Bundesamt für Sicherheit in der Informationstechnik

G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange

Exchange bietet die Möglichkeit, über einen Browser auf das eigene E-Mail-Konto zuzugreifen. Hierzu werden die Internet Information Services (IIS) verwendet, die fester Bestandteil der Installation von Exchange Server sind.

Wenn diese Funktionalität unsachgemäß geplant und fehlerhaft geregelt wird, kann dadurch ermöglicht werden, unkontrolliert von außen auf das interne Netz zuzugreifen.

Fehlkonfigurationen betreffen in erster Linie die Authentisierung des Webclients gegenüber dem Exchange Server sowie die geschützte Übertragung der Informationen über das Netz. Sind die geforderten Authentisierungsmethoden zu schwach, so können unter Umständen Unbefugte auf E-Mail-Daten und Systemressourcen zugreifen. Sind die eingesetzten Verschlüsselungsmechanismen nicht hinreichend stark, so können Daten abgehört werden. Bei nicht ausreichenden Authentisierungs- und Verschlüsselungsmechanismen können bestehende Verbindungen unter Umständen durch unbefugte Dritte übernommen werden. Weiterhin können über diesen Kanal Viren oder anderer schädlicher Code auf den Exchange Server gelangen.

Das Gefahrenpotential ist darüber hinaus vielfältig. Beispiele für weitere mögliche Folgen sind:

  • E-Mail-Adressen und -Inhalte könnten ausgespäht werden.
  • Unbefugte könnten Zugriff auf E-Mail-Funktionen erlangen.
  • Spam-Angriffe könnten ermöglicht werden.
  • Unbefugte könnten interne Informationen über das Unternehmen bzw. die Behörde erlangen.
  • Es könnten sich direkte Angriffsmöglichkeiten auf das interne Netz ergeben.

Stand: 13. EL Stand 2013