Fünf Kriterien für die Auswahl eines E-Mail Security Gateways

Wenn Sie E-Mail Security Gateways evaluieren, um die Firma vor Malware und Phishing-Angriffen zu schützen, sollten Sie eine Anforderungsliste haben.

E-Mail Security Gateways überwachen den eingehenden und ausgehenden E-Mail-Traffic eines Unternehmens. Sie halten nach unerwünschten und schädlichen E-Mails Ausschau. Diese Produkte blockieren Malware, Phishing-Angriffe und Spam oder stecken die entsprechenden Nachrichten in Quarantäne. Das ist die Kernfunktionalität dieser Systeme. Viele bieten aber auch Data Loss Prevention (DLP) und/ oder Verschlüsselungsmöglichkeiten für ausgehende E-Mails an.

Es gibt viele Produkte und Services im Bereich E-Mail Security Gateways. Im Kollektiv decken Sie den Bedarf einer jeden Firma ab. Wollen Sie aber das passende Produkt aus dem Artenreichtum auswählen, dann ist das häufig eine herausfordernde Aufgabe. Bei der Evaluierung von E-Mail Security Gateways sollten Unternehmen einen Leistungskatalog mit Kriterien erstellen. Darin befindet sich zum Beispiel auch eine Liste mit Fragen, die man dann durch entsprechende Nachforschungen, Dialoge mit den Anbietern und durch umfangreiche Tests beantwortet.

In diesem Artikel finden Sie mehrere potenzielle Kriterien, die sie bei der Evaluierung von E-Mail Security Gateways beachten sollten.

1. Wie fortschrittlich sind die grundlegenden Security-Funktionen?

Jedes E-Mail Security Gateway sollte das Unternehmen vor bösartigen Nachrichten schützen. Wir sprechen hier von solchen, die Malware enthalten, Phishing-Versuche oder Spam sind. Das heißt auf der anderen Seite allerdings nicht, dass ein E-Mail Security Gateway lediglich einfache Leistungsmerkmale hinsichtlich Antivirus, Antispam und Antiphising beinhalten sollte. Setzen Technologien auf diese veralteten Kontrollmechanismen für Antimalware, sind sie gegen moderne Bedrohungen nicht sehr wirksam.

Ein Unternehmen sollte sich stattdessen nach modernen Antivirus-, Antispam- und Antiphishing-Technologien umsehen. Zum Beispiel sollte die Erkennung von Malware sogenanntes Sandboxing und andere fortschrittliche Techniken verwenden, um Dateien auf potenziell schädliche Inhalte zu überprüfen. Techniken, die nur auf Signaturen wie zum Beispiel Antiviren-Signaturen basieren, sind heutzutage nicht mehr ausreichend.

Im Idealfall bedienen sich grundlegende Security-Funktionen auch moderner Threat Intelligence. Bei Threat Intelligence handelt es sich um Informationen über momentane und kürzlich bekannt gewordene Bedrohungen, die von einem Security-Anbieter gesammelt werden. Das können zum Beispiel IP-Adressen von angreifenden Hosts oder URLs von Domänen mit schädlichen Inhalten sein. Kombiniert man Threat Intelligence Services und fortschrittliche Erkennungstechniken, so wird ein E-Mail Security Gateway wesentlich effizienter beim Erkennen schädlicher Nachrichten. An dieser Stelle gehen wir natürlich davon aus, dass die Threat Intelligence immer auf dem aktuellen Stand ist und sich zum Beispiel alle paar Minuten aktualisiert.

2. Welche anderen Security-Funktionen bieten E-Mail Security Gateways?

Einige Gateways bringen lediglich die oben erwähnten grundlegenden Security-Funktionen mit sich. Mehr und mehr Gateways enthalten aber auch zusätzliche Sicherheitsfunktionen für E-Mails. Besonders erwähnenswert sind an dieser Stelle DLP und die Verschlüsselung für ausgehende Nachrichten.

Für viele Unternehmen sind diese zusätzlichen Funktionen nicht relevant. Gerade größere Firmen setzen bereits auf DLP und Verschlüsselung von E-Mails mit anderen Enterprise-Produkten. Haben Unternehmen solche Maßnahmen aber noch nicht im Betrieb, sind in E-Mail Security Gateways integrierte DLP und Verschlüsselung kosteneffiziente und einfache Möglichkeiten, diese Leistungsmerkmale einzuführen.

3. Wie einfach und anpassbar sind die Funktionen beim Management?

Anwenderfreundlichkeit ist offensichtlich ein Plus beim Management eines E-Mail Security Gateways. Je einfacher sich ein Gateway beim Tagesgeschäft verwalten lässt, desto höher ist die Chance, dass das Management angemessen erfolgt. Daraus ergibt sich wiederum, dass das Gerät wirksamer ist. Sie sollten allerdings nicht außer Acht lassen, dass eine Möglichkeit zur Anpassung ebenfalls wichtig ist. 

Unternehmen wollen wahrscheinlich nicht Unmengen an Zeit damit verbringen, die E-Mail Security Gateways zu modifizieren. Solche Optionen verbessern aber möglicherweise die Erkennung und könnten sogar den Management-Prozess vereinfachen. Das ist zum Beispiel der Fall, wenn man das Dashboard für den Administrator, die Berichte des Gateways und andere Aspekte modifizieren kann.

Die Ansprüche an die Anwenderfreundlichkeit und die Anpassungsmöglichkeiten variieren von Unternehmen zu Unternehmen sehr. Besonders kleine und mittelständische Firmen suchen oftmals nach Lösungen, die so wenig Management wie möglich erfordern. Diese Unternehmen legen in der Regel auch keinen Wert auf Anpassungsfähigkeit. Andere Firmen haben ein höheres Risikoprofil und sie brauchen ein hohes Maß an Optionen für Modifikationen. Auf diese Weise wird die Erkennung so fortschrittlich wie möglich, selbst wenn das negativen Einfluss auf die Anwenderfreundlichkeit hat.

4. Was sind typische Raten für False Positive und False Negative?

Eine sogenannte False-Positive-Rate ist der Prozentsatz an E-Mails, die fälschlicherweise als schädlich eingestuft wurden. Äquivalent dazu ist die False-Negative-Rate der Prozentsatz an schädlichen E-Mails, die das System als gutartig klassifiziert hat. Im Idealfall sind die Raten für False Positive und False Negative so gering wie möglich. Allerdings ist es unmöglich, diese Werte auf null zu drücken. Keine Technologie für die Erkennung ist perfekt. Maßnahmen, die die eine der Raten senken, erhöhen üblicherweise die andere.

Weil jedes E-Mail Security Gateway mehrere Technologien zur Erkennung parallel benutzt, ist es normalerweise nicht sinnvoll, die positiven und negativen Raten des gesamten Gateways zu betrachten. Stattdessen gibt es für jeden Bedrohungstyp typische Raten. Das sind zum Beispiel Spam, Erkennung von Malware oder Phishing und so weiter. Ein Unternehmen sollte die Möglichkeit haben, die Erkennungsmethoden des Gateways zu tunen, damit sich die Raten entsprechend senken lassen. Im Endeffekt strebt man eine angemessene Balance der Raten an. Dabei toleriert ein Unternehmen möglicherweise eine hohe Rate an False Negatives, um eine niedrige Rate bei den False Positives zu erzielen.

5. Werden E-Mail-Nachrichten oder -Anhänge in einem externen System verarbeitet oder gespeichert?

Bei einigen E-Mail Security Gateways handelt es sich um Cloud-basierte Services. Logischerweise passieren die E-Mails einer Firma in diesem Fall ein externes System. Weniger offensichtlich ist, dass manche sich am Standort befindliche Security Gateways verdächtige E-Mails an einen Server weiterleiten, der sich unter der Kontrolle des Gateway-Anbieters befindet. Dort werden die Nachrichten dann weiter analysiert. Dabei ist es egal, ob es sich um Hardware oder eine virtuelle Appliance handelt.

Es ist nicht hilfreich, die False-Positive- und False-Negative-Raten für das gesamte Gateway zu betrachten.

Überträgt man E-Mails zum Zwecke der Verarbeitung und der Speicherung an externe Server, birgt das eventuelle für einige Firmen nicht akzeptable Risiken. Das gilt vor allen Dingen dann, wenn es um die Analyse interner E-Mails geht. Der Anbieter des Security Gateways in Berührung mit sensiblen Daten und das Risiko ist höher, dass diese exponiert werden. Würde der Server des Anbieters kompromittiert, gilt das sehr wahrscheinlich auch für die sensiblen Daten. Benötigen Unternehmen ein hohes Niveau an Vertraulichkeit bei den unverschlüsselten E-Mails, sollten sie sich besser für ein E-Mail Security Gateway entscheiden, das sich am eigenen Standort befindet. Ein Cloud-basiertes System ist hier nicht optimal.

Bezüglich externer Systeme sollten Sie auch die gesetzlichen Vorgaben für Security, Privatsphäre und Datenschutz in die Überlegungen einbeziehen. Bei verschiedenen Gerichtsbarkeiten gibt es an dieser Stelle Unterschiede. Nehmen wir an, dass ein Unternehmen die Dienste eines Cloud-basierten Services als E-Mail Security Gateway beansprucht. Betreibt dieser Provider unterschiedliche Cloud-Instanzen in verschiedenen Gerichtsbarkeiten, also auch verschiedenen Ländern, unterliegen die E-Mail-Nachrichten anderen Gesetzen. Somit müsste man womöglich zusätzliche Kontrollmechanismen für Security und Datenschutz bemühen. Weiterhin könnten die Risiken differieren.

Machen Sie Ihre Hausaufgaben und vergleichen Sie

Da es so viele Möglichkeiten in Sachen E-Mail Security Gateways gibt, kann die Evaluierung überwältigend sein. Die Definition grundlegender Kriterien ist ein wichtiger Schritt, um die Möglichkeiten analysieren zu können. Es gibt keine richtige Lösung, die sich für alle Unternehmen verwenden lässt. Jede Firma hat unterschiedliche Anforderungen an die Sicherheit, betreibt eine unterschiedliche Infrastruktur für die E-Mails und hat eine eigene IT-Umgebung. Ebenfalls steht jedes Unternehmen unterschiedlichen Bedrohungen gegenüber.

Aus diesen Gründen ist es so wichtig, dass jedes Unternehmen E-Mail Security Gateways selbst evaluiert. Man kann sich nicht einfach auf die Evaluierung von Dritten verlassen, um die beste Lösung zu wählen. Natürlich können andere Tests wertvolle Informationen liefern, wovon der eigene Evaluierungsprozess profitiert.

Die Kriterien in diesem Artikel sind als Startpunkt für eine umfassende Liste gedacht, die Sie damit ausarbeiten können. Die Liste der hier erwähnten Anforderungen ist nicht im Geringsten vollständig. Jede Firma sollte über ihre einzigartigen Anforderungen nachdenken, sowie die Gesetze, Regularien und andere Erfordernisse an die Compliance in Betracht ziehen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close