pantrag_fisi Projektantrag: Auswahl und Implementierung einer Multi-Faktor-Authentifizierung (MFA) zur Absicherung von privilegierten Konten

[Thacoline]

Hallo zusammen,

ich würde mich über Feedback zu meinem Projektantrag freuen. Gerade beim Zeitplan bin ich unsicher, da die Planungsphase mehr Stunden hat als die Durchführungsphase. Denn gute Planung ist die halbe Miete. Aber ich weiß nicht, ob das so okay ist.   
Ganz lieben Dank im Voraus! 

 

 

Thema
Auswahl und Implementierung einer Multi-Faktor-Authentifizierung (MFA) zur Absicherung von privilegierten Active Directory Konten 

Ausgangssituation

 

Die Aufgaben der internen IT Abteilung sind unter anderem Netzwerkmanagement, Administration und Überwachung, Serveradministration, Client und User Support, Datensicherung und Wiederherstellung, Informationssicherheit, IT-Infrastrukturplanung, Datenschutz, Beschaffung von Hard- und Software und deren Inventarisierung. 
Um die vielen Nutzer und Geräte verwalten zu können, wird der Verzeichnisdienst Active Directory (AD) von Microsoft verwendet. Dort werden aktuell die administrativen Aufgaben und Konten mit einem veralteten Konzept genutzt. 

Gerade Kommunen sind vermehrt in den Fokus von Ransomware Angriffen gerückt. Im aktuellen Lagebericht des BSI sind diese Angriffe als größte Bedrohung für kommunale Betriebe und Verwaltungen gekennzeichnet. Monatlich werden durchschnittlich zwei erfolgreiche Angriffe mit Komplettausfall auf kommunale Betriebe bekannt.

Diese Angriffe, insbesondere die Ransomware Attacke, verlaufen in mehreren Phasen:

Einbruch –> Rechteerweiterung –> Ausbreitung –> Datenabfluss –> Verschlüsselung –> Incident Response.

Durch die Einführung einer Multi-Faktor-Authentifizierung (MFA) kann schon die zweite Phase der Rechteausweitung stark eingegrenzt werden und somit eine Komprimittierung der Systeme abgewendet werden.

Das BSI hat Maßnahmen vorgeschlagen, um sich den wachsenden Angriffen zu stellen. Eine dieser Maßnahmen sieht vor, administrative Active Directory (AD) Konten mit einer Zwei-Faktor-Authentifizierung (2FA) abzusichern als Prävention vor Ransomware Attacken.

Denn mithilfe des zweiten Faktors kommt eine weitere Sicherheitsebene dazu. So können sich privilegierte Konten, also ein Konto mit erhöhten Zugriffsrechten, sicher authentifizieren am System.

Es gibt mehrere Faktoren zur Authentisierung des Benutzers:
Etwas, das nur der Benutzer weiß, also z.B. ein Passwort.
Etwas, das der Benutzer besitzt, also ein physischer Gegenstand wie z.B. ein Handy oder Token.
Und etwas, das der Benutzer ist, also biometrische Merkmale wie Fingerabdrücke.

Für eine 2FA werden zwei dieser Faktoren kombiniert. Für eine MFA mindestens drei Faktoren. 
Man kombiniert also zum Beispiel "Etwas-Wissen" (Passwort) mit "Etwas-Haben" (Handy, Token), und für den dritten Faktor sogar noch ein biometrisches Merkmal.
Die Kompromittierung eines dieser Verfahren reicht so nicht mehr aus, um Zugang zu dem Benutzerkonto zu erlangen. Dies erhöht wesentlich die Sicherheit.

 

Projektziel

 

Das Ziel des Projektes besteht darin ein geeignetes Produkt zur Umsetzung einer MFA auszuwählen, das wirtschaftlich und im Arbeitsalltag möglichst bedienerfreundlich ist. Es sollen die Aspekte der Sicherheit, aber gleichzeitig auch die reibungslose Nutzung der MFA für Administratoren berücksichtigt werden.

Zunächst wird eine Anforderungsliste anhand interner und BSI-Vorgaben erstellt. Nach Auswahl und Beschaffung eines geeigneten Produktes erfolgt die Integration in die Systemumgebung.

Das Projekt zielt darauf ab, die Sicherheit der Authentifizierung der administrativen Benutzerkonten zu verbessern, bzw. deren Identität und Integrität zu schützen.

 

Zeitplan

• Planungsphase 14 Std.
  •    Anforderungsgespräch im Team 2 Std.
  •    Ist- / Soll-Analyse 4 Std.
  •    ?? Evaluierung möglicher Lösungen oder Marktsichtung 6 Std.
  •    Angebotsvergleich und Kostenanalyse und Beschaffung 2 Std. 
• Durchführungsphase 11 Std.
  •    Installation und Konfiguration des Serverbetriebssystems 2 Std.
  •    Verwaltung und Anpassung des Active Directorys 4 Std.
  •    Konfiguration der Clients 1 Std.
  •    Einführung des Produktes 2 Std.
  •    Puffer 2 Std.
• Testphase 7 Std.
  •    Funktionstest und Fehleranalyse 6 Std.
  •    Ist-Soll-Vergleich 1 Std.
• Abschlussphase 8 Std.
  •    Einweisung der Mitarbeiter 1 Std.
  •    Projektdokumentation 6 Std.
  •    Abschlussbesprechung 1 Std.

 

In der Anlage des Antrages befindet sich dann noch eine grafische Darstellung des Zeitplanes und eventuell ein Bild zur Verdeutlichung der Phasen der Ransomware Angriffe.

 

 

 

 

 

Bearbeitet 30. Januar von mapr

[charmanta]

Am 30.1.2024 um 11:09 schrieb Thacoline:

Eine dieser Maßnahmen sieht vor, administrative Active Directory (AD) Konten mit einer Zwei-Faktor-Authentifizierung (2FA) abzusichern als Prävention vor Ransomware Attacken.

Warum ist Dein Thema nicht eine der Maßnahmen auszuwählen ? Das hätte deutlich mehr Kick

Im Moment haut mich die Tiefe nicht vom Hocker

[ickevondepinguin]

Ich bin da bei @charmanta.

MFA ist eine Lösung für dein Problem. Wie lautet das Problem? Und welche Alternativen zu MFA gibt es?

[Thacoline]

Vielen Dank für das Feedback!