B 5.12 Exchange 2000 / Outlook 2000

Logo Exchange 2000 / Outlook 2000

Beschreibung

Der Exchange 2000 Server ist ein Managementsystem für Nachrichten, das überdies Funktionen im Bereich der Workflow-Unterstützung bietet. Es ist dazu gedacht, in mittleren bis großen Behörden bzw. Unternehmen den internen und externen E-Mail-Verkehr zu regeln. Ebenso werden Newsgroups, Kalender und Aufgabenlisten von Exchange verwaltet.

Outlook 2000 ist ein E-Mail-Client, der Bestandteil des Office 2000 Paketes von Microsoft ist. Neben der reinen E-Mail-Funktionalität bietet er eine Reihe von Zusatzfunktionen, die den Arbeitsprozess in Unternehmen und Behörden erleichtern sollen.

Es handelt sich hierbei um eine typische Client-Server-Anwendung, wobei Exchange 2000 die Server- und Outlook 2000 die Client-Komponente darstellt.

Unterschiede zur Vorgängerversion Exchange 5.5

Die Vorgängerversion von Exchange 2000 Server ist der Exchange 5.5 Server. Zwischen diesen Versionen besteht konzeptionell ein gravierender Unterschied. Exchange 2000 Server integriert sich tief in das Betriebssystem Windows 2000, speziell in das Active Directory. Dies betrifft die Organisation des Exchange Systems, dessen Administration und besonders auch die Sicherheit des Gesamtsystems durch die Verwendung der Systemrichtlinien von Windows 2000.

Das Standort-Konzept (Site) von Exchange 5.5 wurde fallen gelassen und stattdessen das Forest-Konzept von Windows 2000 übernommen, denen sich sogenannte Routing Groups von Exchange 2000 Servern unterordnen. Darüber hinaus haben sich interne Kommunikationsprotokolle geändert. Beispielsweise basiert in der neuen Version die interne E-Mail-Kommunikation innerhalb einer Routing Group ausschließlich auf dem "klassischen" Simple Mail Transfer Protocol (SMTP) anstelle der zuvor verwendeten Remote Procedure Calls (RPCs).

Weitere Unterschiede ergeben sich aus einer erweiterten Funktionalität und einer Vergrößerung des Leistungsspektrums: Die E-Mail- und Nachrichten-Datenbanken können in separat verwaltete Teile partitioniert und auf verschiedene Server verteilt werden. Dies dient zum einen der Skalierbarkeit des Systems und erhöht zum anderen auch die Ausfallsicherheit. Weiterhin wird eine verteilte Konfiguration unterstützt, eine vereinheitlichte Administration über die Microsoft Management Console (MMC) ermöglicht, mehrfache öffentliche Verzeichnisse bereitgestellt, Video- und Datenkonferenzen ermöglicht und Instant Messaging unterstützt.

Exchange 2000 Server integriert außerdem in hohem Maße die Internet Information Services (IIS) von Windows 2000. Dies führt zu zusätzlichen Gefährdungen und ist für einen gesicherten Betrieb des Systems unbedingt zu berücksichtigen. Betroffen ist davon unter anderem der sogenannte Web Store (Installable File System - IFS), der den lokalen und den entfernten (remote) Zugriff auf das Dateisystem erlaubt. Das Laufwerk M (Standardeinstellung) eines jeden Rechners, auf dem Exchange 2000 installiert wird, bietet einen direkten Zugang über das Dateisystem auf diesen Web Store. Dieses Laufwerk erhält automatisch eine Netzfreigabe, so dass weitere Applikationen darauf zugreifen können. Ein weiterer Punkt sind die Web Forms, die vom Exchange 2000 Server direkt an Browser übermittelt werden, um interaktive Arbeitsprozesse über Browser zu ermöglichen.

Zwischen der Exchange Store Architektur und den Internet Access Protokollen liegt eine spezielle Schicht, der Exchange Interprocess Communication Layer EXIPC, auch Epoxy-Layer genannt. Dieser besteht aus einem asynchron geteilten Speicherbereich, in welchem sowohl der Prozess STORE.EXE als auch die IIS-Protokolle Daten lesen und schreiben können. STORE.EXE ist ein wesentlicher Prozess des Exchange Servers. Dadurch wird ein schneller Datenaustausch ermöglicht, der aus Sicherheitssicht jedoch auch problematisch ist.

Die Zusammenarbeit von Client mit Server lässt sich auf vielfältige Art und Weise konfigurieren und betreiben. Hier ergeben sich zum Teil erhebliche Unterschiede in Bezug auf die Sicherheit. Weiterhin ist es möglich, den Exchange 2000 Server so zu konfigurieren, dass mittels des sogenannten Outlook Web Access (OWA) direkt über das Internet zugegriffen werden kann. Dies ist von erheblicher sicherheitstechnischer Relevanz, siehe M 4.164 Browser-Zugriff auf Exchange 2000.

Allgemeine Gesichtspunkte beim Betrieb eines E-Mail-Systems

Für einen sicheren Betrieb des Exchange 2000 Systems gelten auch allgemeine Sicherheitsaspekte eines E-Mail-Systems, wie z. B. die Frage der Internet-Anbindung, eventuelle unterliegende Verschlüsselungsmaßnahmen, Behandlung aktiver Inhalte, Einsatz von Anti-Viren-Software und vieles mehr. Diesbezüglich wird auf den Baustein B 5.3 Groupware verwiesen. Die dort dargestellten Gefährdungen und Maßnahmen besitzen im Kontext von Exchange/Outlook 2000 uneingeschränkte Gültigkeit.

Wie in der bisherigen Übersicht dargestellt, spielt die Sicherheit von Windows 2000 eine zentrale Rolle für die Sicherheit von Exchange bzw. Outlook. Dies gilt sowohl für die Server als auch die Clients des betrachteten Netzes. In diesem Zusammenhang sei auf die Bausteine B 3.106 Server unter Windows 2000 und B 3.207 Client unter Windows 2000 sowie die dort aufgeführten Gefährdungen und Maßnahmen verwiesen.

Eine Ende-zu-Ende-Sicherheit auf Anwendungsebene (hier: Outlook-Client) kann mittels Verschlüsselung und Signatur von elektronischen Nachrichten erzielt werden. Die Konfiguration und der Betrieb eines solchen Systems setzen dabei entweder die Verwendung der Microsoft Public Key Infrastruktur (PKI) oder eine Plug-In-Lösung eines Drittherstellers voraus. Theoretisch ist es natürlich möglich, gänzlich auf eine PKI zu verzichten, jedoch sind dann die bekannten Skalierungsprobleme im Schlüsselmanagement oder die Probleme der Vertrauensbeziehungen zu lösen.

Betrachtete Versionen

Im folgenden sind die derzeit aktuellen (Stand Oktober 2001) Produktversionen aufgeführt. In der Folge bezeichnet Exchange 2000 Server jede dieser Produktausprägungen:

In diesem Baustein wird die englischsprachige Version des Produktes Exchange 2000 betrachtet. Dies erfolgt vor dem Hintergrund der allgemeinen Empfehlung, stets diejenige Version im Betrieb einzusetzen, für welche Software-Anpassungen und Fehlerbehebungen generell als erstes verfügbar sind.

Für die Office-Anwendung Outlook 2000 wird die deutsche Version betrachtet, da diese in deutschsprachigen Behörden und Unternehmen eine größere Verbreitung findet als die entsprechende englischsprachige Ausgabe.

Für ein Exchange/Outlook 2000 System können folgende Sicherheitsziele unterschieden werden:

Gefährdungslage

Für den IT-Grundschutz eines Exchange 2000 Systems inklusive zugeordneter Outlook 2000 Clients werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

- G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.55 Ungeordnete Groupware-Nutzung
- G 2.91 Fehlerhafte Planung der Migration von Exchange 5.5 nach Exchange 2000
- G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange
- G 2.95 Fehlendes Konzept zur Anbindung anderer E-Mail-Systeme an Exchange/Outlook

Menschliche Fehlhandlungen

- G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
- G 3.9 Fehlerhafte Administration von IT-Systemen
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.60 Fehlerhafte Konfiguration von Exchange 2000 Servern
- G 3.61 Fehlerhafte Konfiguration von Outlook 2000 Clients

Technisches Versagen

- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.32 Nichtzustellung einer Nachricht

Vorsätzliche Handlungen

- G 5.9 Unberechtigte IT-Nutzung
- G 5.19 Missbrauch von Benutzerrechten
- G 5.23 Schadprogramme
- G 5.77 Mitlesen von E-Mails
- G 5.83 Kompromittierung kryptographischer Schlüssel
- G 5.84 Gefälschte Zertifikate
- G 5.85 Integritätsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Zusätzlich zu der Absicherung der Komponenten von Exchange bzw. Outlook muss noch ein spezifisches Sicherheitskonzept erstellt werden, das sich konsistent in das bestehende betriebsweite Sicherheitskonzept integrieren lässt. Das Exchange/Outlook-System muss so konfiguriert werden, dass bereits bestehende Sicherheitsanforderungen umgesetzt werden. Darüber hinaus sind weitere, für Exchange bzw. Outlook spezifische Anforderungen zu erfüllen.

Ein Exchange/Outlook-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, die den Zugriff auf das interne Netz von außen kontrollieren. Hierbei sind insbesondere Firewall-Systeme und Systeme zur Fernwartung zu nennen, mit denen Exchange 2000 zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der für Exchange bzw. Outlook spezifischen Maßnahmen stets auch die entsprechenden Empfehlungen aus den jeweiligen Bausteinen zusätzlich betroffener Systeme zu berücksichtigen. Neben den Bausteinen der Schicht 3 sind unter anderem auch die folgenden Bausteine zu nennen:

Für die erfolgreiche Implementierung eines Exchange/Outlook-Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Installation bis hin zum Betrieb. Die einzelnen Schritte sowie die jeweiligen Maßnahmen, die auf diesem Weg zu beachten sind, sind nachstehend zusammengefasst:

Nachfolgend wird das Maßnahmenbündel für den Einsatz von Exchange 2000 und Outlook 2000 vorgestellt.

Planung und Konzeption

- M 2.247 (A) Planung des Einsatzes von Exchange/Outlook 2000
- M 2.248 (A) Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000
- M 2.249 (B) Planung der Migration von Exchange 5.5-Servern nach Exchange 2000

Umsetzung

- M 3.31 (A) Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 für Administratoren
- M 3.32 (A) Schulung zu Sicherheitsmechanismen von Outlook 2000 für Benutzer
- M 4.161 (A) Sichere Installation von Exchange/Outlook 2000
- M 4.162 (A) Sichere Konfiguration von Exchange 2000 Servern
- M 4.163 (A) Zugriffsrechte auf Exchange 2000 Objekte
- M 4.164 (A) Browser-Zugriff auf Exchange 2000
- M 4.165 (A) Sichere Konfiguration von Outlook 2000
- M 5.99 (C) SSL/TLS-Absicherung für Exchange 2000

Betrieb

- M 4.166 (A) Sicherer Betrieb von Exchange/Outlook 2000
- M 4.167 (B) Überwachung und Protokollierung von Exchange 2000 Systemen
- M 5.100 (Z) Einsatz von Verschlüsselungs- und Signaturverfahren für die Exchange 2000 Kommunikation

Notfallvorsorge

- M 6.82 (C) Erstellen eines Notfallplans für den Ausfall von Exchange-Systemen