Backup von Entra ID: Unverzichtbar für das Risikomanagement
Was passiert im Tagesgeschäft eines Unternehmens, falls Entra ID (vormals Azure Active Directory) nicht mehr funktioniert? Wie lange würde die Wiederherstellung dauern – und wäre man überhaupt in der Lage, sich von diesem Ausfall vollständig zu erholen? Die Antwort von Doc Storage ist eindeutig.
Leserfrage: Was würde im Tagesgeschäft eines Unternehmens geschehen, falls Entra-ID (vormals Azure Active Directory) nicht mehr funktionieren würde? Wie lange würde die Wiederherstellung dauern – und wären man überhaupt in der Lage, sich von diesem Ausfall vollständig zu erholen?
Kommentar Doc Storage:
Heutige CIOs, CISOs und andere DV-Führungskräfte haben mannigfaltige Aufgaben. Angesichts der weltweit rasanten Zunahme von Cyberkriminalität – insbesondere der Angriffe durch Schad-Software – und darüber hinaus gelegentlichen Ausfällen von Cloud-Diensten ist das Risikomanagement in Unternehmen unverzichtbar geworden. DV-Experten sehen endlich ein, dass der Schutz von in Cloud-Diensten gespeicherten Daten – im Rahmen eines Modells der geteilten Verantwortung – Aufgabe des Kunden und eben nicht die des Cloud-Anbieters ist. Vergleichsweise wenige Kollegen machen sich jedoch klar, dass die Unterlassung oder der aktive Verzicht auf Backups der in Identitäts- und Zugriffsverwaltungsdiensten (IAM) benötigten Daten ein nicht hinnehmbares Geschäftsrisiko darstellt.
Noch viel zu viele Unternehmen und Organisationen werden früher oder später auf die unsanfte Tour feststellen, dass das Verzichten eines Backups der Entra ID (ehemals Azure AD) kostspielige, möglicherweise existenzgefährdende Folgen haben kann.
Microsoft Entra ID ist der cloudbasierte IAM-Dienst von Microsoft. Mit der Verwaltung von momentan weit mehr als einer Milliarde Identitäten und der Abarbeitung von über acht Milliarden Authentifizierungen pro Tag ist Entra ID ein grundlegendes Element der Infrastruktur in unzähligen Firmen und Organisationen – von kleinsten bis hin zu den größten der Welt.
Entra ID dient als universelle Plattform zur Verwaltung und Sicherung von Identitäten und hilft Nutzern, sich anzumelden und darauf zuzugreifen. Und dies sowohl auf externe Ressourcen (z. B. Microsoft 365, einschließlich SharePoint, Teams, OneDrive und Exchange) oder das Azure-Portal und andere SaaS-Anwendungen, als auch auf interne Ressourcen wie Anwendungen im Unternehmensnetzwerk und Intranet sowie alle von den einzelnen Organisationen entwickelten Cloud-Apps. Hinter den Kulissen verwenden DV-Administratoren Entra ID, um den Zugriff auf Anwendungen basierend auf den Besonderheiten der Rolle eines jeden Benutzers und den einschlägigen Geschäftsanforderungen zu steuern. Oder, wie Microsoft selbst sagt: »Entra ID kann beispielsweise verwendet werden, um beim Zugriff auf wichtige Ressourcen eine Multi-Faktor-Authentifizierung zu erzwingen.
Darüber hinaus lässt sich Entra ID verwenden, um die Benutzerbereitstellung zwischen vorhandenen Windows-Servern mit Active-Directory und Cloud-Apps (z. B. Microsoft 365), zu automatisieren. Zusätzlich bringt Entra ID leistungsstarke Werkzeuge mit, mit denen Benutzeridentitäten und Anmeldeinformationen automatisch geschützt und an die jeweiligen Anforderungen an die Zugriffsverwaltung angepasst werden können.«
Kurz gesagt – Entra ID wird immer mehr ist Teil der Infrastruktur aller Arten von Organisationen. Und wie bei jeder Infrastruktur können sehr schnell Desaster passieren, wenn diese – oder nur ein Teil dieser – nicht mehr funktionieren.
Was würde also passieren, wenn Entra ID kompromittiert würde? Wenn IAM-Dienste wie vorgesehen funktionieren, bemerkt man diese kaum – insbesondere mit modernen Annehmlichkeiten wie Single Sign-On (SSO). Vielleicht stößt man gelegentlich auf die Aufforderung einer Multi-Faktor-Authentifizierung (MFA), aber in den meisten Fällen ist die gesamte Funktionalität hinter den Kulissen für den Endbenutzer nicht transparent.
Ohne Intra ID geht nichts mehr
Aber was wäre, wenn diese Funktionalität aufgrund eines Ausfalls, eines Angriffs oder einer anderen Unterbrechung plötzlich nicht mehr zur Verfügung stünde?
Wir müssen nicht spekulieren, denn das US-Justizministerium schildert die Erfahrung eines in Kalifornien ansässigen Unternehmens, welches Opfer eines Vergeltungsangriffs. Bei diesem sabotierte ein ehemaliger DV-Berater die O365-Benutzerkonten des Unternehmens nachhaltig.
Der Angriff betraf den Großteil der Mitarbeiter und führte dazu, dass das gesamte Unternehmen mehr als zwei Tage lang vollständig lahmgelegt wurde. Wie der Vizepräsident für Informationstechnologie des Unternehmens damals erklärte, waren Auswirkungen sowohl innerhalb als auch außerhalb des eigenen Netzes zu spüren. Die Konten aller Mitarbeiter wurden gelöscht, damit hatten sie keinen Zugriff mehr auf ihre E-Mails, ihre Kontaktlisten, ihre Besprechungskalender, ihre Dokumente, die Netzwerkverzeichnisse, Video- und Audiokonferenzen oder die für die tägliche Arbeit erforderliche Virtual-Teams-Umgebung. Von außen konnten demnach Kunden, Lieferanten und Verbraucher die Mitarbeiter des Unternehmens nicht erreichen (und natürlich umgekehrt). Niemand konnte die Kunden, Partner, Händler oder Interessenten darüber informieren, was vor sich ging oder wann man wieder betriebsbereit sein würde.
Dummerweise blieben die Probleme auch nach diesen fast drei Tagen bestehen. Mitarbeiter erhielten keine Einladungen oder Absagen zu Besprechungen, die Kontaktlisten der Mitarbeiter konnten nicht vollständig neu erstellt werden und betroffene Kollegen konnten nicht mehr auf Ordner zugreifen, mit denen sie vorher gearbeitet hatten. Ein DV-Dienstleister musste über mehrere Monate immer wieder eine Vielzahl von Problemen lösen. Der betroffene Vizepräsident schloss mit der Aussage, in seinen über 30 Jahren in der DV wäre er noch nie so lange in einer so schwierigeren und anstrengenderen Arbeitssituation gewesen.
Um es noch einmal zusammenzufassen:
- das Unternehmen wurde praktisch für über zwei Tage – vollständig! – lahmgelegt;
- alle Beteiligten waren betroffen – intern so wie extern;
- die letzte Langzeitfolge konnte erst nach fast 150 Tagen behoben werden.
Und all dies war »nur« das Ergebnis der Aktivitäten eines verärgerten Ex-Kollegen. Es ist nicht schwer sich ein Szenario vorzustellen, in dem ein weitaus raffinierterer Ransomware-Angriff wesentlich größere Folgen gehabt hätte.
Wie lässt sich eine solche Katastrophe vermeiden?
Erstens ist es für das verantwortliche Personal wichtig zu erkennen, dass der M365-Papierkorb nie als »Wiederherstellungslösung« auf Unternehmensebene gedacht war. Des Weiteren kann sich die individuelle Vorstellung von Disaster-Recovery erheblich von der von Microsoft unterscheiden.
Um bei Ausfällen, Kompromittierungen und Fehlkonfigurationen von Entra ID widerstandsfähig zu sein, muss eine Organisation in der Lage sein, Active-Directory-Daten schnell und einfach zu durchsuchen und darauf zuzugreifen, sowohl zur Verwendung während der Wiederherstellung als auch zur Beschleunigung der Wiederherstellung selbst.
Da es eine solche Lösung von Microsoft nicht oder nur sehr eingeschränkt gibt, erfordert echtes Risikomanagement eine Backup-Lösung eines Drittanbieters, welche
- Benutzer und Gruppen durch die Bereitstellung einer Snapshot-basierten Wiederherstellung und einer zeitleistenbasierten Vergleichsanalyse schützt;
- Rollen und Berechtigungen beibehält, mit Änderungsverfolgung und einfachen Vergleichen;
- Compliance und eDiscovery ermöglicht, beispielsweise durch die Erfassung von Prüf- und Anmeldeprotokollen, die Unterstützung einer Protokollanalyse, die Gewährleistung einer langfristigen Aufbewahrung und das Ermöglichen der Wiederherstellung an anderer Stelle;
- das Wachstum von Richtlinien und Geräten berücksichtigt, indem Geräteinformationen und Richtlinien für den bedingten Zugriff erhalten bleiben.
Auch hier gehen die Anforderungen weit über die Funktionalität des Microsoft-Backup hinaus, da es sich hier um viel umfassendere Funktionen handelt. Man wird also nicht umhinkommen, sich am Markt nach einem entsprechenden Werkzeug umzuschauen. Nochmal – mit den Microsoft-Lösungen allein kann DV-Sicherheit nicht hergestellt werden.
Gruß
Doc Storage