Die Universität Stuttgart ist das Zentrum eines breit gefächerten Forschungsökosystems in einer wirtschaftlich starken Region. Rund 23.000 Studierende in einer Vielzahl von Disziplinen werden von fast 5.700 Mitarbeitern unterstützt, die sich alle dafür einsetzen, hervorragende Bedingungen für Forscher und Studierende zu schaffen. Dazu gehört auch eine digitale Infrastruktur, die einen reibungslosen Zugang zu umfassenden Ressourcen garantiert - vorausgesetzt, die notwendigen Genehmigungen sind vorhanden.
Für die Verwaltung von Hardware und umfassenden Dienstleistungen ist die Abteilung Technische Informations- und Kommunikationsdienste zuständig, die zum Informations- und Kommunikationszentrum der Universität gehört. Das Team der Abteilung Central Administration Services sorgt für die zentrale Arbeitsplatzunterstützung von Datei- und Druckservern sowie für das Geräte- und Patch-Management. Darüber hinaus unterstützt dieses Team spezielle Anwendungen, darunter das Dokumentenmanagement und die Personalverwaltung.
Das Team der zentralen Verwaltungsdienste ist auch für die Pflege des Active Directory verantwortlich, das Mitarbeitern und Studenten den Zugang zu den benötigten Ressourcen ermöglicht.
"Wir sind für die Sicherheit und den Betrieb von Active Directory als Teil des Identitätsmanagements verantwortlich", erklärt Mike Holz, Leiter der Central Administration Services.
Active Directory im Kern absichern
Aufgrund der Bedeutung, der Sensibilität und des potenziellen globalen Werts der Forschungsergebnisse der Universität unterliegt die Zugangssicherheit höchster Aufmerksamkeit. Die besondere Umgebung, in der einer großen Anzahl von Studenten mit privaten Geräten über ein VPN Zugang zum Universitätsnetzwerk gewährt werden muss, muss berücksichtigt werden. Auch die ständige Fluktuation der Nutzer stellt eine Herausforderung für die Neuvergabe von Rechten dar. Daher müssen die IT- und Personalverwaltungssysteme eng miteinander verzahnt werden.
"Natürlich beobachten wir ständig die aktuelle Sicherheitslage, mit besonderem Augenmerk auf die öffentliche Infrastruktur und Universitäten", erklärt Holz. "In den letzten Jahren haben wir festgestellt, dass die Angriffe auf diese Einrichtungen ständig zunehmen. Uns wurde zunehmend bewusst, dass wir proaktiv handeln müssen."
Die Sicherung des Zugangs zu sensiblen Bereichen war nur eines von Holz' Anliegen. Wenn der zentrale Verzeichnisdienst kompromittiert würde, könnte die Arbeitsfähigkeit der gesamten Einrichtung tagelang eingeschränkt werden - oder schlimmer noch, ganz zum Erliegen kommen. Daher zogen Holz und sein Team in Erwägung, die Sicherheit und Funktionalität der Identitätsmanagement-Infrastruktur der Universität durch Dritte überprüfen zu lassen.
"Auch wenn wir sicher waren, dass wir das Notwendige getan hatten, bestand immer noch die Möglichkeit, dass wir Schwachstellen übersehen hatten. Und jeden Tag tauchen neue Angriffsvektoren auf, die wir nicht auf dem Radar hatten - zum Beispiel neue KI-basierte Techniken."
"Ohne die Unterstützung eines kompetenten Partners hätte diese Bewertung für uns einen großen Aufwand bedeutet, um ein ähnlich hochwertiges Ergebnis zu erzielen. Und es hätte eine umfassende Schulung unserer Mitarbeiter erfordert."
Mike Holz, Head of Central Administration Services
AD-Sicherheitsbewertung mit einem kompetenten Partner
Für ein grundlegendes Active Directory Security Assessment (ADSA) wollte das Team von Holz einen führenden Anbieter von Active Directory-Sicherheitslösungen mit ausreichender Erfahrung und Kenntnis der aktuellen Entwicklungen. Die Entscheidung fiel auf Semperis, einen anerkannten Experten, der Unternehmen dabei hilft, ihre Identitäten zu schützen und Sicherheitsprozesse zu optimieren.
Semperis bietet eine Reihe von Lösungen an, die die Schwachstellen und Risiken bei der Verwendung von Active Directory beseitigen, Änderungen am Verzeichnisdienst überwachen, mögliche Bedrohungen selbst durch privilegierte Benutzer erkennen und eine schnelle Reaktion auf Angriffe ermöglichen.
Aufbauend auf umfangreichen Erfahrungen aus einer Vielzahl von weltweiten Projekten bietet Semperis ADSA einen umfassenden Überblick über das Identitätssystem.
- Eine detaillierte Bewertung der Sicherheitslage der Active Directory-Umgebung verschafft Unternehmen ein fundiertes Verständnis der identifizierten Risiken und liefert gezielte Empfehlungen zur Stärkung der Active Directory-Sicherheit.
- Die Bewertung identifiziert nicht nur gefährliche Fehlkonfigurationen und die damit verbundenen Risiken, sondern deckt auch Angriffspfade innerhalb der AD-Umgebung auf, die es einem Angreifer ermöglichen könnten, kritische Tier 0-Ressourcen zu kompromittieren.
- Eine Überprüfung der Sicherheitsarchitektur und der Betriebsprozesse vervollständigt die Bewertung, indem Abweichungen von bewährten Verfahren identifiziert werden. Interviews mit Mitarbeitern und Experten in Schlüsselbereichen wie Sicherheitsmanagement, Netzwerkarchitektur, Domain Trusts, Systemadministration und Sicherheitsüberwachung decken potenzielle Schwachstellen auf und geben entsprechende Empfehlungen.
Das Ergebnis sind maßgeschneiderte Empfehlungen zur Stärkung der Sicherheit, einschließlich Best Practices für die sichere Konfiguration von Active Directory. Die Umsetzung dieser Maßnahmen liegt in der Verantwortung der Organisation.
Ein reibungsloser und effizienter Prozess der Sicherheitsbewertung
Nachdem die Entscheidung getroffen war, das Projekt in Angriff zu nehmen, wurden die entsprechenden Teams zusammengestellt und ein strukturierter Prozess eingeleitet.
Unter der Leitung des Projektmanagement-Teams trugen Semperis-Experten aus der ganzen Welt ihr Fachwissen zur Bewertung bei. Es wurden Tools zur effizienten und automatischen Erfassung der Active Directory-Konfiguration und der für die Analyse erforderlichen Zusatzinformationen eingesetzt.
Dieser koordinierte Ansatz minimierte die zeitliche Belastung für die IT-Mitarbeiter der Universität. Die komplette Bewertung - einschließlich der Definition des Ziels, der Klärung der zu bewertenden Bereiche, der Bestandsaufnahme der Identitätsstruktur, der Analyse der gesamten Umgebung und der Risikobewertung - wurde in etwa sechs bis acht Wochen abgeschlossen. Der Nettozeitaufwand für die Mitarbeiter der zentralen Verwaltungsdienste der Universität betrug nur wenige Tage.
Die daraus resultierende Analyse verschaffte der Universität einen umfassenden Überblick über die bestehende Infrastruktur und die Prozesse.
"Tatsächlich wurden nur wenige kritische Probleme festgestellt", stellt Holz fest. "Vor allem im Vergleich mit anderen Institutionen unserer Größe und mit vergleichbaren Sicherheitsanforderungen war das Ergebnis recht positiv."
Das bedeutet jedoch nicht, dass die derzeitigen Praktiken selbstzufrieden fortgesetzt werden können. "Einige Dinge [in der Bewertung] geben uns Anlass, bestimmte Punkte zu prüfen, die angesichts der potenziellen Risiken nun Schritt für Schritt angegangen werden sollten."
Know-how-Transfer inklusive
Auch wenn das Ergebnis der Bewertung weitgehend die erfolgreiche Arbeit des Teams der Universität bestätigt, hat die Umsetzung eine Reihe weiterer positiver Einflüsse.
Erstens stärkt es das Vertrauen in die etablierten Sicherheitsmechanismen und die beteiligten Personen. Außerdem verbessert es den Ruf der Universität im internationalen Ökosystem und fördert die vertrauensvolle Zusammenarbeit mit anderen wissenschaftlichen Einrichtungen und Partnern in der Industrie.
Darüber hinaus werden die Ergebnisse der Analyse der Universität helfen, die verfügbaren Humanressourcen effektiver einzusetzen. Dieser positive Effekt kann nicht unterschätzt werden, erklärt Holz. "Ohne die Unterstützung eines kompetenten Partners hätten wir bei dieser Auswertung nur mit großem Aufwand ein ähnlich hochwertiges Ergebnis erzielen können. Und es hätte eine umfassende Schulung unserer Mitarbeiter erfordert."
"In der Tat", sagt er, "ist das Fachwissen unseres eigenen Teams durch die Zusammenarbeit mit den Experten von Semperis in Bezug auf die Funktion und die Schwachstellen von Active Directory erheblich gewachsen - ein erfolgreicher Know-how-Transfer."
Langfristig gesehen sieht sich das AD-Team der Universität mit den nun optimierten Prozessen gut gerüstet. Allerdings ist man sich auch darüber im Klaren, dass absolute Sicherheit in einer hochdynamischen Umgebung nicht garantiert werden kann.
"Angesichts der Anstrengungen, die interessierte Parteien unternehmen, um wertvolle Forschungsergebnisse zu erhalten, einschließlich der Nutzung von Technologien der künstlichen Intelligenz, müssen wir uns ständig mit neuen Angriffsvektoren auseinandersetzen."
Tatsächlich ist die Verwaltung von Identitäten immer mit Risiken verbunden, die jedoch durch Methoden wie Änderungsverfolgung und automatische Wiederherstellung minimiert werden können. Letztendlich ist es selbst im schlimmsten Fall wichtig, das AD innerhalb von Minuten wiederherstellen zu können. Zu diesem Zweck stehen Tools wie Active Directory Forest Recovery zur Verfügung, die sich mit minimalem Aufwand implementieren lassen.
