Am 1. Oktober wird die Basic Authentication in Exchange Online abgeschaltet. Für immer, ohne Verlängerung, ohne Ausnahme. Ende, aus, Mickymaus. Es ist Schluss. Damit hat Microsoft seine Kunden beglückt. Es klingt erstmal nicht sonderlich spektakulär. Und man möchte denken, dass doch eh alle Welt auf Sicherheit und sonstwas Wert legt. Aber ich weiß es eben aus meiner Arbeit, dass dem nicht so ist. Und genau deshalb müssen wir uns darüber unterhalten.
Was bitte ist denn die Basic Authentication?
Ich weiß es aus sicherer Quelle, dass es nach wie vor Organisationen gibt, in denen Administatoren so besetzt werden: „Du weißt, wo die Systemsteuerung ist, dann bist du jetzt halt Admin“. Ja, es ist übertrieben, aber es gibt solche Begebenheiten. Die Leute mögen alle gut sein in dem, was sie gelernt haben. Wenn sie aber ohne jegliche Vorkenntnisse auf einen Microsoft 365 Tenant losgelassen werden, wird das dann doch eher nicht so gut.
Und denen muss man freilich erklären, was Basic Authentication ist. Wenn ihr also auf eine Ressource zugreifen müsst, die über HTTP angesprochen wird, müsst ihr euch authentifizieren. Das geschieht mit Benutzername und Passwort. Das und nichts anderes ist Basic Authentication. Dieses Verfahren existiert seit 1993 und ist die einfachste Technik, um Zugriff auf eine Ressource im Internet zu gewähren. Keine Session Cookies, kein gar nichts.
In Microsoft 365 wird bisher auch Basic Authentication angeboten. Dabei werden auch Benutzername und Passwort akzeptiert. Es funktioniert einfach. Aber es ist eben auch ein Sicherheitsrisiko. Denn die Anmeldedaten werden im Klartext übertragen. Und im Zeitalter der Angriffe auf IT-Infrastrukturen ist das eine blöde Idee. Wir können uns an verschiedene Angriffswellen erinnern. Theoretisch spielen die ja auch bei Exchange Online eine Rolle.
Save the date: Am 01. Oktober ist Schluss damit
Letztes Jahr am 01. Oktober verkündete Microsoft, dass ein Jahr drauf Schluss ist mit der Basic Authentication bei Exchange Online. Das hat den ganz einfachen Grund, dass die Organisation geschützt werden muss. Das Risiko von Brute-Force-Angriffen soll reduziert werden. Nun kam Microsoft mit der Warnung um die Ecke, dass sie am 01. Oktober 2022 tatsächlich Ernst machen würden und die Basic Authentication abschalten. Es wird keine Ausnahmen geben.
Das dürfte viele Organisationen vor Probleme stellen. Es ist nun einmal so, dass verschiedenste Anwendungen, die auf die Mechanismen von Exchange zugreifen, mit der Basic Authentication unterwegs sind. Dabei geht es um solche Dinge wie Exchange Web Services, RPS, POP, IMAP und Exchange ActiveSync. Wenn eure Anwendungen eine SMTP-Authentifizierung verwenden, sind diese dann auch davon betroffen.
Microsoft propagiert hier die Einführung der Modern Authentication. Sie setzen auf OAuth. Dabei handelt es sich um die offene Autorisierung über APIs. Dabei verzichtet man auf den Austausch von Passwörtern. Stattdessen setzt man auf Tokens, einen für den Zugriff und einen zur Erneuerung des Zugriffs. Wer will, kann sich hier belesen. Damit einher geht im Hinblick auf Exchange Online auch, dass für die Clients größere Änderungen zukommen.
Was bedeutet das nun?
Das große Stichwort ist hier die Erneuerung von Anwendungen. Wenn ihr irgendwelche Wald-und-Wiesen-Anwendungen habt, die zwar noch mit Exchange Online klarkommen, die aber mit OAuth und damit mit Modern Authentication nicht zurecht kommen, solltet ihr vielleicht darüber nachdenken, diese zu erneuern oder zu ersetzen. Und was Clients betrifft: Office 2013 ist ja nun schon eine ganze Ewigkeit auf dem Markt. Vielleicht müsste es eine neue Version sein.
Ich habe im Support wirklich viel erlebt. Und so weiß ich, dass niemand im Bereich der IT-Administration von Unternehmen Zeit dafür hat, sich ewig lang Dokumentationen durchzulesen. Und so vermute ich, dass auf uns ein heißer Herbst zukommt, wenn uns Kundenfirmen in größter Not kontaktieren, weil deren Warenwirtschaftssystem oder Ticketsystem keine Mail mehr versenden kann. Dabei hat Microsoft wirklich zeitig genug darüber aufgeklärt.
Und ich möchte wirklich niemanden hören, der sagt, dass da wieder irgendwas „aufdoktriniert“ wird. Viele Allwissende palavern ja immer einen daher, dass Microsoft auf „uralte, geschlossene Standards“ setzen würde. Die Modern Authentication setzt auf offene Standards und ist – wie der Name schon sagt – modern. Also hilft es am Ende nur, alte Zöpfe abzuschneiden. Jaja, das macht 3 Euro für’s Phrasenschwein. Und dann klappt das auch mit der Basic Authentication in Exchange Online.