Cybersecurity

Kerberos

Standard-Authentifizierungsprotokoll in Active Directory, das Identitäten über ein Ticket-basiertes System verifiziert, ohne Passwörter über das Netzwerk zu übertragen.

Kerberos ist das Standard-Authentifizierungsprotokoll in Active Directory-Umgebungen und hat das ältere NTLM-Protokoll als bevorzugte Methode abgelöst. Das Protokoll basiert auf einem Ticket-System: Anstatt bei jedem Zugriff Credentials zu übertragen, erhält ein authentifizierter Benutzer Tickets, die seinen Zugriff auf Ressourcen nachweisen. Kerberos wurde am MIT entwickelt und ist seit Windows 2000 das primäre Authentifizierungsprotokoll in Microsoft-Netzwerken.

Wie Kerberos funktioniert

Kerberos-Authentifizierung — Ticket-basierter Ablauf über Client, KDC und Dienst

Die Authentifizierung läuft über drei Parteien: den Client (Benutzer oder Dienst), den Zielserver (die Ressource) und das Key Distribution Center (KDC), das auf dem Domain Controller läuft. Der Ablauf erfolgt in mehreren Schritten.

Zuerst authentifiziert sich der Benutzer beim KDC und erhält ein Ticket Granting Ticket (TGT). Dieses TGT ist der Nachweis der Identität und wird mit dem Passwort-Hash des krbtgt-Kontos verschlüsselt. Wenn der Benutzer auf eine Ressource zugreifen möchte, legt er das TGT beim Ticket Granting Service (TGS) vor und erhält ein Service Ticket für die spezifische Ressource. Dieses Service Ticket wird dem Zielserver präsentiert, der damit den Zugriff gewährt — ohne dass das KDC erneut kontaktiert werden muss.

Der entscheidende Vorteil gegenüber NTLM: Das Passwort des Benutzers wird niemals über das Netzwerk übertragen. Stattdessen dienen kryptografische Schlüssel und zeitlich begrenzte Tickets als Authentifizierungsnachweis.

Kerberos-Ticket-Typen

Ticket	Zweck	Gültigkeit	Verschlüsselt mit
TGT (Ticket Granting Ticket)	Nachweis der Identität gegenüber dem KDC	Standard: 10 Stunden	Passwort-Hash des `krbtgt`-Kontos
TGS (Service Ticket)	Zugriff auf eine bestimmte Ressource	Standard: 10 Stunden	Passwort-Hash des Service Accounts

Die Verschlüsselung der Tickets ist gleichzeitig Stärke und Schwachstelle des Protokolls. Da Service Tickets mit dem Hash des zugehörigen Service Accounts verschlüsselt sind, können sie offline geknackt werden — die Grundlage für Kerberoasting-Angriffe.

Angriffe auf Kerberos

Kerberos ist das sicherere Protokoll, aber nicht immun gegen Angriffe. Die wichtigsten Angriffstechniken zielen auf die Tickets und die zugrunde liegenden Schlüssel.

Kerberoasting fordert Service Tickets an und knackt deren Verschlüsselung offline, um Passwörter von Service Accounts zu erlangen. Ein Golden-Ticket-Angriff nutzt den kompromittierten Hash des krbtgt-Kontos, um beliebige TGTs zu fälschen — der Angreifer kann sich damit als jeder Benutzer ausgeben, einschließlich Domain Admins. Ein Silver-Ticket-Angriff fälscht Service Tickets für einzelne Dienste, ohne das KDC zu kontaktieren. AS-REP Roasting zielt auf Konten, bei denen die Kerberos-Vorauthentifizierung deaktiviert ist.

Die Absicherung erfordert ein Zusammenspiel mehrerer Maßnahmen: Das Tiering-Modell begrenzt, wo privilegierte Tickets exponiert werden. gMSA-Konten mit automatisch rotierten 120-Zeichen-Passwörtern machen Kerberoasting praktisch unmöglich. Regelmäßige Rotation des krbtgt-Passworts (mindestens zweimal hintereinander) invalidiert existierende Golden Tickets. Und die konsequente Deaktivierung von RC4 zugunsten von AES-256 erschwert das Knacken erbeuteter Tickets erheblich.

Kerberos vs. NTLM

Merkmal	Kerberos	NTLM
Authentifizierung	Ticket-basiert (TGT + Service Ticket)	Challenge-Response mit Passwort-Hash
Passwort-Übertragung	Nie über das Netzwerk	Hash wird bei jeder Authentifizierung übermittelt
Gegenseitige Authentifizierung	Ja (Client und Server)	Nein (nur Client wird verifiziert)
Delegation	Unterstützt (constrained/unconstrained)	Nicht möglich
Anfälligkeit	Kerberoasting, Golden/Silver Ticket	Pass-the-Hash, Relay-Angriffe
Status	Aktiv empfohlen	Veraltet, Abschaltung empfohlen

In der Praxis laufen beide Protokolle oft parallel, da Legacy-Anwendungen und bestimmte Konfigurationen auf NTLM als Fallback zurückgreifen. Diese Koexistenz ermöglicht es Angreifern, NTLM-Downgrade-Angriffe durchzuführen und die Sicherheitsvorteile von Kerberos zu umgehen.

Relevanz für KMUs

Kerberos funktioniert in den meisten AD-Umgebungen automatisch — die Herausforderung liegt nicht in der Einrichtung, sondern in der Absicherung. Die wichtigsten Maßnahmen für KMUs: krbtgt-Passwort regelmäßig rotieren (in vielen Umgebungen seit der Domäneneinrichtung unverändert), RC4-Verschlüsselung deaktivieren, Service Accounts auf gMSA migrieren und Konten ohne Vorauthentifizierung identifizieren und korrigieren. Diese Maßnahmen sind mit Bordmitteln umsetzbar und schließen die häufigsten Angriffsvektoren.

Häufige Fragen

Was ist der Unterschied zwischen Kerberos und NTLM?+

Kerberos verwendet ein Ticket-basiertes System mit gegenseitiger Authentifizierung und überträgt das Passwort niemals über das Netzwerk. NTLM setzt auf ein Challenge-Response-Verfahren, bei dem der Passwort-Hash bei jeder Authentifizierung übermittelt wird, was Pass-the-Hash- und Relay-Angriffe ermöglicht.

Was ist ein TGT (Ticket Granting Ticket)?+

Ein TGT ist der primäre Identitätsnachweis in Kerberos, den ein Benutzer nach der ersten Anmeldung am Key Distribution Center erhält. Es ist mit dem Passwort-Hash des krbtgt-Kontos verschlüsselt und gilt standardmäßig 10 Stunden — damit kann der Benutzer weitere Service Tickets anfordern, ohne sein Passwort erneut einzugeben.

Kann Kerberos ohne Active Directory genutzt werden?+

Ja. Kerberos ist ein offenes Protokoll (RFC 4120) und wird auch in Linux-Umgebungen eingesetzt, etwa mit MIT Kerberos oder Heimdal. In der Praxis ist es jedoch überwiegend in Microsoft Active Directory implementiert, das den Key Distribution Center (KDC) auf dem Domain Controller betreibt.

Was ist Kerberoasting?+

Kerberoasting ist ein Angriff, bei dem ein Angreifer Service Tickets für Konten mit Service Principal Names (SPNs) anfordert und deren Verschlüsselung offline knackt, um das Passwort des zugehörigen Service Accounts zu ermitteln. Accounts mit schwachen Passwörtern sind besonders gefährdet; der Einsatz von gMSA mit automatisch rotierten Passwörtern macht diesen Angriff praktisch unwirksam.

Warum ist RC4-Verschlüsselung in Kerberos unsicher?+

RC4 (NTLM-Hash-basierte Verschlüsselung) gilt als veraltet und kann mit moderner Hardware deutlich schneller geknackt werden als AES-256. Angreifer können erbeutete Kerberos-Tickets mit RC4-Verschlüsselung offline angreifen; Microsoft empfiehlt, RC4 in Active Directory vollständig zu deaktivieren und ausschließlich AES-128 und AES-256 zu verwenden.

Unser Angebot

Identity & Access Hardening

Weiterführende Artikel

Die 5 gefährlichsten Active Directory Angriffsvektoren in 2026 RC4-Verschlüsselung in Active Directory abschalten — Warum jetzt Handlungsbedarf besteht