Der Digital Operational Resilience Act (DORA) ist ein neuer Rechtsrahmen der Europäischen Union (EU), der darauf abzielt, die operative Widerstandsfähigkeit digitaler Systeme im Finanzsektor zu stärken. Alle Finanzunternehmen, die in oder mit der EU tätig sind, müssen DORA bis Anfang 2025 einhalten, ebenso wie die Anbieter von Informations- und Kommunikationstechnologie (IKT), die diese Unternehmen unterstützen. In diesem Artikel werden die 5 Säulen der DORA-Konformität aus der Perspektive der Active Directory-Sicherheit erläutert, damit Ihr Unternehmen gut auf die Anforderungen dieser Verordnung vorbereitet ist.
Lesen Sie "DORA-Einhaltung und ITDR"
Die 5 Säulen der DORA-Compliance
DORA enthält fünf Säulen der Resilienz:
- IKT-Risikomanagement
- ICT-bezogenes Vorfallmanagement, Klassifizierung und Berichterstattung
- Testen der digitalen Ausfallsicherheit
- Management von ICT-Drittrisiken
- Austausch von Informationen
Um die DORA-Konformität insgesamt zu erreichen, muss jede Säule berücksichtigt und angegangen werden. Wie ich in "DORA-Compliance und ITDR" erläutert habe , besteht ein wesentlicher Teil der DORA-Compliance darin, die wesentlichen Dienste, Systeme und ihre Abhängigkeiten zu verstehen und abzubilden, um sicherzustellen, dass sie gut vor digitalen Bedrohungen geschützt sind und dass für jeden Dienst ein umfassender, testbarer Plan für die Reaktion auf Vorfälle vorhanden ist.
Die Verwaltung und Überwachung von Active Directory ist der Eckpfeiler einer effektiven Sicherheit für Ihre Umgebung durch die Verwaltung der Benutzeridentität und des Zugriffs (IAM). Damit fällt die Sicherheit von Active Directory fest in den Aufgabenbereich von DORA.
Ein klares und genaues Bild Ihrer AD-Konfiguration ist entscheidend für die Aufrechterhaltung der Sicherheitslage Ihrer Umgebung und den Nachweis der DORA-Konformität. Im Folgenden erfahren Sie, wie Sie die Anforderungen der fünf kritischen Säulen der DORA-Sicherheit im Kontext von Active Directory und seinen spezifischen Herausforderungen erfüllen können.
DORA Compliance Säule 1: IKT-Risikomanagement und Governance
Das Risikomanagement erfordert, dass Unternehmen über gut dokumentierte IKT-Risikomanagement-Rahmenwerke für alle ihre wichtigen Geschäftsgüter verfügen. Dieses Rahmenwerk sollte die entsprechenden Werkzeuge, Dokumentationen und Prozesse für die Cyberabwehr, Betriebsstörungen und jedes Szenario umfassen, das die Geschäftskontinuität kritischer Systeme unterbrechen oder stören könnte.
Active Directory ist ein grundlegender Dienst, der die Authentifizierung und den Zugriff auf die meisten geschäftskritischen Dienste ermöglicht, einschließlich des Zugriffs auf E-Mails, Dokumente, Daten und Anwendungen. Wenn Active Directory ausfällt, fällt auch alles andere aus.
Um die Anforderungen der DORA-Säule Risikomanagement in Bezug auf Active Directory zu erfüllen, muss Ihr Unternehmen dies nachweisen:
- Sie haben vollen Einblick in Ihre Active Directory-Konfiguration und die von ihr abhängigen Systeme und Dienste
- Sie können kontrollieren, was in Active Directory passiert
- Sie können Active Directory wiederherstellen, wenn etwas schief geht
Wo sollten Sie mit dem Risikomanagement beginnen?
Unternehmen müssen mit DORA und Risikomanagement nicht bei Null anfangen. Sie können bestehende Rahmenwerke, Konformitätserklärungen und Branchenleitfäden wie MITRE ATT&CK®(eine globale Wissensdatenbank für Cyberangriffstaktiken und -techniken) als Ausgangspunkt verwenden.
Historische Konformitäten wie die SANS Top 20 oder CIS Controls sind ebenfalls umfassende Ressourcen, auf denen Sie einen Rahmen für das Risikomanagement aufbauen können. Diese Konformitäten untersuchen sowohl Ihre Hardware- und Software-Assets als auch deren Konfigurationsstatus.
Diese Rahmenwerke und Konformitäten bilden das Fundament, auf dem Sie risikobasierte Entscheidungen für Ihre Umgebung treffen können.
Technologie und Werkzeuge sollten die schwere Arbeit übernehmen
DORA verlangt von Ihnen einen proaktiven, aber dennoch kontinuierlichen Ansatz bei der Risikobewertung und den Strategien zur Risikominderung. Die Gesetzgebung schreibt vor, dass der Rahmen für das Risikomanagement "mindestens einmal jährlich ... sowie nach dem Auftreten größerer IKT-bezogener Vorfälle und nach ... Schlussfolgerungen, die sich aus relevanten Tests der digitalen operativen Belastbarkeit oder aus Audit-Prozessen ergeben, dokumentiert und überprüft werden muss. Er wird auf der Grundlage der bei der Umsetzung und Überwachung gewonnenen Erkenntnisse kontinuierlich verbessert. "1
Regelmäßige Überprüfungen und kontinuierliche Verbesserungen sind die besten Methoden für ein effektives Risikomanagement. Diese Praktiken bedeuten jedoch auch einen erheblichen Druck und viel Arbeit für die Teams, die diese Rahmenwerke pflegen und überprüfen müssen.
Technologie und Tools sind von unschätzbarem Wert, wenn es darum geht, die schwere Arbeit durch Automatisierung und proaktive Überwachung zu übernehmen und sicherzustellen, dass die laufende Einhaltung der Vorschriften nur minimalen Zeit- und Arbeitsaufwand erfordert. So bietet beispielsweise Semperis Directory Services Protector (DSP) einen umfassenden Überblick über Ihre Active Directory-Software-Assets und deren Konfigurationsstatus, so dass Risikobewertung und Umgebungszuordnung selbst für komplexe Organisationen problemlos möglich sind.
Neben diesem Einblick gibt DSP auch allen Änderungen einen Kontext, selbst in Umgebungen, in denen Tausende von Active Directory-Änderungen vorgenommen werden. DSP kann Änderungen automatisch erkennen, warnen und rückgängig machen, basierend auf vom Kunden konfigurierbaren Warn- und Reaktionsregeln. Die Lösung überwacht außerdem kontinuierlich auf Anzeichen für eine Gefährdung und einen Angriff, so dass Sie Schwachstellen erkennen können, bevor sie ausgenutzt werden können. Sollten Spuren eines Angriffs entdeckt werden, zeigt DSP diese als Anzeichen für eine Gefährdung an.
"DSP...hilft uns, Active Directory zu schützen. Wir waren in der Lage, unsere Active Directory-Infrastruktur so zu härten, wie es noch nie zuvor der Fall war. Wir sind in der Lage, all diese kleinen Kontrollkästchen zu aktivieren und sicherzustellen, dass sie absolut sicher ist."
Paul Ladd, Vizepräsident für Informationssysteme und Technologie, AMOCO Federal Credit Union
Für diejenigen, die zusätzliche Unterstützung benötigen, kann unser Service zur Vorbereitung auf Sicherheitsverletzungen eine vollständige AD-Sicherheitsbewertung anbieten.
Wissen ist Macht, wenn es um die Einhaltung von Vorschriften geht. Es ist wichtig, dass Sie sich die Zeit nehmen, um zu verstehen, was Sie haben, bevor Sie mit der Planungs- und Testphase beginnen.
Säule 2: Meldung von Vorfällen
DORA verlangt eine Standardisierung der Klassifizierung von IKT-bezogenen Vorfällen. Organisationen müssen definierte Prozesse und Vorlagen für die Meldung von Vorfällen verwenden, und die Aufsichtsbehörden werden Berichte in drei Stufen verlangen:2
- Ursprünglich
- Zwischenstufe
- Endstadium eines Vorfalls
Wie bei der DORA-Säule Risikomanagement können bestehende Leitlinien und Rahmenwerke für die Berichterstattung bei der Entwicklung Ihres Berichtsverfahrens hilfreich sein.
Der DORA-Ansatz für Ausfallsicherheit besteht nicht unbedingt darin, jede Komponente einzeln zu betrachten, sondern die gesamte Angriffs- oder Verteidigungskette sowie die Abhängigkeiten zwischen den Komponenten zu überprüfen. Hier kann das MITRE ATT&CK Framework nützlich sein. Entwerfen Sie theoretische Szenarien und berichten Sie dann über diese Szenarien. Die MITRE Wissensdatenbank und die Vorlagen sind Industriestandard, kostenlos und Open Source. Es ist eine großartige Möglichkeit, um zu verstehen, wie Angreifer im Allgemeinen versuchen, Sie anzugreifen und wie Sie sich generell gegen solche Bedrohungen verteidigen sollten.
Die Verordnung beschreibt die wesentlichen Komponenten eines ganzheitlichen und effektiven Prozesses zur Meldung von Vorfällen. Lassen Sie uns diese Anforderungen und ihre Auswirkungen auf die Meldung von Vorfällen in Active Directory näher betrachten.
Identifizierung und Kategorisierung von Vorfällen
Erstens verlangt die DORA, dass Finanzinstitute "Verfahren zur Identifizierung, Verfolgung, Protokollierung, Kategorisierung und Klassifizierung von IKT-bezogenen Vorfällen entsprechend ihrer Priorität und der Schwere und Kritikalität der betroffenen Dienste einrichten".3 Mit anderen Worten: Nachdem Sie Ihre Risiken identifiziert und bewertet haben, müssen Sie sich im nächsten Schritt darauf einigen und standardisieren, wie die verschiedenen Vorfälle innerhalb des Unternehmens kategorisiert werden.
Die Klassifizierung ist ein entscheidender Schritt. Indem Sie Vorfallstypen und die entsprechenden Reaktionspläne gruppieren, ermöglichen Sie eine zeitnahe und präzise Lösung von Vorfällen.
Im Rahmen der DORA-Säule Risikomanagement sollten Sie alle wahrscheinlichen Szenarien von Active Directory-Vorfällen kartiert und die Auswirkungen berücksichtigt haben, um solche Vorfälle für die Klassifizierung vorzubereiten. Wie ich bereits erklärt habe, ist Active Directory die Grundlage für die Geschäftskontinuität, so dass Ihre Klassifizierung diese kritische Bedeutung widerspiegeln sollte.
Im Microsoft 2023 Digital Defense Report hat Microsoft hervorgehoben, dass 43% der Kunden, bei denen es zu Zwischenfällen kam, unsichere Active Directory-Konfigurationen hatten:
Die häufigsten Lücken, die wir bei der reaktiven Reaktion auf Vorfälle gefunden haben, waren:
- Unzureichender Schutz für lokale administrative Konten.
- Eine durchbrochene Sicherheitsbarriere zwischen lokaler und Cloud-Verwaltung.
- Mangelnde Befolgung des Modells der geringsten Privilegien.
- Ältere Authentifizierungsprotokolle.
- Unsichere Active Directory-Konfigurationen.
Für fast alle Finanzunternehmen sollte Active Directory aufgrund der potenziellen Auswirkungen einer Kompromittierung, eines Eindringens oder eines Ausfalls mit hoher Priorität und Schwere eingestuft werden.
Semperis' kostenlos Purple Knight und Forest Druid Community-Tools von Semperis ermöglichen es Unternehmen, sich einen Überblick über den Zustand ihrer AD-Konfiguration zu verschaffen. Purple Knight erkennt Indikatoren für eine Gefährdung und Kompromittierung und gibt Ihnen einen klaren, umsetzbaren Plan, um diese Bereiche anzugehen und alle Probleme zu beheben. Forest Druid bildet Angriffspfade auf Active Directory und Entra ID ab. Wenn Sie Purple Knight und Forest Druid als Teil Ihres regelmäßigen Überprüfungszyklus ausführen, machen Sie einen weiteren Schritt in Richtung Compliance.
Laden Sie herunter. Purple Knight und Forest Druid jetzt
Zuweisung von Rollen für die Reaktion auf Vorfälle
Als nächstes schreibt DORA vor, dass Organisationen "Rollen und Verantwortlichkeiten zuweisen, die für verschiedene IKT-bezogene Vorfallstypen und Szenarien aktiviert werden müssen".4
Erkennung und Reaktionszeit sind zwei der wichtigsten Faktoren für die erfolgreiche Lösung von Vorfällen und die Minimierung der Auswirkungen. Dieses Zeitfenster schließt sich schnell. Microsoft und andere Quellen haben festgestellt, dass in der Regel weniger als 2 Stunden zwischen dem Zeitpunkt, an dem ein Angreifer ein Gerät kompromittiert, und der seitlichen Bewegung des Angreifers durch das Netzwerk vergehen, so dass den Teams nur wenig Zeit bleibt, einen Angriff einzudämmen. Wenn Sie also sicherstellen, dass jeder Mitarbeiter und jedes Team seine Rolle bei der Reaktion auf einen Vorfall kennt und über ein gut eingespieltes Playbook und Toolkit für die Ausführung dieser Rollen verfügt, ist Ihr Unternehmen in der bestmöglichen Position, um jedes Vorfallszenario schnell zu bewältigen.
Kommunikation und Benachrichtigung
DORA verlangt außerdem, dass Organisationen "Pläne für die Kommunikation mit Mitarbeitern, externen Interessengruppen und Medien [...] und für die Benachrichtigung von Kunden sowie für interne Eskalationsverfahren aufstellen" und "sicherstellen, dass zumindest größere IKT-bezogene Vorfälle der zuständigen Geschäftsleitung gemeldet werden, und das Leitungsgremium über zumindest größere IKT-bezogene Vorfälle informieren und dabei die Auswirkungen, die Reaktion und die zusätzlichen Kontrollen erläutern, die infolgedessen eingerichtet werden müssen".5
Effektive Kommunikation und Benachrichtigung über Vorfälle erfordern einen Einblick in die Aktionen der Angreifer. Ein solcher Einblick unterstützt nicht nur eine schnelle Lösung, sondern kann Ihnen auch dabei helfen, einen definierten, einfachen Benachrichtigungsprozess aufzubauen, damit Sie Vorfälle, ihre Auswirkungen und Ihre Reaktion schnell kommunizieren können.
Reagieren auf Active Directory-Angriffe
Schließlich weist DORA Organisationen an, "Verfahren für die Reaktion auf IKT-bezogene Vorfälle einzurichten, um die Auswirkungen zu mildern und sicherzustellen, dass die Dienste rechtzeitig wieder betriebsbereit und sicher sind".6
Automatisierung kann die Reaktion auf Vorfälle beschleunigen. Semperis DSP kann zum Beispiel den Abhilfeprozess automatisieren und gegen böswillige Aktionen vorgehen, indem unerwünschte Änderungen in Active Directory und Entra ID automatisch zurückgesetzt werden, bis Ihre IT- oder Sicherheitsteams sie überprüfen und genehmigen können. Sie können auch benutzerdefinierte Warnmeldungen erstellen, um Mitarbeiter automatisch über verdächtige oder gefährliche Aktivitäten in AD und Entra ID zu informieren.
Natürlich reicht es nicht aus, Ihren Meldeplan zu dokumentieren, um die Anforderungen von DORA zu erfüllen. Sie müssen auch Ihre Berichts- und Kommunikationsverfahren und -instrumente überprüfen, testen und Ihre Mitarbeiter darin schulen. Dies trägt dazu bei, die Einhaltung des Plans zu gewährleisten.
Säule 3: Testen der digitalen operativen Belastbarkeit
Bis jetzt haben wir die Komponenten Planung, Kartierung und Berichterstattung der DORA-Säulen behandelt. Jetzt ist es Zeit für das Testen der Ausfallsicherheit. DORA besagt, dass Organisationen "ein solides und umfassendes Testprogramm für die digitale betriebliche Ausfallsicherheit unterhalten und überprüfen" müssen, das "eine Reihe von Bewertungen, Tests, Methoden, Praktiken und Tools" umfasst und "Verfahren und Richtlinien zur Priorisierung, Klassifizierung und Behebung aller Probleme, die bei der Durchführung der Tests aufgedeckt werden" einführt.7
Ausfallsicherheitstests sind ein wesentlicher Bestandteil der Verordnung, da die Einhaltung der DORA-Vorschriften den Nachweis erfordert, dass erfolgreiche Tests stattgefunden haben.
Das Problem beim Testen von Active Directory-Szenarien
Ausfallsicherheitstests im Rahmen von DORA müssen eine Vielzahl möglicher Störungen umfassen, von ausgeklügelten Cyberangriffen, die darauf abzielen, in Systeme einzudringen oder diese zu stören, bis hin zu Betriebsfehlern wie versehentlichen Datenlöschungen. Das Problem ist, dass das Testen von Active Directory nicht einfach zu bewerkstelligen ist. Darüber hinaus kann die Kritikalität des Verzeichnisspeichers dazu führen, dass Teams vor der Durchführung von Live-Tests zurückschrecken:
- Wenn Sie Active Directory deaktivieren, funktioniert nichts mehr.
- Active Directory-Tests sind zeitaufwändig und arbeitsintensiv.
- Jeder Fehler birgt ein hohes Risiko von Datenverlust und Geschäftsunterbrechungen.
Aus diesen Gründen ziehen es viele Unternehmen vor, AD-Tests in Papierform durchzuführen. Dieser Ansatz reicht jedoch nicht aus, um die DORA-Konformität zu erreichen.
Welche Schlüsselszenarien müssen Sie testen?
Jedes potenzielle Active Directory-Angriffsszenario erfordert aufgrund der unterschiedlichen Zugriffsrechte der Reaktionsteams auf die Plattform ein anderes Testprogramm. Ziehen Sie die folgenden Möglichkeiten in Betracht:
- Active Directory ist weg. Die Plattform ist kompromittiert und kann nicht vertrauenswürdig sein.
- AD ist funktionsfähig, wird aber aktiv angegriffen. Active Directory wurde nicht verschlüsselt, aber eine Form von Cyber-Bedrohung oder Malware ist in das System eingedrungen.
- Es ist ein katastrophaler Fehler passiert. Zum Beispiel ist eine Datenbank beschädigt, eine wichtige Benutzergruppe wurde gelöscht oder einige Benutzer haben keinen Zugriff mehr.
Für jedes dieser Szenarien spielen Echtzeitübungen und die Implementierung von manuellen Prozessen eine zentrale Rolle beim Testen der Ausfallsicherheit.
Zum Beispiel haben wir vor kurzem eine Live-Übung mit einem Kunden durchgeführt. Während der Übung stellten wir fest, dass das Unternehmen 48 Stunden benötigen würde, um Active Directory mit manuellen Prozessen und historischen Backups wieder in den Normalbetrieb zu bringen. Dieser Zeitrahmen liegt weit außerhalb der Risikotoleranz der meisten Unternehmen.
Simulation und Reaktionsstrategien
Eine gute Möglichkeit, die Risiken und Ängste beim Testen der AD-Wiederherstellung zu verringern, ist die Schaffung einer alternativen Testumgebung, in der potenzielle Szenarien sicher simuliert werden können, ohne die Hauptbetriebsinfrastruktur zu gefährden. Dieser Ansatz ermöglicht eine realistische Bewertung der Bereitschaft und der Reaktionsstrategien des Unternehmens, ohne die Hauptsysteme einem Risiko auszusetzen.
Säule 4: IKT-Risikomanagement für Dritte
Die vorletzte Säule beleuchtet das Risiko von Drittanbietern von IKT-Dienstleistungen. DORA legt fest, dass dieses Risiko von der Finanzdienstleistungsorganisation verwaltet werden sollte, dass aber Drittanbieter vertraglich verpflichtet sind, das Unternehmen im Falle eines Cybersicherheitsvorfalls zu unterstützen. In solchen Fällen müssen die IKT-Anbieter die entsprechenden Informationen und die höchstmöglichen Sicherheitsstandards für die von ihnen erbrachten Dienstleistungen beisteuern.8
Wie wirkt sich das Risikomanagement für Dritte auf Active Directory aus?
Viele externe Benutzer, seien es ausgelagerte Partner oder Lieferanten, erhalten über Active Directory Zugang zu den Systemen eines Unternehmens. Obwohl diese Benutzer extern sind, erscheinen sie innerhalb des Systems als legitime interne Benutzer und verwenden von der Organisation bereitgestellte Konten.
Diese Praxis ist zwar unverzichtbar, führt aber zu komplexen Problemen bei der Verwaltung und Sicherung des Zugangs. Sie erhöht das potenzielle Risiko, da Konten Dritter anfällig für Missbrauch oder Cyberangriffe sein können.
Unternehmen sollten darauf vorbereitet sein, solche Risiken zu bekämpfen. Durch die kontinuierliche Überwachung von Umgebungsänderungen und die ML-basierte Angriffserkennung kann Semperis beispielsweise identitätsbasierte Angriffe identifizieren und entschärfen und so die Risiken von Dritten in Active Directory minimieren.
Säule 5: Informationsaustausch
Die letzte Säule der Widerstandsfähigkeit bezieht sich auf den Informationsaustausch und verlangt, dass Finanzunternehmen Strategien für die Weitergabe von Bedrohungsinformationen und den sicheren Austausch von Informationen innerhalb vertrauenswürdiger Gemeinschaften darlegen.9
Diese Praxis ist in vielen Fällen bereits im Gange. Das National Cyber Security Centre (NCSC) und die Bank of England zum Beispiel erleichtern diese Diskussionen innerhalb der Finanzdienstleistungsbranche. Aber im Rahmen von DORA sind die Finanzunternehmen gezwungen, einen Beitrag zu leisten, um die allgemeine Sicherheitslage der Branche zu verbessern.
Austausch von Informationen über AD-Vorfälle und Bedrohungen
Semperis beteiligt sich an diesen Diskussionen und gibt Einblicke und Forschungsergebnisse weiter, um die Branche darüber aufzuklären, wie sie sich besser vor sich entwickelnden und neu auftretenden Bedrohungen schützen kann. Unser Forschungsteam deckt regelmäßig neue und interessante Wege auf, wie Angreifer Active Directory und Entra ID missbrauchen. Alle diese Erkenntnisse fließen in unsere kostenlosen Community-Tools wie Purple Knight und Forest Druidein, so dass jede Organisation von diesen Erkenntnissen profitieren kann.
Verschaffen Sie sich jetzt einen umfassenden Überblick über Ihre hybride AD-Konfiguration
Eine der größten Herausforderungen bei der Einhaltung von DORA ist die Tatsache, dass die Verordnung zwar die Erwartungen an die Einhaltung der Vorschriften umreißt, aber keinen konkreten Rahmen vorgibt, wie Unternehmen diese Maßnahmen umsetzen können und wo sie letztendlich beginnen sollten.
Die Arbeit an diesen fünf Säulen und ihren Anforderungen innerhalb von Active Directory ist ein guter erster Schritt - wenn Sie einen guten Einblick in Ihre Konfiguration haben. Aber wie wir gesehen haben, ist es unmöglich, etwas ohne ausreichende Einblicke zu schützen.
Wo fangen Sie also an? Laden Sie herunter Purple Knight und Forest Druid um sich einen Überblick über den Zustand Ihrer Active Directory-Konfiguration und potenzielle Schwachstellen zu verschaffen. Sie erhalten einen klaren, umsetzbaren und kostenlosen Plan, um diese Bereiche anzugehen und Probleme zu beheben. Damit sind Sie in der besten Position, um Ihre Reise zur Einhaltung der DORA-Richtlinien für Active Directory zu beginnen.
Laden Sie die kostenlosen Tools jetzt herunter
Andere Artikel in unserer DORA Compliance-Serie
Ressourcen
1 https://www.digital-operational-resilience-act.com/Article_6.html
2 https://www.digital-operational-resilience-act.com/Article_19.html
3,4,5,6 https://www.digital-operational-resilience-act.com/Article_17.html
7 https://www.digital-operational-resilience-act.com/Article_24.html
8 https://www.digital-operational-resilience-act.com/Article_28.html
9 https://www.digital-operational-resilience-act.com/Article_45.html