Comline setzt zur AD-Härtung auf Semperis

Seit bald 25 Jahren bilden die Active Directory Domain Services von Microsoft den Quasi-Standard für die zentrale Authentifizierung und Autorisierung in Unternehmensnetzwerken. Weltweit gibt es kaum ein Unternehmen, das nicht auf den Verzeichnisdienst setzt. Diese dominierende Rolle weckt zwangsläufig Begehrlichkeiten auf Seiten von Angreifern, denen es geeignet zu begegnen gilt. Zudem steigen die Anforderungen an die Compliance für Unternehmen jedweder Größe rasant. Dadurch entstehen Bedarfe, aber auch Chancen für Unternehmen die Security in diesem Segment auf den Prüfstand zu stellen, zu überdenken und zu härten.

Schätzungsweise 90 Prozent aller Hacker-Angriffe auf Unternehmensressourcen haben das Active Directory zum Ziel. Das ist deshalb von besonderer Brisanz, weil die erfolgreiche Kompromittierung des Verzeichnisdienstes zu unabsehbaren Folgen bis hin zum Totalausfall führen kann. Kaum eine andere Funktion der Unternehmens-IT ist derart mission-critical. Grund genug also, deren Integrität besondere Aufmerksamkeit zu schenken. Die Erfahrung der letzten Jahre zeigt allerdings, dass dies mit Bordmittel allein nicht zu bewerkstelligen ist. Der Einsatz entsprechend spezialisierte Tools für die Härtung der AD-Infrastruktur erlebt folgerichtig enorme Zuwachsraten. Aber das Umfeld ist komplex und das Know-how in vielen Organisationen begrenzt. Für IT-Dienstleister eröffnen sich hier Betätigungsfelder, die langfristiges Wachstum zu erwarten lassen.

Die Comline SE ist ein IT-Dienstleister, der sich als Lotse für den Kunden in allen IT-Belangen versteht. An zehn Standorten in Deutschland arbeiten rund 500 Mitarbeiter in der Digitalisierungsberatung, der Software-Entwicklung oder dem Outsourcing. Sie verstehen sich als Innovatoren, die sich dem Security-First-Gedanken verpflichtet fühlen. Comline agiert branchenunabhängig, mit einem gewissen Schwerpunkt auf der Immobilienwirtschaft und dem produzierenden Mittelstand. Einer der Geschäftsbereiche sind die Enterprise- und MS-Cloud Solutions. Der Bereich mit knapp 40 Consultants wird von Michael Tiedtke geleitet, der auch als CTO fungiert.

„In den vergangenen Jahren haben wir einen prägenden Trend beobachtet, der sich mehr und mehr mit den Fragen der digitalen Identität beschäftigt“, erklärt Tiedtke. „Die sichere Identität bekommt durch zunehmende Dezentralisierung der Workforce, Mobilität und die Nutzung der Cloud eine steigende Bedeutung.“

So geriet zwangsläufig auch die Frage der Absicherung des Active Directory in den Fokus. Die Analyse brachte schließlich zu Tage, dass viele Unternehmen diesbezüglich offene Handlungsfelder im Bereich Identity-Security haben. Das liegt einerseits an der mangelnden Awareness der Problematik, andererseits an den gestiegenen Anforderungen an die Compliance, wie sie etwa die Einführung des IT-Sicherheitsgesetzes 2.0 mit sich bringt.

„Viele Unternehmen sind sich noch gar nicht darüber im Klaren, dass sie Teil einer kritischen Infrastruktur im Sinne des IT-SiG 2.0 sind“, weiß Tiedtke.

Business-Continuity sicherstellen

Es zeigte sich schnell, dass der Bedarf an einer entsprechenden Lösung der Problematik dringend ist, nicht nur, um die von außen gestellten Anforderungen zu erfüllen, sondern auch, um die eigene Prozesskontinuität sicherzustellen, im Angesicht steigender Bedrohungen, nicht zuletzt auch durch die Verfügbarkeit immer ausgereifterer Hacker-Tools oder von KI-Systemen. Das Identity- und Access-Management, kurz IAM, vereint als Schlagwort eine ganze Reihe von Technologien, aber wie stand es um praxistaugliche Lösungen für die Sicherung der zentralen IT-Verwaltungsinstanz im Unternehmen? Schließlich führte die Analyse bei einem Kunden zu Semperis, einem Anbieter, der sich von Beginn an mit der Absicherung des Active Directory beschäftigt hatte.

„Wenn wir uns entscheiden, mit einem Hersteller zusammenzuarbeiten, dann spielen oftmals auch die Personen eine wichtige Rolle, die Nähe und die Servicebereitschaft“, erläutert Tiedtke. „Als Dienstleister, der vor Ort gefordert ist, drängende Problem zu lösen, wird oftmals prompte und unkomplizierte Unterstützung benötigt. Aus den Gesprächen mit Semperis wurde schnell deutlich, dass hier ein Team bereitsteht, das nicht nur über die Kompetenz verfügt, sondern auch über die Bereitschaft, schnell mit Expertenrat beiseite zu stehen. Das ist nicht überall der Fall.“

Grundlage für die Zusammenarbeit bilden vor allem die beiden Produkte Directory Services Protector (DSP) sowie Active Directory Forest Recovery (ADFR) des AD-Spezialisten, die zwei wesentliche Aufgaben zur Aufrechterhaltung der IT-Funktionalität bei Angriffen erfüllen: Die Erkennung von Attacken und das Treffen geeigneter Schutzmaßnahmen sowie die automatisierte Wiederherstellung der gesamten produktiven Umgebung inklusive die Beseitigung von Malware.

Expertenzugriff entscheidend

Semperis DSP, der Directory Services Protector, ermöglicht das Erkennen und die Reaktion auf AD-Bedrohungen, indem er die gesamte Umgebung kontinuierlich überwacht, es ermöglicht, böswillige und/oder versehentliche Änderungen rückgängig zu machen und einen Überblick über die Sicherheitslage zu geben. Damit ergänzt DSP die in AD enthaltenen Schutzfunktionen maßgeblich und reduziert die Angriffsfläche nachhaltig. Schwachstellen lassen sich proaktiv erkennen, indem das System kontinuierlich auf entsprechende Gefährdungsindikatoren hin überwacht wird. Es nutzt dazu integrierte Bedrohungsdaten von Sicherheitsexperten, weist auf unsichere Einstellungen hin und enthält Informationen zur Verbesserung und Härtung. Bösartige Änderungen im On-Premises-AD können auf Wunsch automatisch rückgängig gemacht und entsprechende Audit-Benachrichtigungen erstellt werden.

Semperis ADFR, das Active Directory Forest Recovery, kommt zum Einsatz, um die Ausfallsicherheit der Infrastruktur zu optimieren und den Betrieb auch dann aufrechtzuerhalten, wenn ein Ransomware- oder Wiper-Angriff erfolgreich einen Domänencontroller ausschalten sollte. Die manuelle Wiederherstellung eines AD-Forests kann Tage oder sogar Wochen erfordern. ADFR ermöglicht demgegenüber die Wiederherstellung innerhalb von Minuten oder Stunden und unterbindet gleichzeitig die Neuinfektion mit Malware.

„Zudem beantwortet es auch die Frage, wann zuletzt ein Disaster-Recovery Drill für das Active Directory durchgeführt wurde. Dieser Schritt wird unseren Kunden leichter gemacht als je zuvor – ohne die Produktivumgebung zu beeinträchtigen, Downtimes zu verursachen oder IT-Personal an Wochenendarbeit zu knüpfen“, so Tiedtke weiter.

„DSP und ADFR sind nach nur einem guten Jahr der Zusammenarbeit in unserem Portfolio fest verankert. Der Grund liegt einerseits in der umfassenden und zielorientierten Funktionalität sowie dem persönlichen Support, andererseits in der Tatsache, dass unsere Kunden unmittelbar verstehen, warum sie diese Produkte einsetzen sollten. Der Mehrwert ist praktisch sofort einsichtig“, erklärt Michael Tiedtke. Aber er stellt auch klar, dass es mit der Installation der Werkzeuge allein nicht getan ist. „Für uns als Dienstleister geht es darum, mit dem Kunden gemeinsam die Bedrohungslage zu analysieren, zu bewerten, und die notwendigen Maßnahmen zu treffen, um die Härtung zu erhöhen. Das erfordert auch manchmal ein AD-Redesign oder die Entwicklung entsprechender Trainingsmodelle.“

Zur Analyse der AD-Sicherheitslage nutzt Comline SE auch den Purple Knight, ein von Semperis entwickeltes Community-Tool, das es ermöglicht, Active-Directory-Umgebungen auf Schwachstellen und Fehlkonfigurationen hin zu untersuchen. Es liefert Indikatoren für die Verwundbarkeit und mögliche Kompromittierung des AD und gibt Hinweise zum Schließen möglicher Lücken. Dazu fragt Purple Knight Konfigurationen und Policies ab und führt eine Reihe nichtinvasiver Tests gegen die häufigsten und erfolgreichsten Angriffsvektoren durch, die mit bekannten Security-Frameworks wie dem MITRE ATT&CK korrelieren.

„Diese Tool ermöglicht es uns, gemeinsam mit dem Kunden Assessments durchzuführen, um Schwächen aufzuzeigen, die wir mit unseren Dienstleistungen schließen können“, weiß Tiedtke. „Der Weg dahin bedeutet manchmal viel Arbeit, aber sie ist unerlässlich.“

Auf den Ernstfall vorbereiten

Es wäre ein Trugschluss anzunehmen, dass Security-First oder Compliance mit gesetzlichen Anforderungen oder branchentypischen Richtlinien mit dem Einsatz einzelner Werkzeuge erkauft werden könnte. Vielmehr handelt es sich um eine fortwährende Aufgabe, die die verschiedensten Unternehmensbereiche einschließt.

„Es gibt kein fertig, keine 100 Prozent“, weiß Tiedtke. „Es gibt immer Luft nach oben, es ist ein Prozess.“

Eben deshalb ist es notwendig, die Awareness bei den Mitarbeitern zu verstärken und sich kontinuierlich auf den Ernstfall vorzubereiten. Nur ist es eben in einer konventionellen AD-Implantierung nicht möglich, allein zu ermitteln, wie lange die Wiederherstellung der Funktionsfähigkeit im Falle einer erfolgreichen Attacke denn dauern würde, geschweige denn, die notwendigen Trainings aufzusetzen.

„Ohne entsprechende Tools sind derartige Drills gar nicht möglich“, führt Tiedtke aus. „In der Praxis sehen wir oft Unklarheit darüber, was eine Kompromittierung des AD anrichten würde und wer was zu tun hat. Mithilfe von Semperis können wir entsprechende Trainingsmodelle erstellen und Übungen durchführen.“

Das steigert nicht nur die eigene Sicherheit, sondern auch die Auditfähigkeit. Auf dieser Basis lassen sich Verwundbarkeiten messen und die getroffenen Maßnahmen objektiv testen und nachweisen.

Und vor dieser Aufgabe stehen heute selbst kleinere und mittelständische Unternehmen, etwa dann, wenn sie unter die KRITIS-Maßgaben fallen oder durch andere Regularien dazu aufgerufen sind, branchenspezifische Compliance-Regeln zu erfüllen. Letztlich ist es im Sinne der Aufrechterhaltung der eigenen Geschäftsfähigkeit und der Kundenbindung, sich mit der Sicherung des gesamten Identity-Stacks zu beschäftigen. Werkzeuge wie Semperis bieten dazu eine gute Grundlage, aber in der Praxis sind es in der Regel IT-Dienstleister, die mit ihrem Know-how die Implementierung tragfähiger Konzepte sicherstellen können.