteht man unerwünschte E-Mails, welche an einen Empfänger gesendete werden. Diese haben meistens einen werbenden Charakter und werden in sehr hoher Stückzahl auch willkürlich versendet. Durch das hohe Aufkommen dieser E-Mails und das darauffolgende Aussortieren oder Bearbeiten entsteht ein wirtschaftlicher Schaden. (vgl. Luber, 2018)

Ursprünglich war Spam der Name eines Dosenfleisch Produktes der Firma HORMEL FOODS. Die Nutzung des Wortes Spam für Werbemails lässt sich auf einen Sketch der englischen Komikergruppe Monty Python zurückführen, in welchem der Name des Produktes in wenigen Minuten ungefähr 100-mal gesagt wurde und damit jegliche anderen Konversationen übertönte. (vgl. Clement et al., 2008, S. 362)

Mittlerweile werden täglich mehr Spam Nachrichten versendet als gewünschte E-Mails. Im Mai 2021 betrug die durchschnittliche Menge an E-Mails je Tag 163,87 Milliarden, wovon 138,09 Milliarden Spam waren. (vgl. Cisco Talos Intelligence Group, 2021)

Eine wirksame Abwehr gegen Spam ist allgemein nur mit einer Kombination aus verschiedenen Maßnahmen realisierbar. In der ersten Stufe ist zu prüfen, ob eine eingehende E-Mail als Spam zu klassifizieren ist, so muss geprüft werden, ob der Server, welcher die E-Mail abgesendet hat, authentifiziert werden kann. Hierzu eignen sich folgende Verfahren:

• DomainKeys Identified Mail (DKIM)
• Prüfen des (Reverse-)MX-Records
• SPF-Verfahren
• Domain-based Message Authentication, Reporting and Conformance (DMARC)

(vgl. Bundesamt für Sicherheit in der Informationstechnik, 2018, S. 3)

Die oben genannten Verfahren lassen sich aber hinsichtlich ihrer Wirksamkeit beeinträchtigen, z. B. durch das Benutzen einer „Wegwerf“-Domain, welche sich scheinbar regelkonform verhält. Es muss also ergänzend ein Verfahren benutzt werden, mit welcher sich die Vertrauenswürdigkeit des Absenders überprüfen lässt. Folgende Verfahren eignen sich dafür:

• Whitelisting
• Blacklisting
• Frequenzanalyse
• Greylisting

(vgl. Bundesamt für Sicherheit in der Informationstechnik, 2018, S. 4)

Eine direkte Prüfung des Inhalts einer E-Mail ist nur möglich, wenn gewisse charakteristische Merkmale untersucht werden. Folgende Methoden eignen sich hierfür:

• Prüfsummenvergleich
• heuristische Inhaltsanalyse
• statistische Inhaltsanalyse
• Provider- /User-Reports

(vgl. Bundesamt für Sicherheit in der Informationstechnik, 2018, S. 5)

Eine 100%ige Identifizierung von Spam ist hiermit allerdings auch nicht möglich. So muss ähnlich wie bei DMARC entschieden werden, was mit einer E-Mail passieren soll, wenn diese als Spam erkannt wird. Hierzu wird die E-Mail aussortiert und dem User mit einer entsprechenden Kennzeichnung zugestellt oder direkt in einen Spam-Ordner verschoben. Aufgrund der eventuell vorkommenden False Positives ist eine direkte Löschung der E-Mail durch den Filter nicht sinnvoll, da hier wichtige E-Mails verloren gehen können. (vgl. Bundesamt für Sicherheit in der Informationstechnik, 2018, S. 5)

Es besteht außerdem die Möglichkeit, dass Spam durch Kunden-E-Mail-Adressen verschickt werden. Dies kann passieren, sobald der Rechner oder Server unwissentlich zum Teil eines Botnetzes wurde (vgl. Bundesamt für Sicherheit in der Informationstechnik, 2018, S. 5–6). Botnetze sind wie ein gigantisches Spinnennetz im Internet. Sie verbinden Rechner zu einem riesigen Netzwerk, ohne dass der User bzw. die Unternehmen etwas davon mitbekommen. Diese Netzwerke nutzen Kriminelle, um Schadsoftware und Spam zu versenden oder an private Daten zu gelangen (vgl. Eckermann, Was ist ein Botnet?, 2021). Um dies zu verhindern, sollte der Povider-MTA von Clients oder von Privatkunden E-Mails nur über TLS (Port 587) annehmen (vgl. Bundesamt für Sicherheit in der Informationstechnik, 2018, S. 5–6).

Der Begriff Malware setzt sich aus dem englischen malicous: bösartig und ware von Software zusammen und bezeichnet ein schädliches Programm (vgl. Prof. (FH) Mag. Dr. Helmut  Siller, Definition, 2018). Malware stört den Betrieb eins Computersystems und kann sich auf kritische Infrastrukturen auswirken, diese ggf. sogar zum Stillstand kommen lassen. Hierdurch kann ein hoher wirtschaftlicher Schaden bei Unternehmen und Staaten entstehen. Malware entstand in den 1980er-Jahren als Geschäftsidee. Dabei wurden die ersten Viren für den Apple II entwickelt. Über die Zeit hinweg ergaben sich immer mehr verschiedene Varianten von Schadsoftware. Bekannte Arten sind z. B. Viren, Würmer, Trojaner, Spyware, Exploits etc. (vgl. Huber, 2019, S. 75–98).

Um Malware zu erkennen, müssen Ein- und Ausgehende-Mails gescannt werden. Sollte dabei Malware gefunden werden ist sicherzustellen, dass diese das Endgerät des Empfängers nicht erreicht. (vgl. Bundesamt für Sicherheit in der Informationstechnik, 2018, S. 2)

Bei der Abwehr von Malware wird grundlegend zwischen statischen und dynamischen Ansätzen unterschieden: (1) Statische Ansätze analysieren die binären Repräsentationen der Malware, führen diese aber nicht aus. Methoden zur Analyse sind: Hashing/AV-Scan, Identifikation von Packern/Cryptern, Hex-Editoren, Stringsuche, Suche nach kryptografischen Primitiven, Disassemblieren, Dekompillieren. (2) Bei dynamischen Ansätzen wird die Malware in einer sicheren Umgebung ausgeführt und das Verhalten analysiert. Methoden hierfür sind: manuelles Beobachten des (System-)Verhaltens, automatische Protokollierung, Debugging. Um eine isolierte Umgebung bereitzustellen werden Virtuelle Maschinen, Sandbox Engines und „Bare-Metal“-Systeme verwendet. (Dipl.-Inform. Tobias Hoppe, 2014)

Die Entwicklung der Malware schreitet immer weiter voran, die Angriffe werden immer ausgefeilter und schwerer zu erkennen. Sogenannte Zero-Day-Schwachstellen werden zum Problem, das sind Schwachstellen, welche noch unbekannte Sicherheitslücken ausnutzen, bevor diese bekannt und gepatcht wurden. Um einen besseren Schutz vor diesen Angriffen zu erlangen, bietet sich Advanced Threat Protection (ATP) an. ATP kombiniert statische Lösungen mit dynamischen Lösungen, um komplexe Bedrohungen besser erkennen zu können. (Alexander Peters, 2015, S. 68)

Die technischen Maßnahmen, welche im vorherigen Teil genannt wurden, sind für kleine Unternehmen am besten umsetzbar, in dem ein Anbieter für solche E-Mail-Security Lösungen hinzugezogen wird. Zudem fehlt es, wie in der Einleitung erwähnt, häufig an entsprechendem Know-how im Unternehmen, um diese Lösungen selbst durchzuführen. Daher empfehle ich eine IT-Agentur oder Freelancer hinzuziehen, um die Implementierung problemlos zu gestalten.

Um einen ersten Überblick über den Markt der E-Mail-Security-Lösungen für Microsoft 365 Exchange zu erhalten, habe ich mich dafür entschieden eine Nutzwertanalyse durchzuführen. Folgende Kriterien und deren Gewichtung habe ich dafür ausgewählt: (1) Preis: Kleine Unternehmen verfügen in der Regel nicht über hohes Investitionsbudget für diese Maßnahmen bzw. sind nicht gewillt große Investitionen zu tätigen (vgl. Bundesamt für Sicherheit in der Informationstechnik Pressestelle, BSI-Wirtschaftsumfrage, 2021). Daher gewichte ich diesen Punkt mit 35 %. (2) DSGVO-Konformität: Ein kleines Unternehmen kann aus Zeit-, Kosten- und Know-how technischen Gründen keine umfassende Prüfung durchführen, ob eine Software DSGVO-Konform ist. Ich prüfe daher, ob der Anbieter ein Versprechen in seiner Werbung abgibt. Sollte der Anbieter hier falsche Angaben machen, könnte man zumindest probieren nach § 16 Abs. 1 UWG Klage zu erheben. Jedes Unternehmen ist dazu verpflichtet die DSGVO einzuhalten, daher gewichte ich diesen Punkt mit 25 %. (3) Erweiterbarkeit: Die Anbieter haben meist sehr ähnliche Funktionen, welche die komplette E-Mail-Security abdecken. Für Unternehmen ist es oft wichtig weitere Funktionen später hinzufügen zu können, ohne weitere Anbieter hinzuziehen zu müssen, sodass sich eine möglichst homogene Softwarelandschaft ergibt. Ich gewichte diesen Aspekt daher mit 20 %. (4) Support: Für kleine Unternehmen ist es wichtig sich bei Fehlern oder Fragen an einen Support richten zu können bzw. schnell an die richtigen Informationen zu kommen. Ich beurteile die Anbieter darin, wie schnell eine Telefonnummer und eine E-Mail-Adresse beziehungsweise einen Zugriff auf ein Ticketsystem findet und ob es eine Knowledge Base gibt. Ich gewichte diesen Punkt mit 20 %.

Um nun eine Vorauswahl an Anbietern zu treffen, habe ich mich entschieden einige Anbieter aus dem Gartner peerinsighets magic quadrant zu untersuchen (vgl. Gartner, Inc., 2021a). Folgende Anbieter habe ich ausgewählt: (1) Avanan: Dieser wurde sehr oft und sehr gut bewertet und gilt somit laut Gartner als „Customer’s Choice“. (2) Microsoft: Wurde mittelmäßig oft bewertet und liegt beim Rating etwas unterhalb von 4,5 von max. 5 Sternen. Ich halte diesen Anbieter aber dennoch für interessant, da es für kleine Unternehmen nahe liegt, den E-Mail-Security-Service dort zu buchen, bei welchem auch ihr Mail-System liegt. Microsoft gilt laut Gartner als „Etablished“. (3) Hornetsecurity: Wurde sehr selten bewertet aber liegt über einer Bewertung von 4,6 Sternen und gilt somit als „Strong Performer“.

Anschließend habe ich eine Nutzwertanalyse durchgeführt, die Ergebnisse können aus Tabelle 1 entnommen werden. Um die Bewertungen nachvollziehen zu können sind diese nachfolgend erläutert.

Da die Anbieter verschiedene Varianten ihrer Software bereitstellen, habe ich jeweils die homogenste Variante im Vergleich mit den anderen ausgewählt. Die ausgewählte Variante enthält Maßnahmen zur Erkennung und Abwehr von Spam sowie Maßnahmen zur Erkennung und Abwehr von Malware mit ATP.

Um ein Scoring der einzelnen Anbieter durchzuführen habe ich mich für ein Punktesystem entschieden (1 = sehr schlecht bis 6 = sehr gut).  Preise sind in Netto je User und je Jahr angegeben. (1) Avanan: Diese ausgewählte Variante ist Complete Malware und kostet ca. 52,92 €. Avanan ist somit die teuerste Variante, weicht aber nicht extrem von den anderen Anbietern ab, daher bewerte ich mit zwei Punkten. Zum Thema DSGVO konnte ich auch nach längerer Recherche nichts Entsprechendes finden, deshalb bewerte ich mit einem Punkt. Der Funktionsumfang beinhaltet alle wichtigen Features und kann zusätzlich auch für Produkte von Google und andere ausgewählte Apps verwendet werden. Durch ein Upgrade auf die nächsthöhere Variante können weitere Funktionen hinzugebucht werden. Im Vergleich mit den anderen Anbietern fehlt aber zumindest eine E-Mail-Archivierung und ein Backup. Daher bewerte ich mit drei Punkten. Mithilfe von Google konnte ich innerhalb weniger Sekunden den Support-Kontakt und eine gut strukturierte Knowledge Base finden. Ich bewerte deshalb mit sechs Punkten. (2) Microsoft: Die ausgewählte Variante von Microsoft nennt sich Microsoft Defender Plan 1. Der Preis beträgt ca. 19,68 € und ist damit die günstigste Variante, was zu einem Ergebnis von sechs Punkten führt. Microsoft wirbt für Microsoft 365 Gesamt als DSGVO-konform, da Microsoft aber ein US-Unternehmen ist, unterliegt es dem Cloud-Act und ist somit zu einer Herausgabe aller Daten an die US-Regierung verpflichtet (Haar, Wolkenbruch, 2018, S. 106–107). Microsoft erhält hier drei Punkte. Bei der Erweiterbarkeit kann Microsoft überzeugen. Es gibt eine Vielzahl von Möglichkeiten, um Microsoft 365 mit Funktionen aus dem eigenen Haus zu erweitern. Somit bewerte ich mit sechs Punkten. Der Support für Defender ist durch Google schnell zu finden, der Supportprozess gestaltet sich etwas komplizierter. Eine Knowledge Base ist vorhanden allerdings unübersichtlich, ich bewerte mit vier Punkten. (3) Hornetsecruity: Die ausgewählte Variante ist 365 Total Protection Enterprise. Der Preis beträgt ca. 48 € und liegt in der Mitte, deshalb bewerte ich mit drei Punkten. Der Anbieter wirbt explizit mit DSGVO-Sicherheit und erhält somit sechs Punkte. Hornetsecurity bietet GOBD-konforme E-Mail-Archivierung und e-Discovery mit an, außerdem kann durch eine Erweiterung ein vollständiges Backup von Microsoft 365 erstellt werden. Ich bewerte daher mit fünf Punkten. Der Anbieter hat direkt auf der Startseite einen Anruf- & E-Mail-Button und eine Supportkategorie im Menü, welche zu einer sehr übersichtlichen Knowledge Base führt. Ich bewerte daher mit sechs Punkten.

(Quelle: Eigene Darstellung)

Das Ergebnis der Nutzwertanalyse ist sehr knapp ausgefallen. Microsoft liegt mit einer Bewertung von 4,85 Punkten vorne und kann hinsichtlich des Preises und der Erweiterbarkeit überzeugen. Es sollte allerdings beachtet werden, dass durch die Erweiterungen schnell höhere Kosten zustande kommen. Hornetsecurity eignet sich für Unternehmen, die Wert auf DSGVO und GOBD Konformität legen und hierfür spezielle Features benötigen. Hornetsecurity und Avanan können beide mit schnellem Zugang zu Support und einer gut strukturieren Knowledge Base punkten.

Im Oktober 2021 beauftrage mich ein Unternehmen damit eine passende E-Mail-Security-Lösung für Ihr Unternehmen zu finden.

Aufgrund der Nutzwertanalyse habe ich die Auswahl auf die Anbieter Hornetsecurity und Microsoft beschränkt. Aus folgenden Gründen habe ich mich gegen Microsoft entschieden: (1) Laut den SLAs von Microsoft (vgl. Microsoft Corporation, 2021a, S. 25) findet die Wirksamkeitsrate von 99 %, zur Abwehr von Spam, nur auf E-Mails Anwendung, deren Inhalt hauptsächlich auf Englisch ist. (2) Die DSGVO-Konformität spielte für das Unternehmen eine größere Rolle. Daher habe ich den Cloud-Act genauer untersucht: Unternehmen, welche in den USA ansässig sind, müssen gemäß dem Patriot Act, gespeicherte Daten, die Gegenstand einer strafrechtlichen Ermittlung sind, auf Anweisung der Behörde oder des Richters herausgegeben werden. Es kam diesbezüglich zu einem Streitfall zwischen Microsoft und der US-Regierung. Microsoft hatte sich widersetzt, Daten herauszugeben, welche sich in einem Rechenzentrum in Irland befanden. Microsoft argumentierte, dass das Datenschutzrecht des Landes Gelde, in welchem die Daten gespeichert sind. Am 17. April 2018 erklärte das höchste amerikanische Gericht, der Supreme Court, für beendet, Microsoft musste die Daten herausgeben aufgrund eins neuen Gesetzes, welches im März 2018 durch die US-Regierung verabschiedet wurde (vgl. Haar, Wolkenbruch, 2018, S. 106–107). Diese Informationen haben dazu geführt, dass ich mich in Abstimmung dem Unternehmen, für Hornetsecurity entschieden habe.

Anschließend begann ich mit der Implementierung der E-Mail-Security-Lösung. Das Unternehmen stellte zusätzlich folgende Forderungen: (1) Kurze Ausfallzeit des E-Mail-System (2) kurze Einführung in die Managementkonsole von Hornetsecurity vor Ort.

Um die Ausfallzeit so gering wie möglich zu halten, entschlossen ich mich, die Änderung der MX-Einträge am Wochenende durchzuführen, da hier der geringste E-Mail-Verkehr zu erwarten war. Die MX-Einträge wurden innerhalb weniger Minuten übernommen und konnten direkt in der Managementkonsole von Hornetsecurity kontrolliert werden. Daraufhin konnte ein vollautomatischer Onboarding-Prozess mit wenigen Klicks erfolgreich durchgeführt werden. Exchange war nun mit Hornetsecurity verknüpft und es wurden automatisch alle Postfächer erkannt.

Ich musste nun die verschiedenen Security-Features aktivieren, diese konnten einfach über die Managementkonsole konfiguriert werden. Die im Punkt drei dieser Hausarbeit genannten Abwehrmaßnahmen finden sich hier in den einzelnen Menüpunkten wieder und konnten somit intuitiv aktiviert werden. Spezielle Einstellungsmöglichkeiten waren mir dennoch unbekannt, die Konsole bot aber zu jeder Einstellungsmöglichkeit einen Informations-Button an, welcher auf die Knowledge Base verwies. So konnten auch diese optimal konfiguriert werden.

Eine Schwierigkeit, die auftrat war, dass eine Reihe von IP-Adressen in Microsoft 365 freigegeben werden musste, um zu verhindern, dass Microsoft die E-Mails, welche bereits durch die Filter und Scans von Hornetsecurity kontrolliert wurden, nochmal durch deren Spam-Filter fließen lässt und diese ggf. somit im Junk-Ordner landeten. Das Problem ließ sich leider nicht mit der Admin-Konsole von Microsoft 365 beheben, sodass ich PowerShell einsetzen musste. Hier musste zunächst eine Verbindung mit dem entsprechenden Microsoft 365 Konto hergestellt werden. Ich musste das Recht Enable-OrganizationCustomazition auf Confirm setzen und anschließend einen großen IP-Adressen-Bereich freigeben.

Die Einrichtung war nun abgeschlossen. Ich testete die Konfiguration mit mehreren ein- und ausgehenden E-Mails, sowie mit einem Test-Virus von heise Security, welches lediglich eine Konsole öffnet und einen Text ausgibt (Security, o. J.). Die ATP hat den Test-Virus erfolgreich abgefangen.

Am darauffolgenden Montag führte ich dem Unternehmen in einer ca. zweistündigen Schulung in die Managementkonsole ein und behandelte folgende Themen: (1) Wie kommen ungefährliche Spam-Mails an und wie ist mit diesen umzugehen? (2) Wie konfiguriere ich die E-Mail-Zustellung in der Managementkonsole? (3) Wie kann ich die eDiscovery nutzen? (4) Wo finde ich E-Mails, welche als gefährlich (mit Malware) eingestuft worden sind? (5) Wo und wie kann ich mich an den Support wenden?

Die Einführung erfolgte am 14.11.2021. Zum 26.12.2021 gab es 958 ein- & ausgehende E-Mails im Unternehmen. In Abbildung 1, welche eine der Statistikfunktionen von Hornetsecurity ist, ist zu erkennen, dass die eingeführte Lösung korrekt arbeitet. Da es sich noch um ein junges Unternehmen handelt, ist die Anzahl von Spam- und mit Malware infizierten E-Mails noch gering. Dennoch ist die Gefahr vorhanden und die Scanner und Filter zeigen Ihre Wirkung.

(Quelle: Eigene Darstellung)

Die zu Beginn erwähnte Zunahme an Cyberangriffen und den daraus resultierenden Folgen für KMU stellt vor allem kleine Unternehmen vor die Herausforderung, eine passende E-Mail-Security-Lösung für deren E-Mail-System zu finden. Mit dem entwickelten Best-Practice-Modell bestehend aus der Nutzwertanalyse der Anbieter und dem Praxisbeispiel der Einführung einer solchen Lösung, habe ich gezeigt, dass es möglich ist eine kosteneffiziente und umfassende Lösung für kleine Unternehmen implementieren. In zukünftigen Arbeiten könnte die Auswirkungen von Quantencomputing und die Zunahme von KI-basierter Malware auf E-Mail-Security-Lösungen untersucht werden.