Active Directory Pentest: Den haeufigsten Angriffsweg deutscher Unternehmen pruefen
In ueber 80% aller Ransomware-Vorfaelle in deutschen Unternehmen geht der entscheidende Schritt zwischen "ein Mitarbeiter hat geklickt" und "alle Server sind verschluesselt" durch eine Active-Directory-Eskalation. AD ist der zentrale Authentifizierungs- und Autorisierungs-Hub — und genau das macht es zum Lieblingsangriffsziel.
Ein Active-Directory-Pentest prueft systematisch, wie weit ein Angreifer mit einem einzigen kompromittierten Domain-User-Konto kommen kann. Dieser Leitfaden erklaert die typischen Angriffspfade, das Vorgehen und konkrete Gegenmaßnahmen.
Warum AD-Pentests wichtiger sind als Webapp-Pentests
| Angriffsweg | Typischer Schaden |
|---|---|
| Webapp-Schwachstelle | Datenleck einer Anwendung |
| AD-Eskalation | Vollstaendige Uebernahme des Unternehmens |
Der Schritt von "ein Phishing-Klick" zu "Domain Admin" dauert in einem typischen mittelstaendischen Unternehmen 4-8 Stunden — fuer einen geuebten Angreifer. Ein AD-Pentest deckt diese Pfade auf, bevor sie genutzt werden.
Voraussetzungen fuer einen AD-Pentest
Der Tester braucht:
- Einen Standard-Domain-Account (kein Admin) — typisch das Konto eines neuen Mitarbeiters
- VPN-Zugang ins interne Netz oder physische Anwesenheit
- Eine Liste der Out-of-Scope-Systeme (z.B. Krankenhausgeraete, ICS, Test-Systeme die nicht ausfallen duerfen)
- Notfall-Eskalationskontakte
- Zeitfenster (3-10 Werktage typisch)
Methodik: 6 Schritten von Standard-User zu Domain Admin
1. Discovery und Enumeration
Der Tester sammelt:
- Alle Computer, User, Groups, OUs (LDAP-Queries als Standard-User)
- Service Principal Names (SPNs) — wer hat Service-Accounts?
- Trusts (gibt es andere verbundene Domains/Forests?)
- AD-Sites und Domain Controller
Werkzeuge: PowerView, ADExplorer, BloodHound (Collector: SharpHound).
2. BloodHound-Analyse
BloodHound ist das Standardwerkzeug zur Visualisierung von AD-Angriffspfaden. Es importiert die gesammelten Daten in einen Graphen und zeigt:
- Kuerzeste Pfade von "any user" zu "Domain Admin"
- Versteckte Berechtigungs-Vererbungen (z.B. ueber Group Nesting)
- Misconfigurations (Unconstrained Delegation, GenericWrite, WriteOwner)
- AD CS Misconfigurations (ESC1-ESC15)
Ein realistisches Beispiel aus einem Matproof-Engagement 2025: BloodHound zeigte einen Pfad von einem Praktikanten-Konto zu Domain Admin in 3 Schritten, ueber eine vergessene Group, die "WriteOwner" auf die Domain Admins Group hatte.
3. Credential-Angriffe
Sammeln von Passwoertern oder Hashes:
- Kerberoasting — alle SPNs anfragen, TGS-Tickets entschluesseln (offline). Erfolgreich bei ~70% aller getesteten DE-Domains, wenn Service-Accounts schwache Passwoerter haben.
- AS-REP Roasting — Konten ohne "DontRequirePreauth" ausnutzen.
- LLMNR/NBT-NS Poisoning — Standard-Windows-Verhalten ausnutzen, um NTLM-Hashes zu sammeln (Tool: Responder).
- DCSync — wenn der Tester bereits "Replicating Directory Changes" hat, alle AD-Hashes auf einmal extrahieren.
4. Lateral Movement
Mit gesammelten Credentials weiter ins Netz:
- Pass-the-Hash (PtH) und Pass-the-Ticket (PtT)
- WinRM/RDP/SMB-Sessions auf Hosts, wo der eskalierte User Local Admin ist
- PsExec / WMI / DCOM fuer Code-Execution
5. Privilege Escalation
Vom Standard-User zur Domain-Eskalation:
- AD CS ESC1-ESC15 — fehlkonfigurierte Zertifikat-Templates, oft trivial ausnutzbar
- Unconstrained Delegation + Force NTLM-Auth (Printer Bug)
- Resource-Based Constrained Delegation Ausnutzung
- DNS Admins Group — Code Execution auf DC ueber DNS-Plugin
6. Persistence und Domain Dominance
Sobald Domain Admin erreicht:
- Golden Ticket — krbtgt-Hash extrahieren, beliebige Tickets ausstellen
- DCShadow — gefaelschten Domain Controller registrieren
- AdminSDHolder modifizieren — perm. Backdoor fuer privilegierte Konten
Diese letzten Schritte werden im Pentest dokumentiert, aber nicht produktiv hinterlassen.
Die 10 haeufigsten AD-Findings 2026
Basierend auf Branchen-Reports und Matproof-Engagements:
- Kerberoastable Service-Accounts mit schwachen Passwoertern (78%)
- AD CS Misconfigurations (ESC1-ESC8 ausnutzbar) (62%)
- LAPS nicht oder nur teilweise ausgerollt (71%)
- Domain Admins als lokale Admins auf Workstations (54%)
- Privilegierte Accounts ohne MFA (83%)
- Pre-Win2008-Computer-Kompatibilitaet aktiviert (33%)
- Schwache Default-Domain-Password-Policy (47%)
- Servicekonten ohne "Sensitive and cannot be delegated" (88%)
- Inactive Accounts mit Privilegien (Schatten-Admins) (45%)
- Tier-Modell nicht implementiert (95% — der Klassiker)
Die wichtigsten Mitigations
Sofort umsetzbar (keine Tools noetig)
- Komplexe Passwoerter fuer Service-Accounts (mind. 25 Zeichen, eigentlich gMSA bevorzugen)
- MFA fuer alle privilegierten Accounts (Tier 0 + Tier 1)
- LAPS aktivieren — eindeutige zufaellige lokale Admin-Passwoerter
- Domain Admins NIE auf Workstations anmelden lassen
- Inactive Accounts deaktivieren (90 Tage ohne Login = aus)
- AD CS-Templates pruefen (PowerShell:
Certify.exe find /vulnerable)
Mittelfristig
- Tier-Modell einfuehren (Tier 0 = DC + AD-Admins, Tier 1 = Server, Tier 2 = Workstations) — keine Cross-Tier-Anmeldungen
- Privileged Access Workstations (PAW) fuer Tier-0-Admins
- gMSA / Service-Account-Modernisierung
- Just-in-Time Admin (z.B. Microsoft PIM, BeyondTrust)
Strategisch
- Microsoft Entra ID Conditional Access + Defender for Identity als zusaetzliche Erkennungs-Schicht
- Tiered Hybrid — Cloud-Identitaet als primaerer Anker, On-Prem AD reduziert
- Regular Red Teaming des AD (Mehr zu Red Teaming)
AD-Pentest und Compliance
NIS2 Art. 21
Fuer Unternehmen mit Windows-Infrastruktur ist AD-Pruefung Mindeststandard fuer "regelmaessige Wirksamkeitsbewertung". Mindestens alle zwei Jahre, besser jaehrlich.
ISO 27001:2022 Annex A 8.8 + A 5.15-A 5.18
Identitaets- und Zugriffsverwaltung muss "geprueft" werden. AD-Pentest ist die direkteste Umsetzung.
DORA Art. 24
Kritische Identitaetsmanagement-Systeme von Finanzinstituten unterliegen direkten Testanforderungen.
KRITIS / BSI IT-Grundschutz
Fuer KRITIS-Betreiber sind AD-Pentests in der zweijaehrlichen IT-Sicherheitspruefung Standard.
Kosten
| Scope | Dauer | Kosten |
|---|---|---|
| Single-Domain (klein, < 500 User) | 5-7 PT | EUR 6.500-13.500 |
| Single-Domain (mittel, 500-3000 User) | 8-12 PT | EUR 11.000-22.000 |
| Multi-Domain Forest | 12-18 PT | EUR 16.000-32.000 |
| Hybrid (AD + Entra ID) | 12-20 PT | EUR 18.000-38.000 |
| Full Internal Pentest (AD + Workstations + Server) | 18-30 PT | EUR 24.000-55.000 |
Mehr Preise: Pentest-Kosten in Deutschland.
Vorbereitung — was Sie 2 Wochen vorher tun sollten
- Standard-Domain-User-Konto fuer Tester anlegen (Naming:
pentest-extern-01) - Out-of-Scope-Liste finalisieren (kritische Server, Geraete, Drittanbieter-Integrationen)
- SOC/IT-Ops informieren? — bei reinem Pentest: ja, damit kein "echter" Incident gerufen wird. Bei Red Team: nein.
- Backup-Pruefung — vor dem Test sicherstellen, dass Backups aktuell sind
- Notfall-Eskalation — wer ist erreichbar, wenn der Tester eine kritische Schwachstelle findet (Sofortmeldung statt Wartezeit)?
Wie Matproof passt
Matproof bietet AD-Pruefung als Teil von Pentest-as-a-Service:
- Standardisierte BloodHound-Analyse mit jaehrlichem Update
- Continuous AD CS-Monitoring (ESC1-ESC15)
- Service-Account-Auswertung (Kerberoasting-Kandidaten)
- Compliance-Mapping auf NIS2 / ISO 27001 / DORA
- Concrete Mitigations mit Aufwandsschaetzung
Mehr zur Plattform | Pentest-as-a-Service Leitfaden
Fazit
Active-Directory-Pentest ist die Pruefung mit dem hoechsten Hebel pro investiertem Euro. Wer 2026 noch nie einen AD-Pentest hatte und Windows-Domains betreibt, hat statistisch fast garantiert ausnutzbare Eskalationspfade — die in einem realen Ransomware-Angriff den Unterschied zwischen "ein verschluesselter Server" und "alle Server verschluesselt" ausmachen.
Der wichtigste Befund wird fast immer die Kombination aus Kerberoastable Service-Accounts + AD CS-Misconfigurations + fehlendem Tier-Modell sein. Wenn Sie diese drei beheben, sind Sie schon ueber dem Median deutscher Unternehmen.
Weiter lesen: Schwachstellenmanagement-Leitfaden | Red Teaming Leitfaden | Penetrationstest Vollguide