Sinnvolle Sicherheits-Strategien für den Schutz von lokalen Exchange-Servern

Bessere Authentifizierung, IPSec, RBAC und mehr können Exchange-Umgebungen deutlich sicherer machen. Wir zeigen, auf was Unternehmen achten müssen.

Wer im Jahr 2013 die Nachrichten verfolgt hat, weiß auch um die Abhörskandale der NSA durch PRISM und andere Werkzeuge Bescheid. Die Überwachung des internationalen Internetverkehrs können die für lokal betriebene Exchange-Server zuständigen IT-Verantwortlichen nicht ignorieren. Es gilt, zumindest grundlegende Sicherheitsmechanismen in Exchange einzubinden. Zwar ist es seit Jahren bekannt, dass Geheimdienste und andere Organisationen Daten abhören, allerdings ist das tatsächliche Ausmaß schon erschreckend.

Office 365 lässt sich parallel zu lokal installierten Exchange-Servern betreiben. Ob das sinnvoll und sicher ist, müssen Unternehmen genau überprüfen.

Die Sicherheitsabteilungen großer Unternehmen sollten sich daher grundlegende Gedanken zur Absicherung der eigenen Infrastruktur machen. Das ist vor allem sinnvoll, da bei der Entwicklung der Abhörsoftware auch externe Softwarehersteller eingebunden sind. Hier besteht also theoretisch eine noch höhere Gefahr von Industriespionage.

Der Abhörskandal hat in Unternehmen das Bewusstsein zur besseren Sicherheit und die Diskussion um notwendige Kosten für sichere Infrastrukturen geweckt. In diesem Zusammenhang ist natürlich auch die Cloud-Strategie eines Unternehmens betroffen. Werden Serverdienste ausgelagert, kann die eigene IT-Abteilung nicht mehr ausreichend für die Sicherheit der Daten sorgen. Unternehmen, die amerikanische Cloud-Dienste verwenden, müssen in diesem Bereich besonders kritisch sein.

Warum muss Exchange abgesichert werden?

Nicht erst seit der NSA-Abhör-Affäre sind deutsche Unternehmen sehr daran interessiert, ihre Daten vor allem europäischen oder deutschen Cloud-Anbietern anzuvertrauen. Ein Vorteil sind dabei vor allem die lokalen Gesetze zum Datenschutz. Denn auch die deutschen Niederlassungen von amerikanischen Unternehmen sind von der amerikanischen Rechtsprechung betroffen, Stichwort Patriot Act.

Das Beispiel der belgischen Telefongesellschaft Belgacom ISP zeigt aber auch, dass in Europa längst nicht alle Daten sicher sind. Der britische Geheimdienst verschaffte sich Zugriff auf geheime Daten von Anwendern, die mit Belgacom zu tun hatten. Die Software des Geheimdienstes konnte die Daten über zwei Jahre lang unentdeckt ausspionieren. Auch durch Antimalware und selbst Sicherheits-Audits fiel der Angreifer nicht auf.

Was sollte eine Sicherheits-Strategie alles beinhalten?

Natürlich ist es niemals möglich, hundertprozentige Sicherheit zu erreichen. Das geht nur dann, wenn Unternehmen ihre Server physisch vom Netzwerk und Internet trennen. So arbeitet zum Beispiel der russische Geheimdienst. Aber kann Ihr Unternehmen auf Schreibmaschinen sowie persönliche überbrachte Schreiben setzen, statt Exchange oder andere E-Mail-Server zu verwenden? Wohl kaum. Die aktuelle Sicherheitslage und drohende Gefahren machen aber einmal mehr klar, dass zum Einsatz von lokal betriebenen Exchange-Servern auch eine umfassende Sicherheits-Strategie gehört.

Eine solche Strategie können Unternehmen aber nicht nur auf Basis von Software oder Sicherheits-Technologien schaffen. Auch die Benutzer müssen eingebunden werden. Die beste Sicherheits-Software und -Einstellungen können von schlecht geschulten Mitarbeitern ausgehebelt werden. Wenn eine Verschlüsselungstechnologie vorliegt, bringt diese nichts, wenn Anwender diese nicht nutzen. Mitarbeiter sind häufig die größte Schwachstelle in der Sicherheits-Strategie eines Unternehmens.

Eine Sicherheits-Strategie besteht daher aus mehrere Schichten. Das schließt auch denphysischen Zugang zu den Servern und der Netzwerk-Hardware im Unternehmen mit ein. Dazu kommen die Absicherung der Software und die Schulung der Mitarbeiter.

Erste Schritte zur Absicherung einer Exchange-Umgebung

Mit Reverse-Proxys wie Microsoft Forefront Threat Management Gateway, lassen sich Exchange-Server durch Angreifer aus dem Internet absichern.

Es gibt einige offensichtliche Aktionen, mit denen Sie Ihre Exchange-Umgebung einigermaßen sicher betreiben können. Zuerst kommt die physische Absicherung der Server und des eigentlichen Netzwerks. Segmentierung des Netzwerks, Firewalls, Reverse-Proxys, sichere Router und Switches sowie andere Geräte spielen hier eine wichtige Rolle.

Zwischen Exchange-Servern sollten allerdings keine aktiven Firewalls positioniert sein, die den Datenverkehr zwischen den Servern filtern. Dadurch erhöht sich zwar die Sicherheit der Server, dafür wird aber die Leistung und Stabilität deutlich beeinträchtigt. Exchange-Server müssen untereinander kommunizieren können, ohne dass Pakete gelöscht oder geändert werden. Was sich in diesem Bereich aber anbietet, ist Server-zu-Server- und Client-zu-Server-Verschlüsselung auf Basis von IPSec.

Weitere Maßnahmen zur Erhöhung der Exchange-Sicherheit

Eine der größten Sicherheitsrisiken beim Einsatz lokaler Exchange-Server ist die Authentifizierung der Anwender. Unternehmen sollte starke Authentifizierungs-Mechanismen integrieren, um sicherzustellen, dass keine externen Angreifer Zugriff auf die Daten erhalten. Gute Authentifizierungs-Technologien sichern eine Exchange-Infrastruktur merklich ab und verringern das Risiko von Angriffen. Dabei sollten Unternehmen nicht nur auf Benutzernamen/Kennwort-Technologien setzen. Exchange unterstützt auch die Authentifizierung mit Smartcards. Anwendungen wie RSA ermöglichen noch die Integration von Zwei-Wege-Authentifizierungsmaßnahmen. Sobald aber zusätzliche Software-Sicherungen von Drittherstellern integriert werden, erhöht sich auch die Komplexität für Anwender und die Verwaltung der Umgebung durch Administratoren.

Role Based Access Control in Exchange 2010/2013

Ebenfalls ein wichtiges Thema in der Verwaltung lokaler Exchange-Umgebungen ist Role Based Access Control (RBAC). Hierbei handelt es sich um eine in Exchange integrierte Funktion zur stufenweise abgesicherten Berechtigung von Administratoren. Übergeordnete Administratoren können untergeordneten Kollegen genau die Berechtigungen zuteilen, die diese benötigen. Rechte, die der Administrator nicht braucht, werden ihm so auch nicht zugewiesen. Vor Exchange 2010 mussten Administratoren in diesem Bereich mit Access Control Lists (ACL) arbeiten. In Exchange 2010 und 2013 lassen sich hier Rollen zuweisen und Rechte deutlich effizienter und abgesicherter zuweisen. Es gibt eine Reihe von Regeln, Gruppen und Verwaltungsrollengruppen.

Die rollenbasierte Zugriffsberechtigung (RBAC) ist ein wesentliches Sicherheitsmodell bei Exchange 2010/2013.

Rollen weisen Administratoren dann wiederum Sicherheitsgruppen in Active Directory zu. Einzelne Benutzer werden dann durch Hinzufügen zu den Sicherheitsgruppen berechtigt. Entfernen Administratoren die Anwender wieder, sind die Rechte auch wieder zurückgesetzt. Das alles geht, ohne in das Rechtemodell von Exchange eingreifen zu müssen. Das Konzept können Sie sogar noch erweitern, indem Sie die Rechte nur temporär setzen und Administratoren wieder aus den Sicherheitsgruppen entfernen, wenn sie diese Rechte nicht mehr benötigen.

Die Konfiguration von RBAC kann in der grafischen Oberfläche oder mit Zusatztools erfolgen. Allerdings werden im Grunde genommen hier vor allemPowerShell-Befehle ausgeführt. RBAC übernimmt sozusagen nur das Zuweisen von Rechten auf Basis der Authentifizierung des Administrators. Haben Administratoren aber über Umwege Zugriff auf das Active-Directory-Schema oder Attribute in Active Directory, können sie sich so auch Rechte in Exchange erschleichen, ohne tatsächlich dazu berechtigt zu sein. Das liegt an der engen Integration von Exchange in Active Directory.

Hier müssen Sie beachten, dass am Ende die Sicherheit des Unternehmens nur so gut ist, wie das schwächste Glied der Kette. Das heißt, Administratoren müssen beim Absichern von Exchange auch an Active Directory und unter Umständen auch an die Mitgliedsserver in der Domäne denken. Arbeiten Unternehmen mit getrennten Berechtigungen für Active Directory und Exchange, lassen sich die Rechte für beides getrennt konfigurieren. Diese Trennung lässt sich in Exchange gut konfigurieren, sogar bereits bei der Installation.

Sicherheit durch Protokollierung und Installation von Patches

Exchange protokolliert die Änderungen der Administratoren. Diese Protokolle lassen sich überwachen und durch Sicherheitspersonal überprüfen. So ist sichergestellt, dass alle Änderungen von Administratoren erfasst und einzelnen Administratoren zuordenbar sind. Alle Änderungen lassen sich somit leicht nachvollziehen.

Microsoft veröffentlicht regelmäßig Updates für Exchange und den zu Grunde liegenden Server. Administratoren sollten diese Patches regelmäßig installieren, da Microsoft damit Sicherheitslücken stopft oder neue Sicherheitsfunktionen integriert. Achten Sie daher vor allem auf wichtige Patches und Sicherheits-Updates. Informieren Sie sich, welche Änderungen die Patches vornehmen. Erstellen Sie einen Plan, um Patches regelmäßig zu installieren. Administratoren sollten die Patches aber auf jeden Fall erst ausführlich in einer Testumgebung überprüfen, bevor sie diese im Produktivbetrieb installieren.

Wenn Unternehmen mit Sicherheitsfragen überfordert oder der Meinung sind, dass in ihrem Netzwerk alles optimal konfiguriert ist, sollten sie den Rat von Sicherheitsexperten einholen. Fachleute kennen die Schwachstellen in Netzwerken und können umfassende Analysen erstellen. Außerdem besteht auf diesem Weg die Möglichkeit, durch eine externe und objektive Sicht auf das eigene Netzwerk die Sicherheit deutlich zu erhöhen. Von solchen Analysen profitieren dann nicht nur Exchange, sondern auch die anderen Server im Netzwerk. In diesem Fall sollten sich Unternehmen aber darauf einstellen, auch in Bereichen Änderungen für die IT-Sicherheit vorzunehmen, in denen sie nicht damit gerechnet hatten.

Artikel wurde zuletzt im November 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Anwendungen

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close