Active Directory in Produktionsnetzen:: Vom Verwaltungswerkzeug zur kritischen Infrastruktur

Produktionsanlagen, Energieversorger, Verkehrssysteme und industrielle Fertigungslinien nutzen IP-basierte Netzwerke und Windows-basierte Systeme längst parallel. Dadurch wächst die Bedeutung zentraler Identitätsdienste in Umgebungen, die ursprünglich ganz ohne solche Konzepte entstanden sind. Das Active Directory übernimmt in vielen Anlagen die Rolle einer zentralen Authentifizierungsplattform. Damit verschiebt sich der Fokus der OT-Sicherheit zunehmend von isolierten Steuerungssystemen hin zur Kontrolle von Identitäten, Berechtigungen und administrativen Zugriffspfaden.

Warum Active Directory in die Produktion wandert

In klassischen Unternehmensnetzen dient Active Directory als zentrale Instanz für Authentifizierung und Autorisierung. Benutzerkonten, Gruppenmitgliedschaften und Richtlinien werden zentral verwaltet und anschließend auf Server, Arbeitsstationen und Anwendungen angewendet.

Diese Architektur ist auch in Produktionsumgebungen üblich. Engineering-Workstations, Historian-Server – spezialisierte Datenbanksysteme, die kontinuierlich Prozessdaten wie Temperaturen, Drücke oder Maschinenzustände aus Steuerungssystemen aufzeichnen und archivieren –, Wartungsstationen und Managementsysteme laufen häufig unter Windows-Betriebssystemen.

Ohne zentrale Identitätsverwaltung entstehen in solchen Umgebungen schnell unübersichtliche Strukturen. Lokale Benutzerkonten auf einzelnen Maschinen führen zu redundanter Administration, uneinheitlichen Passwortregeln und unkontrollierten Berechtigungen. Ein zentraler Verzeichnisdienst reduziert diesen Aufwand erheblich: Benutzerkonten werden einmal angelegt und anschließend über Gruppenstrukturen verwaltet. Richtlinien definieren Passwortregeln, Zugriffseinschränkungen oder Sicherheitskonfigurationen für Systeme innerhalb der Domäne.

Das gilt für klassische IT-Umgebungen ebenso wie für die OT. Betreiber industrieller Anlagen bekommen damit einheitliche Identitätsstrukturen über zahlreiche Systeme hinweg. Wartungsarbeiten, Benutzerverwaltung und Rechtevergabe lassen sich deutlich effizienter organisieren.

Die technische Attraktivität dieser Architektur führt schlussendlich dazu, dass Active Directory zunehmend in Produktionsumgebungen eingesetzt wird. Historian-Server greifen auf Domänenkonten zu, Engineering-Workstations nutzen zentrale Authentifizierung, und Wartungssysteme arbeiten mit Domänenrichtlinien. Damit gehen Unternehmen allerdings neue Abhängigkeiten ein: Die Identitätsplattform wird zu einer zentralen Steuerinstanz für zahlreiche Systeme innerhalb der Anlage.

Identitätsinfrastruktur als Angriffsziel

Ein kompromittiertes Active Directory bedeutet in vielen Netzwerken die vollständige Kontrolle über Benutzerkonten und Systemberechtigungen. In IT-Umgebungen ist dieses Risiko seit Jahren bekannt. In OT-Netzen gewinnt es jedoch eine andere Dimension. Produktionssysteme besitzen oft lange Lebenszyklen und laufen mit Softwareständen, die über viele Jahre unverändert bleiben. Sicherheitsmechanismen, die in modernen IT-Netzen selbstverständlich sind, fehlen dort teilweise oder lassen sich nur eingeschränkt einsetzen.

Der Domänencontroller übernimmt dennoch dieselbe Rolle wie im Büronetzwerk. Er verwaltet Benutzerkonten, Gruppenmitgliedschaften und Zugriffskontrollen für zahlreiche Systeme.

Angreifer nutzen diese zentrale Rolle gezielt aus. Typische Angriffsketten beginnen mit einem initialen Zugriff auf ein einzelnes System innerhalb des Netzwerks. Dieser Zugriff kann etwa über kompromittierte Zugangsdaten, Phishing oder verwundbare Internetdienste erfolgen. Sobald ein Angreifer ein internes System kontrolliert, beginnt die Suche nach Anmeldeinformationen.

Windows speichert Authentifizierungsdaten temporär im Arbeitsspeicher. Diese Daten lassen sich mit geeigneten Werkzeugen auslesen. Enthalten sie privilegierte Konten, kann der Angreifer seine Rechte im Netzwerk schrittweise erweitern.

Der entscheidende Punkt liegt jedoch in der zentralen Rolle von Active Directory: Sobald administrative Rechte innerhalb der Domäne erreicht werden, lassen sich Benutzerkonten manipulieren, Gruppenmitgliedschaften ändern oder neue Administratoren anlegen. Der Angriff weitet sich damit von einzelnen Systemen auf die gesamte Infrastruktur aus.

Die üblichen Verdächtigen

Viele Produktionsnetze übernehmen Active Directory aus dem klassischen Arbeits- und Büronetzwerk, ohne die Architektur vollständig an industrielle Anforderungen anzupassen. Daraus resultieren aber wiederkehrende Sicherheitsprobleme.

So besitzen zum Beispiel Servicekonten in vielen Active-Directory-Umgebungen umfangreiche Rechte, da sie für automatisierte Prozesse, Wartungsaufgaben oder Applikationsdienste zum Einsatz kommen. Im Laufe der Jahre sammeln solche Konten häufig immer mehr Berechtigungen an, weil neue Systeme hinzukommen oder bestehende Anwendungen erweitert werden.

Wird ein solches Konto kompromittiert, erhält ein Angreifer unter Umständen Zugriff auf mehrere Server oder zentrale Managementsysteme. Die eigentliche Schwachstelle liegt dabei nicht im Dienstkonto selbst, sondern in der Tatsache, dass seine Rechte selten überprüft und oft deutlich weiter gefasst sind als für den Betrieb erforderlich.

Ein ähnliches Muster zeigt sich bei lokalen Administratorkonten. In vielen Netzwerken nutzen mehrere Systeme identische lokale Passwörter, weil Betriebssysteme aus einem gemeinsamen Image installiert oder Wartungsprozesse vereinfacht werden sollen. Gelangt ein Angreifer auf einen einzelnen Rechner und liest dort das lokale Administratorkennwort aus, kann er sich anschließend auf anderen Systemen anmelden, auf denen dasselbe Passwort gilt. Auf diese Weise breitet sich ein Angriff Schritt für Schritt über mehrere Maschinen aus.

Auch Netzwerkfreigaben tragen häufig zu solchen Angriffspfaden bei. In vielen Domänen gibt es zahlreiche File-Shares, auf die viele Benutzer Zugriff haben. Dort liegen häufig Installationspakete, Wartungsskripte oder Konfigurationsdateien.

Manche dieser Dateien enthalten Zugangsdaten für automatisierte Prozesse oder administrative Aufgaben. Ein Angreifer, der Zugriff auf solche Freigaben erhält, kann diese Informationen auslesen und für seine eigene Anmeldung im Netzwerk verwenden.

Eine weitere technische Schwachstelle betrifft Zertifikatsdienste innerhalb von Active Directory. Viele Organisationen betreiben eine interne Zertifizierungsstelle, um Zertifikate für Server oder Benutzerkonten auszustellen. Wenn Zertifikatstemplates unzureichend konfiguriert sind, können Benutzer unter Umständen Zertifikate für Konten mit hohen Berechtigungen anfordern. Mit einem solchen Zertifikat lässt sich anschließend eine Anmeldung durchführen, ohne ein Passwort zu kennen.

Treffen mehrere dieser Konfigurationsprobleme innerhalb einer Domäne zusammen, verkürzt sich der Weg zu administrativen Rechten erheblich. Ein Angreifer benötigt dann oft nur wenige Schritte, um von einem kompromittierten System aus die Kontrolle über zentrale Active-Directory-Komponenten zu übernehmen.

IT-OT-Integration als Sicherheitsproblem

Viele Unternehmen integrieren Produktionssysteme direkt in bestehende IT-Domänen. Das erscheint zunächst sinnvoll: Die Verwaltung erfolgt zentral, Benutzerkonten lassen sich gemeinsam nutzen und Administrationsprozesse bleiben einheitlich. Doch eine solche Architektur erzeugt einen kritischen Effekt: Angriffe auf die Unternehmens-IT können sich unmittelbar auf Produktionssysteme auswirken.

Die IT besitzt in der Regel eine deutlich größere Angriffsoberfläche. Internetdienste, E-Mail-Kommunikation und externe Schnittstellen bieten zahlreiche Einstiegspunkte für Angreifer. Wird ein IT-System kompromittiert, beginnt häufig eine laterale Bewegung innerhalb der Domäne. Existiert eine gemeinsame Identitätsplattform für IT und OT, erreicht ein solcher Angriff früher oder später auch die Produktionssysteme.

Eine weitere Herausforderung liegt in den Domänenstrukturen selbst. Viele Betreiber verwenden mehrere Domänen innerhalb eines Forests – also der obersten Organisationseinheit in Active Directory, die eine oder mehrere Domänen mit gemeinsamer Vertrauensstellung umfasst –, um IT- und OT-Systeme zu trennen. Diese Struktur vermittelt den Eindruck einer Sicherheitsgrenze.

Die tatsächliche Sicherheitsgrenze liegt jedoch auf Forest-Ebene: Angriffe lassen sich über Vertrauensbeziehungen oder Forest-interne Mechanismen zwischen Domänen übertragen. Die strukturelle Trennung von IT und OT erfordert daher eine Architektur, die auch die Identitätsinfrastruktur konsequent einbezieht.

Architekturstrategien für Industrielle AD-Umgebungen

Die Gestaltung der Identitätsarchitektur gehört zu den entscheidenden Sicherheitsentscheidungen in industriellen Netzwerken. Dabei kommen verschiedene Modelle zum Einsatz. Eine häufige Strategie besteht in vollständig getrennten Active-Directory-Umgebungen für IT und OT: Beide Netze betreiben eigene Forests ohne Vertrauensbeziehungen. Dadurch entsteht eine klare Sicherheitsgrenze zwischen Büronetzwerk und Produktionssystemen. Das erhöht den administrativen Aufwand, reduziert jedoch das Risiko lateraler Angriffe erheblich.

In anderen Umgebungen gibt es separate Domänen innerhalb eines gemeinsamen Forests. Diese Struktur erleichtert die Verwaltung, bietet jedoch keine vollständige Sicherheitsisolation. Angriffe auf eine Domäne können unter bestimmten Umständen die gesamte Forest-Struktur betreffen.

Unabhängig von der gewählten Architektur spielen organisatorische Maßnahmen eine zentrale Rolle. Administrative Konten sollten strikt nach Funktionsbereichen getrennt sein. Konten für die Domänenadministration sollten ausschließlich auf Domänencontrollern zum Einsatz kommen. Wartungsarbeiten auf Servern oder Arbeitsstationen erfordern separate Konten mit eingeschränkten Rechten.

Ebenso entscheidend ist die Segmentierung der Netzwerke. Selbst bei einer gemeinsamen Identitätsplattform muss der Zugriff zwischen IT- und OT-Netzen kontrolliert werden. Firewalls, Jump-Server und dedizierte Administrationsstationen reduzieren die Angriffsfläche zusätzlich.

Vom Verwaltungswerkzeug zur kritischen Infrastruktur

Die Entwicklung von neuen Produktionsnetzen führt dazu, dass das Identitätsmanagement zu einer zentralen Sicherheitsfunktion industrieller Infrastrukturen wird. Das Active Directory übernimmt in vielen Anlagen genau diese Rolle und verändert damit auch die Bedeutung des Verzeichnisdienstes grundlegend. Er fungiert nicht mehr nur als IT-Werkzeug für die Benutzerverwaltung, sondern wird in industriellen Umgebungen zu einer sicherheitsrelevanten Infrastrukturkomponente.

Angriffe auf die Identitätsplattform betreffen dann nicht nur Daten oder Benutzerkonten. Sie können direkte Auswirkungen auf Produktionsprozesse haben. Die Sicherheit industrieller Netzwerke hängt daher zunehmend von der Stabilität und Integrität ihrer Identitätsinfrastruktur ab. Deren Gestaltung entscheidet letztlich darüber, ob Active Directory zur stabilen Verwaltungsplattform wird oder zum zentralen Angriffspunkt innerhalb eines Produktionsnetzes.

AD in der Produktion absichern

Der Einsatz von Active Directory in Produktionsnetzen kann administrative Abläufe deutlich vereinfachen, verlangt jedoch eine Architektur, die die Identitätsinfrastruktur als sicherheitskritische Komponente behandelt. Eine zentrale Maßnahme besteht in der konsequenten Trennung von IT- und OT-Identitätsstrukturen.

Produktionsnetze sollten eine eigene Active-Directory-Umgebung betreiben, idealerweise mit eigenem Forest und ohne Vertrauensbeziehungen  zur Unternehmensdomäne, damit Angriffe aus Büronetzen nicht automatisch Zugriff auf industrielle Systeme ermöglichen. Ebenfalls entscheidend ist eine strikte Rollen- und Rechteverwaltung innerhalb der Domäne.

Welche Risiken durch überprivilegierte Servicekonten oder identische lokale Administratorpasswörter entstehen, haben die vorherigen Abschnitte gezeigt. Administratoren sollten daher für unterschiedliche Aufgaben getrennte Konten verwenden, administrative Rechte regelmäßig überprüfen und Servicekonten mit exakt den Berechtigungen ausstatten, die für den jeweiligen Dienst nötig sind – nicht mehr.

Ferner sollte die Identitätsinfrastruktur technisch gehärtet werden. Dazu gehören die konsequente Durchsetzung moderner Authentifizierungsprotokolle, die Deaktivierung veralteter Dienste sowie eine klare Trennung administrativer Zugriffsebenen innerhalb der Domäne.

Administrationskonten sollten ausschließlich auf dafür vorgesehenen Managementsystemen zum Einsatz kommen, damit privilegierte Zugangsdaten nicht auf gewöhnlichen Arbeitsstationen landen. Auch Netzwerkfreigaben, Skripte und Konfigurationsdateien verdienen regelmäßige Prüfung: Dort liegen häufig Zugangsdaten, die Angreifer zur Rechteausweitung nutzen können.

Ein weiterer wichtiger Baustein ist die Überwachung der Identitätsinfrastruktur. Protokolle von Domänencontrollern, Authentifizierungsereignisse und Änderungen an Gruppenmitgliedschaften sollten zentral ausgewertet werden, um ungewöhnliche Aktivitäten schnell zu erkennen.

Parallel dazu sollten Unternehmen klare Wiederherstellungsstrategien für ihre Domäneninfrastruktur definieren. Domänencontroller gehören zu den kritischsten Komponenten industrieller Netzwerke, weshalb gesicherte Backups und getestete Wiederherstellungsprozesse unverzichtbar sind.

Nicht zuletzt spielt auch die Architektur des OT-Netzes selbst eine zentrale Rolle. Segmentierung zwischen Produktionszonen, Engineering-Systemen und administrativen Bereichen reduziert die Möglichkeiten lateraler Bewegung innerhalb der Infrastruktur. Auch wenn ein Angreifer Zugriff auf ein einzelnes System erhält, begrenzt eine solche Struktur die Reichweite eines Angriffs erheblich. In Kombination mit einer sorgfältig geplanten Active-Directory-Architektur lässt sich so verhindern, dass die zentrale Identitätsplattform zum Einfallstor für Angriffe auf industrielle Steuerungsnetze wird.