Daniel Lattimer | Area Vice President - EMEA West

In dieser Woche tritt der Digital Operational Resilience Act (DORA) der Europäischen Union in Kraft, um einen klaren Fahrplan für die Verbesserung der Cybersicherheit in der Finanzdienstleistungsbranche zu erstellen. Alle Finanzunternehmen, die in oder mit der EU tätig sind, sowie Anbieter von Informations- und Kommunikationstechnologie (IKT), die diese Unternehmen unterstützen, müssen nun die DORA-Vorschriften einhalten.

Wenn die DORA-Anforderungen für Ihr Unternehmen gelten und Sie deren Auswirkungen auf Ihre Strategie und Verfahren zur Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) noch bewerten müssen, sollten Sie keine Zeit verlieren.

Warum ist DORA notwendig?

Die schnelle Digitalisierung hat die Innovation im Finanzdienstleistungssektor dramatisch beschleunigt. Die Erwartungen der Kunden sind im Zuge der technologischen Entwicklung gestiegen. Die Akteure des Sektors versuchen nun, ihre Marktanteile durch die Bereitstellung von sofortigen und personalisierten Dienstleistungen zu erhöhen.

Für Unternehmen und ihre Geschäfte bieten sich zahlreiche Möglichkeiten. Aus der Sicht der Sicherheit stellen diese technologischen Fortschritte jedoch eine Herausforderung dar, denn sie machen den Finanzsektor anfälliger für eine wachsende Zahl ausgefeilter Cyber-Bedrohungen.

3 Schritte, die Sie in Ihre DORA-Compliance-Checkliste aufnehmen sollten

Zuvor haben wir Ihnen einen Überblick über die fünf Säulen der Widerstandsfähigkeit von DORA und ihre Anwendung im Kontext von Active Directory (AD) gegeben. Um diese Säulen effektiv zu nutzen, ist es wichtig, die folgenden drei Schritte in Ihre DORA-Compliance-Checkliste aufzunehmen:

  1. Bestimmen Sie, wer dafür verantwortlich ist, dass die Sicherheit Ihres Active Directory den DORA-Anforderungen entspricht.
  2. Erkennen Sie Risiken für Ihre hybride Active Directory-Umgebung genau.
  3. Verwalten Sie Risiken effektiv, indem Sie sicherstellen, dass Sie verdächtige Änderungen an Active Directory und Entra ID automatisch korrigieren können, um Active Directory und Entra ID schnell und sicher wiederherzustellen, falls Angreifer Ihre Verteidigungsmaßnahmen durchbrechen.

Schritt 1: Wer ist für die Einhaltung von ITDR und DORA verantwortlich?

Die zunehmende Verbreitung von Cyber-Bedrohungen führt dazu, dass Active Directory nicht mehr in den Zuständigkeitsbereich von IT-Infrastruktur-Teams fällt, sondern in den von Sicherheits- oder Identity Access Management (IAM)-Experten.

Active Directory lässt sich problemlos in Anwendungen integrieren und bietet Single Sign-On-Funktionen für die gesamte Unternehmensumgebung. In dem Vierteljahrhundert seit seiner Einführung ist AD als wichtiger Verzeichnisdienst, der Benutzer mit den Netzwerkressourcen verbindet, die sie zur Erfüllung ihrer Aufgaben benötigen, allgegenwärtig geblieben. Auch heute noch vereinfacht er das Leben der Administratoren, indem er eine zentrale Plattform für Computer- und Benutzerkonfigurationen sowie für die Rechteverwaltung bietet.

Aufgrund dieser Rolle fällt AD traditionell in den Aufgabenbereich der IT-Infrastrukturteams, die für die Entwicklung, Verwaltung und Pflege der digitalen Prozesse und Dienste verantwortlich sind, die den reibungslosen Betrieb eines Unternehmens gewährleisten. Aber in letzter Zeit hat sich das Blatt gewendet.

Die moderne Welt hat eine viel größere Komplexität mit sich gebracht. Viele Unternehmen sind heute auf eine Vielzahl von kritischen Anwendungen, Daten und anderen Assets angewiesen, die sich in immer komplexeren digitalen Landschaften befinden. Gleichzeitig haben Cyber-Bedrohungen und -Angriffe exponentiell zugenommen. Unternehmen jeder Art und Größe sehen sich heute mit Bedrohungen konfrontiert, die von der Preisgabe geistigen Eigentums bis hin zu Denial-of-Service- (DDoS) und Ransomware-Angriffen reichen.

Daher ist AD nicht mehr einfach nur ein Netzwerk-Tool. Heute ist es zu einem wichtigen Thema der Sicherheits- und Identitätsverwaltung geworden.

Als zentrale Plattform, die es Administratoren ermöglicht, Berechtigungen zu verwalten und den Zugriff auf Netzwerkressourcen zu kontrollieren, ist AD für Unternehmen praktisch der "Schlüssel zum Königreich". Folglich ist es ein Hauptziel für Cyber-Angreifer geworden. Die Kompromittierung von AD kann den Zugriff auf fast alle Systeme, Anwendungen und Ressourcen innerhalb eines Unternehmens ermöglichen.

"Da Active Directory umfangreiche Funktionen für die Identitäts- und Zugriffsverwaltung von Benutzern, Servern, Workstations und Anwendungen bietet, ist es unweigerlich das Ziel von Angreifern. Wenn ein Angreifer hoch privilegierten Zugriff auf eine Active Directory-Domäne oder einen Domänencontroller erhält, kann dieser Zugriff dazu genutzt werden, auf den gesamten Active Directory-Wald zuzugreifen, ihn zu kontrollieren oder sogar zu zerstören. "1

Planung für Kompromisse (Microsoft)

Diese Umstellung hat eine wichtige Frage aufgeworfen: Wo sollte die AD-Verwaltung jetzt angesiedelt sein und wer sollte sie beaufsichtigen?

Insbesondere im Zusammenhang mit DORA beobachten wir, dass immer mehr Unternehmen die Verantwortung für AD auf das Identitäts- und Zugriffsmanagement (IAM) und die Sicherheitsteams übertragen - eine Verlagerung, die durch die potenziell weitreichenden Auswirkungen von Angriffen, Fehlern oder Ausfallzeiten auf AD und damit auf den Geschäftsbetrieb bedingt ist.

Schritt 2: Identifizieren Sie Risiken für die Identitätsinfrastruktur

Nehmen Sie geschäftskritische, kundenorientierte Anwendungen. Diese stützen sich auf verschiedene Komponenten, einschließlich Dienstkonten und DNS, die in Active Directory verwaltet werden. Wenn AD nicht ordnungsgemäß funktioniert oder nicht effektiv verwaltet und gesichert wird, kann die Anwendung gefährdet sein, was sich auf den Ruf des Unternehmens, die Einnahmen und Verstöße gegen die DORA-Vorschriften auswirken kann.

Unternehmen erkennen diese Risiken zunehmend und verstehen die Notwendigkeit, der effektiven Verwaltung und Sicherheit von AD Priorität einzuräumen. Das Erfassen der tatsächlichen Risiken, die mit AD verbunden sind, kann jedoch komplex sein.

Es sind nicht immer Cyberprobleme, über die wir sprechen. Schwachstellen und Probleme können auch durch menschliches Versagen entstehen. AD wird von Menschen verwaltet, und Menschen machen Fehler.

Ein häufiges Szenario ist das versehentliche Löschen von kritischen Komponenten durch Einzelpersonen. Beispielsweise könnte ein Administrator beim Versuch, eine Benutzergruppe zu ändern, versehentlich Hunderte von Benutzern entfernen. Ein weiteres häufiges Problem ist die Entfernung von Dienstkonten, die als Sicherheitsbedrohung angesehen werden. Ohne ihre Funktionen oder Relevanz vollständig zu verstehen, kann das Entfernen dieser Konten den Betrieb in anderen Bereichen des Unternehmens zum Erliegen bringen.

Um diese Bedrohungen - sowohl interne als auch externe, böswillige und versehentliche - abzuschwächen, müssen Unternehmen ihre AD-Umgebung, ihre relevanten Verknüpfungen und Abhängigkeiten sowie die damit verbundenen Schwachstellen genau kennen.

"Um die Umgebung einer Organisation besser zu verstehen, durchsuchen böswillige Akteure häufig Active Directory nach Informationen, nachdem sie sich Zugang zu einer Umgebung verschafft haben ... Auf diese Weise erhalten böswillige Akteure manchmal ein besseres Verständnis der Active Directory-Umgebung der Organisation als die Organisation selbst. Dies ermöglicht es ihnen, Active Directory mit höherer Wahrscheinlichkeit erfolgreich anzugreifen. Böswillige Akteure nutzen ihr Wissen über die Umgebung, um Schwachstellen und Fehlkonfigurationen auszunutzen, ihre Privilegien zu erweitern, sich seitlich zu bewegen und die volle Kontrolle über die Active Directory-Domäne zu erlangen.... Um Active Directory zu verbessern, müssen Unternehmen ihre eigene einzigartige Konfiguration von Active Directory umfassend verstehen. "2

Erkennen und Abschwächen von Active Directory-Kompromittierungen (Bericht der Five Eyes Alliance)

Glücklicherweise gibt es mehrere kostenlose Tools, die einen sofortigen Einblick in die AD-Konfigurationen bieten und Unternehmen dabei helfen, ihre wichtigsten Risiken zu minimieren.

  • Purple Knight: Dieses Tool, das vom National Cyber Security Centre und anderen Cybersicherheitsbehörden der Five Eyes Alliance speziell als AD-Audit-Tool bezeichnet wurde, bietet Sicherheitsbewertungen für AD, Entra ID und Okta. Es hilft Organisationen bei der Identifizierung von Gefährdungsindikatoren (IOEs) und Kompromittierungsindikatoren (IOCs) innerhalb ihrer hybriden AD-Umgebungen und verbessert so die allgemeine Sicherheit und Widerstandsfähigkeit.
  • Forest Druid: Forest Druid wurde entwickelt, um die Herausforderung übermäßiger Berechtigungen in Active Directory und Entra ID zu bewältigen, und bietet ein einzigartiges Angriffspfad-Management. Anstatt jede Gruppe und jede Benutzerbeziehung manuell zu durchsuchen, priorisiert es die Angriffspfade, die in hybriden Identitätsumgebungen in den Tier 0-Perimeter führen. Diese Konzentration auf kritische Werte spart Zeit und erhöht die Sicherheit, da die wichtigsten Schwachstellen zuerst angegangen werden.

Es ist von entscheidender Bedeutung, auf diese Weise einen Einblick in Ihre aktuelle Umgebung zu erhalten. Diese Tools bilden eine solide Grundlage für die Identifizierung wichtiger Schwachstellen und potenzieller Angriffspfade auf geschäftskritische Anlagen und bieten eine Momentaufnahme Ihrer potenziellen Risiken zu einem bestimmten Zeitpunkt.

Schritt 3: Nutzen Sie die Automatisierung für ein kontinuierliches Risikomanagement

Obwohl Purple Knight und Forest Druid einen starken Vorsprung bieten können, ist es wichtig, diese Tools als den Beginn kontinuierlicher Analyse- und Abhilfemaßnahmen zu betrachten. Eine einmalige Maßnahme reicht in der Regel nicht aus, um die potenziellen Risiken, die mit AD verbunden sind, auf Dauer zu mindern.

Denken Sie an die Dynamik der meisten Unternehmen: Akquisitionen bringen neue Active Directory-Strukturen mit sich, Benutzer werden täglich hinzugefügt oder entfernt, Jobrollen ändern sich und Anwendungen und Netzwerkeinstellungen werden ständig aktualisiert. Mit anderen Worten: AD ist eine lebendige, atmende Umgebung, in der sich die Richtlinien ständig ändern.

Wenn Sie heute eine Grenze ziehen, ist das keine Garantie dafür, dass dies auch morgen noch der Fall sein wird. Um dieses sich im Laufe der Zeit entwickelnde Risiko effektiv zu verwalten und zu erfassen und die DORA-Vorschriften einzuhalten, benötigen Unternehmen eine Möglichkeit, ihr Risikoprofil entweder regelmäßig oder in Echtzeit zu erfassen.

Hier sind automatisierte Tools die leistungsfähigste und logischste Lösung. Der Versuch, AD zu überwachen und verdächtige Änderungen manuell zu korrigieren, kann sowohl zeitaufwändig als auch anfällig für menschliche Fehler sein. Automatisierte Lösungen bieten eine kontinuierliche Überwachung und Bewertung und stellen sicher, dass Sie aufkommenden Bedrohungen immer einen Schritt voraus sind.

Und sollte das Schlimmste eintreten - was aufgrund der Häufigkeit, Hartnäckigkeit und Raffinesse moderner Cyber-Bedrohungen häufig der Fall ist - ist die Fähigkeit, Active Directory und Entra ID schnell und sicher wiederherzustellen, von größter Bedeutung. Solange AD nicht wiederhergestellt ist, kann der normale Geschäftsbetrieb nicht wiederhergestellt werden.

Semperis verfügt über mehrere Tools zur Unterstützung dieser Prozesse, darunter:

  • Directory Services Protector (DSP): Diese von Gartner anerkannte ITDR-Lösung (Identity Threat Detection and Response) schaltet die hybride Active Directory-Sicherheit auf Autopilot. Sie bietet kontinuierliche Überwachung und unvergleichliche Transparenz in lokalen AD- und Entra ID-Umgebungen. Zu den Funktionen gehören die manipulationssichere Nachverfolgung und die automatische Rückgängigmachung bösartiger Änderungen, die einen zuverlässigen Schutz und eine schnelle Wiederherstellung gewährleisten.
  • Lightning IRP: Dieses ML-gestützte Tool erkennt ausgeklügelte Identitätsangriffe, die von herkömmlichen Lösungen übersehen werden, darunter Brute-Force-Angriffe, Passwort-Spray-Angriffe und anomale Aktivitäten.
  • Active Directory Forest Recovery (ADFR): Dieses Tool hilft Unternehmen bei der Vorbereitung auf Worst-Case-Szenarien, indem es im Falle einer Cyber-Katastrophe eine schnelle, malwarefreie Wiederherstellung des AD-Forests gewährleistet. Es ermöglicht die einfache Einrichtung einer Replik der produktiven AD-Umgebung für Disaster Recovery-Übungen und automatisiert den gesamten Wiederherstellungsprozess des AD-Forests, um die Ausfallzeiten zu minimieren. Darüber hinaus ermöglicht ADFR die Wiederherstellung von AD in einem bekannt sicheren Zustand, um Folgeangriffe zu verhindern und die Geschäftskontinuität zu gewährleisten.

Füllen Sie noch heute Ihre DORA-Compliance-Checkliste aus

Da AD ein wichtiges System ist, das zur Speicherung von Benutzerinformationen, zur Verwaltung des Benutzerzugriffs und der Benutzerauthentifizierung sowie zur Zuweisung von Ressourcen zu Diensten, Anlagen und Daten verwendet wird, müssen Finanzdienstleister unbedingt dafür sorgen, dass es geschützt ist.

Dies ist nicht nur für die Einhaltung der DORA-Vorschriften erforderlich, sondern auch für die Sicherheit und Integrität Ihres Unternehmens und Ihrer Kunden. Daher ist es von entscheidender Bedeutung, dass Sie die notwendigen Schritte unternehmen, um potenzielle Schwachstellen und Risiken laufend zu minimieren.

  1. Vergewissern Sie sich, dass Ihr Unternehmen die erheblichen Auswirkungen versteht, die eine einzelne Identität auf verschiedene Aspekte des Unternehmens haben kann, einschließlich wichtiger Anwendungen, Prozesse und Lieferketten. In Anbetracht dieser Interdependenz kann es notwendig sein, die Eigentumsverhältnisse und die Verwaltung von AD neu zu bewerten, um sicherzustellen, dass sie mit den geschäftlichen Prioritäten und Sicherheitsanforderungen übereinstimmen.
  2. Nutzen Sie Open-Source-Tools wie Forest Knight und Purple Druid, um sich einen Überblick über den aktuellen Zustand Ihrer AD-Umgebung zu verschaffen und Schwachstellen und potenzielle Angriffswege auf geschäftskritische Ressourcen zu identifizieren. Diese erste Bewertung ist die Grundlage für die Entwicklung von Strategien zur effektiven Verwaltung und Minderung der Hauptrisiken.
  3. Legen Sie Mechanismen fest, die sicherstellen, dass Sie AD-Risiken laufend aktiv abmildern. Für Unternehmen mit dynamischen IT-Umgebungen lohnt es sich, in automatisierte Tools zu investieren, die diesen Prozess rationalisieren und gleichzeitig dazu beitragen, die DORA-Konformität und -Bereitschaft gegenüber Prüfern nachzuweisen.

Wenn Sie diese Schritte befolgen, können Unternehmen die Sicherheit ihrer AD-Umgebungen verbessern, die Risiken von Cyber-Bedrohungen reduzieren und die DORA-Konformität in einer sich ständig weiterentwickelnden IT-Landschaft erreichen und aufrechterhalten.

Erhalten Sie Hilfe bei der Bewertung Ihrer AD-Sicherheits-Compliance

Endnoten

  1. Planung für Kompromisse | Microsoft Learn
  2. Erkennen und Entschärfen von Active Directory-Kompromittierungen