Hilfestellung und Tipps für neue Bedrohungssituationen
In Zeiten einer erhöhten Bedrohungslage rückt das Thema IT-Sicherheit für viele Organisationen stärker in den Fokus. Einige Beispiele für Bedrohungen:
Organisationen aller Größen und Sparten sind immer häufiger Cyberbedrohungen ausgesetzt (einschließlich Hacktivismus).
Unwetterschäden oder Stromausfälle können Ihren Rechenzentrumsbetrieb und damit Systeme und Anlagen beeinträchtigen.
Unvorhergesehene Entwicklungen in verschiedenen Ländern, von Streiks bis hin zu Kriegen, können sich auf Ihren Betrieb auswirken.
Tipps: Aktuelle Informationen zu beobachteten Cyberbedrohungen im Zusammenhang mit dem Krieg in der Ukraine finden Sie im globalen Microsoft Security Response Center Blog.
Ausführliche Analysen zu verschiedenen Bedrohungsszenarien können Sie dem jährlichen Microsoft Digital Defense Report entnehmen.
Unabhängig von der Art des konkreten Sicherheitsrisikos für die eigenen Systeme und Nutzer*innen gelten einige Grundregeln, die im Sinne einer ganzheitlichen Sicherheitsstrategie umgesetzt werden sollten. So können Sie potenzielle Bedrohungen souverän abwehren und die Risiken für Ihre Infrastruktur eindämmen:
- Konzentrieren Sie sich auf Cybersecurity-Hygiene:Eine Kombination aus mehreren Maßnahmen sorgt dafür, Ihre Systeme umfassend abzusichern. Wir empfehlen Folgendes:
- Multi-Faktor-Authentifizierung aktivieren
- Zugriff mit geringstmöglichen Berechtigungen erteilen und sensible, privilegierte Anmeldeinformationen gesondert absichern
- Remote-Authentifizierungsaktivitäten laufend überprüfen
- Systeme durch aktuelles Patching absichern
- Anti-Schadsoftware- und Workload-Schutztools einsetzen
- Altsysteme isolieren
- Protokollierung der Nutzung von Schlüsselfunktionen aktivieren
- Backups validieren
- Reaktionspläne für Sicherheitsvorfälle auf dem neuesten Stand halten
- Nutzen Sie die Empfehlungen aus dem Microsoft Security-Team:Wir stellen für unsere Kundinnen und Kunden laufend Best Practices mit eindeutigen Anleitungen für sicherheitsbezogene Entscheidungen zur Verfügung. Mehr erfahren Sie unter: Microsoft Security Best Practices
- Schützen Sie sich vor Ransomware und anderen Angriffen:Cyberangriffe können schwerwiegende Folgen für ein Unternehmen haben. Befolgen Sie unsere technischen Anti-Ransomware-Leitfäden, um Angriffe zu verhindern, potenziellen Schaden zu begrenzen und weitere Risiken zu umschiffen.
Zero Trust: Vertrauen ist gut, Kontrolle ist besser
Gute Sicherheitsstrategien und -praktiken helfen Ihnen, insbesondere bei neu entstehenden Bedrohungssituationen handlungsfähig zu bleiben. Jedes Sicherheitsteam sollte sich auf verschiedene Szenarien vorbereiten, Präventions- und Abwehrmaßnahmen etablieren, Systeme für eine Echtzeit-Überwachung einrichten und Wiederherstellungskapazitäten für Worst-Case-Szenarien und Notfälle vorhalten.
Ein bewährter Ansatz ist das Zero-Trust-Modell. Es vereint mehrere Cybersecurity-Paradigmen, bei denen der Fokus anstatt auf dem bisherigen statischen, rein netzwerkbasierten Perimeter nun auf Anwender*innen, Geräten und Ressourcen liegt.
In der Praxis bedeutet das, dass es kein implizites Vertrauen in Geräte oder Nutzerkonten gibt, mit denen auf Ihre Geschäftsdaten, Dateien und Systeme zugegriffen wird. Denn Cyberkriminelle finden ausgeklügelte Taktiken, um Anmeldeinformationen zu erbeuten und eine vermeintlich legitime Position im Netzwerk vorzuspiegeln.
Beim Zero-Trust-Modell ist also die reine Nutzung eines bestimmten Netzwerks keine ausreichende Sicherheitsebene mehr, um Zugang zu den dahinterliegenden Datenressourcen zu erhalten. Stattdessen wird der Zugriff an bestimmte Bedingungen gekoppelt:
Einbeziehung aller verfügbaren Datenpunkte in die Authentifizierung und Autorisierung: Identität, Standort-Plausibilität, Geräteintegrität, Datenklassifizierung, Anomalien, Dienst oder Workload
Einschränkung des Nutzerzugriffs mit JIT/JEA (Just-in-Time-/Just-Enough-Access), risikobasierten adaptiven Richtlinien und Informationsschutz für Daten und Dateien
Empfehlung, davon auszugehen, dass eine Datenschutzverletzung oder ein Sicherheitsverstoß jederzeit passieren kann, sowie Einsatz moderner Technologie, um Bedrohungen schon bei den ersten Anzeichen zu erkennen und Angriffe unmittelbar zu stoppen
Erwarten Sie das Unerwartete – und bereiten Sie sich vor
Im Folgenden finden Sie Vorschläge für eine Reihe von kurz-, mittel- und langfristigen Maßnahmen, die nach der Erfahrung von Microsoft eine umfassende Vorbereitung und Reaktion auf Bedrohungen und Sicherheitsvorfälle ermöglichen. Die Vorschläge sind nach verschiedenen Sicherheitsaspekten in typischen IT-Umgebungen kategorisiert.
Die Liste ist nicht abschließend, sondern soll Ihnen Impulse geben, wie Sie Situationen mit erhöhtem Risiko angehen können. Die Maßnahmen und Szenarien müssen natürlich individuell an Ihre aktuelle Unternehmenssituation, Ihre IT-Architektur und Sicherheitsstrategie und Ihre eigene Einschätzung der Risiko- und Bedrohungslandschaft angepasst werden. Einen guten Einstiegspunkt bietet auch diese Anleitung für einen Sicherheitsplan.
Drei Phasen der Vorbereitung und Reaktion
Es gibt wichtige Sofortmaßnahmen in verschiedenen Kategorien, deren Umsetzung wir innerhalb der ersten 24 bis 48 Stunden empfehlen:
Nutzer*innen/Identitäten
- Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) als Mindeststandard für den Schutz von Nutzerkonten und -identitäten.
- Für Azure AD: Einrichtung von Azure AD Multi-Faktor-Authentifizierung
- Erzwingen Sie MFA mindestens für alle Nutzer*innen, denen eine der folgenden Rollen zugewiesen ist: Globaler Administrator, Privileged-Role-Administrator, Exchange-Administrator, SharePoint-Administrator und Domänen-Administrator. Um die Konten mit Zugriffsrechten in diesen Gruppen zu identifizieren, können Sie beispielsweise diese PowerShell API nutzen.
- Schützen Sie Ihre Administratorkonten.
- Legen Sie mindestens zwei Konten für den Notfallzugriff fest: Verwalten von Konten für den Notfallzugriff in Azure AD
- Wir empfehlen, dass Sie ab sofort in Ihrer Azure AD-Produktivumgebung das Azure AD Privileged Identity Management (PIM) verwenden. Planen Sie mit diesen Tipps eine PIM-Bereitstellung. Nachdem Sie mit der Nutzung von PIM begonnen haben, werden Sie bei Änderungen an privilegierten Zugriffsrollen automatisch per E-Mail benachrichtigt. PIM ermöglicht Ihnen auch die Erteilung von Just-in-Time-Zugriffsrechten für Ihre Administrator*innen.
- In isolierten Umgebungen: Nutzen Sie MIM PAM Privileged Access Management für Active Directory-Domänendienste. Stellen Sie sicher, dass man mit privilegierten Administratorkonten keine E-Mails verschicken und nicht im Internet browsen kann und dass sie nur auf speziell abgesicherten Geräten („Hardened Devices“) genutzt werden. Siehe: Warum sind Geräte mit privilegiertem Zugriff wichtig?
Geräte und Server
- Patchen Sie alle Systeme mit bekannten ausgenutzten Schwachstellen.
Überwachung und Incident-Response
- Stellen Sie sicher, dass alle Benachrichtigungen und Warnmeldungen, die Sie von Ihrem Cloud-Anbieter und dem CERT-Verbund in Ihrem Land erhalten, umfassend bearbeitet werden.
- Microsoft informiert globale Administrator*innen per Telefon und E-Mail über Nation State Notifications (NSNs). Bitte stellen Sie sicher, dass die entsprechenden Kontaktinformationen für Ihre globalen Administrator*innen korrekt und stets auf dem neuesten Stand sind.
-
Für Warnmeldungen in Azure:
-
Defender for Cloud (auch bei der kostenlosen Version):
- Konfigurieren Sie die Kontaktdetails mithilfe dieses Skripts von GitHub. Die E-Mail-Adresse für die Owner-Rolle ist wichtig. Tipp: Richten Sie einen E-Mail-Verteiler mit den relevanten Rollen ein, den Sie kontinuierlich pflegen.
- Defender Alerts: Überwachen Sie das Dashboard.
- Defender Recommendations: Überwachen Sie das Dashboard.
-
Nutzen Sie das Service Health Dashboard.
- Behalten Sie im Dashboard die Sicherheitsempfehlungen im Blick, die speziell für Ihre Abonnements ausgegeben werden.
- Und konfigurieren Sie die für Sie relevanten Health Alerts.
- Behalten Sie die Azure-Status-Webseite im Blick.
- Stellen Sie sicher, dass die Kontaktinformationen der technischen Ansprechpartner*innen für Azure AD korrekt hinterlegt sind.
-
Defender for Cloud (auch bei der kostenlosen Version):
- Stellen Sie sicher, dass Ihr Incident-Response-Team weiß, wie und wo es bei den Supportstellen Ihrer IT-Anbieter die Tickets für Anfragen/Fälle eröffnet.
- Sie haben einen Supportvertrag mit Microsoft? Stellen Sie sicher, dass Ihr Incident-Response-Team weiß, wie und wo es Sev-A-Tickets eröffnen kann.
- Überprüfen Sie, ob alle Kontaktinformationen in Ihren Response-Plänen sowie in Incident-relevanten Verträgen (z. B. Incident Response Retainer) auf dem neuesten Stand sind!
Notfallwiederherstellung und Geschäftskontinuität
- Stellen Sie sicher, dass Ihre Backups funktional sind.
- Einige Tipps dazu finden Sie in der Ransomware-Anleitung: Azure Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
- Für Microsoft 365: Aktivieren Sie den Ransomware-Schutz für Ihre Microsoft 365-Instanz.
- Prüfen Sie, ob Sie auch bei Nichtverfügbarkeit Ihrer Domänen-Controller Zugriff auf Ihre Backups haben.
Sobald Sie die genannten Maßnahmen der Phase 1 umgesetzt haben, kümmern Sie sich um die nachfolgenden Aktivitäten:
Nutzer*innen/Identitäten
- Sensibilisieren Sie Ihre Mitarbeitenden hinsichtlich des steigenden Risikos von manipulierten E-Mails oder verseuchten Nachrichten jeglicher Art.
- Falls es Anzeichen für potenzielle physische Bedrohungen gegenüber Ihren Mitarbeitenden gibt (beispielsweise indem sie zur Anmeldung an Ihre Systeme genötigt werden), überwachen Sie verdächtiges Verhalten bei besonders exponierten Konten. Etablieren Sie Prozesse, um derartige Vorfälle unmittelbar an Ihre Sicherheitsverantwortlichen zu übermitteln (In-Band oder Out-of-Band).
- Entziehen Sie selbst proaktiv Nutzer*innen mit einem erhöhten Risiko alle Berechtigungen.
- Im Microsoft-Lösungsumfeld: Erwägen Sie den Einsatz von Insider-Risikomanagement-Lösungen wie Insider-Risikomanagement in Microsoft 365.
- Trennen Sie Administratorkonten auf lokalen Rechnern von produktiven Nutzer*innen und erzwingen Sie bei Bedarf aktive Hochstufungen.
- Vergeben Sie lokale Administratorkennwörter nach dem Zufallsprinzip.
- Im Microsoft-Lösungsumfeld: Laden Sie die Local Administrator Password Solution (LAPS) aus dem offiziellen Microsoft Download Center herunter.
- Beginnen Sie mit der Deaktivierung von Legacy-Authentifizierungsprotokollen.
- Im Microsoft-Lösungsumfeld: Lesen Sie diesen Blogbeitrag über neue Tools für das Blockieren der Legacy-Authentifizierung in Ihrer Organisation.
Geräte und Server
- Sichern und verwalten Sie Systeme mit aktuellem Patching.
- Für Azure: Verwalten Sie Updates und Patches für Ihre VMs in Azure Automation.
- Für Nicht-Azure-Systeme: Verwalten Sie Betriebssystemupdates für Server mit Azure Arc-Unterstützung mithilfe der Updateverwaltung in Azure Automation.
- Nutzen Sie den Zugang zu erweiterten Sicherheitsupdates für SQL Server 2008/2012. Mehr Informationen über Ihre Optionen finden Sie im Blogartikel zum Supportende für SQL Server 2012 und Windows Server 2012.
- Nutzen Sie Anti-Schadsoftware- und Workload-Schutztools.
- Für Microsoft Defender AV: Aktivieren Sie Microsoft Defender Antivirus.
- Für Microsoft Defender for Endpoint: Konfigurieren Sie Microsoft Defender für Endpunkt in Microsoft Intune.
Überwachung und Incident-Response
- Bereiten Sie sich darauf vor, Ihre Mitarbeitenden im Notfall auch über alternative Kommunikationskanäle (SMS, Onlineportale usw.) zu erreichen.
- Verstärken Sie die Überwachung von Aktivitäten in und aus Gebieten mit erhöhten Bedrohungen.
- Überprüfen Sie alle Authentifizierungsaktivitäten für die Remote-Access-Infrastruktur.
Notfallwiederherstellung und Geschäftskontinuität
- Treffen Sie für Ihre Datenbanken die richtigen Disaster-Recovery-Vorkehrungen.
- Stellen Sie für SQL Server (On-Premises-Variante) eine Kopie für die Notfallwiederherstellung in Azure bereit. Siehe: Hochverfügbarkeit, Notfallwiederherstellung, Geschäftskontinuität für SQL Server. Wenn Ihre Organisation einen Software Assurance-Vertrag hat, fallen dafür keine zusätzlichen Kosten an.
- Installieren Sie die kostenlose SQL Server IaaS Agent-Erweiterung, um Datensicherungen und das Patching für Ihren SQL Server, der auf Azure läuft, zu automatisieren: Erweiterung für den SQL Server-IaaS-Agent (Windows) – SQL Server auf Azure VMs
- Stellen Sie die Integrität und Verfügbarkeit Ihrer Backups und Recovery-Site sicher.
- Für Azure Backup: Dokumentation zu Azure Backup
- Für Azure Site Recovery: Dokumentation zu Azure Site Recovery
- Bereiten Sie sich darauf vor, bei Bedarf sämtlichen Netzwerkverkehr aus/in Regionen mit erhöhten Bedrohungen zu blockieren.
- Nutzen Sie Azure AD Conditional Access (CA), um den Verkehr nach IPv4 oder Land zu blockieren: Bedingter Zugriff – Blockieren des Zugriffs nach Standort
- Wenden Sie diese WAF-Geo-Regeln an: Benutzerdefinierte Geomatch-Regeln für Azure Web Application Firewall (WAF)
- Blockieren Sie den Netzwerkverkehr je nach Land in Microsoft Defender for Endpoint.
- Aktivieren Sie die Protokollierung von Schlüsselfunktionen. Selbst wenn Sie sie nicht sofort überprüfen möchten, benötigen Sie sie möglicherweise später für forensische Zwecke.
- Für Azure: Nutzen Sie die Azure-Sicherheitsprotokollierung und -Überwachung.
Jede im Folgenden aufgeführte Maßnahme ist wichtig und dient dem Ziel einer zukunftsorientierten, tragfähigen Sicherheitsstrategie. Setzen Sie je nach Ihren individuellen Anforderungen die richtigen Prioritäten. Im Optimalfall sind viele der nachfolgenden Empfehlungen in Ihrer Organisation bereits erfolgreich implementiert worden.
Nutzer*innen/Identitäten
- Erhöhen Sie den Schutz vor Phishing-Angriffen und ähnlichen Vorkommnissen, indem Sie Ihre eingehenden E-Mails schützen.
- Ihr Einstiegspunkt für Defender for Office 365: Microsoft Defender für Office 365 –Dienstbeschreibung
- Wenden Sie das Zugriffsprinzip der geringsten Berechtigung an und sichern Sie die sensibelsten und privilegierten Anmeldeinformationen – auch wenn dies keine einfache Aufgabe ist.
- Für Azure Active Directory: Planen einer Bereitstellung von Privileged Identity Management (PIM)
- Deaktivieren Sie nach Möglichkeit veraltete Authentifizierungsmethoden. Überprüfen Sie genau, welche Auswirkungen sich dadurch in Ihrer Umgebung ergeben. Im Idealfall betrifft das Blockieren der Legacy-Authentifizierung „nur“ nicht geschäftskritische Anwendungen.
- Allgemein: Blogbeitrag über neue Tools für das Blockieren der Legacy-Authentifizierung in Ihrer Organisation
- Für Azure Active Directory: Blockieren der Legacy-Authentifizierung
- Für Exchange: Deaktivierung der Legacy-Authentifizierung in Exchange Server 2019
- Überwachen Sie Ihre Benutzeridentitäten auf verdächtige Aktivitäten, insbesondere in Gebieten mit erhöhten Bedrohungen.
- Für Active Directory: Dokumentation für Microsoft Defender for Identity
Geräte und Server
- Verwenden Sie Technologie auf Basis von Endpunkten/Servern, um die Angriffsfläche zu verkleinern.
- Für Defender for Endpoint: Verstehen und Verwenden der Attack Surface Reduction (ASR)
- Allgemein: Blogserie zu Attack-Surface-Reduction-Regeln – Teil 1, Teil 2, Teil 3 und Teil 4
- Erkennen und beheben Sie Schwachstellen, um Ihre Bedrohungsexposition zu reduzieren.
- Defender für Server (umfasst Defender for Endpoint): Anzeigen der Ergebnisse von Lösungen für die Sicherheitsrisikobewertung in Microsoft Defender for Cloud
- Microsoft 365 Defender: Sicherheitsempfehlungen nach Bedrohungs- und Sicherheitsrisikomanagement
- Isolieren Sie Altsysteme sowohl von externem als auch internem Zugriff, um sich vor potenziellen lateralen Bewegungen eines Angreifers im Netzwerk zu schützen. Evaluieren Sie auch den Einsatz von Technologien wie Network Access Control, IPsec-Authentifizierung und anderen.
- Stellen Sie sicher, dass Ihr Verzeichnis der physischen und virtuellen Assets auf dem neuesten Stand ist.
- Für Azure: GitHub – Azure Resource Inventory
Überwachung und Incident-Response
- Überprüfen Sie, ob Ihre Reaktionspläne für Cybervorfälle auf dem neuesten Stand sind, und überprüfen, aktualisieren und üben Sie die Abläufe in Ihren Playbooks.
- Überprüfen, aktualisieren und testen Sie Ihre Pläne für die Geschäftskontinuität. Sie sollten mögliche Veränderungen in der Bedrohungslandschaft widerspiegeln.
- Sensibilisieren Sie Ihre Teams für neue Bedrohungen. Führen Sie Schulungen und Übungen durch, vielleicht sogar kurzfristig und unangekündigt.
- Erkunden Sie mögliche Automatisierungspotenziale, um die Arbeitsbelastung Ihrer Teams zu verringern.
- Für Microsoft Sentinel: Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
- Für Microsoft 365 Defender: Automatisierte Untersuchung und Reaktion in Microsoft 365 Defender
- Aktivieren Sie die Protokollierung von Schlüsselfunktionen und überwachen Sie diese Protokolle. Tipp: Sollten die Warnmeldungen überhandnehmen, bietet sich ein risikobasierter Ansatz an.
- Überprüfen Sie die Warnmeldungen, die Sie bereits in Ihren Portalen erhalten – insbesondere, wenn Sie verschiedene Produkte von mehreren Anbietern verwenden.
- Ihr Einstiegspunkt für Defender for Cloud: Microsoft Defender für Cloud – eine Einführung
- Um On-Premises-Ressourcen und weitere Cloud-Ressourcen einzubeziehen: Verbinden von Nicht-Azure-Computern mit Microsoft Defender für Cloud
- Ihr Einstiegspunkt für Microsoft 365 Defender: Microsoft 365 Defender
- Überprüfen Sie Ihre Pläne zum Schutz vor Ransomware.
- Microsoft bietet umfassende Anleitungen, um sich auf solche Ereignisse vorzubereiten, einschließlich eines detaillierten Plans mit Teams und Technologie. Laden Sie ihn unter https://aka.ms/ransomware herunter.
- Blogbeiträge: A guide to combatting human-operated ransomware: Teil 1 und Teil 2
Notfallwiederherstellung und Geschäftskontinuität
- Lagern Sie eine Kopie Ihres Backups außerhalb von Gebieten mit erhöhten Bedrohungen. Dies ist abhängig von den regulatorischen Anforderungen in Ihrem Land. Erkundigen Sie sich bei Ihrer Rechtsabteilung über die Voraussetzungen.
- Bereiten Sie sich darauf vor, einen Teil der Remote-Infrastruktur sicher zerstören zu stören (z. B. durch das Löschen von Schlüsseln oder einer physischen Zerstörung von Geräten/Systemen).
- Für Windows: BitLocker
- Für Office 365: Zerstörung für rein vom Kunden verwaltete Schlüssel und Umsetzung der Verschlüsselung für Skype, OneDrive, SharePoint und Exchange
- Bereiten Sie die Verlagerung kritischer Workloads in andere Regionen außerhalb der Gebiete mit erhöhten Bedrohungen vor.
- Bereiten Sie sich in Gebieten mit erhöhten Bedrohungen auf ein Lift-and-Shift lokaler Workloads in die Cloud und – falls erforderlich – außerhalb der Region vor.
- Für Azure: Dokumentation zu Azure Migrate
- Wenn Sie bereits Azure Site Recovery nutzen: Migrieren von On-Premises-Computern mit Azure Migrate
- Stellen Sie sicher, dass Sie Verfügbarkeitszonen einrichten (und testen), um auf Infrastrukturbereiche außerhalb von Gebieten mit erhöhten Bedrohungen ausweichen zu können.
- Ihr Einstiegspunkt für Azure: Azure-Regionen und -Verfügbarkeitszonen
- Prüfen und implementieren Sie Best Practices für die Absicherung von Datenbanken.
- Für Microsoft SQL Server: Bewährte Sicherheitsmethoden für SQL Server
- Prüfen Sie, ob Sie Management und Governance automatisieren können, um die Arbeitsbelastung Ihrer Teams zu verringern:
- Beginnen Sie mit einem Verzeichnis übergreifend für On-Premises- und Cloud-Ressourcen: Verwalten Ihres Portfolios aus Hybrid- und Multicloud-Workloads
- Stellen Sie eine direkte private Verbindung von Ihrem On-Premises-Netzwerk zum Cloud-Anbieter her.
- Für Azure und Microsoft 365: Übersicht über Azure ExpressRoute – Herstellen einer privaten Verbindung
- Bereiten Sie sich auf eine Intensivierung des DDOS-Schutzes für Ihre Infrastruktur vor.
- Ihr Einstiegspunkt für Azure: Dokumentation zum Azure DDoS Protection-Standard
- Verschaffen Sie sich ein umfassendes Verständnis Ihrer Daten und schützen Sie sie.
- Im Microsoft-Lösungsumfeld: Einführung in Azure Purview
IoT und OT
- Prüfen und implementieren Sie grundlegende IoT-Sicherheitsempfehlungen.
- Für Azure IoT: Sicherheitsempfehlungen für Azure IoT
- Verstärken Sie die Überwachung Ihrer IoT-/OT-Geräte und suchen Sie insbesondere nach ausgehendem Datenverkehr zu bekannten Command and Control-Servern.
- Für Microsoft Sentinel und Microsoft Defender for IoT: Blogbeitrag zur Unterstützung von IoT-/OT-Bedrohungsüberwachung in Ihrem SOC mit Microsoft Sentinel