Interview: Worauf es bei der Sicherheit von Identitäten wirklich ankommt

Viele Security-Ansätze stellen die Endpoints in den Mittelpunkt, andere die Cloud, oder aber die Daten. Sollte es stattdessen Identity First heißen?

Oliver Keizers: Ich würde den Begriff „Identity First“ durchaus kritisch sehen, weil Identitäten nicht der erste Angriffspunkt bei einer Cyberattacke sind. Ich würde jedem Kunden raten, klärt als erstes die Sicherheit der Endpunkte.

Solange man keine Endpunkt-Sicherheit hat, braucht man mit Identity-Sicherheit gar nicht anzufangen. Bei unsicheren Endpoints kommt der Angreifer rein, und danach werden die Identitäten in den Fokus genommen.

Endpoint Security ist also wichtig, und über EDR und XDR wird viel gesprochen und berichtet. Was aber ist mit Identity Threat Detection and Response (ITDR)?

Extended Detection and Response, Identity Threat Detection and Response, ich glaube, am Ende des Tages ist es eigentlich fast egal, wie man es nennt. Das Problem dahinter ist immer dasselbe, Angriffe benötigen Berechtigungen aus den Identitäten. Gartner hat daher den Begriff ITDR geprägt.

Die Identität lebt zwar auf dem Endpunkt, aber die Verteidigung, also die Extended Detection and Response, findet letztlich auf einer anderen Ebene statt, nämlich auf der Ebene des Domain Controllers, wenn wir über AD reden.

Sind sich die Unternehmen der Bedeutung der AD-Sicherheit bewusst?

AD ist de facto Standard, jeder kennt es, jeder hat es, es steht in der Ecke und steht aber auch schon im Zweifelsfall seit zwanzig Jahren in der Ecke. Es funktionierte, es war nie wirklich ein Problem, und dann kamen Veränderungen: Massive Ransomware-Vorfälle, die komplette Auflösung des Perimeters. Aber AD ist in dem Gedanken gebaut worden, außerhalb sind die Bedrohungen, im Inneren ist alles in Ordnung.

Das Active Directory ist „extrem geschwätzig“, kann leicht integriert werden, das ist der Grund, warum es sich so stark verbreitet hat. Aber es verrät auch sehr leicht seine Schwachstellen. Die Bedeutung für die Sicherheit ist zwar bekannt, es wird investiert, aber es wird noch nicht genug oder aber das Richtige dafür getan.

Wie steht es denn um die AD-Sicherheit? Welche Rolle spielen Konfigurationsfehler?

Ich würde gar nicht so sehr von Fehlern reden, sondern das ist eine Evolution. Da hat jemand vor zehn Jahren seinen Klick gesetzt bei einer Einstellung, und es war vor zehn Jahren vollkommen in Ordnung. Das ist kein Problem damals gewesen.

Heute ist es ein Problem. Es werden jede Woche neue Angriffsvektoren gegen Active Directory erkannt. Ein Beispiel dazu: Wenn ich einen frischen Windows Server aufsetze und den zu einem Domain Controller promote, also daraus ein AD erstelle, dann hat dieser Server Standardeinstellungen, und die sind inhärent unsicher, wie beispielsweise die Gruppe “Pre-Windows 2000 kompatibler Zugriff” zeigt.

Diese Einstellung ist ein „Scheunentor“, das standardmäßig von Microsoft überall in jedem neuen Active Directory angeschaltet wird, über die vergangenen 23 Jahre. Das heißt, jedes Unternehmen, das sich nicht explizit damit auseinandergesetzt hat, hat genau dieses Problem.

Was sind die besonderen Herausforderungen eines AD-Schutzes?

Das erste ist erst einmal überhaupt zu wissen, welche Sicherheitsprobleme es gibt. Diese Erkenntnis gibt es sogar kostenfrei, mit dem Active Directory Security Assessment Purple Knight, darin enthalten sind etwa 150 Tests auf AD Schwachstellen. Der Kunde erhält einen umfangreichen PDF-Report mit teilweise 60 oder 70 Seiten. Die ersten beiden Seiten sind ein Management Summary, das mit Ampelfarben den Status der AD-Sicherheit zeigt. Es folgen dann konkrete Anleitungen, was zu tun ist.

Es gibt aber auch Einstellungen, die kann man nicht ändern, weil eine bestimmte Anwendung diese benötigt. Dann braucht man eine Überwachungsstrategie, um mögliche Angriffe zur Ausnutzung der Schwachstelle erkennen und abwehren zu können.

Was tun, wenn es zu einem AD-Vorfall gekommen ist? Was braucht es für eine zeitnahe Recovery?

Jetzt müssen wir einen kurzen Sprung in die Vergangenheit machen. Backup-Hersteller, die AD Module haben, haben bisher einzelne Bestandteile eines ADs gesichert. Das war zu bestimmten Zeiten absolut richtig. Die Zeiten haben sich aber geändert. Wenn man heute einen Ransomware-Angriff hat, dann geht es nicht mehr darum, dass ein einzelnes System defekt ist, sondern dann ist das gesamte AD betroffen. Es braucht also ein Backup des ganzen AD und eine Recovery-Strategie, um das Backup wieder in ein sauberes System einspielen zu können.

Was bedeutet dabei „Identity Resilience“?

Resilienz ist zweierlei, die Fähigkeit wiederherzustellen, aber auch die Sicherheit zu sagen, das ist das Active Directory des Unternehmens und nicht mehr das Active Directory des Angreifers, der das AD manipuliert haben kann. Die Integrität des AD muss sichergestellt sein. Der Faktor Zeit ist mindestens so wichtig wie der Faktor Vertrauen: Ist es wirklich “mein“ Active Directory?