„Stand der Technik“ – TEIL 2

In unserer zweiteiligen Serie möchten wir auf die aktuelle Handreichung des TeleTrusT Arbeitskreises eingehen und unsere Sicht darstellen. Dies ist der zweite Teil der Serie in der wir auf diese Themen eingehen:

• • 2.29 Überwachung von Verzeichnisdiensten und identitätsbasierte Segmentierung
  • 2.31 Cloud-Sicherheitsplattform
  • 3.9 Absicherung privilegierter Benutzerkonten
  • 3.17 Geschäftskontinuitäts-Management (BCM)
  • 3.18 Notfall- und Krisenmanagement
  • 3.20 Technische Sicherheitsüberprüfung

Im ersten Teil der Serie haben wir folgende Themen beleuchtet:

• • Passwortmanagement
  • 2.5 Verschlüsselung von Datenträgern
  • 2.8 Schutz des elektronischen Datenverkehrs mit PKI
  • 2.21 Systemhärtung
  • 2.28 Absicherung administrativer IT-Systeme

Aber jetzt geht es los… 😊

Weitere relevante Bausteine für die IT-Sicherheit

(3.2.29) Überwachung von Verzeichnisdiensten und identitätsbasierte Segmentierung

Viele erfolgreiche Cyberangriffe – ob durch staatlich motivierte Gruppen oder professionelle Cyberkriminelle – haben eines gemeinsam: sie nutzen kompromittierte Benutzerkonten. Häufig beginnt der Angriff mit einem einzigen Zugang, etwa durch geleakte Zugangsdaten oder schwach abgesicherte Service-Konten, und endet mit der vollständigen Kompromittierung der Umgebung – oft ganz ohne Malware.

Besonders im Fokus stehen dabei Verzeichnisdienste wie Microsoft Active Directory oder EntraID. Angreifer übernehmen zunächst ein vermeintlich unwichtiges System und breiten sich immer weiter aus.

Lautlos und teilweise automatisiert erweitern sie sukzessive die Berechtigungen – sogenanntes Lateral Movement. Bis die höchsten Rechte erreicht wurden und die gesamte Umgebung kompromittiert ist.

Daher gilt: Die Überwachung von Verzeichnisdiensten, sowie eine intelligente, identitätsbasierte Segmentierung der Infrastruktur, gehören heute zu den wichtigsten Schutzmaßnahmen.

Diese Maßnahme richtet sich gezielt gegen:

• • Angriffe mit erbeuteten oder im Darknet gehandelten Zugangsdaten – ganz ohne Schadcode.
  • Die Ausnutzung von Schwachstellen in Verzeichnisdiensten und schlecht geschützten Service Accounts.
  • Die unbemerkte Ausbreitung von Angreifern durch Berechtigungsvererbung und fehlerhafte Zugriffspfade.
  • Den Missbrauch von privilegierten Konten, inklusive Rechteausweitung und Identitätswechsel.

Identitäten trennen & Risiken begrenzen

Das in der Praxis bewährte Tiering-Modell von Microsoft, hilft dabei genau diese Angriffsvektoren zu entschärfen. Dabei wird die Infrastruktur logisch und technisch in drei Sicherheitszonen (Tiers) unterteilt:

• • Tier 0 schützt die Identitätsverwaltung und weitere kritische Systeme – etwa Domain Controller, PKI-Systeme oder Backup-Server.
  • Tier 1 umfasst Unternehmensanwendungen wie Datenbanken oder Fileserver.
  • Tier 2 enthält alle Endgeräte und Benutzerkonten für Office-Tätigkeiten, Internet oder E-Mail.

Ziel des Modells ist es, kritische Konten und Systeme voneinander zu isolieren – durch getrennte Administrationswege, Benutzerkonten und Anmeldepfade. So lassen sich im Ernstfall die Auswirkungen eines Angriffs gezielt eingrenzen. Eine Kompromittierung in Tier 2 bleibt damit in Tier 2 – und gefährdet nicht sofort die gesamte Infrastruktur.

Ergänzt wird das Modell durch eine kontinuierliche Überwachung der Verzeichnisdienste, mit Fokus auf ungewöhnliche Anmeldeversuche, Rechteveränderungen oder verdächtige Zugriffsmuster – auch dann, wenn Angreifer legitime Zugangsdaten nutzen und klassische Endpoint-Schutzsysteme versagen.

Wer seine Identitäten und Verzeichnisdienste nicht segmentiert und überwacht, riskiert im Ernstfall den vollständigen Kontrollverlust. Durch die Kombination aus intelligenter Rechteaufteilung (Tiering) und kontinuierlichem Monitoring helfen die Angriffsfläche spürbar zu reduzieren – und selbst raffinierte Identitätsangriffe frühzeitig zu stoppen. Konkrete Hilfestellung bei der Einführung eines Tieringmodell bieten unsere Blog Artikel und Webinare.

Interessant dabei: Im aktuellen TeleTrusT-Report 2025 bleibt die Maßnahme auf hohem Niveau bewertet, sowohl hinsichtlich der Bewährung in der Praxis als auch der Anerkennung durch Fachexperten.

(3.2.31) Cloud-Sicherheitsplattform

Die Nutzung von Cloud-Lösungen gehört für die meisten Unternehmen inzwischen zum Alltag. Sie ist das Ergebnis zahlreicher Cloud-First-Initiativen und des Bestrebens, IT-Dienste schneller bereitzustellen, flexibel zu skalieren und gleichzeitig Kosten zu reduzieren. In der Praxis haben sich jedoch gerade die erhofften Kosteneinsparungen nicht immer realisiert – nicht zuletzt vor dem Hintergrund aktueller geopolitischer Spannungen und der zunehmenden Bedeutung von Datensouveränität.

Trotzdem sind Cloud-Dienste heute fester Bestandteil moderner IT-Architekturen. Umso wichtiger ist es, sicherzustellen, dass sowohl der jeweilige Cloud-Tenant als auch die genutzten Services sicher konfiguriert und betrieben werden. Eine hilfreiche Orientierung bieten hier beispielsweise die Härtungsempfehlungen des Center for Internet Security (CIS), das auch im Kapitel zur Systemhärtung thematisiert wurde.

Die Maßnahme der Cloud-Sicherheitsplattform deckt alle drei Bereiche einer Security-Strategie ab (Verfügbarkeit, Integrität und Vertraulichkeit).

TeleTrusT fordert folgende Maßnahmen mindestens umzusetzen:

• • Prüfung von Infrastructure-as-Code vor der Bereitstellung von Ressourcen (Compliance, Fehlkonfigurationen (IaC / Code Security)
  • Compliance-Prüfung und Erkennung von Fehlkonfigurationen in Cloud (CSPM) gegen relevante Compliance und Recommended Best Practices Frameworks
  • Priorisierte Schwachstellenanalyse von der Entwicklung bis zur Laufzeit (Vulnerability Management)
  • Darstellung von möglichen Angriffspfaden, Verkettung von Schwachstellen, Berechtigungsschlüssel und Fehlkonfigurationen (CASM)
  • Inventarisierung von Cloud-Infrastrukturkomponenten
  • Prüfung von Berechtigungen (CIEM)
  • Verhaltensanalyse und frühzeitige Erkennung schädlicher Aktivitäten innerhalb von Cloud Accounts (UEBA)
  • Unmittelbare Erkennung von schädlichen Aktivitäten durch Sensorik innerhalb aktiver Workloads, inkl. Malwareerkennung und File Integrity Monitoring (CWPP)

Ein guter erster Schritt, ist die Überprüfung des aktuellen zustanden. In unserem Cloud Security Assessment greifen wir nicht nur die Empfehlungen des TeleTrusT auf, wir prüfen insbesondere:

• • Know-How Transfer, um das Vorgehen von Angreifern sowie Schutzmechanismen zu verstehen.
  • Überprüfung des Schutzes der Identitäten und damit auf ausgewählte Ressourcen und deren Konfiguration, z.B. Key Vaults
  • Generell bieten Azure Policies eine technische Möglichkeit zur Umsetzung; sofern der Kunde davon bereits Gebrauch macht, stehen auch uns die entsprechenden Compliance Berichte zur Verfügung, die wir analysieren können.
  • Prüfung der Defender KPIs und die Frequenz/Qualität der Bearbeitung von gefundenen Schwachstellen zur Laufzeit
  • Darstellung von möglichen Angriffspfaden, Verkettung von Schwachstellen, Berechtigungsschlüssel und Fehlkonfigurationen (CASM). Sollten Fehlkonfigurationen festgestellt werden, wird im Rahmen der Vorstellung des Assessment Reports nochmal detailliert auf den daraus entstehenden Angriffspfad eingegangen
  • Qualität der Inventarisierung von Cloud-Infrastrukturkomponenten
  • Prüfung von Berechtigungen (CIEM)
  • Verhaltensanalyse und frühzeitige Erkennung schädlicher Aktivitäten innerhalb von Cloud Accounts (UEBA), insbesondere Log Forwarding, Einsatz von SIEM (z.B. Sentinel), Besetzung des SOC
  • Prüfung von eingesetzten Risiko-basierten Conditional Access Polices (Risikobewertung durch Microsoft aufgrund Benutzerverhalten)
  • Wir prüfen generell den Einsatz der Defender Produkte bzw. von Produkten, die einen vergleichbaren Funktionsumfang bieten, um diese Anforderung abzudecken

Sprechen Sie uns an und finden heraus, wie ihr Cloud-Tenant abgesichert ist.

(3.3.9) Absicherung privilegierter Benutzerkonten

Die Absicherung von privilegierten Benutzerkonten bleibt weiterhin eine dringliche Maßnahme, die es umzusetzen gilt:

Wir stellen immer wieder in Security Assessments fest, dass Berechtigungen in den Infrastrukturen der Unternehmen historisch gewachsen sind, nicht oder nicht ausreichend dokumentiert und es keine gelebten Prozesse gibt, die Rechtevergabe und den Entzug von Berechtigungen steuert. Unternehmen sind damit überfordert genau zu definieren, wer welche Rechte benötigt und dies auch technisch abzubilden. PAM-Systeme können dabei unterstützen, jedoch muss auch hier definiert werden, wer auf was zugreifen soll. Daneben müssen Service Konten einem Besitzer zugeordnet werden. Dieser wiederum muss die benötigten Zugriffe festlegen.

Zusammenfassend muss die Maßnahme folgendes sicherstellen:

• • Es müssen Richtlinien und Regelungen für die Nutzung und den Umgang mit administrativen Berechtigungen und Accounts festgelegt werden
  • Es muss eine restriktive Berechtigungsstrategie verfolgt werden, nach welcher ein Zugriff auf Ressourcen grundsätzlich untersagt ist, wenn dieser nicht explizit erlaubt bzw. freigegeben wurde.
  • Für die Vergabe von administrativen Berechtigungen müssen das Need-to-know- und das Least- Privilege-Prinzip beachtet werden
  • Die Vergabe von administrativen Berechtigungen ist in einem definierten und kontrollierten Prozess durchzuführen, bei welchem eine Anforderung genehmigt und dokumentiert wird.
  • Jedes administrative Benutzerkonto muss eindeutig einer Person zuordenbar sein. Bei Funktionsbenutzern muss dennoch ein Verantwortlicher dokumentiert werden.
  • Bei einer Vergabe von temporären administrativen Berechtigungen müssen diese eine zeitliche /logische Beschränkung haben und müssen bei Wegfall der Notwendigkeit wieder entzogen werden
  • Es ist eine aktuelle und vollständige Dokumentation aller administrativen Accounts mit ihren jeweiligen Berechtigungen zu verwalten.

Wer kein PAM-System im Einsatz hat, kann sich auch mit einer simplen Excel-Liste behelfen und so die hoch-privilegierten Benutzer dokumentieren. Wir setzen solche Listen gerne im Tier0 Bereich oder bei kleineren Kunden ein.

Es ist jedoch unerlässlich zu beginnen Rollen zu definieren und deren Berechtigungen festzulegen. Ist dies erledigt so können Benutzer eben diesen Rollen zugeordnet werden. Erst nach erfolgter Genehmigung werden die Benutzer den Rollen hinzugefügt. Abgerundet wird der Vorgang durch eine kontinuierliche Prüfung (z.B. jährlich) in der festgestellt wird, ob Berechtigungen weiterhin benötigt oder entfernt werden können.

(3.3.17) Geschäftskontinuitäts-Management (BCM)

Unternehmen, die auf Krisen vorbereitet sind, sichern nicht nur ihre Geschäftsprozesse, sondern auch ihre Existenz. Genau hier setzt das Business Continuity Management (BCM) an.

BCM ist kein reaktives Notfalltool, sondern ein strategischer, systematischer Ansatz, mit dem sich Unternehmen gezielt auf Ausfälle vorbereiten und dafür sorgen, dass zeitkritische Geschäftsprozesse auch unter widrigen Bedingungen aufrechterhalten oder schnell wiederhergestellt werden können.

Das Ziel: Minimierung von Ausfallzeiten, Schutz vor Reputations- und Finanzschäden – und die Stärkung der organisatorischen Resilienz.

Was gehört zu einem funktionierenden BCM?

Ein effektives Business Continuity Management System (BCMS) besteht aus mehreren Bausteinen:

1. 1. Risikobewertung & Bedrohungsanalyse
      Welche Gefahren sind für Ihr Unternehmen realistisch – und wie stark könnten sich diese auswirken? Diese Analyse bildet die Grundlage für alle weiteren Maßnahmen.

1. 2. Business Impact Analysis (BIA)
      Welche Prozesse sind kritisch für den Betrieb? Wie lange können sie ausfallen, ohne ernste Folgen? Die BIA hilft, Prioritäten zu setzen und die Wiederanlaufstrategie sinnvoll zu planen.

1. 3. Strategieentwicklung & Rollenklärung
      Welche Maßnahmen müssen im Ernstfall greifen? Wer ist verantwortlich? Effektives BCM braucht klare Strukturen – und Mitarbeitende, die ihre Aufgaben im Krisenfall kennen und ausführen können.

1. 4. Umsetzung & Testen
      Pläne allein reichen nicht: Notfallstrategien müssen praktisch umgesetzt, getestet und regelmäßig aktualisiert werden – anhand von Tests, Simulationen und echten Vorfällen.

(3.3.18) Notfall- und Krisenmanagement

Wenn Systeme ausfallen, Daten verschlüsselt werden oder ein Angriff die gesamte Infrastruktur trifft, zählt jede Minute. Doch nicht jeder Vorfall ist gleich – und deshalb braucht es unterschiedliche Strategien, um richtig zu reagieren. Genau hier kommen Notfall- und Krisenmanagement ins Spiel.

Das Notfallmanagement zielt darauf ab, bei akuten IT-Störungen wie Cyberangriffen, Systemausfällen oder technischen Fehlern schnell und effektiv zu handeln. Der Fokus liegt auf der Minimierung Auswirkungen und der schnellen Wiederherstellung des Geschäftsbetriebs – mit klaren Abläufen, Zuständigkeiten und Entscheidungswegen.

Krisenmanagement greift immer dann, wenn ein Ereignis größere Tragweite hat – oder wenn aus einem IT-Notfall eine unternehmensweite Krise wird. Hier geht es nicht nur um operative Maßnahmen, sondern um strategisches Krisenhandeln: Kommunikation, Führung, Schutz von Menschen, Assets und der Reputation.

Damit aus Chaos keine Panik wird, braucht es ein strukturiertes Vorgehen:

1. 1. Lagefeststellung – Was ist passiert?
   2. Lagebewertung – Welche Auswirkungen drohen?
   3. Maßnahmenplanung – Was muss getan werden?
   4. Umsetzung – Wer übernimmt was, und wie schnell?

Abgrenzung zum BCM – und warum alle drei Konzepte zusammenspielen müssen

Zwar überschneiden sich BCM, Notfall- und Krisenmanagement inhaltlich – aber sie haben unterschiedliche Blickwinkel:

Unternehmen sind gut beraten frühzeitig geeignete Partner für den Notfall zu identifizieren. Mit unserem gemeinsamen Partner HvS Consulting bieten wir Unternehmen eine ganzheitliche Lösung für die Bewältigung von IT-Notfällen und Sicherheitsvorfällen – vom ersten Alarm bis zur vollständigen technischen Bereinigung.

IT-Notfälle und Krisen treffen Unternehmen oft schneller und härter als erwartet. Dann ist es entscheidend, nicht nur schnell zu reagieren, sondern auch nachhaltig zu handeln – und genau hier setzt unsere Kooperation an.

Teal und HvS bündeln ihre Expertisen, um Unternehmen im gesamten Incident-Lifecycle bestmöglich zu unterstützen:

Die Rollen im Überblick:

• • HvS ist spezialisiert auf Incident Detection und Response:
    Sie machen Bedrohungen sichtbar (Identify), steigern die Widerstandskraft (Protect), erkennen Angriffe frühzeitig (Detect), reagieren professionell im Ernstfall (Respond) und sorgen für erste Stabilisierung nach Vorfällen (Recover).
    Wichtig: HSV bietet keine technische Umsetzung von Remediation-Maßnahmen – dafür braucht es den richtigen Umsetzungspartner.

• • Teal übernimmt genau dort:
    Wir kümmern uns um die Remediation – also die nachhaltige Behebung der Sicherheitsvorfälle, das Schließen von Schwachstellen, die Härtung von Systemen und die Wiederherstellung sicherer Betriebszustände.
    Wichtig: TEAL bietet keine Incident Response, sondern setzt nach der Erstreaktion gezielt technische Maßnahmen um.

Warum das für Sie als Kunde ein echter Vorteil ist:

• • Kombination zweier starker Portfolios – nahtlos, ohne Kompetenzüberschneidungen
  • Klare Aufgabenteilung: HVS erkennt & reagiert, TEAL setzt nachhaltig um
  • Höherer Service-Level durch eingespielte Zusammenarbeit
  • Ein Ansprechpartner – volle Abdeckung im Krisenfall und darüber hinaus

Unser Ziel ist es, gemeinsam einen wechselseitig höheren Service zu bieten – für mehr Sicherheit, weniger Ausfallzeit und einen IT-Betrieb, der nicht nur wieder funktioniert, sondern spürbar gestärkt aus dem Vorfall hervorgeht.

Sowohl die Anerkennung durch Fachexperten als auch die Bewährung in der Praxis liegen im oberen Bereich der Skala – ein deutliches Zeichen dafür, wie essenziell dieses Maßnahmenfeld für die moderne IT-Sicherheitsstrategie geworden ist.

(3.3.20) Technische Sicherheitsüberprüfung

Zertifizierte Unternehmen sind es gewohnt, regelmäßige Audits durchzuführen, um regulatorischen Anforderungen wie ISO 27001, TISAX, DORA, NIS2 oder KRITIS gerecht zu werden. Der Fokus dieser Audits liegt jedoch häufig auf der Überprüfung von Prozessen, während technische Aspekte meist nur am Rande betrachtet und oberflächlich geprüft werden.

Aus diesem Grund empfiehlt die Handreichung, etablierte Prozessprüfungen gezielt durch tiefgehende technische Analysen zu ergänzen.

Neben Konfigurationsanalysen und Maßnahmen zur Systemhärtung werden auch regelmäßige Schwachstellenscans und Penetrationstests empfohlen. Insbesondere Letztere sind in vielen Organisationen bereits etabliert und fester Bestandteil der Sicherheitsstrategie.

Was uns jedoch immer wieder auffällt: Die identifizierten Schwachstellen werden häufig nicht konsequent behoben, und die Ergebnisse der Penetrationstests bleiben oftmals unbeachtet. Statt einer strukturierten Nachbearbeitung landen die Berichte in der Schublade – wenn überhaupt, werden nur die offensichtlichen Schwächen, die sogenannten ‚Low-Hanging Fruits‘, adressiert.

Dieses Vorgehen stellt aus unserer Sicht ein erhebliches Sicherheitsrisiko dar und wiegt Verantwortliche in einer trügerischen Sicherheit.

Stattdessen sollten IT-Sicherheits-Verantwortliche darauf drängen, kontinuierlich an den Schwachstellen zu arbeiten und diese zu beseitigen. Wir setzen beispielsweise bei unseren Kunden auf folgende regelmäßige Überprüfungen und Mitigationen:

• • Pingcastle Überprüfung und Besietigung mindestens einer Schwachstelle
  • Bloodhound Daten einsammeln und auswerten
  • Passwortqualität mit DSInternals auswerten
  • Administrative Account „Is sensitive and cannot be delegated“ setzen
  • Domain Admins als Owner aller AD Objekte setzen
  • Domain Admins als Owner aller GPOs setzen
  • Berechtigungen auf allen GPOs prüfen
  • KRBTGT Passwort ändern
  • Passwort des Built-in Administrators ändern
  • DSRM Passwörter ändern
  • “Stale” Computer ermitteln
  • “Stale” User ermitteln
  • Mitgliedschaft auf definieren High Privilege Groups prüfen
  • PKI Check

Wer diese Schritte monatlich ausführt, wird nicht nur seine IT-Sicherheit stabilisieren und verbessern, sondern auch neue Schwachstellen frühzeitig erkennen.

Fazit

Jetzt ist der richtige Zeitpunkt zu handeln

Der neue „Stand der Technik“-Report zeigt eindrucksvoll: IT-Sicherheit ist kein Einmalprojekt, sondern ein kontinuierlicher Prozess. Unternehmen müssen nicht nur gesetzliche Anforderungen erfüllen – sie müssen ihre Systeme aktiv gegen aktuelle Bedrohungen schützen. Und genau hier setzen wir von Teal an.

Wir helfen Ihnen, die richtigen Maßnahmen zu identifizieren, professionell umzusetzen und kontinuierlich zu verbessern – ob Überwachung und Schutz der Verzeichnisdienste, Systemhärtung, Cloud-Sicherheit, Business Continuity oder sichere Authentifizierung. Gemeinsam bringen wir Ihre IT auf ein modernes, regulatorisch tragfähiges und vor allem sicheres Niveau.

Sprechen Sie uns an!

Ob Sie gerade erst starten oder Ihr bestehendes Sicherheitskonzept auf den neuesten Stand bringen möchten – wir unterstützen Sie mit fundierter Beratung, erprobten Tools und langjähriger Praxiserfahrung. Teal ist Ihr Ansprechpartner für Identity Protection.