Ein E-Mail Security Gateway kontrolliert E-Mails, die an eine Organisation gesendet werden, auf unerwünschte Inhalte und verhindert, dass diese Nachrichten zugestellt werden. Die meisten E-Mail Security Gateways bieten ähnliche Monitoring-Funktionen auch für ausgehende E-Mails. Zu den unerwünschten Inhalten in E-Mails gehören Malware, Phishing-Angriffe und Spam. Einige E-Mail Security Gateways sind außerdem in der Lage, die Übertragung sensibler Daten, zum Beispiel Kreditkartennummern, Sozialversicherungsnummern und Gesundheitsdaten, zu erkennen und zu sperren.
E-Mail Security Gateways gibt es in unterschiedlichen Formen, unter anderem:
Als Hybrid-Cloud (eine Kombination aus Public und Private Cloud)
Als Hardware-Appliance (On Premise)
Als virtuelle Appliance (On Premise)
Auf Basis eines E-Mail-Servers
Jede dieser Varianten bietet eine ähnliche Funktionalität. Eine Reihe von E-Mail Security Gateways sind in zwei oder mehr dieser Varianten erhältlich, typischerweise mit identischen Funktionen. Kleinere Unterschiede gibt es allerdings hinsichtlich der relativen Performance und Sicherheit. Abgesehen davon ist aber keine Variante von Haus aus einer anderen überlegen. Jede von ihnen besitzt Vorteile und Nachteile. Dieser Artikel wird Sie bei der Wahl des für Ihre Zwecke optimalen E-Mail Security Gateways beraten. Dazu stellen wir Ihnen verschiedene repräsentative Produkte vor, die eine der genannten Varianten nutzen.
E-Mail Security Gateways im Vergleich
Die folgenden Produkte haben wir für diesen Artikel unter die Lupe genommen:
Cisco Email Security Appliance
Clearswift SECURE Email Gateway
Fortinet FortiMail
McAfee Email Protection (Hinweis der Redaktion: Intel Security bietet das Produkt seit 11. Januar 2016 nicht mehr an)
McAfee Security for Email Servers
Microsoft Exchange Online Protection (EOP)
Proofpoint Enterprise Protection
Sophos Email Appliance
Symantec Email Security.cloud
Symantec Messaging Gateway
Trend Micro InterScan Messaging Security
Trend Micro ScanMail Suite for Microsoft Exchange
Websense Email Security Gateway.
Jedes dieser Produkte wurde auf Basis öffentlich verfügbarer Informationen anhand von fünf Kriterien bewertet:
dem Niveau der grundlegenden Sicherheitsfunktionen,
zusätzlichen Sicherheitsfunktionen,
Usability und Anpassbarkeit der Verwaltung,
typischen False-Positive- und False-Negative-Raten,
sowie der Abhängigkeit von externen Systemen für die E-Mail-Verarbeitung und/oder E-Mail-Speicherung.
Diese Kriterien decken nicht alle Aspekte ab. Vielmehr sollen sie als Teil eines umfassenderen betriebsinternen Evaluierungsverfahrens dienen. Jede Organisation hat besondere Anforderungen, Bedürfnisse und Umgebungen, so dass analog dazu der Evaluierungsprozess für ein Produkt individuell pro Unternehmen angepasst werden muss, um das beste E-Mail Security Gateway zu finden.
Kriterium 1: Wie durchdacht sind die grundlegenden Sicherheitsfunktionen?
Die grundlegenden Sicherheitsfunktionen, die jedes E-Mail Security Gateway beherrscht, sind im Wesentlichen gleich: Schutz vor Viren, Malware, Phishing und Spam. Das soll jedoch nicht heißen, dass alle Gateways gleichermaßen effektiv sind, wenn es darum geht, Bedrohungen zu erkennen und zu stoppen. Die herkömmlichen Funktionen für den Viren-, Malware-, Phishing- und Spamschutz sind alle weniger wirksam als in der Vergangenheit, da sich die Angriffstechniken weiterentwickelt haben, um der Erkennung zu entgehen. Die Anbieter von E-Mail Security Gateways haben dies wettgemacht, indem sie verbesserte Erkennungsmethoden in ihre Produkte integriert haben.
Eine dieser Methoden ist als Sandboxing bekannt. Sandboxing nutzt eine isolierte Umgebung, um eine Datei zu testen und dadurch zu sehen, wie sie sich verhält, wenn man sie öffnet, ausführt oder anderweitig auf sie zugreift. Der Einsatz einer Sandbox bietet eine sichere Möglichkeit, Malware zu identifizieren, indem man deren Verhalten überwacht. Einige der in diesem Beitrag vorgestellten Produkte enthalten Sandboxing-Fähigkeiten, zum Beispiel Cisco Email Security Appliance, Fortinet FortiMail, McAfee Email Protection, Proofpoint Enterprise Protection und Websense Email Security Gateway. Beide Produkte von Trend Micro unterstützen ebenfalls Sandboxing, wozu sie ein optionales Add-on, den sogenannten Deep Discovery Analyzer, verwenden.
Eine andere erweiterte Erkennungstechnik sieht den Einsatz von Threat Intelligence vor. Threat Intelligence stellt Informationen über aktuelle Bedrohungen zur Verfügung – beispielsweise IP-Adressen von Hosts, die andere Hosts angreifen. Mit diesem Wissen kann eine Organisation besser entscheiden, welche Maßnahmen sinnvoll sind und welche nicht. Die meisten der in diesem Artikel behandelten Produkte nutzen Threat Intelligence, um ihre Erkennungsfunktionen zu verbessern. Zu den Lösungen, die nicht explizit erwähnen, dass sie Threat Intelligence verwenden, zählen Clearswift SECURE Email Gateway, Microsoft Exchange Online Protection und Sophos Email Appliance.
Bei den Produkten, die Threat Intelligence bieten, ist es wichtig, nicht nur die Gesamtqualität der Threat-Intelligence-Funktion zu kennen, etwa aus welchen Quellen die Informationen stammen, sondern auch, wie oft sie durch den Anbieter aktualisiert werden und wie häufig diese Updates an das Gateway selbst übertragen werden. Idealerweise sollten Updates in nahezu Echtzeit erfolgen, zum Beispiel alle paar Minuten.
Einige Produkte geben an, dass sie zusätzlich zu Threat Intelligence und Sandboxing noch andere erweiterte Erkennungstechniken unterstützen würden, aber diese anderen Methoden werden in der Regel nicht im Detail erklärt. Beispiel für diese Methoden sind Deep Content Analysis, File Retrospection und Advanced Content Filtering. Bei der Evaluierung von Produkten sollte eine Organisation diese und ähnliche Techniken, die Produkte bieten, ausfindig machen und um weiterführende Informationen zu diesen Begriffen bitten.
Kriterium 2: Welche zusätzlichen Sicherheitsfunktionen werden geboten?
Wie beim ersten Kriterium erwähnt, enthalten die besten E-Mail Security Gateways Funktionen zum Schutz vor Viren, Malware, Phishing und Spam. Die meisten Gateways bieten eine zusätzliche Sicherheitsfunktionalität, im Allgemeinen in Form von Data Loss Prevention (DLP) und/oder E-Mail-Verschlüsselung. Organisationen, die bereits DLP und E-Mail-Verschlüsselung bereitstellen, können dieses Kriterium bei ihren Evaluierungen außer Acht lassen, da diese Bereitstellungen wahrscheinlich robuster sind als die vom E-Mail Security Gateway zur Verfügung gestellten Funktionen.
DLP-Techniken scannen ausgehende E-Mails auf sensible Informationen, die nicht per Mail übermittelt werden sollten. Dazu zählen etwa Finanzdaten, Gesundheitsdaten und geistiges Eigentum des Unternehmens. Alle E-Mail Security Gateways, mit Ausnahmen von Microsoft Exchange Online Protection, bieten integrierte oder optionale Unterstützung für DLP. (Optionale Unterstützung für Proofpoint Enterprise Protection ist durch die Enterprise Privacy Suite des Herstellers erhältlich. Optionale Unterstützung für Trend Micro InterScan Messaging Security bietet dessen Data Privacy and Encryption Module.)
E-Mail-Verschlüsselungstechniken sind am häufigsten verfügbar, um die Inhalte von E-Mails zu schützen, die vom Unternehmen aus nach außen verschickt werden. Einige Verfahren erlauben allerdings auch, dass sich innerbetrieblich verschickte E-Mails verschlüsseln lassen. Zu den Produkten mit integrierten E-Mail-Verschlüsselungstechniken gehören Cisco Email Security Appliance, Clearswift SECURE Email Gateway, Fortinet FortiMail, McAfee Email Protection, Sophos Email Appliance und Symantec Email Security.cloud. Optionale Add-ons sind erhältlich für Proofpoint Enterprise Protection (Enterprise Privacy Suite), Symantec Messaging Gateway (Symantec Content Encryption oder Symantec Gateway Email Encryption) und Trend Micro InterScan Messaging Security (Data Privacy and Encryption Module).
Achten Sie darauf, dass vor der Entscheidung für ein Produkt jede DLP-Funktion und/oder jede E-Mail-Verschlüsselungsfunktion ausgiebig für sich genommen evaluiert werden sollte. Einige Produkte bieten robuste Implementierungen dieser Funktionen, ähnlich dem, was für den Unternehmenseinsatz konzipierte E-Mail-Verschlüsselungs- und DLP-Lösungen bieten. Andere wiederum enthalten nur eingeschränkte Implementierungen, die viele Funktionen der Enterprise-Pendants vermissen lassen.
Kriterium 3: Wie benutzerfreundlich und anpassbar sind die Verwaltungsfunktionen?
Usability und Anpassbarkeit sind Merkmale von E-Mail Security Gateways, die sich nur schwer quantifizieren lassen, aber trotzdem äußerst wichtig für die Bewertung sind. Wie im vorherigen Artikel dieser Serie erklärt, stehen diese zwei Merkmale häufig im Gegensatz zueinander. Produkte mit einer besseren Usability lassen sich oft weniger gut anpassen, was umgekehrt ebenso gilt.
Kleine und mittlere Unternehmen bevorzugen im Allgemeinen deutlich die Benutzerfreundlichkeit gegenüber der Anpassbarkeit. Daher dürfte für diese Organisationen die Anpassbarkeit größtenteils irrelevant sein. Und für große Unternehmen ist wahrscheinlich die Anpassbarkeit wichtiger, so dass das Produkt beim Erkennen und Stoppen von Bedrohungen so effektiv wie möglich arbeitet.
Was die Usability betrifft, ist die wesentlichste Gateway-Funktion allerdings das Vorhandensein einer einzigen Konsole, um alle Gateway-Instanzen zu verwalten. Idealerweise sollte das selbst dann der Fall sein, wenn Gateways in unterschiedlichen Computing-Umgebungen bereitgestellt werden, zum Beispiel Hybrid-Cloud-Modelle. So bietet etwa McAfee Email Protection solch eine globale Schnittstelle.
Anpassbarkeit drückt sich am häufigsten in Form von Dashboards, Sicherheitsrichtlinien und Berichtsfunktionen aus. Eine Organisation sollte ihre Anforderungen hinsichtlich der Anpassbarkeit in jedem dieser Bereiche einzeln überprüfen. Beispielsweise könnte eine Organisation den Wunsch haben, das Dashboard eines spezifischen Produkts in hohem Maße anzupassen, aber keinen Bedarf sehen, die Berichtsfunktionen dieses Produkts anzupassen.
Da jede Organisation ihre eigenen Anforderungen an die Usability und Anpassbarkeit hat, empfiehlt es sich, im Rahmen des Evaluierungsprozesses Demos anzusehen und die infrage kommenden Produkte eigenen Testverfahren zu unterziehen. Auf diesem Wege lässt sich das E-Mail-Sicherheitsprodukt finden, das die jeweiligen Bedürfnisse am besten abdeckt.
Kriterium 4: Was sind typische False-Positive- und False-Negative-Raten für eine bestimmte Erkennungsmethode?
In einer idealen Welt würde jeder Anbieter von E-Mail Security Gateways detaillierte Statistiken über die von seinem Produkt typischerweise erzeugten False-Positive- und False-Negative-Raten für jeden Typ von E-Mail-basierter Bedrohung veröffentlichen. Das geschieht in der Realität jedoch nicht. Bestenfalls veröffentlichen die Anbieter eine oder zwei Statistiken über ihre Erkennungsraten, was es schwierig machen kann, Produkte auf Grundlage dieser Raten miteinander zu vergleichen.
Die meisten veröffentlichten Statistiken beziehen die Spam-Erkennung mit ein. Produkte wie Cisco Email Security Appliance, Microsoft Exchange Online Protection, Proofpoint Enterprise Protection (Cloud-Implementierung), Symantec Messaging Gateway und Symantec Email Security.cloud bieten Spam-Erkennungsraten von mindestens 99 Prozent, während bei Proofpoint Enterprise Protection (lokale Implementierung) die Erkennungsquote für Spam bei 99,8 Prozent liegt und Clearswift SECURE Email Gateway 99,9 Prozent des Spams entdeckt. Basierend auf diesen Zahlen sollte man davon ausgehen können, dass ein E-Mail Security Gateway in der Lage ist, eine Spam-Erkennungsrate von mindestens 99 Prozent zu erreichen.
Einige Produkte geben ihre Erkennungsquoten für bekannte Viren an – die typischerweise bei 100 Prozent liegen. Eine Organisation sollte erwarten, dass jeder E-Mail Security Gateway 100 Prozent der bekannten Viren entdeckt, da es für den Anbieter einfach ist, entsprechende Signaturen für die Virenerkennung zu erstellen.
Eine letzte Kategorie, für die ein paar Anbieter Statistiken zur Verfügung stellen, betrifft die False-Positive-Raten. Leider ist selten klar, ob diese False Positives sich ausschließlich auf Spam beziehen oder ebenfalls auf andere E-Mail-Kategorien mit unerwünschten Inhalten. Jedenfalls ist die Genauigkeit, die einige Produkte behaupten zu besitzen, beeindruckend. Beispielsweise bietet Clearswift SECURE Email Gateway eine False-Positive-Rate von eins zu 300.000, während sowohl Cisco Email Security Appliance als auch Symantec Messaging Gateway eine False-Positive-Rate von weniger als eins zu einer Million versprechen.
Kriterium 5: Werden E-Mail-Nachrichten oder Anhänge extern verarbeitet oder gespeichert?
Dieses Kriterium ist wahrscheinlich für viele Organisationen nicht von Belang, weil ihre E-Mail-Nachrichten und Anhänge bereits von Cloud-basierten E-Mail-Diensten verarbeitet werden. Dennoch ist es für jede Organisation wichtig zu wissen, wo Dritte – zum Beispiel ein Anbieter von E-Mail Security Gateways – ihre E-Mails verarbeiten oder speichern. Das bezieht sich nicht so sehr auf Cloud-basierte E-Mail Security Gateways – denn es ist offensichtlich, dass sie zumindest E-Mails in der Cloud verarbeiten –, sondern eher auf On-Premise-Produkte.
Solche Produkte können in bestimmten Situationen E-Mail-Nachrichten und/oder Anhänge an einen Cloud-basierten Dienst übertragen, der eine tiefergehende Analyse bietet, um festzustellen, ob unerwünschte Inhalte vorhanden sind. Dies könnte etwa eine Cloud-basierte Sandbox bedeuten, um zu testen, was beim Aufruf einer verdächtigen Datei passiert. Fortinet FortiMail ermöglicht es einer Organisation, auf Wunsch Informationen über die vom Produkt erkannten Bedrohungen mit dem Anbieter zu teilen. Das kann für die Sicherheits-Community als Ganzes hilfreich sein, indem das Wissen des Anbieters über die neuesten Risiken verbessert wird.
Andere Produkte übertragen statt der Inhalte von E-Mails lediglich die Metadaten. So führt das Produkt McAfeeSecurity for Email Servers zuerst eine lokale Analyse der E-Mails durch. Falls es dabei auf eine verdächtige Datei stößt, sendet es einen Fingerabdruck der Datei – nicht das File selbst – zur weiteren Untersuchung an die McAfee Labs. Dies hilft, die Erkennungsgenauigkeit des Produkts zu erhöhen, wovon sowohl die betroffene Organisation als auch andere Kunden von McAfee profitieren, ohne dass McAfee Kenntnis von den Inhalten der E-Mail-Nachrichten und Anhänge erhält.
Andere Anbieter von E-Mail Security Gateways stellen keine öffentlichen Informationen zur Verfügung, wo die E-Mails ihrer Kunden verarbeitet und/oder gespeichert werden – es sei denn, dies ist offensichtlich (zum Beispiel verarbeiten Cloud-basierte Lösungen E-Mails in der Cloud). Jede Organisation, die besorgt ist, unbeabsichtigt die Inhalte von E-Mails gegenüber einem Dritten preiszugeben, sollte dieses Kriterium während der Evaluierung sorgfältig berücksichtigen.
So finden Sie den optimalen E-Mail Security Gateway
Festzustellen, welcher E-Mail Security Gateway die eigenen Anforderungen am besten erfüllt, kann sich als schwieriger erweisen als bei den meisten anderen Sicherheitsprodukten. Das liegt daran, dass die Anbieter dazu neigen, relativ wenige Details über die Eigenschaften ihrer Produkte zu verraten. Beispielsweise geben Anbieter an, ob ihre Produkte DLP und/oder E-Mail-Verschlüsselung beherrschen, aber, falls überhaupt, verraten sie üblicherweise nur wenige Details, wie robust diese Funktionen sind. Die Raten für False Positives und False Negatives werden unvollständig ausgewiesen, und es gibt keine Garantie, dass die Zahlen tatsächlich vergleichbar sind. Bestenfalls beruhen sie auf einem gewissen Maß an typischen Raten, die aber ganz anders aussehen können als die Raten, die sich im Alltagsgeschäft einer bestimmten Organisation ergeben.
Festzustellen, welcher E-Mail Security Gateway die eigenen Anforderungen am besten erfüllt, kann sich als schwieriger erweisen als bei den meisten anderen Sicherheitsprodukten.
Trotzdem lassen sich einige allgemeine Aussagen über die für diesen Artikel untersuchten Produkte treffen. Organisationen sollten nach Produkten Ausschau halten, die Sandboxing und Threat Intelligence beherrschen und laut Hersteller eine Spam-Erkennungsrate von mindestens 99 Prozent bieten. Von allen Produkten, die in diesem Artikel vorgestellt wurden, geben nur zwei an, diese Anforderungen zu erfüllen: Cisco Email Security Appliance und Proofpoint Enterprise Protection. Das soll nicht implizieren, dass andere Produkte nicht über diese Funktionen verfügen oder nicht evaluiert werden sollten, sondern eher, dass es schwieriger sein kann, an die notwendigen Informationen über die anderen Produkte zu gelangen, um eine fundierte Entscheidung zu fällen. Zufällig sind die Produkte von Cisco und Proofpoint auch die beiden einzigen, die alle Bereitstellungsmodelle von Public Cloud über Hybrid Cloud bis zu lokaler und virtueller Appliance unterstützen.
Eine serverbasierte Bereitstellung ist nur verfügbar für McAfee Security for Email Servers (Microsoft Exchange und Lotus Domino) und Trend Micro ScanMail Suite for Microsoft Exchange. Ähnlich unterstützt das Cloud-basierte Microsoft Exchange Online Protection nur die Verwendung von Microsoft Exchange. Für Organisation mit vorhandenen Implementierungen von Microsoft Exchange oder Lotus Domino dürfte es sich lohnen, diese Produkte zu berücksichtigen, während andere Organisationen sie automatisch aus ihren Überlegungen streichen können, da sie nur wenige Plattformen unterstützen.
Von den verbleibenden Produkten unterstützen alle DLP, und alle außer einer Lösung (WebSense Email Security Gateway) unterstützen die Verschlüsselung von E-Mails. Die meisten (mit Ausnahme von Clearswift SECURE Email Gateway und Sophos Email Appliance) unterstützen Threat Intelligence, und einige beherrschen Sandboxing: Fortinet FortiMail, McAfee Email Protection, Trend Micro InterScan Messaging Security und WebSense Email Security Gateway.
Zusammengefasst bedeutet dies: Fortinet FortiMail, McAfee Email Protection und Trend Micro InterScan Messaging Security unterstützen alle vier Sicherheitsfunktionen (DLP, E-Mail-Verschlüsselung, Threat Intelligence und Sandboxing). Den übrigen Produkten fehlt eine oder mehrere dieser Funktionen.
