Datensicherheit durch Tiering – Schutz auf jeder Ebene
9002
post-template-default,single,single-post,postid-9002,single-format-standard,bridge-core-3.3.1,,qode-title-hidden,qode-child-theme-ver-1.0.0,qode-theme-ver-30.8.3,qode-theme-bridge,disabled_footer_top,qode_header_in_grid,qode-wpml-enabled,wpb-js-composer js-comp-ver-8.1,vc_responsive

Datensicherheit durch Tiering – Schutz auf jeder Ebene

In diesem Artikel geben wir Ihnen einen genaueren Einblick in die Bedeutung von Microsoft Tiering für Ihre IT-Sicherheit. Wir haben uns die zugrunde liegenden Probleme sowie die kritischen Bereiche und Systeme angesehen, die geschützt werden müssen, um Totalverluste bei einem Cyberangriff zu verhindern. Diese Probleme sind uns durch aktuelle und vergangene Kundenprojekte nur zu gut bekannt. Zudem beleuchten wir die Praxis von Microsoft Tiering und zeigen, wie Unternehmen ihre Infrastrukturen effektiv absichern können. Außerdem gehen wir auf Best Practices ein und geben Handlungsempfehlungen für den erfolgreichen Einsatz von Tiering. In einem weiterführenden Webinar zu diesem Thema erhalten Sie Hands-On Beispiele und Empfehlungen von unserem Co-Geschäftsführer Fabian Böhm.

Kurzer Überblick: Was ist Microsoft Tiering?

Microsoft Tiering ist ein Sicherheitsansatz, der IT-Systeme in unterschiedliche Ebenen (Tiers) unterteilt, um sie basierend auf ihrer Kritikalität zu schützen. Der Ansatz bietet eine klare Trennung zwischen hochkritischen Systemen und weniger wichtigen IT-Ressourcen, um potenziellen Angreifern den Zugriff auf das gesamte Netzwerk zu erschweren.

Probleme, die Microsoft Tiering lösen kann

Im alltäglichen IT-Betrieb sehen wir häufig, dass Unternehmen Schwierigkeiten haben, ihre Systeme wirksam zu trennen. Angreifer nutzen genau diese Schwachstellen, um:

    • Identitätssysteme zu kompromittieren(z.B. Active Directory).
    • Hochprivilegierte Konten zu übernehmen, um vollständige Kontrolle über die gesamte IT-Infrastruktur zu erlangen.
    • Durch lateral movement im Netzwerk immer mehr Zugriffsrechte zu gewinnen, bis sie die kritischen Systeme erreichen.

Dies führt zu einem Totalverlust, der oft Jahre der Wiederherstellung erfordert. Microsoft Tiering soll genau dieses Szenario verhindern, indem es strikte Sicherheitszonen definiert.

Die Struktur von Microsoft Tiering: Die Tiers

Tier 0: Hochkritische Systeme

Hierunter fallen Systeme, die die gesamte IT-Infrastruktur kontrollieren, wie z.B.:

    • Domain Controller
    • Identitätsserver (Azure AD Connect, Identity Sync, Federation Provider)
    • Zertifizierungsstellen

Diese Systeme müssen besonders gut geschützt werden, da ihr Verlust schwerwiegende Folgen für die gesamte Infrastruktur hätte.

Tier 1: Server-Systeme

In Tier 1 befinden sich wichtige Serversysteme, die für den Betrieb essenziell, aber keine Auswirkung auf die gesamte IT-Landschaft haben, z.B.

    • Applikationsserver (z.B. SharePoint, Printserver)
    • Datenbankserver

Die Verwaltung dieser Server ist sensibel, aber nicht so strikt wie bei Tier-0-Systemen.

Tier 2: Endbenutzergeräte

Tier 2 umfasst alle Systeme, die Endbenutzer verwenden:

    • PCs, Laptops
    • Mobile Geräte
    • Drucker, Scanner

Diese Systeme haben weniger Privilegien und stellen das unterste Sicherheitsniveau dar.

Die Praxis von Microsoft Tiering: Schutz durch klare Trennung

Nachdem wir nun kurz die Grundlagen des Microsoft Tierings besprochen haben, widmen wir uns nun der praktischen Anwendung und den Schritten, die notwendig sind, um das Tiering-Modell erfolgreich umzusetzen. Wir zeigen, welche Maßnahmen Unternehmen ergreifen können, um ihre IT-Infrastruktur effektiv zu schützen.

Schwachstellen durch unklare Strukturen

In vielen Unternehmen sind historische Strukturen und Berechtigungen, sogenannte „Altlasten“, über Jahre gewachsen und schwer nachvollziehbar. Diese Altlasten bergen erhebliche Risiken. Ein Beispiel hierfür wird in unserem Webinar noch deutlicher erklärt.

Angriffswege identifizieren und isolieren

Der erste Schritt zur Verbesserung der Sicherheit besteht darin, Fehlkonfigurationen zwischen den Tiers zu erkennen und zu beseitigen. Das geht mit einer sogenannten Angriffspfadanalyse (engl. Attack-Path-Management).Ein Pfad besteht z.B. aus Benutzer A der Berichtigungen auf Objekt B hat. Objekt B hat wiederum Berechtigungen auf Benutzer C.

Das bedeutet, dass Benutzer A auch Berechtigungen auf Benutzer C hat. Genau hier setzt auch Tiering an, in dem in der gesamten Umgebung wichtige bzw. kritische Systeme isoliert, speziell geschützt und nicht gewollte Angriffspfade beseitigt werden.

Einführung von Security Controls und Policies

Sobald die strukturellen Änderungen umgesetzt wurden, sollten technische Schutzmaßnahmen eingeführt werden, die sicherstellen, dass die Tiers effektiv voneinander isoliert bleiben.

Anmelderestriktionen implementieren

Eine wichtige Maßnahme ist die Einführung von Login-Restriction-Policies, die verhindern, dass sich hochprivilegierte Benutzer (Tier 0) an weniger kritischen Systemen (Tier 1 oder Tier 2) anmelden können. Dies verhindert, dass Anmeldedaten von T0 Konten hinterlassen werden und ein kompromittiertes System aus einer niedrigeren Ebene auf höherwertige Systeme zugreifen kann.

Einsatz von LAPS (Local Administrator Password Solution)

Auch der Einsatz von LAPS ist nach wie vor eine Empfehlung. Es sorgt dafür, dass jedes System ein individuelles Administrator-Passwort hat, das sicher in Active Directory gespeichert wird. Dadurch wird verhindert, dass Systeme identische Passwörter verwenden und ein kompromittierter lokaler Administrator-Account übergreifende Schäden verursachen kann.

Daneben gibt es noch weitere Security Controls auf die wir auch in unserem Webinar genauer eingehen. Um ganz konkret aufzuzeigen wie Tiering umgesetzt werden kann, haben wir vier Phasen für ein Tiering-Projekt definiert.

Die Umsetzung eines Tiering-Projekts: Vier Phasen zum Erfolg

Die Einführung von Tiering in einer bestehenden IT-Umgebung erfordert einen strukturierten Ansatz, der in vier Hauptphasen unterteilt wird:

1. Vorbereitung: Angriffspfadanalyse und Klassifizierung

Der erste Schritt ist die Analyse der Angriffspfade in der bestehenden Umgebung. Tools wie Bloodhound können helfen, die potenziellen Wege eines Angreifers durch die Infrastruktur zu identifizieren. Danach werden die Systeme und Benutzer in die verschiedenen Tiers klassifiziert, wobei eng mit den Verantwortlichen im Unternehmen zusammengearbeitet wird.

2. Schutzmechanismen implementieren

Nach der Klassifizierung werden technische Schutzmaßnahmen eingeführt. Dazu gehören Anmelderestriktionen, LAPS sowie die Integration hochprivilegierter Konten in die „Protected-Users“-Gruppe in Active Directory. Spezifische Passwort-Richtlinien für kritische Konten (z. B. Service-Accounts) müssen ebenfalls definiert werden.

3. Migration und Neuzuordnung der Berechtigungen

In dieser Phase erfolgt die eigentliche Migration der Benutzer und Systeme in die entsprechenden Tiers. Dies beinhaltet eine sorgfältige Überprüfung der bestehenden Berechtigungen und sicherzustellen, dass nur autorisierte Benutzer Zugang zu sensiblen Systemen haben.

4. Validierung und kontinuierliche Kontrolle

Abschließend wird eine erneute Angriffspfadanalyse durchgeführt, um sicherzustellen, dass keine neuen Schwachstellen bestehen. Regelmäßige Überprüfungen sind entscheidend, um sicherzustellen, dass die IT-Umgebung dauerhaft geschützt bleibt.

Herausforderungen bei der Einführung des Tiering-Modells

Die Einführung von Tiering ist nicht nur eine technische, sondern auch eine organisatorische Herausforderung. Es erfordert klare Verantwortlichkeiten und eine enge Zusammenarbeit zwischen den Abteilungen. Dabei ist es entscheidend, die Beteiligten frühzeitig einzubinden und sicherzustellen, dass sie die Notwendigkeit der Maßnahmen verstehen.

Empfehlungen für den Einstieg

Zum Abschluss geben wir noch einige Tipps für den Einstieg in ein Tiering-Projekt:

      1. Angriffspfadanalyse durchführen: Nutzen Sie Tools wie BloodHound, um eine erste Analyse Ihrer IT-Umgebung durchzuführen.
      2. Hochprivilegierte Konten identifizieren: Definieren Sie, wer Zugriff auf kritische Systeme benötigt, und begrenzen Sie den Zugang auf das notwendige Minimum.
      3. Planung und Kommunikation: Planen Sie die Einführung des Tiering-Modells gründlich und stellen Sie sicher, dass alle Beteiligten involviert sind.

Das Microsoft Tiering-Modell bietet eine robuste Grundlage, um die IT-Sicherheit zu erhöhen und Angriffswege zu minimieren. Durch eine klare Trennung der Systeme in verschiedene Tiers und die Implementierung von Schutzmaßnahmen können Unternehmen ihre IT-Infrastruktur wirksam gegen Cyberangriffe absichern. Die Umsetzung mag anspruchsvoll sein, aber der langfristige Nutzen überwiegt die Herausforderungen bei weitem. Und jetzt ab in unser Tiering-Webinar 😊. Hier gibt es weitere Infos und den direkten Kontakt zu uns: Tiering

Sie möchten mehr zum Blogbeitrag erfahren und sich mit einem Experten von TEAL dazu austauschen, dann buchen Sie ein Beratungsgespräch

LATEST POSTS