:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Catch me if you can! So sichern Sie Ihr Active Directory ab
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Hat es ein Eindringling geschafft, sich ins Active Directory einzuschleichen, so beginnt ein Wettlauf gegen die Zeit: der Übeltäter muss gefasst werden, bevor er an das Gold in Form von Daten kommt. Wie das geht, erfahren Sie hier.
Active Directory (AD) ist ein Verzeichnisdienst für Windows-Netzwerke, der es ermöglicht, unternehmensinterne Strukturen abzubilden und Benutzer, Gruppen und Ressourcen (wie z.B. Drucker oder Computer), Ordnerfreigaben und Berechtigungen einfach und flexibel zu verwalten. Auch heute, mehr als zwei Jahrzehnte nach seiner Einführung, ist der Dienst aus dem Alltag in Windows-gesteuerten Umgebungen nicht mehr wegzudenken.
Obwohl Active Directory in den vergangenen Jahren stets verbessert und weiterentwickelt wurde – unter anderem besteht es seit Windows Server 2008 aus insgesamt fünf Diensten, welche unterschiedliche Aufgaben erfüllen – war es bei seiner Schaffung absolut nicht darauf ausgelegt, in einer Cloud-gesteuerten Welt gegen Cyberangriffe zu bestehen – und ist es bis heute nicht. Demnach weist Active Directory einige signifikante Schwachstellen auf, die sich Angreifer zunutze machen können. Diese gilt es abzusichern.
Allerdings zielt der moderne Ansatz zur Absicherung des Active Directory nicht ausschließlich darauf ab, potenzielle Eindringlinge daran zu hindern, sich ins Netzwerk einzuschleusen. Vielmehr geht man nach dem Assume-Breach-Paradigma davon aus, dass Hacker es ohnehin schaffen werden, einen Weg hineinzufinden – zu rissig und veraltet ist der äußere Schutzwall des Active Directory, um Angreifer zu 100 Prozent abwehren zu können. Zeitgemäßer ist daher der Ansatz, die Störenfriede im Inneren so schnell wie möglich aufzuspüren und zu erwischen, bevor sie an wichtige und vertrauliche Daten herankommen. Das Stichwort lautet also: Zeitoptimierung.
Cyber Kill Chain: Angriffe nachvollziehen
Zuerst ist es wichtig, den typischen Angriffszyklus eines externen Angreifers nachvollziehen zu können, um darauf zu reagieren. Zu diesem Zweck hat der amerikanische Rüstungs- und Technologiekonzern Lockheed Martin, in Anlehnung an militärische Verteidigungsmodelle, die so genannte Cyber Kill Chain erarbeitet, welche einen Hacker-Angriff in 7 Phasen aufteilt:
- 1. Erkundung – sammeln von E-Mail-Adressen und Informationen über das Ziel.
- 2. Vorbereitung – ein Brückenkopf in Form einer Backdoor wird platziert, der späteren Zugriff von außen ermöglicht.
- 3. Übermittlung eines verseuchten Pakets an das Opfer, z.B. einen schädlichen Link per E-Mail.
- 4. Ausnutzung einer Sicherheitslücke, um schadhaften Code im System des Opfers zu platzieren.
- 5. Installation von Malware auf dem anvisierten Gerät.
- 6. Kommunikationskanäle werden eröffnet, um die Schadsoftware aus der Ferne zu steuern.
- 7. Missbrauch und Manipulation von Zugängen und Berechtigungen, um Systeme zu zerstören und Daten zu kopieren.
Im ersten Schritt wollen Angreifer sich also Zugang zum Inneren des Systems verschaffen, um sich in weiterer Folge seitwärts bewegen zu können („Lateral Movement“), um so noch mehr Privilegien abzugreifen. Mit diesen bewaffnet machen sie sich dann auf die Suche nach dem eigentlichen Zielobjekt, nämlich den sensiblen und vertraulichen Daten, um diese zu kopieren bzw. zu stehlen und das System, z.B. im Zuge eines Ransomware-Angriffs lahmzulegen.
Das Mitre Att&ck Network bietet eine detaillierte Auflistung von Angriffsmethoden in jeder Phase der Cyber Kill Chain (und darüber hinaus) sowie Empfehlungen, wie dagegen vorgegangen werden kann.
Zeit ist alles
Wie zuvor erwähnt muss davon ausgegangen werden, dass ein Angreifer es auf irgendeinem Weg (z.B. über Phishing) schaffen wird, ins System einzudringen. Laut dem IBM Cost of Data Breach Report 2022 waren 86 Prozent der befragten Unternehmen sogar schon zweimal Opfer eines Hacker-Angriffs. Die Wahrscheinlichkeit, früher oder später von einem solchen Angriff betroffen zu sein, ist für Unternehmen also sehr hoch.
Die „gute“ Nachricht allerdings lautet: das Eindringen allein reicht noch nicht aus. Je nachdem, wo der Angreifer im System landet, muss er nun weitere Aktionen setzen, um zum Goldschatz – also den vertraulichen Firmendaten – durchzudringen. Das heißt: ab jetzt tickt die Uhr. Denn die Suche nach den Daten kann Tage bis hin zu Wochen dauern. Das Ziel von Verteidigern muss es also einerseits sein, dem Dieb den Weg zu den Daten so beschwerlich wie möglich zu machen, damit er länger braucht, um an sie heranzukommen – wie in der Illustration dargestellt – und andererseits, den eigenen Workflow sowie die Tools zur Erkennung und Vertreibung des Übeltäters ebenso zu optimieren.
5 Best Practices zur erfolgreichen Absicherung von Active Directory
Unlängst wurde eine kritische Sicherheitslücke in Outlook entdeckt, welche eine Hacker-Truppe mit dem klangvollen Namen Fancy Bear ein Jahr lang nutzen konnte, um sich bei ihren Zielen über verseuchte E-Mails einzuschleusen. Es war dabei nicht einmal notwendig, dass der Empfänger der E-Mail auf einen präparierten Link klickt – schon beim Eingang der E-Mail selbst wurde die Schadsoftware ausgeführt. Wie konnte diese Lücke so lange unentdeckt bleiben?
Die Antwort ist komplex, weil auch Active Directory, trotz aller Benutzerfreundlichkeit, komplex ist. Bei tausenden Aktionen, die jeden Tag im System stattfinden, ist es für Administratoren und IT-Fachkräfte schwierig, den Überblick zu behalten – vor allem mit den von Microsoft selbst zur Verfügung gestellten Tools.
- 1. Least Privilege Prinzip
So bietet Microsoft zum Beispiel zur Umsetzung des Least-Privilege-Prinzips keine geeigneten Optionen an, obwohl dies eine der Top-Maßnahmen zur Absicherung von Active Directory ist. Denn: ein Angreifer kann nur auf jene Daten zugreifen, auf die auch das gehackte Benutzerkonto Zugriff hat. Hat ein Benutzer mehr Rechte als er für seine Arbeit braucht, so stellt dieser Umstand ein enormes Sicherheitsrisiko dar. Es ist daher wichtig, den gesamten Lebenszyklus von Mitarbeitenden in einem Unternehmen – vom Tag des Eintritts, über Abteilungswechsel, bis hin zum Austritt – berechtigungstechnisch abzudecken. Das heißt, nicht mehr benötigte Berechtigungen müssen sofort entzogen werden. Um dieses Ziel umzusetzen, müssen Unternehmen jedoch auf externe Lösungen setzen.
- 2. Überwachung
Ein gekapertes Benutzerkonto weist meistens unübliches Verhalten auf: Anmeldeversuche zu ungewöhnlichen Uhrzeiten oder von unüblichen Orten sowie Mehrfachversuche. All das sind Hinweise darauf, dass ein Konto kompromittiert wurde. Daher sind Tools zur Überwachung von Benutzerkonten unabdingbar.
- 3. Starke Passwortrichtlinie
Microsoft selbst führt eine Liste von Wörtern, die bei der Passwortrichtlinie eines jeden Unternehmens ausgeschlossen werden sollten, z.B. jegliche Kombination des Firmennamens oder der Location sowie Jahreszeiten und Jahreszahlen. Außerdem ist eine Mindestzahl von 15-20 Zeichen empfehlenswert.
- 4. Regelmäßige Patches
Auch wenn es lang dauerte, konnte die Sicherheitslücke CVE-2023-23397, die sich Fancy Bear zunutze gemacht hatte, letztendlich durch einen Patch geschlossen werden. Patches sollten in jedem Fall sofort bei Verfügbarkeit installiert werden (Stichwort: Patchday).
- 5. Multi-Faktor-Authentifizierung (MFA)
Bei jeder Anwendung, die MFA unterstützt, sollte diese auch angewendet werden. Dies bildet einen besonders hilfreichen Schutzmantel, denn so steht ein Angreifer trotzdem vor verschlossenen Türen, auch wenn er das Passwort kennt.
Die folgende Tabelle stellt weitere wichtige Schwachstellen und Angriffsmöglichkeiten in Active Directory gegenüber den möglichen Maßnahmen zur Abwehr dar:
| Angriffsmethode / AD-Schwachstelle | Beschreibung | Best-Practice-Maßnahme zur Behebung |
|---|---|---|
| Phishing | Es wird versucht, Benutzer dazu zu verleiten, auf einen schädlichen Link in einer E-Mail zu klicken oder ihre Login-Daten preiszugeben. | Mitarbeitende ausführlich zum Thema IT-Security schulen, insbesondere zum Umgang mit fremden E-Mails und darin enthaltenen Links. |
| Password Spraying / Credential Stuffing | Es wird ein bekanntes Passwort bei weiteren Benutzerkonten des gleichen Benutzers ausprobiert. | Azure AD Password Protection Agent auf jedem lokalen Domain Controller installieren; Wo möglich 2-Faktor- bzw. Multi-Faktor-Authentifizierung anwenden; Starke Passwortrichtlinie einführen, die Zeichenanzahlen vorgibt und gewisse Wörter verbietet; Benutzer dahingehend schulen, niemals das gleiche Passwort für mehrere Konten zu benutzen. |
| Single-Faktor-Authentifizierung (1FA) | Viele Eintrittspunkte verlangen nur ein Passwort (1FA), z.B. Outlook Web App, Office 365 in der Microsoft Cloud, VPN, SMB (Windows File Sharing), Remote Desktop Protocol. Wer das eine Passwort kennt, kann sich einfach anmelden. | Wo möglich Multi-Faktor-Authentifizierung einführen. |
| Drucker & Scanner | Oftmals so konfiguriert, dass sie z.B. gescannte Dateien direkt auf Fileshare ablegen oder per E-Mail durchsenden. D.h., sie haben eine Form von Zugriff, die missbraucht werden kann – jeder, der internen Netzwerkzugriff hat, kann auf diese Drucker zugreifen und von dort einen Weg zu den Daten oder dem Passwort finden. | Drucker in eigene Netzwerke anbinden, auf die ausschließlich Drucker-Server Zugriff haben. Mehr Infos zur Absicherung von Druckern. |
| Kerberoasting | Kerberos ist das Authentifizierungsprotokoll in Active Directory und kann über Golden-Ticket, Silver-Ticket oder Pass-the-Hash-Attacken missbraucht („roasted“) werden. | AD-Umgebung mit Tools wie Rubeus nach Benutzerkonten absuchen, die von Kerberoasting betroffen sein könnten, also Schwachstellen aufweisen, und mithilfe einer guten Passwortrichtlinie absichern bzw. einige Zeit beobachten, ob und wie diese Konten genutzt werden. Falls ein Service nicht genutzt wird, den Service Principal Name entfernen. |
| Geteilte sensible Daten auf Fileservern | User teilen Daten auf unterschiedlichen Servern, die dann dort liegen bleiben und unter Umständen für alle zugänglich sind. | Fileserver, die sensible Daten enthalten z.B. mithilfe von Snaffler nach schlechten Mustern absuchen und diese anpassen bzw. sperren oder entfernen. |
| Zu viele privilegierte Benutzer | Manchmal ist es verführerisch, einem User einfach alle Rechte zu erteilen, obwohl die Position dies gar nicht verlangt oder braucht. Oder aber Admins nutzen ihre Admin-Konten, um alltägliche Aktionen wie E-Mails lesen durchzuführen. Erlangen Angreifer die Kontrolle über solche Konten, können sie mit deren erweiterten Rechten großen Schaden anrichten. | Strenge Überwachung und Limitierung von Admin-Konten und unbedingte Einhaltung des Least-Privilege-Prinzips. |
Fazit
Bei der heutigen Angriffslage müssen wir uns von der Fantasie einer hundertprozentigen Absicherung des Active Directory gegen Eindringlinge verabschieden. Was wir aber tun können, ist, den Übeltätern durch die Umsetzung von Least-Privilege, starken Passwörtern und der Sensibilisierung von Benutzern im Umgang mit fragwürdigen E-Mails ein Weiterkommen so schwer wie nur möglich zu machen und den IT-Fachleuten so mehr Zeit zu verschaffen, um die Diebe zu erwischen.
Über den Autor
Helmut Semmelmayer ist VP Revenue Operations beim IAM-Entwickler Tenfold. In seiner Position als IT-Sicherheitsexperte hilft er Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten.
(ID:49474526)
:quality(80)/p7i.vogel.de/wcms/14/a5/14a5a8f9760d919d39a2332bb2ce9f95/0112825909.jpeg "Zur Absicherung von Netzwerken sollte man erst dann über die Einführung von speziellen Security-Tools nachdenken, wenn alle Bordmittel ausgeschöpft und die Grundlagen priviligierter Benutzerkonten umgesetzt sind. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/c8/27c894a6b735f36217026e68d68b4a32/0112931765.jpeg "Admins, die ihre Arbeitsstationen und Management-Arbeitsplätze gut abgesichert haben, haben auch gut lachen. (Bild: © deagreez - stock.adobe.com)")