Jedes Unternehmen trägt eine Belastung mit sich. In Bezug auf die Identität liegt diese Belastung oft im Zentrum der Geschäftstätigkeit: Active Directory, Dienstkonten, veraltet und unsicher AD-Authentifizierung Protokolle (macht sich jemand Sorgen wegen NTLM?) und lokale Anwendungen, die für die Geschäftskontinuität entscheidend sind. Diese Systeme gibt es seit Jahrzehnten und sie sind tief in die IT-Ökosysteme eingebunden. Sie werden auch bei Cloud-Transformationsinitiativen nicht so schnell verschwinden.
Kompromittierte Anmeldeinformationen, Lateral Movement und Ransomware-Kampagnen beginnen oft mit AD- oder nicht verwalteten Dienstkonten, da dies der Weg des geringsten Widerstands ist. Tatsächlich Aktuelle Untersuchungen zeigen, dass 94.3 % der Organisationen haben keinen vollständigen Einblick in ihre Dienstkonten, geschweige denn, dass sie deren Aktivitäten verstehen. Angreifer wissen, dass diese Systeme nicht für moderne Bedrohungen konzipiert wurden, genauso wie IAM und die Sicherheitsteams wissen, dass sie auch nicht für moderne Steuerungen ausgelegt sind.
Ich kenne das und kann mir vorstellen, dass man sich unter der Last des verbleibenden Identitätsrisikos schnell gefangen fühlt, wenn man nur zwei letztlich unbefriedigende Optionen hat: die Verwaltung durch Integration in traditionelle IAM-Tools oder die Migration davon. Beide Ansätze sind zeitaufwändig und teuer in der Umsetzung – und das Risiko bleibt unverändert, bis die Aufgabe erledigt ist.
In meiner Zeit als Leiter des IAM für einen großen Einzelhändler, Ich habe festgestellt, dass es einen dritten Weg gibtDie Kernfrage für die meisten Unternehmen lautet: „Wie kann ich trotz meines Altbestands ausreichend Sicherheit gewährleisten?“ Aufgrund der heutigen Bedrohungen stellt jedes Konto ein Risiko dar und muss geschützt werden. Wir können also weder unser Erbe hinter uns lassen noch darauf warten, dass die Transformation System für System erfolgt.
Traditionelle Option 1: Verwalten Sie Ihr Identitätsrisiko
Die erste Option, die die meisten Organisationen in Betracht ziehen, ist die Verwaltung ihres Identitätsrisikos, typischerweise durch die Einführung kompensierender Kontrollen wie Privileged-Access-Management- (PAM). Theoretisch ermöglicht dies eine strengere Überwachung von Hochrisikokonten.
In der Praxis ist dieser Ansatz, wie die meisten Leute, die schon einmal an einem PAM-Onboarding-Projekt teilgenommen haben, wissen, voller Hindernisse:
- Das Onboarding ist langsam und schwierig, und die Fortschritte werden von Konto zu Konto erzielt.
- Die „Angst, Dinge kaputt zu machen“ gewinnt: Nicht zu wissen, was Identitäten tun sollen, birgt Risiken, was besonders schlimm für Systeme ist, die nicht mehr aktiv weiterentwickelt werden.
- Es ist fragil: Infrastrukturmigrationen und Systemänderungen machen hart erkämpfte Kontrollen obsolet.
- Um Integrität zu gewährleisten, müssen Änderungen an der Steuerung vorgenommen werden, um deren Umgehung zu verhindern (z. B. Auschecken von PAM-verwalteten Anmeldeinformationen).
Und das Wichtigste: Das Risiko bleibt bis zum Abschluss des Projekts unverändert.
Für viele Unternehmen bedeutet dies jahrelange, unkontrollierte Gefährdung, während Ihr Team mit komplexen, technischen, inkrementellen Arbeiten beschäftigt ist, die das tatsächliche Risikoniveau kaum beeinflussen. Dies führt zu Sie Schwierige Gespräche mit der Geschäftsleitung: „Wann wird die Arbeit erledigt sein?“ „Wie hoch ist unser Restrisiko?“
Durch selektives Risikomanagement basierend auf privilegierten Konten mit der Einstellung, dass es Ihre gesamte Identitätslandschaft schützen könnte, ist eher eine Hoffnung als eine skalierbare Strategie. Dieser Ansatz verzögert das Unvermeidliche nur, bis Sie es nicht länger ignorieren können.
Während „Tier 0“ – Ihre Schlüssel zum Königreich der Domänencontroller, PKI, Hypervisoren – notwendig, Doch damit ist es nicht getan. Auch die Systeme, die Ihr Unternehmen betreiben, müssen gut geschützt sein, um Betriebsunterbrechungen, Ausfallzeiten und Reputationsschäden bei Ihren Kunden zu vermeiden.
On-Demand-Webinar
Aufdecken und Beheben der blinden Flecken im PAM
Registrieren Silverfort's Ron Rasin, Chief Strategy Officer, und Kev Smith, Principal Engineer, diskutieren die blinden Flecken in der traditionellen PAM-Lösungen und tauchen Sie ein in die Grundlagen der Privileged Access Security (PAS)
Traditionelle Option 2: Migrieren Sie weg von Ihrem Risiko
Die zweite Option, die viele Unternehmen in Betracht ziehen, ist die „Migration“ oder Modernisierung. Dies bedeutet oft, statische Anmeldeinformationen durch dynamische zu ersetzen, passwortlose Systeme einzuführen oder Workloads in Cloud-Umgebungen mit integrierten Identitätsschutz. Das sind im Prinzip alles gute Dinge, aber die Herausforderungen sind bekannt:
- Es sind Systemänderungen erforderlich, die das Risiko bergen, dass fragile Legacy-Apps beschädigt werden.
- Die Migration erfolgt langsam und stückweise, App für App.
- Die Kosten steigen sowohl hinsichtlich der Zeit als auch der Ressourcen schnell in die Höhe.
Und auch hier bleibt das Risiko unverändert, bis die Arbeiten abgeschlossen sind, was Jahre dauern kann.
Verstehen Sie mich nicht falsch: Modernisierung ist für eine langfristige IT-Strategie unerlässlich. Richtig und umfassend umgesetzt, haben Sie die Chance, den Kampf gegen Kontokompromittierung und Identitätssicherheit endgültig zu gewinnen.
Aber es ist keine realistische Lösung für sofortige Risikominderung, und es besteht die Gefahr, dass Ihre Altsysteme und Apps anfällig für Angreifer sind. Schließlich besteht die große Möglichkeit, einen wichtigen Prozess zu zerstören jetzt an ist alarmierender als das Risiko einer Kontokompromittierung, eines Verstoßes oder lateraler Bewegung ausnutzen irgendwann in der Zukunft.
Aus meiner Sicht muss die Modernisierung aus der Perspektive des Vertrauens in die Gegenwart erfolgen. Dies bedeutet, bestehende Identitätsrisiken einzudämmen und gleichzeitig für die Zukunft zu sorgen. Angesichts der Tatsache, dass Angreifer sich auf die Identität konzentrieren, ist dies die einzige verantwortungsvolle Strategie.
Blog
NOTLogon: Wie ein Computer mit niedrigen Berechtigungen einen DoS-Angriff auf Ihre Domäne verursachen kann
Silverfort entdeckt Active Directory Denial-of-Service (DoS)-Sicherheitslücke, bekannt als NOTLogon (CVE-2025-47978)
Der dritte Weg: Beherrschen Sie Ihr Identitätsrisiko
Wenn Verwaltung und Migration nicht ausreichen, was ist dann übrig? Die Antwort ist, Ihr Identitätsrisiko zu beherrschen.
Ich habe schon darüber gesprochen wie wichtig es ist, sich und seinem Team die Zeit und den Raum zu verschaffen, um die Identitätslandschaft zu modernisieren und behalten dabei bei jedem Schritt die Kontrolle über die Risiken.
Mit diesem Ansatz übernehmen Sie die Kontrolle über Ihre Identität, ohne sich auf fragile Kontrollen oder mehrjährige Migrationen verlassen zu müssen. Es bedeutet, moderne Identity-Security-Lücken auf jeden Teil Ihrer Umgebung – ausnahmslos auch auf Legacy-Systeme –, sodass Sie Risiken jetzt und nicht erst in einigen Jahren reduzieren können. Meiner Erfahrung nach ist der beste Weg, dies zu erreichen, die Implementierung eines breit angelegten Schutzes, der Ihre Sicherheitsbasis erhöht und Ihre schwächsten Glieder stärkt. Das meine ich mit Mastering Ihr Identitätsrisiko.
Wichtige Voraussetzungen zur Beherrschung von Identitätsrisiken:
- Bauen Sie ein umfassendes Verständnis auf, das alle Identitäten und Systeme, ihre Verhaltensweisen und die Prozesse umfasst, die sie berühren oder beeinflussen.
- Kein Onboarding: Der Schutz sollte nicht von der manuellen Kontoregistrierung abhängen.
- Keine Systemänderungen: Altsysteme bleiben erhalten und müssen nicht verändert werden.
- Zuverlässige Kontrollen, enDer Schutz geht nicht auf Kosten der Betriebszeit oder der allgegenwärtigen Angst, Dinge kaputt zu machen.
Wie sieht das in der Praxis aus?
Um Identitätsrisiken zu meistern, müssen wir unsere Einstellung zur Authentifizierung ändern. Anstatt sie als Geschäftsfaktor zu betrachten, der um jeden Preis die Verfügbarkeit priorisiert, muss Sicherheit für uns an erster Stelle stehen.
In einem Sicherheitsmodell wird die Authentifizierung zum zentralen Kontrollpunkt, der standardmäßig risikobasierte Richtlinien durchsetzt und Bedrohungen eindämmt, bevor sie sich ausbreiten. Stellen Sie sich vor, dies wären die Grundregeln für Ihre gesamte Umgebung:
- MFA erforderlich für sämtliche Zugriffe auf sensible Infrastruktur. Jeder Administrator, der sich anmeldet Active Directory. Jeder Entwickler, der sich mit einem Produktionsserver verbindet. Jeder Dienstkonto Ausführen eines kritischen Batch-Prozesses. Die Durchsetzung einer starken Authentifizierung stellt sicher, dass Angreifer nicht einfach mit gestohlenen oder durch Brute-Force-Angriffe erzwungenen Anmeldeinformationen eindringen können. Wenn MFA ist direkt in den Authentifizierungsprozess integriert, sodass selbst ältere Systeme, die dies nie nativ unterstützt haben, von diesem Schutz profitieren können.
- Begrenzen Sie den Explosionsradius, unabhängig von der Reife Ihrer Zugriffsverwaltung. Jedes nicht-menschliche Konto ist auf das beschränkt, was es regelmäßig und wiederholt tut; alles Ungewöhnliche wird blockiert. Administratoren dürfen auf Ressourcen in zugewiesenen Änderungsdatensätzen und Vorfällen zugreifen und sind trotz ihrer Berechtigungen von allen anderen Konten blockiert – das ist wahr Least-Privilege-Prinzip Sie haben jetzt die Kontrolle über die Leitplanken, die definieren, was wo passieren kann, sodass der Explosionsradius einer Kontokompromittierung begrenzt ist.
- Verweigern Sie Verbindungen, die nicht aus vertrauenswürdigen Quellen stammen.
Ein Anmeldeversuch von einem unerwarteten Ort, einer Workstation außerhalb der Unternehmenskontrolle oder einer verdächtigen IP-Adresse sollte niemals wie eine normale Zugriffsanfrage behandelt werden. Mit Inline Enforcement können Sie solche Aktivitäten in Echtzeit anfechten, einschränken oder ganz blockieren. Dies reduziert den Explosionsradius erheblich: Selbst wenn Anmeldeinformationen gestohlen werden, können sie nicht außerhalb der von Ihnen definierten Parameter verwendet werden.
- Blockieren Sie die Verwendung veralteter oder unsicherer Protokolle. NTLM und andere veraltete Protokolle Sie bestehen fort, weil sie kritische Altsysteme am Leben erhalten. Angreifer nutzen jedoch dieselben Schwachstellen, um Pass-the-Hash- und Relay-Angriffe auszuführen, oft auf Systeme, die diese gar nicht benötigen. Mit modernen Kontrollen bei der Authentifizierung können Sie deren Einsatz nun auf die Bereiche beschränken, in denen er benötigt wird. Es ist keine binäre Entscheidung mehr.
Durch die Implementierung solcher Kontrollen direkt in der IAM-Infrastruktur, inline und ohne störende Systemänderungen, ist die Umgebung nun so konzipiert, dass Identitätsrisiken eingedämmt werden. Das ist Identitätssicherheit in Aktion.
Wenn Sie die Identitätsrisiken auf diese Weise beherrschen, können Sie Ihre Systeme in Ihrem eigenen Tempo modernisieren – indem Sie mit flüchtigen Anmeldeinformationen experimentieren, auf Nullberechtigungen umsteigen oder Zugriffsmodelle überdenken –, ohne Ihre Systeme ungeschützt zu lassen und ohne den Zeitdruck einer Risikominderung.
Je länger die Altlasten bestehen, desto mehr untergraben sie sowohl Ihre aktuellen Abwehrmechanismen als auch Ihren zukünftigen Fortschritt. Aber durch Indem Sie Sicherheit in die Authentifizierungsstruktur integrieren und Ihr Identitätsrisiko heute kontrollieren, anstatt jahrelang auf den Abschluss von Transformationsprojekten zu warten, stellen Sie sich auf den Erfolg ein. Tun Sie es jetzt, und Ihre zukünftigen Transformationen werden schneller, stärker und sicherer sein. Schließlich ist der Goldstandard von heute das Erbe von morgen.
Um mehr über die praktischen Schritte zur Umsetzung dieses Ansatzes zu erfahren, Laden Sie das Identity Security Playbook herunter.
Kostenlose Ressource
Das Identity Security Playbook
Dieser Leitfaden ist Ihre unverzichtbare Ressource für den Schutz aller Identitäten in der wachsenden digitalen Landschaft Ihres Unternehmens. Sie erhalten praktische Einblicke und einen 5-Schritte-Aktionsplan für eine nachhaltige, effektive Identitätssicherheitsstrategie.