Als Methode zur besseren präventiven Absicherung der IT-Infrastruktur beruht Zero Trust auf der Prämisse, dass kein Nutzer im System als vertrauenswürdig eingestuft wird. Mehr als zwei Drittel der Unternehmen entwickeln dem US-Marktforschungsunternehmen Forrester zufolge bereits eine entsprechende Zero Trust-Strategie. Allerdings wird bei der Umsetzung oftmals ein sicherheitsrelevanter Aspekt außer Acht gelassen: der Verzeichnisdienst Active Directory (AD).
IT-Verantwortliche gehen davon aus, dass der Identitätsspeicher des Unternehmens, seine Integrität wahrt. Tatsächlich ist AD aber oft das schwache Glied in der Sicherheitskette. So hingen 90 Prozent der von Mandiant, einem Beratungsunternehmen für Cybersicherheit, untersuchten Angriffe in irgendeiner Form mit AD zusammen. Diese Zahl ist kaum verwunderlich, denn häufige Konfigurationsfehler, machen Active Directory zu einem leichten und beliebten Ziel für Cyberkriminelle.
Die Angreifer nutzen dabei Schwachstellen gezielt aus, um darüber nicht nur Zugang zu Unternehmensdaten, sondern auch Berechtigungen zu erlangen, mit denen sie sich frei durch das Netzwerk bewegen können. Da auch die Cloud-Identitäten auf AD basieren, ist es ein Primärziel für Anmeldedatenmissbrauch, eine Taktik, die in 80 Prozent aller Datenschutzverletzungen angewendet wird.
Als kritische Komponente jeder Zero Trust-Infrastruktur müssen Identitäten auch als solche behandelt werden. In vielen Unternehmen arbeiten Mitarbeiter mittlerweile zumindest zeitweise von zu Hause aus. Bei der Bereitstellung von Remote-Zugriffen und Cloud-zentrierten Anwendungen sollten Unternehmen daher berücksichtigen, dass ihre Sicherheitsstrategien von der Integrität ihrer zentralen lokalen Identitätssysteme abhängig sind.
In der Vergangenheit wurden für den Remote-Zugriff weitgehend virtuelle private Netzwerke (VPNs) genutzt. Benutzer werden von einem Verzeichnisdienst – in der Regel Active Directory – authentifiziert und dann zum Unternehmensnetz zugelassen. Allerdings sind VPNs allein keine Lösung mehr für die moderne Remote-Belegschaft, da sie nur begrenzt skalierbar und von der Sicherheit der Netzwerkumgebung abhängen.
Stattdessen verwenden immer mehr Unternehmen einen webbasierten IAM-Dienst (Identity and Access Management), bei dem sich die Benutzer mit ihren Unternehmensdaten anmelden, um online auf SaaS-Anwendungen (Software-as-a-Service) wie Zoom oder Microsoft 365 zuzugreifen. Bei dieser Methode wird ein Zero Trust-Modell verwendet, bei dem nicht der Netzwerkstandort, sondern die Identität eines Benutzers der Schlüssel zum Zugriff auf die Anwendung ist.
Manche Unternehmen gehen noch weiter, indem sie das Zero Trust-Modell auf ihre lokalen Netzwerke ausweiten. Sie setzen Geräte ein, die eine softwaredefinierte Grenze zwischen Anwendungen und den Benutzern herstellen, die darauf zugreifen möchten. Anstelle des breiten Netzwerkzugriffs, den ein VPN ermöglicht, gewähren diese Proxy-Geräte (z. B. Azure AD Application Proxy, Symantec Secure Access Cloud) dem Benutzer nur Zugriff auf die im Proxy veröffentlichte Anwendung. Da der Datenverkehr über den IAM-Dienst geleitet wird, können dabei ausgefeilte Zugriffskontrollen eingesetzt werden, wie etwa im Hinblick auf die Geräteintegrität, das Sitzungsrisiko oder die Art der verwendeten Client-App. Aber auch hier hängt das Zero Trust-Prinzip implizit von dem zugrundeliegenden Identitätssystem ab. Einigen Angreifer gelingt es, IAM erfolgreich zu umgehen und sich so Zugriff auf das Netzwerk zu verschaffen.
Unabhängig davon, ob sich ein Benutzer über ein VPN in das Unternehmensnetzwerk einloggt oder sich bei einem Webportal anmeldet, um auf SaaS- oder lokale Anwendungen zuzugreifen, ist die Identitätssicherung immer entscheidend. Denn auch wenn sich moderne Cloud-IAM-Dienste nicht mehr auf eine lokale Unternehmensidentitätsquelle stützen, sondern auf viele Faktoren wie Gerätezustand, Standort und Verhaltensmuster zurückgreifen, um die Sicherheit einer Identität zu überprüfen, basieren sie im Kern nach wie vor auf den Anmeldedaten der einzelnen Nutzer.
In der Praxis verwenden die meisten Unternehmen ein hybrides Identitätsmodell, bei dem sie ihre lokale Identität auf Internetdienste projizieren. Dementsprechend ist die Identitätsquelle für diese Berechtigungsnachweise der wesentliche Faktor der Sicherheitsarchitektur. Und für 90 Prozent aller Unternehmen ist diese Identitätsquelle Active Directory.
Das bedeutet: Nahezu jede Zero Trust-Strategie – im Grunde jede IT-Sicherheitsarchitektur – basiert auf AD. Doch wie lässt sich die Integrität von Active Directory und AD-Daten konkret sicherstellen? Im Wesentlichen gibt es drei Punkte, die Unternehmen berücksichtigen sollten: die Minimierung der AD-Angriffsfläche, die Überwachung von AD auf Anzeichen einer Gefährdung und einen AD-Wiederherstellungsplan.
IT-Sicherheitsverantwortliche sollten auf eine weitreichende Kompromittierung vorbereitet sein und sich in die Lage versetzen, unerwünschte Änderungen nach einem Angriff schnell und automatisch rückgängig zu machen. Im Falle der Verschlüsselung von Großteilen des Netzwerks, einschließlich AD, benötigen sie dafür eine solide, hochgradig automatisierte Wiederherstellungsstrategie, die Offline-Backups aller Infrastrukturkomponenten umfasst.
Nach Angaben der Identity Defined Security Alliance wurden 84 Prozent aller Unternehmen weltweit im Jahr 2021/2022 Opfer eines Angriffs aufgrund eines identitätsbezogenen Verstoßes. Erstaunlicherweise gaben ganze 96 Prozent der Befragten an, dass sie den Verstoß hätten verhindern oder minimieren können, wenn sie identitätsorientierte Sicherheitsmaßnahmen ergriffen hätten.
Zwar gibt es verschiedene Möglichkeiten, ein Zero Trust-Netzwerk zu implementieren, die Grundprinzipien basieren aber immer auf der Identität der Benutzer. Egal, ob die Nutzer über ein VPN auf das Netzwerk zugreifen oder sich beim Webportal eines Identitätsdienstes anmelden: Die Wahrscheinlichkeit ist groß, dass Ihre Identität von AD abhängig ist. Daher ist der Schutz von AD maßgeblich für die Sicherheit von Unternehmen. Zur Unterstützung empfiehlt Semperis die Verwendung des kostenlosen Purple Knight Active Directory Sicherheitsbewertungstools.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.