Das Active Directory (AD) ist seit über zwei Jahrzehnten das Herzstück der meisten Unternehmensnetzwerke. Es verwaltet Benutzer, Computer, Gruppenrichtlinien, Server und Berechtigungen. Kurz gesagt: es ist die Schaltzentrale jeder IT-Infrastruktur. Genau deshalb ist es auch der primäre Angriffspunkt für Cyberkriminelle.

Doch während Unternehmen in moderne Sicherheitslösungen investieren, bleibt das AD häufig eines der am schlechtesten gehärtete Systeme überhaupt. Warum ist das so? Und wieso setzen Angriffe von Ransomware bis zu gezielten APT-Kampagnen nahezu immer genau hier an?

Dieser Artikel beleuchtet die Gründe, typische Schwachstellen und was Unternehmen konkret tun können, um solche Risiken nachhaltig zu reduzieren.

Warum Angreifer das Active Directory lieben

Zugriff auf das AD bedeutet Kontrolle über das gesamte Unternehmen

Hat ein Angreifer Domänenadministrator-Rechte, kann er praktisch alles tun:

• Benutzerkonten übernehmen
• Systeme verschlüsseln
• Daten exfiltrieren
• Sicherheitslösungen deaktivieren
• Spuren verwischen

Das AD ist eine Single Point of Failure und damit ein Traumziel jeder Angreifergruppe.

AD-Umgebungen sind oft veraltet

Viele Active-Directory-Installationen stammen aus Zeiten, in denen Cyberangriffe ein anderes Ausmaß hatten. Typisch sind:

• alte GPOs, die nie gelöscht wurden
• verwaiste Accounts von Ex-Mitarbeitern
• überprivilegierte Service-Accounts
• fehlende Tiering-Modelle
• unklare Verantwortlichkeiten

Mit jedem Jahr technischer Schulden wachsen auch die Angriffsflächen.

Angreifer kennen AD-Fehlkonfigurationen in- und auswendig

Während Administratoren täglich neue Herausforderungen bewältigen müssen, nutzen Angreifer spezialisierte Tools, um schwache Stellen im AD gezielt auszunutzen:

• BloodHound
• Mimikatz
• Kerberoasting-Tools
• Lapsus$-ähnliche Credential-Dumping-Techniken

Die Tools machen es extrem einfach, kritische Fehlkonfigurationen aufzuspüren oft in wenigen Minuten.

Die häufigsten und gefährlichsten AD-Schwachstellen

Überprivilegierte Benutzerkonten

In fast jedem Unternehmen gibt es Konten, die deutlich mehr Rechte haben, als sie benötigen.

Beispiele:

• Domain Admins, die nie rotieren
• Service-Konten mit Domain-Admin-Rechten
• „Sicherheits-Notfallkonten“, die niemand kontrolliert

Diese Konten sind ein gefundenes Fressen für Angreifer oft reichen schon kompromittierte Zugangsdaten aus.

Fehlende oder schwache Passwortstandards

Ein einziger Passwortsatz wie Winter2024! kann reichen, um lateral durchs Netzwerk zu springen.
Besonders kritisch:

• Kennwörter, die in Hashes geleakt sind
• Service-Accounts mit statischen Passwörtern
• Wiederverwendung von Passwörtern über mehrere Systeme
• Passwörter, die gegen bekannte Wörterbuchlisten anfällig sind
• Kennwörter die den Firmennamen enthalten

Password-Spraying und Kerberoasting sind so erfolgreich, weil sie auf diese Schwächen treffen.

Veraltete oder falsch konfigurierte GPOs

Gruppenrichtlinien sind mächtig und gefährlich, wenn sie falsch angewendet werden:

• Schreibrechte für Nicht-Admins
• veraltete Policies, die Sicherheitslücken öffnen
• logische Fehler in der Verlinkung

Ein Angreifer, der eine GPO manipuliert, kontrolliert damit potenziell das ganze Netzwerk.

Lücken in der Netzwerksegmentierung

Viele Unternehmen haben immer noch „Flat Networks“.
Das bedeutet:

• ein kompromittierter PC kann bis zum Domänencontroller kommen
• Server sind ohne Barrieren erreichbar
• Workstations können lateral kommunizieren
• Selbst Kopierstationen können übernommen werden und den Zugang bis zum Domänencontroller ermöglichen

Lateral Movement ist dann nur noch eine Frage der Zeit.

Veraltete oder unsichere Protokolle

NTLM, SMBv1, fehlende LDAP-Signierung alles Klassiker.
Auch 2025 findet man diese Protokolle noch erschreckend häufig, obwohl sie Angreifern das Leben leichter machen. Das Problem bei diesen Protokollen ist, eine Änderung bzw ein Umstellen auf sichere Protokolle bedeutet für Admins gleich ein großes Projekt zu realisieren durch viele Abhängigkeiten zu anderen Systemen in der IT-Infrastruktur.

Wie Angreifer typischerweise vorgehen. Ein realistisches Angriffsszenario

1. Initialer Zugriff
   Ein kompromittiertes Passwort, ein Phishing-Mail, ein offener VPN-Zugang oft reicht schon ein normaler Benutzer.
2. Reconnaissance im AD
   Mit Tools wie BloodHound wird die AD-Struktur analysiert.
   Ergebnis: ein „Angriffsgraph“, der zeigt, wie man in wenigen Schritten Domain Admin wird.
3. Lateral Movement
   Angreifer bewegen sich unbemerkt von System zu System z. B. via:
   • Pass-the-Hash
   • Pass-the-Ticket
   • Remote Code Execution über SMB
4. Privilege Escalation
   Ein überprivilegierter Service-Account oder eine fehlerhafte GPO genügt.
5. Domain Takeover
   Ab jetzt hat der Angreifer volle Kontrolle und kann Daten exfiltrieren oder Ransomware ausrollen.

Was Unternehmen tun können und warum regelmäßige AD-Pentests entscheidend sind

Einmalige Maßnahmen reichen nicht. AD ist lebendig es verändert sich ständig.
Deshalb sind , Pentests und Audits essenziell.

Empfohlene Maßnahmen:

 1. AD-Penetrationstest

• Realistischer Blick aus Angreifersicht
• Identifikation von Privilege-Escalation-Pfaden
• Bewertung der gesamten Identitätssicherheit

 2. AD-Hardening nach Best Practices

• Einführung eines Tiering-Modells
• Absicherung von Admin-Konten
• Härtung der Protokolle und GPOs
• Entfernen von überprivilegierten Accounts

 3. Password Audit

• Überprüfung auf kompromittierte oder schwache Passwörter
• Dark-Web-Check
• Abgleich gegen Wörterbuchlisten

 4. Kontinuierliche Überwachung & Review

• Monitoring kritischer AD-Events
• Regelmäßige Privilegienüberprüfung
• Rezertifizierung von Konten und Berechtigungen

Fazit

Das Active Directory ist nach wie vor einer der wichtigsten Angriffspunkte und gleichzeitig einer der am meisten vernachlässigten Bereiche der Unternehmenssicherheit.
Angreifer benötigen häufig nur ein einzelnes schwaches Passwort, eine Fehlkonfiguration oder einen vergessenen Service-Account, um die Kontrolle über das gesamte Netzwerk zu übernehmen.

Ein professioneller AD-Pentest, kombiniert mit ist heute kein Luxus mehr, sondern eine Grundvoraussetzung für moderne Unternehmenssicherheit.

Wenn sie Interesse haben, die oben genannten Themen anzugehen, sehen Sie sich hierzu gerne unsere Microsoft Security Services an:

Active Directory Penetration Testing

Microsoft M365 Härtung

Und unser  X-MAS Special