Home » News » Security Management » Wie Active-Directory-Sicherung die Cyber-Resilienz stärkt

Wie Active-Directory-Sicherung die Cyber-Resilienz stärkt

Mit der zunehmenden Digitalisierung betrieblicher Prozesse steigt die Bedeutung von operativer und Cyber-Resilienz. Angriffe auf Identity-Systeme, insbesondere in Verbindung mit Ransomware, können den Geschäftsbetrieb vollständig lahmlegen. Um trotz solcher Angriffe den Betrieb aufrechtzuerhalten oder schnell wiederherzustellen, sind die Sicherung und Wiederherstellung von Microsoft Active Directory (AD) entscheidend.

·

Redaktion IT-SICHERHEIT (cs)

4 Min. Lesezeit
Active Directory
Foto: ©AdobeStock/khunkornStudio

Die Bedrohung durch Ransomware ist mittlerweile fester Bestandteil des Unternehmensalltags, hat jedoch durch gezielte Angriffe auf Identity-Systeme wie Active Directory (AD) eine neue Stufe erreicht. Cyberkriminelle nutzen gestohlene Anmeldedaten, die sie oft durch Phishing oder Pass-the-Hash-Taktiken erbeuten, um sich legitimen Zugang zu den Systemen zu verschaffen. Ein besonders gefährdetes Ziel sind dabei AD-Dienstkonten.

Active Directory fungiert als zentrale Plattform zur Verwaltung von Unternehmensidentitäten, einschließlich Berechtigungen, Zugriffs- und Authentifizierungsrechten. Es steuert den Zugriff auf diverse Serversysteme und Ressourcen. Angreifer, die in ein Netzwerk eindringen, versuchen häufig, ihre Rechte durch AD-Gruppenrichtlinien zu erweitern (Privilege Escalation), um Ransomware großflächig zu verbreiten. Die Struktur von AD besteht aus mehreren Ebenen:

  • Domains sind Sammlungen von Objekten wie Benutzern und Geräten.
  • AD-Trees entstehen durch Verknüpfungen zwischen Domains.
  • AD-Forests bilden die oberste Ebene und umfassen mehrere AD-Trees.
  • Domain-Controller speichern Informationen über Objekte, wie Benutzernamen und Passwörter, und verwalten den autorisierten Zugriff.

Angreifer nutzen gestohlene Anmeldedaten, etwa durch Phishing oder Pass-the-Hash-Taktiken, um sich legitimen Systemzugang zu verschaffen und zielen zunehmend auf AD-Dienstkonten ab. Active Directory verwaltet Unternehmensidentitäten, Berechtigungen und Zugriffsrechte. Angreifer versuchen oft, ihre Privilegien durch AD-Gruppenrichtlinien zu erweitern, um Ransomware flächendeckend auszurollen.

Die Relevanz von Active Directory

Cyber-Resilienz – die Fähigkeit, auch während oder nach einem Cyberangriff die Geschäftskontinuität zu gewährleisten – ist im Zeitalter der digitalen Transformation zu einer zentralen Priorität für Unternehmen geworden. Dabei spielt Active Directory (AD), häufig in Kombination mit Entra ID, Okta oder anderen Cloud-basierten Verzeichnisdiensten, eine Schlüsselrolle:

  1. Als primäres Angriffsziel
    Active Directory war seit seiner Einführung vor fast 25 Jahren darauf ausgelegt, benutzerfreundlich zu sein, oft zulasten der Sicherheit. Die lange Liste bekannter Schwachstellen und häufige Fehlkonfigurationen, wie überdimensionierte Zugriffsrechte oder unkontrollierter Lesezugriff, machen AD zu einem attraktiven Ziel für Cyberkriminelle. Diese Schwachstellen erhöhen die Erfolgsaussichten für Ransomware-Angriffe erheblich.
  2. Als Grundlage für die Wiederherstellung
    Nach einem Ransomware-Angriff ist Active Directory entscheidend für die Wiederherstellung des Geschäftsbetriebs. Da es die Identitäten und Zugriffsrechte aller Benutzer und Geräte verwaltet, kann die Wiederherstellung von Anwendungen und Daten oft erst beginnen, wenn AD wiederhergestellt ist. Ein funktionsfähiges AD ist somit der Schlüssel, um nach einem Angriff schnell wieder auf die Beine zu kommen.

Grundlagen der Active-Directory-Sicherung und -Wiederherstellung

Wenn Unternehmen gezwungen sind, einen kompletten Active Directory (AD)-Forest neu aufzubauen, kann dies zu erheblichen Ausfallzeiten führen – manchmal Wochen oder sogar Monate – insbesondere, wenn keine spezifischen und brauchbaren AD-Backups vorhanden sind. Herkömmliche Backup-Methoden reichen oft nicht aus, da sie potenziell Malware-infizierte Systeme wiederherstellen können. Um eine vertrauenswürdige und effiziente Wiederherstellung zu gewährleisten, sollten Unternehmen folgende Strategien umsetzen:

  1. Separates AD-Backup nutzen: Active Directory sollte unabhängig von herkömmlichen Server-Backups und Bare-Metal-Recovery gesichert werden. Standard-Backup-Methoden könnten die Gefahr einer erneuten Malware-Infektion erhöhen, wenn infizierte Systeme zurückgeführt werden. Eine spezielle Backup-Lösung für AD kann helfen, diesen Prozess zu optimieren und zu sichern.
  2. Mehrere Domain Controller sichern: Es ist ratsam, mindestens zwei Domain-Controller pro Domäne in der Active-Directory-Gesamtstruktur zu sichern. Dies sorgt für Redundanz und verringert das Risiko eines vollständigen Datenverlusts. AD-Backups sollten offline gespeichert oder als Image-Kopien in Cloud-Storage-Lösungen wie Azure oder AWS gesichert werden.
  3. Wiederherstellung ohne Snapshots: Snapshots von Domain-Controllern sind für die Wiederherstellung von Active Directory unzureichend. Sie können Probleme mit der Datenkonsistenz verursachen, insbesondere wenn Malware zum Zeitpunkt der Erstellung des Snapshots bereits vorhanden war. Diese Malware würde zusammen mit dem Snapshot wiederhergestellt werden, was zu einer weiteren Infektion führen könnte.
  4. Spezifische Forest-Wiederherstellung: Eine AD-Backup-Lösung ist nicht dasselbe wie eine vollständige Forest-Wiederherstellung. Der offizielle Prozess für die Wiederherstellung eines AD-Forests, wie von Microsoft beschrieben, umfasst zahlreiche Schritte, die bei herkömmlichen Backup-Tools oft manuell durchgeführt werden müssen. Dies erhöht die Wahrscheinlichkeit von Fehlern und Verzögerungen. Daher sollte ein spezialisiertes Tool für die AD-Forest-Wiederherstellung verwendet werden, und die Wiederherstellung sollte mindestens einmal jährlich geübt werden.
  5. Regelmäßige Sicherungen durchführen: Abhängig von den spezifischen Geschäftsprozessen sollte ein geeignetes Wiederherstellungsziel (Recovery Point Objective, RPO) festgelegt werden. Dies stellt sicher, dass zwischen den Backup-Intervallen keine kritische Menge an Geschäftsdaten verloren geht, was die Geschäftskontinuität unterstützt.
  6. Regelmäßige Tests des Wiederherstellungsprozesses: Regelmäßige Tests des AD-Backup- und Wiederherstellungsprozesses sollten Teil des Notfallplans sein. Dies ist besonders wichtig, wenn der Prozess eine manuelle AD-Wiederherstellung umfasst, da diese oft kompliziert und zeitaufwändig ist.

Zusätzlich zu diesen Wiederherstellungsstrategien sollten Unternehmen ITDR-Lösungen (Identity Threat Detection and Response) implementieren. Diese Lösungen helfen dabei, Unregelmäßigkeiten in AD-Umgebungen frühzeitig zu erkennen, was es Unternehmen ermöglicht, Angriffe schneller zu identifizieren und zu bekämpfen, bevor sie erheblichen Schaden anrichten können.

Cyber-Resilienz auf Basis sicherer Identitäten

Mit der zunehmenden Digitalisierung von Geschäftsprozessen können Lücken in der Cybersicherheit gravierende Folgen haben. Daher wird es immer wichtiger, die Cyber-Resilienz zu stärken, um die Geschäftsabläufe nicht zu gefährden. Die Entwicklung von IT-Infrastrukturen und die sich verändernde Bedrohungslage machen Identitäten zu einer zentralen Verteidigungslinie für Unternehmen. In diesem Zusammenhang ist Active Directory, das am häufigsten genutzte Identitätsverzeichnis, sowohl eine Schwachstelle als auch eine tragende Säule, die besondere Aufmerksamkeit bei der Sicherung und Wiederherstellung erfordert.

Porträt Oliver Keizers
Foto: Semperis

Oliver Keizers, Area Vice President EMEA Central, Semperis

 

Andere interessante News

Eine Person hält ein schwebendes digitales Schildsymbol mit einem Häkchen, das Sicherheit symbolisiert. Der Hintergrund zeigt verschiedene digitale Symbole und Grafiken, die auf Technologie und Schutzthemen hinweisen.

Europäische Cybersicherheitszertifizierung: BSI übernimmt zentrale Rolle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde von der Europäischen Kommission als einzige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 ...

Security Management
Nahaufnahme von miteinander verbundenen Zahnrädern mit leuchtend orangefarbenen Schaltkreisen auf einer dunkelblauen Oberfläche, die an ein Hightech-Motherboard erinnert. Die Beleuchtung hebt die komplexen Muster und metallischen Texturen hervor und erzeugt so ein futuristisches und industrielles Flair.

Cyberangriffe auf die Lieferkette: Das unterschätzte Einfallstor für Hacker

Die Lieferkette ist ein komplexes Netzwerk aus verschiedenen Akteuren – und genau das macht sie zu einem bevorzugten Angriffsziel für Cyberkriminelle. Neue Technologien und gesells...

Security Management
Eine Person im Blazer hält ein Tablet mit holografischen Symbolen wie einer Wolke, einem Schloss und WLAN. Der zentrale Text lautet „SASE“. Auf dem Schreibtisch davor stehen ein Laptop und ein Notebook.

SASE als Schlüsseltechnologie für den Einzelhandel

Einzelhändler sind im Visier von Cyber-Kriminellen – wertvolle Daten und wachsende IT-Strukturen machen sie angreifbar. SASE schützt nicht nur, sondern treibt ihre digitale Zukunft...

Security Management