On-Premises Exchange vs. Exchange Online
Der schwerwiegende, weltweite Angriff gegen On-Premises Exchange stellt ein ernstes Problem für Unternehmen dar, die immer noch On-Premise-Exchange einsetzen. Abgesehen von den damaligen und immer noch laufenden Angriffen hinterlassen die Hacker eine “Web-Shell”, die ihnen später erneut administrativen Zugriff auf den Server ermöglicht.
Nach dem Hack im März gab es weitere zum Teil gravierende Sicherheitsprobleme mit Microsoft Exchange und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im April eine weitere Warnung zu neuen Schwachstellen veröffentlicht, die dringend gepatcht werden sollten.
Die Lehre aus den Angriffen ist also so einfach wie eindeutig: ungepatchte Server sind unmittelbar gefährdet und es wird immer wieder neue Lücken und neue Angriffe darauf geben. Ausserdem heissen Zero-Day-Exploits so, weil Sie bisher unbekannt waren und somit auch keine Patches dagegen vefügbar sind.
Viele Experten betrachten den Hafnium Hack (Hafnium heißt die Hacker-Gruppe) als einen Weckruf für alle, die noch Server vor Ort betreiben. Er sollte den Anstoß dazu geben, E-Mails von lokalen Exchange-Servern zu Exchange Online zu verschieben.
In den Anfangstagen von Office 365 waren On-Premises-Server vielleicht noch attraktiv, aber die Situation ist heute ganz anders. Sowohl die Attacken auf Inhouse-Server als auch unsere gesammelte Erfahrung zum Betrieb von Exchange in der Cloud sind seither enorm gewachsen.
Es ist eigentlich ganz einfach: Wenn Sie E-Mails von On-Premises-Exchange in die Cloud verlagern können, dann sollten Sie dies so schnell wie möglich tun. Es sprechen drei wichtige Gründe dafür:
Zunehmende Raffinesse der Angriffe.
Attacken wie diese werden sich fortsetzen. Die Angriffe werden schwerwiegender und immer mehr Ressourcen verbrauchen. Das jüngste Beispiel Hafnium belegt diesen Punkt eindrucksvoll.
Das Schutzniveau ist in der Cloud besser.
Einige wenige Unternehmen sind vielleicht in der Lage, das von Microsoft 365 bereit gestellte Schutzniveau mit hohem Aufwand zu erreichen, die meisten jedoch nicht. Besonders die Abwehrmaßnahmen VOR dem eigentlichen Server sind bei Microsoft um Welten ausgefeilter. Wir haben eine ganze Reihe zum Thema Sicherheit in Microsoft 365 veröffentlicht, dort können Sie mehr erfahren.
Mehr Funktionalität in der Cloud.
Microsofts Fokus ist seit Exchange 2010 auf Exchange Online gerichtet. Exchange Online verfügt über mehr Funktionen als sein On-Premises-Pendant und ist ein essentieller Teil im Microsoft 365-Ökosystem neben SharePoint Online, OneDrive for Business usw. Kurz gesagt, die Kommunikation hat sich von der reinen E-Mail schon sehr weit fortentwickelt.
Mails sind nicht sicherer, weil der Server im Haus steht
Einige Unternehmer glauben fest daran, dass sie E-Mail einfach nicht in die Cloud verlagern können. Ein bestimmtes Sicherheitsdenken ist meist der eigentliche Grund, wenn wir genau nachhaken.
Aber dann kommt Hafnium daher und beweist, dass die Sicherheit für Zehntausende von On-Premises Exchange-Servern doch nicht so gut ist wie gedacht.
Exchange Online verwaltet etwa 5,5 Milliarden Postfächer (laut Daten der TEC 2020-Konferenz) und läuft auf 275.000 Mailbox-Servern. Der Hafnium-Angriff hat keinen einzigen dieser Server kompromittiert.
In der IT gibt es ein paar grundlegende Regeln:
- Hardware fällt ziemlich genau einen Tag nach Ablauf der Garantie aus.
- Das Wiederherstellen längst gelöschter Dateien ist von Magie nicht zu unterscheiden.
- Benutzer beginnen zu randalieren, wenn sie den Zugriff auf E-Mails verlieren.
Microsoft Exchange: On-Premise vs. Cloud
Die erste kommerzielle Version von Exchange, dem E-Mail-Server von Microsoft, wurde bereits 1996 veröffentlicht und baute auf dem Erfolg früherer Produkte wie Microsoft Mail auf. Exchange hat sich kontinuierlich weiterentwickelt und die aktuelle Version, Exchange 2019, wurde bereits vor 3 Jahren veröffentlicht. Microsoft ist aber parallel dazu der wichtigste Player im Markt für Software as a Service (SaaS) geworden.
DigiPhant hilft Kunden mit Exchange, sowohl On-Premise als auch in der Cloud mit Microsoft 365 (einschließlich einer Hybrid-Lösung). Wir haben Erfahrung mit beiden Welten, denn beide Lösungen haben ihre guten und schlechten Seiten, von denen wir hier einige betrachten.
Die meisten IT-Profis werden Ihnen bestätigen, dass Patches und Updates für Windows Server 2019 länger zu dauern scheinen als je zuvor und eine vorausschauende Planung für Ausfallzeiten auf Produktionsservern erfordern. Hinzu kommt, dass Microsoft alle 3 Monate kumulative Updates für Microsoft Exchange herausgibt, deren Anwendung 1,5 bis 2 Stunden dauern kann (da es sich effektiv um eine komplett neue Exchange-Installation handelt).
Microsoft 365 nimmt Ihnen all dies ab, Sie laufen immer auf der aktuellsten Version, alle Probleme mit Updates wurden somit beseitigt.
Exchange (wie jede Anwendung, die auf Server 2019 läuft) ist auf Sicherheitspatches und Updates angewiesen, um sowohl neue Funktionen einzuführen als auch potenzielle Sicherheitsprobleme zu beheben. Als Teil dieses Prozesses muss Ihr Server fast immer neu gestartet werden. Wenn Sie aber nur einen Exchange-Server haben, würde dies bedeuten, dass E-Mails nicht funktionieren und das manchmal für ein paar Stunden. Eine Alternative wäre ein zweiter Exchange-Server, aber das ist naturgemäß mit doppelten Kosten verbunden.
Die notwendigen Arbeiten in die Nacht zu verlegen ist nicht nur viel teurer sondern auch hier wird immer irgendjemand gerade arbeiten und auf seine E-Mails warten und dann: Siehe Regel Nr. 3 oben.
Exchange On-Premise benötigt einen Server (auch wenn dieser virtuell ist, benötigen Sie immer noch einen leistungsstarken Host), eine Windows Server 2019-Lizenz, eine Exchange 2019-Lizenz sowie Benutzerlizenzen (CAL). Dieser Server braucht dann Strom, Kühlung und einen Schrank bzw. einen Raum, wo er stehen und lärmen kann. Microsoft 365 hat laufende Kosten pro Benutzer und Jahr die vorhersehbar sind.
Nach den hohen Anfangskosten der On-Premise-Lösung gibt es jedoch irgendwann einen Punkt, an dem sich ein Inhouse-Exchange-Server rechnet – aber nur, wenn Sie diesen Server dann auch 10 Jahre unverändert betreiben. Das machen zwar manche Kunden, aber die Probleme mit alter Hard- und Software potenzieren sich von Jahr zu Jahr und irgendwann droht das ganze System zu kollabieren. Dann greift DigiPhant rettend ein und es wird wieder teuer.
Das Add-on, nach dem wir am häufigsten gefragt werden, ist Exclaimer. Mit dem Exclaimer Signature Manager können Sie in Ihrem Unternehmen E-Mail-Signaturen zentral gestalten und vergeben. Exclaimer befindet sich auch On-Premise auf einem Server in Ihrem Netzwerk und fügt die Fußzeile automatisch hinzu, wenn eine E-Mail von einem beliebigen Gerät gesendet wird. Bei Microsoft 365 ist es etwas anders, hier läuft Exclaimer in der Cloud und „versorgt“ alle Mitarbeiter, die Office 365 verwenden. Dabei können Sie verschiedenen Abteilungen eigene E-Mail-Signaturen zuweisen – je nach Tätigkeitsfunktion innerhalb der Organisation.
Es gibt weitere Add-ons von Drittanbietern für Exchange und mit On-Premise hatten Sie immer die Möglichkeit, Exchange massiv zu modifizieren. Aber Microsoft war nicht untätig und um Microsoft 365 und Exchange Online herum ist eine schier unüberschaubare Landschaft gewachsen, wo fast jede denkbare Funktion und Verknüpfung mit weiteren Diensten nur einen Mausklick entfernt ist. Und die Powershell funktioniert sowohl für On-Premise als auch für Microsoft 365.
Eine der häufigeren Bedenken ist die Frage, wo sich die Daten befinden. Wenn es sich um eine On-Premise-Lösung handelt, können Sie natürlich auf Ihren Serverraum oder Schrank verweisen, aber wenn es sich um eine Cloud-Lösung handelt, wird es etwas nebulöser.
Microsoft hat sich aber bereits mehrfach für die deutschen Datenschutzbemühungen stark gemacht und nach einem fehgeschlagenen Anlauf mit der Telekom nun seit einiger Zeit eigene Rechenzentren in Deutschland, in denen Ihre Daten dann sicher und geschützt verwaltet werden.
Sie haben immer noch einen Exchange Server inhouse? Sie glauben zwar immer noch nicht, dass es in Ihrem speziellen Fall möglich ist oder Sinn macht, auf Exchange Online zu setzen? Aber Sie sehen, dass etwas getan werden muss?
Rufen Sie uns an oder schreiben Sie uns, ganz unverbindlich. Wir werden auch für Sie eine Lösung finden, mit der Sie unkomplizierter und sicherer arbeiten können.
