Studie enthüllt Branchenunterschiede bei AD-Sicherheit Bedenkliche AD-Sicherheitslage von Unternehmen

Von Bernhard Lück

Anbieter zum Thema

Organisationen aller Größen und Branchen versäumen es, Active-Directory-Sicherheitslücken (AD) zu schließen, die sie anfällig für Cyberangriffe machen können, so die Ergebnisse einer Umfrage unter IT- und Sicherheitsverantwortlichen, die Purple Knight von Semperis eingesetzt haben.

Purple Knight ist ein kostenloses AD-Sicherheitsbewertungstool von Semperis.
Purple Knight ist ein kostenloses AD-Sicherheitsbewertungstool von Semperis.
(Bild: Semperis)

Den Ergebnissen des Purple-Knight-Reports Facing the Unknown: Uncovering & Addressing Systemic Active Directory Security Failures zufolge haben Unternehmen in fünf AD-Sicherheitskategorien durchschnittlich 68 Prozent erzielt – eine durchwachsene Bewertung. Große Organisationen schnitten bei der Bewertung sogar noch schlechter ab – mit einem Durchschnittswert von 64 Prozent – was laut Semperis darauf hindeutet, dass die Herausforderungen bei der Sicherung von Active Directory mit Legacy-Anwendungen und komplexen Umgebungen zunehmen, insbesondere in großen Organisationen.

AD-Sicherheitslücken

Microsoft Active Directory (AD) war zum Zeitpunkt der Markteinführung eine revolutionäre Technologie, die ursprünglich mit dem Windows-2000-Serverbetriebssystem veröffentlicht wurde und weiterhin einen Großteil der hypervernetzten Arbeitswelt unterstützt. Microsoft AD habe sich aus einem Hauptgrund vor allen anderen Verzeichnissen durchgesetzt: Es war offen. Aufgrund dieser Offenheit und einfachen Integration sei AD bis heute eine grundlegende Infrastruktur für 90 Prozent der Unternehmen. Seine größte Stärke vor 21 Jahren sei jedoch inzwischen zu seiner besorgniserregendsten Schwäche geworden.

Die Bedrohung

Wenn Unternehmen berücksichtigen, dass ein Hacker jedes nicht privilegierte AD-Konto verwenden kann, um fast alle Attribute und Objekte in AD zu lesen, einschließlich der Berechtigungen, wodurch er Computerkonten in jeder Domäne eines AD-Forests finden kann, die mit uneingeschränkter Delegierung konfiguriert sind, dann wird deutlich, warum die standardmäßige AD-Offenheit zu einer Schwachstelle geworden ist, so Semperis. Heute sei die Identität aufgrund des Verschwindens des Netzwerkperimeters zur letzten Verteidigungslinie gegen Cyberangriffe geworden.

Forscher bei Mandiant hätten kürzlich berichtet, dass 90 Prozent der Vorfälle, die sie untersuchen, AD in der einen oder anderen Form betreffen. Einige der größten und jüngsten AD-Sicherheitsverletzungen seien SolarWinds, Hafnium und der Colonial-Pipeline-Angriff gewesen. Sie hätten aufgrund ihres Ausmaßes und der durch den Ausfall von Microsoft AD verursachten Unterbrechung Schlagzeilen gemacht.

Purple Knight

Semperis betrachtet sich als Pionier in der Verwaltung und dem Schutz der Identitätsnachweise in hybriden Umgebungen. Das Unternehmen hat nun die Daten von 1000 IT- und Sicherheitsleitern, die das im letzten Jahr eingeführte kostenlose AD-Sicherheitsbewertungstool Purple Knight eingesetzt haben, ausgewertet. Die wichtigsten Ergebnisse seien:

  • Organisationen erzielten in den fünf Active-Directory-Sicherheitskategorien AD-Delegierung, Kontosicherheit, AD-Infrastruktursicherheit, Gruppenrichtliniensicherheit und Kerberos-Sicherheit insgesamt durchschnittlich 68 Prozent. Das ist kaum bestanden.
  • Große Organisationen schnitten sogar noch schlechter ab – mit einem Durchschnittswert von 64 Prozent – was darauf hindeutet, dass die Herausforderungen bei der Sicherung von Active Directory mit Legacy-Anwendungen und komplexen Umgebungen zunehmen, insbesondere in großen Organisationen.
  • Organisationen meldeten die niedrigsten Punktzahlen für die Account-Sicherheit, die Einstellungen für individuelle Konten abdeckt, wie z.B. privilegierte Konten mit einem Passwort, das nie abläuft.
  • Versicherungsunternehmen meldeten die niedrigsten Gesamtpunktzahlen (55 %), gefolgt von Gesundheitswesen (63 %) und Transportwesen (64 %).
  • Transportunternehmen meldeten völlig ungenügende Ergebnisse bei Gruppenrichtlinien (36 %) und Account-Sicherheit (46 %).
  • Betreiber öffentlicher Infrastrukturen erzielten insgesamt die höchste Punktzahl (71 %), gefolgt von staatlichen Stellen (70 %).

Nach Angaben von Semperis nannten die Befragten verschiedene Katalysatoren für das Herunterladen der Sicherheitsbewertung, die von einer Zunahme von Angriffen in ihren Branchen über organisatorische Mandate bis hin zur Behebung von Sicherheitsverletzungen reichten. Viele der Befragten seien von den Ergebnissen ihrer Purple-Knight-Berichte sehr überrascht worden. Zudem habe die Studie auch Folgendes ergeben:

  • Fehlkonfigurationen nehmen in Organisationen mit veralteten Active Directory-Implementierungen zu.
  • Organisationen haben mit einem Mangel an Active Directory-Expertise zu kämpfen.

„Verzeichnisdienste bilden das Herzstück der IT-Strategien der meisten Unternehmen und sind als solche zu unternehmenskritischen Vermögenswerten geworden, die schwerwiegende Folgen haben können, wenn sie kompromittiert werden – wie wir aus dem gelernt haben der mittlerweile berüchtigte Supply-Chain-Angriff von SolarWinds und der Hafnium-Angriff auf Microsoft Exchange“, so Analyst Garrett Bekker in einem kürzlich erschienenen Bericht von 451 Research.

Über den Report sagt Mickey Bresman, CEO von Semperis: „Wir haben gesehen, dass viele Unternehmen kein gutes Verständnis für die Angriffe auf Active Directory haben, die Angreifer gegen sie verwenden können. Wir wollten Sicherheitsteams ohne umfassende AD-Expertise eine Möglichkeit bieten, ihre AD-Sicherheitslage zu verstehen – und dann alle bestehenden Lücken schließen, damit Angreifer diese nicht gegen sie verwenden.“

Wissen hilft für effektives Handeln

Der Bericht enthalte weitere Informationen zu den gekennzeichneten Sicherheitsindikatoren, Antworten der IT- und Sicherheitsverantwortlichen zu den Erkenntnissen für ihre Organisation und vor allem zu den Maßnahmen, die sie ergreifen, um diese Lücken zu schließen.

(ID:48352382)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung