Benötigen Unternehmen Drittanbieter-Tools für die Sicherheit in Exchange?

Sicherheitsoptionen und -Tools spielen vor allem bei E-Mail-Systemen wie Exchange eine wichtige Rolle. Wir geben Tipps, was Sie bachten sollten.

Dieser Artikel behandelt

Exchange-Management

Seit Exchange 2007 wurden die Messaging-Plattform und die zugrunde liegenden Betriebssysteme immer weiter entwickelt...

und sind robuster geworden. Microsoft hat in Exchange Server 2013 Enterprise-Sicherheitsfunktionen und einen Virenschutz hinzugefügt. Da aber auch die Hacker besser geworden sind, stellt sie die Frage: Können Unternehmen Microsoft vertrauen, alles richtig zu machen, wenn es um die heutigen Informationsrisiken geht?

Ich bin überzeugt, dass die generelle Sicherheit und die nativen Sicherheitsfunktionen in Exchange und Windows gut sind. Ich glaube aber auch, dass einiges verbesserungswürdig ist. Wenn die Admins zugeben, dass sie die E-Mail-Sicherheit nicht im Griff haben, ist es höchste Zeit für eine Strukturveränderung. Denn wenn nicht mal Systemadministratoren von der Sicherheit überzeugt sind, sind Security-Probleme programmiert. Neben den Bordmitteln von Microsoft und Zusatzprodukten wie System Center gibt es viele Anti-Malware-Tools von Drittanbieter, Audit-Protokollierung sowie Spam- und Content-Filter.

Um bei der E-Mail-Sicherheit sozusagen auf der grünen Weise und mit weißer Weste beginnen zu können, sollten Administratoren den aktuellen Zustand ihrer Exchange-Umgebung kennen. Hier bieten sich neun Fragen an, um herauszufinden, wie die Dinge stehen, welche Optionen und Einstellungen für die E-Mail-Sicherheit notwendig sind und welche Tools und Programme es gibt, um die Sicherheit zu erhöhen. Manchmal ist es auch an der Zeit, Produkte zu entfernen oder andere zu installieren. Das gilt vor allem bei Antivirenprodukten und Anwendungen, mit denen Exchange im Internet bereitgestellt wird.

  1. Administratoren müssen die Gefahren für das Netzwerk und die Daten verstehen. Dazu gehört es, zu wissen, wer Zugriff auf welche Daten hat – Nachrichten, öffentliche Ordner, Kalender und auch der Serverzugriff müssen bekannt und protokolliert sein. Wie sehen die Sicherheitsstandards im Unternehmen aus, vor allem im Bereich Passwörter, Verschlüsselung und mobiler Zugriff über ActiveSync? Welche Richtlinien gibt es im Unternehmen, und wie werden sie definiert, angepasst und umgesetzt? Häufig werden leitende Angestellte und das Management weniger restriktiv behandelt. Aber gerade an dieser Stelle lauern Sicherheitsgefahren, da hier wichtige Informationen ausgetauscht und gespeichert werden. Darüber hinaus müssen Administratoren verstehen, welche Lücken in ihrer Umgebung existieren und wie diese vollständig gesichert werden. Sämtliche Gefahren für die Sicherheit müssen erfasst, protokolliert und blockiert werden.
  2. Wie ist es um den Zeitfaktor bestellt? Haben Administratoren im Unternehmen überhaupt Zeit, ihre Umgebung unter Kontrolle zu halten, und gibt es genügend Personal? Zeit ist die knappste Ressource von IT-Profis und in vielen Unternehmen wird das E-Mail-System mehr oder weniger sich selbst überlassen. Hier müssen Admins eingreifen. Es ist wichtig, der Sicherheit genügend Zeit zu widmen. Außerdem muss Zeit frei sein, um Notfälle zu beheben. Hier müssen Verantwortliche im Unternehmen eingreifen: Wird die Zeit der IT-Verantwortlichen so verwaltet, dass die Mitarbeiter das tun können, was wirklich notwendig ist? Ist Zeit für die Sicherheit des E-Mail-Systems eingeplant? Wenn ein Upgrade auf ein neues Handels-, Geschäfts- oder Drittanbieter-Sicherheits-Tool gemacht wird oder ein neues Produkt angeschafft wird, kann das einen großen Zeitunterschied bedeuten, vor allem bei Sicherheitseinstellungen.
  3. Sind die im Unternehmen integrierten Exchange- und Windows-Sicherheitskontrollen hilfreich für die Security-Ziele? Die Antwort lautet wahrscheinlich: derzeit nicht – vor allem wenn Administratoren eine neue, umfassende Analyse machen. Sind die Kontrollen und Sicherheitsfunktionen nicht ausreichend, sollten Unternehmen bei Sicherheitsfragen einen externen Berater beauftragen. Dieser bietet eine unvoreingenommene Perspektive und findet oft weniger offensichtliche Sicherheitsmängel oder Workflow-Probleme. Externe Berater können in dieser Hinsicht auch Fehlerbehebungen und Optimierungen empfehlen.
  4. Wie tief verwurzelt sind Personalabteilung und Rechtsabteilung in der Messaging-Umgebung? Wie informiert sind diese Abteilungen bei der Einhaltung von Bundesgesetzen oder EU-Recht, einschließlich der rechtssicheren Aufbewahrung von E-Mails? Wer bestimmt die Abläufe und wer kontrolliert sie? Wenn Administratoren der Meinung sind, solche Funktionen nicht sicherstellen zu können, sollten Verantwortliche darüber informiert und eine Lösung gefunden werden. Keine Lösung ist es, das Problem zu ignorieren. Unternehmen sollten E-Mail-Sicherheits-Tools im Einsatz haben, vor allem wenn es um Governance und Compliance geht.
  5. Was sehen Ihre Mobility-Pläne aus? Wenn Ihre Organisation handelt wie die meisten, wird der mobile Zugriff mit ActiveSync-Richtlinien geregelt. Oft reichen diese aber nicht dazu aus, alle mobilen Systeme einer Organisation effizient zu nutzen. Diese Richtlinien sind nicht skalierbar. Es gibt eine Handvoll guter Mobile-Device-Management (MDM)-Produkte, die Administratoren helfen, dieses Problem zu lösen. Es ist wichtig, dass Smartphones und Tablets, aber auch Notebooks und andere Geräte optimal abgesichert und überwacht werden. Auch Sicherheitsoptionen müssen gesetzt, verwaltet und überwacht werden.
  6. Erleichtert Outsourcing die Arbeit der IT-Abteilung? Wenn Unternehmen es richtig anstellen, wird IT-Outsourcing fast immer die Arbeit der IT-Abteilung erleichtern. Administratoren werden zwar nicht alle Aufgaben abgeben können, vor allem in großen Unternehmen. Das ist auch nicht sinnvoll, denn Angestellte sind bei Sicherheits-Audits durchaus sinnvoll einsetzbar. Es sollte aber möglich sein, zumindest die Hälfte der Zeit durch IT-Outsourcing zu sparen. Nur noch halb so lang für die Aktualisierung, Verwaltung und Überwachung der Exchange-Sicherheit zu benötigen kann einen Unterschied machen. Außerdem lassen sich Sicherheitsbereiche von E-Mail-Systemen ohne Zeitdruck wesentlich effizienter und belastbarer konfigurieren, da sich keine Flüchtigkeitsfehler einschleichen.
  7. Wie belastbar ist die Umgebung für Fehler und Ausfälle der Drittanbieter-Service-Provider? Häufig ist nicht die eigene Hard- oder Software für Probleme, Sicherheitslücken oder Ausfälle verantwortlich. Administratoren müssen für die Ausfälle von Internetdienstleistern wie Google, Amazon (AWS), Microsoft Azure und andere Cloud-Anbieter Maßnahmen vorbereiten und Ausfallpläne erstellen. Große Unternehmen wollen keine unsichere Umgebung, die ausfällt, und sie wollen auch keine unsichere E-Mail-Umgebung, die ständig ausfällt. Administratoren und Unternehmen müssen einen guten Kompromiss finden.
  8. Haben die NSA-Enthüllungen Sie dabei beeinflusst, wie Ihre Firma mit Drittanbietern umgeht, die Zugang zu kritischen Systemen haben? Die Verantwortlichen, das Management und die Rechtsabteilung müssen auf Basis der Spionagevorfälle Bestimmungen für das Unternehmen festlegen. Kein Unternehmen will Sicherheitsverletzungen riskieren. Firmen brauchen eine gut abgestimmte Vorgehensweise für die Verwendung von Drittanbieter-Tools und Dienstleistungen für Microsoft Exchange.
  9. Hat die IT-Abteilung genügend Budget und Unterstützung? Budgetbeschränkungen sind eine häufige Ursache, dass die meisten Sicherheitslücken nicht geschlossen werden können, vor allem bei E-Mail-Systemen. Leider gehen viele Verantwortliche davon aus, dass das E-Mail-System immer verfügbar sein muss, aber nur so viel Geld wie unbedingt nötig kosten darf. Viele Manager sehen die IT-Abteilung in der Verantwortung, verstehen aber nicht die Aufgaben und Sicherheitsgefahren von E-Mail-Systemen. Sobald etwas nicht funktioniert, wird die IT-Abteilung dafür verantwortlich gemacht. Da Sicherheitsanwendungen die Struktur komplizierter machen, ist auch die Ausfallgefahr größer. Hier muss das Management genau verstehen, welche Sicherheitsgefahren bestehen, wie sich diese im Ernstfall äußern und warum diese geschlossen werden müssen. Auch eine grundlegende Erläuterung, wie die Sicherheitslösung funktioniert, ist sinnvoll. Je mehr die Manager von den Risiken verstehen, umso mehr Budget wird zur Verfügung gestellt.

So schwer es für IT-Experten in Unternehmen ist, Veränderung herbeizuführen und eine gewisse Kontrolle des E-Mail-Systems abzugeben – manchmal ist es genau das, was nötig ist, um Schwachstellen zu minimieren.

Unternehmen sollten Security-Anbietern nicht alles glauben und nicht jede Sicherheitssoftware kaufen. Und Admins sollten genau wissen und dokumentieren, was ihr Unternehmen braucht. Jeder Analyst, Wirtschaftsprüfer und Systemintegrator hat seine Meinung, wenn es um E-Mail-Sicherheits-Tools geht. Solange keiner gesehen hat, wie das E-Mail-System im Unternehmen funktioniert, und solange keiner das aktuelle Umfeld sowie die Informationsrisiken im Unternehmen kennt, sind Sicherheitsempfehlungen nutzlos.

Administratoren sollten einen Schritt zurück machen und über ihre Möglichkeeiten für Exchange- Sicherheits-Tools nachdenken. Selbst wenn Schwachstellen-Scans und IT-Audits sauber aussehen und generell keine Sicherheitslücken zu finden sind, gibt es immer Raum für Verbesserungen bei der Verwaltung von Sicherheitsrisiken in Exchange.

Über den Autor: 

Kevin Beaver arbeitet als Berater, Gutachter und Referent zum Thema Informationssicherheit für Principle Logic LLC. Sein Spezialgebiet sind unabhängige Sicherheits-Assessments und Risikomanagementanalysen. Beaver ist zudem Autor und Co-Autor zahlreicher Bücher, darunter „The Practical Guide to HIPAA Privacy and Security Compliance“ und „Hacking for Dummies“.

Folgen Sie SearchEnterpriseSoftware auf Twitter @sentsoftwarede.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Exchange-Management

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close