Das Active Directory besser schützen

Cyberattacken durch die Hintertür

Tief im Inneren moderner Netzwerke lauert ein Gefahrenpotential, das bislang kaum jemand systematisch schützt: Active Directories, die als Zentralverzeichnis aller Nutzer den individuellen Zugriff regeln – auf Dateien und Informationen, Anwendungen und Gruppen, auf Cloud-Dienste, Server und andere Geräte, aber auch auf geschäftskritische Systeme wie etwa das ERP und CRM.

Offene Hintertür eines Gebäudes

Haben Cyberkriminelle in einem Active Directory erst einmal Administrationsrechte erlangt, dann ähneln sie einem Dieb mit Generalschlüssel.

Die Kontrolle und Pflege von Active Directories (AD) wird vielfach noch immer von Hand erledigt und fällt so, zumal bei der üblichen Fülle von Admin-Aufgaben, gern mal durchs Raster. Für Cyberkriminelle, von Wettbewerbern gedungene Hacker, Geheimdienste und interne Angreifer sind unaufmerksam betreute Active Directories besonders lohnende Ziele auf dem Weg zur „Schatzkammer“ des anvisierten Unternehmens: Externe Angreifer, die sich über gängige Methoden (wie Drive-by-Downloads, Phishing oder Social Engineering) Zugang zu einem Netzwerk verschafft haben, zielen darauf ab, immer höhere Zugriffsberechtigungen zu erhalten.

Haben sie in einem Active Directory dann Administrationsrechte erlangt, ähneln sie einem Dieb mit Generalschlüssel: Sie können Daten und damit geistiges Eigentum abgreifen oder Geschäfts- und Produktionsabläufe manipulieren. Der Prozess dorthin ist allerdings keineswegs trivial. Er erfordert technisches Können, Geschick und nicht zuletzt einiges an Geduld. Schließlich sollen Spionage, Datenmissbrauch und Sabotage diskret erfolgen und möglichst lange tief unter dem Radar automatisierter Sicherheitsvorkehrungen bleiben.

Kaum Aufmerksamkeit für Schwachstellen

Die Angriffe, die in der Regel sehr systematisch und hochprofessionell erfolgen, gelten Industriefirmen, Finanzdienstleistern, Forschungseinrichtungen oder Behörden, aber auch mittelständischen und kleinen Firmen. Der sogenannte „Bundestags-Hack“ vor einigen Jahren sowie etliche der jüngeren „Datenpannen“ bei großen Handels- und Mediaplattformen, im Finanzbereich und der Automotive-Branche, gingen auf fokussierte AD-Attacken zurück – die teilweise erst mehrere Monate später (und das meist per Zufall) aufdeckt werden konnten.

Begünstigt werden solche Angriffe auch durch die Tatsache, dass Administratoren oft keinen Überblick über all die Benutzerrechte und zugehörigen Privilegien haben, die in Active Directories verankert sind. Besonders unübersichtlich ist die Lage dort, wo über lange Jahre hinweg immer mehr Abteilungen und Standorte oder, wie bei Mergern und Zukäufen, ganze Unternehmen in die IT-Landschaft integriert werden mussten. Typische Schwachstellen, die es im Auge zu behalten gilt, gibt es aber auch bei mittleren und kleineren Unternehmen. Etwa die Zugriffsrechte längst ausgeschiedener Mitarbeiter oder vorsorglich für künftige Mitarbeiter angelegte Benutzerkonten nebst Gruppenmitgliedschaften. Oder das immer gleiche Passwort, das der Admin beim Anlegen von Accounts verwendet. Einmal gekapert, werden sie zum Angriffswerkzeug, mit dem sich Hacker dann peu à peu zu (noch) höheren Privilegien vorarbeiten.

Im schlimmsten Fall (neudeutsch: Worst-Case-Hack) können sich Hacker als jeder beliebige Nutzer ausgeben; auf beliebige Server- und Speichersysteme, Clouds und Web-Präsenzen des Unternehmens zugreifen – und über selbst verliehene Privilegien und Servicetickets sogar verschlüsselte Daten modifizieren.

Treffen kann das selbst Unternehmen, die sich bereits gut gegen potentielle Bedrohungen und Eindringlinge schützen. Denn in Zeiten immer engerer, digitaler Vernetzung innerhalb von Lieferketten oder Entwicklungskooperationen kann auch das Netzwerk eines schwächer geschützten Partners zum Einfallstor werden. Auf dem Weg zu den „Schätzen“ des eigentlichen Zielunternehmens nehmen Angreifer Umwege und kleine Schritte in Kauf, um am Ende genau das Maß an Kontrolle zu bekommen, dass sie für ihre Zwecke brauchen.

Automatismen, die Risiken sichtbar machen

Budget für die Absicherung und Pflege von Active Directories gibt es bisher nur selten. Warum auch, wenn alle Systeme laufen und keine Beeinträchtigung spürbar ist? Das große Jammern kommt dann im Nachfeld einer entdeckten AD-Infiltration. Zumal, wenn für den Neuaufbau der Zentralverzeichnisse bei großen Konzernen leicht Kosten in sechs oder gar siebenstelliger Höhe entstehen. Hinzu kommen möglicherweise noch Bußgelder wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO). Diese sieht bekanntermaßen vor, dass Unternehmen nachweisen müssen, alles Nötige für den Schutz personenbezogener Daten zu tun.

Sich kontinuierlich um eigene Active Directories zu kümmern, ist also eine Frage des nachhaltigen Selbstschutzes. Unterstützung dafür gibt es in Form von Software-Lösungen. Diese spüren technische und organisatorische Schwachstellen in Active Directories automatisiert auf, können firmenspezifische Soll-Ist-Vergleiche anstellen, bei verdächtigen Funden Alarm auslösen und gleichzeitig fundierte Handlungshinweise zur Behebung geben.

Die bereits bei ersten Penetrations- und Angreifbarkeitstests entstehende Transparenz mag für manche IT-Verantwortliche unangenehm sein. Der kontinuierliche Einsatz einer systematischen, automatisierten AD-Überwachung aber zahlt stark auf das Schutzniveau der Netzwerke ein; zumal in Kombination mit Sicherheitssensibilisierung für alle Mitarbeiter (einschließlich der Führungskräfte) und Verhaltensschulungen. Und davon profitiert nicht zuletzt auch die IT.

* Der Autor Michael Thumann ist Lead Architect and Product Manager bei der ERNW Sectools GmbH.

Bildquelle: Getty Images Plus/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok