lines_8_1920x540

Unsere Analyse zum attraktiven Festpreis

Microsoft Exchange Online: Abschaltung Basic Auth

Jetzt Handlungsbedarf prüfen

Im Oktober 2022 hat Microsoft mit der Abschaltung von Basic Authentification - auch bekannt als Legacy Authentification oder Standardauthentifizierung - in Exchange Online begonnen. Die Verunsicherung ist groß. Hier haben wir die wichtigsten Infos zusammengetragen. Gerne unterstützen wir Sie auch mit unserer Basic-Authentication-Analyse, um Ihren Handlungsbedarf zweifelsfrei zu ermitteln.

Hintergründe zur Basic-Auth-Abschaltung

Die Antworten auf die wichtigsten Fragen zur Deaktivierung der Microsoft Basic Authentication in Exchange Online haben wir Ihnen in dieser Übersicht zusammengestellt:

Warum schaltet Microsoft die Legacy-Authentifizierung ab?

Basic Authenication gilt mittlerweile als veraltet. Bei jeder Client-Anwendung werden der Benutzername und das Passwort in Klartext weitergegeben und häufig gespeichert. Das erleichtert es Angreifern, diese Informationen abzufangen und für unerlaubte Zugriffe zu verwenden. Desweiteren ist bei aktivierter Basic Authentication die Nutzung der Multifaktor-Authentifizierung (MFA) erschwert oder sogar unmöglich.

Microsoft hat in einer Analyse des Azure Active Directory (Azure AD)-Datenverkehrs die Basic Authentication unter die Lupe genommen:

  • Mehr als 99 Prozent der Passwort-Spray-Angriffe verwenden ältere Authentifizierungsprotokolle.
  • Mehr als 97 Prozent der Credential-Stuffing-Angriffe verwenden Basic Authentication.
  • Azure AD-Konten in Organisationen mit deaktivierter Basic Authentication weisen 67 Prozent weniger Kompromittierungen auf als Organisationen, in denen die diese Authentifizierung aktiviert ist.

Was sind die Vorteile von Modern Authentication?

Bei der modernen Authentifizierung spricht man von einer Kombination zwischen Authentifizierungs- und Autorisierungsmethode. Die Kommunikation zwischen Client und Server beruht hierbei auf Zugriffsrichtlinien. Dies gibt Administratoren mehrere Tools an die Hand, um Ressourcen zu schützen und die Identitätsverwaltung sowohl lokal als auch in hybriden Exchange-Szenarien zu vereinfachen.

  • Authentifizierungsmethoden: Multifaktor-Authentifizierung (MFA); Smartcardauthentifizierung; Zertifikatbasierte Clientauthentifizierung
  • Autorisierungsmethoden: Microsoft-Implementierung von OAuth (Open Authorization)
  • Richtlinien für den bedingten Zugriff (Conditional Access): Mobile Anwendungsverwaltung (MAM) und Azure Active Directory (Azure AD) – Bedingter Zugriff

Warum sollten betroffene Unternehmen jetzt handeln?

Die Protokolle MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell sind von der Abschaltung betroffen. Handelt ein betroffenes Unternehmen nicht rechtzeitig, kann dies dazu führen, dass bestimmte Dienste nicht mehr genutzt werden können. Resultierend daraus kann jeder Client (Benutzer-App, Skript, Integration usw.), der Basic Auth für einen der betroffenen Dienste verwendet, zu diesen keine Verbindung mehr herstellen. Der User erhält eine HTTP 401-Fehlermeldung: "falscher Benutzername oder falsches Passwort". Dies kann dazu führen, dass Mitarbeitende ab diesem Zeitpunkt weder E-Mails senden noch empfangen können. Microsoft weist darauf hin, dass nach der Abschaltung auch keine Reaktivierung von Basic Authentication möglich sein wird.

Klären Sie Ihren Handlungsbedarf

Seit Oktober 2022 hat Microsoft mit der Abschaltung begonnen. Der optimale erste Schritt ist die Klärung Ihres Handlungsbedarfs. Wo sind Sie betroffen? Mit unserer Basic-Auth-Analyse sind Sie auf der sicheren Seite. Je nach Analyse-Ergebnis ist Ihre Umstellung noch mit einigen Aufwänden für Remediation/Mitigation verbunden.

Überprüfung der Authentifizierungsmethoden

Im Rahmen der Abschaltung von Basic-Authentifizierungsmethoden bei Microsoft Exchange Online prüfen wir deren Verwendung in Ihrem Microsoft Tenant. Dabei greifen wir auf Anmeldeprotokolle im Microsoft 365 Tenant und speziell in der Exchange-Online-Umgebung zurück. Die Auswertung erfolgt mit einem PowerShell-Skript, welches im read-only Modus läuft.

Unsere Vorgehensweise

Wir stimmen uns kurz telefonisch zu den Accounts und dem Vorgehen mit Ihnen ab. Dann führen wir die Analyse anhand des PowerShell-Skripts durch. Daraus werten wir die Anmeldemethoden im M365-Tenant mit Fokus Exchange Online aus. Ebenso analysieren wir die geöffneten Basic-Authentication-Schnittstellen im Exchange Online:

  • Exchange Online für Exchange ActiveSync (EAS)
  • POP/IMAP
  • Remote PowerShell
  • Exchange-Webdienste (EWS)
  • Offlineadressbuch (OAB)
  • Outlook für Windows und Mac

Ihre Ergebnisdokumentation

Die Ergebnisse führen wir in einer Dokumentation mit folgenden Inhalten zusammen:

  • Erläuterung der Unterschiede zwischen Basic und Modern Authentication
  • Übersicht, welche Accounts bzw. Service Principals aktuell Basic Authentication verwenden
  • Geöffnete Basic-Auth-Schnittstellen im Exchange-Online-Bereich
  • Kurze allgemeine Handlungsempfehlung für weitere Schritte

Was wir in diesem Paket nicht leisten können

Uns ist wichtig, dass Sie die volle Transparenz zu unseren Leistungen haben. Folgendes können wir im Rahmen dieser Analyse nicht abdecken - gerne unterstützen wir Sie hierbei in einem separat zu beauftragendem Projekt:

  • Umsetzung von Remediation/Mitigation-Maßnahmen, weder für Accounts noch Applikationen
  • Implementierung von Features wie bspw. Conditional Access, MFA oder Ähnliches
  • Erstellung von einer detaillierten Maßnahmen-Roadmap
  • Prüfung von anderen Emailsystemen als Microsoft Exchange Online

Ihr Aufwand

Bitte rechnen Sie mit 0,5 Personentagen für Vor- und Nachbereitung durch Ihren Exchange Online Administrator. Um die Analysen umfassend durchführen zu können, benötigen wir Folgendes von Ihnen:

  • Terminvereinbarung über Bookings
  • Erstellung Service Account für All for One Consultants mit Global-Reader-Rechten

Unser Preis: 990,- EUR

Unsere Basic-Auth-Analyse erhalten Sie zum Preis von 990,- EUR zzgl. Mehrwertsteuer.

christianemJ7EUjSlNQtgunsplash

Basic-Auth-Analyse

Fordern Sie hier Ihr persönliches Angebot an!

Lesen Sie auch unsere Fachartikel

Mit Multifaktor-Authentifizierung Identitätsdiebstahl verhindern. Wie die MFA funktioniert, warum sie oft falsch verstanden wird und warum sie für Unternehmen so wichtig ist. Passwordless - kein Passwort ist sicherer. Egal wie lang und komplex ein Passwort ist – es ist unsicher. Für einen sicheren Login gibt es mit Passwordless Authentication einen besseren Weg. 5 Gründe warum IAM-Projekte scheitern. Was ist Identity & Access Management (IAM) und auf was müssen Sie achten, wenn Sie IAM-Potenziale voll ausschöpfen möchten? Ein Überblick. Was ist Privileged Access Management (PAM)? Warum sollten Sie privilegierte Zugriffe mit PAM verwalten und Ressourcen & Rollen mit Privileged Identity Management (PIM) zuordnen? Was ist Zero Trust und wie gelingt Ihnen der Einstieg? Was ist Zero Trust, warum ist es so wichtig für Unternehmen und wie schaffen Sie den Einstieg? Die wichtigsten Tipps für den Schutz Ihrer Daten! Zero Trust: Wie steht es um die IT-Sicherheit in Deutschland? Wo stehen deutsche Unternehmen bei der Einführung von Zero Trust? Eine Micrososoft-Studie kommt zu überraschenden Erkenntnissen.