Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange

Exchange 2000 bietet - wie auch schon Exchange 5.5 - die Möglichkeit, über einen Browser auf das eigene E-Mail-Konto zuzugreifen. Neu in Exchange 2000 ist dabei die Unterstützung des WebDAV-Protokolls, das auf HTTP aufsetzt. Dadurch kann auf das Installable File System (IFS) zugegriffen werden und damit wird die Funktionalität des Web Store und der Web Forms unterstützt. Hierzu werden die Internet Information Services (IIS) verwendet, die fester Bestandteil der Installation von Exchange 2000 Server sind.

Grundsätzlich besteht die Gefahr, dass es bei unsachgemäßer Planung und fehlerhaften Regelungen für diese Funktionalität möglich wird, unkontrolliert von außen auf das interne Netz zuzugreifen.

Fehlkonfigurationen betreffen in erster Linie die Authentisierung des Webclients gegenüber dem Exchange 2000 Server sowie die geschützte Übertragung der Informationen über das IP-Netz. Sind die geforderten Authentisierungsmethoden zu schwach, so können unter Umständen Unbefugte auf E-Mail-Daten und Systemressourcen zugreifen. Sind die eingesetzten Verschlüsselungsmechanismen nicht hinreichend stark, so besteht die Gefahr, dass Daten abgehört werden. Bei nicht ausreichenden Authentisierungs- und Verschlüsselungsmechanismen können bestehende Verbindungen unter Umständen durch unbefugte Dritte übernommen werden. Weiterhin besteht die Gefahr, dass über den OWA-Kanal Viren oder anderer schädlicher Code auf den E-Mail-Server gelangen.

Das Gefahrenpotential ist darüber hinaus vielfältig. Beispiele für weitere mögliche Folgen sind: