Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Wie Cloudflare Area 1 und DLP zusammenarbeiten, um Daten in E-Mails zu schützen

13.01.2023

7 min. Lesezeit
How Cloudflare Area 1 and DLP work together to protect data in email

Bei der Bedrohungsprävention geht es nicht nur darum, externe Angreifer fernzuhalten. Ebenso wichtig ist es, sensible interne Daten nicht nach außen sickern zu lassen. Die meisten Unternehmen sind sich gar nicht bewusst, welche Massen an sensiblen Daten sich in ihren Posteingängen befinden. Tag für Tag gehen Mitarbeiter mit einer Vielzahl dieser sensiblen Inhalte um, z. B. geistiges Eigentum, interne Dokumentation, personenbezogene Daten oder Zahlungsinformationen. Oft werden diese Daten intern per E-Mail geteilt, was E-Mail-Postfächer in Unternehmen zur größten Sammelstelle vertraulicher Informationen macht. Es ist also kein Wunder, dass Organisationen sich Gedanken darüber machen, wie sie sensible Daten vor einer versehentlichen oder böswilligen Freigabe schützen können. Diese Überlegungen führen häufig zu strengen Richtlinien zum Schutz vor Datenverlust. Cloudflare macht es Kunden leicht, die Daten in ihren E-Mail-Posteingängen mit Area 1 Email Security und Cloudflare One zu schützen.

Cloudflare One, unsere SASE-Plattform, die Network-as-a-Service (NaaS) mit nativ integrierter Zero-Trust-Sicherheit bereitstellt, verbindet Nutzer mit Unternehmensressourcen und bietet eine Vielzahl von Möglichkeiten zur Sicherung des Unternehmenstraffics, einschließlich der Inspektion von Daten, die an Ihre geschäftlichen E-Mail-Adressen gesendet werden. Area 1 Email Security sorgt als Teil unserer modularen Cloudflare One-Plattform für den umfangreichsten Datenschutz für Ihren Posteingang und wird im Zusammenspiel mit Diensten wie Data Loss Prevention (DLP) zu einer umfassenden Sicherheitslösung. Dank der Möglichkeit, Zero-Trust-Dienste ganz einfach nach Bedarf zu implementieren, bleiben Kunden flexibel und können von mehrstufigen Abwehrmaßnahmen für ihre kritischsten Anwendungsfälle profitieren. Area 1 und DLP gehen gemeinsam und proaktiv die dringendsten Nutzungsszenarien an, die für Unternehmen ein hohes Risiko bergen. So bietet die Kombination dieser Produkte einen umfassenden Schutz Ihrer Unternehmensdaten.

Exfiltration von Cloud-E-Mail-Daten mit HTTPs verhindern

E-Mails sind ein einfaches Ventil für Unternehmensdaten. Warum verhindern wir also nicht von vornherein, dass sensible Daten in E-Mails gelangen? Anstatt ein öffentliches Whitepaper anzuhängen, könnte ein Mitarbeiter etwa versehentlich eine interne Datei per E-Mail an einen Kunden senden – oder schlimmer noch: ein Dokument mit den Informationen eines anderen Kunden.

Mit Cloudflare Data Loss Prevention (DLP) können Sie verhindern, dass sensible Informationen wie PII oder geistiges Eigentum in Ihre Unternehmens-E-Mails hochgeladen werden. DLP wird als Teil von Cloudflare One angeboten, das den Traffic von Rechenzentren, Büros und Remote-Nutzern über das Cloudflare-Netzwerk leitet.  Für diesen Traffic bieten wir eine Vielzahl von Schutzmaßnahmen, darunter Identitäts- und Gerätezustandsprüfungen sowie die Filterung von Unternehmenstraffic.

Cloudflare One bietet HTTP(s)-Filterung, mit der Sie den Traffic untersuchen und an Ihre geschäftlichen Anwendungen routen können. Cloudflare Data Loss Prevention (DLP) nutzt die HTTP-Filterfunktionen von Cloudflare One und ermöglicht es Ihnen, Regeln auf Ihren Unternehmensdatenverkehr anzuwenden und Traffic basierend auf Informationen in einer HTTP-Anforderung weiterzuleiten. Es gibt eine Vielzahl von Filteroptionen, z. B. nach Domain, URL, Anwendung, HTTP-Methode und so weiter. Diese Optionen können Sie verwenden, um den Traffic zu segmentieren, den Sie mit DLP inspizieren möchten. All dies geschieht mit der Performance unseres globalen Netzwerks und wird über eine einzige Steuerungsebene verwaltet.

Sie können DLP-Richtlinien auch auf geschäftliche E-Mail-Anwendungen wie Google Suite oder O365 anwenden.  Wenn ein Mitarbeiter versucht, einen Anhang in eine E-Mail hochzuladen, wird der Upload auf sensible Daten überprüft und dann gemäß Ihrer Richtlinie zugelassen oder blockiert.

Weitere grundlegende Datenschutzprinzipien innerhalb Ihres geschäftlichen E-Mailverkehrs sind mit Area 1 möglich:

Datensicherheitsrichtlinien zwischen Partnern durchsetzen

Mit Area 1 von Cloudflare können Sie starke TLS-Standards durchsetzen. Die Konfiguration von TLS sorgt für eine zusätzliche Sicherheitsebene: Stellen Sie sicher, dass E-Mails verschlüsselt werden, und verhindern Sie, dass Angreifer sensible Informationen lesen und die Nachricht bearbeiten können, wenn sie die E-Mail während der Übertragung abfangen (On-Path-Angriff). Das ist besonders nützlich für G-Suite-Kunden, deren interne E-Mails immer noch über das Internet gesendet werden und neugierigen Blicken ausgesetzt sind, oder für Kunden, die vertraglich verpflichtet sind, SSL/TLS für die Kommunikation mit Partnern zu nutzen.

Area 1 erleichtert die Durchsetzung von SSL/TLS-Kontrollen. Über das Area 1-Portal können Sie ganz einfach Partnerdomain-TLS konfigurieren. Gehen Sie dazu zu „Partner Domain TLS“ unter „Domains & Routing“ und fügen Sie die Partnerdomain hinzu, für die Sie TLS erzwingen möchten. Wenn die Verschlüsselung erforderlich ist, werden alle E-Mails von dieser Domain ohne TLS automatisch verworfen. Wir bieten ein starkes TLS, das sich nicht lediglich nach dem Best-Effort-Prinzip richtet. Ziel ist eine starke Verschlüsselung für den gesamten Traffic, um zu verhindern, dass böswillige Angreifer abgefangene E-Mails entschlüsseln können.

Passiven E-Mail-Datenverlust verhindern

Unternehmen vergessen oft, dass eine Exfiltration auch möglich ist, ohne eine einzige E-Mail zu verschicken. Angreifer, die es geschafft haben, ein Unternehmenskonto zu kompromittieren, können sich zurücklehnen, passiv die gesamte Kommunikation überwachen und sich manuell die interessantesten Daten herauspicken.

Sobald ein Angreifer dieses Stadium erreicht hat, ist es äußerst schwierig zu erkennen, ob ein Konto kompromittiert wurde und welche Informationen observiert werden. Herkömmliche Indikatoren wie E-Mail-Volumen, Änderungen der IP-Adresse und andere Hinweise greifen hier nicht, da der Angreifer mit seinen Handlungen keinen Verdacht erregen würde. Wir bei Cloudflare setzen uns nachdrücklich dafür ein, Kontoübernahmen schon im Voraus zu verhindern, damit Angreifer keine Chance bekommen.

Um Kontoübernahmen zu verhindern, bevor es zu spät ist, legen wir großen Wert auf das Filtern von E-Mails, die ein Risiko für den Diebstahl von Mitarbeiterdaten darstellen. Der häufigste Angriffsvektor böswilliger Akteure sind Phishing-E-Mails. Da bei Erfolg vertrauliche Daten ganz leicht zugänglich sind, ist es nicht verwunderlich, dass diese E-Mails unter Angreifern ein besonders beliebtes Tool sind. Für einen E-Mail-Posteingang, der durch Area 1 von Cloudflare geschützt ist, stellen Phishing-E-Mails kaum eine Bedrohung dar. Die Modelle von Area 1 können durch die Analyse verschiedener Metadaten beurteilen, ob es sich bei einer Nachricht mutmaßlich um Phishing handelt. Anhand von Anomalien wie Domainnähe (wie groß ist die Nähe zur legitimen Domain?) oder Tonfall der E-Mail kann schnell festgestellt werden, ob eine E-Mail vertrauenswürdig ist oder nicht. Wenn Area 1 ermittelt, dass es sich bei einer E-Mail um einen Phishing-Versuch handelt, rufen wir die E-Mail automatisch zurück und verhindern, dass sie im Posteingang des beabsichtigten Empfängers landet. So bleibt das Konto des Mitarbeiters unversehrt und kann nicht zur Exfiltration von Daten verwendet werden.  

Angreifer, die es auf Unternehmensdaten abgesehen haben, verlassen sich häufig auch darauf, dass Angestellte auf Links klicken, die ihnen per E-Mail zugesandt werden. Diese Links können etwa zu Online-Formularen führen, die auf den ersten Blick harmlos aussehen, aber letztendlich dazu dienen, sensible Informationen abzufangen. Angreifer können derartige Websites verwenden, um Skripte zu initiieren, die ohne jegliche Interaktion des Mitarbeiters Informationen über den Besucher sammeln. Das ist deshalb so besorgniserregend, weil ein einziger falscher Klick eines Mitarbeiters zur Exfiltration vertraulicher Daten führen kann. Andere böswillige Links können zu exakten Nachbildungen von Websites führen, auf die der Empfänger regelmäßig zugreift. Bei dieser Form von Phishing werden die vom Mitarbeiter eingegebenen Log-in-Daten an den Angreifer gesendet, anstatt ihn auf der Website anzumelden.

Area 1 deckt dieses Risiko mit der Isolierung von E-Mail-Links als Teil unseres E-Mail-Sicherheitsangebots. Im Rahmen dieser Funktion prüft Area 1 jeden versendeten Link und greift auf seine Domain Authority zu. Wenn wir einen Link nicht garantiert als sicher einstufen können, startet Area 1 einen Headless-Chromium-Browser und öffnet den Link dort, ganz ohne Unterbrechung. Auf diese Weise werden potenziell schädliche Skripts auf einer isolierten Instanz weit entfernt von der Infrastruktur des Unternehmens ausgeführt und der Angreifer hat keine Möglichkeit, auf Unternehmensinformationen zuzugreifen. All dies geschieht nahtlos und zuverlässig.

Ransomware stoppen

Angreifer versuchen mit einer Reihe von Tools, Mitarbeiterkonten zu kompromittieren. Das bereits erwähnte Phishing ist zwar ein häufiger Bedrohungsvektor, aber bei Weitem nicht der einzige. Auch im Hinblick auf Ransomware sind wir bei Area 1 wachsam.

Ein gängiger Mechanismus, den Angreifer zur Verbreitung von Ransomware verwenden, besteht darin, Anhänge durch Umbenennen zu tarnen. Eine Ransomware-Nutzlast könnte beispielsweise von „petya.7z“ in „Rechnung.pdf“ umbenannt werden, um einen Mitarbeiter zum Herunterladen der Datei zu verleiten. Je nachdem, wie dringend die begleitende E-Mail diese Rechnung erscheinen lässt, könnte der Mitarbeiter den Anhang blindlings auf seinem Computer öffnen und das Unternehmen so unwissentlich einem Ransomware-Angriff aussetzen. Die Modelle von Area 1 erkennen diese Diskrepanzen und verhindern, dass böswillige Akteure in den E-Mail-Posteingang der Zielperson gelangen.

Ein erfolgreicher Ransomware-Angriff kann nicht nur den täglichen Betrieb eines Unternehmens lahmlegen, sondern auch zum Verlust lokaler Daten führen, wenn die Verschlüsselung nicht rückgängig gemacht werden kann. Area 1 von Cloudflare verfügt über spezielle Nutzlastmodelle, die nicht nur die Dateierweiterungen, sondern auch den Hashwert des Anhangs analysieren, um ihn mit bekannten Ransomware-Kampagnen zu vergleichen. Sobald Area 1 einen Anhang als Ransomware einstuft, stoppen wir unverzüglich die Übertragung der E-Mail.

Cloudflares Vision zum Schutz vor Datenverlust

Unser Ziel ist es, Ihnen mit Cloudflare-Produkten die mehrstufige Sicherheit zu bieten, die Sie zum Schutz Ihres Unternehmens benötigen  – unabhängig davon, ob es um böswillige Zugriffsversuche oder das Durchsickern sensibler Daten geht. Da E-Mails nach wie vor die größte Sammelstelle von Unternehmensdaten darstellen, ist es für Unternehmen von entscheidender Bedeutung, zur Verhinderung von Datenverlusten über starke DLP-Richtlinien zu verfügen. Durch die Kombination von Area 1 und Cloudflare One können wir Organisationen mehr Vertrauen in ihre DLP-Richtlinien geben.

Wenn Sie Interesse an unseren E-Mail-Sicherheits- oder DLP-Diensten haben, kontaktieren Sie uns gerne für ein Gespräch über Ihre Bedürfnisse in diesem Bereich.

Wenn Sie bereits Cloudflare-Dienste nutzen, können Sie sich auch an Ihren Customer Success Manager bei Cloudflare wenden, um zu besprechen, welche zusätzlichen E-Mail-Sicherheits- oder DLP-Funktionen für Sie infrage kommen könnten.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
CIO Week (DE)Product News (DE)Security (DE)Zero Trust (DE)Deutsch

Folgen auf X

Cloudflare|@cloudflare

Verwandte Beiträge