Active Directory haerten: 5 Sofortmassnahmen gegen Identitaetsangriffe
⏱ 9 Min. Lesezeit
Ein kompromittiertes Active Directory bedeutet in den meisten Fällen: Totalschaden. Angreifer bewegen sich lateral durch das Netzwerk, eskalieren Rechte und verschlüsseln innerhalb von Stunden die gesamte Infrastruktur. Trotzdem läuft das AD in vielen Unternehmen noch mit Konfigurationen aus der Windows-Server-2008-Aera. Der Grund: Niemand traut sich, produktive Verzeichnisdienste anzufassen. Doch genau dieses Zögern macht Organisationen verwundbar.
Laut dem Microsoft Digital Defense Report 2024 blockiert Multifaktor-Authentifizierung 99,9 Prozent aller automatisierten Angriffe auf Identitäten. Die Hälfte aller Ransomware-Vorfälle beginnt mit einer kompromittierten AD-Identität. Fünf konkrete Maßnahmen reduzieren die Angriffsfläche sofort und lassen sich ohne monatelange Projekte umsetzen.
Das Wichtigste in Kürze
🔒 Kerberoasting und Golden-Ticket-Angriffe treffen 90 Prozent aller AD-Umgebungen mit Default-Einstellungen
🛡 Tiered Administration trennt Admin-Konten nach Kritikalität und stoppt laterale Bewegung
⚙ KRBTGT-Passwort-Rotation und AES-Erzwingung schließen zwei der gefährlichsten Angriffsklassen
📊 Privileged Access Workstations kosten weniger als ein einziger Ransomware-Vorfall
🎯 Semperis-Daten zeigen: 68 Prozent der Unternehmen haben kein AD-spezifisches Backup
Warum Active Directory das primäre Angriffsziel bleibt
Active Directory verwaltet Identitäten, Zugriffsrechte und Gruppenrichtlinien in über 90 Prozent aller Unternehmensumgebungen weltweit. Wer das AD kontrolliert, kontrolliert das Netzwerk. Genau das wissen Angreifergruppen wie BlackCat, LockBit und Cl0p, die gezielt Schwachstellen in Kerberos-Authentifizierung, LDAP-Konfigurationen und privilegierten Konten ausnutzen.
Das Problem: Viele AD-Installationen stammen aus einer Zeit, in der Sicherheit hinter Funktionalität zurücktrat. Service Accounts laufen mit Domain-Admin-Rechten, das KRBTGT-Passwort wurde seit der Erstinstallation nicht geändert, und Monitoring beschränkt sich auf gelegentliche Event-Log-Prüfungen. Diese technische Schuld macht jede einzelne dieser Umgebungen zum Einladungsschild für Ransomware-Operatoren.
Maßnahme 1: Tiered Administration einführen
Das Tiered-Administration-Modell von Microsoft teilt die AD-Umgebung in drei Sicherheitszonen: Tier 0 (Domain Controller und AD-Infrastruktur), Tier 1 (Server und Applikationen) und Tier 2 (Endgeräte und Benutzer). Ein Admin-Konto aus Tier 2 darf sich niemals an einem Tier-0-System anmelden. Klingt simpel, wird aber in der Praxis selten durchgesetzt.
Die Umsetzung beginnt mit einer Bestandsaufnahme: Welche Konten haben Domain-Admin-Rechte, und brauchen sie diese tatsächlich? In den meisten Umgebungen liegt die Zahl privilegierter Konten um den Faktor drei bis fünf über dem notwendigen Minimum. Jedes überflüssige privilegierte Konto ist ein potenzieller Eintrittspunkt.
Sofort umsetzbar: Erstellen Sie dedizierte Admin-Konten pro Tier. Blockieren Sie Cross-Tier-Anmeldungen per Gruppenrichtlinie (User Rights Assignment). Deaktivieren Sie den Built-in-Administrator-Account und ersetzen Sie ihn durch benannte Konten mit nachvollbarer Audit-Trail.
Maßnahme 2: Kerberoasting durch AES-Erzwingung stoppen
Kerberoasting gehört zu den effektivsten Angriffstechniken gegen Active Directory. Angreifer fordern mit einem normalen Benutzerkonto Service Tickets für Service Principal Names (SPNs) an und knacken die RC4-verschlüsselten Tickets offline per Brute Force. Da der Angriff kein einziges verdächtiges Event im Security Log erzeugt, bleibt er in den meisten Umgebungen unentdeckt.
Die Gegenmaßnahme ist klar: Erzwingen Sie AES-256-Verschlüsselung für alle Kerberos-Tickets und deaktivieren Sie RC4. AES-verschlüsselte Tickets sind mit aktueller Hardware praktisch nicht in vertretbarer Zeit zu knacken. Gleichzeitig müssen alle Service Accounts Passwörter mit mindestens 25 Zeichen erhalten. Noch besser: Group Managed Service Accounts (gMSA), die automatisch 120-Zeichen-Passwörter rotieren.
„Active Directory ist das Rückgrat der Unternehmens-IT. Wenn es fällt, fällt alles. Neun von zehn Ransomware-Angriffen kompromittieren Active Directory als zentralen Angriffsvektor.“
Semperis Identity Security Research, 2024
Gegenposition: Manche IT-Teams vermeiden die AES-Erzwingung aus Angst vor Kompatibilitätsproblemen mit Altanwendungen. Diese Sorge ist berechtigt, aber lösbar. Testen Sie die Umstellung zunächst im Audit-Modus: Aktivieren Sie Kerberos-Logging (Event-ID 4769) und identifizieren Sie Systeme, die noch RC4 anfordern. In der Regel sind es weniger als erwartet.
Maßnahme 3: KRBTGT-Passwort rotieren
Das KRBTGT-Konto signiert jedes Kerberos-Ticket in der gesamten Domäne. Wer das KRBTGT-Passwort kennt, kann Golden Tickets erstellen und sich unbegrenzt als jeder Benutzer authentifizieren. Der Angriff überlebt Passwort-Resets einzelner Konten und sogar Neuinstallationen von Servern. Nur eine doppelte Rotation des KRBTGT-Passworts schliesst diese Hintertür.
Microsoft empfiehlt eine regelmässige Rotation, in der Praxis ändern viele Unternehmen das KRBTGT-Passwort nie. Die doppelte Rotation ist notwendig, weil Active Directory zwei Versionen des Passworts speichert: die aktuelle und die vorherige. Erst wenn beide Versionen durch neue ersetzt wurden, verlieren gestohlene Hashes ihre Gültigkeit.
Sofort umsetzbar: Ändern Sie das KRBTGT-Passwort zweimal mit mindestens 12 Stunden Abstand (maximale Ticket-Lebensdaür). Planen Sie diese Rotation quartalsmässig ein. Bei jedem Abgang eines Mitarbeiters mit Tier-0-Zugriff: sofortige ausserplanmässige Rotation.
„Wenn Sie nicht wissen, wann Ihr KRBTGT-Passwort zuletzt geändert wurde, gehen Sie davon aus, dass ein Angreifer es kennt.“
Microsoft Compromise Recovery Security Practice (CRSP)
Maßnahme 4: Privileged Access Workstations einrichten
Privileged Access Workstations (PAWs) sind dedizierte Geräte, die ausschliesslich für administrative Aufgaben an Tier-0- und Tier-1-Systemen verwendet werden. Kein E-Mail-Client, kein Browser, keine Office-Suite. Der Gedanke dahinter: Wenn ein Admin seine tägliche Arbeit und privilegierte Verwaltung auf demselben Rechner erledigt, genügt ein einziger Phishing-Klick, um Domain-Admin-Credentials abzugreifen.
Die Kosten für eine PAW liegen je nach Ausstattung zwischen 1.500 und 3.000 Euro pro Arbeitsplatz. Das klingt nach viel, relativiert sich aber schnell: Laut einer Sophos-Studie aus 2024 betragen die durchschnittlichen Bereinigungskosten eines Ransomware-Vorfalls 2,73 Millionen US-Dollar. Eine Handvoll gehärteter Workstations ist dagegen eine Rundungsdifferenz.
Sofort umsetzbar: Beginnen Sie mit einer einzigen PAW für den wichtigsten Domain-Admin. Richten Sie sie als Windows-11-Maschine mit Credential Guard, Device Guard und AppLocker ein. Erlauben Sie nur RDP-Verbindungen zu Domain Controllern. Keine Internet-Konnektivität, kein USB-Zugang.
Maßnahme 5: AD-spezifisches Backup und Recovery etablieren
Ein reguläres Server-Backup sichert Dateien und Datenbanken, aber kein funktionierendes Active Directory. Die AD-Datenbank (NTDS.dit), SYSVOL, die Systemregistrierung und die Boot-Konfiguration müssen konsistent und gemeinsam gesichert werden. Eine NTDS.dit ohne den zugehörigen SYSVOL-Zustand ist für eine Wiederherstellung wertlos.
Semperis, ein Spezialist für AD-Sicherheit, berichtet in seiner Identity Security Study, dass 68 Prozent der befragten Unternehmen keinen dedizierten AD-Recovery-Plan haben. Diese Organisationen würden bei einem Totalausfall des AD Tage bis Wochen brauchen, um ihre Identitätsinfrastruktur wiederherzustellen. In dieser Zeit steht das gesamte Unternehmen still.
Sofort umsetzbar: Implementieren Sie Windows Server Backup mit System State auf mindestens zwei Domain Controllern. Lagern Sie Backups offline und ausserhalb der Domäne. Testen Sie die Wiederherstellung quartalsmässig in einer isolierten Testumgebung. Dokumentieren Sie den Recovery-Prozess so, dass auch ein externer Dienstleister ihn ausführen kann.
Monitoring: Die sechste Maßnahme, die alles zusammenhält
Härtung ohne Monitoring ist wie ein Schloss ohne Alarmanlage. Selbst mit allen fünf Maßnahmen umgesetzt, müssen Unternehmen verdächtige Aktivitäten im AD kontinuierlich überwachen. Drei Event-IDs verdienen besondere Aufmerksamkeit: 4769 (Kerberos Service Ticket Reqüsts, Indikator für Kerberoasting), 4672 (Zuweisung spezieller Privilegien, erkennt Golden-Ticket-Nutzung) und 4728/4756 (Änderungen an privilegierten Gruppen).
Tools wie BloodHound visualisieren Angriffspfade im AD und decken unerwartete Berechtigungsketten auf. Ein wöchentlicher BloodHound-Scan zeigt, ob neue riskante Pfade entstanden sind. Ergänzt durch ein SIEM mit AD-spezifischen Erkennungsregeln entsteht ein Frühwarnsystem, das Angriffe erkennt, bevor sie zum Totalausfall führen.
Checkliste: Active Directory Härtung in 30 Tagen
✅ Woche 1: Bestandsaufnahme privilegierter Konten, überflüssige Domain-Admin-Rechte entziehen
✅ Woche 2: AES-Erzwingung aktivieren, KRBTGT-Passwort doppelt rotieren
✅ Woche 3: Erste PAW einrichten, Tiered-Administration per GPO durchsetzen
✅ Woche 4: AD-Backup mit System State konfigurieren, Recovery testen, Monitoring-Regeln scharf schalten
Fazit: Härtung ist kein Projekt, sondern ein Betriebszustand
Active Directory härten ist kein einmaliges Projekt mit Abschlussbericht und Haken. Es ist ein kontinuierlicher Betriebszustand, der regelmässige KRBTGT-Rotationen, laufendes Monitoring und permanente Bereinigung privilegierter Konten erfordert. Die fünf Sofortmaßnahmen in diesem Artikel reduzieren die Angriffsfläche innerhalb von 30 Tagen drastisch. Perfekte Sicherheit gibt es nicht, aber jede umgesetzte Maßnahme erhöht die Kosten für Angreifer exponentiell.
Wer jetzt mit der Tier-0-Absicherung beginnt, ist den meisten Unternehmen einen entscheidenden Schritt voraus. Der beste Zeitpunkt war vor fünf Jahren. Der zweitbeste ist heute.
Häufige Fragen
Unser AD läuft seit 10 Jahren stabil. Warum sollten wir jetzt härten?
Weil Stabilität nicht gleich Sicherheit ist. 78 Prozent aller Ransomware-Angriffe nutzen Active Directory als Einstiegsvektor. Die meisten AD-Umgebungen haben über die Jahre Konfigurationen angesammelt, die 2015 akzeptabel waren, aber 2026 ein offenes Tor darstellen: RC4-Verschlüsselung, nicht rotierte KRBTGT-Passwörter, fehlende Tier-Trennung.
Können wir AD-Härtung ohne Downtime durchführen?
Ja, wenn Sie schrittweise vorgehen. Tiered Administration und PAW lassen sich im laufenden Betrieb einführen. Die AES-Erzwingung und KRBTGT-Rotation erfordern Planung, können aber während der Geschäftszeiten umgesetzt werden. Kritisch ist nur der AD-Backup-Test, der einen kontrollierten Failover erfordert. Planen Sie dafür ein Wartungsfenster ein.
Reicht Microsoft Defender for Identity als AD-Monitoring?
Als Basis ja, aber es hat blinde Flecken bei Kerberoasting-Varianten und Pass-the-Hash. Für Unternehmen mit mehr als 500 AD-Objekten empfehlen Experten eine Kombination: Defender for Identity für die Grundlage plus ein spezialisiertes AD-Monitoring wie Semperis Directory Services Protector oder CrowdStrike Falcon Identity Protection.
Was kostet eine AD-Härtung für ein Unternehmen mit 1.000 Benutzern?
Die reinen Tool-Kosten sind überschaubar: Microsoft-Bordmittel decken 60 Prozent ab. Rechnen Sie mit 2 bis 4 Wochen Aufwand für einen AD-Spezialisten (intern oder extern, 8.000 bis 15.000 Euro). Dazu kommen laufend 2 bis 4 Stunden pro Woche für Monitoring und Wartung. Die Alternative: Ein durchschnittlicher Ransomware-Vorfall kostet laut IBM 4,9 Millionen US-Dollar.
Müssen wir alle 5 Maßnahmen gleichzeitig umsetzen?
Nein. Priorisieren Sie nach Risiko: KRBTGT-Rotation und AES-Erzwingung zürst (1-2 Tage Aufwand, grösster Sofort-Effekt). Tiered Administration als zweites (1-2 Wochen). PAW und AD-Backup-Recovery als drittes (2-4 Wochen). Die 30-Tage-Checkliste im Artikel gibt den konkreten Fahrplan.
Weiterführende Artikel
- API-Sicherheit im Unternehmen: In 5 Schritten zur robusten Schnittstellenstrategie (SecurityToday)
- DORA und NIS2 gleichzeitig: Compliance-Doppeldruck managen (SecurityToday)
- Disaster Recovery as a Service: Praxischeck für IT-Teams (cloudmagazin)
- Cybersecurity-Budget 2026: Was der CFO vom CISO hören muss (Digital Chiefs)
Quelle Titelbild: Pexels / Brett Sayles
