IT-Blog

Microsoft Exchange Online oder Exchange On-Premises? – Ein aktuelles Thema

Do, 18. März 2021

Das Thema Exchange lässt in diesen Tagen keinen kalt. Speziell in den letzten Tagen und Wochen ging es rund beim Thema Sicherheit und Exchange. Ohne Vorankündigung wurden laut dem Bundesamt für Sicherheit in der Informationstechnik mehrere zehntausend Exchange-Server mittels Ausnutzung eines Exploits gehackt. Die Folgen sind Stand heute noch nicht abschätzbar. Wurden Daten geklaut, wurden Backdoors installiert? Kommen jetzt dann die Verschlüsselungen der eigenen Daten, die nur gegen Bargeld bzw. Bitcoins ausgelöst werden können?

Auf diese Fragen kann uns nur die Zukunft Antworten geben. Momentan kann es kaum jemand abschätzen, wann, wo und ob das dicke Ende noch kommt. Fest steht aber, dass dieses Sicherheitsproblem garantiert nicht das letzte sein wird, das Exchange oder andere über das Internet erreichbare Systeme erleben werden.

Was ist ein Exploit?

Wortwörtlich aus dem Englischen übersetzt bedeutet es so viel wie „Große Tat“ oder „Heldentat“, auch wenn das in Bezug auf die IT etwas befremdlich klingt. In der IT-Sprache bedeutet es aber vor allem die Ausnutzung eines Fehlers in einem Programm, Betriebssystem oder Firmware.

Exploits werden nicht von Hackern oder sonstigen Angreifern installiert, sondern sind unwissentliche Lücken in der Programmierung. Einige davon wurden schlicht übersehen, andere wiederum ergeben sich aus den sich ständig ändernden Anforderungen. Insbesondere, wenn es um Systeme geht, die ihre Dienste und Daten auch im Internet anbieten müssen. Immer mehr Konnektivität nach draußen ist gefragt. Waren es einst die Smartphones, die über das Internet auf interne Ressourcen wie E-Mails und Kalender zugreifen wollten, gilt das heute noch viel stärker für das Home-Office.

Hier müssen nicht nur Exchange Server, sondern ganze IT-Netzwerke mit unterschiedlichsten Ressourcen nach außen verfügbar gemacht werden.

Während sich die internen Systeme relativ gut mittels diverser Sicherheitsmerkmale (z. B. VPN, RDP-Gateways oder MFA) schützen lassen, bietet Exchange für diverse Dienste auch einen direkten Zugang über das Internet an. Das heißt, dass der Exchange-Server für ALLE im Internet direkt erreichbar ist.

Im aktuellen Fall betrifft es Exchange-Server, die über den Port 443 zum Beispiel für die Nutzung von Outlook Web Access (OWA) erreichbar sind.

Abgesehen davon, dass es eine bessere Lösung ist, auch den Exchange-Server zumindest hinter einer WAF (Web Application Firewall) zu verstecken oder den direkten Zugang nur mit VPN und MFA zu ermöglichen, müssen direkt erreichbare Server immer auf dem aktuellen Stand sein. Also alle Patches und CUs, die von Microsoft veröffentlicht werden, müssen sofort bzw. sehr zeitnah installiert werden.

Klingt logisch? Ja, ist es aber scheinbar für viele nicht. Aber abgesehen von fehlenden Spezialisten oder Bequemlichkeit gibt es für viele versierte Exchange-Administratoren tatsächlich einen großen und ein paar kleinere Gründe, warum solche Updates und Patches nur mit Verzögerung eingespielt werden.

Zu den paar kleineren gehört zum Beispiel, dass ein Upgraden oder Patchen des Exchange-Servers Zeit in Anspruch nimmt. Und da Exchange ja nicht nur ein Mail-Server ist, sondern ein Groupware-Server, ist auch ein wartungsbedingter Ausfall für jedes Unternehmen nicht sehr erfreulich.

Als Hauptgrund wird aber oft genannt, dass man sich kaum sicher sein kann, ob der Exchange-Server nach den frischesten und neuesten Updates auch gleich wieder funktioniert. Das ist in der Vergangenheit schon einige Male passiert und ein stundenlanger oder gar mehr als einen Tag andauernder Ausfall der Kommunikationszentrale im Unternehmen, wird dann nicht mehr nur für den User unangenehm. Darum warten die meisten Administratoren gerne einige Wochen oder sogar Monate, bis der neue Patch durch weitere kleine Fehlerbehebungen als sicher gilt.

Klopf, Klopf – hereinspaziert

Und damit stecken wir in genau der Zwickmühle, in die uns die Hackertruppe „HAFNIUM“ gebracht hat. Zwischen Bekanntwerden des Bugs und Bereitstellung eines Sicherheitspatches vergingen ca. 3 Wochen. Und auch nach der Bereitstellung der Patches wurden die Server aus o.a. Gründen nicht sofort auf den neuesten Stand gebracht. Mit fatalen Folgen.

Exchange Online ist nicht betroffen

Aufatmen und sich entspannt in den Stuhl fallen lassen können sich die Administratoren, die bereits auf Exchange Online umgesattelt haben. Dabei spielt es keine Rolle, ob man mit Exchange Online nur den ersten Schritt in die Cloud gemacht hat oder ob der Server Bestandteil einer umfassenden Cloud-Strategie ist. Exchange Online Server sind nicht direkt angreifbar.

Das liegt zum einen daran, dass die Server eben in den Tiefen der Microsoft Serverfarmen gehostet werden und den Zugriff von außen nur über die Zugangsmechanismen der Microsoft Cloud ermöglichen. Diese Technik verhindert zwar, dass oftmals proprietäre Lösungen für Exchange nicht mehr auf Exchange Online verfügbar sind, allerdings ist damit die Sicherheit gegen Attacken von außen optimal gewährleistet.

Zum anderen hilft neben den allgemeinen technischen Absicherungen der Cloud aber auch ein oftmals unterschätztes Feature. Um die Updates kümmert sich Microsoft selbst und so sind die Exchange Online Server immer die ersten, die mit den Patches und Updates ausgestattet werden. Insgesamt wird der administrative Aufwand mit Exchange Online sowieso deutlich reduziert. Unsere Kunden, die bisher von Exchange auf Exchange Online umgestiegen sind, sprachen teilweise sogar von einem richtigen Segen. Es funktioniert einfach und gerade jetzt bei den Hafnium-Vorfällen haben diese ein verschmitztes Lächeln im Gesicht, wenn der Chef fragt, ob in ihrem Unternehmen alles „safe“ ist.