LAGEBRIEFING · 08.07.2026 DEENFRES

Praxis & Umsetzung

Active Directory härten, bevor der Angreifer es tut

Von Alec Chizhik · 6. Juli 2026 · 6 Minuten Lesezeit

Das Active Directory ist in den meisten Unternehmen das Herz der IT. Wer es kontrolliert, kontrolliert alles: jeden Server, jeden Zugang, jede Freigabe. Genau deshalb ist es das erste Ziel nach einem erfolgreichen Einbruch. Die gute Nachricht ist, dass die Wege dorthin bekannt sind. Wer die typischen Angriffspfade kennt, kann sie gezielt schließen, bevor ein Angreifer sie geht.

Das Wichtigste in Kürze

  • Das Ziel: Angreifer wollen nach dem Einbruch die Kontrolle über das Active Directory, weil es der Generalschlüssel für das gesamte Netz ist.
  • Die Hebel: Privilegierte Konten trennen und schützen, veraltete Protokolle abschalten, die immer gleichen Angriffspfade schließen.
  • Der Reflex: Härten ist kein Projekt mit Enddatum, sondern ein laufender Prozess aus Trennung, Abschaltung und Überwachung.

Warum das Active Directory das erste Ziel ist

Ein Angreifer, der eine einzelne Arbeitsstation übernimmt, hat noch wenig erreicht. Der Wert liegt in der Ausbreitung. Das Active Directory verwaltet Identitäten, Rechte und den Zugriff auf nahezu alle Ressourcen einer Windows-Umgebung. Wer die Kontrolle über einen Domänen-Administrator erlangt, kann sich unbemerkt überall anmelden, Daten abziehen und im Ernstfall die gesamte Umgebung verschlüsseln.

Deshalb folgt fast jeder größere Angriff demselben Muster. Nach dem ersten Zugang sucht der Angreifer nach Wegen, seine Rechte zu erhöhen und sich seitlich durch das Netz zu bewegen. Das Ziel ist immer dasselbe: von einem normalen Konto zu einem privilegierten Konto und von dort zur vollen Kontrolle über die Domäne. Wer diese Bewegung erschwert, nimmt dem Angriff seine Wucht.

Die typischen Angriffspfade

Die Wege zur Domänen-Kontrolle sind gut dokumentiert. Beim Kerberoasting fordert ein Angreifer Tickets für Dienstkonten an und knackt deren oft schwache Passwörter offline. Bei der unbeschränkten Delegation kann ein kompromittierter Server Identitäten anderer Nutzer übernehmen. Fehlkonfigurierte Zugriffsrechte im Verzeichnis erlauben es, sich Schritt für Schritt höhere Rechte zu verschaffen.

Hinzu kommt der Diebstahl von Anmeldedaten direkt aus dem Speicher eines Systems. Meldet sich ein Administrator an einem bereits kompromittierten Rechner an, kann der Angreifer seine Zugangsdaten abgreifen und weiterverwenden. Diese Pfade sind keine exotischen Tricks, sondern Standard in fast jedem Angriff. Ihre Gemeinsamkeit ist, dass sie sich mit gezielten Maßnahmen deutlich erschweren lassen.

Das Tiering-Modell als Fundament

Die wirksamste Einzelmaßnahme ist die Trennung der Privilegien in Ebenen, das sogenannte Tiering. Die Idee ist einfach: Konten mit hohen Rechten dürfen sich nur auf Systemen anmelden, die ebenso hoch geschützt sind. Ein Domänen-Administrator meldet sich nie an einer normalen Arbeitsstation an, weil dort seine Zugangsdaten abgegriffen werden könnten.

Definition · Tiering-Modell

Trennung privilegierter Konten in Ebenen: Domänencontroller mit den höchsten Rechten, darunter Server und Anwendungen, darunter die Arbeitsplätze. Privilegierte Konten dürfen sich zwischen den Ebenen nicht vermischen.

Praktisch bedeutet das drei Ebenen. Die oberste umfasst die Domänencontroller und die höchsten Rechte. Die mittlere umfasst Server und Anwendungen. Die unterste umfasst die Arbeitsplätze der Nutzer. Zwischen diesen Ebenen dürfen sich privilegierte Konten nicht vermischen. Dazu gehören eigene administrative Konten je Ebene und dedizierte, besonders gehärtete Verwaltungsrechner für die höchsten Aufgaben.

Konkrete Härtungsmaßnahmen

Auf dem Fundament des Tierings setzen konkrete Schritte auf. Veraltete und unsichere Protokolle gehören abgeschaltet, allen voran alte Authentifizierungsverfahren, die sich leicht abfangen lassen. Die lokalen Administrator-Passwörter der Rechner sollten einzigartig und zentral verwaltet sein, damit ein geknacktes Passwort nicht gleich viele Systeme öffnet.

Dienstkonten brauchen lange, zufällige Passwörter oder besser verwaltete Konten, deren Passwörter das System selbst rotiert. Das entzieht dem Kerberoasting die Grundlage. Die Zahl der hochprivilegierten Konten gehört auf das Nötigste reduziert. Jede unbeschränkte Delegation gehört geprüft und, wo möglich, entfernt. Jede dieser Maßnahmen schließt einen der bekannten Angriffspfade.

Erkennung und laufende Kontrolle

Härten allein genügt nicht, weil sich Konfigurationen im Alltag wieder verschlechtern. Ein neues Dienstkonto, eine schnell gesetzte Berechtigung, ein vergessener Testzugang, schon ist ein Pfad wieder offen. Deshalb gehört zur Härtung die laufende Überwachung. Verdächtige Ticket-Anfragen, ungewöhnliche Anmeldungen privilegierter Konten oder Änderungen an kritischen Gruppen sollten Alarme auslösen.

Ebenso wichtig ist die regelmäßige Prüfung des eigenen Verzeichnisses mit den Augen eines Angreifers. Werkzeuge, die Angriffspfade sichtbar machen, zeigen genau die Ketten, über die ein Konto zur Domänen-Kontrolle gelangen könnte. Wer diese Pfade kennt, kann sie priorisiert schließen, statt blind an vielen Stellen gleichzeitig zu arbeiten.

Was zuerst zu tun ist

Der Einstieg ist eine ehrliche Bestandsaufnahme. Wie viele hochprivilegierte Konten gibt es wirklich, wo melden sie sich an, welche veralteten Protokolle sind noch aktiv? Aus dieser Übersicht ergibt sich die Reihenfolge fast von selbst: erst die Zahl der privilegierten Konten reduzieren, dann ihre Anmeldung auf geschützte Systeme begrenzen, dann die bekannten Protokoll- und Delegationslücken schließen.

Erste Härtungsschritte

  • Zahl der hochprivilegierten Konten auf das Nötigste reduzieren
  • Anmeldung privilegierter Konten auf geschützte Systeme begrenzen
  • Veraltete und unsichere Protokolle abschalten
  • Lokale Administrator-Passwörter einzigartig und zentral verwalten
  • Unbeschränkte Delegation prüfen und entfernen

Der Fehler wäre, auf das perfekte Gesamtkonzept zu warten. Jeder geschlossene Pfad senkt das Risiko sofort. Die Härtung des Active Directory ist kein einmaliges Projekt, sondern eine Disziplin, die einmal aufgesetzt und dann dauerhaft gepflegt wird. Der erste Schritt zählt mehr als der perfekte Plan.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Warum ist das Active Directory ein so beliebtes Ziel?

Weil es Identitäten und Zugriffsrechte für nahezu die gesamte Windows-Umgebung verwaltet. Wer die Kontrolle über die Domäne erlangt, kann sich überall anmelden, Daten abziehen und im Ernstfall alles verschlüsseln.

Was ist Tiering und warum ist es so wichtig?

Tiering trennt privilegierte Konten in Ebenen. Ein Domänen-Administrator meldet sich nur auf ebenso hoch geschützten Systemen an, nie auf einer normalen Arbeitsstation. So können seine Zugangsdaten nicht auf einem kompromittierten Rechner abgegriffen werden.

Was ist Kerberoasting?

Ein Angreifer fordert Tickets für Dienstkonten an und versucht, deren oft schwache Passwörter offline zu knacken. Lange, zufällige oder automatisch rotierte Passwörter für Dienstkonten entziehen dem Angriff die Grundlage.

Reicht es, das Active Directory einmal zu härten?

Nein. Konfigurationen verschlechtern sich im Alltag durch neue Konten, schnelle Berechtigungen oder vergessene Zugänge. Härtung braucht laufende Überwachung und regelmäßige Prüfung der Angriffspfade.

Womit sollte man anfangen?

Mit einer Bestandsaufnahme der hochprivilegierten Konten und der aktiven veralteten Protokolle. Danach die Zahl der privilegierten Konten reduzieren, ihre Anmeldung auf geschützte Systeme begrenzen und die bekannten Lücken schließen.

Lesetipps der Redaktion

LesetippAdaptive MFA: NIS2-Druck als Zero-Trust-Hebel im MittelstandLesetippWenn ein Anruf die Autoproduktion stopptLesetippWas ist NIS2? Definition, Pflichten und Haftung

Mehr aus dem MBF Media Netzwerk

cloudmagazinKRITIS in die Cloud: Was die Migration absichertMyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine AdresseDigital ChiefsDie KI schreibt den Code. Wer haftet dafür?

Weiterführende Lektüre

Praxis & Umsetzung · 2. Juli 2026

Wenn Angreifer schneller sind als der Patch

Zwischen Offenlegung und Ausnutzung einer Schwachstelle liegen heute oft nur Tage. Der State of Vulnerabilities Report 2026 zeigt, was jetzt zählt.

Ein Magazin der Evernine Media GmbH