Finanz- und Unternehmensberater sind in der Regel mit dem sicheren Zugriff auf vertrauliche Unternehmensinformationen betraut. Microsoft Active Directory (AD) ist dabei meist die zentrale Anlaufstelle und Grundlage einer sicheren Identitätsstrategie.

RSM Ebner Stolz, eine der führenden Wirtschaftsprüfungs-, Steuer- , Rechts- und Unternehmensberatungsgesellschaften in Deutschland, bietet ihren Mandanten ein umfassendes Leistungsportfolio. Das Unternehmen mit Hauptsitz in Stuttgart beschäftigt bundesweit über 2.100 Mitarbeiter an 14 Standorten und erwirtschaftete im Jahr 2024 einen Umsatz von über 481 Millionen Euro. Zu den Mandanten zählen Industrie-, Handels- und Dienstleistungsunternehmen aller Branchen und Größen, vom Einzelunternehmen bis zum börsennotierten Konzern.

Die Arbeit des Unternehmens erfordert, dass seine Mitarbeiter sicheren Zugriff auf die wichtigsten Systeme und Daten seiner Kunden haben. In einem zunehmend volatilen Bedrohungsumfeld haben Cybersicherheit und operative Belastbarkeit für das Unternehmen höchste Priorität.

Keine Alternativen zur Identitätssicherheit

Die interne IT von RSM Ebner Stolz spielt eine wichtige Rolle bei der Aufrechterhaltung der Geschäftskontinuität. Sie stellt sicher, dass die Mitarbeiter an den jeweiligen Unternehmensstandorten und bei Kunden jederzeit schnell auf die benötigten zentralen Ressourcen zugreifen können. Zu diesem Zweck beschäftigt das Unternehmen mehr als 80 Mitarbeiter, die sich um die Infrastruktur und die notwendigen Anwendungen kümmern.

Ein zentrales Rechenzentrum in Frankfurt und kleinere, räumlich verteilte Recheneinheiten sind über ein MPLS-Netzwerk miteinander verbunden. Alle Mitarbeiter, sowohl im Büro als auch unterwegs, sind mit Laptops ausgestattet, um flexibel auf Anwendungen wie DATEV und andere fachspezifische Anwendungen zugreifen zu können.

Vor dem Hintergrund zunehmender Cyberbedrohungen hat RSM Ebner Stolz ein Team gegründet, das sich ausschließlich mit IT-Sicherheitsfragen befasst. IT-Sicherheitsingenieur Ben Glenz ist Teil dieser Gruppe und kümmert sich um die operative IT-Sicherheit. Zu Beginn des Teams erforderte seine Rolle eine gründliche Analyse der bestehenden Prozesse des Unternehmens.

„In einem über viele Jahre gewachsenen Unternehmen mit vielen heterogenen Einheiten war ein einheitliches Sicherheitskonzept, das sich erst auf der grünen Wiese umsetzen ließ, nicht zu erwarten“, erinnert sich Glenz. Viele Organisationen stehen vor diesem Problem , etwa wenn durch Akquisitionen neue Strukturen integriert werden müssen oder wenn Aktivitäten zunehmend remote ausgeführt werden – beides trifft auch auf die Unternehmensumgebung zu.

Der kritische Punkt in verteilten, heterogenen und remote betriebenen Infrastrukturen ist die Kontrolle über den Zugriff auf alle Ressourcen – ob Daten oder Anwendungen. Da Active Directory (AD) der zentrale Dienst ist, der es den Mitarbeitern von RSM Ebner Stolz ermöglicht, sich von den Büros des Unternehmens, von Kundenstandorten oder vom Homeoffice aus einfach und zuverlässig zu verbinden, bestand einer der ersten Schritte von Glenz darin, die Sicherheitslage des AD des Unternehmens zu untersuchen.

Dazu nutzte er Semperis Purple Knight , ein kostenloses Community-Tool, das Active Directory-Umgebungen auf Fehlkonfigurationen, Schwachstellen und potenzielle Angriffszeichen untersucht. Das Tool sucht nach mehr als 185 Indikatoren für Gefährdung (IOEs) und Kompromittierung (IOCs) und liefert eine Sicherheitsbewertung sowie Hinweise zum Schließen potenzieller Lücken.

Eine erste Analyse bei RSM Ebner Stolz ergab, dass die Infrastruktur zwar insgesamt den Anforderungen entsprach, jedoch Verbesserungspotenzial bestand.

„Active Directory wurde vor 25 Jahren eingeführt und basiert auf den Algorithmen von damals“, erklärt Ganz. Wie in den meisten Organisationen, die im Laufe der Zeit gewachsen sind, insbesondere nach Fusionen oder Übernahmen, entdeckte er Elemente, die nicht den aktuellen Sicherheitsanforderungen entsprachen oder nicht mehr unterstützt wurden. So „fanden wir veraltete Betriebssysteme wie Windows 7. Das öffnet Angreifern natürlich Tür und Tor.“

Kontinuierliche Überwachung und priorisierte Sicherheitsrichtlinien

Die Wertung erfolgt durch Purple Knight gab den Ausschlag dafür, den Active Directory-Änderungsprozess sofort in Angriff zu nehmen, obwohl keine aktive Bedrohung vorlag.

„Eines ist klar“, erklärt Glenz, „wenn Active Directory kompromittiert ist, sind auch die gesamten Geschäftsprozesse gefährdet.“

Das Sicherheitsteam entschied sich für die Installation von zwei Produkten: Semperis Directory Service Protector ( DSP ) und Active Directory Forest Recovery ( ADFR ) . Beide Produkte ließen sich einfach und ohne Benutzereingriff installieren.

DSP ermöglicht die kontinuierliche Überwachung aller Active Directory-Aktivitäten und verschafft Ihnen einen Überblick über die gesamte Identitätssicherheit Ihres Unternehmens. Darüber hinaus bietet das Tool priorisierte, umsetzbare Anleitungen, die von AD-Sicherheitsforschern entwickelt und bereitgestellt werden. DSP stellte eine sofort wirksame und umfassende Möglichkeit dar, den Zugriff auf die kritischen Vermögenswerte des Unternehmens zu kontrollieren und zu sichern und die Angriffsfläche für Identitäten nachhaltig zu reduzieren.

Die Lösung ermöglicht es dem Team von Ganz, verdächtige oder riskante Änderungen am Active Directory zu erkennen und rückgängig zu machen. RSM Ebner Stolz entschied sich für die Hybrid-Edition des Tools, die Identity Threat Detection and Response (ITDR) sowohl für Active Directory als auch für Entra ID bietet.

„Auch wenn viele Aktivitäten im Unternehmen noch auf dem lokalen AD basieren, entwickeln sich die Prozesse massiv in Richtung Azure“, begründet Glenz die Entscheidung. „Hinzu kommt, dass Angreifer häufig von On-Premises-Systemen in die Cloud oder umgekehrt wechseln.“

Sicherstellung der Betriebsstabilität durch schnelle und sichere Wiederherstellung

ADFR Ermöglicht die schnelle Wiederherstellung von AD-Forests in einen vertrauenswürdigen Zustand im Falle eines erfolgreichen Ransomware- oder Wiper-Angriffs. Die manuelle Wiederherstellung eines AD-Forests kann Tage oder Wochen dauern und birgt das Risiko der Persistenz des Angreifers und einer erneuten Infektion mit Malware, was den meisten Unternehmen erheblichen wirtschaftlichen Schaden zufügen kann.

Im Gegensatz, ADFR stellt die Betriebsbereitschaft innerhalb von Minuten oder Stunden wieder her und reduziert die Ausfallzeit um bis zu 90 Prozent. ADFR Mit Semperis können Sie Active Directory mithilfe sauberer Installationsquellen in einen sicheren Zustand zurücksetzen und so die erneute Einführung von Malware verhindern. Die Wiederherstellung kann auf jeder virtuellen oder physischen Hardware durchgeführt werden. Darüber hinaus tragen die Identity Forensics and Incident Response (IFIR) -Funktionen von Semperis dazu bei, potenzielle Folgeangriffe effektiv zu verhindern.

"Während DSP greift regelmäßig ein, wenn versucht wird, das AD mit böswilliger Absicht zu verändern, ADFR „ist die ultimative Instanz, um im Falle eines Angriffs die IT-Funktionsfähigkeit wiederherzustellen“, erklärt Glenz das Zusammenspiel der beiden Tools. „Wir haben den Recovery-Prozess durchlaufen und waren nach 20 Minuten wieder online.“

Ein weiterer attraktiver Aspekt von ADFR für das Unternehmen: Die notwendigen Sicherungsdaten benötigten lediglich einen Speicherplatz von ca. 300 MB. ADFR bietet zusätzlich die Möglichkeit der Online-Speicherung in der Cloud.

Aufbau einer sicheren Identitätsgrundlage

Durch die Annahme DSP Und ADFR RSM Ebner Stolz hat eine technische Grundlage geschaffen, um Active Directory abzusichern und Passwortrichtlinien bzw. individuelle Rechtevergaben durchzusetzen.

„Die Produkte funktionieren einfach, ich muss mich nicht jeden Tag einloggen“, erklärt Glenz. „Wenn etwas nicht funktioniert, bekomme ich eine Benachrichtigung.“

Dies hilft Glenz nicht nur, besser zu schlafen, sondern gibt ihm – und dem Rest seines Teams – auch mehr Zeit, sich um andere dringende Aufgaben zu kümmern.

Bereit, Ihre Identitätsinfrastruktur zu sichern? Vereinbaren Sie noch heute eine persönliche Demo.