Backup und Recovery von Microsoft-Identitäten – Herausforderungen bei Active Directory und Entra ID

Da Microsoft keine Schnittstellen für Identitäts-Backups zur Verfügung stellt, haben Entra-ID-Backup-Tools Probleme nach einem Hackerangriff. Mit einer Active-Directory-spezifischen Backup-Lösung ist die Arbeitsfähigkeit des Unternehmens schnellstmöglich wiederhergestellt, da alle Identitäten und deren Berechtigungen zu den Geschäftsdaten und Applikationen erhalten bleiben.

Vor gut dreißig Jahren, nach dem Erfolg der Client-Betriebssysteme Windows 3.x und Windows 95, wurde Microsoft belächelt, als es in den Enterprise-Markt mit Servern und Verzeichnisdiensten einsteigen wollte. Die IT-Bereiche – und vor allem die Identitätssysteme – waren damals noch stark segmentiert, da sich die Anwender im eigenen Unternehmen immer wieder aufs Neue mit separaten Kennungen anmelden mussten, um auf unterschiedliche Geschäftsanwendungen zugreifen zu können. Mit der Zunahme digitalisierter Geschäftsprozesse wuchs der Aufwand, die jeweiligen digitalen Identitäten aller Mitarbeitenden effizient zu verwalten.

Als Microsoft damals das Domänen-Modell durch -Windows NT einführte, trafen die Redmonder den Puls der Zeit. Das Modell verband die Client- und Server-Welt wie keine andere Lösung zuvor. Der Begriff »Windows-integriert« bezieht sich seitdem auf die Eigenschaft, dass Geschäftsanwendungen die zentral verwalteten Microsoft-Identitäten verwenden, statt eigene Nutzerverzeichnisse zu verwalten. Die lang ersehnte »Single-Sign-On«-Funktion wurde Realität; mit der Anmeldung am Computer in der Windows-Domäne des Unternehmens konnte der Mitarbeiter auf alle ihm zugeordneten Daten und Geschäftsapplikationen zugreifen. Spätestens mit dem Erfolg von Microsoft Exchange als E-Mail-Kommunikationsplattform und dessen Abhängigkeit von Windows NT haben sich die Microsoft-Identitäten in den meisten Unternehmen etabliert.

Azure Active Directory wird Entra ID. Die Identitätszentralisierung profitierte zudem von der Einführung des Microsoft-Active-Directory-Verzeichnisdienstes mit Windows Server 2000. Mittels Active Directory (AD) ließen sich mehrere Domänen in eine AD-Gesamtstruktur zusammenführen, so dass Enterprise-Unternehmen weltweit ein zentrales, globales Identitätssystem für ihre IT-Prozesse etablieren konnten.

Aufgrund der erfolgreichen Exchange-E-Mail-Dienste sowie deren Erweiterung als Teil von Office 365 in die Microsoft Azure Cloud, erfuhr das Cloud-Identitätssystem die nötige Akzeptanz.

Die lange Zeit gültige Bezeichnung »Azure Active Directory« (AAD) sollte Vertrautheit schaffen, obwohl es mit dem On-Premises-Active-Directory technologisch wenig gemeinsam hatte. Erst kürzlich wurde es dann zu Microsoft Entra ID umbenannt.

Dennoch war das Ziel erreicht: Microsoft hat sich nun seit einigen Jahren sowohl in der On-Prem- als auch in der Cloud-Welt als Standard für den zentralen Verzeichnisdienst aller Identitäten eines Unternehmens etabliert. Egal, ob sich Mitarbeitende im Büro oder von unterwegs an einem Firmencomputer anmelden, sie nutzten dabei nahezu ausschließlich eine Microsoft-Identität – entweder aus dem On-Prem-AD oder über die synchronisierte Cloud-Identität im Entra-Tenant.

 

Abbildung 1: Integration von AD- und Entra-ID-Objekten in die Berechtigungsstruktur.

 

Verzahnung von Microsoft AD und Entra ID. Beide Dienste wurden so eng miteinander verzahnt, dass sich jedoch ein mögliches Problem des einen Dienstes auch auf den anderen auswirken kann. In der Regel ist das On-Prem-AD immer noch das führende Identitätssystem, da hier neue Benutzer angelegt werden, die eine entsprechend eindeutige Sicherheits-ID (SID) bekommen, um direkten oder Gruppenzugriff auf die Daten und Geschäftsanwendungen zu erhalten. Meistens dient eine weitere weltweit eindeutige ID, die GUID, als Bindeglied zu den synchronisierten Cloud-Identitäten im eigenen Entra-Tenant. In der Cloud übernimmt die eindeutige Objekt-ID (OID) von Benutzern und deren Gruppen die Aufgabe, die Zugriffe auf die Geschäftsdaten und Applikationen zu gewähren. Abbildung 1 zeigt diese Abhängigkeit beider Dienste.

Die Verzeichnisdienste müssen gut gesichert sein. Die große Akzeptanz zentralisierter IT-Identitäten eines Unternehmens, die eine wichtige Voraussetzung für die Globalisierung verschiedenster Geschäftsprozesse darstellt, birgt auch Risiken. Diesen Umstand haben Cyberkriminelle längst für sich entdeckt. Ist das Active Directory oder der Entra-ID-Tenant eines Unternehmens erfolgreich attackiert, steht den Kriminellen die Tür zum Unternehmen weit offen.

In diesem Bewusstsein schuf das Analystenhaus Gartner im Jahr 2022 schließlich eine neue Kategorie: Identity Threat Detection and Response (ITDR). Die drastische Zunahme von Ransomware-Angriffen, die die komplette Infrastruktur von Unternehmen samt Verzeichnisdiensten verschlüsselt, ließ diese Kategorie notwendig werden. Unternehmen, die ihre Identitäten nicht schützen und nach einem erfolgreichen Angriff oder einer Zerstörung diese nicht wiederherstellen können, handeln fahrlässig. Die Folge ist eine komplette Handlungsunfähigkeit.

Ungleiche Reife der Microsoft-Verzeichnisdienste bei Disaster-Recovery-Funktionen. Microsoft hat es versäumt, seinen »Recycle Bin« zur Wiederherstellung der AD-Gesamtstruktur weiter zu verbessern. Allein mit den Windows-Tools bleibt dies ein sehr komplexer und fehleranfälliger Prozess.

Microsoft überlässt es Drittanbietern, diese Lücke zu schließen. So können AD-spezifische Backup-Lösungen einerseits die Wiederherstellbarkeit der AD-Gesamtstruktur mittels vollautomatisierter Prozesse deutlich reduzieren. Zum anderen stellen sie sicher, dass sich mögliche Malware auf Servern des Verzeichnisdienstes nicht durch die Wiederherstellung der Backups auf die Zielsysteme überträgt.

Mit einer AD-spezifischen Backup-Lösung ist die Arbeitsfähigkeit des Unternehmens schnellstmöglich wiederhergestellt, da alle Identitäten und deren Berechtigungen zu den Geschäftsdaten und Applikationen erhalten bleiben.

Absicherung nach dem Shared-Responsibility-Modell. In der Microsoft-Cloud ist die Situation komplizierter. Zwar macht die strikte Trennung des Kerndienstes der Microsoft-Cloud von den eigenen Unternehmensdaten einen Angriff auf den kompletten Entra-ID-Service von Microsoft sehr unwahrscheinlich. Jedoch bedeutet diese Trennung auch, dass Microsoft nur für die Bereitstellung und die Verfügbarkeit des Kernservices sorgt. Die Daten, also die eigenen Firmen-Identitäten sowie die dazugehörige Konfiguration, bleiben in der Verantwortung des Unternehmens.

Auch wenn die meisten Cyberangriffe eher die lokale Infrastruktur lahmlegen und damit auch das Active Directory, gibt es ebenso Fälle, wo die Angriffe auch den dazugehörigen Entra-ID-Tenant betreffen. Die Angreifer können dann zwar nicht den Entra-Dienst stoppen, aber diverse Unternehmensidentitäten löschen. Die Verantwortung hierfür liegt in der Hand des Unternehmens, wie Abbildung 2 von Microsoft verdeutlicht.

 

Abbildung 2: Modell der geteilten Verantwortung in der Cloud
(https://learn.microsoft.com/de-de/entra/architecture/recoverability-overview)

 

Keine funktionierenden Schnittstellen von Microsoft. Immerhin lassen sich Konfigurationen von Entra ID per Skript oder mit professionellen Lösungen sichern und wiederherstellen. Jedoch sind die Sicherung und Wiederherstellung der Cloud-Identitäten – also insbesondere der eigenen Entra-ID-Benutzer sowie der dazugehörigen Gruppen – momentan nur teilweise möglich, da Microsoft noch keine funktionierenden Schnittstellen bereitstellt.

Löscht ein Angreifer nun mutwillig die Cloud-Identitäten eines Unternehmens derart, dass diese nicht im »Recycle Bin« landen, dann können die Backup-Lösungen heutzutage die gesicherten Identitäten nur zur Erstellung entsprechend neuer Cloud-Objekte verwenden. Diese neuen Objekte bekommen folglich eine neue ID, beziehungsweise eine neue Objekt-ID. Wie zuvor erläutert, basieren alle Zugriffsrechte auf die unternehmerischen Cloud-Daten und -Applikationen auf den alten OIDs.

Es bleibt somit auch nach der Wiederherstellung beziehungsweise Neuerstellung der eigenen Unternehmensidentitäten in Entra ID noch sehr viel zeitintensive Arbeit zu tun, bis es in der Cloud wieder rund läuft – je nach Firmengröße kann es sich um Wochen oder gar Monate handeln. Hier ist Microsoft unbedingt gefordert, nachzubessern. Professionelle Entra-ID-Backup-Tools helfen, den Schmerz zu lindern, können aber mangels Schnittstellen für Identitäts-Backup nicht mit den ausgereiften Lösungen eines AD-spezifischen Backups mithalten.

 


Guido Grillenmeier,
Principal Technologist
bei Semperis

 

 

Illustration: © Rade Kolbas | Dreamstime.com

 

442 Artikel zu „Backup Recovery „

Cyber Recovery und agiles Backup Recovery – Im Doppel gegen Ransomware

Der Schutz vor Ransomware sollte zu den Top-Themen in Unternehmen gehören. Denn laut Experten erreichte der Schaden in Deutschland zuletzt die jährliche Summe von 223 Milliarden Euro. Die gesamte Wirtschaft ist gefährdet. Das weiß Bitkom-Präsident Achim Berg zu bestätigen: »So hoch wie in den Jahren 2020 und 2021 waren die Schäden noch nie.« Berg nannte die Wucht, mit der Ransomware-Angriffe die Wirtschaft erschüttern »besorgniserregend« [1].

Gartner® Magic Quadrant™ für Enterprise: Veritas zum 19. Mal Leader für Backup and Recovery Software Solutions

Anerkennung für die Vollständigkeit der Vision und der Fähigkeit zur Umsetzung.   Veritas Technologies, ein führender Anbieter von sicheren Lösungen für das Multi-Cloud-Datenmanagement, wurde von Gartner als Leader im Magic Quadrant für Enterprise Backup and Recovery Software Solutions (EBRSS) positioniert. Veritas ist der einzige Anbieter, der von Gartner in jedem der letzten 19 Berichte über…

Sichern Sie das Datengedächtnis Ihres Unternehmens: Täglich grüßt das Backup- und Recovery-Murmeltier

Sie besitzen sicherlich seit Jahren oder Jahrzehnten eine beachtliche Anzahl an Versicherungen. Doch spätestens bei der Durchsicht der eigenen Unterlagen zum Jahresabschluss beschleicht Sie in Anbetracht der vielen Abschlüsse und deren Kosten der Gedanke, warum Sie eigentlich diese Versicherungen Jahr für Jahr bezahlen, ohne sie ein einziges Mal in Anspruch genommen zu haben. Sie fackeln…

Metallic offiziell gelauncht: ADN Group unterstützt Reseller beim Start mit der neuen Backup- und Recovery Cloud-Lösung

  Mit dem offiziellen Launch von Metallic, dem neuen Backup- und Recovery-Service, startet die ADN Distribution Group in Deutschland ihr Launch-Programm und unterstützt Partner beim Aufbau ihres Metallic-Business. Die Lösung verspricht zuverlässige Sicherung und Wiederherstellung, angeboten als komfortables SaaS-Modell. Das intelligente Datenmanagement-Tool punktet mit schneller Einsatzbereitschaft, leichter Bedienbarkeit sowie unbegrenzter Skalierbarkeit und bietet verlässlichen Schutz…

Alles wird agil – auch Backup und Recovery: Wider besseres Wissen

Backup und Recovery trägt nicht unmittelbar zum Geschäftserfolg bei und wird daher oft als sekundär empfunden und auch so behandelt. Bis der Ernstfall eintritt. Mit agilem Backup lassen sich nicht nur alle Daten wiederherstellen, sondern auch komplette Infrastrukturen inklusive der aktuellen Konfigurationen.

Das unsichtbare Sicherheitsnetz Cloud-Backup: Backup- und Disaster Recovery

Viele Unternehmen setzen auf eine Kombination verschiedener Backup-Lösungen, häufig über mehrere Standorte hinweg. Im Krisenfall macht es solch eine Strategie jedoch oft schwierig, Dateien zeitnah wiederherzustellen. Dagegen bieten Cloud-integrierte Lösungen einfaches Testen der Disaster-Recovery-Strategie und im Notfall die rasche Rückkehr zum Normalbetrieb. Daten sind für Unternehmen heute wertvolle Rohstoffe und müssen besser gesichert werden als…

Modernes Backup & Recovery – Nach der Mauser

Backup & Recovery wird selten in einem Atemzug mit Innovation und digitaler Transformation genannt. Zu Unrecht, denn moderne Ansätze können entscheidend dazu beitragen, aktuelle Herausforderungen im Unternehmen zu meistern und die Produktivität zu steigern. Dazu ist jedoch ein Umdenken in der internen Sicherheitskultur nötig und es muss auf bestimmte Funktionalitäten geachtet werden.

WORM als einfachste und wirkungsvollste Antwort auf die Ransomware-Gefahr für Backups

Ransomware ist eine Bedrohung, mit der jedes Unternehmen und jede öffentliche Einrichtung rechnen muss. Ausgeklügelte Security-Maßnahmen und -Lösungen unter Einbindung von künstlicher Intelligenz bieten ein hohes Schutzniveau, können allergings kaum garantieren, dass jede neue Angriffsvariante zuverlässig erkannt und abgewehrt wird. Erschwerend kommt hinzu, dass viele Unternehmen aufgrund von Budget- und Fachkräftemangel nicht den maximal möglichen…

Sechs wesentliche Elemente für Backup-Appliances

Backup-Appliances entlasten IT-Teams, da sie die Sicherung von Daten erheblich vereinfachen. Durch die optimal aufeinander abgestimmte Hardware und Software sind sie sehr zuverlässig und leicht zu bedienen, doch die Lösungen unterscheiden sich teilweise deutlich voneinander. Dell Technologies erklärt, worauf Unternehmen bei der Auswahl achten sollten.    Regelmäßige Backups sind Pflicht, um vor Datenverlusten zu schützen.…

World Backup Day 2024 – Schnelle Wiederherstellung wird von der Kür zur Pflicht

Betriebliche Notwendigkeit und rechtliche Vorgaben wie NIS2 und DORA machen belastbare Data-Protection-Konzepte und konkrete SLAs unverzichtbar.   Markus Grau, Enterprise Architect im EMEA CTO-Office von Pure Storage, erläutert wie und warum die Leistungsfähigkeit einer Data-Protection-Umgebung präzisiert und gesteigert werden kann, um sich verschärfende Anforderungen zu erfüllen. Er kommentiert anlässlich des World Backup Day 2024: Da…

World Backup Day: Auch Container brauchen Backup

Container sind in der Regel so konzipiert, dass sie nur dann existieren, wenn sie benötigt werden. Im Gegensatz zu gewöhnlichen Backups von Dateien und Datenbanken ist bei Container-Backups jedoch einiges zu beachten. Der World Backup Day am 31. März ist eine gute Gelegenheit, um die Besonderheiten bei Container-Backups zu beleuchten.   Container-Management-Lösung – auch für…

World Backup Day: Fast die Hälfte verzichtet vollständig auf Cloud-Backups

World Backup Day am 31. März 2024: Nur 30 Prozent sichert Smartphone-Inhalte in der Cloud. eco Verband gibt 5 Tipps für sichere Backups über das Internet. Die Mehrheit der Deutschen verzichtet noch auf Backups in der Cloud und riskiert so den Verlust wertvoller Fotos, Videos und Daten. Das zeigt eine aktuelle bevölkerungsrepräsentative Umfrage des Markt-…

Auch SaaS-Lösungen benötigen Backups

Für viele Unternehmen sind Software-as-a-Service-Lösungen inzwischen geschäftskritisch. Deshalb sollten sie auch das gleiche Schutzniveau genießen, wie Nicht-SaaS-Dienste. In der Realität ignorieren viele Unternehmen jedoch die Gefahr, dass die Daten auf ihrer vertrauten Cloud-Plattform bedroht sein könnten. Um diese Dienste entsprechend abzusichern, sollten Unternehmen benutzerfreundliche Sicherungslösungen für SaaS-Dienste einsetzen.   Viele SaaS-Lösungen sind nicht ausreichend abgesichert.…

Veeam kündigt Backup-as-a-Service für Microsoft 365 und Microsoft Azure an

Die neuen Angebote verbinden die Leistungsfähigkeit und Zuverlässigkeit von Veeam for Backup and Replication mit erhöhter Verwaltungs- und Bereitstellungsflexibilität.   Veeam Software, Anbieter von Lösungen für Datensicherung und Disaster Recovery, hat zwei neue Angebote angekündigt, die das Vertrauen und die Zuverlässigkeit der Backup- und Restore-Funktionen von Veeam mit der Benutzerfreundlichkeit von Backup-as-a-Service (BaaS) kombinieren. Cirrus…

World Backup Day: Schlüsselfaktoren moderner Datensicherung in Unternehmen

Seit der Einführung des Welt-Backup-Tags im Jahr 2011 haben sich Technologie und die damit verbundenen Daten weiterentwickelt. Dies zu beachten, gilt insbesondere für Unternehmen, die sich mehr denn je auf den Schutz und die Sicherung ihrer Daten in immer komplexeren IT-Umgebungen konzentrieren müssen. Woran sollten Unternehmen daher im Rahmen des World Backup Day denken?  …

Unverzichtbar für Cyber-Recovery: 3-2-1-1-Prinzip und unveränderlicher Speicher – Wiederherstellung ist das Wichtigste

Laut dem Sicherheitsbericht des BSI ist die Lage in Bezug auf die Cybersicherheit kritisch [1]. Im letzten Jahr wurden 144 Millionen neue Schadprogrammvarianten entdeckt, das sind 22 Prozent mehr als 2021 und entspricht einem Durchschnitt von 553.000 Schadsoftware-Varianten pro Tag. Unternehmen sind daher aufgefordert, für eine zuverlässige Datensicherheit sorgen. Das Mindeste sollte ein zuverlässiges Backup sein, um im Falle eines Angriffs alle Daten möglichst schnell, vollständig und aktuell wiederherstellen zu können.

Priorität auf Wiederherstellung legen, nicht auf Backup

Angesichts der zunehmenden Verbreitung von Cyberangriffen benötigen Unternehmen eine moderne Datensicherungsstrategie, die kritische Systeme schützt und auch so schnell wie möglich wiederherstellt.   Die Welt der Datensicherungslösungen ist voll von Versprechungen verschiedener Anbieter zur Verhinderung und Erkennung von Ransomware und der Wiederherstellung nach einem Angriff. Ein Unternehmen hat sogar eine 5-Millionen-Dollar-Garantie für die Wiederherstellung von…

Ransomware: Backup allein ist keine Sicherheitsstrategie

Viele Unternehmen denken, ihre Datensicherung schütze sie gegen Ransomware. Die verlockend einfache Logik dahinter: Wenn man alle Daten wiederherstellen kann, ist man nicht erpressbar. Das ist aber zu kurz gedacht: Denn auch bei erfolgreicher Wiederherstellung nach einem Angriff können sensible Informationen wie Kundendaten oder geistiges Eigentum gestohlen worden sein. Zudem bleibt die Angriffsgefahr bestehen: Hacker…

Backup und Erpresser-Software – Der aktuelle Ransomware Threat Report

Am heutigen World Backup Day rückt das Thema Ransomware mehr denn je in den Fokus, ist sie doch ein Haupttreiber für die Modernisierung der Backup-Lösungen in vielen Unternehmen. Palo Alto Networks und das Crypsis Incident Response Team haben sich zusammengetan, um die Ransomware-Bedrohungslandschaft im Jahr 2020 zu analysieren. Der jüngste Ransomware Threat Report, der vor…

Backup-Strategie: So werden Sie immun gegen Spott und Hohn

Die Datensicherheit ist in vielen Unternehmen in erbärmlichem Zustand. Ein Weckruf und eine Anleitung in fünf Schritten, um das zu ändern.   Im privaten Umfeld hat wohl jeder schon eine Anekdote gehört, die vom plötzlichen Tod einer Laptop-Festplatte erzählt, verursacht durch ein umgekipptes Wasserglas, einen Sturz des Geräts oder einfach so, wegen Altersschwäche. Die spontane…