Active Directory: Security-Herausforderungen einer 20 Jahre alten Technologie

Die meisten Unternehmen verlassen sich heute auf Microsoft Active Directory (AD), um ihren Geschäftsbetrieb aufrechtzuerhalten, aber was genau ist AD?

Active Directory verrichtete lange Zeit unbemerkt seinen Dienst und rückt jetzt zunehmend in den Fokus – aus Sicherheitsperspektive. AD ist im Wesentlichen das Gateway, das Mitarbeiter mit ihren Ressourcen im Unternehmensnetzwerk verbindet, wie etwa E-Mail oder Netzwerkdateifreigaben. Administratoren nutzen AD, um die Berechtigungen der einzelnen Benutzer zu verwalten, sie bei der Anmeldung zu authentifizieren und festzulegen, auf welche Ressourcen sie zugreifen können. Dies hat viele Vorteile. AD ist einfach zu verwenden, existiert seit vielen Jahren und ist sehr zuverlässig. Viele Unternehmen sind sich jedoch der damit verbundenen Sicherheitsrisiken nicht bewusst.

Sean Deuby, Director of Services bei Semperis, erläutert die Entstehung von Active Directory und welche Bedeutung dies heute für die zunehmend angespannte Sicherheitslage in vielen Unternehmen hat:

Vor der Einführung von AD im Jahr 2000 waren die IT-Directory-Server von Microsoft nicht in dem Maße skalierbar, dass sie die Anforderungen mittlerer und großer Unternehmen erfüllen konnten, so dass viele Server erforderlich waren. Ein Unternehmen mit etwa 1.000 Mitarbeitern benötigte mitunter 200 Server. Dies stellte für die Unternehmen ein großes Problem dar. Dies lag nicht nur daran, dass all diese einzelnen Server schwer zu verwalten waren, da jeder einzelne eindeutige Zugangsdaten erforderte. Zudem waren auch Aktivitäten wie die gemeinsame Nutzung von Dateien erschwert, da diese nicht ohne weiteres miteinander kommunizieren konnten.

AD löste diese Herausforderung. Durch die einfache Integration in Anwendungen und die Bereitstellung von Single Sign-On-Funktionen für die gesamte Unternehmensumgebung veränderte es das Netzwerkerlebnis und wurde schnell allgegenwärtig. Seine Verbreitung hat sich in den letzten zwei Jahrzehnten nicht verändert. Diese fast ein Vierteljahrhundert alte Technologie ist heute wichtiger denn, bildet sie doch die Grundlage für die meisten Cloud-Identitätssysteme, die von Unternehmen auf der ganzen Welt eingesetzt werden. Obwohl AD für die meisten Unternehmen weltweit immer noch unverzichtbar ist, hat es sich auch zu einem Sicherheitsproblem entwickelt.

Warum AD heute ein Problem ist

AD ist aus mehreren Gründen angreifbar. Erstens wurde es nicht für den Umgang mit komplexen Sicherheitsbedrohungen konzipiert. Es wurde in einer Zeit entwickelt, als es noch keine Ransomware, keine ausgeklügelten, von Staaten unterstützten Cyberattacken und keine weit verbreitete Nutzung von Cloud-Computing gab. Es handelt sich um eine Technologie aus einer anderen Zeit – und deshalb kann sie vielen der modernen Bedrohungen, mit denen wir heute konfrontiert sind, nicht wirksam begegnen.

Zweitens wurde AD als offenes System konzipiert, um die Nutzung zu erleichtern. Es vertraut den in einem Netzwerk angemeldeten Benutzern, um ein nahtloses Benutzererlebnis zu ermöglichen. Genau diese Offenheit ist heute jedoch eine schwierige Herausforderung für Verteidiger, da sie erfolgreichen Eindringlingen nur wenige Hindernisse in den Weg stellt.

Drittens bedeutet das Alter des Netzes, dass es in vielen Fällen über 20 Jahre lang schlechte Sicherheitsentscheidungen gab, die ursprünglich aus Gründen der Zweckmäßigkeit getroffen wurden. Diese haben sich zu einem massiven Angriffsziel angesammelt, das selbst Amateure bewältigen können.

Aus diesen Gründen sind etwa 90 Prozent aller Unternehmen Sicherheitsverletzungen ausgesetzt, die auf AD-Schwachstellen zurückzuführen sind, und neun von zehn aller Cyberangriffe betreffen AD in irgendeiner Form. Solche Statistiken sind nicht gerade beruhigend, ebenso wie die Einfachheit der Angriffsmethoden, mit denen AD ins Visier genommen wird. Der typische Angriffsprozess erfolgt schrittweise:

  1. Angreifer kompromittieren einen PC durch Phishing. Sie senden betrügerische E-Mails, die darauf abzielen, Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben, z. B. ihre Zugangsdaten für AD.
  2. Ein Angreifer versucht dann daran, Privilegien auf einem lokalen Rechner zu erhalten. Angreifer können ihre Berechtigungen auf dem Rechner auf verschiedene Weise erhöhen und dabei Schwachstellen des Geräts ausnutzen.
  3. Sie nutzen dabei AD, um andere Geräte zu finden und alle in diesem Netzwerk angeschlossenen und genutzten Geräte zu erfassen.
  4. Als nächstes nehmen sie weitere Geräte ins Visier. Von hier aus bewegen sie sich in einem Netzwerk und führen schwer zu entdeckende Erkundungen durch, indem sie viele Computer angreifen, um einen zu finden, der über AD-Administratorrechte verfügt.
  5. Schließlich verschaffen sie sich Zugang zu den Anmeldeinformationen eines privilegierten oder administrativen Kontos. Sobald sie diese haben, haben sie die volle Kontrolle über AD – und alles, was davon abhängt.

Ein Beispiel für einen beliebten AD-Angriff ist der so genannte „Golden Ticket“-Angriff. Bekannt ist das goldene Ticket aus dem Roman „Charlie und die Schokoladenfabrik“ von Roald Dahl. In der digitalen Welt bieten diese goldenen Eintrittskarten ebenfalls Zugang zur IT-Umgebung eines Unternehmens. Ein Golden-Ticket-Angriff verschafft Bedrohungsakteuren ungehinderten Zugang zu Netzwerkressourcen und die Möglichkeit, sich unbegrenzt in Netzwerken aufzuhalten, getarnt als berechtigte Benutzer mit Administratorrechten.

Umriss der Bedrohung

AD ist nicht nur deshalb ein Problem, weil es leicht anzugreifen ist, auch die Profite für Angreifer sind beträchtlich. AD ist im Grunde der Schlüssel zum Königreich. AD ist wie ein Safe, in dem ein Unternehmen die physischen Schlüssel für die Büros aufbewahrt. Es ist der zentrale Knotenpunkt für den Zugriff auf die kritischen Systeme, also Computer, Softwareanwendungen und andere Ressourcen.

Diese Angriffsweise ist gefährlich, weil sie sowohl einfach als auch lukrativ ist. Im Jahr 2021 zahlten Unternehmen Lösegelder von bis zu 40 Millionen US-Dollar, um wieder Zugang zum Netzwerk zu erhalten. Gleichzeitig werden die Einstiegshürden für Angreifer immer niedriger. Dank des boomenden Marktes für Ransomware-as-a-Service (RaaS) müssen sie nicht mehr technisch versiert sein. Stattdessen kaufen sie einfach Tools und Dienstleistungen von den Profis. Dies ist ein verheerender Kreislauf. Der Profit für Angreifer steigt, während die erforderlichen technischen Kenntnisse immer weiter sinken, wodurch sich die Angriffslandschaft exponentiell erweitert.

Es ist daher leicht zu verstehen, warum die Ransomware-Studie 2021 von International Data Corporation kürzlich ergab, dass mehr als ein Drittel (37 Prozent) der weltweiten Unternehmen im Jahr 2021 Opfer eines Ransomware-Angriffs sein werden. In der Tat stehen die Chancen eindeutig zugunsten der Angreifer.

Wie können Unternehmen darauf reagieren?

Unternehmen müssen reagieren, um diese Bedrohungsflut zu stoppen. Um ihre Schwachstellen zu minimieren, müssen sie zunächst wissen, wo sie verwundbar sind. Für viele Unternehmen kann sich der Versuch, dieses Verständnis zu erlangen, überwältigend anfühlen. Dies gilt besonders für diejenigen, die wenig oder gar keine Kenntnisse im Bereich der Cybersicherheit haben. Es gibt Lösungen und die richtige Unterstützung, die dabei helfen.

Purple Knight, ein kostenloses Tool zur Sicherheitsbewertung von Active Directory, ist ein guter Ausgangspunkt. Entwickelt und verwaltet von einer führenden Gruppe von Microsoft-Identitätsexperten, kann es dabei helfen, Schwachstellen in Active Directory zu erkennen, bevor Angreifer sie finden. Es zeigt zudem allgemeine Schwachstellen auf, die behoben werden sollten.

Im aktuellen Purple Knight Report wird eine ganze Reihe potenzieller Schwachstellen aufgelistet. Für den Anfang sind jedoch einige gängige Beispiele zu nennen:

  • Konfigurationsabweichung: Die Konfigurationsabweichung ist das Ergebnis jahrelanger schlechter AD-Praktiken. Anwendungen müssen in AD konfiguriert werden, um zu funktionieren, aber das braucht Zeit. Eine schnelle Lösung für dieses Problem besteht darin, der Anwendung zu viele administrative Rechte zu erteilen. Dies ist etwas, das Unternehmen in der Vergangenheit getan haben, weil sie ihr glänzendes neues Tool so schnell wie möglich zum Laufen bringen wollten. Infolgedessen häufen sich die administrativen Konten in AD an. So braucht nur eines dieser Konten angegriffen zu werden, um katastrophale Folgen zu bewirken.
  • Veraltete Administratorkonten: Ältere Administratorkonten werfen ähnliche Probleme auf. Sie sind die Leichen im Keller. Wenn es einem Angreifer gelingt, sich Zugang zu diesen privilegierten Konten zu verschaffen, werden sie Unternehmen zum Verhängnis.
  • Schwache oder gängige Passwörter: Angreifer versuchen auch immer noch, auf mehrere Konten zuzugreifen, indem sie eine Reihe häufig verwendeter Passwörter ausprobieren. Dies wird als Password Spraying bezeichnet. Diese Technik lässt sich leicht vereiteln, indem Administratoren die Verwendung von schwachen oder häufig genutzten Passwörtern in ihrem Netzwerk unterbinden.

Natürlich ist das Erkennen und Beheben dieser Schwachstellen nur ein kleiner Teil des Puzzles. Um die wachsende Bedrohung durch Cyberkriminalität langfristig wirksam bekämpfen zu können, müssen Unternehmen eine Reihe von bewährten Verfahren aktiv anwenden. Diese reichen von der Durchführung regelmäßiger interner Sicherheitsprüfungen und wichtiger betrieblicher Verbesserungen bis hin zu regelmäßigen Mitarbeiterschulungen zum Thema Phishing. Sinnvoll sind ebenso Investitionen in Wiederherstellungsprozesse, um im Falle eines Angriffs eine schnelle Reaktion zu gewährleisten.

Die meisten Unternehmen sind auf Unterstützung oder Anleitung bei der Entwicklung einer starken Verteidigung angewiesen. Sie sollten sich dabei von Fachleuten beraten lassen, die auf AD-Sicherheit spezialisiert sind. Nur so gelingt es, die wichtigsten Änderungen zu verstehen, die sie vornehmen müssen. Angriffe auf Active Directory sind nicht mehr eine Frage des Ob, sondern des Wann. Wenn Unternehmen ihre kritischen AD-Schwachstellen beseitigen, haben sie eine gute Chance, dagegen gewappnet zu sein. Wenn nicht, sind sie weiterhin leichte Beute – und müssen mit den schlimmsten Folgen rechnen.