Active-Directory-Dissonanzen Vermeiden

Wie Yamaha Music das thema AD neu arrangiert

Lange vorbei die Zeiten, da Unternehmen auf einen angestammten Firmensitz verweilten, zu dem jeden Morgen die Arbeiter strömten, um ihrer Aufgabe nachzugehen, wie etwa Klaviere zu bauen und zu verkaufen. Gebaut werden sie natürlich noch immer irgendwo, aber eine globale Präsenz erfordert heute eine weltweit verteilte Infrastruktur, die Mitarbeitern an beliebigen Orten und zu beliebigen Zeiten den Zugriff auf IT-Ressourcen ermöglicht, um ihre Aufgabe nachzugehen. Nur wie lassen sich diese Zugriffe in derart heterogenen Geschäftsstrukturen kontrollieren? Yamaha Music Europe setzt dabei auf eine Kombination aus Active Directory und Semperis.

Musiker und Musikliebhaber auf der ganzen Welt schnalzen beim Namen Yamaha mit der Zunge. Schließlich steht das Traditionsunternehmen aus Japan seit 1887 für ausgezeichnete Musikinstrumente und erweiterte die Leidenschaft für die Musik im Laufe der Entwicklung um professionelle Elektronik und HiFi. Vom ersten Harmonium führte die Geschichte über Klaviere, Orgeln und Gitarren. Bereits 1922 begann die Herstellung von Phonographen. 1954 wurde der erste HiFi-Spieler vorgestellt. Es ging weiter mit dem Engagement in der Mikroelektronik, das zu Innovationen im Bereich von Synthesizern oder Mischpulten führte. Abseits der Musik führte die Entwicklung gar zur Produktion von Motorrädern, Industrierobotern oder Tennisschlägern.

Mittlerweile konzentriert sich die Yamaha Corporation auf das internationale Geschäft mit der Musik in allen Formen, wobei allerdings nach wie vor eine Kooperation mit der gleichnamigen Motor Company besteht, vor allem, um den Wohlklang der Marke zu verstärken. Nicht wenig trugen dazu auch die Übernahmen von Traditionsunternehmen wie Bösendorfer oder Steinweg bei. Mit der Gründung der Yamaha Music Europe GmbH in Deutschland 1966 begann der Markteintritt hierzulande, der mittlerweile zu einer Präsenz von rund 800 Mitarbeitern geführt hat, die sich mit dem Vertrieb, dem Service oder der musikalischen Ausbildung beschäftigen - von Schweden bis nach Italien.

On-Prem, in der Cloud oder mobil

Die IT-Infrastruktur von Yamaha Europe ist beispielhaft für viele Unternehmen, die ein globales Geschäft betreiben: Ein überaus heterogenes Gebilde, das Niederlassungen, Home Offices und mobile Mitarbeiter in verschiedenen Umgebungen mit einer regionalen IT und der Zentrale eines Weltkonzerns verknüpfen muss. On-Prem, in der Cloud oder mobil. Mit der Pandemie begann auch bei Yamaha Europe die Ära des Home Office. Softwareseitig greift das Unternehmen auf Standardprodukte wie Microsoft 365 sowie eigene Lösungen zurück.

Die heterogene, räumlich verteilte Struktur stellt zunächst hohe Anforderungen an Konnektivität, Zuverlässigkeit und Performance, die jedoch immer Hand in Hand mit den Herausforderungen der Sicherheit gehen, welche im Laufe der Jahre mehr und mehr zugenommen haben.

Verantwortlich für den sicheren und performanten Zugriff auf das Unternehmensnetzwerk zeichnen Christian-Martin Schulz als Senior Network Engineer und sein Team aus 12 erfahrenen Kollegen. Schulz ist zudem als Betriebsrat aktiv und kennt schon aus dieser Tätigkeit die Bedeutung des Datenschutzes und Problemstellungen etwa im Zusammenhang mit Zugangsberechtigungen. Als zentrale Instanz für die Zugriffssteuerung dient bei Yamaha Europe - wie auch bei 90 Prozent aller Unternehmen weltweit - der Active-Directory-Verzeichnisdienst von Microsoft.

"Wir nutzen das AD bereits seit NT-Zeiten", erinnert sich Schulz. "Es ist die zentrale Authentifizierungsstelle für alle Systeme. Ohne AD läuft praktisch nichts mehr, keine Remote, keine Zugriffe."

Angeregt durch seine Aufgabe hat Christian-Martin Schulz im Laufe der Zeit eine besondere Passion für das Thema Sicherheit entwickelt und sich umfassendes Wissen angeeignet. "Es wurde mir klar, dass Sicherheit ein immerwährender Prozess ist, der proaktive Maßnahmen erfordert."

So sah er sich nach Möglichkeiten um, den Sicherheitsstatus seiner Infrastruktur zu prüfen. Über Tools wie PingCastle führte seine Recherche schließlich zu Purple Knight, einem kostenlosen Tool zur Sicherheitsbewertung von AD- und Azure-AD-Umgebungen. Purple Knight hatte sich inzwischen zum führenden Community-Werkzeug für die Erkennung von Gefährdungs- und Kompromittierungsindikatoren in hybriden AD-Infrastrukturen entwickelt.

Status Quo verbessern

Purple Knight führt eine umfassende Reihe von Tests gegen die häufigsten und effektivsten Angriffsvektoren durch, um riskante Konfigurationen und Sicherheitslücken aufzuspüren, erstellt einen Bericht über die Sicherheitslage in fünf Kategorien und bietet Empfehlungen für die Priorisierung von Abhilfemaßnahmen. Dazu nutzt das Werkzeug 130 Sicherheitsindikatoren für die Schwachstellen (IOEs) und für den Verdacht der Kompromittierung (IOCs).

Auch ermittelt Purple Knight einen Score, der es ermöglicht, den Status der eigenen Sicherheit im Lichte der möglichen Bedrohungen einzuschätzen. Der durchschnittliche Score bei Anwendern, die den Purple Knight erstmalig nutzen, liegt bei 68 Prozent, ein Wert, der immer Anlass gibt, sich intensiver mit der Thematik auseinanderzusetzen.

"Nach der Analyse durch Purple Knight nahmen wir uns vor, unseren eigenen Status Quo zu verbessern", erläutert Schulz. "Denn wenn es uns tatsächlich erwischte, dann müssten wir alles neu aufbauen. Auch machten wir uns auf die Suche nach den Gründen und danach, was eigentlich fehlte, um die Sicherheit zu optimieren."

Es waren vor allem zwei Bereiche, die sich als kritisch erwiesen: Die Erkennung und die Reaktion auf aktuelle Bedrohungen sowie die schnelle Wiederherstellung des Active Directory im Falle einer tatsächlichen Kompromittierung. Schließlich entschied sich Yamaha Europe für die Einführung zweier Lösungen des Active-Directory-Spezialisten Semperis: "Active Directory Forest Recovery" sowie "Directory Service Protector".

"Wir sind nicht riesig", erklärt Schulz, die Entscheidung für Semperis. "Für uns kam es darauf an, eine Lösung zu finden, die passt, und einen Partner, der schnelle Unterstützung garantiert."

Schließlich wurden die Lösungen im Sommer 2022 innerhalb eines Tages auf Basis der zuvor übermittelten Spezifikationen für die Server installiert.

Der Semperis Directory Service Protector ist die branchenweit umfassendste Plattform in der Kategorie Identity Threat Detection and Response. Die Notwendigkeit zum Einsatz einer ITDR-Plattform ergibt sich aus der simplen Tatsache, dass Untersuchungen zufolge gegenwärtig 9 von 10 Cyberangriffen auf Unternehmen das Active Directory betreffen.

Angreifer nutzen dazu vor allem Fehlkonfigurationen oder lange bekannte Sicherheitslücken. Ausgereifte ITDR-Lösungen bieten eine kontinuierliche Überwachung aller Aktivitäten, schaffen einen Überblick über die aktuelle Sicherheitslage und ermöglichen es, im Falle der Kompromittierung böswillige Änderungen rückgängig zu machen. Im Gegensatz zu reinen Tracking-Tools, die sich ausschließlich auf Sicherheitsprotokolle und Agenten auf Domänencontrollern stützen, überwacht Semperis DSP mehrere Datenquellen und vor allem den Active-Directory-Replikationsstrom - die einzige zuverlässige Methode, um jede Änderung zu erfassen, unabhängig davon, wie Angreifer versuchen, ihre Spuren zu verwischen.

"Es ist für Netzwerkadministratoren extrem zeitaufwändig, selbst nach neuen Bedrohungen zu suchen oder Fehlkonfigurationen aufzuspüren. Diese Sorge nimmt uns DSP nun ab", erläutert Schulz.

Schneller und kompetenter Support

"Zwar gibt es keinen 100%-Schutz für IT-Systeme, aber unsere Aufgabe als Netzwerkverantwortliche liegt vor allem darin, Attacken so schwierig zu machen, wie es eben geht," führt er fort. Gelingt es einem Angreifer trotz aller Vorsorgemaßnahmen dennoch, in das System einzudringen, möglicherweise durch einfaches Social-Engineering, dann gilt es, die Infrastruktur schnellstmöglich wieder zum Laufen zu bringen. Dazu dient das zweite Produkt, für dessen Einsatz sich Yamaha entschieden hat, Active Directory Forest Recovery.

Wenn im schlimmsten Falle ein Ransomware- oder Wiper-Angriff etwa Domänencontroller außer Gefecht setzt, dann kann sich die Wiederherstellung eines derart kompromittierten AD-Forests über Tage oder gar Wochen hinziehen. Und dabei besteht immer noch die Gefahr einer erneuten Malware-Infektion.

"Der Ausfall des AD führt zwangsläufig zum Stillstand der Geschäftsaktivitäten", erläutert Schulz. "Die schnelle Wiederherstellung ist deshalb die vordringlichste Aufgabe. Diesen Stress können wir mit dem Einsatz von ADFR vermeiden."

Semperis ADFR erhöht die betriebliche Ausfallsicherheit durch drei grundlegende Funktionen.

• Es ermöglicht es, einfach eine Replik der AD-Produktionsumgebung einzurichten.
• Es automatisiert den gesamten Wiederherstellungsprozess, um Ausfallzeiten zu reduzieren.
• Es verhindert die Wiedereinführung von Malware, indem es das Active Directory auf einen bekannten sicheren Zustand zurückstellen lässt, um Folgeangriffe zu vermeiden.

Zudem automatisiert ADFR die Organisation von Backups, hält sie aktuell und reduziert den notwendigen Speicherplatz.

Auch wenn die reine Funktionalität der Produkte ausschlaggebend für deren Einsatz ist, so bildete für Christian-Martin Schulz eine zweite Komponente einen wesentlichen Faktor.

"Für uns ist daneben ein schneller und kompetenter Support enorm wichtig." Die bisher gemachten Erfahrungen lassen ihn positiv in die Zukunft schauen. Und so gibt es bereits Pläne, die Unterstützung durch Semperis auf die Cloud auszudehnen.