Warum Active Directory das lukrativste Angriffsziel bleibt
Rund 95 Prozent der Fortune-500-Unternehmen setzen laut Frost & Sullivan Microsoft Active Directory (AD) als zentrale Identitäts- und Zugriffsverwaltung ein. In den meisten Organisationen steuert AD die Authentifizierung, Autorisierung und Gruppenrichtlinien für sämtliche Systeme — von Arbeitsplatzrechnern über Dateiserver bis hin zu Cloud-Diensten.
Das macht Active Directory zum Single Point of Failure: Ein kompromittierter Domain Admin bedeutet vollständige Kontrolle über die gesamte IT-Infrastruktur. Angreifer können Daten exfiltrieren, Ransomware ausrollen oder sich dauerhaft in der Umgebung einnisten.
Trotz der zunehmenden Verlagerung in die Cloud bleibt Active Directory in hybriden Umgebungen das Fundament. Selbst Unternehmen, die Azure Entra ID (ehemals Azure AD) nutzen, synchronisieren Identitäten häufig über AD Connect — und schaffen damit eine Brücke, die Angreifer ausnutzen.
In diesem Artikel analysieren wir die fünf Angriffstechniken, die 2026 in Security Assessments am häufigsten anzutreffen sind — und zeigen konkrete Gegenmaßnahmen.
Die 5 kritischsten Active Directory Angriffsvektoren im Überblick
| Angriffsvektor | Voraussetzung | Risiko | Schwierigkeit |
|---|---|---|---|
| Kerberoasting | Jeder Domain-Nutzer | Hoch | Niedrig |
| AS-REP Roasting | Pre-Auth deaktiviert | Hoch | Niedrig |
| DCSync | Replication-Rechte | Kritisch | Mittel |
| Golden Ticket | krbtgt-Hash | Kritisch | Hoch |
| Shadow Credentials | Write-Zugriff auf Objekte | Hoch | Mittel |
1. Kerberoasting — Service Accounts als Einfallstor
Wie der Angriff funktioniert
Kerberoasting nutzt eine fundamentale Eigenschaft des Kerberos-Protokolls aus: Jeder authentifizierte Domain-Nutzer kann ein Service Ticket (TGS) für jeden Service Principal Name (SPN) anfordern. Das Ticket wird mit dem NTLM-Hash des zugehörigen Service-Accounts verschlüsselt.
Der Angreifer exportiert diese Tickets und führt einen Offline-Brute-Force-Angriff durch — vollständig ohne Netzwerkverkehr, der eine Detection auslösen könnte. Bei schwachen Passwörtern ist das Ergebnis innerhalb von Minuten verfügbar.
Warum dieser Angriff so häufig erfolgreich ist
In der Praxis finden wir bei Penetrationstests regelmäßig Service Accounts mit Passwörtern, die seit Jahren nicht rotiert wurden. Oft sind diese Konten auch noch Mitglied privilegierter Gruppen — ein direkter Weg zum Domain Admin.
Schutzmaßnahmen
- Managed Service Accounts (gMSA) einsetzen: Automatisch rotierende Passwörter mit 120+ Zeichen, die nicht von Menschen verwaltet werden
- AES-256-Verschlüsselung erzwingen und RC4 vollständig deaktivieren — RC4-verschlüsselte Tickets sind signifikant schneller zu knacken
- Passwort-Policies für Service Accounts verschärfen: Mindestens 25 Zeichen für alle Konten mit SPNs
- TGS-Anfragen monitoren: Ungewöhnlich viele Ticket-Requests von einem einzelnen Nutzer sind ein starkes Indiz für Kerberoasting
Detection
Überwachen Sie Event ID 4769 (Kerberos Service Ticket Operation) im Security Event Log. Achten Sie besonders auf Anfragen mit Encryption Type 0x17 (RC4) — in einer gehärteten Umgebung sollte dieser Wert nicht mehr auftreten.
2. AS-REP Roasting — Fehlkonfigurationen ausnutzen
Wie der Angriff funktioniert
AS-REP Roasting zielt auf Konten ab, bei denen die Kerberos Pre-Authentication deaktiviert ist. Normalerweise muss ein Client beim Anfordern eines Ticket Granting Tickets (TGT) einen verschlüsselten Zeitstempel mitliefern, der beweist, dass er das Passwort kennt.
Ist diese Prüfung deaktiviert, kann ein Angreifer ein AS-REP-Paket anfordern, das einen mit dem Nutzer-Passwort verschlüsselten Teil enthält — und diesen offline knacken. Im Gegensatz zu Kerberoasting benötigt der Angreifer hier nicht einmal gültige Domain-Credentials.
Warum dieser Angriff so häufig erfolgreich ist
Die Deaktivierung der Pre-Authentication geschieht oft durch Legacy-Anwendungen, die das Kerberos-Protokoll nicht vollständig implementieren. Diese Einstellung wird nach der Migration der Anwendung selten zurückgesetzt und gerät in Vergessenheit.
Schutzmaßnahmen
- Pre-Authentication für alle Konten aktivieren: Regelmäßig prüfen, ob die Eigenschaft
DONT_REQUIRE_PREAUTHbei keinem Konto gesetzt ist - Automatisierte Audits mit Tools wie BloodHound oder Purple Knight durchführen — diese identifizieren betroffene Konten sofort
- Starke Passwort-Policies durchsetzen: Selbst wenn Pre-Authentication versehentlich deaktiviert wird, schützt ein starkes Passwort vor Offline-Cracking
- Conditional Access implementieren, um den Zugriff zusätzlich abzusichern
Detection
Überwachen Sie Event ID 4768 mit dem Result Code 0x0 und Pre-Authentication Type 0. Ein erhöhtes Aufkommen solcher Events, insbesondere von unbekannten Quellen, deutet auf AS-REP Roasting hin.
3. DCSync — Den Domain Controller imitieren
Wie der Angriff funktioniert
Der DCSync-Angriff nutzt das Directory Replication Service (DRS) Remote Protocol, das Domain Controller untereinander verwenden, um Active-Directory-Daten zu synchronisieren. Ein Angreifer mit den Berechtigungen Replicating Directory Changes und Replicating Directory Changes All kann sich als Domain Controller ausgeben und Passwort-Hashes replizieren.
Das Gefährliche: Der Angreifer kann gezielt den Hash des krbtgt-Kontos anfordern — und damit Golden Tickets erstellen (siehe Punkt 4).
Warum dieser Angriff so häufig erfolgreich ist
Die benötigten Replication-Rechte sind standardmäßig an die Gruppen Domain Admins, Enterprise Admins und den DC-Computerkonten zugewiesen. In gewachsenen Umgebungen finden wir diese Rechte jedoch häufig auch an Service Accounts oder falsch konfigurierten Gruppen — oft ein Überbleibsel vergangener Migrationen.
Schutzmaßnahmen
- Replication-Rechte strikt begrenzen: Ausschließlich Domain Controller und essentielle Replikationskonten sollten diese Berechtigung besitzen
- AdminSDHolder überwachen: Änderungen an geschützten Objekten regelmäßig auditieren
- Privileged Access Management (PAM) implementieren: Just-in-Time-Zugriff statt permanenter Berechtigungen
- Tiering-Modell einführen: Tier-0-Konten (Domain Controller) strikt von Tier-1 und Tier-2 trennen
Detection
Event ID 4662 mit Zugriff auf die Objektklasse domainDNS und Properties, die mit Replication in Verbindung stehen. Jeder Replication-Vorgang, der nicht von einem bekannten Domain Controller stammt, ist ein kritischer Alarm.
4. Golden Ticket — Unbegrenzter Zugriff auf die Domain
Wie der Angriff funktioniert
Der Golden Ticket-Angriff ist eine der mächtigsten Techniken gegen Active Directory. Gelangt ein Angreifer an den NTLM-Hash des krbtgt-Kontos (etwa über DCSync), kann er beliebige Kerberos Ticket Granting Tickets (TGTs) erstellen.
Diese gefälschten Tickets ermöglichen es dem Angreifer, sich als jeder beliebige Nutzer auszugeben — einschließlich nicht existierender Konten — mit beliebiger Gruppenmitgliedschaft und beliebiger Gültigkeitsdauer. Ein Golden Ticket überlebt sogar Passwort-Resets normaler Konten.
Warum dieser Angriff so gefährlich ist
Golden Tickets sind extrem schwer zu erkennen, weil sie vom Kerberos-Protokoll als vollständig legitim betrachtet werden. Sie können über Wochen oder Monate gültig bleiben und ermöglichen Angreifern persistenten Zugriff — selbst nachdem der initiale Angriffsweg geschlossen wurde.
Schutzmaßnahmen
- krbtgt-Passwort regelmäßig rotieren: Das Passwort muss zweimal hintereinander geändert werden, da Kerberos das aktuelle und das vorherige Passwort akzeptiert
- Ticket Lifetime verkürzen: Die maximale Gültigkeitsdauer für TGTs auf 4-8 Stunden reduzieren
- Microsoft Defender for Identity einsetzen: Erkennt verdächtige Kerberos-Aktivitäten in Echtzeit
- PAC Validation aktivieren: Der Privileged Attribute Certificate-Check verifiziert Tickets gegen den Domain Controller
Detection
Achten Sie auf TGTs mit ungewöhnlich langer Lebensdauer oder Tickets, die für deaktivierte bzw. nicht existierende Konten ausgestellt wurden. Event ID 4769 mit auffälligen Parametern (z.B. Ticket Lifetime > Policy) ist ein Warnsignal.
5. Shadow Credentials — Der unsichtbare Backdoor
Wie der Angriff funktioniert
Shadow Credentials sind ein relativ neuer Angriffsvektor, der die Windows Hello for Business (WHfB) Key Trust-Funktionalität missbraucht. Ein Angreifer mit Schreibzugriff auf das Attribut msDS-KeyCredentialLink eines Computer- oder Nutzerkontos kann alternative Credentials hinterlegen.
Anschließend authentifiziert sich der Angreifer mit einem selbst erstellten Zertifikat über PKINIT — und erhält ein gültiges TGT, ohne das eigentliche Passwort zu kennen.
Warum dieser Angriff so gefährlich ist
Im Gegensatz zu klassischen Passwort-Angriffen hinterlässt dieser Vektor kaum Spuren. Das Passwort des Zielkontos wird nicht geändert, und die legitimen Credentials funktionieren weiterhin. Der Angriff wird oft erst bei einem gezielten Audit der KeyCredentialLink-Attribute entdeckt.
Schutzmaßnahmen
- msDS-KeyCredentialLink überwachen: Änderungen an diesem Attribut sollten einen sofortigen Alert auslösen
- LDAP Signing und Channel Binding erzwingen: Verhindert Man-in-the-Middle-Angriffe auf LDAP-Verbindungen
- Certificate-Based Authentication auditieren: Alle PKINIT-Authentifizierungen protokollieren und auf Anomalien prüfen
- Schreibrechte auf Computerkonten einschränken: Nur autorisierte Systeme und Prozesse sollten diese Attribute ändern können
Detection
Überwachen Sie Event ID 5136 (Directory Service Changes) mit Fokus auf Änderungen am msDS-KeyCredentialLink-Attribut. Jede Modifikation, die nicht von einem autorisierten Enrollment-Prozess stammt, ist verdächtig.
Angriffsketten verstehen — warum einzelne Schutzmaßnahmen nicht ausreichen
In der Praxis treten diese Angriffsvektoren selten isoliert auf. Eine typische Angriffskette sieht so aus:
- Initial Access: Phishing oder Exploitation einer öffentlich erreichbaren Anwendung
- Privilege Escalation: Kerberoasting oder AS-REP Roasting, um an privilegierte Credentials zu gelangen
- Domain Dominance: DCSync, um den krbtgt-Hash zu extrahieren
- Persistence: Golden Ticket oder Shadow Credentials für dauerhaften Zugriff
Nur ein mehrschichtiger Sicherheitsansatz — Härtung, Monitoring, Detection und regelmäßige Assessments — kann diese Ketten effektiv unterbrechen.
Fazit: Active Directory Sicherheit ist ein kontinuierlicher Prozess
Active Directory Sicherheit erfordert weit mehr als eine einmalige Härtung. Die Bedrohungslandschaft entwickelt sich ständig weiter, und Angreifer kombinieren bekannte Techniken auf immer raffiniertere Weise.
Unsere Empfehlung für 2026:
- Baseline-Assessment: Kennen Sie Ihren aktuellen Sicherheitsstatus — ein AD Security Assessment deckt Fehlkonfigurationen und versteckte Risiken auf
- Continuous Monitoring: Implementieren Sie Detection-Regeln für alle fünf Angriffsvektoren
- Red Team Exercises: Testen Sie Ihre Verteidigung regelmäßig unter realistischen Bedingungen
- Incident Response Plan: Definieren Sie klare Prozesse für den Fall einer AD-Kompromittierung
Schwachstellen finden, bevor Angreifer es tun. In unserem Identity & Access Hardening identifizieren wir Fehlkonfigurationen, überprivilegierte Konten und versteckte Angriffspfade in Ihrer AD-Umgebung. Jetzt Erstgespräch vereinbaren.