Cloudflare hat es sich zur Aufgabe gemacht, ein besseres Internet zu entwickeln. Wir haben massiv in den Aufbau des leistungsfähigsten Cloud-Netzwerks der Welt investiert, um unseren Nutzern ein schnelleres, sichereres und zuverlässigeres Internet zu bieten. Mit der heutigen Übernahme von Area 1 Security gehen wir einen weiteren, großen Schritt in Richtung unseres Ziels und, um unsere Kunden noch besser schützen zu können.
Das Team von Area 1 hat eine außergewöhnliche cloud-native Technologie entwickelt, die Unternehmen vor E-Mail-basierten Sicherheitsbedrohungen schützt. Mit der Akquisition integrieren wir diese Technologie ab sofort fest in unser globales Netzwerk. Somit bieten wir unseren Kunden die derzeit umfassendste Zero-Trust-Sicherheitsplattform am Markt.
Warum E-Mail-Sicherheit?
Anfang der 2000er Jahre war ich in die Entwicklung von Lösungen zur Bekämpfung von E-Mail-Spam beteiligt. Eine der größten Herausforderungen damals, bevor cloud-basierte E-Mail-Services flächendeckend genutzt wurden, war Spam. Er überflutete die Posteingänge der Nutzer, verzögerte das Herunterladen von Inhalten massiv und trieb die Internetrechnungen der Nutzer wurden in die Höhe. Der Kampf gegen Spam umfasste zwei Bereiche: einen technischen und einen architektonischen.
Technisch gesehen fanden wir heraus, wie wir mit Hilfe von maschinellem Lernen erfolgreich zwischen Spam und echten E-Mails unterscheiden können. Mit dieser Unterscheidung etablierte sich ziemlich schnell ein cloudbasiertes E-Mail-System. Leider führte dieser Prozess nicht dazu, dass Spam vollständig eliminiert wurde. Stattdessen wurde er in einen virtuellen Papierkorb verschoben – in eine Kiste voller Müll, die man sich seltener ansehen muss.
Eine Zeit lang sah es so aus, als ob Spam-Angriffe E-Mail-Systeme so kritisch treffen, dass sie sie zerstören – doch das ist nicht passiert. Heute sind E-Mails eines der wichtigsten Tools in unserem täglichen Leben. Und aufgrund seiner Bedeutung ist es jedoch auch ein massiver Vektor für Bedrohungen: gegen Unternehmen und Privatpersonen.
Während Privatpersonen größtenteils auf cloudbasierte E-Mail umgestiegen sind, setzen viele Unternehmen noch immer lokale E-Mail-Server ein. Wie alles andere in der Welt der Cybersicherheit braucht auch E-Mail den besten Schutz; nicht bloß diesen, der in den verwendeten E-Mail-Anbietern integriert ist.
In den Anfangszeiten von Cloudflare zogen wir in Erwägung, uns mit dem Problem der E-Mail-Bedrohungen zu befassen. Wir entschieden uns dann aber dafür, uns vorrangig auf die Entwicklung von Netzwerk- und Internet-Schutzmaßnahmen zu konzentrieren. Im Laufe der Zeit weiteten wir unseren Schutz erheblich aus, und unsere Kunden nutzen uns heute, um ihre gesamte Bandbreite an mit dem Internet verbundenen Diensten zu schützen.
Wir können einen Mailserver zwar beispielsweise mit Magic Transit vor DDoS schützen, allerdings ist das nur eine einzelne Angriffsart gegenE-Mail-Services. Dazu kommen noch viel heimtückischere E-Mail-Bedrohungen wie etwa Scams, Malware und vieles mehr. Daher denken wir: Genauso wie Cloudflare Anwendungen auf der Netzwerkebene schützt (z.B.: Services die HTTP verwenden) müssen wir auch E-Mails auf der Anwender- und Inhaltsebene schützen.
Cyberbedrohungen dringen über E-Mails in Unternehmen ein. Heute vergeht kaum eine Woche, in der Sie nicht in den Nachrichten lesen, dass Unternehmen erhebliche Datenverluste erlitten haben, weil ein Mitarbeiter auf eine Phishing-E-Mail hereingefallen ist.
Um es ganz klar zu sagen: E-Mail ist die größte Gefahrenquelle für jedes Unternehmen. Dennoch reichen die bestehenden E-Mail-Sicherheitslösungen oftmals nicht aus.
In der Vergangenheit reagierten Unternehmen auf E-Mail-Bedrohungen, indem sie herkömmliche, auf Boxen basierende Produkte nutzten. Viele Firmen tun dies auch weiterhin: Etwa ein Siebtel aller Fortune 1000-Unternehmen verwendet zwei oder mehr E-Mail-Sicherheitslösungen1.
Wir bei Cloudflare halten nichts von Legacy-Boxen halten. Unternehmen verlagern ihre Anwendungen zunehmend in die Cloud; dies gilt auch für E-Mail-Anwendungen. Gartner schätzt, dass 71% der Unternehmen Cloud- oder Hybrid-Cloud-E-Mails nutzen, wobei Googles G Suite und Microsofts Office 365 die gängigsten Lösungen sind2.
Obwohl diese Unternehmen integrierte Schutzfunktionen für ihre E-Mail-Produkte anbieten, sind viele Unternehmen der Meinung, dass sie die Benutzer nicht ausreichend schützen (mehr zu unseren eigenen Erfahrungen mit diesen Mängeln später).
Testen, bevor man kauft
Das Thema E-Mail-Sicherheit beschäftigt uns schon seit geraumer Zeit.
Letztes Jahr haben wir mit dem Email Security DNS Wizard, unser erstes Produkt für E-Mail-Sicherheit auf den Markt gebracht. Wir entwickelten dieses Tool, um E-Mail-Spoofing und Phishing zu bekämpfen und die Zustellbarkeit von Millionen von E-Mails zu verbessern. Doch das war nur der erste Schritt in Richtung flächendeckender E-Mail-Sicherheit. Die Integration von Area 1 ist der nächste und viel größere Schritt auf diesem Weg.
Als Sicherheitsanbieter werden wir ständig angegriffen. Wir nutzen Area 1 schon seit einiger Zeit, um unsere Mitarbeiter vor diesen Angriffen zu schützen.
Anfang 2020 verzeichnete unser Sicherheitsteam einen Anstieg der von Mitarbeitern gemeldeten Phishing-Versuche. Unser cloudbasierter E-Mail-Anbieter verfügte zwar über einen leistungsfähigen Spam-Filter, er war jedoch nicht dazu in der Lage, fortgeschrittene Angriffe abzuwehren. Darüber hinaus bot unser bisheriger Anbieter nur Kontrollen für seine native Webanwendung an. Für die iOS-App und alle anderen Arten auf E-Mails zuzugreifen, bot er keine ausreichenden Kontrollen. Es war klar, dass wir eine E-Mail-Sicherheitslösung zusätzlich zu den die integrierten Schutzfunktionen aufsetzen mussten (mehr zum Thema Layering später...).
Das Team achtete bei der Anbieterauswahl auf vier Faktoren: die Fähigkeit, E-Mail-Anhänge zu scannen, die Fähigkeit, mutmaßlich bösartige Links zu analysieren, Schutz vor Kompromittierung von GeschäftsMails und starke APIs für cloud-native E-Mail-Anbieter. Nachdem wir viele Anbieter testeten, fiel die Wahl eindeutig zugunsten Area 1, aus. Wir implementierten die Lösung von Area 1 Anfang 2020 um unsere Mitarbeiter zu schützen – die Ergebnisse sind fantastisch. Mit Area 1 sind wir in der Lage, Phishing-Kampagnen proaktiv zu erkennen und gegen sie vorzugehen, bevor sie Schaden anrichten. Bislang stellen wir einen deutlichen und anhaltenden Rückgang von Phishing-E-Mails fest. Und nicht nur das: Der Area 1-Service hatte nur geringe bis gar keine Auswirkungen auf die E-Mail-Produktivität. Das bedeutet, dass es nur einige wenige Fehlalarme gab, die unser Sicherheitsteam störten.
Tatsächlich war die Technologie von Area 1 bei der Einführung schon so effektiv, dass unser CEO sich an unseren Chief Security Officer wandte, um sich zu erkundigen, ob unsere E-Mail-Sicherheit defekt sei. Unser CEO hatte seit vielen Wochen keine Phishing-Versuche mehr von unseren Mitarbeitern gemeldet bekommen, – ein seltenes Ereignis. Es stellte sich heraus, dass unsere Mitarbeiter keine Phishing-Versuche meldeten, weil Area 1 sie alle abfing, bevor sie die Posteingänge unserer Mitarbeiter erreichten.
Area 1 ist anderen Anbietern aus zwei Gründen weit voraus. Erstens haben sie eine umfangreiche Datenplattform aufgebaut, die in der Lage ist, bestimmte Muster in E-Mails zu erkennen: Woher kommt eine E-Mail? Wie sieht sie aus? Von welcher IP stammt sie? Area 1 ist seit neun Jahren im Bereich der E-Mail-Sicherheit tätig. In dieser Zeit hat das Unternehmen einen unglaublich wertvollen Datenfundus von Bedrohungen angehäuft. Darüber hinaus nutzen sie diese Daten, um hochmoderne maschinelle Lernmodelle zu entwickeln, die präventiv gegen Bedrohungen vorgehen.
Layer (E-Mail-Sicherheit + Zero Trust)
Das Angebot eines cloudbasierten E-Mail-Sicherheitsprodukts ist für sich genommen schon sinnvoll. Aber unsere Vision, die Technologie von Area 1 mit Cloudflare zu verbinden, ist viel größer. Wir sind überzeugt, dass die Erweiterung unserer bestehenden Zero-Trust-Sicherheitsplattform um den Bereich E-Mail-Sicherheit den besten Schutz für unsere Kunden bietet.
So wie Cloudflare Area 1 unserer bestehenden E-Mail-Lösung vorangestellt hat, nutzen viele Unternehmen zwei oder mehr übereinander geschichtete E-Mail-Schutzprodukte zusammen. Diese Art des Layering ist jedoch schwer umzusetzen. Unterschiedliche Produkte haben unterschiedliche Konfigurationsmechanismen (einige verwenden eine Benutzeroberfläche, andere eine API, wieder andere unterstützen Terraform nicht usw.), unterschiedliche Berichtsmethoden und Inkompatibilitäten, die es zu umgehen gilt.
SMTP, das zugrundeliegende E-Mail-Protokoll, gibt es seit 1982. In den vergangenen 40 Jahren wurden zahlreiche Protokolle um SMTP herum entwickelt, um es sicherer zu machen, Spoof-Schutz hinzuzufügen, Absender zu verifizieren und vieles mehr. Es ist schwierig, mehrschichtige E-Mail-Sicherheitsprodukte zu finden, die mit all diesen Zusatzprotokollen gut funktionieren.
Und die E-Mail an sich ist nicht das einzige Thema. Die E-Mail-Adresse des Benutzers ist oft identisch mit dem Firmen-Login. Daher ist es sinnvoll, Zero Trust und E-Mail-Sicherheit miteinander zu verbinden.
Wie wir bereits besprochen haben, ist E-Mail ein wichtiger Vektor für Angriffe – aber er ist nicht der einzige. Die E-Mail-Sicherheit ist nur eine Ebene des Verteidigungssystems eines Unternehmens. Die meisten Unternehmen verfügen über mehrere Sicherheitsebenen, um ihre Mitarbeiter und ihre Assets zu schützen. Diese Verteidigungsebenen verringern das Risiko, dass Angreifer ein System infiltrieren. Stellen Sie sich nun vor, all diese Ebenen wären so konzipiert, dass sie nahtlos miteinander funktionieren, in denselben Software-Stack integriert sind, von einem einzigen Anbieter angeboten werden und Ihnen an mehr als 250 Standorten auf der ganzen Welt zur Verfügung stehen.
Stellen Sie sich eine Welt vor, in der Sie die E-Mail-Sicherheit einfach mit einem Klick aktivieren können, um sich vor Phishing zu schützen. Sollte jedoch ein Angreifer aus irgendeinem Grund in den Posteingang eines Mitarbeiters gelangen, so können Sie eine Regel erstellen, die jeden nicht erkannten Link in einem isolierten Remote-Browser öffnet. Dieser lässt dann keine Texteingabe zu und scannt alle E-Mail-Anhänge auf bekannte Malware. Genau das hoffen wir zu erreichen, indem wir die Technologie von Area 1 in die Zero Trust-Sicherheitsplattform von Cloudflare integrieren.
Die Verbindung von E-Mail und Zero Trust eröffnet eine Welt der Möglichkeiten für den Schutz von E-Mails und des Unternehmens.
Shared Intelligence
Hier bei Cloudflare sind wir Fans von eng miteinander verknüpften Produkten, die zusammen mehr Wert liefern als einzeln. Wir bezeichnen das intern als „1+1=3“. Die Integration von Area 1 in unsere Zero Trust-Plattform wird unseren Kunden einen erheblichen Mehrwert bieten. Aber E-Mail-Schutz ist nur der Anfang.
Area 1 trainerte jahrelang seine maschinellen Lernmodelle mit E-Mail-Daten, um Nutzern erstklassige Sicherheit zu bieten. Indem wir E-Mail-Bedrohungsdaten mit den Bedrohungsdaten aus unserem globalen Cloudflare-Netzwerk zusammenführen, bieten wir unseren Kunden verbesserte Sicherheitsfunktionen für alle unsere Produkte.
Gemeinsame Vision
Gemeinsam mit dem Team von Area 1 werden wir weiterhin dazu beitragen, das weltweit stabilste Cloud-Netzwerk und die robusteste Zero-Trust-Sicherheitsplattform aufzubauen.
Was uns bei Area 1 am meisten beeindruckt hat, ist die gemeinsame Vision, ein besseres (und sichereres) Internet zu schaffen. Ihr Team ist intelligent, transparent und neugierig – Eigenschaften, die wir bei Cloudflare sehr schätzen. Wir sind überzeugt, dass unsere Teams gemeinsam einen enormen Mehrwert für unsere Kunden schaffen können.
Sie interessieren sich für die kommenden Produkte für E-Mail-Sicherheit? Dann senden Sie uns hier eine Nachricht. Mehr über die Übernahme erfahren Sie hier oder im Blog-Beitrag von Area 1.
Die Übernahme wird voraussichtlich zu Beginn des zweiten Quartals 2022 abgeschlossen und unterliegt den üblichen Abschlussbedingungen. Bis zum Abschluss der Transaktion bleiben Cloudflare und Area 1 Security getrennte und unabhängige Unternehmen.
.....
1Piper Sandler 1Q2021 Email Security Survey: Market Share (Marktanteil)
2Gartner, Market Guide for Email Security (Marktleitfaden für E-Mail-Sicherheit), 8. September 2020