RSM Ebner Stolz geht bei Active Directory mit gutem Beispiel voran
Von Unternehmen, die andere Organisationen in Fragen der ordnungsgemäßen Geschäftsführung beraten, wird aus gutem Grunde erwartet, dass bei ihnen alles mit rechten Dingen zugeht. Schließlich werden ihnen die sensibelsten Informationen anvertraut. Dazu gehört auch der optimal gesicherte Zugriff der Mitarbeitenden auf die Netzwerkressourcen. Meist ist hierzu das Microsoft Active Directory die zentrale Anlaufstelle. Kaum auszudenken sind die Folgen einer geglückten Attacke sowohl für die Berater als auch für deren Mandanten. Kein Wunder, dass sich Angreifer gerade diesen Dienst heute als bevorzugtes Ziel wählen. Dabei gibt es durchaus Möglichkeiten, dem mit überschaubarem Aufwand nachhaltig entgegenzutreten.
RSM Ebner Stolz ist ein solches Unternehmen, das seinen Kunden ein umfassendes Portfolio aus Wirtschaftsprüfung, Steuer-, Rechts- und Unternehmensberatung anbietet. Mit Hauptsitz in Stuttgart beschäftigt RSM Ebner Stolz an 14 Standorten in ganz Deutschland mehr als 2.100 Mitarbeitende und erwirtschaftete 2022 einen Umsatz von knapp 350 Millionen Euro. Zu den Mandanten zählen Industrie-, Handels- und Dienstleistungsunternehmen aller Branchen und Größen - vom Einzelunternehmen bis zum börsennotierten Konzern, wobei der Fokus auf dem Mittelstand liegt. Nach einem starken Wachstum mit der Konzentration auf den Standort Deutschland ist Ebner Stolz gerade dem führenden internationalen Prüfungs- und Beratungsnetzwerk RSM beigetreten und reagiert damit auf die zunehmend globalen Aktivitäten seiner Mandanten. In Deutschland belegt das Unternehmen Platz 6 unter den Prüfungs- und Beratungsgesellschaften.
Es liegt auf der Hand, dass die interne IT bei RSM Ebner Stolz eine gewichtige Rolle bei der Aufrechterhaltung der Geschäftskontinuität einnimmt. Schließlich muss sichergestellt werden, dass die Mitarbeitenden an den jeweiligen Standorten und vor Ort beim Kunden jederzeit einen schnellen Zugriff auf die benötigten zentralen Ressourcen erhalten. Dazu beschäftigt das Unternehmen mehr als 80 Mitarbeitende, die sich um die Infrastruktur und die erforderlichen Anwendungen kümmern. Das zentrale Rechenzentrum in Frankfurt und die räumlich verteilten kleineren Recheneinheiten sind über ein MPLS-Netzwerk verknüpft. Alle Mitarbeitenden, sowohl im Büro als auch unterwegs, sind mit Laptops ausgestattet, um sich flexibel mit den Anwendungen wie DATEV oder anderen fachspezifischen Applikationen verbinden zu können.
Optimale IT-Sicherheit alternativlos
Vor dem Hintergrund einer sich verstärkenden Bedrohungslage wurde ein Team gebildet, das sich ausschließlich mit IT-Sicherheitsfragen beschäftigt. Neben dem CISO und dem Informationssicherheitsbeauftragten wurde mit Ben Glenz eigens ein IT-Security-Engineer installiert, dessen Aufgabe sich auf die operative IT-Sicherheit konzentriert. Um diese Aufgabe zu erfüllen, bedurfte es zwangsläufig zunächst einer gründlichen Analyse der bestehenden Prozesse. "Es liegt in der Natur der Sache, dass in einem langfristig gewachsenen Unternehmen mit vielen heterogenen Einheiten keine einheitliche Sicherheitskonzeption zu erwarten war, wie sie nur auf einer grünen Wiese zu realisieren ist", erinnert sich Glenz. Vor ähnlichen Problemen stehen heute viele Organisationen, etwa dann, wenn durch Akquisitionen neue Strukturen eingebunden werden müssen, oder wenn die Tätigkeiten zunehmend remote ausgeführt werden.
Den kritischen Punkt in verteilten, heterogenen und remote betriebenen Infrastrukturen bildet unumgänglich die Kontrolle über die gewährten Zugänge zu allen Ressourcen, seien es Daten oder Anwendungen. Weil das Active Directory die zentrale Instanz darstellt, um den Mitarbeitenden lokal, beim Kunden oder im Home-Office eine möglichst einfache und dennoch zuverlässige Verbindung zu ermöglichen, war es einer der ersten Schritte von Ben Glenz in seiner neuen Aufgabe, eine Erhebung des Security-Scores des AD vorzunehmen. Dazu nutzte er das Analysewerkzeug "Purple Knight", ein von Semperis entwickeltes Community-Tool, das es ermöglicht, Active-Directory-Umgebungen auf Schwachstellen und Fehlkonfigurationen hin zu untersuchen. Es liefert rund 130 Indikatoren für die Verwundbarkeit und mögliche Kompromittierung des AD und gibt Hinweise zum Schließen möglicher Lücken.
"Ich konnte Purple Knight bereits aus früheren Tätigkeiten kennen", erklärt Glenz. Eine erste Analyse bei RSM Ebner Stolz ergab, dass die Infrastruktur zwar alles in allem den Anforderungen entsprach, dass aber dennoch ein enormes Verbesserungspotenzial vorlag. Die Gründe hierfür sind vielfältig. "Das Active Directory selbst wurde vor nunmehr 25 Jahren eingeführt und beruht eben auf den Algorithmen dieser Zeit." Zudem schleichen sich in heterogen gewachsenen Organisationen oftmals Elemente ein, die nicht mehr den aktuellen Ansprüchen genügen oder keinen Support mehr erhalten. "Wir fanden etwa noch veraltete Betriebssysteme wie Windows 7 vor, die keine Unterstützung mehr erhalten. Das öffnet Angreifern natürlich Tür und Tor."
Change-Prozess einleiten
Das durch Purple Knight ermittelte Scoring gab den Ausschlag, unmittelbar den Change-Prozess in Bezug auf das Active Directory in Angriff zu nehmen, auch wenn keine aktuelle Bedrohung vorlag. "Eins ist klar", erläutert Glenz, "sollte das Active Directory kompromittiert werden, dann steht der gesamte Geschäftsprozess." Das Security-Team entschied sich für die Installation zweier Produkte: den Semperis Directory Services Protector (DSP) sowie das Active Directory Forest Recovery (ADFR). Beide Produkte lassen sich ohne großen Aufwand leicht installieren, ohne dass die Anwender dazu involviert werden müssen.
Der Directory Services Protector ermöglicht die kontinuierliche Überwachung aller das AD betreffenden Aktivitäten und schafft damit einen Überblick über die gesamte aktuelle Sicherheitslage. Darüber hinaus erlaubt es das Werkzeug, böswillige Änderungen zu erkennen und rückgängig zu machen. Vor dem Hintergrund der Tatsache, dass 9 von 10 Cyberangriffen heute das Active Directory als Sprungbrett verwenden, um zum endgültigen Ziel zu gelangen, bietet DSP eine sofort wirksame und umfassende Möglichkeit, den Zugriff auf die kritischen Unternehmensressourcen zu kontrollieren und abzusichern. RSM Ebner Stolz entschied sich für den Einsatz der Hybrid-Variante des DSP, eine ITDR-Lösung, die Angreifern sowohl den Zugang zu Active Directory als auch zu Entra ID (vormals Azure AD) erschwert. "Auch wenn noch viele Aktivitäten im Unternehmen auf Basis des lokalen AD laufen, so entwickeln sich die Prozesse massiv in Richtung Azure", erläutert Glenz die Entscheidung. "Zudem wechseln Angreifer oft von lokalen Systemen in die Cloud oder umgekehrt." Mit dem Einsatz der Hybrid-Lösung konnte die potentielle Angriffsfläche nachhaltig reduziert werden. Dazu liefert DSP priorisierte handlungsorientierte Anleitungen, die von AD-Sicherheitsforschern entwickelt und bereitgestellt werden.
Betriebsbereitschaft sicherstellen
Die zweite Instanz zur Aufrechterhaltung der AD-Infrastruktur bildet Semperis ADFR, das Active Directory Forest Recovery. Das Werkzeug ermöglicht eine schnelle und vor allem malwarefreie Wiederherstellung der AD-Gesamtstruktur im Falle eines geglückten Ransomware- oder Wiper-Angriffs. Die manuelle Wiederherstellung der AD-Gesamtstruktur kann sich über Tage, im schlimmsten Fall über Wochen hinziehen und birgt die Gefahr einer erneuten Malware-Infektion. Das wäre für die meisten Unternehmen mit erheblichen wirtschaftlichen Schäden verbunden. ADFR stellt die Betriebsbereitschaft innerhalb von Minuten oder wenigen Stunden wieder her und reduziert damit die Ausfallzeiten um bis zu 90 Prozent. Indem sich mittels ADFR das Active Directory unter Verwendung von sauberen Installationsquellen auf einen sicheren Zustand zurücksetzen lässt, wird die erneute Einschleppung von Malware vermieden. Die Wiederherstellung kann auf jeder virtuellen oder physischen Hardware erfolgen. Zudem wird die Forensik verbessert, um mögliche Folgeangriffe wirksam zu verhindern.
"Während DSP regelmäßig dazwischen geht, wenn versucht wird, das AD mit böser Absicht zu modifizieren, bildet ADFR die ultimative Instanz, um die Betriebsfähigkeit der IT im Falle einer Attacke wiederherzustellen", erklärt Glenz das Zusammenspiel der beiden Werkzeuge. "Wir haben das Recovery durchgespielt und waren nach 20 Minuten wieder online." Dabei benötigt die Sicherung der erforderlichen Back-up-Daten lediglich einen Speicherplatz von rund 300 MB und lässt sich damit leicht auf einen Stick unterbringen, der sicher verwahrt werden kann. Dazu bietet ADFR allerdings auch die Option zur Online-Speicherung in der Cloud.
Mit dem Einsatz von DSP und ADFR hat RSM Ebner Stolz die technische Basis zur Absicherung des Active Directory geschaffen, um sich darauf aufbauend mit weiterführenden Aufgaben wie Passwort-Policies oder individueller Rechtevergabe zu beschäftigen. Die Tools schaffen die dazu benötigten Kapazitätsfreiräume. "Die Produkte arbeiten einfach, ich muss mich dazu nicht täglich einloggen", erklärt Ben Glenz. "Sollte etwas nicht funktionieren, erhalte ich eine entsprechende Benachrichtigung." Das lässt ihn nicht nur besser schlafen, sondern verschafft ihm die Zeit, sich mit anderen drängenden Aufgaben zu beschäftigen, resümiert er. Und davon gibt es im Umfeld der IT-Sicherheit mehr als genug.