ATP oder Advanced Threat Protection in Office 365 E5: Was ist das?

Ja immer diese Abkürzungen. Jedes Unternehmen hat sie und jeder neue Mitarbeiter hasst sie! Hinzu kommen die unzähligen Abkürzungen von Microsoft. So begegnen wir in der Microsoft-Welt unter anderem Produktabkürzungen wie zum Beispiel SPE und EMS oder auch Abkürzungen von Features, wie der zu unserem heutigen Thema: ATP oder ausformuliert Advanced Threat Protection. Dies ist ein Security-Feature aus dem Office 365 E5 Plan. Wir erläutern, was es kann und wie es funktioniert. 

Let’s start things off with a short story.

Dazu zunächst eine kleine Story.

Die Welt verändert sich, die IT verändert sich. Somit ist es auch logisch, dass sich auch die Sicherheitsanforderungen verändern. Einer Studie der Gartner Gruppe zufolge beliefen sich die Ausgaben für Sicherheitssoftware im Jahr 2012 auf 20 Milliarden Dollar. Bis Ende2017 wird ein Anstieg der Ausgaben auf 94 Milliarden Dollar prognostiziert. Wenn man Firmen nach ihrem Antivirenschutz befragt, lautet die Antwort meist, dass sie ein Produkt aus dem Hause:

• Symantec
• Kaspersky
• TrendMicro
• Mcafee
• Microsoft verwenden

Tatsächlich haben sich diese Lösungen in der Vergangenheit als zuverlässig erwiesen, doch werden diese immer ineffizienter.

Das Deutsche Forschungsinstitut AVTEST schätzte 2010, dass 49 Millionen Malware-Programme im Umlauf sind. 2011 berichtete McAfee, dass zwei Millionen Viren pro Monat entdeckt werden. 2013 hat wiederum Kaspersky Lab entdeckt, dass jeden Tag etwa 200.000 neue Malware-Programme identifiziert und behoben werden.

Geht man nun hier mit einem gesunden Zynismus heran und nimmt an, dass Antivirenschutz-Hersteller, deren Geschäft es ist Viren zu bekämpfen, das Problem etwas übertreiben, ist man geneigt, die Erkennungsquote etwas herabzusenken, sagen wir um 50 oder 75 Prozent. Das bedeutet immer noch, dass täglich 100.000 oder 50.000 Viren dazu kommen.

Schlimmer ist es jedoch, dass es immer länger dauert bis eine neu im Umlauf befindliche Schadsoftware überhaupt erkannt wird. So entdeckten Forscher des Kaspersky Lab 2012 in Moskau, dass eine hochkomplexe bis dato unbekannte Schadsoftware namens FLAME, die bereits seit fünf Jahren weltweit Daten aus Informationssystemen gestohlen hat, im Umlauf war. FLAME war wirklich ein Versagen der Antivirenindustrie. Damit ist die Antivirensoftware-Ära wahrlich zu Ende.

Übrigens: Das Wort Malware kommt aus dem englischen und bedeutete: Malicious Software = Schadprogramm

ATP – ja ich schreibe es jetzt noch ein letztes Mal aus: Advanced Threat Protection – zählt, wie der Name schon sagt, zu den Security-Features des Office 365 E5 Plans und widmet sich dem Schutz vor Maleware. Dabei macht sich ATP das Sandbox-Verfahren zunutze. Vereinfacht ausgedrückt funktioniert das System wie ein Computer im Computer. Diese Funktionsweise wird oft auch virtueller Computer genannt. Wenn eine E-Mail in dieser Sandbox landet, wird sie auf Schadsoftware geprüft. Als Beispiel wird der Anhang der E-Mail bewusst geöffnet, um zu schauen was passiert. Dabei kann das eigentliche System nicht infiziert werden, da die Schadsoftware in der SandBox gefangen ist.

Hier ein Cloud Szenario als Beispiel:

1. Die E-Mail landet im Posteingangsserver und wird dort bereits von Exchange Online Protection geprüft.
2. Bei Usern, die eine ATP-Lizenz haben, wird die E-Mail zusätzlich mit ATP geprüft.
3. Wenn ein fraglicher Link oder ein fraglicher Inhalt erkannt wurde, wird dieser aus der E-Mail entfernt oder der Link wird mit einem ungefährlichen Inhalt umgeschrieben. Natürlich werden sowohl der User als auch der ADMIN informiert.

HINWEIS: Informieren Sie Ihre Benutzer darüber, wenn Sie ATP aktivieren. Die E-Mails können bedingt durch die zusätzliche Prüfung ca. drei bis fünf Minuten verzögert ankommen.

Ok schön und gut. Aber was ist, wenn ich meinen E-Mail-Server On-Premise habe? Geht auch! Hier ein Szenario: