Wir möchten heute noch einmal detaillierter auf das in unserem Blogbeitrag bereits kurz vorgestellten Microsoft AddOn "Advanced Thread Protection" (ATP) eingehen. Warum? Wir haben diesen Dienst getestet und sind absolut überzeugt, dass er bei sehr geringen Kosten einen wesentliche Lücke in der Email-Sicherheit schließt, nämlich die Infizierungsgefahr durch Schadsoftware beim Klicken auf unbekannte Links in Fake- bzw. Spam-Emails. Der Dienst stellt ein kostenpflichtiges (< 2 €/Monat und Benutzer) AddOn für Exchange Online (als Teil von Office 365) dar.

 

ATP ist durch folgenden Mechanismus besonders sicher:

Jede Mail wird, bevor sie überhaupt in Outlook auf dem eigenen Rechner ankommt, von ATP auf externe Links geprüft. Dabei wird jeder Link (egal ob in einer privaten Email, einem Newsletter oder einer Spam-Email) durch einen Microsoft ATP Link ersetzt. Dieser Microsoft Link beginnt immer in etwa wie folgt: https://emea01.safelinks.protection.outlook.com/.  Damit arbeitet diese URL als eine Art Proxy, über den alle Zugriffe auf Email-Links umgeleitet werden. Erst der Proxy leitet dann auf die eigentliche Seite weiter, und das tut er natürlich nur, wenn er davon überzeugt ist, dass die Seite harmlos ist. Ist er nicht überzeugt, wird der Zugriff verhindert, ob Benutzer diesen Zugriffsschutz umgehen können, lässt sich konfigurieren.

 

Diese Proxy-Umleitung hat folgende große Vorteile:

Zur Laufzeit, also zum Zeitpunkt des Klicks auf einen Link in einer beliebigen Email, findet eine Prüfung dieses Links in Echtzeit statt, d.h. selbst wenn beim Eintreffen einer Email im Postfach (z.B. in der Nacht) eine Link Adresse noch nicht als gefährlich eingestuft wird (bei ganz neuen "bösen" Seiten), dann mit hoher Wahrscheinlichkeit am nächsten Morgen und damit bevor der Nutzer die Email überhaupt gesehen hat. In dem Augenblick, wo im weltweiten Microsoft Netzwerk ein Link als "böse" identifiziert wird, ist man vor diesem Link sicher, auch wenn die Email mit dem Link schon länger im Postfach liegt.

 

Hier ein Anwendungsbeispiel mit einer echten Spam-Nachricht:

 

2017-ATP-Test1.png

 

 

In der offensichtlichen Spam Email ist ein Link eingebettet. Ob der Link gut oder schlecht ist spielt keine Rolle, er wird vor Auslieferung der Mail ersetzt, im Screenshot ist das gut zu sehen.

 

Die obige aktuelle Spam Mail habe ich aus meinem Postfach (im Schnitt bekomme ich ca. 10-15 pro Tag) absolut zufällig ausgewählt. Da ich mit NoScript und uBlock meinen Browser recht gut geschützt habe, bin ich im Selbstversuch aber noch einen Schritt weiter gegangen und habe mit einiger Überwindung auf den Link in der Email geklickt. Und siehe da, der Zugriff wurde mir vom Microsoft Proxy verweigert:

 

2017-ATP-Test2.png

 

Da ich per Konfiguration das Umgehen dieser Warnung nicht gestattet habe, bleibt mir der direkte Zugriff auf den Link verweigert (es sein denn, ich tippe ihn einfach manuell in die Adresszeile meines Browsers ein).

 

ATP bringt auch einen erweiterten Schutz vor Schadsoftware, die als Email-Anhang kommt. In welcher Hinsicht die ATP-Prüfung über die Standard Prüfung (EOP=Exchange Online Protection) hinausgeht, kann ich noch nicht einschätzen, aber zumindest dauert die Prüfung einige Minuten. Die Email wird zwar unmittelbar ausgeliefert, aber beim direkten Öffnen meldet sich ATP aus der Email und weist auf die andauernde Prüfung hin (siehe folgender Screenshot). Ist diese abgeschlossen, wird die Vorab-Email durch die Email inkl. der Anhänge ersetzt.

 

2017-ATP-Test3.png

Nicht unerwähnt lassen möchte ich einen kritischen Experten, der seine Ansprüche von ATP nach einem Test (https://www.trustedsec.com/blog/office-365-advanced-threat-protection-features-shortfalls/) nicht im hohen Maße erfüllt sieht. Allerdings ist dieser Test schon einige Monate alt und bei den Cloud Diensten ist ja ein wesentlicher Vorteil, dass diese wöchentliche Verbesserungen erfahren, ohne eigenes Zutun oder Updates. Z.B. kritisiert der Experte, dass man hinter dem Mauszeiger die tatsächliche URL nicht mehr identifizieren kann, sondern nur noch die Microsoft Proxy URL sieht. Man könne seinen eigenen Instinkt so nicht mehr nutzen, sondern müsse Microsoft bedingungslos vertrauen. Im ersten Screenshot oben kann man sehen, dass die Original Ziel-URL - wenn auch nicht auf den ersten Blick - aber sehr wohl zu sehen ist. Vermutlich hat Microsoft auf diese berechtigte Kritik schnell reagiert und nachgebessert.

 

Mein einfacher Test war damit zumindest sehr erfolgreich und ich möchte ATP allen Office 365 Nutzern wärmstens empfehlen. Interesse? Weitere Infos oder die Lizenz für das AddOn erhalten Sie direkt bei uns...

 

Übrigens: ATP kann als AddOn von allen Office 365 Nutzern 30 Tage unverbindlich getestet werden. Auch das können wir einrichten....

 


Konversation wird geladen