Hornbach: Mehr Sicherheit für das Active Directory mit dem Cygna Auditor

Mehr Sicherheit für das Active Directory — Hornbach auditiert AD mit dem Cygna Auditor

Mit einem Nettoumsatz von gut 5,8 Milliarden Euro und über 24.000 Mitarbeitern ist die Hornbach-Gruppe eine der größten Baumarktketten in Europa. Etwas mehr als die Hälfte des Umsatzes wird in Deutschland erzielt. Europaweit betreibt Hornbach 167 Einzelhandels-Filialen mit einer Verkaufsfläche von knapp 2 Millionen Quadratmetern, wobei viele der Immobilien sich im Eigenbesitz der Hornbach-Gruppe befinden. Gemessen am Umsatz ist Hornbach in Deutschland der drittgrößte Betreiber von Baumärkten, beim Umsatz pro Markt oder pro Quadratmeter Handelsfläche die Nummer eins. Doch wirtschaftlicher Erfolg ist für Hornbach nur eine Seite der Medaille - das Unternehmen bekannte sich als eines der ersten der Branche zu seiner Verantwortung gegenüber der Umwelt. So hatte das Unternehmen sich bereits 1996 freiwillig gegenüber dem WWF und Greenpeace verpflichtet, keine unzertifizierten Tropenhölzer zu importieren und kümmert sich bei seinen Zulieferern und Produzenten intensiv um eine verantwortungsvolle Holz- und Steinwirtschaft mit hohen Sozial- und Arbeitsschutz-Standards.

Wie alle Unternehmen dieser Größe ist Hornbach für den täglichen Betrieb auf eine umfassende und vor allem zuverlässige IT-Unterstützung angewiesen. Zu den Herausforderungen zählen dabei nicht nur Warenwirtschaft, Logistik und andere Kernfunktionen — als Einzelhandelsunternehmen gehört Hornbach auch zu einer der primären Zielgruppen von Cyberkriminellen. Sicherheit und Verfügbarkeit der IT-Dienste haben daher einen sehr hohen Stellenwert.

Das zentrale Nervensystem der IT ist bei Hornbach das Active Directory (AD) von Microsoft, das als Verzeichnisdienst alle IT-Objekte wie User, Gruppen, Anwendungen oder Geräte verwaltet und es Administratoren erlaubt, den Zugang zu Ressourcen über die Vergabe und das Management von Zugriffsrechten zu regeln. Dabei hat Hornbach das Ziel, das Prinzip der minimalen Rechte konsequent durchzusetzen; d.h. Mitarbeiterinnen und Mitarbeiter sollen nur diejenigen Zugriffsrechte besitzen, die sie für die Erledigung ihrer Aufgaben tatsächlich benötigen. Dies gilt auch für die Administratoren. So vergibt Hornbach Berechtigungen User- oder Rollen-basiert sehr granular, und die Administratoren in den einzelnen Filialen können lediglich auf den lokalen Domain Controller zugreifen.

Active Directory braucht Auditierung

Allerdings ist ein Active Directory mit knapp 25.000 Usern und vielen weiteren Objekten ein komplexes Gebilde, das anfällig für Fehlkonfigurationen mit potentiell erheblichen Auswirkungen auf den Geschäftsbetrieb ist. Und niemand ist fehlerfrei. Bei Hornbach gibt es unternehmensweit über 150 Administratoren, die Änderungen am Active Directory vornehmen können, wie etwa die Einrichtung neuer User oder Geräte oder die Ausweitung oder Einschränkung von Zugriffsrechten einzelner Anwender und Gruppen. Die Frage ist nicht, ob dabei Fehler passieren, sondern wann, wo und welche. Für Hornbach ist es daher unerlässlich, sein Active Directory kontinuierlich zu auditieren, um Fehlkonfigurationen samt ihrer Gründe und Urheber zeitnah erkennen und beheben zu können. Dies schließt auch die frühzeitige Erkennung von Cyberattacken ein, von denen sehr viele einen Angriff auf das Active Directory beinhalten, um die Zugangsrechte des Angreifers auszuweiten.

Ein fortlaufendes Auditing sollte für Hornbach daher ein umfassendes Change Management im AD implementieren, die Forensik und insgesamt einfach einen Überblick ermöglichen, wer eigentlich was im Active Directory macht. Bereits vor Jahren hatte das Unternehmen daher eine kommerzielle Auditing-Lösung implementiert, die jedoch im Laufe der Zeit den gestiegenen Ansprüchen nicht mehr gerecht werden konnte. Als Florian Johann, Teamleiter Technologie bei Hornbach im Gespräch auf den Cygna Auditor von Cygna Labs aufmerksam wurde, vereinbarten beide Unternehmen daher schnell eine Testinstallation. Bereits knapp drei Monate später wurde der Proof of Concept (PoC) erfolgreich abgeschlossen, und die Ergebnisse sprachen deutlich für einen Umstieg auf den Cygna Auditor.

Wechsel von der vorherigen Lösung

"Cygna Auditor bietet uns nicht nur einen umfassenden und tiefen Einblick in die Vorgänge in unserem Active Directory, sondern ermöglicht uns auch, Fehler auf sehr einfache Weise zu beheben", so Florian Johann. "Die integrierte Rollback-Funktion, die uns in unserer bisherigen Lösung fehlte, ermöglicht es uns, unerwünschte Änderungen an einzelnen AD-Objekten sehr granular und in kürzester Zeit rückgängig zu machen."

Außerdem ist Cygna Auditor laut Florian Johann deutlich leistungsfähiger als die bisherige Auditing-Lösung und auch die Benutzerfreundlichkeit war ein weiteres Argument für den Wechsel zu Cygna Auditor. Die neue Lösung verfügt über eine einheitliche, webbasierte Benutzeroberfläche und einen ebenfalls einheitlichen Speicherbereich für alle geprüften Daten, statt wie bisher über individuelle Verwaltungsoberflächen und Datensilos. Auch die Erweiterbarkeit des Systems und damit die Zukunftssicherheit sprachen für Cygna Auditor. Es verfolgt eine Plattformstrategie, die eine Vielzahl von Auditing-Modulen unterstützt, darunter Module für Office 365, Teams, Azure AD, Exchange, SharePoint und andere, so dass Hornbach bei zusätzlichem Auditing-Bedarf einfach die richtigen Module integrieren, lizenzieren und aktivieren kann.

Lizenzierung pro User statt pro Objekt

Auch wirtschaftlich hat sich der Umstieg auf Cygna Labs gelohnt. „Die neue Lösung ist zwar von der Lizensierung her nicht unbedingt preisgünstiger als die bisherige“, so Johann, „aber durch die zusätzlichen Features sind wir wesentlich effizienter und auch effektiver geworden - und Zeit ist auch Geld.“ Zudem lizensiert Cygna Labs pro User im Active Directory statt nach Objekten, deren Zahl stark schwanken kann, so dass die Lizenzkosten besser kalkulierbar sind. „Wir hatten bei unserer früheren Lösung schon einmal eine ziemlich unangenehme Erfahrung mit einer heftigen und überraschenden Nachlizensierung“, so Johann. „Das ist bei Cygna Labs nun ausgeschlossen - wir kennen die Kosten genau.“

Während der Umstieg von einer etablierten auf eine neue Lösung oft sehr komplex und mit viel Adaptions- und Trainingsaufwand verbunden sein kann, fiel Hornbach die Migration auf Cygna Labs nicht schwer. „Die Datensammlung funktioniert bei allen kommerziellen Auditing-Lösungen im Prinzip gleich - da mussten wir uns nicht großartig umstellen“, so Johann. „Aber durch das einheitliche und intuitive Benutzerinterface hatten wir plötzlich ein wesentlich einfacheres Handling, so dass unsere AD-Administratoren mit der neuen Lösung ohne eine lange Lernkurve sofort produktiv werden konnten.“ Zudem wurde der Umstieg von den erfahrenen Ingenieuren des deutschen Cygna-Integrators N3K Network Systems umfassend begleitet, so dass kleinere Anfangsschwierigkeiten schnell beseitigt werden konnten.