M 3.32 Schulung zu Sicherheitsmechanismen von Outlook 2000 für Benutzer
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter
Exchange/Outlook 2000 ist ein komplexes System, so dass es bei Fehlnutzung oder Fehlkonfiguration unbeabsichtigt zu Sicherheitslücken kommen kann. Dies gilt besonders dann, wenn die Benutzer nicht hinreichend im Umgang mit Exchange/Outlook 2000 geschult sind. Zwar wird die Systemkonfiguration in der Regel so eingestellt, dass diese nur in Grenzen durch die Benutzer verändert werden kann. Unkenntnis über die einem Benutzer zur Verfügung stehenden Sicherheitsmechanismen und -einstellungen können jedoch dazu führen, dass das System unsicher genutzt wird.
Daher sollten alle Benutzer im Umgang mit Outlook 2000 geschult werden. Neben der reinen Nutzung der Client-Software ist es jedoch auch notwendig, den E-Mail-Benutzern die grundlegende Funktionsweise des Exchange 2000 Systems zu erläutern.
Den Benutzern muss insbesondere vermittelt werden, welche Sicherheitsmechanismen ihnen zur Verfügung stehen, so dass sie in der Lage sind, diese korrekt und sinnvoll einzusetzen. Eine Schulung sollte u. a. folgende Themen behandeln:
- Überblick: Zugriffskontrolle auf einen Exchange-Server
- Überblick: Zugriffskontrolle auf E-Mail-Konten
- Anerkennen von Zertifikaten (Was bedeuten Cross-Zertifikate?)
- Authentisierung an der Web-Schnittstelle sowie deren Schwächen und Stärken
- Sicherer Umgang mit Internet-Zertifikaten
- Erzwingen der Kommunikationsabsicherung: Port-Verschlüsselung und SSL-Nutzung
- Beschränkungen für die Ausführung aktiver Inhalte in Outlook 2000
- E-Mail-Verschlüsselung und E-Mail-Signaturen
- Aktivierung der erweiterten Sicherheit von Outlook 2000
- Speicherung von Benutzerprofilen
- Umgang mit Offline-Ordnern
- Sicherheitseinstellungen für persönliche Ordner (Verschlüsselung)
- Gefährdungen bei der Nutzung der Out of Office-Funktionalität
- Umgang mit Verteilerlisten
- Umgang mit Stellvertreterberechtigungen (send as)
- Verhaltensregeln für die Nutzung des Outlook Web Access (sofern diese Funktionalität überhaupt zur Verfügung gestellt wird)
- Umgang mit Outlook-Formularen
Diese Liste stellt nur einen Ausschnitt aus den notwendigen Sicherheitsthemen dar und muss organisationsspezifisch angepasst und erweitert werden. Neben der reinen Schulung zu den Sicherheitsmechanismen von Outlook 2000 müssen die Benutzer jedoch auch die geltenden Sicherheitsvorschriften kennen, damit diese bei der Nutzung der Sicherheitsmechanismen auch entsprechend umgesetzt werden können.