Antiquitäten sind schön!

Nur leider nicht in der IT. Vor wenigen Tagen hat Microsoft angekündigt, Basic Auth in Exchange Online im Oktober 2022 abzuschalten. Da dachte ich mir: jetzt wird es wieder witzig.

Ich wage zu orakeln: in präzise 12 Monaten werden wir von der einschlägigen "Fachpresse" Schlagzeilen mit Titeln wie "Microsoft hindert zahlende Kunden am Mailempfang" oder etwas anderes, ähnlich reißerisches zu lesen bekommen.

Viele der Aktionen, für die Hersteller kräftig Negativ-Presse kassieren, dienen exakt einer Sache: die Systeme sicherer zu machen. Und mit absoluter Zuverlässigkeit werden Ankündigungen von Spezialisten, Entscheidern und vor allem von Programmierern kategorisch ignoriert. So auch hier:

Wenn ein Programm Mails via Exchange verschicken möchte, muss es sich am Server anmelden. Basic Auth bedeutet vereinfach formuliert, dass diese Anmeldung in Form von Benutzername + Passwort erfolgt - angesichts der mittlerweile für jeden User ohne den Wunsch gehackt zu werden unumgänglichen Multifaktor-Authentifizierung ist dies ein riesengroßes Sicherheitsproblem.

Modern Authentication ist die "neue" Technologie, die der aktuellen Sicherheitsanforderung gerecht wird. Nur leider unterstützen reihenweise Anbieter von renommierter Software nur den völlig veralteten Basic-Auth und viele davon machen keinerlei Anstalten, ihren Softwaremüll auf aktuellen Sicherheitsstand zu bringen.

Um es nochmals klarzustellen: Microsoft kündigt heute an, in einem Jahr den alten Mist abzuschalten. Dennoch werden reihenweise Anbieter genauso davon überrascht werden, wie es Menschen gibt, für die jedes Jahr Weihnachten völlig überraschend kommt.

Besonders lächerlich ist die hier zur Schau gestellte Ignoranz angesichts dessen, was Otto Normalverbraucher nicht mitbekommt: in dieser Veröffentlichung vom 20. September 2019(!) erklärt Microsoft Basic Auth für veraltet und ruft dringend zur Anpassung der entsprechenden Software auf.

Und wir werden es trotzdem erleben - nach sage und schreibe drei Jahren Ankündigungsfrist gibt es 2022 garantiert immer noch Hersteller, die völlig überrascht werden. Versprochen.

Mein Tipp: erstellen Sie doch mal eine Liste der Programme, die außer Outlook Mails in Ihrem Unternehmen verschicken und stellen Sie die eine oder andere Frage beim Hersteller - z.B. "unterstützt Ihre Software Modern Authentication". Wenn die Antwort nicht "ja natürlich" lautet, ist äußerste Vorsicht angesagt - der Oktober 2022 ist in wenigen Tagen ;-)