Bundesamt für Sicherheit in der Informationstechnik

B 5.12 Microsoft Exchange/Outlook

Logo Exchange 2000 / Outlook 2000

Beschreibung

Microsoft Exchange ist ein Managementsystem für elektronische Nachrichten, das überdies Funktionen im Bereich der Workflow-Unterstützung bietet. Es ist unter anderem dazu gedacht, in mittleren bis großen Institutionen den internen und externen Austausch von Nachrichten, wie z. B. E-Mails, zu ermöglichen. Die Nachrichten können mit Exchange verwaltet, zugestellt, gefiltert und versendet werden. Ebenso werden typische Kommunikationsanwendungen wie Newsgroups, Kalender und Aufgabenlisten sowie Unified Messaging (Vereinheitlichung ein- und ausgehender Nachrichten) angeboten und von Exchange verwaltet.

Microsoft Outlook ist ein E-Mail-Client, der Bestandteil des Office Paketes von Microsoft ist. Neben den reinen E-Mail-Funktionen bietet er eine Reihe von Zusatzfunktionen, die Geschäftsprozessabwicklungen ( z. B. Kommunikation, Messaging) in Unternehmen und Behörden erleichtern sollen.

In diesem Baustein werden Sicherheitsempfehlungen gegeben, die sich in der Regel auf die Funktionen von Microsoft Exchange 2010 bzw. Microsoft Outlook 2010 beziehen. Sie können in ähnlicher Form auch für Vor- und Nachgängerversionen verwendet werden.

Gefährdungslage

Für den IT-Grundschutz von Kommunikationssystemen auf der Basis von Microsoft Exchange Servern und Microsoft Outlook Clients werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.1 Personalausfall
G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
G 2.55 Ungeordnete Groupware-Nutzung
G 2.91 Fehlerhafte Planung der Migration von Exchange
G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange
G 2.95 Fehlendes Konzept zur Anbindung anderer Systeme an Exchange

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.38 Konfigurations- und Bedienungsfehler
G 3.60 Fehlerhafte Konfiguration von Exchange
G 3.61 Fehlerhafte Konfiguration von Outlook

Technisches Versagen

G 4.20 Überlastung von Informationssystemen
G 4.22 Software-Schwachstellen oder -Fehler
G 4.26 Ausfall einer Datenbank
G 4.28 Verlust von Daten einer Datenbank
G 4.32 Nichtzustellung einer Nachricht
G 4.35 Unsichere kryptographische Algorithmen
G 4.83 Fehlfunktionen selbstentwickelter Makros unter Outlook

Vorsätzliche Handlungen

G 5.9 Unberechtigte IT-Nutzung
G 5.19 Missbrauch von Benutzerrechten
G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
G 5.23 Schadprogramme
G 5.77 Mitlesen von E-Mails
G 5.83 Kompromittierung kryptographischer Schlüssel
G 5.84 Gefälschte Zertifikate
G 5.135 SPIT und Vishing
G 5.163 Angriffe auf Exchange-Systeme
G 5.164 Missbrauch von Programmierschnittstellen unter Outlook

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für einen sicheren Betrieb eines Microsoft-Exchange-Systems sind auch allgemeine Informationssicherheitsaspekte eines E-Mail-Systems zu behandeln, wie z. B. die Frage der Internet-Anbindung, eventuelle unterliegende Verschlüsselungsmaßnahmen, Behandlung aktiver Inhalte, Einsatz von Anti-Viren-Software und vieles mehr. Diesbezüglich wird auf den Baustein B 5.3 Groupware verwiesen. Die dort dargestellten Gefährdungen und Maßnahmen besitzen im Kontext von Microsoft Exchange/Outlook uneingeschränkte Gültigkeit.

Zu diesem Baustein sind außerdem auf den IT-Grundschutz-Webseiten Hilfsmittel veröffentlicht, die die Hinweise und Sicherheitsvorgaben zu Microsoft Exchange Server 2010 und Microsoft Outlook 2010 konkretisieren. Diese Hilfsmittel sind als detaillierte Verweise auf die hier aufgeführten Maßnahmen zu verstehen. Es werden zu allen jeweils relevanten Maßnahmen entsprechende Empfehlungen und Sicherheitsmaßnahmen zur vorliegenden Version der betrachteten Komponente ausformuliert.

Die Umsetzung der Aspekte in den nachfolgenden Maßnahmen wird durch Sicherheitsvorgaben für

  • Microsoft Exchange Server 2010 und
  • Microsoft Outlook 2010

in den Hilfsmitteln zu den IT -Grundschutz-Katalogen weiter erläutert und unterstützt.

Die Sicherheit von Windows-Betriebssystemen spielt eine zentrale Rolle für die Sicherheit von Microsoft-Exchange-Systemen. Dies gilt sowohl für die Server als auch die Clients des betrachteten Netzes. Entsprechend muss die Sicherheit des zugrunde liegenden Betriebssystems mit berücksichtigt werden. Letzteres ist jedoch nicht Bestandteil dieses Bausteins. Es wird deshalb auf die entsprechenden Beschreibungen zum sicheren Betrieb des genutzten Betriebssystems in den Bausteinen der Schicht 3 der IT-Grundschutz-Kataloge verwiesen. Von besonderer Bedeutung sind auch die von den Benutzern einzuhaltenden Sicherheitsvorkehrungen und Anweisungen.

Ein Exchange-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, die den Zugriff auf das interne Netz von außen kontrollieren. Hierbei sind insbesondere Sicherheitsgateways und Systeme zur Fernwartung zu nennen, mit denen Microsoft Exchange zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der für Microsoft Exchange bzw. Outlook spezifischen Maßnahmen stets auch die entsprechenden Empfehlungen aus den jeweiligen Bausteinen zusätzlich betroffener Systeme zu berücksichtigen. Neben den Bausteinen der Schicht 3 sind unter anderem auch die folgenden Bausteine zu berücksichtigen:

Die Schritte, die in den jeweiligen Phasen beachtet werden sollten, sind im Folgenden aufgeführt:

Planungs- und Konzeptionsphase

Ist die Entscheidung für ein Exchange-System gefallen, muss dessen sicherer Einsatz geplant und konzipiert werden. Die dabei zu berücksichtigenden Aspekte sind in M 2.247 Planung des Einsatzes von Exchange und Outlook zusammengefasst. Die Sicherheit eines Exchange-Systems kann bereits in der Planungs- und Konzeptionsphase entscheidend beeinflusst werden, indem sicherheitsrelevante Aspekte berücksichtigt werden.

Besondere Aufmerksamkeit ist der Planung der Sicherheit in solchen Szenarien zu widmen, in denen Microsoft-Exchange-Systeme in typischen Internet-Szenarien eingesetzt wird. Hier muss M 2.481 Planung des Einsatzes von Exchange für Outlook Anywhere umgesetzt werden.

Umsetzung

Nachdem die organisatorischen Vorarbeiten durchgeführt worden sind, kann die Installation eines Microsoft-Exchange-Systems erfolgen. Dabei ist die Maßnahme M 4.161 Sichere Installation von Exchange-Systemen zu beachten.

Benutzer und Administratoren von Exchange-Systemen müssen ausreichend geschult werden.

Die reine Installation eines Microsoft-Exchange-Systems stellt nur einen geringen Anteil der Arbeiten dar, die in der Umsetzungsphase durchzuführen sind. Der überwiegende Arbeitsaufwand fällt nach der Installation durch die Erstkonfiguration des Microsoft-Exchange-Systems an. Durch die erste Konfiguration werden die Basissicherheit bei der Betriebsaufnahme und die Rahmenbedingungen für die zukünftige Sicherheit des Microsoft-Exchange-Systems festgelegt.

Kern eines jeden Microsoft-Exchange-Systems ist die Datenbank und die darin gehaltenen Tabellen mit den Daten. Sicherheitsprobleme im Bereich der Datenbank betreffen immer die Gesamtsicherheit des Systems. Die Empfehlungen zur Konfiguration von Exchange-Servern und Datenbank sind zusammengefasst in M 4.162 Sichere Konfiguration von Exchange-Servern .

Microsoft-Exchange-Systeme sind verteilt aufgebaut und kommunizieren daher über verschiedene Schnittstellen miteinander und mit anderen externen Client- oder Server-Systemen. Die Absicherung der Kommunikation ist daher eine wichtige Aufgabe (M 5.100 Absicherung der Kommunikation von und zu Exchange-Systemen ).

Ein Microsoft-Exchange-System muss an die lokalen funktionalen Anforderungen ( z. B. Geschäftsprozesse) einer Behörde oder eines Unternehmens angepasst werden. Dies geschieht durch das sogenannte Customizing (Anpassung an den Kunden), siehe M 2.483 Sicherheit beim Customizing von Exchange-Systemen .

Betrieb

Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Damit Sicherheitsverstöße bemerkt werden, muss eine entsprechende Überwachung des Microsoft-Exchange-Systems erfolgen (M 4.166 Sicherer Betrieb von Exchange-Systemen und M 2.482 Regelmäßige Sicherheitsprüfungen für Exchange-Systeme ).

Da ein Microsoft-Exchange-System immer Veränderungen unterworfen ist, die sich meist aus veränderten Anforderungen oder Einsatzszenarien ableiten, muss sichergestellt werden, dass das gewünschte Sicherheitsniveau aufrecht erhalten wird (siehe hierzu B 1.14 Patch- und Änderungsmanagement ). Dies trifft insbesondere für Eigenentwicklungen zu (siehe M 2.379 Software-Entwicklung durch Endbenutzer ).

Notfallvorsorge

Empfehlungen zur Notfallvorsorge für Microsoft-Exchange-Systeme finden sich in der Maßnahme M 4.166 Sicherer Betrieb von Exchange-Systemen .

Planung und Konzeption

M 2.247 (A) Planung des Einsatzes von Exchange und Outlook
M 2.249 (B) Planung der Migration von Exchange-Systemen
M 2.480 (W) Nutzung der Exchange- und Outlook-Dokumentation
M 2.481 (B) Planung des Einsatzes von Exchange für Outlook Anywhere
M 3.84 (W) Einführung in Exchange-Systeme
M 4.381 (Z) Verschlüsselung von Exchange-System-Datenbanken

Umsetzung

M 2.483 (C) Sicherheit beim Customizing von Exchange-Systemen
M 3.31 (A) Schulung zur Systemarchitektur und Sicherheit von Exchange-Systemen für Administratoren
M 3.32 (A) Schulung zu Sicherheitsmechanismen von Outlook für Benutzer
M 4.161 (A) Sichere Installation von Exchange-Systemen
M 4.162 (A) Sichere Konfiguration von Exchange-Servern
M 4.163 (A) Zugriffsrechte auf Exchange-Objekte
M 4.165 (A) Sichere Konfiguration von Outlook
M 5.100 (B) Absicherung der Kommunikation von und zu Exchange-Systemen

Betrieb

M 2.482 (B) Regelmäßige Sicherheitsprüfungen für Exchange-Systeme
M 4.166 (A) Sicherer Betrieb von Exchange-Systemen

Notfallvorsorge

M 6.149 (A) Datensicherung unter Exchange

Stand: 13. EL Stand 2013