Wie Unternehmen das Active Directory gegen Cyberangriffe abschotten – und warum das dringend notwendig ist

Wie Unternehmen das Active Directory gegen Cyberangriffe abschotten – und warum das dringend notwendig ist

Bei vielen Ransomware-Attacken nutzen Kriminelle das Active Directory als Einfallstor. Der Verzeichnisdienst benötigt darum nicht nur besonderen Schutz, er muss auch im Schadensfall so schnell wie möglich wiederhergestellt werden. Bei der Absicherung hilft ein fünfstufiger Ansatz nach den Prinzipien des NIST Cybersecurity Frameworks.

Hochprofessionelle Cyber-Attacken und ein riesiges Arsenal an Schadprogrammen machen Unternehmen immer mehr zu schaffen: Bis zu 553.000 neue Schadsoftware-Varianten registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2021, und das jeden Tag. Insbesondere bei Ransomware-Angriffen gab es eine „deutlichen Ausweitung“.

Gefahr droht dann nicht nur durch Datendiebstahl und Lösegeldforderungen. Nach einer Ransomware-Attacke kann die gesamte Firma stillstehen – das gefährdet den Geschäftsbetrieb. Damit das nicht passiert, müssen sich Unternehmen so schnell wie möglich erholen.

Das Active Directory als Einfallstor

Bei vielen Ransomware-Attacken haben Kriminelle das Active Directory (AD) als Einfallstor genutzt, wie Gartner vermeldet. Kein Wunder, denn der zentrale Verzeichnisdienst ist eine Kernkomponente der IT-Infrastruktur. Das hybride AD on-premises und in Azure regelt, welche Ordner, Drucker, Datenbanken oder sonstigen Ressourcen Mitarbeiter verwenden dürfen. Mit Azure AD werden zudem Identitäten zur Autorisierung in der Cloud verwaltet, beispielsweise für Zugriffe auf Microsoft 365.

Microsoft registrierte 2021 mehr als 25 Milliarden Angriffe auf Azure-AD-Accounts. Wer sich Zugriff etwa auf Anmeldeinformationen verschafft, kann Software einschleusen oder Berechtigungen verändern.

Das Active Directory bildet zusätzlich den Schlussstein der gesamten Infrastruktur. Die Absicherung von Applikationen, Datenbanken, Endgeräten und Daten allein nützt nichts, wenn der Verzeichnisdienst nicht funktioniert – dann können Mitarbeiter sich nicht einloggen und darauf zugreifen. „Ein nicht intakter Active-Directory-Wiederherstellungsprozess“ behinderte laut Gartner bei vielen Ransomware-Attacken die Rückkehr zum normalen Geschäftsbetrieb.

Unternehmen sollten darum unbedingt ihre Abwehrkräfte gegen Bedrohungen des Active Directory stärken – und es besonders abschotten. Doch mit Bordmitteln ist ein umfassender Schutz nicht möglich, unter anderem, weil Angreifer ihre Vorgehensweise ständig verfeinern und veränderte Konfigurationen für neue Schwachstellen sorgen können. Welche Aspekte für eine umfassende Absicherung zentral sind, erklärt das NIST-Framework.

NIST-Cybersecurity-Framework: Fünf Prinzipien, um die Resilienz zu stärken

Das NIST-Cybersecurity-Framework ist ein Modell, mit dessen Tools und Methoden Unternehmen ihre Cyber-Sicherheit verbessern können. Der Standard des US-amerikanischen National Institute of Standards and Technology wird ständig weiterentwickelt. Die fünf NIST-Richtlinien für eine hohe Cyber-Resilienz sind:

  • Identifizieren von Risiken, Schwachstellen und Assets.
  • Schützen der Infrastruktur.
  • Erkennen von Anomalitäten durch kontinuierliche Überwachung.
  • Schnell reagieren, um Schaden durch Angriffe gering zu halten. 
  • Wiederherstellen der Daten und Systeme, um den Geschäftsbetrieb fortzusetzen.

NIST in der Praxis: Fünf Stufen der Abwehr gegen Angriffe

Um das hybride Active Directory in jeder Phase einer Attacke zu schützen, ist ein mehrstufiger Ansatz nötig. Die NIST-Prinzipien lassen sich darauf übertragen:

  • Identifizieren: Unternehmen müssen wissen, über welche Ressourcen Angreifer keinesfalls Kontrolle erlangen dürfen und welche Pfade potenziell einen Zugriff ermöglichen.
  • Schützen: Kritische Teile des Active Directorys müssen besonders abgesichert werden. Häufig versuchen Angreifer beispielsweise, Gruppenrichtlinien auszunutzen. Berechtigungen für Nutzer müssen so minimal wie möglich sein: Jeder sollte nur die besitzen, die er für seine Arbeit benötigt, nicht mehr.
  • Erkennen: Alle Anwender im Active Directory bieten eine potenzielle Angriffsfläche. Ihr Verhalten bei Autorisierung und Ressourcenzugriff muss in Echtzeit überwacht werden, um Anomalitäten umgehend zu bemerken – etwa, wenn sich jemand zu ungewöhnlichen Zeiten anmeldet, plötzlich auf andere Dateien zugreift oder Passwörter administrativer Konten zurücksetzt. Dann muss automatisch ein Alarm ausgelöst werden.
  • Reagieren: Unternehmen müssen sehr schnell auf Bedrohungen reagieren und dafür möglichst viele Informationen sammeln. Ebenso müssen sichere Verwaltungsmethoden für das Active Directory umgesetzt werden.
  • Wiederherstellen: Das Active Directory muss im Fall eines Angriffs schnell wieder verfügbar sein – auch dann, wenn nach Manipulationen beispielsweise User umbenannt wurden. Ein Backup der Domänen-Controller ist essenziell, mit dem frühere Zustände der AD Gesamtstruktur zurückgeholt werden können.

Wie Quest Unternehmen beim Schutz des Active Directory unterstützt

Diese fünf Bausteine müssen idealerweise kontinuierlich und in Echtzeit immer wieder überprüft und umgesetzt werden. Bei der Umsetzung erhalten Unternehmen Unterstützung von den Spezialisten von Quest. Verschiedene Tools und Services der Sicherheitsexperten decken alle fünf Bereiche ab. Die Bausteine lassen sich auch modular einsetzen, je nachdem, welche Sicherheitsvorkehrungen eine Organisation schon getroffen hat oder wo sie am schwächsten aufgestellt ist.

Die Quest-Lösungen ergänzen oder ersetzen die bereits integrierten Sicherheitsfunktionen im Active Directory. Sie schotten damit nicht nur das Active Directory vor Cyber-Attacken ab und decken Anomalitäten umgehend auf, sondern helfen auch bei der schnellen Wiederherstellung, falls es trotz aller Sicherheitsmaßnahmen zu einem erfolgreichen Angriff kommt.

kommentar field

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert