Cybersecurity

Golden Ticket (Kerberos)

Angriffstechnik, bei der ein gefälschtes Kerberos-TGT mithilfe des KRBTGT-Passwort-Hashes erstellt wird, um sich als beliebiger Benutzer — einschließlich Domain Admin — auszugeben.

Ein Golden Ticket ist ein gefälschtes Ticket Granting Ticket (TGT) im Kerberos-Protokoll. Gelangt ein Angreifer an den Passwort-Hash des krbtgt-Kontos — des zentralen Dienstkontos, mit dem der Domain Controller alle TGTs verschlüsselt — kann er beliebige TGTs erzeugen. Diese gefälschten Tickets erlauben es, sich als jeder Benutzer der Domäne auszugeben, einschließlich Domain Admins, ohne jemals ein echtes Passwort zu kennen.

Wie funktioniert der Angriff?

Der Angriff setzt voraus, dass der Angreifer bereits Domain-Admin-Rechte oder gleichwertigen Zugriff auf einen Domain Controller erlangt hat — typischerweise über Pass-the-Hash, Kerberoasting oder andere Privilege-Escalation-Techniken. Im ersten Schritt extrahiert der Angreifer den NTLM-Hash des krbtgt-Kontos, etwa durch einen DCSync-Angriff mit Tools wie Mimikatz. Mit diesem Hash erstellt er anschließend ein TGT mit frei wählbarem Benutzernamen, beliebiger Gruppenmitgliedschaft und einer selbst bestimmten Gültigkeitsdauer. Das gefälschte Ticket wird vom Key Distribution Center (KDC) als legitim akzeptiert, da es korrekt verschlüsselt ist.

Warum ist ein Golden Ticket so gefährlich?

Das Golden Ticket zählt zu den verheerendsten Persistenztechniken in Active-Directory-Umgebungen. Das Zurücksetzen einzelner Benutzerpasswörter — selbst des Domain-Admin-Kontos — hat keine Wirkung, da das gefälschte Ticket unabhängig von diesen Credentials funktioniert. Solange der krbtgt-Hash unverändert bleibt, kann der Angreifer jederzeit neue Tickets erzeugen. Die Gültigkeitsdauer des Tickets kann auf Jahre gesetzt werden, und da es ein reguläres TGT imitiert, fällt es in den meisten Umgebungen nicht auf. Dies ermöglicht uneingeschränkte laterale Bewegung über die gesamte Domäne.

Abgrenzung zum Silver Ticket

Während ein Golden Ticket das TGT fälscht und damit Zugriff auf alle Dienste der Domäne ermöglicht, nutzt ein Silver Ticket den Passwort-Hash eines einzelnen Service Accounts, um ein Service Ticket (TGS) zu fälschen. Silver Tickets sind auf den jeweiligen Dienst beschränkt und kontaktieren das KDC nicht — was sie schwerer erkennbar, aber in ihrem Wirkungsradius begrenzter macht.

Erkennung

Indikator	Beschreibung
Event ID 4769	TGS-Anfragen mit ungewöhnlich langer TGT-Lebensdauer (Standard: 10 Stunden)
Event ID 4768	Fehlende vorherige AS-REQ für ein verwendetes TGT
Ticket-Anomalien	TGTs mit Gruppenmitgliedschaften, die vom tatsächlichen Kontoobjekt abweichen
SIEM-Korrelation	Authentifizierungen von nicht existierenden oder deaktivierten Konten

Die Erkennung ist anspruchsvoll, da Golden Tickets kryptografisch korrekt sind. Eine Kombination aus Ticket-Lebensdauer-Überwachung, PAC-Validierung (Privileged Attribute Certificate) und Korrelation mit dem tatsächlichen Kontozustand im AD bietet die beste Erkennungsrate.

Gegenmaßnahmen

Die wichtigste Gegenmaßnahme ist die regelmäßige Rotation des krbtgt-Passworts — und zwar zweimal hintereinander, da Kerberos den aktuellen und den vorherigen Hash akzeptiert. In vielen Umgebungen wurde dieses Passwort seit der Domäneneinrichtung nie geändert. Ein sauberes Tiering-Modell verhindert, dass Angreifer überhaupt an den krbtgt-Hash gelangen, indem Tier-0-Systeme strikt von niedrigeren Ebenen isoliert werden. PAM-Lösungen mit Just-in-Time-Zugriff reduzieren die Exposition privilegierter Konten zusätzlich. Langfristig sollten Umgebungen auf AES-256-Verschlüsselung umgestellt und RC4 deaktiviert werden, um das Fälschen von Tickets weiter zu erschweren.

Relevanz für KMUs

In mittelständischen Umgebungen ist das krbtgt-Passwort häufig seit Jahren oder gar Jahrzehnten unverändert. Gleichzeitig fehlt oft ein Tiering-Modell, sodass Domain-Admin-Credentials auf regulären Arbeitsplätzen exponiert werden. Die zweimalige Rotation des krbtgt-Passworts und die Einführung einer Tier-0-Isolation gehören zu den wirkungsvollsten Maßnahmen, um Golden-Ticket-Angriffe in einer Active-Directory-Umgebung zu verhindern.

Häufige Fragen

Was ist ein Golden Ticket-Angriff?+

Ein Golden Ticket-Angriff nutzt den gestohlenen NTLM-Hash des krbtgt-Kontos, um gefälschte Kerberos-Tickets zu erstellen, die Zugriff auf alle Ressourcen einer Active-Directory-Domäne ermöglichen. Der Angreifer kann sich damit als beliebiger Benutzer — einschließlich Domain Admin — ausgeben, ohne das tatsächliche Passwort zu kennen.

Was ist der Unterschied zwischen Golden Ticket und Silver Ticket?+

Ein Golden Ticket fälscht das Ticket Granting Ticket (TGT) und ermöglicht domänenweiten Zugriff auf alle Dienste. Ein Silver Ticket fälscht dagegen ein Service Ticket (TGS) mithilfe des Passwort-Hashes eines einzelnen Service Accounts und ist auf den jeweiligen Dienst beschränkt.

Wie erkennt man einen Golden Ticket-Angriff?+

Hinweise sind TGS-Anfragen mit ungewöhnlich langer TGT-Lebensdauer (Event ID 4769), fehlende vorherige AS-REQ für ein verwendetes TGT (Event ID 4768) sowie Authentifizierungen von nicht existierenden oder deaktivierten Konten. Da Golden Tickets kryptografisch korrekt sind, ist die Erkennung ohne SIEM und PAC-Validierung sehr schwierig.

Wie lange ist ein Golden Ticket gültig?+

Der Angreifer kann die Gültigkeitsdauer beim Erstellen des Tickets frei wählen — theoretisch auf Jahre oder Jahrzehnte. Solange der krbtgt-Passwort-Hash unverändert bleibt, können jederzeit neue Tickets erzeugt werden.

Wie schützt man sich vor Golden Ticket-Angriffen?+

Die wichtigste Maßnahme ist die zweimalige Rotation des krbtgt-Passworts, da Kerberos den aktuellen und den vorherigen Hash akzeptiert. Ergänzend verhindert ein sauberes Tiering-Modell, dass Angreifer überhaupt Zugriff auf Tier-0-Systeme und damit den krbtgt-Hash erlangen.

Unser Angebot

Identity & Access Hardening

Weiterführende Artikel

Die 5 gefährlichsten Active Directory Angriffsvektoren in 2026