Erstgespräch vereinbaren

Active Directory-Angriffstechniken und ihre Folgen – Warum Identity Protection unverzichtbar ist 

Hai und Goldfisch
Inhaltsverzeichnis

Active Directory ist für viele Unternehmen die Schaltzentrale aller Zugriffs- und Identitätsprozesse – und genau deshalb im Visier moderner Angreifer. Ob Golden Ticket, Kerberoasting oder Pass-the-Hash: Wer die Schwachstellen von AD kennt, kann sich oft unbemerkt tief ins Netzwerk eingraben, Privilegien ausweiten und schließlich die volle Kontrolle übernehmen.  

Warum Identity Protection im AD entscheidend ist 

In klassischen Active-Directory-Domänen verwaltet AD die digitale Identität aller Benutzer und Administratoren – es ist das „Herz“ der Unternehmens-IT. Angreifer haben in den letzten Jahren ihren Fokus von reinen Perimeter- und Endgeräte-Angriffen verstärkt auf Identitäten verlagert. Gerade Privileged Accounts (z.B. Domänen-Admins) sind ein attraktives Ziel, da ihre Kompromittierung einem Angreifer quasi Schlüssel zu allen Systemen liefert​. Die Bedeutung von Identity Protection in on-premises AD-Umgebungen kann daher kaum überschätzt werden. Werden AD-Konten kompromittiert, können Angreifer oftmals unbemerkt weite Teile der IT-Infrastruktur übernehmen​. Moderne Ransomware-Kampagnen und APT-Gruppen nutzen gezielt Schwachstellen im Identitätsmanagement aus, um rasch eine volle Domänen-Kompromittierung zu erzielen​.  

Ransomware Angriff auf Laptop

Typische Angriffsvektoren und TTPs gegen Active Directory 

Angreifer verwenden eine Vielzahl von Taktiken, Techniken und Prozessen (TTPs), um sich in AD-Umgebungen auszubreiten. Im Folgenden sind einige der häufigsten Angriffsvektoren gegen Active Directory und deren Funktionsweise dargestellt: 

Credential Dumping

Ein Angreifer mit Zugriff auf ein System kann Passwort-Hashes oder Klartext-Anmeldeinformationen aus dem Speicher (z. B. LSASS) oder aus der AD-Datenbank extrahieren. Tools wie Mimikatz ermöglichen das Auslesen solcher Daten direkt aus dem RAM eines kompromittierten Systems. Die Active-Directory-Datenbank (NTDS.dit) auf einem Domänencontroller lässt sich mit Administratorrechten kopieren und anschließend mit Tools wie Impacket oder DSInternals offline analysieren. Eine besonders kritische Technik ist DCSync: Hierbei simuliert Mimikatz einen Domänencontroller und fordert über Replikationsschnittstellen die Passwort-Hashes von anderen DCs an – ohne dass ein Domain Controller selbst kompromittiert werden muss. 

Pass-the-Hash (PtH)

Diese Technik erlaubt es Angreifern, sich mithilfe eines gestohlenen NTLM-Hashes eines Passworts zu authentifizieren, ohne das Plaintext-Passwort zu kennen. Windows akzeptiert NTLM-Hashes direkt zur Authentifizierung, sodass der Hash wie ein gültiges Login verwendet werden kann. Pass-the-Hash erleichtert die Ausbreitung im Netzwerk insbesondere dann, wenn Administratoren identische Passwörter (und damit identische Hashes) auf mehreren Systemen einsetzen. Solange das Passwort nicht geändert wird, bleibt der Hash verwendbar. Ähnliche Techniken sind Pass-the-Ticket (PtT), bei dem gestohlene Kerberos-Tickets (TGT/TGS) wiederverwendet werden, und Overpass-the-Hash, bei dem ein NTLM-Hash zur Erstellung eines Kerberos-Tickets genutzt wird. 

Golden Ticket

Ein Golden Ticket ist ein gefälschtes Kerberos Ticket-Granting-Ticket (TGT), das mit dem NTLM-Hash des KRBTGT-Kontos der Domäne erstellt wird. Da dieser Hash zur Signierung und Verschlüsselung sämtlicher TGTs verwendet wird, kann ein Angreifer mit Zugriff darauf gültige TGTs generieren. Golden Tickets ermöglichen es dem Angreifer, sich als beliebiger Benutzer – einschließlich Domänen-Administrator – auszugeben und die Gültigkeitsdauer des Tickets frei festzulegen, häufig über mehrere Jahre hinweg. Das Key Distribution Center (KDC) der Domäne akzeptiert solche Tickets als legitim und stellt daraufhin Service-Tickets (TGS) für jede angeforderte Ressource aus. In der Praxis verschafft ein Golden Ticket dem Angreifer uneingeschränkten Zugriff auf alle Kerberos-basierten Dienste innerhalb der Domäne, ohne dass er in AD-Gruppen oder Zugriffskontrolllisten (ACLs) sichtbar wird. Golden Tickets zählen zu den gefährlichsten Persistence-Techniques, da sie bis zur Änderung des KRBTGT-Passworts gültig bleiben – ein Vorgang, der in vielen Unternehmen nur selten oder gar nicht durchgeführt wird. 

Hacker am schreiben auf Tastatur

Kerberoasting

Kerberoasting bezieht sich auf das Offline-Cracking von Passwörtern für Service-Accounts unter Verwendung erfasster Kerberos-Service-Tickets. Jeder Domänenbenutzer kann beim Key Distribution Center (KDC) ein Service-Ticket für einen Dienst anfordern, der einen registrierten Service Principal Name (SPN) hat. Das vom KDC ausgestellte Ticket wird mit dem Hash des entsprechenden Service-Accounts verschlüsselt (normalerweise mit RC4 und dem NTLM-Hash). Der Angreifer sammelt diese Tickets und versucht, sie offline zu cracken – mit Brute-Force- oder Dictionary-Attacks -, um das Plaintext-Passwort des Service-Accounts zu erhalten. Kerberoasting ist besonders effektiv bei schwachen oder nie ablaufenden Passwörtern von Service-Accounts, insbesondere wenn diese Accounts übermäßige Privilegien wie Domain Admin-Rechte haben. 

Angreifer verwenden in der Regel Tools wie Rubeus oder Impacket. Verteidiger können Anzeichen für Kerberoasting erkennen, indem sie das Windows-Sicherheitsereignisprotokoll überwachen, insbesondere die Ereignis-ID 4769 (Kerberos-Service-Ticket-Anforderung), wo eine ungewöhnliche Anzahl von Anforderungen auf verdächtige Aktivitäten hinweisen kann. 

Silver Ticket

Im Gegensatz zum Golden Ticket, das ein gefälschtes Ticket Granting Ticket (TGT) darstellt, fälscht der Angreifer beim Silver Ticket ein Kerberos-Service-Ticket (TGS) für einen konkreten Service. Mithilfe des NTLM-Hashes eines Service Accounts – etwa eines SQL-Service-Accounts – erstellt er ein gültiges TGS, das ihm Zugriff auf genau diesen Dienst gewährt, ohne zuvor ein TGT beim Key Distribution Center (KDC) anfordern zu müssen. Silver Tickets erfordern pro Zielsystem bzw. Dienst den entsprechenden Hash, bleiben jedoch oft länger unentdeckt, da sie nicht durch den KDC ausgestellt und somit nicht zentral protokolliert werden. Ein erfolgreicher Silver-Ticket-Angriff erlaubt es dem Angreifer beispielsweise, sich gegenüber einem Server als autorisierter Service auszugeben und dessen Ressourcen zu nutzen. 

Persistenz und AD-Backdoors

Fortgeschrittene Angreifer etablieren nach einer erfolgreichen Kompromittierung häufig gezielt dauerhafte Zugangsmöglichkeiten in Active Directory. Zu den typischen Techniken gehören unter anderem: 

  • die Manipulation von AdminSDHolder, um privilegierte Rechte dauerhaft zu sichern 
  • SIDHistory Injection, bei der Migrationsmechanismen missbraucht werden, um zusätzlichen SIDs bzw. Privilegien zu erhalten 
  • DCShadow, eine hochentwickelte Technik, bei der ein gefälschter Domänencontroller im AD registriert wird. Über diesen kann der Angreifer manipulierte Objekte oder Attribute in die AD-Datenbank replizieren – zum Beispiel, um seinem eigenen Konto unsichtbar Domain-Admin-Rechte zuzuweisen. 

Solche Änderungen erfolgen über das Replikationsprotokoll (z. B. über RPC/DCOM), wodurch sie von klassischen Audit-Mechanismen oft nicht erkannt werden. Zwar setzen diese Methoden in der Regel Domain-Admin-Rechte voraus, sie dienen jedoch dazu, eine unauffällige und langlebige Persistenz innerhalb der AD-Struktur zu etablieren. 

Diese und ähnliche Angriffstechniken sind umfassend in Frameworks wie der MITRE ATT&CK Enterprise Matrix dokumentiert. Die meisten dieser Verfahren lassen sich den Kategorien Credential Access, Lateral Movement oder Persistence zuordnen. Beispielsweise ist das Stehlen bzw. Fälschen von Kerberos-Tickets als Technik T1558 klassifiziert – mit Untertechniken wie T1558.001 (Golden Ticket) oder T1558.003 (Kerberoasting). Die Technik Pass-the-Hash fällt unter T1550.002 (Alternative Authentication – Pass the Hash). 

Bombe auf Server

Risiken und Folgen für Unternehmen 

Die genannten Angriffsvektoren gegen Active Directory ermöglichen es einem Angreifer, Schritt für Schritt die Kontrolle über die IT-Umgebung auszuweiten. Die Risiken und Folgen solcher AD-Kompromittierungen sind gravierend: 

Persistenz des Angreifers

Gelingt es einem Angreifer, dauerhafte Backdoors in Active Directory zu etablieren (z. B. durch Golden Tickets oder DCShadow), kann er langfristig Zugriff auf die Umgebung behalten – selbst wenn Malware entfernt oder Passwörter zurückgesetzt wurden. Ein Golden Ticket etwa ermöglicht über Jahre hinweg unbemerkt den Zugriff auf beliebige Domänenressourcen, solange das KRBTGT-Passwort nicht geändert wird. Verfügt der Angreifer über einen Dump der AD-Datenbank (NTDS.dit), besitzt er sämtliche aktuellen und früheren Passwort-Hashes und ist damit in der Lage, beliebig viele Golden Tickets zu generieren. Persistenz bedeutet, dass der Angreifer dauerhaft in der Umgebung verbleiben kann – für Spionage, Datendiebstahl oder um jederzeit erneut zuzuschlagen. 

Lateral Movement

Nach dem initialen Eindringen in ein System – beispielsweise durch Phishing, Ausnutzung einer Schwachstelle oder den Einsatz von Malware – versuchen Angreifer, sich seitlich innerhalb des Netzwerks auf weitere Systeme auszubreiten. Dabei werden zuvor erbeutete Benutzer- oder Administrator-Credentials auf anderen Systemen wiederverwendet, etwa über Techniken wie Pass-the-Hash oder Pass-the-Ticket. 

Viele Unternehmensumgebungen begünstigen diese Ausbreitung, da beispielsweise lokale Administrator-Passwörter auf mehreren Rechnern identisch sind oder privilegierte Konten wie Domain-Admins sich regelmäßig auf ungeschützten Workstations anmelden. Dadurch gelingt es Angreifern häufig innerhalb kürzester Zeit – teils in wenigen Minuten – vom kompromittierten Benutzerkonto zum Domänen-Administrator aufzusteigen. 

Lateral Movement führt dazu, dass der Angreifer nach und nach mehr Systeme unter Kontrolle bringt und sich zunehmend tiefer in das Netzwerk vorarbeitet. Ein klassisches Beispiel ist der sogenannte Credential Theft Shuffle: Ein Angreifer kompromittiert zunächst eine Workstation, erlangt dort lokale Administratorrechte, extrahiert (dumped) dort gespeicherte Zugangsdaten aus dem Speicher und nutzt die so erlangten Hashes, um das nächste System zu übernehmen – bis er schließlich Domain-Admin-Rechte erreicht. Dieses schrittweise Ausweiten der Kontrolle endet oft in einer vollständigen Kompromittierung der Domäne. 

PC Bildschirm mit Warnung

Vollständige Domänen-Kompromittierung

Das ultimative Ziel vieler Angriffe auf Active Directory besteht darin, administrative Rechte auf Domänen- oder sogar Gesamtstrukturebene (Domain Admin bzw. Enterprise Admin) zu erlangen. Hat ein Angreifer erst einmal Domain-Admin-Rechte, verfügt er faktisch über uneingeschränkte Kontrolle: Er kann Gruppenrichtlinien manipulieren, Benutzerkonten erstellen, Sicherheitsmechanismen deaktivieren und auf sämtliche Ressourcen innerhalb der Domäne zugreifen. 

In diesem Stadium sind auch komplexe Angriffsszenarien möglich – etwa die massenhafte Verschlüsselung von Domänenrechnern durch Ransomware oder das gezielte Löschen kritischer AD-Objekte, was zu einem vollständigen Ausfall der IT-Infrastruktur führen kann. Ein Angreifer mit Domain-Admin-Zugang kann darüber hinaus umgehend sämtliche Passwörter in der Domäne extrahieren (z. B. durch einen Dump der NTDS.dit) und sich verdeckte Administrationszugänge für die Zukunft einrichten. 

Die geschäftlichen Risiken sind erheblich: von der unbemerkten Exfiltration sensibler Daten (etwa aus File-Servern, E-Mail-Systemen oder Datenbanken) bis hin zur Erpressung oder kompletten Zerstörung der IT-Umgebung. In vielen Fällen bleibt nach einer vollständigen Kompromittierung von Active Directory als einzig tragfähige Maßnahme nur die vollständige Neuaufsetzung der Domäne – da dem kompromittierten AD-System nicht mehr vertraut werden kann. 

Fazit 

Zusammenfassend lässt sich sagen: Eine erfolgreiche Kompromittierung von Active Directory stellt eines der gravierendsten Bedrohungsszenarien für Unternehmen dar. AD-Angriffe ermöglichen hochentwickelte Angriffsverfahren – darunter sogenannte „Assume Breach“-Szenarien – bei denen sich Angreifer tief in der Infrastruktur verankern, langfristig persistente Zugriffsmöglichkeiten schaffen und die vollständige Kontrolle über Identitäten, Systeme und Ressourcen erlangen. 

Sobald privilegierte Berechtigungen wie Domain Admin erreicht sind, lassen sich Sicherheitsmaßnahmen aushebeln, Daten unbemerkt exfiltrieren, Ransomware flächendeckend ausrollen oder kritische Infrastrukturen gezielt lahmlegen. Die Auswirkungen beschränken sich dabei nicht nur auf einzelne IT-Komponenten, sondern betreffen häufig das gesamte Unternehmen.

Die potenziellen Schäden sind erheblich: 

  • finanzieller Verlust durch Betriebsunterbrechungen, Erpressungszahlungen oder forensische Wiederherstellung, 
  • Reputationsschäden durch Datenabflüsse oder öffentliche Vorfälle, 
  • rechtliche Konsequenzen bei Verstößen gegen Datenschutz- oder Compliance-Vorgaben 
  • und nicht zuletzt ein erheblicher Vertrauensverlust gegenüber Kunden, Partnern und Aufsichtsbehörden. 
Offenes Schloss vor Server

Ein kompromittiertes Active Directory kann zudem nicht ohne Weiteres wieder als vertrauenswürdig gelten. In vielen Fällen bleibt als einzige sinnvolle Maßnahme ein vollständiger Neuaufbau der Domäne – mit entsprechend hohem Aufwand, Komplexität und Risiko. 


Ist das Thema Active Directory bei Ihnen umfassend geprüft und abgesichert? Wir checken den Status Quo Ihrer Active Directory-Infrastruktur und empfehlen Ihnen passend zur Analyse sinnvolle Sicherheitsmaßnahmen.

Warum externes Pentesting den heutigen Sicherheitsanforderungen nicht mehr gerecht wird

Phiolen, mit der Aufschrift Danger
Externes Pentesting reicht nicht mehr aus! Moderne Angriffe erfordern proaktive Abwehr, interne Tests & kontinuierliche Überwachung.
Weiterlesen

Break-Glass-Accounts in der Cybersicherheit: Notfallzugriff für kritische Systeme

Fliegendes Schiffchen aus Papier
In Notfällen kommen sogenannte Break-Glass-Accounts zum Einsatz, die einen schnellen und sicheren Zugriff auf kritische Systeme ermöglichen.
Weiterlesen

Was ist Active Directory Hardening und warum ist es so wichtig für die Sicherheit?

Mann vor Fenster mit großem Sprung
Active Directory bildet das Fundament vieler Unternehmensnetzwerke – und ist deshalb ein bevorzugtes Ziel von Cyberangriffen. Schwachstellen in der AD-Sicherheit können fatale Folgen haben.
Weiterlesen

Cybersicherheit mit der Cyber Security Strategie von ujima

Wir analysieren Ihre Cyber Security und beraten Sie zu weiterführenden Maßnahmen, um Ihr Unternehmen digital so sicher wie möglich zu machen.

  1. Info-Telefonat vereinbaren
  2. Von Cyber Security Spezialisten beraten lassen
  3. Cybersicherheit steigern und Ihr Unternehmen bulletproof machen
Erstgespräch vereinbaren

kostenfrei und unverbindlich

+49 69 153 22 793 - 0

Rufen Sie uns direkt an

Beratung

Cyber Security Beratung
Cyber Security Strategie

Lösungen

SOC
SIEM
EDR
IR
Pentesting
Multifaktor Authentifizierung
Lizenzen & Werkzeuge

SOC
SIEM
EDR
IR

Pentesting
Multi-Faktor Authentifizierung
Lizenzen & Werkzeuge

Über uns

Unternehmen
Kundenbeispiele
Blog
Impressum
Datenschutz
AGB

Kontakt

Kontaktformular
Erstgespräch vereinbaren
+49 69 15322793 – 0
info@ujima.de

Aus Gründen der besseren Lesbarkeit verwenden wir auf dieser Website vorrangig die männliche Form. Bei allen personenbezogenen Bezeichnungen meint die gewählte Formulierung stets alle Geschlechter und Geschlechtsidentitäten. Die verkürzte Sprachform hat rein redaktionelle Gründe und ist wertfrei.

© 2024 ujima GmbH

Vielen Dank, dass entsprechende Cookie wurde gesetzt. Damit wird die Verarbeitung der Daten bei Ihrem nächsten Besuch unterbunden. Hier klicken um dich auszutragen.

BRANDNEU: 197 € 0 € Pentesting-Strategien 2025

Die wichtigsten Maßnahmen, die jeder IT-Verantwortliche 2025 ergreifen sollte!

Jetzt Report sichern