Ransomware – ferngesteuerte bösartige Erpressersoftware – ist seit ein paar Jahren eine der größten Bedrohungen für die Cybersicherheit von Unternehmen. Dateien und IT-Systeme werden verschlüsselt, meist bleibt nur ein Erpresserschreiben. Was können Unternehmen tun, wenn das Kind in den Brunnen gefallen ist?

Ransomware Response – Was tun, wenn der Ernstfall eintritt?

Stellen Sie sich vor, Sie kommen morgens ins Büro, starten Ihren PC und nichts geht. Auch Ihre Kollegen sind betroffen. Hektik entsteht, die IT wird hinzugezogen, es herrscht Chaos. Die gesamte IT-Infrastruktur ist verschlüsselt, die Angreifer fordern 1 Bitcoin (ca. 40.000€). Neben der IT- Infrastruktur sind auch große Teile des Backups zerstört bzw. gelöscht.

So in etwa klingen viele reale Szenarien. Um uns selbst auf einen solchen Fall vorzubereiten, haben wir dieses Szenario durchgespielt. Als Grundlage dient uns ein imaginäres Unternehmen, wie wir es oft im Alltag vorfinden. Das Unternehmen nutzt vorwiegend on-premises IT-Infrastruktur (Active Directory, Exchange, SCCM, …) und konsumiert bereits einige Dienste von Microsoft 365. Das Ziel unseres Use Cases, ist möglichst schnell wieder arbeitsfähig zu werden, dazu zählen Endgeräte und Kommunikationsmittel.

Ohne ein vollständiges Backup und dem Wissen, wie der Angreifer ins Netzwerk gelangt ist und wo er sich manifestiert hat, eine fast unlösbare Aufgabe. Die bisherige on-premises IT-Infrastruktur ohne forensische Prüfung wiederherzustellen, kommt für uns nicht in Frage. In diesem frühen Stadium ist noch nicht klar, wann und wie der Angreifer ins Netzwerk eingedrungen ist. Wie in vielen echten Szenarien können viele kritische Komponenten nicht wiederhergestellt werden, da das Backup zerstört wurde. Wir entwickelten daher die Idee, direkt in die Cloud zu gehen und unseren 100 % Cloud Blueprint vollständig umzusetzen. Mithilfe von Azure Active Directory, Office 365, Intune und RealmJoin wollen wir kurzfristig eine funktionsfähige Arbeitsumgebung bereitstellen. Nach einem solchen Angriff direkt in die Cloud zu gehen, bringt mehrere Vorteile. Viele Dienste können ohne den Aufbau einer Infrastruktur bereitgestellt werden, und dringend benötigte Sicherheitsfunktionen können sofort implementiert werden. Der Neuaufbau verhindert, dass infizierte Systeme mitgeschleppt werden. Mit unserer Strategie möchten wir zeigen, wie schnell wir sind, um Mitarbeiter so zügig wie möglich wieder an die Arbeit zu bringen.

Infrastruktur

Unser erster Schritt ist es, den bisherigen AD-Sync zu Azure AD zu deaktivieren. Alle Beteiligten sind sich einig, das bisherige Active Dirctory nicht wiederherzustellen (Stichwort Golden Ticket). Die bereits im Azure AD vorhandenen Identitäten wollen wir aber weiterhin nutzen. Dieser Prozess ist ein wichtiger Eckpfeiler für den Rebuild, kann aber bis zu 72 Stunden dauern. Sobald also die Entscheidung für einen Neuaufbau in der Cloud gefallen ist, muss dieser Schritt als erster erfolgen.

Setting up applications

Die Identitäten im Azure AD werden zunächst gesperrt und deren Zugangsdaten zurückgesetzt. Innerhalb kürzester Zeit werden Mailboxen angelegt, die Plattform für unseren Future Workplace vorbereitet und alle wichtigen Security Features aktiviert und konfiguriert. Dank unseres bewährten Blueprints sind die ersten Clients nach zwei Tagen provisioniert, in der Cloud enrolled und den Usern bereitgestellt. Hierfür müssen die Protagonisten perfekt Hand in Hand arbeiten, um die zeitlichen Ziele zu erreichen. Nach zwei arbeitsreichen Tagen ist die Basis geschaffen, um alle Mitarbeiter mit einem Endgerät sowie wichtigen Kommunikationsmitteln auszustatten.

Und wie geht es nach den ersten paar Tagen weiter? Ein wichtiger Baustein sind die Bestands-E-Mails. Hierfür muss ein funktionierendes Backup gefunden, wiederhergestellt und geprüft werden. Je nach Situation müssen die Daten so aufbereitet werden, dass sie anschließend in Exchange Online importiert werden können.

Weitere unternehmenskritische Anwendungen sollten ebenfalls in der Cloud neu aufgesetzt werden. Wenn dies nicht möglich ist, ist auch ein on-premises Aufbau denkbar. Hierfür wird in der Regel ein Active Directory benötigt. Da das bisherige Active Directory kompromittiert wurde, muss dieses neu aufgesetzt werden. Die User können aus dem Azure AD exportiert und ins neue Active Directory importiert werden. Anschließend müssen die User per Softmatch über Azure AD Connect mit den Azure AD Usern verknüpft werden. Für das Seamless Single Sign-On der lokalen Applikationen empfehlen wir die Konfiguration von Windows Hello for Business Hybrid. Die benötigten DC-Zertifikate können wir schnell und einfach per SCEPman erstellen und verteilen.

Microsoft Defender for Endpoint

Fazit:

Der Befall mit einer Ransomware ist für jedes Unternehmen immer der Worst Case. Allerdings kann aus dem anfänglichen Chaos auch ein Weg geschaffen werden, die IT-Infrastruktur schnell, effektiv und sicher neu aufzubauen. Der glueckkanja-gab Blueprint zeigt an dieser Stelle, dass unser vielfach erprobter Weg in die Cloud auch in einem solchen Notfallszenario funktionieren kann. In unserer Simulation ist es von unmittelbarem Vorteil, dass das imaginäre Unternehmen bereits seine Identitäten in die Cloud synchronisiert hat. So kann auf gedruckte Mitarbeiterlisten verzichtet werden, was den Prozess deutlich beschleunigt und folglich der Umbau in die Cloud zeitnah durchgeführt werden kann.

Generell bietet der Infrastruktur Neuaufbau in der Cloud viele Vorteile, z.B. können neben der Modernisierung durch neue Funktionen und Technologien auch neue Sicherheitsfeatures implementiert und genutzt werden. Dies beginnt mit dem Einsatz von Conditional Access, um sämtliche Anmeldungen an Microsoft 365 Services zu überwachen und den Zugriff risikobasiert zu gewähren. Darüber hinaus bietet sich auch die Möglichkeit, on-premises installierte Applikationen mit einem Azure AD Application Proxy zu veröffentlichen und die Anmeldungen an dieser Applikation durch Conditional Access zu kontrollieren. Das Management der Clients durch Microsofts Endpoint Manager und die Absicherung der Clients durch den Defender for Endpoint stellt sicher, dass die Clients immer up-to-date und geschützt sind. Dies lässt sich in nahezu Echtzeit automatisch kontrollieren. Microsoft Defender for Office 365 stellt sicher, dass E-Mails jederzeit geprüft und bei Bedarf blockiert werden. Damit deckt Microsoft an dieser Stelle den kompletten Schutzbedarf für Identitäten, Clients und Applikationen ab. Zusätzlich stellt RealmJoin sicher, dass immer die aktuellsten Pakete auf den Clients installiert sind. Durch den Einsatz von SCEPman vermeidet man den komplexen Neuaufbau einer on-premises PKI, ohne auf notwendige Funktionen bei der Zertifikatsaustellung verzichten zu müssen.

All diese Komponenten sorgen dafür, dass ein solcher, quasi erzwungener Weg in die Cloud schnell und sicher erfolgen kann.

Image Description
Teams Collaboration

Microsoft Teams – Direct Routing in Public Preview

Mit Teams hat Microsoft nun das **Direct Routing** eingeführt. Diese Funktion bringt die Möglichkeit, vorhandene Systeme, sofern sie denn zertifiziert sind, mit der O365 Cloud direkt zu verbinden. Das heißt, es wird ein von O365 vertrauenswürdiges Zertifikat, ein passender FQDN und eine passende öffentliche IP Adresse benötigt. Dann noch wenige Konfigurationsschritte in der Cloud und Anrufe können über den SBC/MGW geführt werden. Vorhandene Rufnummern werden beibehalten.

18.05.2018
Image Description
Microsoft Events

Ignite 2017: Neuerungen für den Modern Workplace

Mehr als 25.000 Teilnehmer haben vom 25. - 29. September die Ignite 2017 in Orlando, Florida besucht. Sie ist damit eine der größten IT-Kundenkonferenzen der Welt und hat sich im Laufe der Zeit immer mehr zu einem Showroom entwickelt, der das gesamte Spektrum des Tech-Riesen im Bereich Business Software und Cloud in den Fokus rückt. In der Eröffnung-Keynote sprach Satya Nadella über die Zukunft des Cloud-Geschäfts und die digitale Transformation. Wir haben die wichtigsten Themen für Sie zusammengefasst:

04.10.2017
Image Description
GK 100Cloud

Big enough to deliver, small enough to care

Hamburg / München / Offenbach. 100% Cloud. Das ist das Motto der strategischen Partnerschaft der führenden Microsoft Cloud Beratungshäuser im Microsoft Enterprise Segment.

Als langjährige Partner verfolgen PHAT CONSULTING, GAB Enterprise IT Solutions und Glück & Kanja eine gemeinsame Beratungsstrategie für die Transformation der Produktivitätsinfrastruktur hin zu Office 365 und Azure.

Partner

Mit ähnlichen Unternehmensstrukturen und -kulturen, einem ergänzenden Lösungsportfolio und räumlicher Nähe zu den Kunden liegt der Fokus auf einer engen und abgestimmten Zusammenarbeit zwischen Kunden, Microsoft und den drei langjährigen Infrastruktur- und Cloud-Partnern.

“Wir nutzen unsere komplementären Kompetenzen und schaffen so hervorragende Synergieeffekte zum Vorteil unserer Kunden”, so Michael Breither, Vorstand der Glück & Kanja Consulting AG. Nils Langemann, Geschäftsführer der PHAT CONSULTING GmbH, ergänzt: “Digitalisierung ist Mannschaftssport. Gerade Anforderungen aus dem Business und die offene Kommunikation sind extrem wichtig für die Gestaltungsmöglichkeiten der neuen Art zu arbeiten. Bei der Umsetzung setzen wir konsequent auf Microsoft Lösungen”. Das kann Harald Ehrl, Geschäftsführer der GAB Enterprise IT Solutions GmbH, nur bestätigen: “In Sachen Technologie sind wir drei Partner führend. Da macht uns so schnell keiner etwas vor. Wir etablieren Lösungen, die richtungsweisend sind. Mit Microsoft an unserer Seite führen wir für unsere Kunden zukunftssichere Lösungen ein, die wirklich ‚evergreen‘ bleiben”.

Die Vision ist klar: Die bestmögliche, zukunftsweisende Lösung für den Kunden, die den aktuellen Sicherheitsanforderungen gerecht wird und für den Kunden einfach, transparent und nutzenorientiert betreibbar ist; und das mit nur einem Ansprechpartner und Microsoft.

Für Kunden bietet sich ein enormes Potential: Sie erhalten die technologische Grundlage für die Herausforderungen der Digitalisierung. Moderne Arbeitsweisen werden unterstützt und vereinfacht durch Werkzeuge, die optimal auf die Bedürfnisse der Mitarbeiter und des Unternehmens abgestimmt sind. “Technologie alleine ist aber nicht entscheidend,” fasst Nils Langemann zusammen. “Ebenso wichtig ist ein kultureller Wandel und begleitende Prozesse, um einen ganzheitlichen Erfolg zu erzielen.”

Diese Partnerschaft unterstützt Unternehmen durch beste Referenzen, hohes Implementierungstempo, Kompetenzführerschaft und klare Kundenorientierung.

16.11.2018