Nie wieder Datenverlust? So funktionieren sicheres Backup & Recovery in Microsoft Entra ID

Stellen Sie sich vor, Teile Ihres Microsoft Tenants wurden gelöscht. Solch ein Datenverlust birgt zahlreiche Risiken: die beiden wichtigsten sind Betriebs- und Sicherheitsprobleme. Ein wichtiges Szenario ist hier z. B. der Verlust einer großen Anzahl von Sicherheitsgruppen. Dies kann massive Folgen haben. Zugangsprobleme und nicht funktionierende Anwendungen können den Betrieb stark beeinträchtigen. Wurden darüber hinaus Sicherheitsgruppen gelöscht, die in Conditional Access-Regeln hinterlegt waren, können sich Nutzer mit weniger sichereren Methoden an Anwendungen und Ressourcen anmelden. Wo vorher z. B. eine Multifaktor-Authentifizierung notwendig war, fehlt diese jetzt. Diese geringere Sicherheit kann Ransomware-Angriffe begünstigen.

Es muss aber nicht immer direkt eine große Menge an Objekten wie z. B. Gruppen betroffen sein. Manchmal genügt ein Verlust von einzelnen Attributen wie z. B. Anwendungs-Einstellungen – der dadurch entstehende Datenverlust kann große Auswirkungen haben, z. B. wenn es um die Berechtigungen der Anwendung geht. Zu geringe Berechtigungen führen i. d. R. zu Betriebsproblemen, zu hohe zu ungewollten Zugriffsmöglichkeiten.

Sie suchen Microsoft-Experten?

Als Microsoft Solutions Partner sind wir stets über die neusten Entwicklungen bei Microsoft informiert und können Ihnen schnelle, kompetente Unterstützung in Ihren Projekten bieten. In den Bereichen Data & AI, Modern Work und Security hat Microsoft uns als Solutions Partner zertifiziert.

Mehr erfahren

Je nach Ausmaß des Datenverlustes können dadurch ganze Abteilungen, Produktionsstätten oder sogar das ganze Unternehmen nicht mehr arbeiten. Zudem droht gegebenenfalls ein starker Reputationsverlust in der Öffentlichkeit, wenn z. B. durch Datenverlust oder lahmgelegte Geschäftsprozesse Zahlungsverzögerungen entstehen oder Datenschutzvorgaben wie die EU-DSGVO verletzt werden. Die finanziellen Folgen, wenn ein gesamtes Unternehmen über längere Zeit nicht arbeiten kann, sind ebenfalls äußerst kritisch. Wenn kein Konzept für die Wiederherstellung vorliegt, drohen Unternehmen darüber hinaus empfindliche Geldstrafen, insbesondere wenn sie wie z. B. Banken und Versicherungen speziellen Regulatorik-Anforderungen unterliegen.

In den Vorgaben BAIT und VAIT („BAIT“ steht für „Bankaufsichtliche Anforderungen an die IT“ und „VAIT“ steht für „Versicherungsaufsichtliche Anforderungen an die IT“) sind Regularien für die Verfügbarkeit der Infrastruktur festgelegt. Auf Bundesebene geregelt gilt es im Finanzwesen und anderer kritischer Infrastruktur die Vorgaben aus „KRITIS“ zu berücksichtigen, auch hier ist die Wiederherstellung des Betriebs ein wichtiger Punkt.

Eine dokumentierte Backup- & Recovery-Strategie und entsprechende Maßnahmen, die die Besonderheiten von Microsoft Entra ID berücksichtigen, sind ein Mittel, um Datenverlust entgegenzuwirken.

Exkurs

Um Datenverlust zu vermeiden, lohnt sich zunächst ein Blick auf mögliche Ursachen. Häufig tritt er durch Folgendes ein:

Zufällige Löschungen/Änderungen

Fehlerhafte Sync-Einstellungen von On-premises-Systemen

Beabsichtigte Löschungen oder Manipulationen durch Angreifer

Der Datenverlust kann einzelne oder mehrere Attribute (Eigenschaften des Objekts, z. B. die Zugehörigkeit von Nutzer:innen zu einer Abteilung) betreffen, ein gesamtes Objekt (z. B. eine Nutzerin, Nutzergruppen oder Apps) oder den gesamten Tenant.

Um vorzubeugen, sollten Unternehmen entsprechende IT- & Cyber-Security-Vorkehrungen treffen. Dazu gehört neben präventiven Maßnahmen auch eine Strategie, wie Backup & Recovery erfolgen sollen, wenn der Verlust tatsächlich eingetreten ist. Nutzt ein Unternehmen Microsoft Entra ID, sind allerdings andere Strategien und Lösungen nötig als on-premises.
Microsoft Azure ist ein komplexer Service, in dessen Zentrum Microsoft Entra ID steht (ehemals Microsoft Azure AD). Hier findet u. a. die Verwaltung von Identitäten, Geräten, Gruppen und Anwendungen zentral statt. Microsoft Azure selbst besteht aus einer Vielzahl von weiteren verbundenen Services, z. B. Azure DevOps, arbeitet wiederum eng mit Microsoft 365 zusammen – und im hybriden Szenario mit dem On-premises-System Microsoft Active Directory. Diese Komplexität muss bei Backup & Recovery berücksichtigt werden.

Besonders hervorzuheben sind die Abhängigkeiten der Objekte untereinander. Jedes Objekt hat eine eindeutige Identifizierungsnummer, die sogenannte Objekt-ID. Die Herausforderung liegt in der korrekten Wiederherstellung von dauerhaft gelöschten Objekten, da hierbei eine neue Objekt-ID erstellt wird und die bisherigen Abhängigkeiten verloren gehen.

Im Bereich Microsoft Entra ID kann der Datenverlust dann beispielsweise ganze Sicherheits- und Usergruppen sowie Zugriffsregeln (Conditional Access) betreffen, ganze Anwendungen oder sogar den gesamten Tenant.

Woran erkennen Sie eine gute Backup- & Recovery-Lösung für Microsoft Entra ID?

Unternehmen sollten bei der Auswahl darauf achten, dass folgende Kriterien erfüllt sind:

Vollständigkeit

Die Backup- & Recovery-Lösung sollte in der Lage sein, Objekte vollständig zu sichern. Viele Anbieter sichern nur eine kleinere Auswahl an Attributen. Dadurch kann es zu Lücken im Backup kommen, denen man entgegenwirken muss.

Attribut-Wiederherstellung

Darüber hinaus sollte die Lösung in der Lage sein, auch einzelne Attribute wiederherzustellen. Dies ist insbesondere dann wichtig, wenn hybride Objekte von On-premises-Umgebungen wiederhergestellt werden und dann um die Cloud-Attribute ergänzt werden müssen.

Wiederherstellung komplexer Anhängigkeiten

Wichtig ist außerdem speziell für Entra ID die Möglichkeit der Wiederherstellung von komplexen Abhängigkeiten, wenn ein Objekt komplett neu erstellt werden muss.

Wo es bei existierenden Lösungen hakt

Zwar gibt es Lösungen, die bereits in Entra ID vorhanden sind, oder Lösungen von Drittanbietern. Diese weisen allerdings offene Flanken auf und sind daher nicht ausreichend:

Der Microsoft Entra ID-Papierkorb

Wer mit Entra ID vertraut ist, könnte meinen, dass es bereits eine Lösung von Haus aus gibt – den Papierkorb. Hierüber können Benutzer:innen, Anwendungen, Microsoft 365-Gruppen und Service Principals wiederhergestellt werden. Dies ist leider nur auf den ersten Blick richtig, denn der Papierkorb hat mehrere Schwachstellen. Es stimmt zwar, dass er die Objekte wiederherstellen kann, sogar mit allen Attributen und Beziehungen, jedoch gilt das nur, solange das Objekt nicht dauerhaft gelöscht wurde. Weitere Schwachstellen sind:

Keine Wiederherstellung im Tenant-Verlust-Szenario
Keine Wiederherstellung, wenn alle Admin-Accounts gelöscht wurden
Sicherung nur von wenigen Objekttypen
Keine Wiederherstellung von Tenant-Einstellungen
Keine Wiederherstellung von Sicherheitsgruppen

Insbesondere in dem Fall, dass hybride Sicherheitsgruppen dauerhaft gelöscht wurden, bietet der Papierkorb keine ausreichende Lösung an.

Kommerzielle und Open-Source-Lösungen

Unserer Erfahrung nach gibt es nur wenige Anbieter am Markt, die Entra ID-Objekte vollständig sichern und wiederherstellen können. Sie weisen Lücken insbesondere bei der Wiederherstellung von Abhängigkeiten und in Bezug auf die Vollständigkeit der Objekte und Attribute auf. Dies gilt für kommerzielle Lösungen genauso wie für Open-Source-Lösungen.

Bei Open-Source-Lösungen ist darüber hinaus kein Hersteller für die Weiterentwicklung der Lösung verantwortlich, da eine Community an der Lösung arbeitet. Hier müssen Unternehmen den Betrieb und die Weiterentwicklung selbst sicherstellen oder Externe damit beauftragen.

Blog

Expert-Talk: „Moderne IT-Infrastruktur ist wie eine Säge: Sie braucht regelmäßiges Nachschärfen“

Die Modernisierung der IT-Landschaft stellt viele Unternehmen vor eine große Herausforderung – und findet im Tagesgeschäft oft kaum Raum. Dr. Jan Ciupka hat in seiner […]

Cyber-Security & IT-Infrastructure Compliance +2

Vor der Lösungsauswahl kommt die Strategie

Alle Lösungen haben gemeinsam, dass es keine Lösung gibt, die alle Anwendungsfälle abdeckt. Dies gilt insbesondere, wenn auch Tenant-Einstellungen gesichert werden sollen. Je nach Anwendungsfall reichen also einzelne Lösungen nicht aus. Es bedarf einer Kombination aus verschiedenen Lösungen und ggf. individuellen Nachrüstens, wenn man auf der sicheren Seite sein möchte.

Um eine passende Backup- & Recovery-Strategie entwickeln zu können bedarf es einiger Vorüberlegungen. Die wichtigsten sind:

Die zu sichernden Objekte und Einstellungen des Tenants klären:
Unternehmen müssen sich zunächst darüber klar werden, welche Objekte und Einstellungen gesichert werden sollen. Sollen zum Beispiel nur Objekte aus dem Bereich Entra ID berücksichtigt werden? Wer ist für die Sicherung von Exchange und anderen Microsoft 365-Workloads verantwortlich?
Existierende (hybride) Systeme aufnehmen und berücksichtigen:
Wie sieht die aktuelle IT-Landschaft aus? Gibt es hybride Systeme, zum Beispiel das Active Directory? Gibt es dafür bereits Backup- und Recovery-Lösungen und was decken diese ab?
Eine Marktanalyse durchführen und aktuelle Lücken identifizieren:
Unternehmen sollten wissen, welche Lösungen es aktuell gibt und wo diese Lösungen Lücken aufweisen, um eine fundierte Entscheidung treffen zu können.
Governance-Anforderungen klären:
Wo dürfen Unternehmensdaten gespeichert werden? In welchem Land verarbeitet ein Dienstleiter die Daten?

Im Anschluss daran können die Optionen abgewogen und eine Strategie für die verschiedenen Szenarien erstellt werden:

Basierend auf den existierenden Lösungen im Unternehmen, Lösungen am Markt und Open-Source-Lösungen muss das weitere Vorgehen entschieden werden. Hier kann es gegebenenfalls sinnvoll sein, vorhandene eigenentwickelte Lösungen zu erweitern.
Verschiedene Datenverlustszenarien müssen auf die verschiedenen Backup- und Recovery-Lösungen zugeschnitten werden.
Gegebenenfalls muss eine kurzfristige Lösung implementiert werden, z. B. ein Backup mit manueller Wiederherstellung, bis die finale Lösung steht.

All das klingt komplex? Wir unterstützen Sie gerne dabei, eine klare Strategie zu entwickeln und darauf basierende Lösungen einzuführen. Wenn Sie sich dazu austauschen möchten, wenden Sie sich gerne an Tobias Wurm sowie Christian Holtschneider: Hier können Sie Kontakt aufnehmen.