Cybersicherheit ist angesichts des rapiden Wandels in der digitalen Landschaft derzeit ein wichtiges Thema für Unternehmen. Das gilt ganz besonders für weltweit tätige Fertigungsunternehmen. Ihre komplexen Prozesse, die sich über mehrere Regionen und digitalen Systeme erstrecken, machen die Absicherung von Netzwerken und vertraulichen Informationen zu einer Herausforderung. In diesem Blog-Beitrag stellen wir ein weltweit tätiges Fertigungsunternehmen vor, das von Abnormal Security zu Proofpoint gewechselt ist. Um diesen Kundenbericht veröffentlichen zu können, mussten wir dem Unternehmen jedoch Anonymität zusichern.
Komplett neu
Als der neue Leiter der Cybersicherheitsabteilung vor 1,5 Jahren seinen Posten übernahm, stellte er fest, dass nur eine grundlegende Sicherheitsinfrastruktur vorhanden war. Sein Vorgänger hatte zwar das Fundament gelegt, doch das Unternehmen musste noch ein vollständiges Cybersicherheits-Framework implementieren.
Die Sicherheitsaufstellung war unvollständig, auch wenn bereits Technologien wie Abnormal Security für E-Mail-Sicherheit, Zscaler für Netzwerksicherheit, SentinelOne für Endpunkterkennung und Reaktion sowie eine vornehmlich Microsoft Azure-basierte Cloud-Infrastruktur vorhanden waren. Es zeigte sich, dass die installierten Systeme voneinander isoliert als eigenständige Lösungen agierten und kein integriertes Ökosystem bildeten. Das Ziel des neuen Cybersicherheitsverantwortlichen war daher der Aufbau eines Frameworks, bei dem die Kernplattformen sich vernetzen und einander ergänzen, um einen zuverlässigeren Verteidigungsmechanismus zu bilden.
Bedrohungen für die Cybersicherheit
Das weltweit tätige Fertigungsunternehmen ist verschiedenen Cybersicherheitsbedrohungen ausgesetzt, von denen einige branchenspezifisch sind und andere den gesamten Sektor betreffen:
- Risiken in der Lieferkette: Die Lieferkette ist komplex und umfasst Lieferanten und Partner aus verschiedenen Regionen. Eine Datenschutzverletzung im Netzwerk eines Partners oder Lieferanten kann zur Kompromittierung der Unternehmenssysteme sowie zur Unterbrechung betrieblicher Abläufe führen.
- Ransomware-Angriffe: Unterbrechungsfreier Betrieb ist unverzichtbar. Ein Ransomware-Angriff könnte die Produktion unterbrechen und zu erheblichen finanziellen·Verlusten sowie Reputationsschäden führen.
- Industriespionage: Vorrangiges Ziel von Cyberkriminellen sind proprietäre Fertigungstechniken und geistiges Eigentum. Eine Kompromittierung kann zum Diebstahl von wertvollem geistigen Eigentum sowie zum Verlust von Wettbewerbsvorteilen führen.
- Bedrohungen durch Insider: Bei einer weltweit verteilten Belegschaft sind Insider-Bedrohungen durch böswillige oder fahrlässig handelnde interne Anwender ein dauerhaftes Problem.
- Sicherheit der operativen Technologie (OT): Die Fertigungsprozesse des Unternehmens setzen stark auf operative Technologie. Ein Angriff auf OT-Systeme kann die Produktion unterbrechen und Sicherheitsrisiken nach sich ziehen.
- Risiken durch Dritte: Das Unternehmen arbeitet mit zahlreichen externen Lieferanten und Dienstleistern zusammen, was Angriffe auf schwächere Elemente in der Sicherheitskette noch gefährlicher macht.
- Phishing und Social Engineering: Menschliche Fehler sind auch weiterhin die Ursache eines erheblichen Teils aller Sicherheitsverletzungen. Phishing-Angriffe nehmen häufig Mitarbeiter ins Visier und versuchen, Anmeldedaten zu stehlen oder Malware zu verbreiten.
Implementierung eines integrierten Ansatzes
Zur Abwehr dieser Bedrohungen legte der Cybersicherheitsleiter großen Wert auf die Interoperabilität zwischen den Cybersicherheitsplattformen. Eines der größten Ärgernisse war, dass das Unternehmen zuerst auf Abnormal Security gesetzt hatte. Diese Einzellösung bietet E-Mail-Sicherheit nach der Zustellung und zeigt in bestimmten Situationen tatsächlich gute Ergebnisse. Allerdings fehlte Abnormal die Vielseitigkeit und Integrationsfähigkeit, um die Anforderungen des Unternehmens zu erfüllen.
Der Leiter erklärt: „Abnormal konnte eine Sache zwar gut, aber eben sonst nichts. Daher brauchte ich Plattformen, die ich als Grundlage nutzen und mit der ich weitere Lösungen vernetzen konnte.“
Abnormal Security: Spezialisiert und mit beschränktem Funktionsumfang
Auf den ersten Blick schien Abnormal Security eine gute Investition zu sein. Die Lösung konnte konkrete Bedrohungen zuverlässig erkennen und die Automatisierungsfunktionen beschleunigten die Identifizierung von Phishing- und Betrugs-E-Mails. Die Grenzen dieses Ansatzes zeigten sich jedoch schon bald: Die Einzellösung war auf einige E-Mail-Typen beschränkt und verfügte nicht über den breiten Funktionsumfang, den eine primäre E-Mail-Sicherheitsplattform bieten sollte.
Der Leiter brauchte also eine umfassende E-Mail-Sicherheitslösung, die nicht nur Phishing-Angriffe abwehren, sondern auch raffinierte Attacken wie Spearphishing, Malware und weitere gezielte Bedrohungen sowie verdächtige Anhänge, die eine genauere Sandbox-Analyse erfordern, stoppen kann. Das Ziel war der Aufbau eines Ökosystems, bei dem die zentralen Sicherheitstools miteinander kommunizieren und eine nahtlose sowie vernetzte Abwehr bilden.
Ein weiteres Problem war die Bedienung für Endnutzer. Der Leiter und mehrere weitere Führungskräfte hatten festgestellt, dass verdächtige E-Mails in ihren Posteingängen auftauchten, nur um Sekunden später entfernt zu werden. Das war nicht nur irritierend, sondern stellte die Zuverlässigkeit des Systems infrage. Einige Führungskräfte, darunter der Vorstandsvorsitzende, zeigten sich offen verärgert über die verschwindenden E-Mails und steigerten damit den Druck, eine stärker integrierte und zuverlässigere Lösung zu finden.
Auch die automatisierten Reaktionsmaßnahmen von Abnormal ließen Zweifel an der Effektivität aufkommen und untergruben das Vertrauen in die Plattform zusätzlich. In einem Fall wurde eine E-Mail von einem Anwender als verdächtig gekennzeichnet und wurde später automatisiert von Abnormal als unverdächtig freigegeben. Eine manuelle Überprüfung der E-Mail durch das Sicherheitsteam des Unternehmens zeigte jedoch, dass Abnormal einen Betrugsversuch übersehen hatte.
Unzulänglichkeiten von Abnormal
Einige Monate nach der Implementierung von Abnormal Security kam es bei dem Unternehmen zu einem E-Mail-Zwischenfall, dessen Behebung mehrere Minuten dauerte. In dieser Zeit konnte ein Anwender mit der schädlichen Nachricht interagieren, bevor das Problem behoben wurde. In einem anderen Fall gab die Abnormal-Lösung an, E-Mails sofort unschädlich zu machen. Protokolle zeigten jedoch eine Spanne von mehreren Stunden bis zur Löschung der Nachricht, sodass Anwender Zeit hatten, auf schädliche Links zu klicken. In Kombination mit dem Abnormal-Ansatz, der erst nach der Zustellung greift, und der uneinheitlichen Leistung beim Echtzeit-Schutz zwangen diese Verzögerungen das Unternehmen zur Suche nach einem klassischen sicheren E-Mail-Gateway. Damit steht das Unternehmen nicht allein, da die isolierten Funktionen bei vielen anderen Abnormal-Kunden zu ähnlichen Problemen führen. Laut einem Proofpoint-Blog führt der enge Fokus von Abnormal zu Sicherheitslücken. Das gilt ganz besonders für Unternehmen, die zur Abwehr raffinierter Bedrohungen umfassende und mehrschichtige Schutzmaßnahmen benötigen.
Vorhang auf für Proofpoint: Ein starkes und integriertes Sicherheitsökosystem
Proofpoint bietet ein breites Spektrum an E-Mail-Sicherheitsfunktionen und erhielt deshalb eine klare Empfehlung. Die Lösung gewährleistet besseren Schutz vor einer Vielzahl raffinierter Bedrohungen wie Ransomware, Insider-Bedrohungen und Spearphishing.
Im Gegensatz zu Abnormal lässt sich Proofpoint leicht in die vorhandenen Sicherheitstools des Unternehmens wie Microsoft 365 und SentinelOne integrieren, was die Erkennungs- und Reaktionszeit verkürzt. Der Cybersicherheitsleiter bezeichnet Proofpoint als Lösung, „die den Funktionsumfang von Abnormal bietet und noch viel mehr kann“.
Eine wichtige Verbesserung war das proaktive Blockieren schädlicher E-Mails noch vor der Zustellung in die Posteingänge. Dadurch gab es für Endnutzer keine irritierenden Probleme mit verschwindenden E-Mails mehr. Jetzt können sie bei ihrer Arbeit darauf vertrauen, dass sie vor Bedrohungen geschützt werden.
Ein wichtiger Faktor, der in die Entscheidung einfloss, war der Fokus von Proofpoint auf Kunden-Support. Abnormal war weitgehend automatisiert und agierte aus der Ferne, während Proofpoint dedizierten Support bietet und sicherstellt, sodass eventuelle Probleme sofort behoben werden. Das unternehmensinterne Sicherheitsteam arbeitete eng mit Proofpoint-Experten zusammen, um kundenspezifische Lösungen zu implementieren, die den Anforderungen des Unternehmen genügten – etwas, das Abnormal nicht anbieten konnte.
Der Cybersicherheitsverantwortliche erklärte dazu: „Wir haben jetzt einen Kunden-Support, den ich nicht bei allen Anbietern bekomme. Das war ein zentrales Argument, das die Entscheidung für Proofpoint maßgeblich beeinflusst hat.“
Überwindung von Widerständen und Unterstützung durch die Unternehmensführung
Eine wiederkehrende Herausforderung für Cybersicherheitsverantwortliche ist die Sicherung des Budgets und Unterstützung durch die Unternehmensführung. Zum Glück unterstützte der Vorstand die Empfehlung zum Wechsel zu Proofpoint, vor allem nachdem während einer erfolgreichen Proof-of-Concept-Phase mehr E-Mail-Bedrohungen abgefangen und die Zahl der False Positives reduziert wurde. Weiteres Vertrauen wurde durch die detaillierten Proofpoint-Analysen und entscheidungsrelevanten Erkenntnisse geschaffen, die den Weg für kontinuierliche Investitionen in Cybersicherheit freimachten.
Ergebnisse und Auswirkungen
Schon wenige Monate nach der Implementierung von Proofpoint verzeichnete das Unternehmen erhebliche Verbesserungen. So sank die Zahl der False Positives, während erheblich mehr Phishing-Versuche blockiert werden konnten. Gleichzeitig beschwerten Mitarbeiter sich nicht mehr über verschwindende E-Mails. Das Vertrauen in die Sicherheitssysteme wurde auf allen Ebenen wiederhergestellt.
Dank der Proofpoint-Berichte und -Analysen konnte das Sicherheitsteam die realen Verbesserungen bei der Bedrohungsabwehr und der Reaktionsgeschwindigkeit nachweisen. Dadurch war es möglich, mehr Ressourcen für den Ausbau der Cybersicherheitsinfrastruktur des Unternehmens zu sichern.
Eine Lektion in Sachen strategischer Cybersicherheitsinvestitionen
Wie der Wechsel dieses Unternehmens von Abnormal Security zu Proofpoint gezeigt hat, ist ein umfassender Sicherheitsansatz unverzichtbar. Auch wenn Einzellösungen wie Abnormal in bestimmten Nischenbereichen effektiv sein können, haben große Unternehmen mit komplexen Prozessen höhere Anforderungen.
Für durchgehenden Schutz vor aktuellen E-Mail-Bedrohungen bietet Proofpoint kontinuierliche Erkennung und Analyse während des gesamten E-Mail-Zustellungsprozesses – vor und nach der Zustellung sowie zum Klickzeitpunkt.
Um die Zuverlässigkeit von 99,99 % zu erreichen, nutzt Proofpoint verhaltensbasierte KI, Bedrohungsdaten sowie Sandbox-Analysen, um Bedrohungsakteuren einen Schritt voraus zu bleiben. Dank des umfassenden Schutzes, der einfachen Integration und der proaktiven Sicherheitsmaßnahmen von Proofpoint konnte das Unternehmen ein robustes und skalierbares Sicherheitsökosystem aufbauen.
Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre Mitarbeiter und Ihr Unternehmen schützen können, lesen Sie die Kurzvorstellung zu Proofpoint Threat Protection und informieren Sie sich, wie Proofpoint im Vergleich zu den Mitbewerbern abschneidet.