Mein Geleit vom April 2021 befasste sich mit den erfolgreichen Hackerangriffen auf zahlreiche Microsoft-Exchange-Server im ersten Quartal 2021. Praktisch alle in Unternehmensrechenzentren eingesetzten Versionen von Exchange waren betroffen – nicht aber Exchange Online.

Bei den betroffenen Firmen haben die Angriffe großen Schaden und einen hohen Aufwand für die Aufräumarbeit nach den Angriffen verursacht. Das vollständige Neuaufsetzen der Exchange-Server war nicht einmal der aufwändigste Teil. In den Fällen, in denen Postfachinhalte kompromittiert wurden, musste analysiert werden, welche Art der Information in falsche Hände geraten war. Allein diese Analyse kostet viel Zeit. Wenn man herausgefunden hat, welche Daten gestohlen wurden, kommt die Analyse der Folgeschäden dazu. Möglicherweise wurden auch Informationen über die IT-Umgebung verraten, die bei künftigen Angriffen ausgenutzt werden können. Unter Umständen muss die IT-Umgebung so verändert werden, dass die gestohlenen Informationen möglichst wertlos werden.

Und dann noch der Aspekt Datenschutz. Je nach Inhalt der Postfächer ist das Unternehmen gemäß DSGVO berichtspflichtig, nämlich wenn personengebundene Daten Dritter betroffen sind.

Dies alles gehört zur Phase Incident Response, d.h. zur unmittelbaren Reaktion auf den Vorfall. Das hat natürlich die oberste Priorität. Parallel oder zeitversetzt beginnen in der Regel die Vorkehrungen für die Zukunft. Die Angriffe bleiben für die künftige Architektur von Kommunikation und Netzen nicht ohne Folgen. Auf einige hiervon möchte ich eingehen, insbesondere auf die Tücken bei Mobile Device Management (MDM).

Warum nicht einfach VPN?

Die Angriffe auf Microsoft-Exchange-Server wurden möglich, weil der Port 443 auf diesen Servern vom Internet aus erreichbar war. Viele Firmen haben den Webzugang zu Exchange-Servern auch dafür genutzt, dass mobile Geräte oder PCs an Telearbeitsplätzen über das Internet auf den Exchange-Server zugriffen. Die Lösung war einfach und bequem, sowohl für die Benutzer als auch für die Administratoren. Sie bestand darin, den Web Access auf dem Exchange-Server zu aktivieren und auf Firewalls eingehenden Zugriff auf den Exchange-Server über den Port 443 zu erlauben. Genau das war das Einfallstor für die Angreifer. Sie konnten Sicherheitslücken auf allen gängigen Exchange-Versionen für das Erschleichen von erweiterten Rechten ausnutzen und letztlich die Daten stehlen.

Auch wenn Microsoft die Sicherheitslücken geschlossen hat und die Patches installiert sind, bleibt die Frage, ob nicht in Zukunft ähnliche Vorfälle denkbar sind. Der Webzugang ist nun mal eine mächtige Schnittstelle. Damit lässt sich viel machen, auch viel Böses. Die Lehre daraus: Die Kombination des komplexen Produkts Exchange mit der mächtigen, über das Internet direkt erreichbaren Webschnittstelle darf nicht mehr sein.

Die einfachste Abhilfe ist ein Virtual Private Network (VPN). Man kann die Erreichbarkeit des Exchange-Servers über das Internet abschaffen. Mobile und Telearbeitsplätze sind dann für Exchange-Nutzung auf ein VPN angewiesen. In vielen Fällen existiert das VPN bereits. Der Exchange-Server ist dann nur noch über VPN erreichbar, nicht mehr direkt über Port 443. Der VPN-Tunnelaufbau gelingt nur von Endgeräten aus, die von der IT des Unternehmens administriert werden. Auf diesen Endgeräten können Zertifikate für die Authentisierung der Geräte installiert werden. Das ist sowohl bei PCs als auch bei den meisten Smartphones möglich.

Diese einfache Lösung kann aber auf Akzeptanzprobleme stoßen, wenn das Endgerät nach einer temporären Netzunterbrechung den VPN-Tunnel nicht selbständig wiederaufbaut. In diesem Fall muss man den VPN-Tunnel manuell reaktivieren und dann erst den E-Mail-Client auf dem Gerät für die Synchronisation von Nachrichten, Kontakten und Kalendereinträgen nutzen. Solange der VPN-Tunnel nicht zur Verfügung steht, gibt es für den Nutzer auch keine (akustische) Benachrichtigung über eingehende Nachrichten.

Das ist aus Sicht des Benutzerkomforts ein Rückschritt. Ich persönlich könnte mit diesen Einschränkungen leben, viele andere Nutzer aber nicht.

Bühne frei für MDM

Wenn die VPN-Lösung auf Akzeptanzprobleme stößt, bleibt noch die Alternative MDM. Mit einer MDM-Lösung können Applikationen auf mobilen Endgeräten in sogenannte Container verlagert werden. Diese Container können der Kontrolle durch die IT des Unternehmens unterliegen. Ein Teil dieser Kontrolle ist die Kontrolle der Kommunikation. Die E-Mail-Applikation auf dem mobilen Endgerät wird zum Beispiel angewiesen, für die Kommunikation mit dem E-Mail-Server einen Gateway zu nutzen. Messaging Gateways sind als zentrale Ressourcen Bestandteil der MDM-Lösung. Sie kommunizieren auf der Internetseite mit den Endgeräten und auf der internen Seite mit dem Exchange-Server. So kann auch das Ziel erreicht werden, den Exchange-Server vor dem Internet zu schützen.

Zusätzlich kann die Kontrolle der Applikationen im zentral verwalteten Container dafür sorgen, dass der Datenaustausch zwischen diesen Applikationen und solchen außerhalb des Containers eingeschränkt wird. WhatsApp kann zum Beispiel außerhalb des Containers betrieben werden, die Applikationen Kontakte innerhalb des Containers. WhatsApp kann genutzt werden, ohne dass Kontaktdaten im Zugriff von WhatsApp sind. Die Folge ist, dass alle Kontakte für WhatsApp neu nachgetragen werden müssen.

Das Prinzip lässt sich allgemeiner beschreiben. Der Container bildet eine Art virtuelles Gerät auf dem Smartphone. Die im Container verarbeiteten Daten sind nicht im Zugriff der Applikationen außerhalb des Containers. So kann man auf demselben Endgerät mit einem dienstlichen und einem anderen Kontext arbeiten. Dieser zweite Kontext kann unter der Kontrolle des Benutzers sein, der dann beliebige Apps außerhalb des dienstlich genutzten Containers installieren und nutzen kann.

Heile Welt?

Das MDM-Szenario hört sich wie eine heile Welt an. Alle sind zufrieden: Die Benutzer können die mobilen Endgeräte komfortabel für dienstliche und private Zwecke nutzen. Das Unternehmen schützt die eigenen Daten und Ressourcen, allerdings mit zusätzliche Kosten für Lizenzen und Betrieb.

Es gibt aber Tücken bei dieser Lösung. Ein Smartphone ist ein komplexes Gebilde mit verschiedenen Benutzerschnittstellen, von Touchscreen mit eingeblendeter Tastatur über Gesichtserkennung bishin zur Steuerung mittels Spracheingabe und verbundener Uhr.

Nicht jede MDM-Lösung fügt sich reibungslos in das komplexe System des mobilen Endgeräts ein. In der Praxis tauchen solche Probleme wie Ausfall der Sprachsteuerung bei der Bedienung des Geräts auf. Die Komplexität wird am Szenario der sprachgesteuerten Telefonie deutlich. Der Benutzer sagt: „Chef anrufen!“ Die Sprachsteuerung des Smartphones muss diesen Befehl verstehen und für die Applikation Telefon „übersetzen“. Dabei muss eine Verknüpfung zur Applikation Kontakte genutzt werden, denn die Telefonnummer des Chefs ist in den Kontakten gespeichert. Behindert der Container dieses Zusammenspiel? In einigen Fällen leider ja. Auch gibt es plötzlich keine Favoritenlisten mehr, die Kommunikation mit der Uhr ist nicht mehr möglich und Geburtstage blockieren plötzlich den gesamten Tag im Terminkalender, obwohl dort korrekt als frei eingetragen. Das Senden von Fahrtenbucheinträgen funktioniert plötzlich eben so wenig wie das Versenden aufgenommener Fotos aus der App des Smartphones. Auch die bekannte Dateiablage verweigert ihren Dienst. Abhilfe schafft in diesen Fällen nur eine neue Mailadresse, über die die Mails dann auf einem zweiten (privaten) Weg auf den Server der Firma übertragen werden können.

Auch die Einrichtung des Containers auf den Endgeräten kann aufwändig sein. Gerade wenn ein Großteil der Mitarbeiter mobil oder vom Homeoffice ausarbeitet, muss es einen Weg geben, dass die Mitarbeiter ohne Hilfe der Administratoren den Container einrichten. Manche MDM-Hersteller erleichtern dies mittels Installationsprozeduren bei minimalem Eingriff durch Benutzer. Bei einigen anderen MDM-Lösungen funktioniert das nicht reibungslos. Gerade wenn verschiedene Benutzernamen und Passwörter (Credentials) für das Herunterladen der MDM-Software von dem App Store für die MDM-Lösung selbst sowie für die E-Mail-App genutzt werden, können den Benutzern Fehler unterlaufen. Wiederholte Eingaben der falschen Passwörter führen zur Kontensperrung.

Auch bei der täglichen Nutzung der E-Mail-Applikation auf dem Smartphone kann es unerwartete Effekte geben. Es kann passieren, dass plötzlich keine Nachrichten mehr angezeigt werden. Manchmal hilft nur das vollständige Schließen, und nicht nur das Wegblenden, der E-Mail-App mit anschließendem Neustart der App.

MDM zu empfehlen?

Ist angesichts der MDM-Tücken diese Lösung zu empfehlen? Meine persönliche Antwort, auf Basis subjektiver Erfahrungen: Das hängt von der Produktauswahl ab. An Tests mit leidensfähigen Benutzern führt kein Weg vorbei. Diese Tests müssen vor der Entscheidung für eine MDM-Lösung durchgeführt werden. Es kann vorkommen, dass der erste Wurf, d.h. die erste getestete Lösung, misslingt.

Wenn der Test mit Pilot-Usern gelingt, ist eine MDM-Lösung durchaus empfehlenswert. Sie ist ein entscheidender Schritt in Richtung einer sichereren Infrastruktur. Zugleich kann sie mehr Komfort für Benutzer bedeuten. Restriktionen bei Applikationen können entfallen.

Mehr Sicherheit und mehr Funktionalität? Wenn das SEF-Theorem stimmt, dann muss das etwas kosten. Das Theorem stimmt auch in diesem Fall. MDM bedeutet Mehrkosten. Aber meiner Meinung nach lohnt sich die Investition.

Zu beachten ist bei der Auswahl der Lösung die Minimierung des Unmuts der Nutzer. Und, eine Überprüfung der angebotenen Architektur. Nur eine Aussage: „Hergestellt in Deutschland und BSI-konform“ sollte nicht ausreichen.