Ein Account.
Alles weg?
Nicht zwangsläufig.
NIS2 schreibt zehn Risikomaßnahmen vor. Mit Managed Red Tenant und Dark Tenant unterstützen wir bei der technischen Umsetzung. Für ein signifikant reduziertes Angriffsrisiko und die Gewissheit, im Ernstfall in Stunden wieder handlungsfähig zu sein.
Das Interessante am Stryker-Angriff vom 11. März 2026 ist nicht die Zahl der betroffenen Geräte, obwohl 80.000 Geräte in 79 Ländern eine eindrückliche Zahl ist, sondern die Banalität des Mittels: kein Exploit, kein Zero-Day, kein ausgeklügelter Angriff auf Infrastrukturkomponenten, die nur wenige kennen. Ein einziger kompromittierter Intune-Admin-Account reichte aus, und der Angriff sah von außen aus wie normaler Betrieb, weil er das im technischen Sinne war, nur von jemand anderem ausgeführt. Was genau passiert ist, steht im Blogbeitrag zum Stryker-Angriff.
Die meisten Unternehmensinfrastrukturen sind so gebaut, dass dieser Schaden möglich ist, nicht weil die Verantwortlichen nachlässig gewesen wären, sondern weil privilegierte Accounts mit weitreichenden Rechten über Jahre hinweg als praktisch galten: ein Konto, das überall Zugriff hat, spart in der täglichen Arbeit Zeit, und Zeit ist in IT-Abteilungen bekanntlich das Einzige, was noch knapper ist als Budget. NIS2 Artikel 21 zieht aus dieser Praxis Konsequenzen: privilegierte Identitäten müssen so isoliert sein, dass ihre Kompromittierung nicht die gesamte Infrastruktur mit sich reißt, und wer trotzdem getroffen wird, muss in Stunden wieder handlungsfähig sein.
Was NIS2 ist und wen die Richtlinie betrifft, erklären wir hier. Auf dieser Seite geht es um die Unterstützung bei der technischen Umsetzung der Risiko-Maßnahmen mit Managed Red Tenant und Managed Dark Tenant.
Managed Red Tenant: damit ein kompromittierter Account nicht zum Generalschlüssel wird
Das Angriffsmuster, das beim Stryker-Vorfall funktioniert hat, ist kein neues: Angreifer kompromittieren einen Account, der ihnen Zugriff auf privilegierte Systeme verschafft, bewegen sich von dort zur restlichen Infrastruktur und richten den Schaden an, für den sie die meisten Berechtigungen haben. Es funktioniert so zuverlässig, weil in den meisten Unternehmen keine strukturelle Trennung zwischen normalen Arbeitsumgebungen und den administrativen Zugängen existiert, die tatsächlich zur Übernahme der gesamten Infrastruktur ausreichen würden.
Managed Red Tenant unterbricht dieses Muster, indem er administrative Identitäten und die dazugehörigen Endgeräte in einen vollständig separierten Microsoft-Tenant überführt, mit eigenen Entra-ID-Konten, eigenen gehärteten Geräten und keiner Netzwerkverbindung zur Produktivumgebung, die ein Angreifer über Lateral Movement nutzen könnte. Wer von einem kompromittierten Standardarbeitsplatz aus versucht, sich zu den kritischen Systemen vorzuarbeiten, findet an dieser Stelle eine Grenze vor, die es vorher nicht gab.
Zu Managed Red Tenant
Managed Dark Tenant: die vorbereitete Umgebung für den Fall, der nicht eintreten soll, aber kann
Nach einem großflächigen Ransomware-Angriff zerfallen die Probleme, die ein Unternehmen zu bewältigen hat, in zwei Kategorien: die technischen, die lösbar sind, wenn auch nicht schnell, und die organisatorischen, bei denen niemand vorher festgelegt hat, wer im Ernstfall was tut, in welcher Reihenfolge entschieden wird und auf welcher Grundlage überhaupt kommuniziert werden kann, wenn die eigene Infrastruktur nicht mehr vertrauenswürdig ist. Coveware misst die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff auf 24 Tage, und die Erfahrung aus Vorfällen zeigt, dass die Zeit nicht hauptsächlich an fehlenden technischen Mitteln scheitert, sondern daran, dass Prozesse, die man im Normalbetrieb nie braucht, unter extremem Druck zum ersten Mal erfunden werden müssen.
Managed Dark Tenant ist eine vorprovisionierte, vollständig isolierte Microsoft-Umgebung, die im Ernstfall über eine 24/7-Hotline aktiviert wird und dem Krisenteam innerhalb weniger Stunden einsatzbereite Kommunikation, Windows-365-Arbeitsplätze und eine AD-Recovery-Pipeline bereitstellt, alles auf Basis von Infrastructure as Code, alles bereits definiert und getestet, bevor es gebraucht wird. Das Architekturprinzip dahinter heißt Minimum Viable Company: Kommunikation zuerst, dann kritische Dokumente, dann Kernanwendungen, in einer Reihenfolge, die vorher festgelegt und regelmäßig in Fire Drills erprobt wurde.
Zu Managed Dark TenantWir unterstützen bei der technischen Umsetzung
| Risk Measures | GK Services | NIS2 | CSOC | APT Response | Preventive Services | Managed Red Tenant | Managed Dark Tenant | Data Security | Workplace / Azure |
|---|---|---|---|---|---|---|---|---|
| Risk Analysis and Information System Security | 21.2 a) | |||||||
| Incident Handling | 21.2 b) | NEU | NEU | |||||
| Business Continuity | 21.2 c) | NEU | ||||||
| Supply Chain Security | 21.2 d) | NEU | ||||||
| Security in Network and Information Systems | 21.2 e) | |||||||
| Effectiveness of Cybersecurity Risk Management Measures | 21.2 f) | NEU | NEU | |||||
| Basic Computer Hygiene Practices and Cybersecurity Training | 21.2 g) | |||||||
| Cryptography | 21.2 h) | |||||||
| Human Resources Security, Access Control Policies and Asset Management | 21.2 i) | NEU | ||||||
| Multifactor Authentication or Secured Communication | 21.2 j) | NEU |
Zwei Services, eine Antwort auf NIS2 Artikel 21
Managed Red Tenant
Privilegierte Identitäten und Endgeräte in einem vollständig separierten Microsoft-Tenant ohne Netzwerkverbindung zur Produktivumgebung. Kein Lateral Movement, kein kompromittierter Standardaccount, der zum Generalschlüssel wird.
Managed Dark Tenant
Eine vorprovisionierte, isolierte Microsoft-Umgebung, die im Ernstfall über eine 24/7-Hotline aktiviert wird. Kommunikation, Windows-365-Arbeitsplätze und AD-Recovery-Pipeline sind definiert und getestet, bevor sie gebraucht werden.
MRT & MDT gemeinsam
Red Tenant reduziert die Wahrscheinlichkeit, dass ein Angriff die gesamte Infrastruktur trifft. Dark Tenant reduziert die Ausfallzeit, wenn er es doch tut. NIS2 hin oder her: beides zusammen ergibt unabhängig von regulatorischem Druck Sinn.
NIS2-konform werden
Die NIS2-Richtlinie betrifft zehntausende Unternehmen in Deutschland, doch wie gelingt eine nachhaltige Umsetzung?
NIS2 ist in Kraft, und jetzt?
Die NIS2-Richtlinie ist offiziell in Kraft getreten, doch was bedeutet das für Unternehmen? Jetzt ist der richtige Zeitpunkt, aktiv zu ...
Cybersecurity-Maßnahmen umgesetzt?
Die NIS2-Richtlinie steht in den Startlöchern und bringt wichtige Änderungen mit sich.
Sind Sie bereit für NIS2?
Die neue NIS2-Richtlinie stellt eine ganze Reihe von Anforderungen an Unternehmen und deren Cybersicherheit: von Mindestmaßnahmen für Kryptografie, Sicherheitsverfahren für ...
