Berechtigungskontrolle Insider-Angriffe übers Active Directory verhindern

Autor / Redakteur: Bert Skorupski* / Stephan Augsten

IT-Security-Bedrohungen durch eigene Mitarbeiter sind sehr ernst zu nehmen. Egal, ob aus Fahrlässigkeit oder böswilliger Absicht: Mitarbeitern und IT-Dienstleistern stehen unendlich viele Möglichkeiten für einen Datenmissbrauch offen.

Anbieter zum Thema

In vielen IT-Umgebungen ist nicht ganz klar, wer sich eigentlich so alles im Active Directory tummelt.
In vielen IT-Umgebungen ist nicht ganz klar, wer sich eigentlich so alles im Active Directory tummelt.
(Bild: Archiv)

Es gibt wohl kaum ein beliebteres Ziel für Insider-Angriffe, als das Microsoft Active Directory (AD). Dieses enthält nicht nur vertrauliche Daten, es steuert auch den Zugriff darauf und ist bei einer Vielzahl von Unternehmen weltweit im Einsatz.

Microsoft selbst schätzt, dass täglich rund ein Fünftel aller Active-Directory-Benutzerkonten von einem Angriff von außen oder Missbrauch von innen betroffen ist – oft auch durch eine Kombination von beidem. Active Directory ist von Haus aus sicher, aber ebenso wie bei einer Schlüsselkarte oder dem Passwort, nutzen alle Sicherheitsvorkehrungen nichts, wenn sie in die falschen Hände geraten.

Die verantwortlichen IT-Mitarbeiter tun sicherlich alles, um angemessene Benutzerrechte festzulegen und zu überwachen. Benutzerrechte entziehen, Whitelists einrichten, ein fein abgestuftes Modell geringer Berechtigungen aufbauen oder Benutzerrechte nach einem Jobwechsel innerhalb des Unternehmens ändern – all das bedeutet einen erheblichen Aufwand.

Bei den Cyber-Angriffen von außen und innen lassen sich eine Reihe von Szenarien unterscheiden:

  • Industriespionage durch fremde Länder;
  • Detailliert geplante Aktionen zum Diebstahl von Geschäftsgeheimnissen;
  • Benutzernamen und Passwörter, die bei einem Lieferanten durch einen Phishing-Angriff gestohlen wurden;
  • Auf dem Schwarzmarkt erworbene Kreditkartendaten, die von berechtigten Benutzern kopiert und dort verkauft wurden;
  • Verärgerte ehemalige Mitarbeiter, die ihre Benutzerrechte einsetzen, um im Nachhinein vertrauliche Daten zu entwenden;
  • Frustrierte Beschäftigte, die vertraulich von Vorgesetzen erhaltene Berechtigungen missbrauchen.

Anatomie eines Insider-Angriffs

Wo der Wille zum Datendiebstahl besteht, finden Anwender auch einen Weg. Sie nutzen dazu ihren Active-Directory-Zugang und verwischen ihre Spuren, ohne dass ein Alarm ausgelöst wird.

Ein IT-Dienstleister mit Administratorenzugang etwa könnte ein neues Administratorenkonto anlegen. Mit diesem verschafft er sich Zugang zu einer autorisierten, verschachtelten Gruppe innerhalb der Domain Admins Group und verfügt damit über Domain-Admin-Privilegien, ohne dass dies jemandem auffällt; denn die nativen Logs zeichnen nur Änderungen direkt in der Domain Admins Group auf.

Als nächstes könnte er ein Group-Policy-Objekt ändern, das normalerweise Admins am Zugang zu SQL-Server-Datenbanken hindert, in denen Kreditkartendaten gespeichert sind. Auch diese Aktion wird in den nativen Logs nicht aufgezeichnet. Ist der gefälschte Account einmal Teil der Local Admin Group, ist es nicht mehr weit bis zu den Kreditkartendaten, die dann völlig geräuschlos entwendet werden können.

Best Practices für mehr AD-Sicherheit

Auch wenn es kein Universalmittel für eine hohe Active-Directory-Sicherheit gibt, haben sich dennoch einige Best Practices als sehr wirksam erwiesen:

  • Für besonders gefährdete Gruppen werden zeitlich begrenzte Zugriffsrechte vergeben. Statt einer unbefristeten Mitgliedschaft in einer Gruppe gibt es temporäre Zugehörigkeiten mit einem eindeutigen Anfangs- und Enddatum;
  • Es darf keine Schlupflöcher geben, um unautorisiert Benutzerkonten anzulegen. Dies darf nur eine kleine Gruppe eigens definierter Administratoren. Versucht ein anderer, ein Benutzerkonto anzulegen, wird sofort Alarm ausgelöst. Zudem müssen alle Änderungen an zentralen Einstellungen und in den Gruppen ausnahmslos aufgezeichnet werden;
  • Es werden Funktionen eingerichtet, um bei jeder verdächtigen Aktion oder der Veränderung von Benutzerrechten sofort einen Alarm auszulösen. Das gleiche gilt für Datenbanken und Server mit vertraulichen Daten;
  • Es gibt automatisierte Verfahren zur Abmeldung von Benutzern. Wechselt ein Mitarbeiter in eine andere Abteilung oder scheidet er aus, werden all seine bisherigen Berechtigungen und Konten, einschließlich des VPN-Zugangs, automatisch deaktiviert oder gelöscht.

Ob unbeabsichtigt oder bösartig: Insider-Angriffe richten immer einen immensen Schaden an. Unternehmen müssen sich daher ständig von Neuem für ein Abwägen zwischen einer weitgehend autonomen Arbeit von Systemadministratoren und einer restriktiven Vergabe von Zugriffsrechten für bestimmte Tätigkeiten entscheiden.

Daher ist es sinnvoll, sich auf mehrere konkrete Risikoszenarien vorzubereiten und für deren Abwehr Schutzmaßnahmen zu entwickeln. Das stärkt nach Meinung von Dell die Active-Directory-Security und verbessert die generelle IT-Sicherheitslage.

* Bert Skorupski ist Senior Manager Sales Engineering bei Dell Software.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:43756214)