Energie und Infrastruktur bilden das Fundament unserer modernen Welt. Diese Dienste sind für uns so alltäglich, dass sie oft in den Hintergrund treten. Dabei vergessen wir leicht, dass hinter den durch uns genutzten Gebäuden, Verkehrsmitteln und Energiedienstleistungen komplette Unternehmen stehen, die diese verwalten und instand halten.
Doch wer gewährleistet, dass diese Unternehmen ihre Arbeit sicher und geschützt vor personenzentrierten Cyberangriffen verrichten können?
Genau diese Frage stellte sich kürzlich ein Proofpoint-Kunde aus dem Bereich Infrastrukturmanagement. Anhand von Daten und eigenen Erfahrungen verglich das Unternehmen die E-Mail-Sicherheitslösungen von Proofpoint und Abnormal Security und kam zu einem wenig überraschenden Ergebnis.
Die Situation: An diesen Stellen scheitert Abnormal
Unser Kunde nutzte jahrelang eine Kombination aus Microsoft E3- und E5-Sicherheitstools. In dieser Zeit ist die Menge der per E-Mail übertragenen Bedrohungen exponentiell gestiegen. Trotz eigens dafür abgestellter Mitarbeiter, die nicht erkannte und von Anwendern gemeldete Nachrichten behoben, wurde die Arbeitsbelastung für die Sicherheits- und IT-Teams schließlich zu groß.
Als Lösung zum Schließen der wachsenden Sicherheitslücken entschied sich der Kunde zunächst für Abnormal Security. Die Testergebnisse der Abnormal-Lösung waren zunächst beeindruckend, aber das Produkt erwies sich für die Live-Produktionsumgebung schnell als ungeeignet.
Der Kunde hatte einen Umsatz von mehreren Milliarden US-Dollar und musste tausende Mitarbeiter schützen. Somit hatte er guten Grund zur Sorge. Nachfolgend einige Beispiele für Bedrohungen, die trotz Abnormal täglich in den Posteingängen der Anwender landeten:
- Komplexe URL-basierte Bedrohungen: Bei diesen Angriffen werden die Opfer über mehrere Links auf schädliche Websites geleitet. Dabei werden U2U-Angriffsketten (URL-to-URL) und strategische URL-Umleitungen eingesetzt, die für einfache E-Mail-Sicherheitstools extrem schwer zu erkennen sind. Dies erleichtert Bedrohungsakteuren den Erfolg. Tatsächlich wurde von der Proofpoint-Bedrohungsforschung in den letzten drei Jahren bei URL-basierten Bedrohungen ein Anstieg von 119 % verzeichnet.
- Spearphishing: Unser Kunde wurde Opfer von Phishing-Angriffen, die sich gegen alle Mitarbeiter des Unternehmens richteten, sowie von maßgeschneiderten hochentwickelten Phishing-Versuchen, mit denen nur bestimmte Personen ins Visier genommen werden. Phishing-Bedrohungen wie diese können eine Vielzahl weiterer Cyberangriffe nach sich ziehen und sind die nach Aufkommen wichtigste personenzentrierte Bedrohung.
- Malware-Angriffe: Phishing-Angriffe, die nicht abgewehrt werden, führen häufig zu Malware wie Ransomware. Da dem Kunden die Möglichkeit fehlte, URLs oder Anhänge in einer Sandbox zu untersuchen, benötigte er Schutz vor Malware-Bedrohungen, die direkt im Posteingang eingehen, und vor Links, die zu infizierten Websites führen (z. B. mit SocGholish).
Diese Bedrohungen allein wären bereits Grund zur Besorgnis gewesen. Abnormal wies jedoch noch weitere Schwachstellen auf. So verzeichnete unser Kunde eine ungewöhnlich hohe Zahl an False Positives, d. h. legitime Nachrichten, die unter Quarantäne gestellt wurden, sodass die reguläre Geschäftskommunikation behindert wurde.
Als der Kunde diese Probleme bei Abnormal ansprach, stieß er auf Desinteresse oder Schweigen. Wie der Kunde berichtet, führte er nur erfolglose Gespräche mit ungeschultem und ausgelagertem Support-Personal. Anrufe blieben häufig unbeantwortet. Nachdem ein Termin auf einen späteren Zeitpunkt verschoben wurde und schließlich niemand auftauchte, verlor das SOC-Team die Geduld. Weniger als sechs Monate nach Abschluss des Vertrags wandte sich das Unternehmen an Proofpoint.
Ergebnisse: Proofpoint hält, was Abnormal nur verspricht
Das Team begann die Evaluierung von Proofpoint mit einem klaren Blick und präzisen Entscheidungskriterien. Das Unternehmen war fest entschlossen, einen Partner zu finden, der die Microsoft-E-Mail-Umgebung optimal ergänzt. Nachfolgend finden Sie Details zu den wichtigen Bereichen, in denen sie Proofpoint und Abnormal verglichen haben.
Umfassende und kontinuierliche Erkennungseffektivität: Proofpoint gewinnt
Ergebnisse: Während der Evaluierung erkannte Proofpoint fast 260.000 Spam-E-Mails und potenzielle Bedrohungen, die Abnormal innerhalb von zwei Wochen übersehen hatte.
Proofpoint bot erweiterten Schutz vor schädlichen URLs und sorgte durch zusätzliche Transparenz für Einblicke in bisher unbekannte Probleme. So wurden beispielsweise Angriffe per Telefon (TOAD), QR-Codes in Anhängen und weitere Bedrohungen aufgedeckt, die an Anwender zugestellt wurden. Darüber hinaus generierte Abnormal 2.400 False Positives, die das Sicherheitsteam manuell überprüfen musste. Im Gegensatz dazu kann Proofpoint eine branchenführende False-Positive-Rate von weniger als 1:19,7 Millionen Nachrichten vorweisen.
Dieses Ergebnis liegt zum Teil darin begründet, dass Abnormal weitgehend auf die unzureichende E-Mail-Filterung und -Analyse von Microsoft setzt. Die Lösung ist nicht in der Lage, URLs in einer Sandbox zu isolieren, sodass Bedrohungen wie Phishing und Malware in Links und URL-Umleitungen an Anwender zugestellt werden. Diese Tatsache verbunden mit dem kritischen Geschäftsfeld unseres Kunden und den langen Verweilzeiten führte das Team zu der Schlussfolgerung, dass Abnormal ein untragbares Risiko darstellt. Diese Einschätzung wird durch die Proofpoint-Bedrohungsforschung bestätigt. Laut unseren Untersuchungen erfolgt jeder siebte Klick auf einen gefährlichen Link innerhalb von nur 60 Sekunden nach Eingang einer E-Mail.
Das Sicherheitsteam erkannte, dass es dringend eine Lösung benötigte, die Bedrohungen bereits vor der Zustellung abwehrt, und entschied sich für Proofpoint. Proofpoint ist branchenweit der einzige Anbieter von URL-Sandbox-Analysen, die Bedrohungen in Links noch vor der Zustellung identifizieren. Der Proofpoint-Schutz blockiert jedoch nicht nur URL-Bedrohungen vor dem Posteingang.
Unsere Erkennungstechnologie Proofpoint Nexus erkennt und stoppt auch ein breites Spektrum moderner Cyberbedrohungen vor und nach der Zustellung sowie zum Klickzeitpunkt. Statt verhaltensbasierte Algorithmen zu nutzen, verfolgt Proofpoint einen ganzheitlichen und kontinuierlichen Ansatz und setzt die richtige Technik zum richtigen Zeitpunkt gegen die richtige Bedrohung ein.
Möglichkeiten zum Vereinfachen von Abläufen: Proofpoint gewinnt
Ergebnisse: Noch vor dem Onboarding begann Proofpoint mit der Behebung von mehr als 80 % der erkannten und von Anwendern gemeldeten E-Mails.
Diese Zahl hat sich seitdem deutlich verbessert. Dadurch konnten in kurzer Zeit viele Sicherheitsressourcen des Kunden entlastet werden. Vollzeitmitarbeiter, die zuvor nur mit der Behebung von E-Mails beschäftigt waren, konnten sich somit quasi sofort wichtigeren Projekten zuwenden. Eine interne Proofpoint-Untersuchung ergab, dass dies ein weit verbreiteter Trend unter unseren Kunden ist: Im Durchschnitt verringert sich der Zeitaufwand für Behebungsmaßnahmen um mehr als 90 %.
Proofpoint-Daten zeigen, dass Abnormal nicht nur ein Problem mit der Effektivität, sondern auch mit der Richtigkeit von Erkennungen hat. Die oben erwähnten False Positives sind zwar ärgerlich, lassen sich aber in der Regel leicht aussortieren. Das weitaus größere Risiko geht von False Negatives aus – schädliche E-Mails, die die Abnormal-Erkennungslösung durchlässt und daher von den Administratoren manuell identifiziert und entfernt werden müssen, bevor sie Schaden anrichten können. Dieser Mehraufwand ist für Unternehmen, die ohnehin schon mit knappen Ressourcen zu kämpfen haben, auf Dauer nicht tragbar.
Proofpoint blockiert deutlich mehr schädliche und unerwünschte Nachrichten, sodass Sicherheits- und IT-Teams weniger Vorfälle untersuchen müssen. Kunden, die zu Proofpoint wechseln, verzeichnen durchschnittlich 30 % mehr blockierte schädliche Nachrichten. Bei Kunden, die vorher Abnormal genutzt haben, kann dieser Anteil bei 75 % bis 80 % liegen. Darüber hinaus bietet Proofpoint automatisierte Verwaltung von Abuse-Postfächern, die auch Workflows für die Reaktion auf von Anwendern gemeldete Nachrichten umfasst. Diese zusätzliche Effizienz ist in Proofpoint Core Email Protection bereits enthalten – bei Abnormal fallen hierfür Zusatzkosten an.
Bewährter Ansatz mit Fokus auf Zusammenarbeit: Proofpoint gewinnt
Ergebnisse: Proofpoint ist seit mehr als 20 Jahren führend im Bereich E-Mail-Sicherheit und hat sich durch regelmäßige Auszeichnungen von Branchenexperten und Analysten einen Namen gemacht.
Aufgrund der unzureichenden Unterstützung und des mangelhaften technischen Supports suchte unser Kunde dringend ein renommiertes Unternehmen, das als strategischer Sicherheitsberater fungieren sollte. Die Mitarbeiter zeigten sich beeindruckt vom Engagement des Proofpoint-Services-Teams während des Onboardings. Nach der Bereitstellung stand dem Unternehmen dasselbe Team zur Seite, um Schulungen durchzuführen, benutzerdefinierte Berichte zu erstellen und den Erfolg der Mitarbeiter sicherzustellen. Leider wandte sich der Abnormal-Support erst an den Kunden, nachdem dieser bereits gekündigt hatte.
Im Gegensatz dazu ist unser internes Support-Team immer verfügbar. Wir verfügen über Servicezentren auf der ganzen Welt, mit Support-Mitarbeitern im Asien-Pazifik-Raum, im EMEA-Raum und in Nordamerika. Darüber hinaus bieten wir mit den Proofpoint Premium-Services zusätzliche Unterstützung an: Im Rahmen unseres Managed-Services-Angebots Proofpoint Managed Email Threat Protection können wir unter anderem die Reaktion auf Vorfälle oder die Verwaltung des E-Mail-Verkehrs übernehmen – Abnormal bietet diese Option nicht an. Dank dieses kooperativen Ansatzes liegt unsere Kundenbindungsrate bei Bestandskunden bei über 90 %.
Durch die Zusammenarbeit mit Proofpoint wurde der Kunde sofort in unsere größere Proofpoint-Community aufgenommen. Er hat nun Zugang zu unseren Diskussionsrunden mit Führungskräften aus dem Technologiesektor sowie branchenspezifischen Sicherheitsräten, in denen CISOs und Fachkräfte Erfahrungen und Anregungen austauschen. Die Glaubwürdigkeit, die Proofpoint sowohl bei Experten als auch auf dem breiteren Markt genießt, trug dazu bei, dass sich unser Kunde schnell wohl fühlte.
Erkenntnisse für Sicherheitsverantwortliche
Die Evaluierung ergab, dass Abnormal 92 % der von Proofpoint identifizierten Malware-Bedrohungen, 45 % der URL-basierten Bedrohungen und 36 % der Phishing-Angriffe nicht erkannt hatte.
Unser Kunde äußerte sich verärgert über die übersehenen Bedrohungen, die seine Anwender einem hohen Risiko aussetzten. Die hohe False-Positive-Rate führte zu einer Überlastung der begrenzten Sicherheitsressourcen. Zudem konnte der Kunde aufgrund des unzureichenden Supports kaum langfristigen Erfolg erzielen.
Nach einer eingehenden Evaluierung des personenzentrierten Sicherheitsansatzes von Proofpoint und einer Überprüfung der Daten fiel dem Kunden die Entscheidung nicht schwer. Er schloss im Voraus einen Mehrjahresvertrag mit Proofpoint ab und hat seitdem seine Sicherheitsstrategie mit E-Mail-Authentifizierung, Schutz vor Nachahmern und weitere Maßnahmen ergänzt, um seine Mitarbeiter und sein Unternehmen besser zu schützen.
Das Fazit lautet: Moderne Unternehmen können sich nicht auf Sicherheitstools aus dem Nischensegment verlassen. Vielmehr ist ein umfassender Sicherheitsansatz erforderlich, der jede Phase des E-Mail-Lebenszyklus abdeckt – vom Versand bis zur Interaktion mit E-Mails und darüber hinaus.
Die End-to-End-Erkennungsfunktionen von Proofpoint bieten umfassenden Schutz, den spezialisierte Sicherheitstools wie Abnormal nicht bereitstellen können. Für führende Energie- und Infrastrukturunternehmen, auf deren Dienste die Welt angewiesen ist, ist die Implementierung einer mehrschichtigen Schutzstrategie nicht nur ein mögliches Upgrade, sondern eine Notwendigkeit.
Gehen Sie den nächsten Schritt und schützen Sie Ihre Mitarbeiter sowie Ihr Unternehmen vor personenzentrierten Cyberangriffen. Weitere Informationen über Proofpoint Threat Protection finden Sie hier.
