Wie im Rektorrundschreiben 40/2023 angekündigt, möchten wir über eine Veränderung am Dienst Microsoft Exchange informieren. Exchange wird durch das URZ seit 2014 als zentraler Groupware-Dienst zur Verwaltung von Kalendern und Terminen betrieben. Zudem können auch der E-Mail-Versand und die Kontaktverwaltung darüber erfolgen, sofern das Exchange-Postfach als Hauptpostfach verwendet wird. Auf das Exchange-Postfach kann mit einer breiten Palette von Software-Produkten zugegriffen werden, z. B. mit Mail-Clients wie Thunderbird, Microsoft Outlook, Apple Mail sowie von Android- und iOS-Mobilgeräten.
Was wird sich ändern?
Bisher war der Zugriff auf den Exchange-Dienst aus dem gesamten Internet heraus möglich. Hierdurch sind die Exchange-Server einer Vielzahl von Gefährdungen ausgesetzt. Nach Neubewertung aller sich daraus ergebenden Risiken sind wir zu dem Ergebnis gelangt, dass diese Betriebsweise aus Sicherheitsgründen nicht mehr aufrechtzuerhalten ist. Die Exchange-Server werden daher ab dem 1.12.2023 nur noch aus dem Campusnetzwerk der TU Chemnitz heraus erreichbar sein.
Welche Auswirkungen hat dies?
Diese Sicherheitsmaßnahme bedeutet zunächst, dass Sie mit Ihren Geräten außerhalb des Campusnetzwerks der TU Chemnitz keine Termine oder E-Mails mehr aus dem Exchange-Postfach abrufen können.
Außerhalb des Campusnetzwerks befinden Sie sich üblicherweise, wenn:
- Ihr Smartphone über die mobile Datenverbindung ins Internet eingewählt ist,
- Sie im heimischen WLAN arbeiten,
- Sie sich auf Dienstreise oder in mobiler Arbeit befinden.
In all diesen Fällen müssen Sie wie nachstehend beschrieben aktiv werden, um Exchange weiterhin benutzen zu können.
Innerhalb des Campusnetzwerks befinden Sie sich, wenn:
- Ihr Gerät in Gebäuden oder Außenstellen der TU Chemnitz mit dem WLAN „eduroam“ oder „tu-chemnitz.de“ verbunden ist,
- Ihr Gerät per Datenkabel an das Campusnetzwerk der TU Chemnitz angeschlossen ist,
- Sie auf Dienstreise oder in mobiler Arbeit per VPN-Client in das Campusnetzwerk der TU Chemnitz eingewählt sind.
Treffen ausschließlich diese Fälle auf Sie zu, sind Sie von der Änderung nicht betroffen und müssen auch nicht aktiv werden.
Nutzerinnen und Nutzer, die den Exchange-Dienst der TU Chemnitz nicht verwenden, sind von den Umstellungsmaßnahmen ebenfalls nicht betroffen. Ob Sie ein Exchange-Postfach besitzen, können Sie im IdM-Portal nachschlagen. Dies ist der Fall, wenn dort eine „Exchange Mailbox“ angezeigt wird.
Was muss ich tun?
Um den Dienst weiterhin wie gewohnt nutzen zu können, muss sich Ihr Endgerät ab dem 1.12.2023 zwingend in das Campusnetzwerk der TU Chemnitz einwählen, wenn Sie beabsichtigen, Termine zu synchronisieren oder E-Mails abzurufen bzw. zu versenden. Hierzu ist ein sogenannter VPN-Client erforderlich. Die Einrichtung eines VPN-Zugangs ist auf den entsprechenden Hilfeseiten des URZ beschrieben. Bitte richten Sie daher bis zum 1.12.2023 entsprechende VPN-Zugänge auf Ihren Geräten ein, um weiterhin wie gewohnt arbeitsfähig zu sein. Für Neueinrichtungen empfehlen wir eduVPN als VPN-Zugang. Bestehende VPN-Zugänge mit der Software „Cisco Anyconnect“ können ebenfalls weiter genutzt werden.
Es sind keine Änderungen an den Einstellungen Ihrer Exchange-Profile bzw. der E-Mail- oder Kalendereinstellungen auf den Endgeräten notwendig. Alle bisher eingerichteten Postfächer und Kalender können bestehen bleiben.
Warum sind diese Änderungen notwendig?
Bisher sind die Exchange-Server der TU Chemnitz für derzeit ca. 5 Milliarden Internetnutzende erreichbar – ganz unabhängig davon, ob diese Personen eine Nutzerkennung an der TU Chemnitz besitzen oder nicht. Bei Microsoft Exchange handelt es sich um eine sehr komplexe Software. Die Vergangenheit hat gezeigt, dass aufgrund dieser Komplexität regelmäßig Schwachstellen offenbar werden, die innerhalb kürzester Zeit geschlossen werden müssen. Andernfalls kann es böswilligen Angreifern gelingen, in die IT-Systeme der TU Chemnitz einzudringen, diese mit Schadsoftware zu infizieren oder sensible Daten auszuleiten. Aufgrund der technisch bedingt starken Verzahnung der Windows-Server untereinander, wären in diesem Fall nicht nur die Exchange-Server an sich in Gefahr, sondern auch alle anderen Computer der TU Chemnitz, auf denen Microsoft Windows zum Einsatz kommt.
Die nun ergriffene Schutzmaßnahme stellt sicher, dass ein Zugriff auf die Exchange-Server nur dann möglich ist, wenn zuvor mit einer gültigen Nutzerkennung eine Verbindung in das Campusnetzwerk der TU Chemnitz hergestellt wurde. Auf diese Weise wird die potentielle Angriffsfläche beträchtlich reduziert und damit auch das Risiko, dass es zu einem langwierigen und unangenehmen Ausfall der IT-Dienste in Folge eines IT-Sicherheitsvorfalls kommt.
Durch diese Maßnahme tragen wir alle zum Schutz der IT-Infrastruktur unserer Universität bei. Wir bedanken uns bei allen Nutzerinnen und Nutzern für das Verständnis für diese Sicherheitsmaßnahme.
Bleibt der Zugriff zu https://msx.tu-chemnitz.de weiterhin aus dem gesamten Internet heraus möglich (ohne 2FA)?
Nein, auch für die Nutzung der Outlook Web App (https://msx.tu-chemnitz.de/) ist eine VPN-Einwahl erforderlich. Technisch handelt es sich hier um dieselbe Server-Komponente wie für alle anderen Groupware-Zugänge, sodass keine Unterscheidung möglich ist.
Eine Mehrfaktor-Anmeldung an der Outlook Web App ist nicht vorgesehen. Da der Zugriff dann immer aus dem Campusnetzwerk heraus erfolgt, ist sie einerseits nicht notwendig. Anderseits sind Windows-Server-Dienste aus technischen Gründen nicht an das Web-Trust-Center angeschlossen, sodass die Mehrfaktor-Anmeldung am Web-Trust-Center hier gar nicht greifen kann.
Sind die CalDAV- und CardDAV-Server, die den Zugriff auf Termine und Kontakte im Exchange-Postfach ermöglichen, auch von dieser Änderung betroffen?
Dieser Zugangsweg ist von der Änderung nicht betroffen. Es handelt sich hierbei nicht um den Exchange-Dienst an sich, sondern um separate Linux-Server, die das CalDAV-Protkoll auf Exchange-spezifische Protokolle wandeln. Die Gefährdungslage ist in diesem Fall weniger kritisch, da diese Server keine Nutzerdaten vorhalten und zudem weitere Schutzmaßnahmen greifen.
Danke.
Etwas vom Thema abweichend, gibt es Pläne, Gruppen-, Raum- und Ressourcenkalender auch über SOGo anzubieten? Es gäbe dann einen Grund weniger Exchange zu nutzen.
Das ist sicher interessant. Konkrete Pläne gibt es dafür jedoch noch nicht. Erstmal müssen wir die Migration von Horde zu SOGo hinbekommen.
Von der Änderung werden einheitlich alle Zugänge zum Exchange-Dienst betroffen sein, also auch der Zugang über den CalDAV- und CardDAV-Server. Wir bitten darum, die dazu hier im Blog zunächst abweichend geführte Kommunikation (Kommentar vom 14.11.2023) zu entschuldigen.
Heute ist der 1. Dezember und dennoch ist der Zugriff von außerhalb des Campusnetzes (ohne VPN o.ä) auf https://msx.tu-chemnitz.de und CalDAV noch immer möglich. Wurde die Maßnahme verschoben?
Solche gravierenden Änderungen erfolgen nicht automatisch nächtlich sondern manuell im 4-Augen-Prinzip. Die Maßnahme wurde heute gegen 9:00 umgesetzt und sind nun aktiv.
Bedeutet das, dass auch Exchange-Kalender, die in Webseiten zur Ansicht eingebettet sind, nur aus dem Uni-Netz abgerufen werden können?
Aktuell ja. Allerdings hat sich herausgestellt, dass die VPN-Notwendigkeit für den Server, der CalDAV, die Buchung von Carrels in der UB und eben die Kalender-Schnittstelle für Webseiten erbringt, etwas zu weitgehend waren. Die Kalendereinbettung (und auch die Buchung von Carrels) werden wir in den nächsten Tagen wieder öffentlich freigeben. Bei CalDAV wird VPN weiterhin notwendig sein.