Skip to content

Active Directory absichern: Angriffspfade, Härtung & Pentest 2026

6. Juli 2026

Ein einzelnes Benutzerkonto. Kein Admin, keine besonderen Rechte, gewonnen über eine Phishing-Mail an die Buchhaltung. In vielen unserer internen Pentests ist das der komplette Ausgangspunkt – und in einem erschreckend hohen Anteil der Umgebungen genügt er, um binnen weniger Stunden Domänenadministrator zu werden. Nicht über eine spektakuläre Zero-Day-Lücke, sondern über Konfigurationen, die seit Jahren unverändert im Verzeichnis liegen.

Active Directory (AD) ist der weltweit dominierende Verzeichnisdienst zur Verwaltung von Windows-Netzwerken. Angaben zur Verbreitung schwanken je nach Quelle: Frost & Sullivan beziffert den Anteil der Global-Fortune-1000-Unternehmen, die AD als primäres Mittel zur Authentifizierung und Autorisierung einsetzen, auf rund 90 Prozent; ältere Angaben von Microsoft liegen mit 93 bis 95 Prozent noch höher. Der genaue aktuelle Installationsbestand ist schwer zu ermitteln – Branchenbeobachter gehen jedoch davon aus, dass der Anteil seither nicht wesentlich gesunken ist. Auch im DACH-Raum ist AD faktischer Standard: Einzelne Branchenquellen schätzen, dass rund 80 Prozent der deutschen Unternehmen mit mehr als 50 Mitarbeitenden auf Windows-Server-Systeme setzen und ein Großteil der KMU AD oder dessen Cloud-Pendant Microsoft Entra ID nutzt – belastbare Primärstatistiken speziell für Deutschland liegen dazu allerdings nicht vor.

In der Praxis bedeutet diese Verbreitung: AD verwaltet Identitäten, authentifiziert Benutzer und Dienste und entscheidet, wer auf welche Ressource zugreifen darf. Genau diese zentrale Rolle macht es zum lohnendsten Ziel. Wer die Domäne kontrolliert, kontrolliert praktisch alles.

Dieser Beitrag zeigt aus der Angreiferperspektive, wie ein typischer Weg vom Standardnutzer zum Domain Admin aussieht, welche Techniken 2025 und 2026 tatsächlich funktionieren – bis hin zu brandaktuellen wie BadSuccessor – und mit welchen Härtungsmaßnahmen Sie diese Pfade schließen. Am Ende ordnen wir ein, was ein professioneller Active-Directory-Pentest leistet und wo seine Grenzen liegen.

Warum Active Directory das Hauptziel ist

Die Behörden der Five Eyes – darunter die US-amerikanische CISA, die NSA und das britische NCSC – haben im September 2024 mit „Detecting and Mitigating Active Directory Compromises“ eine gemeinsame Leitlinie veröffentlicht, die 17 der am häufigsten beobachteten Angriffstechniken gegen AD beschreibt. Ihre Kernaussage: Active Directory ist die weltweit verbreitetste Authentifizierungslösung in Unternehmensnetzen – und wird von Angreifern routinemäßig ins Visier genommen, um Rechte auszuweiten und die wertvollsten Konten zu übernehmen.

Wie zentral Active Directory in echten Angriffen ist, zeigt der Sophos Active Adversary Report 2026, der 661 Incident-Response- und MDR-Fälle aus 70 Ländern auswertet. In rund zwei Dritteln der untersuchten Vorfälle (67 Prozent) lag die Ursache im Identitätsbereich – kompromittierte Zugangsdaten, Brute-Force-Angriffe und Phishing. Und die Angreifer werden schneller: Die mediane Zeit vom ersten Zugriff bis zum Erreichen des Active Directory lag zuletzt bei nur 3,4 Stunden – rund 70 Prozent kürzer als ein Jahr zuvor. Die Richtung ist damit eindeutig: Wer sich lateral ausbreiten und am Ende verschlüsseln will, führt seinen Weg fast immer über Active Directory.

Dafür gibt es zwei grundverschiedene Gründe. Der erste ist gewachsene Altlast: AD ist in vielen Organisationen über zwei Jahrzehnte gewachsen und trägt entsprechend viel Ballast – großzügige Standardeinstellungen, aus Kompatibilitätsgründen weiter unterstützte Legacy-Protokolle und über die Jahre entstandene Berechtigungsketten, die niemand mehr vollständig überblickt. Diese Schwächen sind das Ergebnis von Konfiguration und Historie und lassen sich grundsätzlich beheben.

Der zweite Grund ist konstruktionsbedingt und gerade deshalb so heikel: AD konzentriert die wertvollsten Geheimnisse an einer Stelle. Über die Multimaster-Replikation hält jeder beschreibbare Domänencontroller ein vollständiges Replikat der zentralen Datenbank ntds.dit vor – inklusive der Passwort-Hashes sämtlicher Konten. Wer einen einzigen dieser Domänencontroller kompromittiert, besitzt damit potenziell die Anmeldeinformationen der gesamten Domäne. Das BSI trägt diesem besonderen Schutzbedarf in seinem IT-Grundschutz-Baustein APP.2.2 Active Directory Domain Services Rechnung, der Domänencontroller und die AD-Infrastruktur konsequent als hochschutzbedürftig einordnet.

Der typische Angriffspfad im Überblick

Ein interner Angriff auf AD folgt fast immer demselben Muster. Die einzelnen Stufen greifen ineinander, und an mehreren Stellen genügt eine einzige Fehlkonfiguration, um eine Stufe zu überspringen:

  1. Reconnaissance – Das Verzeichnis wird ausgelesen: Benutzer, Gruppen, Dienstkonten, Berechtigungen und Vertrauensstellungen.
  2. Credential Access – Erste Zugangsdaten oder Passwort-Hashes werden erbeutet, etwa über Kerberoasting oder Password Spraying.
  3. Privilege Escalation – Aus einem unprivilegierten Konto wird ein privilegiertes, häufig über Fehlkonfigurationen in den Zertifikatsdiensten oder in Berechtigungen.
  4. Lateral Movement – Der Angreifer bewegt sich seitlich durch das Netz, von System zu System.
  5. Domain Dominance – Die vollständige Kontrolle über die Domäne, meist durch das Extrahieren aller Passwort-Hashes.
  6. Persistenz – Dauerhafte, unauffällige Zugänge, die auch ein Passwortwechsel nicht beseitigt.

Die folgenden Abschnitte gehen die wichtigsten Techniken entlang dieses Pfades durch – jeweils mit Funktionsweise, Voraussetzung, Auswirkung und Gegenmaßnahme.

angriffspfad

Reconnaissance: Das Verzeichnis lesen wie ein Angreifer

Bevor ein Angreifer aktiv wird, verschafft er sich ein Bild. Werkzeuge wie BloodHound mit dem Kollektor SharpHound fragen dazu LDAP-Informationen ab und stellen Active Directory als Graph dar: Benutzer, Gruppen, Computer und Berechtigungen werden zu Knoten, die Beziehungen zwischen ihnen zu Kanten. Aus diesem Graphen liest sich Privilegienausweitung als reines Wegfindungsproblem – der kürzeste Pfad von einem übernommenen Konto zu den Domain Admins wird sichtbar, selbst wenn er über ein Dutzend Zwischenschritte und verschachtelte Gruppenmitgliedschaften führt.

Voraussetzung: Ein beliebiges gültiges Domänenkonto genügt in der Standardkonfiguration, um weite Teile des Verzeichnisses auszulesen. Auswirkung: Der Angreifer kennt die Angriffsfläche oft besser als das interne IT-Team. Gegenmaßnahme: Anonyme und überflüssige Lesezugriffe einschränken, Berechtigungen regelmäßig auditieren – und dieselben Werkzeuge defensiv einsetzen. BloodHound, PingCastle und Purple Knight eignen sich hervorragend, um riskante Pfade zu finden, bevor es ein Angreifer tut.

Verhindern lässt sich das reine Auslesen allerdings kaum – jedes authentifizierte Konto darf große Teile des Verzeichnisses lesen. Der Schwerpunkt verlagert sich damit auf die Erkennung, und genau hier helfen XDR-Lösungen (Extended Detection and Response). Sie korrelieren Telemetrie aus Endpunkten, Identitäten und Netzwerk und erkennen Enumeration an ihrem Verhalten statt an einzelnen Signaturen. Werkzeuge wie SharpHound hinterlassen dabei einen charakteristischen Fußabdruck: hochvolumige, breit gestreute LDAP-Abfragen, massenhafte SAMR-Enumeration und ungewöhnliche Zugriffsmuster auf die Domänencontroller. Eine identitätsnahe XDR-Komponente – etwa Microsoft Defender for Identity als Teil von Defender XDR – meldet solche Aktivitäten über Detektionen wie Security Principal Reconnaissance (LDAP) oder User and Group Membership Reconnaissance (SAMR).

Wirksam ergänzen lässt sich das durch Täuschung: bewusst platzierte Decoy- oder Honeytoken-Konten – etwa Scheinkonten mit „Admin“ im Namen – schlagen Alarm, sobald sie abgefragt werden, weil der reguläre Betrieb sie nie berührt. Ein Allheilmittel ist Detektion jedoch nicht. Angreifer weichen aus, etwa indem sie die Datensammlung von LDAP auf die Active Directory Web Services (ADWS) verlagern, um im normalen Web-Verkehr unterzugehen. Belastbar ist deshalb erst die Kombination aus reduzierten Lesezugriffen, verhaltensbasierter Überwachung und Täuschung.

Credential Access: Kerberoasting und AS-REP Roasting

Kerberoasting ist eine der zuverlässigsten Techniken überhaupt, weil sie einen legitimen Mechanismus von Kerberos ausnutzt. Jedes Konto mit einem Service Principal Name (SPN) – typischerweise Dienstkonten für Datenbanken, Webserver oder Applikationen – kann von jedem authentifizierten Benutzer angefragt werden. Der Domänencontroller stellt ein Service-Ticket aus, das mit dem Passwort-Hash des Dienstkontos verschlüsselt ist. Der Angreifer nimmt dieses Ticket mit und knackt es offline, ohne weitere Spuren im Netz. Ist das Dienstkonto mit einem schwachen Passwort versehen – und das ist bei über Jahre gewachsenen Service-Accounts die Regel – fällt es in Minuten.

AS-REP Roasting funktioniert ähnlich, zielt aber auf Konten, bei denen die Kerberos-Vorauthentifizierung deaktiviert ist. Für solche Konten lässt sich eine verschlüsselte Server-Antwort anfordern und ebenfalls offline knacken – hier wird nicht einmal ein eigenes Passwort benötigt.

Auswirkung: Beide Techniken liefern zunächst nur einen knackbaren Hash, kein fertiges Passwort. Erst erfolgreiches Offline-Cracking macht daraus ein Klartextpasswort, und das gelingt nur bei schwachen Passwörtern. Steckt ein so geknacktes Dienstkonto zusätzlich in einer privilegierten Gruppe, ist der Sprung zum Ziel direkt geschafft. Ein ausreichend langes, zufälliges Passwort lässt den Angriff dagegen ins Leere laufen. Gegenmaßnahme: Der wirksamste Hebel sind starke, zufällige Geheimnisse, idealerweise (group/delegated) Managed Service Accounts mit automatischer Schlüsselverwaltung. Dazu gehören der Verzicht auf privilegierte Dienstkonten und eine saubere SPN-Hygiene, also das Entfernen überflüssiger SPNs. AES statt RC4 zu erzwingen senkt die Crackbarkeit erheblich, beseitigt Kerberoasting aber nicht: Das Service-Ticket bleibt mit dem Langzeitschlüssel des Kontos geschützt und lässt sich weiterhin offline angreifen. Gegen AS-REP Roasting wirkt zusätzlich die aktivierte Vorauthentifizierung. Beim Monitoring taugt Ereignis 4769 nicht als Alarmknopf, denn Service-Ticket-Anfragen gehören zum Normalbetrieb und RC4 ist in Legacy-Umgebungen nicht per se bösartig. Aussagekräftig wird das Signal erst im Kontext, etwa wenn ein einzelnes Konto in kurzer Zeit Tickets für viele verschiedene SPNs anfordert. Ein gezielter Passwort-Audit deckt genau die schwachen Dienstkonten auf, die Kerberoasting lohnend machen.

Password Spraying: Ein Passwort, viele Konten

Statt ein Konto mit vielen Passwörtern anzugreifen und dabei Sperren auszulösen, probiert Password Spraying wenige, wahrscheinliche Passwörter gegen viele Konten – etwa das aktuelle Quartal plus Jahreszahl. Die Five-Eyes-Leitlinie empfiehlt hier unter anderem eine Kontosperre nach maximal fünf Fehlversuchen sowie das aktive, mindestens monatliche Aufspüren von im Klartext gespeicherten Zugangsdaten im Netz. Wirksamer Schutz ist zudem Mehr-Faktor-Authentifizierung und der Einsatz von Sperrlisten für offensichtlich schwache Passwörter.

Privilege Escalation über die Zertifikatsdienste (ADCS / ESC)

Die Active Directory Certificate Services (ADCS) sind in vielen Unternehmen im Einsatz – und häufig fehlkonfiguriert. SpecterOps beschrieb 2021 in der Forschungsarbeit „Certified Pre-Owned“ die ersten acht Eskalationsklassen (ESC1 bis ESC8); das Werkzeug Certipy automatisiert deren Fund und Ausnutzung und deckt inzwischen die gesamte bekannte Bandbreite von ESC1 bis ESC17 ab. Die Klassen jenseits von ESC8 stammen von weiteren Forschern und kamen bis 2025 hinzu.

Zwei Klassiker verdeutlichen das Problem:

  • ESC1: Erlaubt eine Zertifikatsvorlage einem gewöhnlichen Benutzer, den Antragsteller selbst zu bestimmen (Enrollee Supplies Subject) und stellt das Zertifikat zur Client-Authentifizierung aus, dann kann sich ein unprivilegierter Nutzer ein Zertifikat auf den Namen eines Domänenadministrators ausstellen lassen. Privilegienausweitung in wenigen Minuten, ohne Exploit.
  • ESC8: Hier wird eine erzwungene Authentifizierung eines Domänencontrollers per NTLM an die Web-Enrollment-Schnittstelle der CA weitergeleitet (Relay). Der Angreifer erhält ein Maschinenzertifikat des DCs, authentifiziert sich damit und kann anschließend die gesamte Domäne auslesen. Diese Kette benötigt zu Beginn keinerlei Domänenrechte.

Gegenmaßnahme: Vorlagen systematisch prüfen und bereinigen, das Recht „Enrollee Supplies Subject“ entfernen, Anmeldeberechtigungen restriktiv setzen, Web-Enrollment absichern (HTTPS mit Extended Protection for Authentication) oder deaktivieren, wenn es nicht benötigt wird. In der Überwachung sind die Ereignisse 4886 und 4887 relevant. Das BSI ordnet die CA im Übrigen dem Tier-0-Umfeld zu – ihre Sicherheit ist untrennbar mit der des Active Directory verbunden.

NTLM-Relay und Coercion: Totgesagte leben länger

Microsoft hat das Ende von NTLM eingeläutet, doch in der Praxis bleibt das Protokoll ein verlässlicher Angriffsvektor. Über sogenannte Coercion-Techniken – bekannt unter Namen wie PetitPotam oder PrinterBug – lässt sich ein Domänencontroller dazu bringen, sich aktiv gegenüber einem vom Angreifer kontrollierten System zu authentifizieren. Diese Authentifizierung wird dann an ein lohnendes Ziel weitergeleitet, etwa an LDAP oder an die ADCS-Web-Enrollment-Schnittstelle (siehe ESC8).

Dass dies kein theoretisches Restrisiko ist, zeigte 2025 die Schwachstelle CVE-2025-24054: Eine NTLM-Hash-Offenlegung, die laut Sicherheitsforschung binnen weniger Tage nach dem Patch aktiv in Angriffskampagnen gegen Behörden ausgenutzt wurde – ausgelöst bereits durch das bloße Betrachten eines präparierten Verzeichnisses. Auch Windows Server 2025 brachte zwar sinnvolle Standardhärtungen, verschob die Angriffsfläche aber eher, als sie zu beseitigen.

Gegenmaßnahme: SMB-Signierung erzwingen, LDAP-Signierung samt Channel Binding aktivieren, NTLM schrittweise reduzieren und deaktivieren, Extended Protection auf den Web-Enrollment-Endpunkten. Das BSI fordert in APP.2.2 explizit signierten SMB-Verkehr, die Deaktivierung von LM und NTLMv1 sowie signierte LDAP-Sitzungen mit Channel Binding Token.

Domain Dominance: DCSync

Ist ein Konto mit den Replikationsrechten DS-Replication-Get-Changes und …-All erreichbar, kommt DCSync zum Einsatz. Statt sich auf einem Domänencontroller anzumelden, sendet der Angreifer eine ganz normale Replikationsanfrage über das DRS-Protokoll – so, wie es Domänencontroller untereinander tun. Der DC antwortet bereitwillig mit den angeforderten Daten, einschließlich sämtlicher Passwort-Hashes und des besonders wertvollen krbtgt-Schlüssels. Das Ergebnis: jede Anmeldeinformation der Domäne, aus der Ferne extrahiert, ohne je einen DC direkt betreten zu haben.

Wichtig zu verstehen: DCSync missbraucht legitime Replikationsberechtigungen, keine Software-Lücke. Ein Patch allein verhindert die Technik daher nicht. Microsofts eigene AD-Bedrohungsleitlinie vom Dezember 2025 führt DCSync als eine der am häufigsten beobachteten Techniken nach einer Kompromittierung. Gegenmaßnahme: Replikationsrechte streng nach dem Least-Privilege-Prinzip vergeben und quartalsweise auditieren, Tiering konsequent umsetzen. In der Überwachung ist das Ereignis 4662 mit dem Replikations-GUID der entscheidende Indikator.

Persistenz: Golden und Silver Tickets

Wer den krbtgt-Hash besitzt, kann sich ein Golden Ticket ausstellen – ein selbst geschmiedetes Ticket-Granting-Ticket, mit dem sich der Angreifer als beliebige Identität ausgeben kann, inklusive Domänenadministrator. Ein Silver Ticket ist enger gefasst und fälscht ein Service-Ticket für einen bestimmten Dienst. Beides sind Persistenztechniken: Selbst nachdem kompromittierte Benutzerpasswörter zurückgesetzt wurden, bleibt der Zugang bestehen.

Gegenmaßnahme: Das krbtgt-Passwort schützen und regelmäßig rotieren – und zwar zweimal mit ausreichendem Abstand, damit die alten Schlüssel vollständig ungültig werden. Nach jedem Ausscheiden eines Mitarbeiters mit Tier-0-Zugriff gehört eine außerplanmäßige Rotation dazu. Ein sinnvoller Merksatz aus der Praxis: Wer nicht weiß, wann das krbtgt-Passwort zuletzt geändert wurde, sollte davon ausgehen, dass ein Angreifer es kennt.

Neu und relevant: BadSuccessor und dMSA-Missbrauch

Mit Windows Server 2025 hat Microsoft die delegated Managed Service Accounts (dMSA) eingeführt – ein neuer Kontotyp, der die Migration alter Dienstkonten vereinfachen soll. Der Akamai-Forscher Yuval Gordon zeigte im Mai 2025 unter dem Namen BadSuccessor, wie sich dieser Migrationsmechanismus missbrauchen lässt.

Der Kern des Problems: Ein Angreifer mit dem Recht, in einer beliebigen Organisationseinheit (OU) Objekte anzulegen (CreateChild), kann ein dMSA erstellen und über zwei Attribute – msDS-ManagedAccountPrecededByLink und msDS-DelegatedMSAState – eine Migration von einem beliebigen Konto vortäuschen. Das Key Distribution Center behandelt das dMSA daraufhin als rechtmäßigen Nachfolger und überträgt ihm die Privilegien und Schlüssel des Zielkontos – bis hin zum Domänenadministrator. Besonders brisant: Der Angriff funktioniert standardmäßig, sobald auch nur ein einziger Windows-Server-2025-Domänencontroller in der Gesamtstruktur steht, selbst wenn dMSAs gar nicht genutzt werden. Akamai fand die erforderlichen Berechtigungen in 91 Prozent der untersuchten Umgebungen bei Konten außerhalb der Domänenadministratoren.

Microsoft stufte die Schwachstelle zunächst als moderat ein und verzichtete auf einen sofortigen Patch – eine Einschätzung, der Akamai öffentlich widersprach. Am 12. August 2025 folgte dann doch ein Patch unter der Kennung CVE-2025-53779. Wichtig für die Einordnung: Der Patch schließt den direkten Eskalationsweg, doch als Technik bleibt BadSuccessor relevant – etwa als Mittel, um an Anmeldeinformationen zu gelangen, wenn ein Angreifer bereits ein dMSA und ein Zielobjekt kontrolliert.

Gegenmaßnahme: Windows-Server-2025-DCs patchen, Berechtigungen auf OUs und Containern prüfen, das Anlegen und Ändern von dMSAs strikt auf Tier-0 beschränken und Schreibzugriffe auf die genannten Attribute überwachen (Ereignisse 5136/5137 bei entsprechend gesetzten SACLs). Der einfache Grundsatz: dMSA-Erstellung mit derselben Sorgfalt behandeln wie andere hochsensible Operationen.

Warum Standard-Härtung nicht ausreicht

Die meisten AD-Umgebungen sind stabil – aber Stabilität ist nicht Sicherheit. Über die Jahre sammeln sich Konfigurationen an, die vor zehn Jahren akzeptabel waren und heute ein offenes Tor darstellen: aktiviertes RC4, nie rotierte krbtgt-Passwörter, fehlende Tier-Trennung, überprivilegierte Konten. In vielen Umgebungen liegt die Zahl privilegierter Konten um ein Vielfaches über dem notwendigen Minimum – und jedes überflüssige privilegierte Konto ist ein potenzieller Einstiegspunkt.

Das Tückische an den beschriebenen Techniken ist, dass keine von ihnen eine „Lücke“ im klassischen Sinn ausnutzt. Kerberoasting, DCSync und ADCS-Missbrauch verwenden legitime Mechanismen. Ein reiner Schwachstellenscan, der nach fehlenden Patches sucht, findet sie deshalb nicht. Gefragt ist die systematische Prüfung von Berechtigungen, Konfigurationen und Angriffspfaden.

Härtung: Die fünf Säulen einer belastbaren AD-Sicherheit

Das Microsoft-Tier-Modell, das auch das BSI im IT-Grundschutz als Empfehlung übernimmt, bildet das Fundament. Es trennt administrative Identitäten nach Schutzbedarf: Tier 0 umfasst Domänencontroller und AD-Infrastruktur, Tier 1 wichtige Server und Anwendungen, Tier 2 Arbeitsplätze und Endnutzer. Die eiserne Regel lautet: Ein Tier-0-Konto darf sich niemals an einem Tier-1- oder Tier-2-System anmelden. Wer als Domänenadministrator sein E-Mail-Postfach öffnet, verschenkt das höchste Privileg an den ersten Phishing-Link.

tier modell

Auf diesem Fundament ruhen fünf praktische Säulen:

  1. Kontentrennung und PAW. Dedizierte Administratorkonten je Tier, Cross-Tier-Anmeldungen per Gruppenrichtlinie blockieren, den integrierten Administrator absichern. Privilegierte Verwaltung erfolgt ausschließlich über Privileged Access Workstations – dedizierte Geräte ohne E-Mail, Browser und Office.
  2. Kerberos härten. AES statt RC4 erzwingen, das krbtgt-Passwort zweimal rotieren und diese Rotation quartalsweise einplanen. Keine SPNs auf privilegierten Konten, um Kerberoasting die Grundlage zu entziehen.
  3. Legacy-Protokolle zurückdrängen. NTLM reduzieren und deaktivieren, SMB signieren, SMBv1 abschalten, LDAP-Signierung mit Channel Binding aktivieren, LM und NTLMv1 deaktivieren – entsprechend BSI APP.2.2.A8.
  4. Anmeldeinformationen schützen. LAPS für lokale Administratorkonten, die Gruppe Protected Users für kritische Konten, Credential Guard und LSA Protection auf allen aktuellen Windows-Systemen, um das Auslesen von Anmeldeinformationen aus dem Speicher zu verhindern. Für Tier-0- und Tier-1-Konten phishing-resistente Mehr-Faktor-Authentifizierung wie FIDO2, Smartcard oder Windows Hello for Business.
  5. Kontinuierliche Überwachung. Härtung ohne Monitoring ist ein Schloss ohne Alarmanlage. Neben den bereits genannten Ereignissen (4769, 4662, 4886/4887, 5136/5137) verdienen 4672 sowie Änderungen an privilegierten Gruppen (4728/4756) besondere Aufmerksamkeit. Ein regelmäßiger BloodHound- oder PingCastle-Scan zeigt, ob neue riskante Pfade entstanden sind.

haertung saeulen

Compliance-Bezug: NIS-2, ISO 27001 und BSI-Grundschutz

Seit dem 6. Dezember 2025 ist das deutsche NIS-2-Umsetzungsgesetz in Kraft und hat den Kreis der verpflichteten Unternehmen erheblich erweitert. Mehrere der in § 30 BSIG geforderten Kernmaßnahmen – Zugriffskontrolle, Kryptografie, Mehr-Faktor-Authentifizierung, sichere Authentifizierung – lassen sich unmittelbar auf die hier beschriebene AD-Härtung abbilden. Bei der Nachweispflicht lohnt Präzision: § 39 BSIG trifft nur Betreiber kritischer Anlagen, die dem BSI die Umsetzung erstmals frühestens drei Jahre nach der Einstufung und danach alle drei Jahre nachweisen müssen. Besonders wichtige und wichtige Einrichtungen unterliegen den Risikomanagementpflichten des BSIG, fallen aber nicht schon aufgrund dieser Einordnung unter § 39; Prüfungen kann das BSI bei ihnen anlassbezogen anordnen (§ 61, § 62 BSIG). Welches Regime greift, hängt von Sektor, Größe und Einstufung ab und ist im Einzelfall zu prüfen.

Der Vorteil aus Compliance-Sicht: AD-Härtung ist dokumentierbar. Tier-Modell, LAPS, NTLM-Restriktion, Kerberos-AES sowie LDAP- und SMB-Härtung sind Maßnahmen, deren Umsetzungsstand sich prüfen und belegen lässt – gegenüber einem BSI-Prüfer ebenso wie im Rahmen einer ISO-27001-Zertifizierung, die unter anderem privilegierte Zugriffe und sichere Authentifizierung adressiert. Der BSI-Baustein APP.2.2 liefert dafür den konkreten Anforderungsrahmen. Ein Pentest wiederum erbringt den Wirksamkeitsnachweis: Er zeigt nicht nur, dass Maßnahmen existieren, sondern ob sie einem realen Angriff standhalten.

Wie ein Active-Directory-Pentest abläuft

Am aussagekräftigsten für Active Directory ist ein Assumed-Breach-Szenario in einer Grey-Box-Variante: Der Tester startet mit einem gewöhnlichen Domänenbenutzerkonto – genau der Situation, die nach einer erfolgreichen Phishing-Mail oder einem kompromittierten Endgerät real vorliegt. Das ist deutlich realistischer und effizienter, als einen Angreifer erst mühsam den Perimeter überwinden zu lassen, und deckt exakt die internen Pfade auf, um die es hier geht.

Der Ablauf folgt dem oben skizzierten Angriffspfad: Nach dem Scoping enumeriert der Tester das Verzeichnis, identifiziert Angriffspfade, weist ihre Ausnutzbarkeit kontrolliert nach und dokumentiert, wo die Kette zur Domänenübernahme führt. Das Ergebnis ist kein generisches PDF, sondern ein priorisierter Bericht mit konkreten, umsetzbaren Maßnahmen. Ein solcher Active-Directory-Pentest ist typischerweise Teil einer Prüfung der internen IT-Infrastruktur.

Davon abzugrenzen ist das Red Teaming: Während ein Pentest möglichst umfassend und in einem festen Zeitfenster Schwachstellen findet und dokumentiert, verfolgt ein Red-Team-Einsatz ein konkretes Ziel unter realistischen Bedingungen und legt besonderen Wert darauf, unentdeckt zu bleiben. Beide nutzen dieselben AD-Techniken; der Unterschied liegt in Auftrag und Vorgehen.

Ein Wort zur Einordnung von Qualifikationen: Zertifizierungen wie OSCP auf Seiten der Tester oder eine ISO-27001-Zertifizierung des Dienstleisters sind sinnvolle Mindestindikatoren für Qualität und strukturiertes Vorgehen – sie sind aber kein Selbstzweck und ersetzen weder Erfahrung noch eine saubere Methodik. Entscheidend ist am Ende, ob ein Test die real vorhandenen Angriffspfade findet und verständlich aufbereitet. Ein automatisierter Schwachstellenscan ist dafür eine sinnvolle Ergänzung, aber kein Ersatz: Die hier beschriebenen Fehlkonfigurationen erkennt er nicht.

Fazit

Der Weg vom Standardnutzer zum Domänenadministrator ist in vielen Umgebungen kürzer, als es den Verantwortlichen lieb ist – und er führt selten über spektakuläre Lücken, sondern über Konfigurationen, die sich über Jahre angesammelt haben. Die gute Nachricht: Nahezu alle beschriebenen Pfade lassen sich mit bekannten, dokumentierbaren Maßnahmen schließen. Tiering, Kerberos-Härtung, das Zurückdrängen von NTLM, der Schutz von Anmeldeinformationen und konsequentes Monitoring bilden das Gerüst. Ein regelmäßiger Active-Directory-Pentest stellt sicher, dass dieses Gerüst nicht nur auf dem Papier steht.

Häufige Fragen (FAQ)

Was bedeutet „Active Directory absichern" konkret?

Es umfasst die systematische Härtung des Verzeichnisdienstes: die Trennung administrativer Identitäten nach dem Tier-Modell, die Härtung von Kerberos, das Zurückdrängen veralteter Protokolle wie NTLM, den Schutz von Anmeldeinformationen sowie eine kontinuierliche Überwachung. Ziel ist es, die typischen Angriffspfade vom unprivilegierten Konto zum Domänenadministrator zu unterbrechen.

Wie lange dauert ein Active-Directory-Pentest?

Das hängt von der Größe und Komplexität der Umgebung ab – von der Anzahl der Domänen und Domänencontroller bis zur Zahl der Konten und Systeme. Eine belastbare Aussage ergibt sich erst nach dem Scoping. Als Anhaltspunkt bewegen sich interne AD-Prüfungen häufig im Bereich weniger Tage; große, verschachtelte Gesamtstrukturen entsprechend länger.

Reicht ein Schwachstellenscan nicht aus?

Nein. Ein Schwachstellenscan sucht primär nach fehlenden Patches und bekannten Schwachstellen. Techniken wie Kerberoasting, DCSync oder ADCS-Missbrauch nutzen jedoch *legitime* Mechanismen und Fehlkonfigurationen, die ein Scanner nicht als Verwundbarkeit erkennt. Für diese Pfade ist eine manuelle, methodische Prüfung nötig.

Ist unser Active Directory durch NIS-2 betroffen?

Wenn Ihr Unternehmen in den Anwendungsbereich des NIS-2-Umsetzungsgesetzes fällt, betreffen mehrere der in § 30 BSIG geforderten Maßnahmen unmittelbar Active Directory – etwa Zugriffskontrolle, Kryptografie und Authentifizierung. Ob Ihr Unternehmen betroffen ist, richtet sich nach Sektor, Größe und Umsatz; die Prüfung muss jedes Unternehmen selbst vornehmen.

Was ist der Unterschied zwischen einem Pentest und Red Teaming?

Ein Pentest deckt in einem definierten Zeitfenster möglichst umfassend Schwachstellen auf und dokumentiert sie. Red Teaming simuliert einen realen Angriff mit einem konkreten Ziel und legt besonderen Wert darauf, unentdeckt zu bleiben. Für eine grundlegende Bestandsaufnahme der AD-Sicherheit ist der Pentest meist der passende Einstieg.

Wie oft sollte Active Directory geprüft werden?

Sinnvoll ist eine Prüfung nach größeren Änderungen an der AD-Struktur, nach der Einführung neuer Domänencontroller – etwa unter Windows Server 2025 – sowie in regelmäßigen Abständen, da sich Berechtigungsketten im laufenden Betrieb ständig verändern. Ergänzend liefern regelmäßige, auch automatisierte Analysen mit Werkzeugen wie PingCastle oder BloodHound einen laufenden Überblick.