Studie: Active Directory je nach Branche unterschiedlich angreifbar

Organisationen und Unternehmen aller Größen und Branchen haben im Durchschnitt lediglich 68 Prozent der Sicherheitslücken in ihrem Active Directory (AD) geschlossen, die Kriminellen Tür und Tor in die Firmen-IT öffnen. Das ist das Ergebnis einer Befragung von 1000 IT- und Sicherheitsverantwortlichen, die das AD-Risikobewertungstool Purple Knight von Semperis eingesetzt haben.

Lesen Sie auch: iX Kompakt "Sicheres Active Directory"

Die iX hat das iX kompakt „Sicheres Active Directory“ herausgebracht. Auf 172 Seiten behandelt es umfassend die Sicherheit des Verzeichnisdienstes – wie er überhaupt funktioniert, was ihn so angreifbar macht und wie man ihn auf verschiedenen Ebenen absichert. Versteht man die grundlegenden Konzepte, die Struktur des AD und die eingesetzten Protokolle, kann man nachvollziehen, wie Fehlkonfigurationen, mangelnde Härtung oder zu großzügige Rechtevergabe Angriffe wie Golden Ticket, DCSync, PetitPotam, Pass the Hash und viele mehr ermöglichen. Mit den richtigen Stellschrauben lassen sich solche Angriffe verhindern oder zumindest erschweren.

Das PDF des Sonderhefts zum sofortigen Download kostet 17,99 Euro, die gedruckte Ausgabe für 19,50 Euro lässt sich im heise Shop bestellen und ist im gut sortierten Zeitschriftenhandel zu haben. Das Bundle Heft + PDF kostet 25,50 Euro.

Dieser durchschnittliche Score ergab sich in allen fünf beim Sicherheitsscan berücksichtigten Kategorien: AD-Delegierung, Kontosicherheit, AD-Infrastruktursicherheit, Gruppenrichtliniensicherheit und Kerberos-Sicherheit. Noch schlechter schnitten große Organisationen ab, sie kamen gerade einmal auf 64 Prozent. Dieses Ergebnis deutet darauf hin, dass die Herausforderungen beim Absichern des AD mit Legacy-Anwendungen und komplexen Umgebungen zunehmen, insbesondere in großen Unternehmen. Viele der Befragten beklagten auch einen Mangel an Active-Directory-Expertise.

Größte Gefahr: riskante Kontokonfigurationen

Die niedrigsten Werte erreichten die Unternehmen bei der Kontosicherheit, die sich auf die Einstellungen einzelner Accounts bezieht. Problematisch sind hier beispielsweise privilegierte Konten mit Passwörtern, die nie ablaufen. Insbesondere bei älteren Active-Directory-Implementierungen finden sich häufig riskante Konfigurationen, die zudem schwer aufzufinden sind. Sehr schlecht schnitt auch die Kategorie der Gruppenrichtlinien ab, in der viele der Befragten fehlerhafte Konfigurationen entdeckten.

Innerhalb der Branchen gab es größere Unterschiede in den Ergebnissen. So meldeten Versicherungsunternehmen die niedrigsten Gesamtpunktzahlen (55 Prozent), gefolgt von Gesundheitswesen (63 Prozent) und Transportwesen (64 Prozent). Bei Letzteren waren vor allem die genannten Kategorien völlig unzureichend gesichert: die Gruppenrichtlinien nur zu 36 Prozent und die Konfiguration der Einzelkonten zu 46 Prozent. Die besten Ergebnisse vermeldeten die Betreiber öffentlicher Infrastrukturen, die mit der höchsten Punktzahl (71 Prozent) knapp vor den staatlichen Stellen (70 Prozent) liegen.

AD heute größtes Einfallstor

Die bei der Markteinführung des Active Directory 1999 revolutionäre Offenheit des Verzeichnisdienstes, die eine einfache Vernetzung und Verwaltung von Ressourcen im Unternehmen ermöglichte, ist heute einer seiner größten Schwachpunkte. Forscher des IT-Unternehmens Mandiant berichteten kürzlich, dass 90 Prozent der von ihnen untersuchten Vorfälle in der einen oder anderen Art mit dem Active Directory zu tun hätten. Die prominentesten Fälle, die auf AD-Sicherheitsverletzungen zurückzuführen sind, sind SolarWinds, Hafnium und der Angriff auf die Colonial-Pipeline.

Interessierte finden weitere Details in der Purple-Knight-Studie 2022 von Semperis. Das Unternehmen hatte im vergangenen Jahr das AD-Assessment-Tool Purple Knight entwickelt und kostenlos zur Verfügung gestellt.

(ur)