Benutzerkonten sind seit jeher ein beliebtes Angriffsziel für Cyber-Kriminelle. Insbesondere Administratorkonten stehen dabei im Fokus von Kompromittierungen, da sie weitreichende Berechtigungen besitzen. Wenn IT-Infrastruktur lokal und hinter Firewalls im Rechenzentrum stattfindet, ist der Schutz von Identitäten wichtig. Besonders brisant wird es aber in Verbindung mit Cloud Setups. Hier sind neue Strategien gefragt.
Die Cloud zwingt zum Umdenken
„Identity is the new perimeter“, propagiert Microsoft und trifft damit den Nagel auf den Kopf. Bei rein auf das Rechenzentrum basierten Zugriffen ist immer das Netzwerk die Sicherheitsgrenze. Technologien wie beispielsweise VPNs haben uns hier jahrelang begleitet und tun dies immer noch, wenn von außen auf Dienste in Richtung On-Premises zugegriffen wird. Das heißt, es werden auf Netzwerkebene Sicherheitsvorkehrungen getroffen, die erlauben oder ablehnen. Genau das ist bei Cloud-Diensten nicht mehr der Fall. Hier gilt es, die Identität zu schützen, wie es der zitierte Microsoft-Slogan anmahnt. Für die Praxis bedeutet das: IT-Verantwortliche müssen zeitgemäße Entscheidungen treffen, die sich an Prinzipien wie Zero Trust orientieren – also der Sichtweise, dass grundsätzlich überall Sicherheitsrisiken lauern können.
Vertrauen ist gut, Kontrolle ist besser
Zero Trust ist eine Strategie, die weit über die Betrachtung von Identitäten hinausgeht. Alles in unserem IT-Alltag, was in irgendeiner Form kritisch sein könnte, wird einbezogen – vom Computer bis zum Rechenzentrum. Aber wir bleiben bei den Identitäten und schauen uns zunächst an, warum deren Schutz so wichtig ist.
In einem hybriden Kundensetup befinden sich Benutzerkonten lokal im Active Directory (AD) und zusätzlich in der Cloud, also zum Beispiel in MS Entra ID (ehemals Azure AD), auch Tenant genannt. Alternativ ist ein sogenanntes Cloud-Only-Setup denkbar, bei dem sich Identitäten ausschließlich im Tenant befinden. Auch eine Mischung ist möglich. Hierbei wird die Masse der Benutzerkonten mit der Cloud synchronisiert, und einige Konten werden direkt dort angelegt. Schnell wird klar, wie komplex dieses Thema werden kann.
Viele „Global Admins“ – viele Risiken
Bei einem lokalen Active Directory sehe ich im Kundensetup regelmäßig 20 bis 30 Benutzerkonten, die sich dauerhaft in der Gruppe der Domänenadministratoren befinden – oft sind es sogar noch mehr. Das ist nicht schön, weil risikobehaftet und oft unnötig. Aber es geschieht lokal im Netzwerk, hinter Firewalls. Adaptiert ein Unternehmen diese Vorgehensweise in MS Entra ID, mit einer ähnlichen Anzahl Benutzerkonten in der Rolle der „Global Admins“, besteht das gleiche Risiko wie On-Premises. Hinzu kommt jedoch die Verwundbarkeit durch den Zugriff über das öffentliche Internet. Der Personenkreis, der Brute-Force- oder Password-Spray-Attacken durchführen kann, ist hier ungleich größer als im Unternehmensnetz.
Administrative Rollen steuern
Mit „Privileged Identity Management“ (PIM) lassen sich administrative Rollen für Benutzer sehr gezielt steuern. Einige der Kriterien: Von wo greift der Administrator zu? Wann? Welche Berechtigungen hat er? Muss ein Dritter genehmigen? Ist eine Multi-Faktor-Authentifizierung erforderlich? Und das Wichtigste: Wie lange soll der Benutzer die administrativen Berechtigungen besitzen, bis sein Konto wieder lediglich normale Berechtigungen hat?
PIM ist ein Werkzeug, das es nicht „out of the box“ im Active Directory gibt – davon kann man dort nur träumen. MS Entra ID bietet eine Reihe Tools dieser Art. Richtig eingesetzt, kann eine Identität in der Cloud besser geschützt sein als lokal im AD. Was zum Einsatz kommt, hängt von der individuellen Umgebung ab. In einer Behörde oder in einer kritischen Infrastruktur gelten gewiss andere Regeln als zum Beispiel in einer Softwareentwicklungsfirma. Die Tools und Richtlinien in MS Entra ID bieten alle Möglichkeiten, um das Design entsprechend anzupassen.
Was ist der Plan?
Es ist immer spannend, wenn ich zu einem neuen Kunden komme und wir uns über Identity und Zero Trust unterhalten. Im Dialog und mittels Checklisten kommen wir im Rahmen von Workshops schnell zu einem Stufenplan. Wir teilen die umzusetzenden Aktivitäten meist in drei Kategorien ein: „kurzfristig“, „mittelfristig“ und „langfristig“. Das hat sich bewährt – und abgesehen von der Kategorie „kurzfristig“ gibt es hier keinen Druck. Agieren statt reagieren ist die Devise.
Hand in Hand mit den Herstellern
Wir begleiten unsere Kunden in enger Zusammenarbeit mit den Herstellern. Beispielsweise beteiligen wir uns am Private-Preview-Programm von Microsoft, bewerten Neuerungen vor der Markteinführung und gestalten sie mit. Darüber hinaus nehmen wir etwa an Gremien wie dem „Inner Circle“ für Identity bei Microsoft teil. Von dem intensiven Austausch mit den Expertinnen und Experten des Herstellers profitieren nicht nur wir selbst, sondern vor allem auch unsere Kunden.
Die Nähe zwischen den Herstellern und uns ist wichtig, denn Zero Trust ist wie eine Reise, die nicht endet. Es gilt immer wieder, Vorhandenes auf den Prüfstand zu stellen und Neues zu etablieren. Die Entwicklung der Bedrohungen macht nicht halt – deshalb darf auch die Bewertung von Neuerungen niemals stillstehen.
Über diesen Autor
Klaus Bierschenk
Director Consulting
Klaus Bierschenk ist seit über 20 Jahren in der IT-Branche tätig und wirkt schon lange in internationalen Identity- und Security-Projekten mit. Als Technologieberater bei CGI Deutschland liegt sein Schwerpunkt auf hybriden Themen und Zero Trust im Kontext von Identity. Dabei ist seine Begeisterung für Microsoft-Technologien ...
