Um ihren Mitarbeitern Homeoffice zu ermöglichen und sie dennoch in die Organisation eingebunden zu halten, öffnen immer mehr Unternehmen ihre Exchange-Server für den Outlook-Zugriff über den Browser, den sogenannten Outlook-Web-Access (OWA). Das ist grundsätzlich möglich und sinnvoll, erfordert aber besondere Maßnahmen zur Absicherung, die offenbar nicht jeder IT-Admin in Deutschland und der Welt kennt.

In den USA und in Deutschland finden sich besonders viele OWA-Server, wie eine Suchabfrage auf der Website Shodan zeigt. Unter den verwendeten TLS-Protokollen finden sich die veralteten Versionen 1 und 1.1 in großer Zahl, während die aktuelle TLS-Version 1.3 nur auf rund 1.500 von über 237.000 Verbindungen zum Einsatz kommt. Die nach wie vor große Verbreitung der Uralt-Protokolle hatte zuletzt sogar Mozilla veranlasst, ein Update des Firefox-Browsers teilweise rückgängig zu machen.

Natürlich ist der Zugriff auf das E-Mail-Postfach über das Web gerade der Sinn des OWA. Insofern ist das Öffnen der Ports zu diesem Zweck unvermeidlich. IT-Admins sollten dabei allerdings zusätzliche Maßnahmen ergreifen, den auf dem Exchange-Server laufenden IIS (Internet Information Server), auf dem wiederum der Outlook Web Access läuft, zu schützen.

Dabei sollten mindestens diese Hinweise Microsofts jedem IT-Verantwortlichen bekannt sein. OWA als sensibler Eintrittspunkt, über den potenziell auch Anmeldedaten abgegriffen werden können, verdient besondere Aufmerksamkeit und sollte ausschließlich hinter entsprechender Sicherheitsarchitektur betrieben werden.

Passend dazu: Microsoft: Outlook.com wird zu Progressive-Web-App