Kriss Stephen | Leitender Lösungsarchitekt

Moderne Unternehmen können ohne Identitätsmanagement nicht funktionieren. Wenn Identitätssysteme ausfallen, kommt das Geschäft zum Erliegen. Sollte Ihr Unternehmen Opfer eines Cyberangriffs oder einer anderen Cyberkrise werden, ist die Fähigkeit, Identitätssysteme schnell wieder in einen zuverlässigen und sicheren Zustand zu versetzen, der erste Schritt zur Wiederherstellung Ihres „Minimum Viable Company“ (MVC), das manchmal auch als „Minimum Viable Business“ (MVB) bezeichnet wird . Und dies ist der erste Schritt, um Ihr gesamtes Unternehmen wieder in Betrieb zu nehmen.

Was ist das MVC, wie lässt es sich ermitteln, in welchem Zusammenhang steht es mit der Identität und wie kann man seine Wiederherstellung sicherstellen?

Um diese Fragen zu beantworten, wollen wir uns ein fiktives Unternehmen ansehen: Megakorp, einen Entwickler und Hersteller von industriellen Automatisierungskomponenten für den Unternehmensbereich, die von anderen Herstellern weltweit eingesetzt werden.

Hinweis: Dieser Blogbeitrag befasst sich mit der Wiederherstellung des „Minimum Viable Company“-Systems vor Ort. Auf Szenarien zur Wiederherstellung des MVC in der Cloud werde ich in meinem nächsten Beitrag eingehen.


Die moderne Identitätslandschaft

In modernen Unternehmen basiert fast alles auf der Identität. Aus diesem Grund betrachten wir die Identität heute als den modernen Sicherheitsperimeter. Für die meisten Unternehmen beginnt die Identität mit Active Directory (AD) und erstreckt sich dann auf die Cloud (z. B. Entra ID, Okta), um moderne SaaS-basierte Anwendungen zu unterstützen (Abbildung 1).

Abbildung 1. Die moderne hybride Identitätsinfrastruktur

Was versteht man unter dem „Minimum Viable Company“-Konzept und inwiefern lässt es sich auf die Identität anwenden?

Das weltweit tätige Beratungsunternehmen KPMG definiert das „Minimum Viable Company“ als „die kleinstmögliche Version einer Organisation, die auch dann noch funktionsfähig ist und Kunden bedienen kann, wenn ein Vorfall Teile des Betriebs und der Systeme lahmlegt“.

PwC definiert das MVC als „die Ermittlung der wesentlichen Dienstleistungen, Prozesse und Funktionen, die weiterhin funktionsfähig bleiben müssen, um die finanzielle, operative und strategische Lebensfähigkeit der Organisation in einer Krise zu gewährleisten“.

Da die Identitätsverwaltung eine grundlegende Voraussetzung für den Geschäftsbetrieb ist, stellt sie die wichtigste Komponente Ihres „Minimum Viable Company“ dar. Ohne eine funktionierende Identitätsinfrastruktur können sich Benutzer nicht authentifizieren, Anwendungen lassen sich nicht starten, das VPN funktioniert nicht und ein Administratorzugriff ist unmöglich.


Ein Tag im Leben von Megakorp

Wie viele moderne Unternehmen erweitert auch unser fiktives Beispiel, Megakorp, seine lokalen Identitäten auf Entra ID, um SaaS-basierte Anwendungen wie Microsoft 365 zu unterstützen. Abbildung 2 veranschaulicht die Active Directory-Umgebung von Megakorp unter normalen Betriebsbedingungen.

Abbildung 2. Die standardmäßige globale Active Directory-Bereitstellung bei Megakorp

Wie dieses Diagramm veranschaulicht, betreibt Megakorp zwei zentrale Rechenzentren, in denen kritische Infrastruktur-Workloads wie VPN, RADIUS, ERP, SQL, Entra ID Connect sowie Backup- und Wiederherstellungssysteme gehostet und betreut werden. Mit diesen zentralen Rechenzentren sind mehrere regionale Standorte sowie ein hochkritisches Produktionswerk verbunden.


Die Sichtweise des Vorstands: Betriebsunterbrechungen sind mehr als nur ein IT-Problem

Als Lieferant wichtiger Komponenten für Hersteller weltweit gilt: Wenn Megakorp stillsteht, stehen auch seine Kunden still.

Der Vorstand von Megakorp erkannte, dass ein längerer Ausfall nicht nur finanzielle, sondern auch rufschädigende Folgen haben würde. Diese Erkenntnis veranlasste das Unternehmen dazu, Ausfallsicherheit nicht als reine IT-Kennzahl, sondern als geschäftskritische Notwendigkeit zu betrachten.

Aufgrund früherer Vorfälle, über die in den Nachrichten berichtet wurde und an denen ähnliche Organisationen beteiligt waren, machte sich Megakorp daran, zu definieren und zu verstehen, was das Konzept des „Minimum Viable Company“ für sein Geschäft bedeutete. In der Erkenntnis, dass echte Cyber-Resilienz nicht erst während eines Vorfalls beginnt, sondern bereits Monate oder sogar Jahre zuvor, beauftragte der Vorstand ein Programm zur Recherche, Dokumentation und Analyse.


Megakorp und die 5 Ps

Was bedeuten die 5 Ps? Einegute Planung beugt schlechten Leistungen vor.

Megakorp führte Leitfäden, Betriebsanweisungen, Simulationsübungen und einen kontinuierlichen Verbesserungsprozess ein, um sicherzustellen, dass das Unternehmen im Bedarfsfall schnell und souverän reagieren kann.

Das Identitätsteam stellte fest, dass an jedem Hauptstandort zwei Domänencontroller (DCs) erforderlich waren, um die forensische Untersuchung nach einem Sicherheitsvorfall, die Behebungsmaßnahmen sowie die Wiederherstellung der ursprünglichen Authentifizierungsdienste zu unterstützen (Abbildung 3). Sobald die globale Netzwerkverbindung wiederhergestellt war, konnten die regionalen Standorte die Authentifizierung über das WAN fortsetzen.

Abbildung 3. Das minimale Active Directory von Megakorp

Menschen: Der menschliche Faktor im MVC

Bereits in der Planungsphase wurde Megakorp klar, dass die Mitarbeiter bei allen Wiederherstellungsmaßnahmen die wichtigste Rolle spielen würden. Im Rahmen sowohl des MVC-Plans zur Identitätswiederherstellung als auch der übergeordneten MVC-Unternehmensstrategie legte Megakorp fest, wer in jeder Phase des Wiederherstellungsprozesses verantwortlich, rechenschaftspflichtig, zu konsultieren und zu informieren ( RACI) war. Auf diese Weise stellte das Unternehmen sicher, dass bei der Ausführung einer Aufgabe keine Unklarheiten darüber bestanden, wer dafür verantwortlich war.


Flexibilität und Fehlertoleranz bei der Wiederherstellung

Im Rahmen der Gesamtstrategie zur Identitätswiederherstellung befürchtete Megakorp, dass der Ausfall eines einzelnen Rechenzentrums während der Wiederherstellung den gesamten Prozess zum Stillstand bringen könnte. Um dieses Risiko zu mindern, schrieb Megakorp vor, dass sein Identitätswiederherstellungsprozess sowohl fehlertolerant als auch flexibel sein muss (Abbildung 4).

Abbildung 4. Semperis Active Directory Forest Recovery ADFR) ermöglicht Fehlertoleranz

Megakorp erkannte zudem, dass gesetzliche Auflagen, die von internen oder externen Stellen wie Strafverfolgungsbehörden auferlegt werden, die Wiederverwendung der ursprünglichen Hardware verhindern könnten. Daher musste der MVC-Wiederherstellungsplan die Wiederherstellung von Identitätsdiensten über verschiedene Plattformen hinweg unterstützen, beispielsweise von physischen Servern auf virtuelle Maschinen oder sogar von einem Cloud-Identitätsanbieter zu einem anderen.

Zudem stellte sich heraus, dass der bestehende IP-Adressbereich des Unternehmens während oder nach der Wiederherstellung möglicherweise nicht mehr nutzbar sein würde. Daher musste der Wiederherstellungsplan Szenarien berücksichtigen, in denen die Infrastruktur unter Verwendung einer neuen Netzwerkadressierung neu aufgebaut werden müsste (Abbildung 5).

Abbildung 5. Semperis ADFR eine flexible Wiederherstellung

Warum Megakorp auf System-State- und Bare-Metal-Wiederherstellung verzichtete

Eine der größten Herausforderungen für Megakorp bestand darin, herauszufinden, wie eine Wiederherstellung auf sichere und malwarefreie Weise durchgeführt werden kann. Dem Team wurde schnell klar, dass herkömmliche Wiederherstellungsmethoden wie die Wiederherstellung des Systemzustands und die Bare-Metal-Wiederherstellung (BMR) das Risiko bergen könnten, kompromittierte Betriebssysteme wiederherzustellen oder Malware erneut in die Umgebung einzuschleusen.

Megakorp war zudem besorgt darüber, wie weit zurück die Backups wiederhergestellt werden müssten, um eine erneute Infektion sicher zu vermeiden.

Aufgrund dieser Bedenken beschloss Megakorp, dass die Wiederherstellung seiner Identitätsinfrastruktur den Wiederaufbau von Rechenzentren auf sauberen Betriebssystemen unterstützen muss, um einen malwarefreien Wiederherstellungsprozess zu gewährleisten. Eine Wiederherstellung des Identitäts-MVC und eine mögliche erneute Kompromittierung aufgrund von Persistenz auf Betriebssystemebene waren schlichtweg inakzeptabel.


Über das MVC-Modell hinaus: Ein stufenweiser Wiederherstellungsansatz

Da Megakorp erkannte, dass die Wiederherstellung des MVC nur die erste Phase der Wiederherstellung darstellt, war dem Unternehmen bewusst, dass weitere kritische Anwendungen, Infrastrukturkomponenten und Arbeitslasten nach und nach wieder in Betrieb genommen werden würden.

Um dies zu unterstützen, plante die Organisation die schrittweise Wiedereinführung weiterer Identitätsinfrastrukturen, soweit es Zeit und Ressourcen zuließen (Abbildung 6).

Abbildung 6. Semperis ADFR eine schrittweise Wiederherstellung

Der schlimmste Tag aller Zeiten.

All diese Planungen dienten einem einzigen Zweck: dem Tag, von dem Megakorp hoffte, dass er niemals kommen würde.

Und dann geschah es.

Eines Tages sah sich Megakorp mit seinem schlimmsten Albtraum konfrontiert: einem verheerenden Ransomware-Angriff, der weite Teile der IT-Infrastruktur lahmlegte. Die Automatisierung in der Fertigung fiel aus, die Mitarbeiter konnten sich nicht mehr anmelden, Systeme gingen offline, und es kam zu zahlreichen Ausfällen.

Aber es gab einen Plan. Einen bewährten Plan.

Nach der Eindämmung und einer ersten forensischen Analyse nach dem Sicherheitsvorfall aktivierte Megakorp seine Wiederherstellungsstrategie „Minimum Viable Company“.

Im Rahmen dieser Planung legte Megakorp fest, dass die Plattform zur Wiederherstellung der Identitäten unabhängig von der Produktionsumgebung betrieben werden muss. Dadurch wurde sichergestellt, dass die Wiederherstellungsfunktionen auch dann verfügbar bleiben, wenn die primäre Infrastruktur vollständig kompromittiert worden wäre.

Das Unternehmen richtete seine isolierte Wiederherstellungsumgebung (IRE) ein. Es wurden sechs leere Server bereitgestellt, und Semperis Active Directory Forest Recovery ADFR) Wiederherstellungsagenten installiert und in Betrieb genommen.

Mithilfe von ADFR stellte das Team die sechs DCs, aus denen sich das Identity-MVC zusammensetzte, zügig wieder her.

Sobald die MVC-Identität wiederhergestellt und verfügbar war, begannen die Maßnahmen zur Eindämmung nach dem Sicherheitsvorfall sowie die Aktivitäten im Bereich Identity Forensics Incident Response IFIR). Die Systeme wurden abgesichert und es wurde eine mehrstufige Verwaltung eingeführt.

Zu diesem Zeitpunkt war das MVC im Hinblick auf die Identitätsverwaltung erfolgreich wiederhergestellt worden (Abbildung 7). Da das Unternehmen der Ausfallsicherheit der Identitätsverwaltung Priorität eingeräumt hatte, gelang es ihm, die Identitätsdienste, die die Authentifizierung, Autorisierung und Protokollierung (AAA) stützen, innerhalb der vereinbarten Wiederherstellungszeit (RTO) wiederherzustellen. Dadurch konnten kritische Authentifizierungsprozesse wieder aufgenommen werden, und das gesamte „Minimum Viable Company“ konnte seinen Betrieb wieder aufnehmen.

Abbildung 7. Das wiederhergestellte MVC

Unternehmensresilienz: Vom Überleben zur Stabilität

Nachdem das MVC wiederhergestellt, gesichert und gehärtet worden war und sich die Anspannung bei den Beteiligten allmählich legte, konnte Megakorp schrittweise weitere Infrastrukturkomponenten einführen, um die steigende Arbeitslast im AAA-Bereich zu bewältigen.

Als globales Unternehmen war es nicht in jeder Region möglich, die Infrastruktur im gleichen Tempo wiederherzustellen. Als die Regionen Asien-Pazifik, Kanada und Europa ihre Infrastruktur wieder in Betrieb nahmen, stellte Megakorp weitere Rechenzentren wieder her, um die regionalen Authentifizierungsdienste zu unterstützen.

Zu diesem Zeitpunkt konnten sich die meisten Anwendungen, Benutzer und Systeme von Megakorp wieder lokal authentifizieren. Die Systeme in Lateinamerika authentifizierten sich dank der Fehlertoleranz von Active Directory weiterhin global über das WAN (Abbildung 8).

Abbildung 8. Erholung in Phase 2

Nach mehreren Phasen der Infrastrukturbereitstellung und -beschaffung entsprach die globale Active-Directory-Umgebung in der Mitte des Wiederherstellungsprozesses der in Abbildung 9 dargestellten .

Abbildung 9. Erholung in Phase 4

Nach Abschluss des Wiederherstellungsprozesses sah die vollständig wiederhergestellte Identitätsinfrastruktur wie in Abbildung 10 dargestellt aus . Während der Wiederherstellung traf Megakorp die bewusste Entscheidung, die Anzahl der Domänencontroller weltweit zu reduzieren, und die endgültige Umgebung spiegelt diese aktualisierte Architektur wider.

Abbildung 10. Wiederherstellung in Phase 5

Zu diesem Zeitpunkt war der weltweite Betrieb wieder vollständig hergestellt, sodass sich Anwendungen, Benutzer und Systeme in allen Regionen lokal authentifizieren konnten.


Aufbau eines umfassenden MVC auf der Grundlage von Identität

Nachdem die Identität gesichert und die Authentifizierung wiederhergestellt war, konnte Megakorp nun mit der Wiederherstellung der gesamten Unternehmensumgebung beginnen.

Soweit es Zeit und Ressourcen zuließen, nahm das Unternehmen die übrigen Teile der Infrastruktur schrittweise wieder in Betrieb. Der gesamte Wiederherstellungsprozess verlief in den in Abbildung 11 dargestellten Phasen .

Abbildung 11. In den Phasen der Genesung hängt alles von der Identität ab

Nachdem sich die Wogen geglättet hatten

Nachdem Megakorp die Krise überwunden hatte und der Betrieb wieder normal lief, wurden neue Richtlinien und Prozesse eingeführt, um die Wahrscheinlichkeit eines ähnlichen Vorfalls zu verringern.

Die Erholung hat eine wichtige Erkenntnis bestätigt:

  • Zunächst muss die Identität wiederhergestellt werden.
  • Anschließend sollte die Authentifizierung erfolgen.
  • Die Geräte können dann zurückgegeben werden.
  • Bewerbungen können fortgesetzt werden.
  • Das Unternehmen wird überleben.

Die Organisation hat die aus diesem Vorfall gewonnenen Erkenntnisse zudem in ihre Wiederherstellungsverfahren einfließen lassen, um sicherzustellen, dass sie im Falle eines erneuten Vorfalls noch effizienter und besser auf die Wiederherstellung vorbereitet ist.

Megakorp’s schlimmster Tag hat eines bewiesen: Wenn die Identität Bestand hat, hat auch das Unternehmen Bestand.

Vereinbaren Sie eine Vorführung, um zu erfahren, wie Semperis Ihnen dabei helfen kann, die Datenwiederherstellung nach einem Fahrzeugunfall (und den Fortbestand Ihres Unternehmens) sicherzustellen.


Zusätzliche Ressourcen