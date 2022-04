Organisationen und Unternehmen aller Größen und Branchen haben im Durchschnitt lediglich 68 Prozent der Sicherheitslücken in ihrem Active Directory (AD) geschlossen, die Kriminellen Tür und Tor in die Firmen-IT öffnen. Das ist das Ergebnis einer Befragung von 1000 IT- und Sicherheitsverantwortlichen, die das AD-Risikobewertungstool Purple Knight von Semperis eingesetzt haben.

Dieser durchschnittliche Score ergab sich in allen fünf beim Sicherheitsscan berücksichtigten Kategorien: AD-Delegierung, Kontosicherheit, AD-Infrastruktursicherheit, Gruppenrichtliniensicherheit und Kerberos-Sicherheit. Noch schlechter schnitten große Organisationen ab, sie kamen gerade einmal auf 64 Prozent. Dieses Ergebnis deutet darauf hin, dass die Herausforderungen beim Absichern des AD mit Legacy-Anwendungen und komplexen Umgebungen zunehmen, insbesondere in großen Unternehmen. Viele der Befragten beklagten auch einen Mangel an Active-Directory-Expertise.

Größte Gefahr: riskante Kontokonfigurationen

Die niedrigsten Werte erreichten die Unternehmen bei der Kontosicherheit, die sich auf die Einstellungen einzelner Accounts bezieht. Problematisch sind hier beispielsweise privilegierte Konten mit Passwörtern, die nie ablaufen. Insbesondere bei älteren Active-Directory-Implementierungen finden sich häufig riskante Konfigurationen, die zudem schwer aufzufinden sind. Sehr schlecht schnitt auch die Kategorie der Gruppenrichtlinien ab, in der viele der Befragten fehlerhafte Konfigurationen entdeckten.

Innerhalb der Branchen gab es größere Unterschiede in den Ergebnissen. So meldeten Versicherungsunternehmen die niedrigsten Gesamtpunktzahlen (55 Prozent), gefolgt von Gesundheitswesen (63 Prozent) und Transportwesen (64 Prozent). Bei Letzteren waren vor allem die genannten Kategorien völlig unzureichend gesichert: die Gruppenrichtlinien nur zu 36 Prozent und die Konfiguration der Einzelkonten zu 46 Prozent. Die besten Ergebnisse vermeldeten die Betreiber öffentlicher Infrastrukturen, die mit der höchsten Punktzahl (71 Prozent) knapp vor den staatlichen Stellen (70 Prozent) liegen.

AD heute größtes Einfallstor

Die bei der Markteinführung des Active Directory 1999 revolutionäre Offenheit des Verzeichnisdienstes, die eine einfache Vernetzung und Verwaltung von Ressourcen im Unternehmen ermöglichte, ist heute einer seiner größten Schwachpunkte. Forscher des IT-Unternehmens Mandiant berichteten kürzlich, dass 90 Prozent der von ihnen untersuchten Vorfälle in der einen oder anderen Art mit dem Active Directory zu tun hätten. Die prominentesten Fälle, die auf AD-Sicherheitsverletzungen zurückzuführen sind, sind SolarWinds, Hafnium und der Angriff auf die Colonial-Pipeline.

Interessierte finden weitere Details in der Purple-Knight-Studie 2022 von Semperis. Das Unternehmen hatte im vergangenen Jahr das AD-Assessment-Tool Purple Knight entwickelt und kostenlos zur Verfügung gestellt.

(ur)