Für Unternehmen ist der Schutz ihres geistigen Eigentums unverzichtbar. Das gilt besonders in Branchen, in denen Innovationen und proprietäres Wissen einen Wettbewerbsvorteil darstellen. Für einen multinationalen Chemiekonzern, der seine Aufspaltung in drei unabhängige Unternehmen vorbereitete, wurde die Kontrolle seiner vertraulichen Daten besonders wichtig.
In diesem Blog-Beitrag zeigen wir, wie dieser Konzern die Probleme mit der Datensicherheitslösung von Microsoft überwinden und seine Datenschutzstrategie mithilfe von Proofpoint stärken konnte.
Die Herausforderung: Datenverwaltung während eines komplexen Aufspaltungsprozesses
Als dieser Fortune 500-gelistete Chemiekonzern seine Aufspaltung in drei börsennotierte Einheiten plante, wurde die Minimierung der Risiken von Insider-Datenverlustereignissen für den CISO immer wichtiger. Der Konzern besaß bereits eine Microsoft E5-Lizenz und nutzte anfangs Microsoft Purview für die Datenverlustprävention (Data Loss Prevention, DLP). Schließlich war diese Lösung bereits ohne zusätzliche Kosten in der Lizenz enthalten. Warum also in ein weiteres DLP-Tool investieren?
Im ersten halben Jahr stellte das Team des CISO jedoch zahlreiche kritische Defizite bei Microsoft Purview fest:
- Geringe operative Effizienz: Für die Datenanalyse benötigte Microsoft Purview schriftliche Richtlinien, die in zeit- und arbeitsaufwändigen Schritten vordefiniert werden mussten.
- Unzureichende Warnmeldungen: Die Microsoft Purview-Optionen für Warnmeldungen waren nicht flexibel, besonders bei der Erkennung von Insider-Bedrohungen. Für benutzerdefinierte Warnmeldungen musste der Konzern Microsoft Purview in Microsoft Sentinel integrieren, was erhebliche Betriebskosten verursachte.
- Nicht miteinander verknüpfte Plattformen: Um Datenverlust durch Insider zu vermeiden, musste das Team mit mehreren Microsoft-Konsolen arbeiten, wodurch die Arbeitsabläufe des Teams komplexer wurden und wertvolle Zeit verloren ging.
- Manuelle Prozesse als Notfallmaßnahme: Das von diesen Einschränkungen enttäuschte Team sah sich gezwungen, ein eigenes Tool für die Datenextrahierung aus Microsoft Purview zu entwickeln und Insider-Bedrohungen mithilfe von Excel-Tabellen zu verwalten – bei weitem keine optimale Lösung.
Die Cybersicherheitsverantwortliche des Chemiekonzerns hat es so ausgedrückt: „Wenn ich Microsoft als primäre Datenschutzplattform verwende, setze ich mein Unternehmen dem Risiko von Datenverlust aus.“
Sofortige Ergebnisse mit Proofpoint
Nachdem der Konzern sich für Proofpoint Enterprise Data Loss Prevention (DLP) entschieden hatte, profitierte er sofort von Verbesserungen. Proofpoint deckte während des Proof of Concept (PoC) unter anderem folgende kritische Schwachstellen auf, die Microsoft übersehen hatte:
- Ungeschützte Microsoft SharePoint Online-Anwendung: Dokumente waren über einen Link allgemein zugänglich.
- Nicht autorisierte Datenweitergaben: Mitarbeiter gaben vertrauliche Daten über private E-Mail-Konten weiter.
- Unerkannte Kontoübernahmen: Der Konzern hatte keinen Überblick über Kontoübernahmen.
Nach der vollständigen Bereitstellung von Proofpoint waren die Ergebnisse bemerkenswert:
- Deutlich weniger Datenverluste: Der Konzern konnte seine Datenverluste von 2.000 GB (oder 200.000 Dateien) pro Monat reduzieren und blockiert jetzt monatlich 4.000 hochriskante Ereignisse.
- Vereinfachte Abläufe: Dank der zentralen Proofpoint-Konsole hat sich die operative Effizienz des Konzerns enorm verbessert. Die Konsole vereinfacht nicht nur die Triage von Warnmeldungen zu Cloud-, Endpunkt- und E-Mail-Systemen, sondern beschleunigt auch Untersuchungen und Reaktionsmaßnahmen.
- Vereinfachte Verwaltung von Ausschlüssen: In Microsoft Purview dauerte die Erstellung von Ausschlüssen 30 Minuten und die Bereitstellung bis zu einen Tag. Mit Proofpoint werden Ausschlüsse in 10 Minuten erstellt und stehen den Anwendern 20 Minuten später zur Verfügung.
- Genaue Warnmeldungen und Untersuchungen: Proofpoint generiert erheblich weniger False Positives und ermöglicht reibungslose Untersuchungen – alles über ein zentrales Dashboard.
Gründe für Proofpoint: Effizienz, schnelle Rendite und Transparenz
Letztendlich hat der Chemiekonzern entschieden, Microsoft Purview in seiner eigenen Umgebung mit einer Proofpoint-Lösung zu ergänzen. Ausschlaggebend dafür waren drei Gründe.
1. Operative Effizienz
Der personenzentrierte Ansatz von Proofpoint bietet einen genauen Einblick in die Absichten der Anwender sowie in Datenzugriffsmuster. Zudem liefert er inhalts- und kontextbasierte Regeln, mit denen Datenverlustereignisse genau erkannt sowie False Positives und False Negatives minimiert werden. Ein weiteres Plus ist das einheitliche Dashboard von Proofpoint, das die Arbeitsabläufe vereinfacht. Dadurch konnte das Team des Chemiekonzerns die Zahl seiner Untersuchungen von 36 bis 40 Untersuchungen pro Monat auf 0 senken.
2. Schnellere Rendite
Nachdem der Chemiekonzern sechs Monate mit Microsoft Purview gekämpft hatte, erzielte er mit Proofpoint schnell positive Ergebnisse. Die Proofpoint-Lösung konnte einfach bereitgestellt werden und die Warnmeldungen waren sofort nachverfolgbar.
Microsoft Information Risk Management (IRM) benötigt für Bildschirm-Screenshots und komplexe Konfigurationen einen separaten Agenten. Im Gegensatz dazu verfügt Proofpoint Insider Threat Management (ITM) über einen zweifach einsetzbaren und vollständig in Proofpoint Endpoint DLP integrierten Agenten. Das vereinfacht die Abläufe und spart Zeit.
3. Transparenz
Nicht erkannte Datenverlustereignisse können die Wirksamkeit jedes DLP-Programms infrage stellen. Proofpoint führt die Telemetriedaten für E-Mail, Cloud-Anwendungen und Endpunkte zusammen, sodass Analysten wichtige Kontextinformationen erhalten, mit deren Hilfe sie Datenereignisse effektiv interpretieren können. Microsoft Purview lieferte durchaus Kontextinformationen, doch aufgrund der zahlreichen Dashboards und komplexen Integrationen übersahen die Anwender Datenverlustereignisse.
Wenn „gratis“ nicht kostenlos ist
Proofpoint hat den Konzern dabei unterstützt, erhebliche Risiken zu minimieren. Während des PoC entwickelte unser Team ein Programm zur Abwehr von Insider-Bedrohungen mit spezifischen Use Cases und war bei der Erstellung von Richtlinien behilflich. Dabei wurde deutlich, dass Microsoft Purview nicht in der Lage war, die Anforderungen des Konzerns an die Minimierung von Insider-Bedrohungen zu erfüllen. Zudem konnte Microsoft nicht mit unserem Engagement mithalten.
Letztendlich konnte die Cybersicherheitsverantwortliche des Chemiekonzerns die Führungsebene mithilfe der Zahlen zu Kosteneinsparungen und verbesserter operativer Effizienz davon überzeugen, in Proofpoint zu investieren.
„Wenn etwas kostenlos ist, ist es nicht zwangsläufig gut“, betont sie. „Proofpoint kostet zwar Geld, es bietet aber auch Mehrwert und Effizienz.“
Weitere Informationen
Für eine Analystensicht auf Microsoft Purview laden Sie den kostenlosen Gartner®-Bericht Demystifying Microsoft’s Data Security Capabilities and Licensing (Die Geheimnisse der Datensicherheitsfunktionen und Lizenzierung von Microsoft gelüftet) herunter.
