Deaktiviert Microsoft Ihre digitalen Türschilder?

Modern Authentication

Digitale Türschilder (Scheduling Panel), sind eine der wichtigsten Komponenten eines professionellen Raumbuchungs-Systems. Die angezeigte Information, also der Kalender, kommt dabei in den allermeisten Fällen von einem MS Exchange Server, traditionell on-Premise, d.h. im eigenen Rechenzentrum, mehr und mehr jedoch aus der O365 Cloud von Microsoft. Eine Ankündigung sorgt nun dafür, dass man sich die Frage stellen kann:
Deaktiviert Microsoft Ihre digitalen Türschilder?

Natürlich gibt es auch Setups, bei denen zwischen der Kalender-Plattform und dem Türschild noch eine Middleware ist, also ein Stück Server-Software für die Raumbuchung, und dafür gibt es auch gute Gründe.

So oder so, wichtige News rund um Exchange haben potenziell massive Auswirkungen auf Ihr bestehendes Raumbuchungs-System.
„Deaktiviert Microsoft Ihre digitalen Türschilder?“ ist somit keine reißerische Headline, sondern eine ernstgemeinte Frage, welche Sie sich zeitnah stellen müssen.

Outlook on the wall

Ja, genau so kann man es bezeichnen. Ein digitales Türschild kann man als „Outlook on the wall” betrachten. Es spricht genauso wie Outlook am Desktop mit dem Exchange-Server. Dazu muss es sich genauso beim Server anmelden, um Zugriff auf den Raumkalender zu erhalten. Die Protokolle für den Zugriff sind die gleichen. Und damit sind wir schon mitten im heutigen Thema.
Viele der Protokolle, mit denen externe Clients mit dem Exchange-Server sprechen, sind seit mehr als 10 Jahren unverändert. Was früher Stand der Technik war, ist heute hoffnungslos veraltet. Im IT-Umfeld heißt das fast immer auch UNSICHER. Auch wenn es schon längst neue, viel sicherere Protokolle gibt, sind die alten Versionen oft noch viele Jahre im Einsatz.

Vielen Anwendern ist oftmals gar nicht bewusst, dass viele angeschlossene Systeme auf diese alten Protokoll-Versionen angewiesen sind, weil sie Modern Authentication gar nicht unterstützen!

In unserem Fall steht alt für die Basic Authentication (bzw. Standard Authentication) und neu für Modern Authentication (oft auch als OAuth 2.0 bezeichnet). Ich will Sie an dieser Stelle nicht mit technischen Details belasten, dem Interessierten empfehle ich folgenden Technik-Link.

Wesentlich ist: Es geht um jenen Teil des Protokolls, mit dem sich Clients (wie eben auch Ihre digitalen Türschilder) beim Exchange-Server anmelden, um dann auf jeweils ihre Daten Zugriff zu erhalten.
Ohne Anmeldung kein Zugriff, so einfach.

Was passiert, wenn es keine Basic Authentication mehr gibt?

Fakt ist, dass Microsoft schon seit Jahren empfiehlt, möglichst alle Client-Anwendungen auf die neuere und deutlich sicherere Modern Authentication umzustellen. Sicherheitsbewusste Admins haben deshalb schon längst die alten Protokolle deaktiviert bzw. zumindest überprüft, welche Endgeräte oder Systeme unbedingt noch Basic Authentication benötigen. Diese ist nämlich bis dato noch immer verfügbar, auch wenn dringend davon abgeraten wird.

Was würde nun passieren, wenn MS Exchange die Basic Authentication einfach nicht mehr erlaubt? Gerade langlebige Produkte wie digitale Türschilder wären massiv davon betroffen.

Die Frage: „Deaktiviert Microsoft Ihre digitalen Türschilder?“ müsste man mit einem klaren JA beantworten, denn eine erstaunlich große Anzahl an Raumbuchungs-Setups wird noch immer (bzw. schon viele Jahre unverändert) mit Basic/Standard Authentication betrieben!

Und genau diesen Setups geht es jetzt endgültig an den Kragen.

Microsoft schaltet Basic Authentication ab

Während der Admin eines onPremise Exchange Servers es (noch?!) selbst in der Hand hat, wie lange er/sie eine potenziell unsichere Umgebung betreibt, sieht es in der Cloud ganz anders aus. Microsoft hat die Abschaltung der Basic Authentication für Exchange Online und Office365 schon 2019 mit ausreichender Vorwarnzeit angekündigt. Clients ohne Support für Modern Authentication können sich danach einfach nicht mehr beim Kalender-Service anmelden, Scheduling Panels gehen offline!

Diese Frist wurde Covid19-bedingt nochmals verlängert, aber nun ist es soweit. Soeben wurde im Blogpost Basic Authentication and Exchange Online – September 2021 Update ein neuer, nun finaler Termin verkündet. Auch wenn dieser noch in einiger Zukunft liegt, so sollte es doch ein Weckruf für uns alle sein!

Überprüfen Sie Ihr Setup der digitalen Türschilder

Meine Empfehlung lautet daher. Nehmen Sie diese Ankündigung zum Anlass, Ihr Raumbuchungs-System und alle damit verbundenen Komponenten aus der Sicht der IT-Security zu überprüfen.
Dazu eine kleine Checkliste:

  • Kommunizieren Ihre Scheduling Panels direkt mit Exchange? Wenn ja, entsprechen diese wirklich allen Anforderungen, welche Sie an Ihre anderen Messaging-Clients haben?
    Stichworte: Minimum Android OS, Password-Policy und natürlich auch Support für Modern Authentication
  • Verwenden Sie eine Middleware zwischen Ihren Türschildern und MS Exchange? Verwendet diese vielleicht einen zentralen Service-Account für ALLE Räume? Verwendet dieser noch Basic Authentication? Ist diese Middleware voll in Ihre IT integriert oder „geistert“ diese als Teil der Medientechnik außerhalb Ihres IT-Managements herum? Ohne regelmäßige Betriebssystem Patches?
  • Gibt es in Ihrem Setup noch andere Systeme, welche auf MS Exchange Kalender zugreifen? Zum Beispiel Digital Signage Systeme oder auch Medientechnik? Haustechnik-Zentralen für Heizung, Lüftung, Klima bzw. auch Zutritts-, Alarm- und Schrankenanlagen?
  • Was passiert, wenn Sie die Basic Authentication testweise deaktivieren?
    Hier ein exzellenter Artikel zum Thema Disable Basic Authentication.

Es ist Zeit für die nächste Generation an Türschildern

Immer mehr Geräte der Medien- und Gebäudetechnik sollen eng an MS Exchange angebunden werden. Es ist daher unabdingbar, dass diese Anbindung den neuesten IT-Security Regeln entspricht. Modern Authentication ist nur ein Teil davon, den ich für diesen Blogpost exemplarisch ausgewählt habe.

Einmal ganz abgesehen von der IT-Security:
Entspricht der Funktionsumfang Ihres Raumbuchungs-Systems überhaupt noch Ihren aktuellen Bedürfnissen? Vielleicht ist es angesichts von Return-To-Office ohnehin Zeit für eine grundlegende Erneuerung?

Die nahende Abschaltung der potenziell unsicheren Basic-Authentication ist da der geeignete Weckruf, sich mit dieser Thematik eingehend zu befassen.

Der Zeitpunkt, wo Microsoft diese finale Abschaltung macht, ist noch einige Zeit hin. ABER Ihre IT-Abteilung hat mit Sicherheit schon längst den berechtigten Wunsch, Basic Authentication endlich abzuschalten. Anstatt also zu riskieren, dass Ihre digitalen Türschilder plötzlich offline gehen, empfehle ich eine eingehende Überprüfung.

Modern Authentication on Crestron touch panels
Beispiel Crestron TSS-Serie mit Modern Authentication
Modern Authentication
Beispiel Evoko Panel mit Modern Authentication

Die ToDo-Liste ist klar:

  1. Überprüfung des Ist-Zustandes.
    Greifen noch Clients mit Basic Authentication auf Ihre Exchange-Server zu?
  2. Können diese Legacy-Systeme auf Modern Authentication umgestellt werden?
    Wenn JA, dann ist dieses zeitnah zu erledigen!
    Ist die Antwort jedoch NEIN, dann sind diese Systeme EOL (end of life) und eine Ersatzbeschaffung ist einzuleiten. Bis zum Austausch sind erhöhte Sicherheitsmaßnahmen dringend angeraten.

Die Frage „Deaktiviert Microsoft Ihre digitalen Türschilder?“ ist hoffentlich damit bestmöglich beantwortet. Microsoft macht einfach einen finalen Schritt, der aus Sicherheitsgründen schon längst überfällig war.

Gerne unterstütze ich Sie bei diesen Projekten, denn Raumbuchung ist so viel mehr als nur „Outlook on the wall“.