Der Virus Outbreak Filter funktioniert folgendermaßen: Verdächtige E-Mails werden temporär in Quarantäne gestellt, um den Zeitraum zwischen erstem Angriff und dem Eintreffen der Virus-Signatur zu überbrücken. Doch was ist als verdächtig einzustufen? Der Filter nutzt bei dieser Entscheidung die Daten von Senderbase. Die Datenbank gibt ein sehr genaues und zeitnahes Bild von 25 Prozent des weltweiten E-Mail-Verkehrs wieder. Sie bedient sich aus mehr als 100000 Quellen. Sobald Anomalien auftreten, prüft das Threat Operation Center (TOC) von Ironport das betreffende Verhalten. Im TOC arbeiten Experten in 32 Sprachen rund um die Uhr, um die eventuellen Bedrohungen jederzeit schnellstmöglich zu erfassen und zu analysieren. Beispiele für Anomalien sind IP-Adressen, die zuvor nicht als typische Mailabsender in Erscheinung getreten sind und plötzlich mit dem massenhaften Versenden von E-Mails beginnen. Andere Beispiele sind Mails, die als Anhang stets eine mit Passwort versehene ZIP-Datei mit senden beziehungsweise die ein gleiches Attachment sehr häufig verschicken. Das zentrale TOC ermittelt auf diese Weise bereits bei den ersten Vorboten eines Viren-Angriffs das Bedrohungspotenzial. In die umfassende heuristische Bewertung fließen neben dem Sendeverhalten zahlreiche Eigenschaften der E-Mail ein, wie Größe, Dateinamen, eingebettete URLs, Verschlüsselungsart oder Viren-Signaturen. Basierend auf dieser Bewertung passt die IronPort-Appliance dynamisch die Auslieferungsprozeduren der E-Mail an. Ist der Score erhöht, landen verdächtige Nachrichten automatisch in einem sicheren Quarantänebereich. Dort verbleiben sie so lange bis sich zuverlässig entscheiden lässt, was weiter geschehen soll. Unverdächtige E-Mails gelangen ohne Zeitverzögerung durch den Filter. Die Anforderungen der Lotterie ließen sich mit der C100 von IronPort schnell und sicher erfüllen. Das Personal musste nicht geschult werden. Da der Reputationsfilter kritische Nachrichten abweist, noch bevor sie auf dem Server eingehen, wurde das IT-System der Staatlichen Lotterieverwaltung deutlich entlastet. Auch die Spam-Rate konnte durch die neue Lösung nahezu gegen Null reduziert werden.
Klaus Liedl ist als CIO bei der Staatlichen Lotterieverwaltung Bayern für die IT-Infrastruktur verantwortlich