Office 365 Advanced Threat Protection (ATP)
Vorhängeschloss als Schutzsymbol von Microsoft Office 365 ATP

Office 365 Advanced Threat Protection (ATP)

Veröffentlicht am 21. Februar 2019 um 08:51 Uhr von Andreas Dresen

Schutzmechanismen in Office 365 vs. Office 365 ATP

Office 365 bietet bereits Sicherheitsmechanismen, die dort integriert sind. Dazu gehört die Prüfung von eingehenden E-Mails auf Malware und Spam. Administratoren haben darüber hinaus die Möglichkeit, über Regeln festzulegen, wie Office 365 mit eingehenden E-Mails verfahren soll. Die Überwachung der vorgenannten Aktionen erfolgt über interne Bordmittel. Die grundlegenden Sicherheitsmechanismen sind jedoch relativ wirkungslos gegenüber Zero-Day-Angriffen. Dabei handelt es sich um Angriffe mittels Malware, für die im Virenscanner noch keine Definitionsdateien hinterlegt sind. Damit man auch gegenüber diesen Angriffen geschützt ist, kann man Office 365 um einen Dienst erweitern, der „Microsoft Advanced Threat Protection (ATP)“ genannt wird. Im nachfolgenden wird Office 365 in Verbindung mit diesem Dienst als Office 365 ATP bezeichnet werden. 

Office 365 ATP bietet einen Schutz für Ihre E-Mails, Dateien und Office 365-Anwendungen gegenüber unbekannten und hoch entwickelten Angriffen, darunter auch die im letzten Absatz genannten Zero-Day-Angriffe. Office 365 ATP gewährt Sicherheit, indem weitere Funktionen zur Verfügung gestellt werden, die den Malware- und Spamschutz erweitern. Dazu gehören die in den nachfolgenden Kapiteln noch genauer beschriebenen Dienste Safe Links und Safe Attachments. Diese ermöglichen einen Echtzeitschutz gegenüber unsicheren Anhängen und bösartigen Links. 

Microsoft Office 365 Tabelle mit Sicherheits Features

Wie arbeitet Office 365 ATP?

Im Grunde arbeitet bei diesen Diensten im Hintergrund eine Sandbox. In dieser werden potenziell schädliche Links und Anhänge in einem geschlossenen Container untersucht. Sollte sich ein schädliches Verhalten zeigen, kann die Malware nicht aus dem Container ausbrechen und andere Systeme infizieren. Der Zugriff wird dann nachfolgend durch ATP blockiert. Aufgrund der Tests ist es möglich, dass sich der Eingang der E-Mail um einige Minuten verzögern kann. Endgültig abhängig ist dies jedoch von den erstellten Richtlinien beziehungsweise deren Erstellungszeitpunkt: Es kann also durchaus bis zu 30 Minuten dauern, bis neu aufgesetzte Regeln wirksam werden und dass in diesem Zeitraum umgekehrt noch E-Mails einlaufen, bei denen die Richtlinien noch nicht greifen. 

Office 365 ATP kann nicht nur Postfächer auf lokalen Exchange-Servern oder in Exchange Online sichern. Der Schutz lässt sich auch auf Dateien in SharePoint, Microsoft Teams und in OneDrive anwenden.

Safe Links

Wenn dieses Feature aktiviert wird, ist der Benutzer gegen schädliche in einer E-Mail enthaltene Links geschützt. Jeder Link ist in eine URL für sichere Links verpackt. Klickt ein Benutzer auf den Link, wird im Hintergrund ein Cloud-Service gestartet, der die Reputation des Links sofort prüft. Wenn der Link unbedenklich ist, wird der Benutzer direkt zu der eigentlichen URL weitergeleitet. Andernfalls bekommt er eine Warnmeldung auf dem Bildschirm angezeigt oder der Zugriff auf die URL wird direkt blockiert. 

Bildquelle: Microsoft

Office 365 ATP Safe Links Warnung Anzeige

Die Richtlinien für Safe Links können für einzelne Benutzer, eine Benutzergruppe oder die gesamte Domäne vorgenommen werden. Dazu kann auch festgelegt werden, wie mit den potenziell bösartigen URLs verfahren werden soll. Die in den Regeln vorhandenen Einstellungen sind auf den nachfolgenden Bildern dargestellt und im Microsoft 365 Security & Compliance Dashboard unter dem Punkt Threat Management zu finden. 

MS Office 365 ATP Einstellung Email
Eingabemaske Threat Management MS Office 365 ATP

Safe Attachments 

Dieses Sicherheitsfeature prüft die Anhänge von eingehenden E-Mails auf schädlichen Inhalt. Auch hier wird der Anhang in einer Sandbox auf verdächtiges Verhalten überprüft. Dies kann zum einen das Verschlüsseln von lokalen Dateien sein oder ein „Telefonieren“ zu einem entfernten Server. Die Prüfung erfolgt jedoch nicht aufgrund von Definitionsdateien, sondern verwendet Machine-Learning und Analysetechniken. Dadurch kann die Zustellung einer E-Mail verzögert werden, bis der Anhang entsprechend geprüft worden ist. Durch die Richtlinien kann man jedoch auch einstellen, dass die E-Mail zunächst ohne Anhang zugestellt und der Anhang nach der Prüfung, der E-Mail wieder hinzugefügt wird. Eine weitere Möglichkeit, diese Latenz zu verringern, liegt in der Benutzung von Whitelists. Dabei werden sichere Absender auf diese Liste gesetzt und E-Mails ohne Prüfung direkt durchgeleitet. Dies birgt jedoch das Risiko, das Malware auf den Rechner gelangt, wenn der Absender zuvor bereits kompromittiert worden ist. 

Threat Management MS Office 365 ATP

Für den Einsatz von Safe Links gibt es jedoch neben der benötigten Lizenz und den eingerichteten Richtlinien noch weitere Voraussetzungen, die erfüllt werden müssen. Dazu gehört zum einen, dass die Benutzer sich mit ihrem Arbeits- oder Schul-Benutzerkonto bei Office 365 eingeloggt haben. Zum anderen, dass die E-Mails des Unternehmens in Office 365 gehostet werden und nicht auf einem On-PremiseServer. Weiterhin muss die moderne Authentifizierung für Office Client Apps aktiviert sein, was im Standardzustand der Fall ist. Zur Überprüfung von Links in Dokumenten muss Office 365 ProPlus eingesetzt werden. 

Eingabefeld Threat Management MS Office 365 ATP

Auch hier können die Richtlinien wie bei den Safe Links für einzelne Benutzer, eine Benutzergruppe oder die gesamte Domäne vorgenommen werden. Die Aktivierung des Safe Attachment Features für SharePoint, OneDrive und Microsoft Teams erfolgt einfach durch das Setzen eines Häkchens im Microsoft 365 Security & Compliance Dashboard auf der Seite, auf der auch die Richtlinien für Safe Attachments eingerichtet werden. 

Safe Attachements Eingabemaske

Auch für die Nutzung des Safe Attachments Features müssen bestimmte Voraussetzungen erfüllt sein. Dazu zählen das Einrichten von entsprechenden Richtlinien und der Nutzer muss mit seinem Arbeits- oder Schulkonto bei Office 365 eingeloggt sein. 

Benötigte Lizenzen

Um die Sicherheitsfeatures aus Office 365 ATP nutzen zu können, benötigt man die entsprechenden Lizenzen. In den folgenden Lizenzen ist Microsoft Office 365 ATP bereits inkludiert: 

  • Office 365 Enterprise E5 
  • Microsoft 365 Business 
  • Office 365 Education A5

Advanced Threat Protection kann aber auch zu einer Vielzahl von möglicherweise bereits im Einsatz befindlichen Abonnementplänen hinzugebucht werden. Bei welchen Exchange- und Office 365-Abonnementplänen dies der Fall ist, sehen Sie hier 

Fazit: Integrierte Sicherheitsmechanismen von Office 365 als wertvolle Ergänzung

Die in diesem Artikel beschriebenen Features sind eine wertvolle Ergänzung zu weiteren Sicherheitsfeatures, die darüber hinaus bereits im Unternehmen im Einsatz sind. Mit ihnen können Benutzer davor geschützt werden, schädlichen Links zu folgen oder mit Malware infizierte Anhänge zu öffnen. So können Angriffe und deren Auswirkungen, wie durch die aktuelle Emotet-Trojaner Welle, eingeschränkt, jedoch nicht vollständig verhindert werden.
Die Einrichtung benötigt zunächst einmal etwas Aufwand, je nachdem, wie granular man Richtlinien einrichten will. Richtlinien für die Domäne einzurichten geht verhältnismäßig schnell, für einzelne Personen kann der Aufwand je nach Menge der Regeln jedoch sehr hoch werden. Der Aufwand allerdings lohnt sich. Je treffender die erstellten Richtlinien sind, desto besser funktioniert die Kategorisierung und False Positives sowie der Umkehrfall können ausgeschlossen werden.

Andreas Dresen synalis IT Systemhaus Köln Bonn

Andreas Dresen, Experte für IT-Security und Cloud-Infrastruktur, synalis
Tel. +49 228 9268 0
E-Mail: andreas.dresen@synalis.de