Hallo Leser,

heute mit einem Beitrag der etwas anderen Art und aus gegebenem Anlass. Das Bundesamt für Sicherheit in der Informationstechnik  (CSW # 2024-223466-1032) hat erneut eine gefährdungsstufe für Microsoft Exchange Server aufgerufen und die IT-Bedrohungslage mit der Stufe „3“ ausgegeben:

Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.

Dazu sagt Claudia Plattner, Präsidentin des BSI„Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind. Cybersicherheit muss endlich hoch oben auf die Agenda. Es besteht dringender Handlungsbedarf!“

Dies ist aus meiner Sicht nichts neues, denn ich sehe Wöchentlich Exchange Server Systeme welche

  • nicht auf der aktuellen Version betrieben werden
  • unzureichend gepatched sind
  • direkt veröffentlicht sind
  • schlecht gewartet wurden
  • die Empfehlungen seitens Microsoft nicht nachgekommen wurde

Ich bekomme Sätze von Administratoren oder Geschäftsführer zu hören:

„Oh Nein, wieder eine Sicherheitslücke in Exchange – Microsoft tut aber auch nichts“

„Wie kann das sein das der Exchange schon wieder unsicher ist?“

„Warum betrifft dies immer nur Exchange Server?“

Das BSI spricht von ca. 17.000 betroffenen Exchange Servern in Deutschland. Die folgenden Grafik zeigt dabei die Anteile der eingesetzten Exchange Server Versionen:

Abb. 1: Anteile der Exchange-Versionen in Deutschland

Genaue Zahlen gehen daraus nicht hervor – eine kurze Analyse:

Insgesamt 17.000 Systeme:

ca. 5% mit Exchange Server 2010 = 850 Systeme

ca. 7% mit Exchange Server 2013 = 1190 Systeme

Demnach mindestens 12% mit veralteten Versionen.

Daraus ziehe ich folgende Schlüsse:

  • Nicht nur Exchange ist alt, sondern auch die eingesetzte Betriebssystem Version
  • Unterstützte ActiveDirectory Systeme sind unter umständen ebenfalls alt und werden auf nicht mehr unterstützten Systemen ausgeführt
  • Drittanbieter Software für Backup, Monitoring, Archiv, Anti-Spam usw. sind ggf. ebenfalls veraltet
  • Wie viel Schutz und Aufmerksamkeit wird weiteren nicht direkt betroffenen Systemen gewidmet? Unbekannt, jedoch beängstigend!!!!
  • Für Unterstützte Outlook Systeme gilt N-2. Demnach wird für Exchange Server 2010 maximal Outlook 2016 unterstützt. Demnach ist vermutlich auch die Office Version noch eben diese – Supportende Oktober 2020!!!

Die Dunkelziffer ist bestimmt viel höher! Ich selbst kenne Exchange Server 2010 Systeme die nicht nach extern veröffentlicht sind.

Hintergrund

Exchange Server ist DAS Produkt für Unternehmen in Bezug auf Email, Kalender & Kollaboration. Es bietet eine extreme Leistungsfähigkeit und kann sowohl bei Unternehmen mit 15 Postfächern als auch welche mit 200.000 oder mehr Postfächern eingesetzt werden. Die Hochskalierbarkeit und die draus resultierenden Flexibilität ist einmalig. Zumal die Verwendung und Integration in Office Produkte und Flexibilität bei Mail-Clients vermutlich keine Wünsche offen lässt.

Exchange Server ist in vielen Unternehmen nicht wegzudenken und wurde seit etlichen Versionen (bspw. 2003) vielfach eingesetzt. Small Business Server hat zudem die Implementierung vereinfacht. Eine Migration zu Nachfolgeversionen ist ebenfalls sichergestellt.

Im Laufe der Jahre hat sich die Software stetig weiter entwickelt und bietet viele Features bei Themen der Skalierung, Clientzugriffe und Sicherheit.

Im Grunde hat sich jedoch im Einsatz wenig verändert, wichtig ist nur wie Infrastrukturen gestaltet sind und wie Administratoren Exchange Server einsetzen.

Vorweg sei gesagt: „Exchange Server kann im eigenen Haus sicher betrieben werden.“ Dazu später mehr.

Aufbau

Damit Exchange Server funktioniert und am Ende E-Mails von A nach B senden kann benötigen wir einige Hintergründe zum Aufbau.

Exchange Server benötigt  wie jede andere Client-Server Applikation TCP Ports. Wir unterschieden vereinfacht zwischen zwei Arten – denen für Clients und Dienste, und diese für  den E-Mail Transport:

Für Clients und Dienste erforderliche Netzwerkports.Netzwerkports, die für den Nachrichtenfluss erforderlich sind (keine Edge-Transport-Server).

Die Grafiken stammen aus der Microsoft Dokumentationen.

Microsoft schreibt dazu folgendes:

  • Es wird erwartet, dass Sie den Netzwerkverkehr zwischen externen Clients und Diensten und Ihrer internen Exchange-Organisation beschränken. Sie können auch den Netzwerkdatenverkehr zwischen internen Clients und internen Exchange-Servern beschränken. Diese Netzwerkports werden in diesem Thema beschrieben.
Achtung: Bitte veröffentlicht keine Ports direkt auf den Exchange Server – dies ist der Grund für die BSI Warnung!   

Pflicht für Betreiber

Wie es oben bereits steht und Microsoft auch eindringglich mitteilt ist es wichtig den Netzwerkverkehr zu beschränken. Und das ist die Pflicht der Administratoren und letztendlich in der Verantwortung der Geschäftsführer!

Wir müssen demnach:

  • Aktuelle Versionen einsetzen – Exchange Server 2019 ist die einzige Version welche noch mit CUs versorgt wird
  • Absichern der Netzwerkinfrastruktur – Intern & Extern! 
  • Zugriffe beschränken durch Loadbalancer und Web Application Firewalls – Schaut mal hier: Exchange Server 2019 CU13 Modern Auth (oAuth 2.0) – Teil 1 – Andi’s iT Blog (asichel.de)
  • Mail Security ist PflichtNoSpamProxy, FortiMail, Hornet oder Sophos um nur einige zu nennen!
  • Outlook Anywhere vermeiden! VPN benutzen – Mittels Azure VPN lässt sich bspw. eine oAuth 2.0 basierte Authentifizierung realisieren! Auch bei VPN ist MFA Pflicht!
  • OWA oder Exchange ActiveSync als einzige Protokolle nach extern verwenden – wenn überhaupt!  –> MFA ist Pflicht!
  • Regelmäßiges Patchen von Exchange Server und Betriebssystem!
  • Sicherheitstechnologien wie SPF, DMARC & DKIM einsetzen, ohne „Wenn und Aber“!
  • Sicherheitsmaßnahmen umsetzen  – Extended Protection als populärstes Beispiel –> Exchange Server 2019 CU14 (2024 H1) veröffentlicht – Vorsicht beim Update! – Andi’s iT Blog (asichel.de)
  • Prüfen von Mobile Device Management Lösungen die auch als Proxy für die Endgeräte funktionieren— ihr erinnert euch an den BES Server ? :D

Die Aufgabenliste ist gewaltig, und der Sichere Betrieb nicht ganz trivial, aber machbar. Hier sind jedoch Fachleute gefragt, und die wollen auch als solche bezahlt werden. Ein „IT’ler“ ist eben nicht zwingend der Experte für die Exchange Server Lösung und hat im Tagesgeschäft auch andere Aufgaben. Zumal der eventuell einzige IT-Angestellte auch keine Freigabe für die Weiterentwicklung des Services erhält.

Lösungsansätze…?

Ohne E-Mail geht es nicht, klar! Wir können jedoch mit den oben angegeben Lösungen unseren OnPrem Exchange Server sicher betreiben. Dies ist jedoch nicht immer wirtschaftlich oder möglich. Microsoft bietet mit Microsoft 365 eines Software as a Service (SaaS) an die als erstklassige Lösung eingesetzt werden kann. Auch diese Lösung kostet Geld, monatlich im Jahresabo als Beispiel.

Google bietet eine Microsoft Alternative mit der G-Suite an und auch Hoster wie IONOS bietet ein Mailserver an. Hier sind selbstredend andere Überlegungen zu treffen, da im Unternehmen meist Microsoft zum Einsatz kommt.

Bei der Verwendung von Microsoft 365 kauft man sich jedoch nicht nur ein „Mailserver“ ein. Produkte für Mobile Device Management, Endpoint Security, Identity Solutions, Kommunikationsplattformen, Office Software Updates, MailSecurity usw….

Wenn Eure IT-Struktur größer ist sucht euch einen Dienstleister der den Betrieb übernimmt. Sprecht mich gerne an wenn es um  IT Sourcing Strategien geht….

Es gibt gute IT-Consultants und Unternehmen die drauf spezialisiert sind die Systeme bei euch zu Verwalten.

Wir bieten den Betrieb von Exchange als Service an: Managed Exchange Server | cloudcoop IT-Services 

Ein ernstes Schlusswort

Lasst es bleiben! Hört damit auf und oder hört auf Expertenmeinungen.

Holt euch Meinungen Dritter ein, auch wenn die Zufriedenheit mit dem aktuellen internen IT Angestellten oder Dienstleister gegeben ist.

IT ist wie ein Hausbau, der Sanitär-Heizungs-Klima Meister ist im Bilde das ein Haus vier Wände hat, kann diese aber nicht herrichten, wie der Maurer. In der IT ist es identisch, es gibt Fachrichtungen und ein Netzwerker ist in meisten Fällen kein Windows- oder Exchange Administrator! Ich arbeite mit internen IT-Angestellten zusammen und unterstütze andere IT-Dienstleister dabei die Systeme der Kunden abzusichern — sprecht mich demnach gerne an!

Ich sehe Netzwerkinfrastrukturen und Exchange Server von Anwälten & Notaren ebenso veröffentlicht wie diese von produzierenden Unternehmen. Zum Teil werden auch noch selbst signierte Zertifikate verwendet oder der Exchange Server steht hinter einer Fritz!Box! Bei diesen Umständen müssen wir uns nun wirklich nicht über Industriespionage wundern.

IT Betrieb kostet Geld – wie die Wartung vom Auto! Alle drei Jahre ein neues Auto fahren aber unsichere IT-Infrastruktur betreiben passt nun mal nicht zusammen!

Es muss klar sein das in heutiger Zeit eine grobe Fahrlässigkeit vorliegt wenn das IT-System nicht regelmäßiger Prüfung unterzogen wird. Eine regelmäßige Aktualisierung gehört hier zum Geschäftsbetrieb dazu und muss im Jahresbudget eingeplant werden.

In eigener Sache: 

Ihr findet hin und wieder einen Hinweis auf die Dienstleistung meiner Firma. Wir bieten professionelles IT-Consulting an. Den Blog betreibe ich als Hobby und völlig kostenfrei und ohne Werbung dritter!

Gruß

Andi