Sicherungen vs. Sicherheitsverletzungen: Entra ID-Wiederherstellungstools für alltägliche Fehler und böswillige Angriffe

Bei der Wiederherstellung von Entra-IDs – und der Identitätsresilienz im Allgemeinen – stehen zwei Arten von Ereignissen im Mittelpunkt: die Wiederherstellung nach Unfällen und die Wiederherstellung nach Sicherheitsverletzungen.

Um diese Ereignisse und die Instrumente zu verstehen, die Sie zur Bewältigung der damit verbundenen Probleme benötigen, müssen wir uns ansehen, wie sich die Bedrohungslage im Bereich der Identitätssicherheit in den letzten 15 Jahren verändert hat.

Alltägliche Fehler: Ein Weg, der mit guten Vorsätzen gepflastert ist

Um das Jahr 2014 herum konnten wir einen neuen Trend bei Problemen mit Cloud-Identitäten beobachten. Diese Probleme waren nicht auf Ausfälle oder eine mangelhafte Qualität der Microsoft-Cloud-Dienste zurückzuführen, sondern auf Fehler, die von Administratoren in Azure AD (jetzt Entra ID) verursacht wurden.

Einige Beispiele aus der Praxis:

• Ein berechtigter Administrator löscht versehentlich mehrere Sicherheitsgruppen, die den Zugriff auf eine geschäftskritische Datenbank regeln. Dies führt zu einem zweitägigen Ausfall, da das Team Schwierigkeiten hat, die Gruppen und deren Mitgliedschaften aus dem Gedächtnis manuell wiederherzustellen.
• Ein unerfahrener Administrator wird mit der „Bereinigung veralteter Anwendungen“ beauftragt, in der gut gemeinten Absicht, die Sicherheitsrisiken für das Unternehmen zu verringern. Der Administrator löscht versehentlich Tausende von Anwendungen, die keineswegs veraltet, sondern geschäftskritisch sind, was zu einem 28-tägigen Ausfall und einer groß angelegten Initiative führt, um den Betrieb wiederherzustellen.
• Ein wohlmeinender Administrator „stellt“ Office-365-Lizenzen „zur Verfügung“, indem er deren Zuweisungen für berechtigte Benutzer aufhebt. Dieses einfache Problem führte dazu, dass die Geschäftstätigkeit von Hunderten von Benutzern für mehr als einen Tag unterbrochen wurde.

Solche Geschichten über versehentliche Fehlkonfigurationen und Löschungen waren nichts Neues. Ähnliche Probleme waren in Active Directory seit über einem Jahrzehnt an der Tagesordnung. Die kumulativen Auswirkungen sind schier unvorstellbar: So viele Organisationseinheiten (OUs) und deren Inhalte wurden gelöscht und wiederhergestellt!

Doch die Fehlkonfigurationen bei Cloud-Identitäten zu entdecken – das war neu . Wie schützt man Nutzer vor ihren eigenen Fehlern, wenn die Identitäten in der Cloud gehostet werden?

Aufgrund des Modells der geteilten Verantwortung bei SaaS liegt dieses Problem bei Ihnen.

Als Kunde, der den Cloud-Dienst nutzt, tragen Sie die alleinige Verantwortung für die Datenintegrität des Identitätsspeichers. Für viele Unternehmen bedeutet diese Verantwortung, dass sie einen klaren Bedarf an Ausfallsicherheit ihrer Identitätsdaten gegenüber harmlosen, aber folgenschweren Fehlern haben.

Böswillige Zugriffe: Angreifer hacken sich nicht ein … sie melden sich an

Unterdessen zeichnete sich ein weiterer Trend ab: Angreifer versuchten mit allen Mitteln, Zugriff auf Ressourcen in der Cloud zu erlangen. Der einfachste Weg bestand darin, sich anzumelden, anstatt sich einzuhacken. Daher wurde die Einrichtung einer Multi-Faktor-Authentifizierung (über etwas, das man besitzt, weiß oder ist) sowie weiterer Sicherheitsmaßnahmen unerlässlich.

Es zeigte sich schnell, dass Social Engineering und andere Techniken es Angreifern trotz aller Bemühungen ermöglichen würden, sich ohnehin Zugang zu verschaffen. Und in Fällen, in denen ein böswilliger Insider beteiligt war, befanden sich die Eindringlinge bereits „im Haus“ und verfügten über Zugriff. Sicherheitskontrollen konnten sie nicht fernhalten; es handelte sich um echte, legitime Administratoren.

Es gibt unzählige bemerkenswerte Beispiele für diese „Log-in-statt-Hack-in“-Fälle. Zu den bekanntesten zählen Angriffe, die mit Social-Engineering-Angriffen begannen, wie beispielsweise der Cyberangriff auf das MGM Grand, sowie die sich weiterentwickelnden Techniken von Angreifern wie Storm 0501. All dies habe ich in Echtzeit miterlebt, zunächst als Services Lead für Cloud-Identität und später als Produktmanager bei Microsoft. Ich habe Unternehmen regelmäßig dabei unterstützt, ähnliche Probleme zu lösen, und mich mit ihnen getroffen, um Feedback dazu zu erhalten, wo genau die Schwachstellen lagen.

Weiterentwicklung des Entra-ID-Schutzes und der Wiederherstellung

Unserem Team bei Microsoft wurde klar, dass zwei wichtige Arten von Vorfällen bessere Funktionen erforderten: die Wiederherstellung nach Unfällen sowie die Wiederherstellung nach böswilligen Änderungen und Löschungen.

Wir mussten die Unfallszenarien direkt angehen. Wir haben uns für folgende Strategie entschieden, um die Ausfallsicherheit von Cloud-Identitäten gegenüber versehentlichen Änderungen und Löschungen zu stärken:

• Erweiterte Funktionen zum vorläufigen Löschen
• Wiederherstellung der ursprünglichen Änderungen

Wir haben den Szenarien böswilliger Änderungen und Löschungen begegnet, indem wir den Schwerpunkt eher auf Sicherheit als auf Ausfallsicherheit gelegt haben. Dies war Teil der auf Zero Trust ausgerichteten Sicherheitsinitiative, in deren Rahmen Funktionen wie der bedingte Zugriff gestärkt und erweitert wurden. Die rasche Wiederherstellung der Sicherheitslage während oder nach einem Einbruch stand dabei nicht im Vordergrund.

Springen wir nun in die Gegenwart. Unfälle im Zusammenhang mit Cloud-Identitäten kommen weiterhin vor, und der Schutz vor solchen Unfällen ist nach wie vor wichtig. Gleichzeitig haben böswillige Vorfälle sowohl an Häufigkeit als auch an Schwere zugenommen.  

Da das Szenario, in dem sich „der Bösewicht anmeldet“, immer häufiger auftritt, reicht die Funktion zur Wiederherstellung nach einem Ausfall allein nicht mehr aus.

Unternehmen benötigen Tools, die darauf ausgelegt sind, die Sicherheitslage von Entra ID und die Fachanwendungen auch angesichts von Angreifern wiederherzustellen. Es bedarf einer sicherheitsorientierten Identitätsresilienz, einschließlich:

• Die Fähigkeit, den Sicherheitsstatus schnell und umfassend wiederherzustellen
• Ein forensischer Einblick in den vorherigen Zustand
• Lange Aufbewahrungsdauer von Backups (damit die Verfügbarkeit der Backups länger ist als die Zeit, in der böswillige Akteure im Mandanten unentdeckt bleiben)
• Unveränderlichkeit von Sicherungskopien, damit diese bei Bedarf verfügbar sind
• Starke Verschlüsselung der Inhalte zum Schutz der Daten

Tools zum Schutz und zur Wiederherstellung von Entra ID bei Unfällen und unbefugten Zugriffen

Für Entra ID erstrecken sich die Herausforderungen bei der Datenwiederherstellung auf zwei sehr unterschiedliche Problembereiche: zum einen die Sicherheitslage und die Wiederherstellung nach schwerwiegenden Ausfällen, zum anderen versehentliche Änderungen oder Löschungen im Alltag.

Semperis Disaster Recovery for Entra Tenant (DRET) löst das erstgenannte Problem durch die Bereitstellung sicherheitsorientierter, szenariobasierter Wiederherstellungsfunktionen. Diese Lösung bietet mehr als nur eine Rollback-Funktion zu einem bestimmten Zeitpunkt. DRET kann komplexe, voneinander abhängige Objekte und Richtlinien (z. B. Conditional Access, Privileged Identity Management (PIM), Intune-Geräteverwaltung und andere kritische Kontrollen) so rekonstruieren, dass die beabsichtigte Sicherheitslage erhalten bleibt und die Untersuchung böswilliger oder risikoreicher Änderungen unterstützt wird. DRET erfüllt zudem die Anforderung, sicherheits- und szenariobasierte Wiederherstellungen zu priorisieren, sodass Entscheidungsträger wissen, was in welcher Reihenfolge wiederhergestellt werden muss – ein entscheidender Aspekt bei der Wiederherstellung nach Sicherheitsvorfällen.

Microsoft Entra Backup and Recovery ergänzt diese Funktionen, indem es sich auf einfache, häufig auftretende Probleme wie versehentliches Löschen oder einfache Fehlkonfigurationen von Benutzern, Gruppen und zentralen Verzeichnisobjekten konzentriert. Diese Lösung eignet sich für Situationen, in denen native Sicherungs- und Wiederherstellungsabläufe ausreichend und kosteneffizient sind.

Unternehmen benötigen sowohl DRET als auch Microsoft Entra Backup and Recovery, da moderne Entra ID-Umgebungen mit gleichzeitigen Risiken konfrontiert sind. Sie müssen in der Lage sein, harmlose Fehler von Administratoren und Anwendern, die schnell behoben werden müssen, umgehend zu korrigieren. Und Sie müssen in der Lage sein, gezielte oder systemische Angriffe abzuwehren, die umfassende Wiederherstellungs-, Vergleichs- und Koordinierungsfunktionen erfordern, um den Mandanten sicher in einen bekanntermaßen fehlerfreien, sicheren Zustand zurückzuführen – ohne dabei genau jene Schwachstellen wieder einzuführen, die ein Angreifer ausgenutzt hat.

Weitere Informationen: Vergleich zwischen „Semperis Disaster Recovery for Entra Tenant“ und „Microsoft Entra Backup and Recovery“

Bereiten Sie sich mit den dafür vorgesehenen Tools im Voraus sowohl auf Unfälle als auch auf böswillige Aktivitäten vor: Microsoft Entra Backup and Restore sowie Semperis Disaster Recovery for Entra Tenant.

Entwickeln Sie Ihre Strategie zur Identitätsresilienz, indem Sie sich die branchenweit besten Entra-Tools zur Identitätswiederherstellung zulegen. Wenn Sie Vorfälle schnell beheben können, werden diese zu bloßen Zwischenfällen, anstatt zu tagelangen Angelegenheiten, die eine Aktualisierung Ihres Lebenslaufs erforderlich machen.

Weitere Lektüre

• Verbesserung der Entra-ID-Wiederherstellung und der Widerstandsfähigkeit der Identitätssicherheit
• 4 Gründe, um die Wiederherstellbarkeit von Entra ID Ressourcen zu erhöhen
• Entra ID Disaster Recovery