Regelmäßige Berechtigungsprüfungen sind erforderlich

In der Gruppe der Domain-Administratoren sollte man regelmäßig Berechtigungsprüfungen durchführen, um sicherzustellen, dass sich keine unbefugten Mitglieder eingeschlichen haben. Äußerst hilfreich kann es auch sein, Benachrichtigungen für den Fall einzurichten, dass der Gruppe ein Benutzer hinzugefügt wird. Das sollte so selten der Fall sein, dass man dazu auf jeden Fall eine E-Mail oder eine SMS-Nachricht erhält.

Active Directory zu überprüfen ist praktisch lebensnotwendig, denn in zahlreichen Unternehmen liegt hier das Herzstück der Zugriffskontrolle. Wenn jemand über eine Active-Directory-Gruppe Berechtigungen zu kritischen Informationen erhält, sollte Klarheit herrschen, wer den Benutzer wann und wie hinzugefügt hat. Anschließend sollte man anhand der Protokolle zur Dateianalyse beobachten, wie der Nutzer die neuen Zugriffsrechte einsetzt.

Dabei reicht es bei Weitem nicht aus, ein vom Kontext losgelöstes Element zu betrachten, wie es bei herkömmlichen Intrusion-Prevention-Systemen der Fall ist. Vielmehr sind die Ereignisse in ihrem jeweiligen Zusammenhang zu sehen. Ein Beispiel: Herr Schmidt hat vor fünf Minuten 250 Verträge gelöscht, und Herr Schmidt arbeitet in der Kantine – hier sollten alle Alarmglocken schrillen.

Zur Analyse wird idealerweise jedem Benutzer ein Profil zugewiesen, das sein „normales“ Verhalten definiert. So lässt sich der Kontext erkennen, und Warnungen werden nur aus gelöst, wenn der Nutzer sich ungewöhnlich verhält. Das lässt sich mit einer Software zur Dateianalyse bewerkstelligen, die jedes Ereignis innerhalb der Filesharing- (und E-Mail-)Infrastruktur erfasst und analysiert.

Es empfiehlt sich darüber hinaus, das Netzwerk auf deutlich gesteigerte Aktivitäten außerhalb der üblichen Arbeitszeiten hin zu überwachen, ebenso Zugriffe auf Informationen, die nicht in den Speicherbereich der jeweiligen Abteilung gehören.