Ein großer Umbruch für Unternehmen, die Microsoft Exchange Online nutzen, steht bevor. Die Basisauthentifizierung (Basic Authentication), eine Methode, die seit Jahrzehnten in der IT-Welt Standard war, wird bis spätestens September 2025 vollständig abgeschaltet. Der Schritt, hin zu moderneren Mechanismen wie der Modern Authentication, ist ein entscheidender Teil der Sicherheitsstrategie von Microsoft.
Doch was bedeutet das für Unternehmen und Anwender? Welche Vorteile bringt die Umstellung und welche Herausforderungen stehen bevor? Ein genauer Blick auf die Entscheidung, Basic Auth zu beenden, zeigt die Risiken des alten Systems sowie die Chancen der neuen Technologien auf.
Basisauthentifizierung – Ein veraltetes System
Was ist Basic Auth?
Die Basisauthentifizierung ist eine einfache Methode, bei der Benutzername und Passwort bei jeder Anfrage unverschlüsselt übermittelt werden. Dies macht sie anfällig für Cyberangriffe wie Phishing und das Abfangen von Zugangsdaten. Traditionell galt sie als einfach und unkompliziert – doch in einer Welt, in der Datensicherheit oberste Priorität hat, ist diese Methode nicht mehr zeitgemäß (Quelle).
Warum ist sie unsicher?
Ohne zusätzliche Schutzmaßnahmen wie TLS-Verschlüsselung können Angreifer Datenpakete abfangen und Zugangsdaten stehlen. Darüber hinaus ist die Integration von sicherheitskritischen Funktionen wie Multi-Faktor-Authentifizierung (MFA) mit Basic Auth kaum realisierbar.
Microsofts Entscheidung, die Basisauthentifizierung abzuschaffen, zielt darauf ab, Risiken zu minimieren und die Benutzer zu sichereren Technologien überzuführen.
Der Übergang zu Modern Authentication
Was ist Modern Authentication?
Modern Authentication basiert auf OAuth 2.0, einem Token-basierten Authentifizierungsprotokoll, das Benutzern und Anwendungen begrenzte, zeitlich gebundene Zugriffstokens bereitstellt. Zusätzlich ermöglicht es eine einfache Implementierung von MFA und bietet erheblich mehr Sicherheit und Kontrollmöglichkeiten für Administratoren.
Token können nicht wiederverwendet werden und enthalten spezifische Informationen wie Anwendungsname und Berechtigungen. Selbst bei Verlust des Tokens bleibt der Schaden oft begrenzt (Quelle).
Vorteile von Modern Authentication
- Bessere Sicherheit
– Schutz vor Credential Stuffing und Brute-Force-Angriffen.
– Unterstützung von MFA für zusätzlichen Schutz. - Benutzererfahrung
– Kein ständiges Eingeben von Passwörtern dank Single Sign-On (SSO). - Kontrolle durch Administratoren
– Geräte- und Benutzerrichtlinien können einfacher durchgesetzt werden.
Microsofts Zeitplan
Die vollständige Abschaffung der Basisauthentifizierung wird bis September 2025 umgesetzt. Bereits seit 2021 wurden erste Benachrichtigungen an Unternehmen gesendet, die Basic Auth noch nutzen. Im Januar und August 2025 werden erneut Warnungen im Admin Center veröffentlicht, bevor schließlich die endgültige Deaktivierung erfolgt (Quelle).
Auswirkungen auf Unternehmen
Wer ist betroffen?
Besonders betroffen sind Unternehmen, die Apps oder Geräte im Einsatz haben, die noch auf Basisauthentifizierung zurückgreifen. Dazu gehören häufig ältere E-Mail-Clients wie Outlook 2010 oder Apps, die Protokolle wie POP, IMAP oder SMTP AUTH verwenden.
Die Umstellung erfordert oft ein Update auf kompatible Anwendungen oder eine Anpassung von individuellen Lösungen. Laut Microsoft ist es wichtig, vorzeitig zu prüfen, welche Systeme betroffen sind, um Ausfälle zu vermeiden (Quelle).
Kosten der Umstellung
Während die Modernisierung kurzfristig Investitionen erfordert, ermöglicht sie langfristige Einsparungen durch höhere Effizienz und reduzierten Aufwand bei Sicherheitsvorfällen. Dennoch sollten Unternehmen frühzeitig Zeit und Budget einplanen, um die Umstellung reibungslos zu gestalten.
Machen Administratoren genug?
Viele IT-Abteilungen sind sich der Abschaltung bewusst, aber bis zu 20 % der Unternehmen sind noch nicht vorbereitet. Schulungen und frühzeitige Tests der neuen Authentifizierungsmechanismen können helfen, Risiken zu minimieren.
Alternativen für Unternehmen
Microsoft bietet Lösungen für jene, die ihre Legacy-Systeme nicht sofort ersetzen können, oder für spezielle Anwendungsfälle.
High Volume Email für Microsoft 365
Diese Lösung eignet sich für Unternehmen, die eine große Anzahl interner E-Mails senden. Sie bietet eine sichere Verbindung und ist speziell für geschäftskritische Anwendungen konzipiert.
Azure Communication Services Email
Für Unternehmen mit hohen Anforderungen an B2C-Kommunikation bietet Azure Communication Services eine Plattform für zentralisierte Verwaltung und Überwachung von ausgehenden E-Mails (Quelle).
Drittanbieter wie SendGrid
Falls ein Wechsel zu Modern Authentication nicht möglich ist, können externe Dienstleister wie SendGrid als Zwischenlösung genutzt werden.
Empfehlungen für spezifische Protokolle
- Outlook-Nutzer: Upgrade auf Outlook 2013 oder neuer.
- POP/IMAP-Systeme: Aktivierung von OAuth mit Updates bestehender Clients.
Eine umfassendere Übersicht zu Alternativen finden Sie in der Microsoft-Dokumentation.
Sicherheit steht im Vordergrund
Microsofts Zero Trust-Ansatz
Microsoft treibt mit dieser Veränderung die Einführung des Zero Trust Frameworks voran. Dieses Modell operiert nach dem Prinzip „Never Trust, Always Verify“ und überprüft in Echtzeit, wer auf welche Daten in einem System zugreift.
Mit Modern Authentication gestützte Systeme ermöglichen bedrohungsbasierte Zugriffe, die die Sicherheit auf ein neues Niveau heben.
Reduzierung von Cyberangriffen
Viele große Cyberangriffe der letzten Jahre – einschließlich Credential Stuffing und Phishing – hätten mit moderner Authentifizierung weitgehend verhindert werden können. Gerade in Branchen wie Gesundheitswesen und Finanzen, die besonders sensible Daten speichern, ist dieser Schritt entscheidend.
Vorteile im Wettbewerb
Unternehmen, die auf die Modernisierung ihrer IT setzen, senden ein starkes Signal an ihre Kunden und Partner. Sicherheit ist in der modernen Geschäftswelt ein Wettbewerbsvorteil, den Verbraucher zunehmend fordern.
Fazit
Die Abschaffung der Basisauthentifizierung durch Microsoft Exchange Online markiert einen wichtigen Meilenstein in der Entwicklung hin zu sichereren Systemen. Für Unternehmen bedeutet dies Umstellungen, aber auch langfristige Vorteile durch höhere Sicherheit und Effizienz. Mit einem klaren Zeitplan, flexiblem Alternativen und Modern Authentication als neuer Standard zeigt Microsoft, wie eine umfassende Sicherheitsstrategie erfolgreich umgesetzt wird.
Für Firmen, die noch nicht mit der Migration gestartet haben, ist jetzt der richtige Zeitpunkt, das Thema aktiv anzugehen – nicht nur, um Sicherheitsrisiken zu minimieren, sondern auch, um die eigene Wettbewerbsfähigkeit zu stärken.
Ihre Meinung: Ist Microsofts Ansatz ein Schlüsselfaktor für die Zukunft der IT-Sicherheit? Teilen Sie Ihre Ansichten in den Kommentaren!