{"id":3138,"date":"2023-03-01T14:57:38","date_gmt":"2023-03-01T13:57:38","guid":{"rendered":"https:\/\/www.secida.com\/?p=3138"},"modified":"2024-08-20T17:36:01","modified_gmt":"2024-08-20T15:36:01","slug":"hallo-welt-2","status":"publish","type":"post","link":"https:\/\/www.secida.com\/en\/hallo-welt-2\/","title":{"rendered":"secida im M\u00e4rz"},"content":{"rendered":"<div data-elementor-type=\"wp-post\" data-elementor-id=\"3138\" class=\"elementor elementor-3138\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-170fb7dc elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"170fb7dc\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-72b850d1\" data-id=\"72b850d1\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-21988fd elementor-widget elementor-widget-text-editor\" data-id=\"21988fd\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h4 class=\"text-display-large-bold pt6\" dir=\"ltr\">Sichere Digitalisierung im M\u00e4rz: Eine sichere Basis. Absicherung von (Azure) Active Directories<\/h4><p class=\"reader-text-block__paragraph\">Herzlich Willkommen zu unserem Newsletter!<\/p><p class=\"reader-text-block__paragraph\">Hier geben wir hier einen \u00dcberblick \u00fcber geplante Aktivit\u00e4ten und beleuchten einen Aspekt sicherer Digitalisierung.<\/p><p class=\"reader-text-block__paragraph\"><strong>Interessante Aktivit\u00e4ten im M\u00e4rz<\/strong>:<\/p><ul><li>Interessiert an secida als Arbeitgeber? Treffen Sie uns auf dem\u00a0<strong>Heise Job IT-Tag am 08. M\u00e4rz von 12:00h-17:00h in D\u00fcsseldorf<\/strong>! Wir freuen uns, Sie kennenzulernen. Zur Anmeldung und weiteren Informationen geht es\u00a0<a href=\"https:\/\/www.linkedin.com\/events\/heisejobsittagind-sseldorf7034088465717686273\/about\/\">hier<\/a>.<\/li><li>LinkedIn-Livestream am\u00a0<strong>Dienstag, den 28.03.2023, 12:00h: \u201eDrei Grundpfeiler des sicheren IT-Betriebs\u201c\u00a0<\/strong>&#8211; mit Alpha Barry, CEO secida AG. Melden Sie sich\u00a0<a href=\"https:\/\/www.linkedin.com\/video\/event\/urn:li:ugcPost:7036615565154648064\/\">hier<\/a>\u00a0an.<\/li><\/ul><p class=\"reader-text-block__paragraph\">\u00a0<\/p><p class=\"reader-text-block__paragraph\"><strong>Sichere Digitalisierung im M\u00e4rz: \u201eEine sichere Basis: Absicherung von (Azure) Active Directories\u201c<\/strong><\/p><p class=\"reader-text-block__paragraph\">Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie\u00a0<a href=\"https:\/\/www.linkedin.com\/video\/event\/urn:li:ugcPost:7028294632291631105\/\">hier<\/a>.<\/p><p class=\"reader-text-block__paragraph\">Willkommen im \u201eMaschinenraum der IT\u201c \ud83d\ude0a. Das Active Directory (AD) ist seit \u00fcber 20 Jahren Kernelement jeder Microsoft-basierten IT-Infrastruktur. Es handelt sich um ein Verzeichnis aller in der IT-Architektur befindlichen Entit\u00e4ten (z.B. Nutzer, Computer, Softwaredienste, etc.). Funktioniert das Active Directory nicht, ist oft die gesamte IT-Infrastruktur nicht zug\u00e4nglich. Das Azure Active Directory (AAD) ist das AD-\u00c4quivalent der Microsoft-Cloud. Wie stellt man sicher, dass das (Azure) Active Directory immer verf\u00fcgbar ist, bzw. wie kann man verhindern, dass Hacker es erfolgreich angreifen?<\/p><p class=\"reader-text-block__paragraph\">Besonders Nutzer mit administrativem Zugriff auf das (Azure) Active Directory sind f\u00fcr Hacker ein attraktives Ziel. Mit der \u00dcbernahme eines Nutzers mit administrativen Rechten f\u00fcr das (A)AD kann ein Angreifer z.B. Strukturen ver\u00e4ndern, Daten absch\u00f6pfen, \u00e4ndern, verschl\u00fcsseln oder Zugriffe komplett verhindern. Nach unserer Erfahrung ist es gerade im Mittelstand h\u00e4ufig so, dass t\u00e4glich mit dem (A)AD gearbeitet, doch nicht fokussiert etwas f\u00fcr dessen Absicherung getan wird. Hier einige Vorschl\u00e4ge, was Sie tun k\u00f6nnen, um Ihr (Azure) Active Directory aktiv zu sch\u00fctzen:<\/p><p class=\"reader-text-block__paragraph\"><strong>Erster Schritt: Verstehen Sie Ihr Active Directory<\/strong>:<\/p><ul><li>Was f\u00fcr Entit\u00e4ten sind im (Azure) Active Directory enthalten?<\/li><li>Ist alles, das im (A)AD gelistet ist, noch in Benutzung und aktuell?<\/li><li>Sind s\u00e4mtliche bei der Analyse identifizierten \u201eKarteileichen\u201c entfernt?<\/li><\/ul><p class=\"reader-text-block__paragraph\"><strong>Zweiter Schritt: Einf\u00fchrung des \u201eLeast Privilege\u201c-Prinzips<\/strong><\/p><p class=\"reader-text-block__paragraph\">Eine Option zur Minimierung der Gefahr ist die Einf\u00fchrung des \u201eLeast Privilege\u201c-Prinzips. Das hei\u00dft:<\/p><ul><li>Jedem Nutzer werden nur die Privilegien und Rechte gegeben, die er oder sie f\u00fcr die t\u00e4gliche Arbeit ben\u00f6tigt.<\/li><li>\u00a0Zus\u00e4tzlich werden diese Zugriffsprivilegien im besten Fall nur tempor\u00e4r f\u00fcr die Dauer der jeweiligen Aufgaben vergeben.<\/li><li>Administratoren bekommen administrativen Rechte in spezifischem Umfang zugewiesen. Denn: Nicht alle Administratoren ben\u00f6tigen s\u00e4mtliche administrativen Zugriffsrechte.<\/li><li>Es empfiehlt sich eine Trennung nach Level kritischer Information und ggf. eine Aufteilung nach Server und Benutzergruppen \u00a0-&gt; Microsoft liefert hier sehr hilfreiche Best-Practice Tipps.<\/li><\/ul><p class=\"reader-text-block__paragraph\"><strong>Dritter Schritt: Erstellen eines Active Directory Back-ups<\/strong><\/p><p class=\"reader-text-block__paragraph\">Bei einem sicherheitsrelevanten Vorfall ist es zentral, m\u00f6glichst schnell das AD wiederherzustellen. Es gibt diverse M\u00f6glichkeiten einen passenden Back-up zu generieren. Identifizieren und implementieren Sie gemeinsam mit Ihrer IT die f\u00fcr Ihr Unternehmen bestm\u00f6gliche L\u00f6sung. Es ist vor allem wichtig nach der Umsetzung zu testen, ob eine vollst\u00e4ndige Wiederherstellung des Active Directory aus dem Back-up tats\u00e4chlich m\u00f6glich ist.<\/p><p class=\"reader-text-block__paragraph\"><strong>Vierter Schritt: Implementierung einer Privileged-Access-Management-L\u00f6sung<\/strong><\/p><p class=\"reader-text-block__paragraph\">F\u00fcr einen effektiven, fokussierten Schutz der Konten mit administrativem Zugriff auf das (A)AD sollte eine Privileged-Access-Management-L\u00f6sung (PAM) eingef\u00fchrt werden. Parallel sollte gepr\u00fcft werden, von welchen Computern administrative Zugriffe durchgef\u00fchrt werden k\u00f6nnen, da ein Zugriff von einem durch Hacker vorab infizierten Computer zu einer vereinfachten \u00dcbernahme administrativer Konten f\u00fchren kann (vgl. z.B. Privileged Access Workstation (PAW)).<\/p><p class=\"reader-text-block__paragraph\"><strong>F\u00fcnfter Schritt: Monitoring<\/strong><\/p><p class=\"reader-text-block__paragraph\">Ein wichtiger Aspekt eines funktionierenden Cybersicherheits-Systems ist, dass aufgezeichnet wird, was genau individuelle administrative Konten w\u00e4hrend ihrer Sessions f\u00fcr Aktivit\u00e4ten ausf\u00fchren. So sch\u00fctzt man sich vor Fehlern und erkennt ggf. feindliche \u00dcbernahmen des Accounts bzw. Fehler oder sogar b\u00f6swillige Aktionen der eigenen Mitarbeitenden schneller und kann diese, wenn notwendig, zeitnah unterbinden. Security Information and Event Management-L\u00f6sungen (SIEM) bieten M\u00f6glichkeiten auch administrative Aktivit\u00e4ten innerhalb des (A)AD zu beobachten.<\/p><p class=\"reader-text-block__paragraph\">Das<strong>\u00a0Azure AD\u00a0<\/strong>ist das Active Directory f\u00fcr cloudbasierte Microsoft L\u00f6sungen. Das hei\u00dft, dass es hier, im Gegensatz zu, in der lokalen IT-Infrastruktur befindlichen, Active Directories, immer eine Zugriffsm\u00f6glichkeit \u00fcber ein Frontend im Internet gibt. Hier spezifische Optionen zur Absicherung des AAD:<\/p><ul><li><strong>Least Privilege-Prinzip<\/strong>: Besonders im Azure Active Directory sollte das Least-Privilege-Prinzip eingef\u00fchrt werden, da es hier deutlich feingranularere Rollen gibt. .<\/li><li><strong>Administrative Zugriffsrechte:<\/strong>\u00a0Administrative Zugriffsrechte m\u00fcssen analysiert und deutlich vorsichtiger und differenzierter vergeben werden (kleine Erinnerung: Nicht alle Administratoren ben\u00f6tigen alle administrative Rechte).<\/li><li>\u00a0<strong>Asset Analyse<\/strong>: Welche Dienste und Nutzer sind im Azure Active Directory enthalten? Was davon sind immer noch in Verwendung bzw. wer immer noch in dieser Rolle im Unternehmen?<\/li><li><strong>Anmeldung und Zugriffsrechte:<\/strong>\u00a0Durch das Risiko eines Angriffs \u00fcber das Internet-Frontend muss sich im Azure AD fokussierter gefragt werden, wer sich wie f\u00fcr welche Dienste anmelden darf. Eine Multi-Faktor-Anmeldung ist hier hilfreich, d.h. es sollte sich mindestens \u00fcber ein Passwort und einen weiteren Mechanismus (z.B. Authenticator App oder SMS) angemeldet werden.<\/li><li><strong>Lokalisierte Zugriffsrechte:<\/strong>\u00a0Eine weitere Option ist es einzuschr\u00e4nken, \u00fcber welche IP-Adressen Nutzer sich auf administrativen Konten anmelden k\u00f6nnen. So k\u00f6nnen z.B. administrative Zugriffe ausschlie\u00dflich aus dem lokalen Unternehmensnetzwerk m\u00f6glich sein (dies ist durch eine Beschr\u00e4nkung der Zugriffe auf die IP-Range, die am Unternehmensstandort verwendet wird, m\u00f6glich). Eine andere Alternative ist es, Zugriffe auf administrative Konten nur auf st\u00e4rker abgesicherten Rechnern bis hin zu Privileged Access Workstations zuzulassen.<\/li><li><strong>Privileged Access Monitoring (PAM):<\/strong>\u00a0Bei einer Verbindung von klassischen IT-Strukturen und Cloud (hybride IT-Infrastruktur), ist es bei modernen PAM-L\u00f6sungen m\u00f6glich die Anwendung von der lokalen Umgebung auf die Cloud auszuweiten.<\/li><li><strong>Backup<\/strong>: Beim AAD funktioniert Backup etwas anders, denn es ist nicht im selben Ma\u00df m\u00f6glich, den Backup eines gesamten Systems zu erstellen. In hybriden IT-Systemen wird in unserer Erfahrung nach einem Angriff eher mit Synchronisation gearbeitet: Das f\u00fchrende System ist das on-premise Active Directory, dem das Azure AD nachgestellt ist. Im ersten Schritt wird das Active Directory nach Angriff wiederhergestellt, dann wird durch Synchronisation der geordnete Betriebszustand via\u00a0AD auch im AAD geschaffen.<\/li><\/ul><p class=\"reader-text-block__paragraph\"><strong>Wie ist es bei cloud-only<\/strong>? F\u00fcr Microsoft-basierte cloud-only Unternehmen gelten die oben genannten Ratschl\u00e4ge f\u00fcr das Azure AD entsprechend. Auch f\u00fcr sie ist es m\u00f6glich, regul\u00e4re PAM-Tools oder alternative L\u00f6sungen wie z.B. Microsofts Privileged Identity Management zu verwenden. F\u00fcr Security Incident and Event Management-L\u00f6sungen (SIEM) gilt das genauso: Cloudddaten k\u00f6nnen in ein bestehendes SIEM-System eingespeist werden und es gibt weitere Alternativen wie z.B. Microsoft Sentinel.<\/p><p class=\"reader-text-block__paragraph\">Bei cloud-only muss allerdings, anders als bei lokaler oder hybrider IT-Infastruktur, die bei der Wiederherstellung auf das lokale Active Directory zur\u00fcckgreift, auf andere Weise sichergestellt werden, das auch w\u00e4hrend oder nach einem Angriff weiter auf das Azure AD zugegriffen werden kann. Im Kontext h\u00e4ufig mit \u201eBreak the Glass\u201c-Accounts gearbeitet: Es handelt sich hierbei um administrative Accounts mit vollen Zugriffsrechten, die ausschlie\u00dflich durch ein sehr komplexes Passwort gesch\u00fctzt und keiner Einzelperson zugewiesen sind. Ein \u201eBreak-the-Glass\u201c-Account wird nur im Falle eines Angriffs oder des Verlusts aller anderern Zugriffsoptionen verwendet. Das Password ist ausschlie\u00dflich offline sicher abgelegt. Diese Accounts erm\u00f6glichen einen Zugriff auch dann, wenn z.B. ein Hacker s\u00e4mtliche regul\u00e4ren administrativen Zugriffswege stilllegen konnte. Auch hier bietet Microsoft hilfreiche Dokumentationen.<\/p><p class=\"reader-text-block__paragraph\">Sie sehen, das (Azure) Active Directory ist ein wichtiger Aspekt jeder Microsoft-basierten IT-Infrastruktur. Es ist f\u00fcr Entscheider ratsam, sich \u00fcber den aktuellen Absicherungsstatus zu informieren und ggf. schnellstm\u00f6glich Schritte zur spezifischen Absicherung einzuleiten.<\/p><p dir=\"ltr\">\u00a0<\/p><p dir=\"ltr\">\u00a0<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>Wie immer mit interessanten Aktivit\u00e4ten im M\u00e4rz, dem Link zum Livestream und vielem mehr.<\/p>","protected":false},"author":1,"featured_media":3701,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-3138","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-newsletter"],"_links":{"self":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/comments?post=3138"}],"version-history":[{"count":7,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3138\/revisions"}],"predecessor-version":[{"id":3755,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3138\/revisions\/3755"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media\/3701"}],"wp:attachment":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media?parent=3138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/categories?post=3138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/tags?post=3138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}