Aber genau das ist das Argument für die Investition, nicht dagegen. Jede E-Mail, die früh gestoppt wird, ist Arbeit, die in keinem nachgelagerten System mehr anfällt – kein Alarm in EDR oder SASE, kein Forensik-Ticket, kein BCM-Fall. Defence in Depth funktioniert nur, wenn jede Schicht die Last der nächsten reduziert.
Kostenkaskade
Wird eine bösartige Mail im Filter abgefangen, kostet das Rechenzeit. Wird sie durchgelassen und erst später wird der Link geblockt, bindet das bereits Aufmerksamkeit im SOC. Wir gar Malware auf dem Client ausgeführt, sind wir bei Incident-Triage mit Host-Isolation und Stakeholder-Kommunikation. Wird der Angriff erst nach dem Diebstahl von Passwörtern oder Datenabfluss bemerkt, sind wir im BCM-Fall – mit Meldepflichten, externer Forensik und Vorstand. Die Frage ist also nicht, ob der Filter den nächsten Angriff verhindert. Die Frage ist, wie viele Angriffe und damit potenzielle Alarme er abfängt, bevor sie überhaupt entstehen.
Metainformationen, Beziehung & Sandboxing
Bei modernen Lösungen wird die Prüfung des Mailinhalts deutlich erweitert und um zusätzliche Analyseebenen ergänzt. Neben dem eigentlichen Inhalt fliessen vermehrt Metainformationen in die Bewertung ein: Sender-Gateway, Message Header sowie die Authentifizierungsmechanismen SPF, DMARC und DKIM. Ergänzend wird die Beziehung zwischen Sender und Empfänger sowie zwischen Sender- und Empfängerdomain analysiert, um untypische Kommunikationsmuster frühzeitig zu erkennen. Enthaltene Links – inklusive solcher aus QR-Codes – werden auf die Reputation und das Registrierungsalter der Zieldomains geprüft. Eine Topic- und Intent-Analyse erkennt verdächtige Absichten im Nachrichtentext, während verdächtige Anhänge und URLs vor der Zustellung im Sandboxing ausgeführt und auf Schadverhalten untersucht werden.
Transparenz
Klassische Anti-Spam-Lösungen waren Blackboxes. Das reicht heute nicht mehr. False Positives kosten Geschäft: Wird eine legitime Kundenmail blockiert und niemand kann erklären warum, verliert Security intern Vertrauen. Detection Rules müssen anpassbar sein. Und Threat Hunting setzt Sichtbarkeit voraus: Ein Alarm lässt sich nur dann auf die initiale Mail zurückverfolgen, wenn die Mail-Telemetrie durchsuchbar und attribuiert ist. Ähnlich wie beim Übergang von klassischem Antivirus zu EDR: Während AV lediglich zwischen bösartig und unbedenklich unterschied, liefert EDR die vollständige Ereigniskette und ermöglicht der Organisation die eigene Bewertung sowie individuelle Detections zu schreiben.
Zurück zum Anfang
Einer klickt doch immer. Stimmt. Aber zwischen einer von zehn und einer von zehntausend liegt der Unterschied zwischen einem geordneten Betrieb und einem überlasteten SOC. E-Mail Security fängt nicht alles – sie sorgt dafür, dass EDR, Firewall, SASE und am Ende der Mensch noch eine Chance haben, das Restrisiko sauber zu behandeln.
Defence in Depth heisst nicht, dass jede Schicht alles können muss. Es heisst, dass jede Schicht die Last der nächsten reduziert. Wer das versteht, investiert nicht trotz, sondern wegen des einen, der klickt.
