Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: B 5.12 Exchange 2000 / Outlook 2000 - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 5.12 Exchange 2000 / Outlook 2000

Logo Exchange 2000 / Outlook 2000

Beschreibung

Der Exchange 2000 Server ist ein Managementsystem für Nachrichten, das überdies Funktionen im Bereich der Workflow-Unterstützung bietet. Es ist dazu gedacht, in mittleren bis großen Behörden bzw. Unternehmen den internen und externen E-Mail-Verkehr zu regeln. Ebenso werden Newsgroups, Kalender und Aufgabenlisten von Exchange verwaltet.

Outlook 2000 ist ein E-Mail-Client, der Bestandteil des Office 2000 Paketes von Microsoft ist. Neben der reinen E-Mail-Funktionalität bietet er eine Reihe von Zusatzfunktionen, die den Arbeitsprozess in Unternehmen und Behörden erleichtern sollen.

Es handelt sich hierbei um eine typische Client-Server-Anwendung, wobei Exchange 2000 die Server- und Outlook 2000 die Client-Komponente darstellt.

Unterschiede zur Vorgängerversion Exchange 5.5

Die Vorgängerversion von Exchange 2000 Server ist der Exchange 5.5 Server. Zwischen diesen Versionen besteht konzeptionell ein gravierender Unterschied. Exchange 2000 Server integriert sich tief in das Betriebssystem Windows 2000, speziell in das Active Directory. Dies betrifft die Organisation des Exchange Systems, dessen Administration und besonders auch die Sicherheit des Gesamtsystems durch die Verwendung der Systemrichtlinien von Windows 2000.

Das Standort-Konzept (Site) von Exchange 5.5 wurde fallen gelassen und stattdessen das Forest-Konzept von Windows 2000 übernommen, denen sich sogenannte Routing Groups von Exchange 2000 Servern unterordnen. Darüber hinaus haben sich interne Kommunikationsprotokolle geändert. Beispielsweise basiert in der neuen Version die interne E-Mail-Kommunikation innerhalb einer Routing Group ausschließlich auf dem "klassischen" Simple Mail Transfer Protocol (SMTP) anstelle der zuvor verwendeten Remote Procedure Calls (RPCs).

Weitere Unterschiede ergeben sich aus einer erweiterten Funktionalität und einer Vergrößerung des Leistungsspektrums: Die E-Mail- und Nachrichten-Datenbanken können in separat verwaltete Teile partitioniert und auf verschiedene Server verteilt werden. Dies dient zum einen der Skalierbarkeit des Systems und erhöht zum anderen auch die Ausfallsicherheit. Weiterhin wird eine verteilte Konfiguration unterstützt, eine vereinheitlichte Administration über die Microsoft Management Console (MMC) ermöglicht, mehrfache öffentliche Verzeichnisse bereitgestellt, Video- und Datenkonferenzen ermöglicht und Instant Messaging unterstützt.

Exchange 2000 Server integriert außerdem in hohem Maße die Internet Information Services (IIS) von Windows 2000. Dies führt zu zusätzlichen Gefährdungen und ist für einen gesicherten Betrieb des Systems unbedingt zu berücksichtigen. Betroffen ist davon unter anderem der sogenannte Web Store (Installable File System - IFS), der den lokalen und den entfernten (remote) Zugriff auf das Dateisystem erlaubt. Das Laufwerk M (Standardeinstellung) eines jeden Rechners, auf dem Exchange 2000 installiert wird, bietet einen direkten Zugang über das Dateisystem auf diesen Web Store. Dieses Laufwerk erhält automatisch eine Netzfreigabe, so dass weitere Applikationen darauf zugreifen können. Ein weiterer Punkt sind die Web Forms, die vom Exchange 2000 Server direkt an Browser übermittelt werden, um interaktive Arbeitsprozesse über Browser zu ermöglichen.

Zwischen der Exchange Store Architektur und den Internet Access Protokollen liegt eine spezielle Schicht, der Exchange Interprocess Communication Layer EXIPC, auch Epoxy-Layer genannt. Dieser besteht aus einem asynchron geteilten Speicherbereich, in welchem sowohl der Prozess STORE.EXE als auch die IIS-Protokolle Daten lesen und schreiben können. STORE.EXE ist ein wesentlicher Prozess des Exchange Servers. Dadurch wird ein schneller Datenaustausch ermöglicht, der aus Sicherheitssicht jedoch auch problematisch ist.

Die Zusammenarbeit von Client mit Server lässt sich auf vielfältige Art und Weise konfigurieren und betreiben. Hier ergeben sich zum Teil erhebliche Unterschiede in Bezug auf die Sicherheit. Weiterhin ist es möglich, den Exchange 2000 Server so zu konfigurieren, dass mittels des sogenannten Outlook Web Access (OWA) direkt über das Internet zugegriffen werden kann. Dies ist von erheblicher sicherheitstechnischer Relevanz, siehe M 4.164 Browser-Zugriff auf Exchange 2000.

Allgemeine Gesichtspunkte beim Betrieb eines E-Mail-Systems

Für einen sicheren Betrieb des Exchange 2000 Systems gelten auch allgemeine IT-Sicherheitsaspekte eines E-Mail-Systems, wie z. B. die Frage der Internet-Anbindung, eventuelle unterliegende Verschlüsselungsmaßnahmen, Behandlung aktiver Inhalte, Einsatz von Anti-Viren-Software und vieles mehr. Diesbezüglich wird auf den Baustein B 5.3 E-Mail verwiesen. Die dort dargestellten Gefährdungen und Maßnahmen besitzen im Kontext von Exchange/Outlook 2000 uneingeschränkte Gültigkeit.

Wie in der bisherigen Übersicht dargestellt, spielt die Sicherheit von Windows 2000 eine zentrale Rolle für die Sicherheit von Exchange bzw. Outlook. Dies gilt sowohl für die Server als auch die Clients des betrachteten Netzes. In diesem Zusammenhang sei auf die Bausteine B 3.106 Server unter Windows 2000 und B 3.209 Client unter Windows XP sowie die dort aufgeführten Gefährdungen und Maßnahmen verwiesen.

Eine Ende-zu-Ende-Sicherheit auf Anwendungsebene (hier: Outlook-Client) kann mittels Verschlüsselung und Signatur von elektronischen Nachrichten erzielt werden. Die Konfiguration und der Betrieb eines solchen Systems setzen dabei entweder die Verwendung der Microsoft Public Key Infrastruktur (PKI) oder eine Plug-In-Lösung eines Drittherstellers voraus. Theoretisch ist es natürlich möglich, gänzlich auf eine PKI zu verzichten, jedoch sind dann die bekannten Skalierungsprobleme im Schlüsselmanagement oder die Probleme der Vertrauensbeziehungen zu lösen.

Betrachtete Versionen

Im folgenden sind die derzeit aktuellen (Stand Oktober 2001) Produktversionen aufgeführt. In der Folge bezeichnet Exchange 2000 Server jede dieser Produktausprägungen:

In diesem Baustein wird die englischsprachige Version des Produktes Exchange 2000 betrachtet. Dies erfolgt vor dem Hintergrund der allgemeinen Empfehlung, stets diejenige Version im Betrieb einzusetzen, für welche Software-Anpassungen und Fehlerbehebungen generell als erstes verfügbar sind.

Für die Office-Anwendung Outlook 2000 wird die deutsche Version betrachtet, da diese in deutschsprachigen Behörden und Unternehmen eine größere Verbreitung findet als die entsprechende englischsprachige Ausgabe.

Für ein Exchange/Outlook 2000 System können folgende Sicherheitsziele unterschieden werden:

  1. Zugangssicherheit: Die auf einem Exchange 2000 Server gespeicherten Daten dürfen nur berechtigten Benutzern zugänglich sein. Das heißt, der Zugriff auf den Server muss entsprechend geregelt sein. Dies wird in erster Linie durch geeignete Konfiguration des Windows 2000 Servers erreicht, auf dem die Exchange Services installiert werden. Um Rollenkonflikte und erhebliche zusätzliche Risiken zu vermeiden, sollte dies grundsätzlich ein Member Server des Netzes sein und kein Domänen-Controller.
  2. Zugriffskontrolle: Neben der Kontrolle des Serverzugriffs stellt der Zugriff auf Datenbankebene (Mail Stores) einen wichtigen Sicherheitsaspekt dar. Hier lässt sich mit Hilfe der Sicherheitseinstellungen des Active Directory (Access Control Lists auf die relevanten Objekte) ein Schutz erreichen.
  3. Kommunikationssicherheit: Wenn ein E-Mail-Client auf die Daten des Exchange 2000 Servers zugreift, werden die abgerufenen Daten über eine Netzverbindung (LAN, WAN oder Internet) übertragen. Um Vertraulichkeit und Integrität der Daten zu gewährleisten, lassen sich Schutzmaßnahmen auf verschiedenen Ebenen der Übertragung durchführen.
  4. Verfügbarkeit: Um die Produktivität innerhalb eines Unternehmens bzw. einer Behörde nicht zu gefährden, sind Anforderungen an die Verfügbarkeit des Systems zu stellen. Dies umso mehr, als E-Mail oft einen entscheidenden Anteil an der Abwicklung von Geschäftsprozessen hat. Maßnahmen zum Schutz der Verfügbarkeit sind die Verteilung der E-Mail-Datenbanken auf mehrere Server, allgemeine Spiegelungstechniken sowie die Erstellung eines Notfallplans.

Gefährdungslage

Für den IT-Grundschutz eines Exchange 2000 Systems inklusive zugeordneter Outlook 2000 Clients werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt:

- G 1.2 Ausfall des IT-Systems

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.55 Ungeordnete E-Mail-Nutzung
- G 2.91 Fehlerhafte Planung der Migration von Exchange 5.5 nach Exchange 2000
- G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange
- G 2.95 Fehlendes Konzept zur Anbindung anderer E-Mail-Systeme an Exchange/Outlook

Menschliche Fehlhandlungen:

- G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.60 Fehlkonfiguration von Exchange 2000 Servern
- G 3.61 Fehlerhafte Konfiguration von Outlook 2000 Clients

Technisches Versagen:

- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.32 Nichtzustellung einer Nachricht

Vorsätzliche Handlungen:

- G 5.9 Unberechtigte IT-Nutzung
- G 5.19 Missbrauch von Benutzerrechten
- G 5.23 Computer-Viren
- G 5.77 Mitlesen von E-Mails
- G 5.83 Kompromittierung kryptographischer Schlüssel
- G 5.84 Gefälschte Zertifikate
- G 5.85 Integritätsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Zusätzlich zu der Absicherung der Komponenten von Exchange bzw. Outlook muss noch ein spezifisches Sicherheitskonzept erstellt werden, das sich konsistent in das bestehende betriebsweite Sicherheitskonzept integrieren lässt. Das Exchange/Outlook-System muss so konfiguriert werden, dass bereits bestehende Sicherheitsanforderungen umgesetzt werden. Darüber hinaus sind weitere, für Exchange bzw. Outlook spezifische Anforderungen zu erfüllen.

Ein Exchange/Outlook-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, die den Zugriff auf das interne Netz von außen kontrollieren. Hierbei sind insbesondere Firewall-Systeme und Systeme zur Fernwartung zu nennen, mit denen Exchange 2000 zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der für Exchange bzw. Outlook spezifischen Maßnahmen stets auch die entsprechenden Empfehlungen aus den jeweiligen Bausteinen zusätzlich betroffener Systeme zu berücksichtigen. Neben den Bausteinen der Schicht 3 sind unter anderem auch die folgenden Bausteine zu nennen:

Für die erfolgreiche Implementierung eines Exchange/Outlook-Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Installation bis hin zum Betrieb. Die einzelnen Schritte sowie die jeweiligen Maßnahmen, die auf diesem Weg zu beachten sind, sind nachstehend zusammengefasst:

  1. Nach der Entscheidung, Exchange 2000 als internes Kommunikationssystem einzusetzen, muss die Beschaffung der Software und eventuell zusätzlich benötigter Hardware erfolgen. Da Exchange 2000 in verschiedenen Ausprägungen erhältlich ist (siehe oben), hängt das zu beschaffende Softwareprodukt von den geplanten Einsatzszenarien ab. Daher sind folgende Maßnahmen zu ergreifen:
  2. Nachdem die organisatorischen und planerischen Vorbereitungen durchgeführt wurden, kann die Installation des Exchange/Outlook-Systems erfolgen. Folgende Maßnahmen sind dabei zu ergreifen:
  3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Dabei sind aus Sicht der IT-Sicherheit folgende Aspekte zu beachten:

Nachfolgend wird das Maßnahmenbündel für den Einsatz von Exchange 2000 und Outlook 2000 vorgestellt.

Planung und Konzeption

- M 2.247 (A) Planung des Einsatzes von Exchange/Outlook 2000
- M 2.248 (A) Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000
- M 2.249 (B) Planung der Migration von "Exchange 5.5-Servern" nach "Exchange 2000"

Umsetzung

- M 3.31 (A) Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 für Administratoren
- M 3.32 (A) Schulung zu Sicherheitsmechanismen von Outlook 2000 für Benutzer
- M 4.161 (A) Sichere Installation von Exchange/Outlook 2000
- M 4.162 (A) Sichere Konfiguration von Exchange 2000 Servern
- M 4.163 (A) Zugriffsrechte auf Exchange 2000 Objekte
- M 4.164 (A) Browser-Zugriff auf Exchange 2000
- M 4.165 (A) Sichere Konfiguration von Outlook 2000
- M 5.99 (C) SSL/TLS-Absicherung für Exchange 2000

Betrieb

- M 4.166 (A) Sicherer Betrieb von Exchange/Outlook 2000
- M 4.167 (B) Überwachung und Protokollierung von Exchange 2000 Systemen
- M 5.100 (Z) Einsatz von Verschlüsselungs- und Signaturverfahren für die Exchange 2000 Kommunikation

Notfallvorsorge

- M 6.82 (C) Erstellen eines Notfallplans für den Ausfall von Exchange-Systemen