Erfolg­rei­che Cyber­an­grif­fe sind heut­zu­ta­ge häu­fig nicht auf soge­nann­te „Zero-Day“-Schwachstellen zurück­zu­füh­ren, son­dern resul­tie­ren oft­mals aus unzu­rei­chend abge­si­cher­ten Stan­dard­kon­fi­gu­ra­tio­nen, ins­be­son­de­re im Bereich von Acti­ve Direc­to­ry (AD) und Micro­soft 365 (M365). Angrif­fe begin­nen in der Regel am Win­dows-Cli­ent – bei­spiels­wei­se durch Phis­hing, gestoh­le­ne Zugangs­da­ten oder durch die Über­nah­me von Sit­zun­gen. Die Angrei­fer bewe­gen sich anschlie­ßend schritt­wei­se vom Cli­ent über AD zu M365, bis die IT-Sys­te­me eines Unter­neh­mens umfas­send kom­pro­mit­tiert sind.

Die Absi­che­rung von AD und M365 ist daher kei­ne rein tech­ni­sche Opti­mie­rung, son­dern stellt eine unver­zicht­ba­re Maß­nah­me zur Risi­ko­mi­ni­mie­rung dar. Unter­neh­men, die den Stand der Tech­nik umset­zen, erfül­len nicht nur die Anfor­de­run­gen an Cyber­hy­gie­ne gemäß NIS‑2 / NISG, DORA oder wei­te­ren Vor­schrif­ten, son­dern ver­mei­den auch Erklä­rungs­be­darf gegen­über Aufsichtsbehörden.

Typi­sche Schwach­stel­len und Risiken

  1. Stan­dard-Kon­fi­gu­ra­tio­nen bie­ten kei­nen aus­rei­chen­den Schutz: Die Stan­dard­ein­stel­lun­gen in Acti­ve Direc­to­ry (AD) und M365 Ten­ants sind häu­fig his­to­risch bedingt und auf Kom­pa­ti­bi­li­tät aus­ge­rich­tet, jedoch nicht pri­mär auf Sicher­heit („Secu­re by Default“). Ohne geziel­te Maß­nah­men zur Här­tung blei­ben poten­zi­el­le Angriffs­flä­chen bestehen.
  2. Über­mä­ßi­ge Berech­ti­gun­gen und uner­wünsch­ter Infor­ma­ti­ons­ab­fluss: In zahl­rei­chen Umge­bun­gen haben Benut­zer Zugang zu umfang­rei­chen Infor­ma­tio­nen im AD oder ver­fü­gen über zu weit­rei­chen­de Rech­te. Dies kann Angrei­fern die Durch­füh­rung von Recon­nais­sance, Pri­vi­le­ge Escala­ti­on und late­ra­len Bewe­gun­gen erleichtern.
  3. Risi­ko durch ver­al­te­te Objek­te: Inak­ti­ve Benut­zer- oder Com­pu­ter­kon­ten stel­len nicht nur ein Pro­blem hin­sicht­lich der Sys­tem­hy­gie­ne dar, son­dern kön­nen auch als Ein­falls­tor für Miss­brauch die­nen. Aus die­sem Grund erhal­ten „Sta­le Objects“ im Rah­men eines AD Secu­ri­ty Audits beson­de­re Aufmerksamkeit.
  4. Pri­vi­le­gier­te Kon­ten, Trusts und Anomalien 
    • Pri­vi­le­gier­te Kon­ten wie Admi­nis­tra­to­ren- oder Ser­vice­kon­ten stel­len häu­fig vor­ran­gi­ge Zie­le für Angrei­fer dar. Feh­ler­haf­te Kon­fi­gu­ra­tio­nen und über­mä­ßi­ge Rech­te­ver­ga­be füh­ren regel­mä­ßig zu Kom­pro­mit­tie­run­gen von Domänen.
    • Trusts zwi­schen Domä­nen oder Forests kön­nen unbe­ab­sich­tigt poten­zi­el­le Angriffs­vek­to­ren eröffnen.
    • Anoma­lien wie unge­wöhn­li­che Anmel­de­vor­gän­ge oder Ände­run­gen von Berech­ti­gun­gen wei­sen oft­mals früh­zei­tig auf eine Kom­pro­mit­tie­rung hin, wer­den jedoch ohne sys­te­ma­ti­sche Über­prü­fung häu­fig erst ver­spä­tet erkannt.
  5. Umfas­sen­de Angriffs­flä­che über Iden­ti­täts­ma­nage­ment, Col­la­bo­ra­ti­on und End­ge­rä­te. M365 beinhal­tet neben dem E‑Mail-Dienst eben­so Iden­ti­täts­lö­sun­gen (Entra ID), Col­la­bo­ra­ti­on-Funk­tio­nen, Gerä­te­ver­wal­tung und zen­tra­le Ten­ant-Kon­fi­gu­ra­tio­nen. Ein struk­tu­rier­tes Assess­ment berück­sich­tigt unter ande­rem Entra ID, Exch­an­ge Online, SharePoint/OneDrive, Teams, Intu­ne, Secu­ri­ty & Com­pli­ance sowie glo­ba­le Tenant-Einstellungen.
  6. Regu­la­to­rik: „Stand der Tech­nik“ als ver­bind­li­cher Maß­stab. Cyber­hy­gie­ne gemäß NIS‑2 / NISG sowie Anfor­de­run­gen aus DORA und wei­te­ren gesetz­li­chen oder regu­la­to­ri­schen Vor­ga­ben ver­lan­gen nach­weis­lich ange­mes­se­ne Schutz­maß­nah­men. Orga­ni­sa­tio­nen, die nicht dem Stand der Tech­nik ent­spre­chen, tra­gen ein erhöh­tes Risi­ko und sind ver­pflich­tet, etwa­ige Abwei­chun­gen nach­voll­zieh­bar zu begründen.

Die Lösungs­an­sät­ze

AD Secu­ri­ty Audit

Eine umfas­sen­de Sicher­heits­über­prü­fung der Acti­ve Direc­to­ry-Umge­bung bil­det einen fun­dier­ten Ein­stieg in die Absi­che­rung von IT-Infra­struk­tu­ren. Ziel die­ser Prü­fung ist es, poten­zi­el­le Risi­ken und Schwach­stel­len sys­te­ma­tisch zu erken­nen und zu bewer­ten. Beson­ders bemer­kens­wert ist, dass der Audit bereits mit einem regu­lä­ren AD-Benut­zer durch­ge­führt wer­den kann – Admi­nis­tra­tor­rech­te sind nicht zwin­gend erfor­der­lich. Dadurch las­sen sich pra­xis­na­he Ergeb­nis­se aus Sicht poten­zi­el­ler Angrei­fer erzie­len und die rea­len Angriffs­punk­te identifizieren.

M365 Secu­ri­ty Audit

Für die Absi­che­rung von Micro­soft 365 emp­fiehlt es sich, auf bewähr­te Stan­dards zurück­zu­grei­fen und nicht ledig­lich nach Gefühl oder Erfah­rung vor­zu­ge­hen. Ein struk­tu­rier­tes Audit ori­en­tiert sich hier­bei am Micro­soft Cloud Secu­ri­ty Bench­mark (MCSB). Das Ver­fah­ren beinhal­tet eine Kom­bi­na­ti­on aus auto­ma­ti­sier­ter Daten­er­fas­sung, manu­el­len Ana­ly­sen und einer fun­dier­ten Risi­ko­be­wer­tung. Dar­auf auf­bau­end wer­den kon­kre­te Hand­lungs­emp­feh­lun­gen abge­lei­tet, um Schwach­stel­len gezielt zu adres­sie­ren und die Sicher­heit der M365-Umge­bung nach­hal­tig zu stärken.

Der Nut­zen für das Unternehmen

Für den Chief Infor­ma­ti­on Secu­ri­ty Offi­cer (CISO) steht das Ergeb­nis im Vor­der­grund. Die Gefahr erfolg­rei­cher Cyber-Angrif­fe lässt sich nur durch eine wirk­sa­me Behe­bung von Schwach­stel­len verringern.

Eine geziel­te Über­prü­fung und Absi­che­rung von Acti­ve Direc­to­ry und M365 führt zu fol­gen­den Ergebnissen:

  • Die Redu­zie­rung der Erfolgs­wahr­schein­lich­keit rea­ler Angrif­fe ent­lang der Angriffs­ket­te Cli­ent / AD / Micro­soft 365 (z. B. Phis­hing, Iden­ti­täts­dieb­stahl, late­ra­le Bewegungen).
  • Trans­pa­renz und Prio­ri­sie­rung: Schwach­stel­len wer­den iden­ti­fi­ziert, bewer­tet und nach Rele­vanz priorisiert.
  • Regu­la­to­ri­sche Kon­for­mi­tät: Nach­weis­ba­re Ori­en­tie­rung an eta­blier­ten Stan­dards und Best Practices.
  • Revi­si­ons­si­cher­heit: Die Bereit­stel­lung eines Prüf­be­rich­tes mit einer Zusam­men­fas­sung für das Manage­ment sowie einer detail­lier­ten tech­ni­schen Beschrei­bung mit kla­ren Hand­lungs­emp­feh­lun­gen gewähr­leis­tet die Nach­voll­zieh­bar­keit der getrof­fe­nen Maßnahmen.

Jetzt han­deln!

Wenn Ihr AD und M365 noch weit­ge­hend auf Stan­dard-Kon­fi­gu­ra­tio­nen basie­ren, ist jetzt der rich­ti­ge Zeit­punkt für einen belast­ba­ren Statuscheck.

👉 Um den aktu­el­len Sicher­heits­sta­tus von Acti­ve Direc­to­ry und Micro­soft 365 gezielt zu erfas­sen und den wei­te­ren Hand­lungs­be­darf prä­zi­se zu defi­nie­ren, emp­feh­len wir als nächs­ten Schritt einen 30-minü­ti­gen Call zur Bedarfsanalyse.

Das Gespräch bil­det die Grund­la­ge für eine maß­ge­schnei­der­te Vor­ge­hens­wei­se und ermög­licht eine ziel­ge­rich­te­te Prio­ri­sie­rung der nächs­ten Maßnahmen.