Je mehr betriebliche Prozesse Unternehmen digitalisieren, umso größer wird die Notwendigkeit von operativer und Cyber-Resilienz. Auf Identity-Systemen aufgebaute Angriffe in Verbindung mit Ransomware stellen vor diesem Hintergrund eine kritische Bedrohung dar, da sie die Geschäftstätigkeit von Organisationen vollständig zum Erliegen bringen können. Um selbst im Falle eines Angriffs den Betrieb aufrecht erhalten oder schnell und vertrauenswürdig wiederherstellen zu können, spielen die Sicherung und Wiederherstellung von Microsoft-Active-Directory (AD) eine zentrale Rolle.
Die Bedrohung durch Ransomware ist für Unternehmen längst Bestandteil ihres Alltags geworden. Allerdings hat diese durch Angriffe auf Identity-Systeme und allen voran Active-Directory eine neue Qualität erreicht. Dabei nutzen Cyberangreifer gestohlene Anmeldedaten – beispielsweise durch Phishing- oder Pass-the-Hash-Taktiken erbeutet – um sich legitimen Systemzugang zu verschaffen. Zunehmend zielen sie auf Active-Directory-Dienstkonten ab.
Active-Directory fungiert als Schaltzentrale für die Verwaltung aller digitalen Unternehmensidentitäten mit ihren Berechtigungen, Zugriffs- und Authentifizierungsrechten auf diversen Serversystemen. Eine AD-Implementierung ist folgendermaßen aufgebaut:
• Domains bezeichnen eine Sammlung von Objekten, die Ressourcen wie Benutzer oder Geräte im Netzwerk repräsentieren.
• AD-Trees: Sie werden geschaffen, indem man zwischen Domänen durch Vertrauensstellungen Verbindungen herstellt.
• Ein AD-Forest umfasst eine Gruppe an AD-Trees und stellt die oberste Organisationsebene des AD dar. Je nach Organisation kann es nur einen oder auch mehrere Forests geben.
• Domain-Controller bezeichnet den Server, der die Active-Directory-Domain-Services (AD DS) hostet. Er speichert die Informationen über alle einzelnen Objekte, wie Namen und Passwörter und ermöglicht autorisierten Benutzern den Zugriff auf diese Informationen.
Durch verschiedene Gruppen entsteht ein Berechtigungskonzept für den Zugriff auf die Daten des Unternehmens. Erst die Mitgliedschaft in solchen Gruppen gewährt Nutzern den Zugriff auf entsprechende Daten und Applikationen. Ist es Angreifern gelungen, in einer IT-Umgebung Fuß zu fassen, versuchen sie, unter anderem über AD-Gruppenrichtlinien, ihre Zugriffsrechte zu erweitern (Privilege Escalation), um Ransomware möglichst breit ausrollen zu können.
Active-Directory und seine Relevanz
Cyber-Resilienz – die Fähigkeit, auch während oder in Folge eines Angriffs Geschäftskontinuität aufrechtzuerhalten – entwickelt sich im Zuge der digitalen Transformation zu einer Priorität in der IT-Sicherheitsstrategie von Unternehmen. Active-Directory, welches Unternehmen oft in Kombination mit Entra-ID, Okta oder einem anderen Cloud-basierten Verzeichnisdienst nutzen, übt in zweierlei Hinsicht darauf Einfluss aus:
Als primäres Angriffsziel: Über lange Zeit seines fast 25-jährigen Bestehens war Sicherheit der Benutzerfreundlichkeit von Active-Directory untergeordnet. Die Liste an bekannten Schwachstellen ist entsprechend lang. Hinzu kommt die oft unzulängliche Verwaltung durch Unternehmen, zum Beispiel durch Fehlkonfigurationen wie AD-Lesezugriff für alle Benutzer oder die Vergabe von überdimensionierten Zugriffsrechten. All diese Faktoren machen Active-Directory für Cyberkriminelle äußerst attraktiv, da sie die Erfolgschancen für Ransomware-Angriffe erhöhen.
Für die Wiederherstellung von Systemen: Ist es Cyberkriminellen gelungen, ein Unternehmen mit Ransomware teilweise oder vollständig zu infiltrieren und infizieren, ist AD die entscheidende Grundlage zur Wiederherstellung des normalen Betriebes. Da jegliche Benutzer- und Geräteidentitäten sowie deren Zugriffsrechte dort angelegt sind, können IT-Teams in der Regel die Wiederherstellung von Applikationen oder Daten erst beginnen, wenn AD wieder läuft.
Grundlagen der Active-Directory-Sicherung und -Wiederherstellung
Falls ein gesamter AD-Forest neu aufgebaut werden muss, kann dies für Unternehmen eine Downtime von mehreren Wochen oder gar Monaten bedeuten, sofern keine brauchbaren und spezifischen AD-Backups vorhanden sind. Gewöhnliche Backup-Routinen greifen für AD allerdings zu kurz, da einerseits die Gefahr besteht, Malware infizierte Systeme erneut zu installieren und andererseits traditionelle Backup-Systeme nicht für die vertrauenswürdige Wiederherstellung von einem gesamten Forest geschaffen sind. Um dies vertrauenswürdig zu gestalten und die Wiederherstellungsdauer auf ein Minimum zu beschränken, sollten Unternehmen folgende Grundlagen beachten:
• Ein separates AD-Backup nutzen: Active-Directory sollte unabhängig von Server Backups und Bare-Metal-Recovery gesichert werden, da diese im Falle der Wiederherstellung das Risiko einer erneuten Malware-Infektion bergen. Eine spezielle Lösung für AD-Backups kann diesen Prozess vereinfachen.
• Mehrere Domain-Controller sichern: Das Sichern von mindestens zwei Domänencontrollern pro Domäne in der Active-Directory-Gesamtstruktur sorgt für Redundanz. AD-Backups sollten abgesichert offline oder als Image-Kopien auf Azure- oder AWS-Blob-Storage gespeichert werden.
• Wiederherstellung ohne Snapshots: Snapshots des Domänencontrollers sind für eine Wiederherstellung des Active-Directory unzureichend, und zwar aus mehreren Gründen: Ein Forest, der aus Snapshots wiederhergestellt wurde, wird wahrscheinlich Probleme mit der Datenkonsistenz verursachen. Wenn zum Zeitpunkt der Erstellung des Snapshots Malware auf einem Domänencontroller vorhanden ist, wird die Malware zusammen mit dem Domänencontroller wiederhergestellt. (Dies gilt für jedes klassische Backup.)
• Ein AD-Backup ist noch keine Forest-Wiederherstellung: Der offizielle und korrekte Ablauf einer Forest-Wiederherstellung ist von Microsoft beschrieben und umfasst viele Schritte, die bei einem klassischen Backup-Tool manuell gegangen werden müssen und leicht zu Fehlern und Zeitverzögerungen führen. Für eine erfolgreiche und vertrauenswürdige Wiederherstellung eines Forests sollte ein spezifisches auf AD Forest Wiederherstellung ausgelegtes Tool angewandt werden und dies mindestens einmal pro Jahr auch konkret geübt werden.
• Regelmäßige Sicherung: Abhängig von den Geschäftsprozessen sollte ein geeignetes Wiederherstellungsziel (Recovery Point Objective, RPO) festgelegt werden, das sicherstellt, dass zwischen den Back-up-Intervallen keine kritische Menge an Geschäftsdaten verloren gehen kann.
• Testen: Regelmäßige Tests des AD-Backup- und Wiederherstellungsprozesses sollten Bestandteil des Notfallplanes sein, vor allem, wenn dieser eine manuelle AD-Wiederherstellung vorsieht, welche überaus kompliziert und zeitaufwändig ist.
Ergänzend zu zuverlässigen Wiederherstellungsprozessen sollten Unternehmen ITDR-Lösungen (Identity-Threat-Detection and Response) implementieren, die Unregelmäßigkeiten in AD-Umgebungen erkennen und helfen können, Angriffe frühzeitig zu bekämpfen.
Cyber-Resilienz basiert auf sicheren Identitäten
Je mehr Geschäftsprozesse digital vollzogen werden, umso empfindlichere Auswirkungen können Lücken in der Cybersicherheit nach sich ziehen. Dies erschafft die Notwendigkeit, die Cyber-Resilienz zu erhöhen, um die Geschäftsabläufe möglichst nicht zu beeinträchtigen.
Die Entwicklung von IT-Infrastrukturen und die sich wandelnde Bedrohungslage haben Identitäten für Unternehmen zu einer bedeutenden Verteidigungslinie gemacht. Vor diesem Hintergrund ist Active-Directory, das von Unternehmen am häufigsten eingesetzte Identitätsverzeichnis, sowohl eine Achillesferse als auch eine tragende Säule und verlangt besondere Aufmerksamkeit bei Sicherung und Wiederherstellung.
Oliver Keizers, Area Vice President EMEA Central, Semperis