Exchange online: Basic Auth wird eingestellt

Ab 01. Oktober 2022 beginnt Microsoft damit, die sogenannte Basic Authentication – Authentifizierung an online abzuschalten. Damit ist der Zugang zu dem Online-Dienst mit alten, nicht mehr unterstützten Outlook Programmen nicht mehr möglich. Neuere Outlook Versionen bzw. Outlook aus dem Plan sollten durch den Administrator umgestellt werden, dass sie nur noch das neue Verfahren zulassen (Gruppenrichtlinie).

Im Zuge der Analyse stellen wir immer wieder fest, dass mit zu trivialen und nicht geheimen Kennwörtern der Zugang zu den Mailboxen ermöglicht wird. Ist Ihr Unternehmen (aka. Microsoft Tenant) mit Microsoft 365 Business Premium oder E3-Plänen ausgestattet und Ihr Exchange online verfügt über das Sicherheitspaket, können Sie die sogenannte Zweifaktor-Authentifizierung (2FA) einrichten (lassen) und für mobile Mitarbeitende zur Pflicht machen. Auf dem Smartphone des Mitarbeitenden ist dann die Microsoft Authenticator-App installiert, die eine sichere Anmeldung am Microsoft Arbeitskonto ermöglicht. Für administrative Accounts sehe ich die Nutzung von 2FA als unbedingt notwendig, für die Benutzer ist sie zumutbar und bringt ein deutlich höheres Level an Sicherheit.

Zusätzlich sollte (obwohl keine regelmäßige Änderung von Kennworten vorgeschrieben noch sinnvoll ist), EINMAL eine Grundsicherheit der Kennwörter hergestellt werden, um Datenverlust, Hackbarkeit, Verstöße gegen die DSGVO und sogar strafrechtliche Konsequenzen zu vermeiden.

Microsoft wird die Basic Authentication mit einem Sicherheitsupdate auch für die On-Premises Exchange Server entfernen. Wenn Sie den Exchange-Server noch im Hause betreiben, ist der Umstieg in die Online-Variante bereits jetzt umso sinnvoller.

Artikel zur Abkündigung der Basic Authentication (englisch)

Microsoft

Zusammenfassung
  1. Microsoft Tenant) mit Microsoft 365 Business Premium oder E3-Plänen ausgestattet und Ihr Exchange online verfügt über das Sicherheitspaket, können Sie die sogenannte Zweifaktor-Authentifizierung (2FA) einrichten (lassen) und für mobile Mitarbeitende zur Pflicht machen.
  2. Auf dem Smartphone des Mitarbeitenden ist dann die Microsoft Authenticator-App installiert, die eine sichere Anmeldung am Microsoft Arbeitskonto ermöglicht.
  3. Für administrative Accounts sehe ich die Nutzung von 2FA als unbedingt notwendig, für die Benutzer ist sie zumutbar und bringt ein deutlich höheres Level an Sicherheit.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

1 Gedanke zu „Exchange online: Basic Auth wird eingestellt

  1. Exchange online: Basic Auth wird eingestellt

    Danke für den Hinweis.
    Als Ergänzung für den Beitrag, betrifft auch die Apple-Geräte (iOS), dort ist auch die Basic-Auth hinterlegt, falls noch nicht auf die „moderne Authentifizierung“ umgestellt wurde.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert