In der Vergangenheit wurde von Microsoft mehrfach angekündigt, dass das Service Exchange Online nicht länger Basic Auth verwenden wird um Benutzernamen und Passwörter mittels HTTPS zu übertragen. Das Datum für die Abschaltung von Basic Auth wurde immer wieder nach hinten verschoben. Am 1. September 2022 wurde angekündigt, dass diese Funktionalität nicht weiter unterstützt wird. Kunden haben eine Übergangsphase bis Ende des Jahres 2022 gewährt bekommen, sodass die Reaktivierung einmalig möglich war. aber mit Jahreswechsel ist tatsächlich Schluss. Danach kann Basic Auth nicht weiter in Exchange Online verwendet werden.
Was ist die Exchange Online Basic Auth?
Bevor wir tiefer in die Materie eintauchen, beleuchten wir, was genau Exchange Online Basic Auth ist, wofür es verwendet wird und warum es wichtig ist eine gute Alternative zu haben.
Basic Authentication
Basic Auth ist eine Abkürzung für Basic Access Authentication. Es wird verwendet um die Anmeldung mittels Benutzername und Passwort für bestimmte Protokolle zu ermöglichen. Zum ersten Mal wurde es 1993 verwendet und ist eine der einfachsten Formen von Zugriffskontrolle im Web, weil es weder Cookies braucht noch Session Identifiers oder Login Seiten.
Allerdings handelt es sich um eine Übertragung von Zugriffsdaten im Klartext. Diese sind zwar verschlüsselt, aber nur Base64 codiert. Das macht es einfach für jeden diese Zugriffsdaten zu entschlüsseln. Exchange Online hat Basic Auth unter anderem für Protokolle wie SMTP, IMAP, EAS, RPC, MAPI, OAB, EWS, POP3 und viele weitere verwendet und war eine der wesentlichsten Schwachstellen für Einbrüche in Exchange Online. Um diesen möglichen Angriffen endgültig einen Riegel vorzuschieben und die Sicherheit der Kunden und Nutzer von Exchange Online zu gewährleisten wird Basic Auth nicht länger in Exchange Online verwendet.
Warum hat Microsoft diese bekannte Schwachstelle nicht schon früher ausgemerzt? Einer der wesentlichsten Punkte hierfür ist, dass es noch einige Systeme und Software auf dem Markt gibt, die Basic Auth verwenden und brauchen. Dazu gehören zum Beispiel Drucker oder Multifunktionsgeräte mit einer Scan-to-E-Mail Funktion, oder unterschiedlichste Anwendungen wie ERP-Systeme oder CRM-Systeme, die E-Mails versenden können. Um diese Systeme weiterhin verwenden zu können, war es möglich, Basic Auth ein letztes Mal zu reaktivieren. Allerdings warnte Microsoft davor sich weiterhin auf Basic Auth zu verlassen, da das Unternehmen eine rasche Zunahme an Brute Force Angriffen festgestellt hatte. Brute Force Angriffe sind Angriffe, bei denen Kriminelle große Mengen an Zugriffsdaten ausprobieren, um zufällig (oder durch bekannte Username und Passwort Kombinationen) Zugriff auf fremde Systeme zu erlangen. Damit ist aber nun endgültig Schluss, denn sollte Microsoft nicht erneut den Termin für die Abschaltung verschieben, ist mit Jahreswechsel Basic Auth in Exchange Online Geschichte.
Exchange Online
Exchange Online ist eine von Microsoft entwickelte Email Hosting Lösung für Unternehmen. Damit können Sie Business Emails, Kalender und Kontakte sowohl auf einem Desktop, im Webbrowser oder auf dem Smartphone erhalten, verschicken, lesen und verwalten. Die Daten werden durch viele Sicherheitsfunktionalitäten wie Anti Schadsoftwarefilter oder Anti Spamfilter geschützt.
Exchange Online ist ein Abonnement Modell, bei dem Exchange nicht länger auf Servern vor Ort gehostet werden muss. Stattdessen läuft alles in der Cloud, was Unternehmen die Option bietet rasch zu skalieren, während es nicht länger nötig ist ein eigenes Server- oder Rechenzentrum zu unterhalten.
Modern Authentication
Mit der Tatsache, dass Basic Auth als zunehmend unsicher gilt, ist es klar, dass Alternativen entwickelt werden müssen. Jetzt müssen sie nur noch verwendet werden. Der einfachste Ansatz ist das Einziehen einer weiteren Authentifizierungsschicht. Dazu gibt es unterschiedliche Methoden:
- Email oder SMS Tokens
- Tokens aus Authenticator Apps
- Biometrie
- Push Nachrichten
Basic Auth kann aber mit keiner dieser Erweiterungen umgehen, sodass Modern Authentication erschaffen wurde. An sich ist Modern Authentication kein neues Protokoll. Stattdessen beschreibt es unterschiedlichste Mechanismen die es ermöglichen auf sichere und einfache Art sich durch Clients in serverbasierte Dienste anzumelden.
Durch Modern Authentication können auf einen Schlag die meisten Risiken von Basic Auth eliminiert werden. Es ist nun möglich es Angreifern deutlich zu erschweren ungewollt in das Netzwerk zu gelangen, indem technisch komplexe Anmeldeprozesse etabliert werden können. Diese Anmeldeprozesse bleiben aber für die User selbst sehr einfach, während gleichzeitig der unerlaubte Zugriff durch Hacker mit komplexen technischen Prozessen erschwert wird.
Was bedeutet das für Sie als Kunde?
In dem Ende von Basic Auth für Exchange Online, stecken mehrere Botschaften für Sie als Kunde.
Mehr Sicherheit
Durch die Verwendung von Modern Authentication anstatt Basic Auth können Sie das Sicherheitsrisiko für Ihr Unternehmen deutlich senken. Wenn Sie also noch Basic Auth im Unternehmen verwenden, sollten Sie möglichst rasch alle Basic Auth Verfahren von Ihren Admins oder den IT Dienstleistern Ihres Vertrauens verbieten lassen.
Mit Modern Authentication werden Anmeldeprozesse ermöglicht, die es Angreifern erschwert Zugriff zu erlangen und User Identitäten deutlich besser zu schützen, unabhängig davon, ob Sie eine on-premise oder hybride Exchange Umgebung verwenden. Damit können aktuellere Protokolle wie OAuth 2.0 oder SAML deployed und genutzt werden.
Wenn Sie das Upgrade nicht selbst durchführen möchten, stehen wir Ihnen selbstverständlich jederzeit zur Verfügung!
Betroffene Microsoft Dienste
Die Abschaltung von Basic Auth wird groß in den Medien veröffentlicht, und drängt rasch die Frage auf, ob noch weitere Microsoft Dienste davon betroffen sind.
Nein, tatsächlich ist wirklich nur Exchange Online davon betroffen. Warum? Alle anderen Dienste verwenden bereits Modern Auth.
Wie können wir Ihnen helfen?
Wir haben die Expertise Ihnen dabei zu helfen zu sehen, ob und wo Sie noch Basic Auth verwenden, ob Sie über die bestmögliche IT Sicherheitsstrategie verfügen und helfen Ihnen dabei diese Strategie Schritt für Schritt in die Realität umzusetzen. Gleichzeitig sind wir Ihr Partner für ein gutes IT Netzwerk und beste IT Infrastruktur, damit Sie sich ganz auf Ihr Kerngeschäft fokussieren können, während wir uns darum kümmern, dass die IT Sie bestmöglich in Ihrem täglichen Geschäft unterstützt.
Wenn Sie noch weitere Fragen zu IT- oder Netzwerk Themen haben, freuen wir uns jederzeit über Ihren Anruf oder Ihre Email!