Bundesamt für Sicherheit in der Informationstechnik

M 2.482 Regelmäßige Sicherheitsprüfungen für Exchange-Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Revisor

Die Sicherheit eines Microsoft Exchange-Systems kann nur dann auf Dauer gewährleistet werden, wenn dieses regelmäßig auf Fehlkonfigurationen und Schwachstellen geprüft wird.

Sicherheitsprüfungen sollten in regelmäßigen Abständen durch unter-schiedliche Personen erfolgen. So sollten beispielsweise Administratoren in relativ kurzen Abständen (etwa monatlich) Kurzprüfungen durchführen. Es empfiehlt sich dabei, eine Prüfliste aufzubauen, damit ein definierter Prüfumfang gewährleistet ist. Festgestellte kleinere Probleme können meist sofort durch die Administratoren korrigiert werden, größere Probleme sind entsprechend der Prozessvorgaben weiter zumelden. In mittleren Zeitabständen (mehrere Monate) sollten Sicherheitsprüfungen durch andere, interne Rollen (z. B. Informationssicherheit, IT-Revision) erfolgen. In längeren Zeitabständen können dann auch Prüfungen durch externe Prüfer sinnvoll sein.

Folgende Aspekte sind bei Prüfungen zu berücksichtigen:

Regelmäßige Recherche von sicherheitsrelevanten Informationen

Generell müssen sich Administratoren und für die Informationssicherheit verantwortliche Personen regelmäßig über Neuerungen und Änderungen informieren, die die verantworteten Systeme betreffen. Dazu sind insbesondere die Microsoft-Informationsquellen regelmäßig zu sichten (siehe dazu auch M 2.480 Nutzung der Exchange- und Outlook-Dokumentation ).

Berechtigungen für Revisionsbenutzer

Für das Benutzerkonto, das zur Prüfung der Systemkonfiguration durch externe Personen genutzt wird, sollten nur lesende Berechtigungen vergeben sein. Veränderungen dürfen durch den Revisionsbenutzer nicht durchgeführt werden. Können die Berechtigungen des Revisionsbenutzers nicht auf den lesenden Zugriff beschränkt werden, so darf der Zugriff nur im Vier-Augen-Prinzip erfolgen.

Regelmäßige Prüfung der Berechtigungen

Das vollständige Prüfen von Berechtigungen ist in der Regel aufgrund des Mengengerüstes eines Exchange-Systems nicht manuell möglich. Daher ist ein gutes Berechtigungskonzept unbedingt notwendig. Aber auch dann müssen die Berechtigungen regelmäßig auf Konsistenz mit dem Berechtigungskonzept geprüft werden. Hier können Stichproben für wichtige Benutzergruppen durchgeführt werden. Das Berechtigungskonzept muss sicherstellen, dass Prozesse aufgesetzt sind, die verhindern, dass Berechtigungen angesammelt werden.

Benutzerberechtigungen sollten regelmäßig geprüft werden. Folgende Informationen sind dabei sicherheitsrelevant:

  • Benutzer mit kritischen Berechtigungen
    Es sollte ein Abgleich mit dem Berechtigungskonzept erfolgen.
  • Änderungsbelege für Benutzer, Rollenzuordnungen, Rollen, Profile und Berechtigungen
  • Hierbei ist insbesondere auf Änderungen an administrativen Objekten zu prüfen.

Aktualität der Updates prüfen

Für das Microsoft Exchange-System ist die Aktualität der installierten Updates zu prüfen. Der aktuelle Patch-Stand des Systems muss dann mit den verfügbaren Patches verglichen werden. Dies erfordert, dass dem Prüfer die von Microsoft verfügbaren Patches bekannt sind. Die Prüfung muss auch auf Fehler oder Warnungen bei Updates erfolgen.

Sicherheit der Kommunikationsschnittstellen prüfen

Die Sicherheit der unterschiedlichen Kommunikationsschnittstellen (siehe auch M 5.100 Absicherung der Kommunikation von und zu Exchange-Systemen ) sollte geprüft werden. Hier ist insbesondere zu prüfen, wer administrative Berechtigungen besitzt und welche Dienste und Funktionen verfügbar sind.

Bei der Microsoft Exchange Version 2010 wird beispielsweise die Überwachung und Protokollierung eines Exchange Servers über das Microsoft Operations Framework (siehe Microsoft Technet "Monitoring and Operations Management: Exchange 2007 Help") analog Microsoft Exchange 2007 realisiert.

Prüffragen:

  • Wird jedes Microsoft Exchange-System regelmäßig einer Sicherheitsprüfung unterzogen?

  • Werden die Exchange-Berechtigungen regelmäßig mindestens stichprobenartig geprüft?

  • Ist das Microsoft Exchange-System auf einem aktuellen Patch-Stand?

Stand: 13. EL Stand 2013