AD360-Tipps: 8 Tipps, wie Sie Ihre NIS2-Compliance mit AD360 verbessern können

Ab dem 17. Oktober 2024 gilt für viele Unternehmen die NIS2-Richtlinie. Um die Anforderungen der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit zu erfüllen, müssen die betroffenen Firmen unter anderem angemessene technische und organisatorische Maßnahmen ergreifen, die die Sicherheit ihrer IT-Infrastruktur gewährleisten. Darüber hinaus müssen sie ihre Sicherheitslage regelmäßig bewerten und verbessern.

Das Identity & Access Management spielt bei den Anforderungen von NIS2 eine wesentliche Rolle, um das in der Richtlinie geforderte Sicherheitsniveau zu erreichen. Mit der Implementierung einer guten IAM-Strategie können Unternehmen die wichtigsten NIS2-Anforderungen an das Identitäts- und Zugriffsmanagement umsetzen.

Firmen, die bereits umfassende IAM-Lösungen wie AD360 von ManageEngine nutzen, profitieren dabei besonders, da sie viele Punkte auf der Compliance-Checkliste für NIS2 ohne großen Aufwand abdecken können – etwa die Kontrolle und Protokollierung des Zugriffs auf Daten, die Implementierung starker Passwortrichtlinien mit Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA), rollenbasierte Zugriffskontrollen oder das Privileged Access Management.

Wir haben sechs zentrale Punkte der NIS2-Richtlinie für Sie zusammen gestellt, die Sie mit AD360 – oder den darin enthaltenen ManageEngine-Lösungen – schnell und ohne großen Aufwand abdecken können.

Weitere Tipps & Infos rund um das Active Directory und AD360 finden Sie hier.

Testen Sie AD360 30 Tage lang -
kostenlos und unverbindlich

Hier geht es direkt zu den AD360 Tipps:

1. Sicherer Zugriff auf die IT-Systeme des Unternehmens

Artikel 21.2.i der NIS2-Richtlinie fordert beispielsweise „Konzepte für die Zugriffskontrolle“. Um diesen Punkt zu erfüllen, empfehlen wir unter anderem Folgendes:

Tipp 1: Nutzen Sie die rollenbasierte Zugangskontrolle (Role-based Access Control, kurz: RBAC) in AD360 (oder ADManager Plus)

Mit der rollenbasierte Zugangskontrolle von AD360 oder ADManager Plus können Sie den Anwendern in Ihrem Unternehmen nach dem Least-Privilege-Prinzip genau die Zugriffsberechtigungen geben, die diese für ihre jeweiligen Aufgaben benötigen. Dazu definieren Sie in AD360 beliebig viele Benutzerrollen und erteilen diesen granular die gewünschten Berechtigungen. Auf diese Weise können Sie beispielsweise die Aktivitäten von Helpdesk-Technikern auf die zugewiesenen Aufgaben beschränken.

Die Funktionen zum Anlegen benutzerdefinierter Rollen sowie zum Zuweisen der gewünschten Berechtigungen finden Sie in AD360 auf dem Tab „ADManager“ (in ADManager Plus entfällt dieser Schritt) unter Delegation > Help Desk Delegation.

Hinweis:
Weitere Informationen zur rollenbasierten Zugriffskontrolle in AD360 finden Sie hier.

Screenshot AD360: Rollenbasierte Zugriffskontrolle
Screenshot AD360: Mit der rollenbasierten Zugriffskontrolle können Sie z. B. Helpdesk-Technikern die minimal notwendigen Berechtigungen für eine bestimmte Aufgabe zuweisen.

Tipp 2: Identifizieren und überprüfen Sie regelmäßig den Zugriff der Benutzer auf Unternehmensressourcen mit einer Access Certification Campaign in AD360 (oder ADManager Plus)

Mit einer Access Certification Campaign können Sie die Zugriffsrechte und Privilegien, die Benutzern gewährt werden, überprüfen und validieren. Dazu versendet AD360 Benachrichtigungen und Erinnerungen an Zertifizierer, in denen sie aufgefordert werden, zu prüfen, ob die den Benutzern zugewiesenen Zugriffsrechte angemessen und aktuell sind und auch mit den Compliance-Richtlinien übereinstimmen. Auf diese Weise können Sie Ihre Access-Management-Prozesse regelmäßig überprüfen und das Risiko unbefugter Zugriffe oder Datenschutzverletzungen reduzieren.

So konfigurieren Sie eine Access Certification Campaign (AD360 oder ADManager Plus)

  • In AD360 gehen Sie auf den Tab „ADManager“ (in ADManager Plus entfällt dieser Schritt).
  • Navigieren Sie zu Automation > Access Certification > Access Certification Campaign.
  • Sie sehen eine Liste mit allen vorhandenen Kampagnen inklusive Details. Um eine neue Kampagne zu erstellen, klicken Sie oben rechts auf „Create New Campaign“.
  • Sie werden zu einer Seite mit den folgenden Registerkarten weitergeleitet:
    • Campaign Details“: Geben Sie den Namen und das Ziel der Kampagne ein.
    • Entitlements & Objects“: Definieren Sie, welche Berechtigungen und Objekte überprüft werden sollen.
    • Certifier & Scheduler“: Wählen Sie die Zertifizierer aus und planen Sie die Details der Kampagne.
    • Settings“: Konfigurieren Sie das Ablaufdatum von Anfragen, Aktionen zum Beenden der Kampagne und vieles mehr.
    • Summary“: Sehen Sie sich die Zusammenfassung der Kampagneneinstellungen an.
Screenshot ADManager Plus: Access Certification Campaign
Screenshot ADManager Plus: Mit den in AD360 ebenfalls enthaltenen Access Certification Campaigns können Sie Zugangsberechtigungen regelmäßig überprüfen und validieren.

Hinweis:
Detaillierte englische Informationen zur Durchführung von Access Certification Campaigns finden Sie hier.

2. Umfassendes Risikomanagement umsetzen

Das Thema „Risikomanagement“ spielt in verschiedenen Artikeln der NIS2-Richtlinie (z. B. Artikel 7.1.d, Artikel 18.1.a, Artikel 22) eine Rolle, für Unternehmen ist allerdings vor allem der in Artikel 21.2.b aufgeführte Punkt „Bewältigung von Sicherheitsvorfällen“ relevant. Wir empfehlen dazu unter anderem Folgendes:

Tipp 3: Identifizieren, analysieren und bewerten Sie die Risikoelemente in Ihrem Unternehmen mit dem Risk-Assessment-Bericht in AD360

Der „Identity Risk Assessment“-Bericht in AD360 identifiziert potenzielle Risikoindikatoren für die digitalen Identitäten Ihres Unternehmens. Er bietet Einblick in den Zustand und die Risikolage sowohl Ihrer AD- als auch Ihrer Microsoft-365-Umgebungen. Neben den Risikoindikatoren enthält der Bericht Informationen, warum diese ein Risiko darstellen und wie Sie Abhilfe schaffen können. Zusätzlich erhalten Sie eine Risikobewertung, um die festgestellten Risiken besser einschätzen zu können.

So lassen Sie sich den „Identity Risk Assessment“-Bericht anzeigen (AD360 oder ADManager Plus)

  • In AD360 gehen Sie auf den Tab „ADManager“ (in ADManager Plus entfällt dieser Schritt).
  • Klicken Sie auf der Registerkarte „Reports“ auf den Bericht „Identity Risk Assessment“.
  • Wählen Sie im Dropdown-Menü „Domain“ die Domäne aus, für die Sie sich den Bericht anzeigen lassen möchten.
  • In einem Dashboard werden Ihre Risikobewertung sowie die in Ihrem Netzwerk erkannten Risiken angezeigt.

Hinweis:
Detaillierte englische Informationen zum „Identity Risk Assessment Report“ finden Sie hier.

Screenshot ADManager Plus: Identity Risk Assessment Report
Screenshot ADManager Plus: Der in AD360 ebenfalls enthaltene „Identity Risk Assessment“-Bericht hilft Ihnen, Sicherheitsrisiken zu identifizieren, zu priorisieren und zu beheben.

Tipp 4: Führen Sie Abhilfemaßnahmen durch und überwachen Sie Ihre IT-Infrastruktur genau, um Risikoindikatoren zu identifizieren und zu mindern.

Nachdem Sie, wie in Tipp 3 beschrieben, einen „Identity Risk Assessment“-Bericht aufgerufen haben, sollten Sie geeignete Maßnahmen ergreifen, um die erkannten Risiken zu minimieren.

Unser Tipp: Klicken Sie im Report auf eines der erkannten Risiken, um sich die potentiell gefährdeten Objekte anzeigen zu lassen. Anschließend können Sie die Management-Aktionen nutzen, um die Risiken zu beheben oder zu minimieren. Klicken Sie anschließend auf den Aktualisierungs-Button, um die Risikodaten zu aktualisieren.

Zusatztipp:
Nutzen Sie die KI-gestützten Identitätsanalysen in AD360, um Cyberrisiken im Zusammenhang mit Identitäten zu analysieren, Anomalien zu erkennen, inaktive Konten zu bereinigen oder Insider-Bedrohungen zu erkennen oder eine risikobasierte Authentifizierung zu implementieren.
Weitere Informationen finden Sie hier.

3. Nutzen Sie Incident-Reports für die Sicherheit Ihrer Systeme

Neben den in Artikel 11.3.b der NIS2-Richtlinie geforderten „Frühwarnungen und Alarmmeldungen“ durch die „Computer-Notfallteams (CSIRTs)“ auf nationaler Ebene sollten auch die Unternehmen selbst Benachrichtigungen und Alarme nutzen, um die Sicherheit ihrer Systeme zu erhöhen.

    Tipp 5: Konfigurieren Sie Echtzeit-Benachrichtigungen für verdächtige Aktivitäten in Ihrer AD-Umgebung

    Mit AD360 (oder ADAudit Plus) können Sie sich in Echtzeit per E-Mail über verdächtige Aktivitäten in Ihren Systemen benachrichtigen lassen. Auf diese Weise sehen Sie die potenziellen Schwachstellen in Ihrer AD-Umgebung und können diese mithilfe der umsetzbaren Empfehlungen frühzeitig beheben.

    So passen Sie die Benachrichtigungsprofile an (AD360 oder ADAudit Plus)

    • In AD360 klicken Sie auf den Reiter „ADAudit“ (in ADAudit Plus entfällt dieser Schritt).
    • Klicken Sie oben rechts auf „View/Modify Alert Profiles“.
    • Jetzt sehen Sie eine Liste aller Alarmprofile. Diese können Sie je nach Bedarf anpassen oder zusätzliche erstellen.
    Screenshot AD360: Alert Dashboard
    Screenshot AD360: Das Alarm-Dashboard hilft Ihnen, verdächtige Aktivitäten in Ihren Systemen stets im Blick zu behalten.

    Hinweis:
    In „8 Best Practices für mehr AD-Sicherheit“ sowie in unseren Tipps zu ADAudit Plus finden Sie zahlreiche detaillierte Anleitungen, wie Sie verdächtige Aktivitäten in Ihrer AD-Umgebung aufspüren bzw. Alarme dazu einrichten können.

    4. Behalten Sie den Überblick über all Ihre digitalen Ressourcen

    Um die in Artikel 11.3.a der NIS2-Richtlinie geforderte „Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen auf nationaler Ebene“ erfüllen zu können, müssen auch die einzelnen Unternehmen in der Lage sein, den Überblick über ihre digitalen Ressourcen zu gewährleisten. Die intuitiven Reporting- und Monitoring-Funktionen von AD360 unterstützen Sie bei dieser Aufgabe:

    Tipp 6: Überwachen Sie Ihre AD-, Exchange- und Microsoft-365-Umgebungen mithilfe von AD360

    Nutzen Sie die detaillierten Audit-Berichte von AD360, um einen Überblick über Ihre AD-, Exchange- und Microsoft 365-Umgebungen zu erhalten. So können Sie all Ihre Ressourcen von einer einzigen Konsole aus im Auge behalten. Insgesamt stehen Ihnen über 1.000 vorkonfigurierte Reports zur Verfügung. Die Berichte finden Sie in AD360 auf dem Reiter „Report“.

    5. Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA)

    Artikel 21.2.j der NIS2-Richtlinie fordert unter anderem die „Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung“. AD360 hilft Ihnen bei der Umsetzung:

    Tipp 7: Nutzen Sie die adaptive Multi-Faktor-Authentifizierung (AD360 oder ADSelfService Plus)

    Die adaptive MFA-Funktion von AD360 oder ADSelfService Plus kann Ihnen zusammen mit Single Sign-On (SSO) und Richtlinien für den bedingten Zugriff dabei helfen, eine Zero-Trust-Umgebung in Ihrem Unternehmen zu schaffen. So können Sie Ressourcen absichern und den Zugriff auf das Netzwerk verwalten, ohne die Benutzererfahrung zu beeinträchtigen.

    So richten Sie die Multi-Faktor-Authentifizierung ein (AD360 oder ADSelfService Plus)

    • In AD360 klicken Sie auf den Reiter „SelfService“ (in ADSelfService Plus entfällt dieser Schritt).
    • Klicken Sie auf den Reiter Konfiguration.
    • Gehen Sie zu Self-Service > Multi-factor Authentification > Authenticators Setup.
    • Wählen Sie in der Liste den Authentifizierungsfaktor aus, den Sie konfigurieren möchten und aktivieren Sie diesen.
    Mehr über die Authentifizierungsfaktoren in ADSelfService Plus und AD360
     

    Zusatztipp:
    Wie Sie Single Sign-On in AD360 aktivieren / konfigurieren, haben wir hier beschrieben.

    Screenshot AD360: MFA Authentifikatoren
    Screenshot AD360: In AD360 stehen zahlreiche Authentifikatoren für die Multi-Faktor-Authentifizierung zur Auswahl.

    6. Führen Sie aktuelle Backups durch

    Ein weiterer zentraler Punkt der NIS2-Richtlinie ist die in Artikel 21.2.c geforderte „Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall (…)“. Dabei spielt ein gutes Backup- und Recovery-Management eine entscheidende Rolle. AD360 unterstützt Sie auch bei dieser Aufgabe:

    Tipp 8: Sichern Sie Ihre AD-, Entra-ID-, Microsoft-365-, Google-Workspace- und Exchange-Umgebungen mit AD360 (oder RecoveryManager Plus) und stellen Sie diese bei Bedarf einfach wieder her.

    Mit den in AD360 integrierten Funktionen von RecoveryManager Plus können Sie planen, in welchen Intervallen automatische Backups Ihrer AD-, Entra-ID- , Microsoft-365-, Google-Workspace- und Exchange-Umgebungen durchgeführt werden sollen. So können Sie sicherstellen, dass Sie stets die aktualisierten Versionen Ihrer Daten gesichert haben und bei Bedarf für ein Recovery nutzen können.

    Hinweis:
    Detaillierte englische Informationen zu den Backup- und Recovery-Funktionen von AD360 bzw. RecoveryManager Plus finden Sie hier.

    Screenshot AD360: Backup Dashboard
    Screenshot AD360: Das Dashboard der RecoveryManager-Komponente enthält Details wie die Anzahl der verfügbaren Backups und durchgeführten Wiederherstellungen.

    Über AD360

    AD360 ist eine umfangreiche Lösung für das Identity- und Access Management, die dabei hilft, Identitäten zu verwalten und einen sicheren Zugang zu Unternehmensressourcen sowie Compliance zu gewährleisten. Sie verfügt über leistungsstarke Funktionen für die automatisierte Verwaltung von Identitäten über deren gesamten Lebenszyklus, ein sicheres Single-Sign-On, eine adaptive Multi-Faktor-Authentifizierung sowie genehmigungsbasierte Workflows. Zudem nutzt die Lösung User-Behaviour-Analytics-Funktionen, um Identitäten vor Bedrohungen zu schützen und bietet Audit-Berichte mit historischen Daten für AD, Exchange Server und Microsoft 365. Die intuitive Benutzeroberfläche und dieleistungsstarken Funktionen machen AD360 zur idealen Lösung für alle Anforderungen rund um das Identity and Access Management, einschließlich der Förderung einer Zero-Trust-Umgebung.

    Jetzt testen
    Demo-Version von AD360 ansehen

    ManageEngine – Support & Kontakt

    MicroNova AG
    Unterfeldring 6
    85256 Vierkirchen

    Vertrieb
       +49 8139 9300-456
       Sales-ManageEngine@micronova.de

    Technische Unterstützung
       Support kontaktieren