Entra ID
Sicherheitsrisiken hybrider Identitäten eliminieren
Mit der Popularität von Remote Work und Microsoft 365 ist auch die Relevanz von Entra ID gestiegen. Allerdings bringt der ehemals als Azure Active Directory bekannte Dienst vor allem im Zusammenhang mit hybriden Identitäten Sicherheitsherausforderungen mit sich.
Der Artikel beantwortet unter anderem folgende Fragen:
- Was ist Entra ID und warum ist es wichtig?
- Welche Schlüsselrollen erfüllt Entra ID?
- Was sind hybride Identitäten und welche Herausforderungen bringen sie mit sich?
- Wie können Angreifer Entra ID ausnutzen?
- Was können Unternehmen tun, um Rechteausweitung zu verhindern?
- Welche Tools können Unternehmen zur Verbesserung der Sicherheit nutzen?
- Was sind die zukünftigen Entwicklungen im Bereich hybride Identitäten?
Als Identitätsverzeichnis für Microsoft 365 und Azure ist Entra ID in zahlreichen Unternehmen zu einer festen Größe geworden. Entra ID, früher bekannt als Azure Active Directory (kurz Azure AD oder AAD) ist Cloud-basiert und wird als Identity-as-a-Service (IDaaS)-Plattform eingestuft. Sie ermöglicht die Einrichtung und Verwaltung granularer Autorisierungskontrollen und stellt so sicher, dass befugte Personen zum benötigten Zeitpunkt im autorisierten Umfang Zugriff auf die erforderlichen Ressourcen und Anwendungen haben. Viele Unternehmen verwenden Entra ID für Multi-Cloud-Identitäten, zum Beispiel mit Amazon Web Services, Google Cloud Platform und Oracle Cloud. Organisationen, die Branchenanwendungen mit den SAML- oder OpenID Connect-Standards entwickeln, können ebenfalls Entra ID für die Authentifizierung nutzen. Laut Microsoft erfüllt Entra ID drei Schlüsselrollen:
- Es schützt den Zugriff auf Ressourcen und Daten durch Authentifizierungs- und Zugriffsrichtlinien, ohne die Benutzererfahrung zu beeinträchtigen.
- Es bietet eine schnelle und einfache Anmeldung für die gesamte Cloud-Umgebung, um den Aufwand für die Kennwortverwaltung zu reduzieren und die Produktivität der Benutzer zu gewährleisten.
- Es verwaltet Benutzeridentitäten und den Zugriff auf alle Anwendungen an einem zentralen Ort, um die Transparenz und Kontrolle zu verbessern.
Entra ID bildet das Herzstück der Entra-Suite, die noch weitere Anwendungen umfasst: Mit Application Proxy und dem neuen Private Access können Unternehmen ihre Mitarbeiter mit On-Premise-Systemen und -Anwendungen verbinden, egal wo sie sich befinden. In diesem Fall entstehen sogenannte hybride Identitäten. Diese können allerdings neue Sicherheitsherausforderungen mit sich bringen, sofern sie und Entra ID nicht ordnungsgemäß konfiguriert, verwaltet und geschützt werden.
Weit entfernt von Zero-Trust-Standards
Der Begriff „hybride Identitäten“ oder auch „Hybrid-identität“ bezeichnet in diesem Kontext die Überbrückung eines lokalen Verzeichnisdiensts wie Active Directory (AD) mit einem cloudbasierten Identitätsanbieter wie Entra ID. Active Directory bietet Identitäts- und Infrastrukturverwaltung für lokale Systeme. Es wurde vor über zwanzig Jahren entwickelt und bot Unternehmen seinerzeit neue Möglichkeiten, eine große Anzahl von Benutzern, Computern und Objekten bequem zu verwalten. Mit der Entwicklung der Bedrohungslage kann es allerdings nicht Schritt halten. Nach wie vor vertraut der Verzeichnisdienst Benutzern und Netzwerken standardmäßig. Damit ist er weit entfernt von modernen Zero-Trust-Architekturen. Da das Design des Identitätsverzeichnisses immer noch auf die weitaus weniger volatile Bedrohungslandschaft der späten 1990er und frühen 2000er Jahre zugeschnitten ist, wächst die Liste der modernen Exploits gegen Active Directory, die von Cyberkriminellen genutzt werden können, bis heute weiter an.
| Während Unternehmen an Entra ID die einfache und schnelle Bereitstellung für andere Dienste schätzen, finden Angreifer daran vor allem die Möglichkeit der Rechteausweitung attraktiv. |
|---|
Schlimmstenfalls können sich bei der AD-Verwaltung in Unternehmen über Jahrzehnte fehlerhafte Sicherheitspraktiken eingeschlichen haben, die selbst unbedarfte Angreifer einfach ausnutzen können. Die Erfahrung zeigt, dass selbst gut gemanagte AD im Rahmen von Pentests innerhalb einer halben Stunde kompromittiert werden, ohne dass es vom Sicherheitspersonal oder -systemen bemerkt wird. Es gibt viele potenzielle Probleme: von zu vielen Administratoren und einer mangelnden Trennung der Berechtigungen bis hin zu privilegierten Benutzern, die keine dedizierten Workstations mit privilegiertem Zugang verwenden, schwachen oder nicht vorhandenen Multi-Faktor-Authentifizierungen und Verzögerungen bei passwortlosen und Phishing-resistenten Authentifizierungsverfahren. Active Directory ist in der Regel ein Schwachpunkt in der Angriffsfläche von Unternehmen, der im Fall einer erfolgreichen Attacke großes Schadenspotenzial birgt. Die Angriffsfläche vergrößert sich noch weiter, wenn Entra ID unzureichend gesichert ist.
Auch Entra ID und Microsoft 365 sind in erster Linie auf Benutzerfreundlichkeit statt auf Sicherheit ausgerichtet. Während Unternehmen an Entra ID die einfache und schnelle Bereitstellung für andere Dienste schätzen, finden Angreifer vor allem die Möglichkeit der Rechteausweitung (Privilege Escalation) daran attraktiv. Da der Erstzugriff durch Benutzer von überall, auch außerhalb des Unternehmensperimeters, erfolgen kann, können sich – sofern keine nötigen Vorsichtsmaßnahmen ergriffen wurden – statt legitimen Benutzern auch Angreifer authentifizieren. Ist ihnen dies gelungen, ist das Erweitern von Berechtigungen nur noch ein kleiner Schritt, beispielsweise durch das Hinzufügen eines Gastkontos zu einer Microsoft 365-Gruppe in Teams. Gastbenutzer haben nicht nur Zugriff auf das für sie vorgesehene Team, sondern auch auf die zugrunde liegenden Technologien, wie zum Beispiel SharePoint Online ihrer „Gastgeber“-Organisationen, beziehungsweise Angriffsziele. Dies können unbefugte Eindringlinge als Basis nutzen, um sich im Active Directory neue, weitreichende Befugnisse anzueignen und die Kontrolle, die ihnen ihre neuen Privilegien verleihen, schließlich für einen verheerenden Angriff ausnutzen.
Rechteausweitung vorbeugen
Dabei spielt es Angreifern in die Hände, dass einfache Bordmittel, mit denen sich die Sicherheit von Entra ID erhöhen lässt, in Unternehmen meist ungenutzt bleiben. Und dies ist oft lediglich auf unklare Bedienungshinweise zurückzuführen. Denn mit Privileged Identity Management bietet Microsoft fast 100 verschiedene Rollen an. Die Möglichkeiten zur Begrenzung von Nutzerrechten und somit das Eliminieren des Sicherheitsrisikos „Rechteausweitung“ wären somit gegeben. Zumindest in der Theorie. In der Praxis zeigt sich, dass die Anwendungsfälle und Kompetenzen für die verfügbaren Rollen nicht ganz eindeutig definiert sind. Es ist nachvollziehbar, dass für IT-Teams der reibungslose Geschäftsbetrieb Priorität hat und sie es vermeiden wollen, Nutzern zu stark begrenzte Rollen zuzuweisen, da es eine Flut an Service-tickets zur Folge hätte. Allerdings führt dies häufig dazu, dass Unternehmen beim Aufbau ihres Microsoft Ökosystems das Anwenden des Rollenzuweisungsmodells „Global Administrator by default“ zulassen. Der globale Administrator entspricht jedoch dem Domain Admin und verkörpert die mächtigste und befugnisreichste Rolle in Entra ID. Es ist offensichtlich, dass diese, angewendet auf alle Nutzer, ein enormes Sicherheitsrisiko darstellt und folglich äußerst sparsam vergeben werden sollte.
Viele Unternehmen nehmen sich nicht die Zeit, das Microsoft-Modell der gemeinsamen Verantwortung und die Anforderungen, die für eine sichere Konfiguration von und privilegierte Zugriffsverwaltung in Entra ID erfüllt sein müssen, zu verstehen. Etwas zusätzlicher Aufwand ist jedoch nötig, um unternehmensspezifische Sicherheitslücken zu ermitteln: Ein guter Ausgangspunkt dafür ist der Identity Secure Score in Entra ID sowie der Microsoft Secure Score in Microsoft 365. Diese definieren wichtige Sicherheitseinstellungen und vermitteln ein Gefühl dafür, wie sicher eine Umgebung ist. Administratoren können tiefer in die Materie eintauchen, um den Kontext des Risikos zu verstehen und abzuwägen, ob die Sicherheitseinstellung ausreichend ist oder ob sie für einen ausreichenden Schutz Drittlösungen hinzuziehen müssen. Neben dem Secure Score gibt es auch kostenlose Tools wie Purple Knight, mit denen Schwachstellen in Active Directory, Entra ID und Hybrid-identitäten aufgedeckt werden können.
Zeit für ein Umdenken
Hybrididentität ist eine Dynamik, die so schnell nicht verschwinden wird. Die bevorstehende Version von Windows Server 2025 enthält neue Funktionen und Änderungen an Active Directory, was die Haltung von Microsoft, Active Directory fortzuführen, unterstreicht. Zugleich entwickeln sich Identitäten zu einem populären Vektor für Cyberangriffe.
Für die Zukunft ist es daher von entscheidender Bedeutung, das Bewusstsein und das Verständnis für die Bedrohungen und Schwachstellen verbessern, denen Entra ID und hybride Identitäten ausgesetzt sind. Schwachstellen und Fehlkonfigurationen in kritischen Identitätssystemen können für Angreifer der entscheidende Faktor sein, um ihrer Attacke vernichtende Schlagkraft zu verleihen. Um solche Katastrophen-Szenarien zu verhindern und Bedrohungsakteuren auch in hybriden Identitätsumgebungen einen Riegel vorzuschieben, sollten Unternehmen nachbessern und entsprechende Sicherheitspraktiken für Entra ID und AD etablieren.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Datenschutz
Virtuelle Datenräume, reeller Schutz
Netzfehler beim Remote Access reduzieren
Cloudbrink-Tool gegen Performance-Probleme bei hybrider Arbeit
Bessere Kameraansichten und KI
Cisco: Collaboration-Geräte für hybrides Arbeiten
Produkttest BenQ VS20 InstaShow
Kabellos ins hybride Meeting
Transparenz im hybrid-digitalen Bestand
Solarwinds: Observability-Lösungen weiterentwickelt
Pure Storage und Microsoft
Speicherfunktionen in nativen Microsoft Azure-Services
Besseres Management der Azure Firewall
Microsoft und Illumio kooperieren
Remote Work, KI und die Zukunft der Arbeit
Parallelwelten
