Nahezu jeder größere Ransomware-Vorfall hat eine Gemeinsamkeit: Am Ende steht die Kompromittierung des zentralen Identitätssystems – in vielen Fällen des Microsoft Active Directory (AD).
Der typische Ablauf ist bekannt: Angreifer verschaffen sich zunächst Zugang zu einem weniger geschützten System, bewegen sich anschließend lateral durch das Netzwerk und eskalieren schrittweise ihre Berechtigungen. Ziel ist dabei fast immer das Active Directory – denn wer das AD kontrolliert, kontrolliert die IT.
Das strukturelle Problem: Ein zentraler Angriffspunkt
Das Active Directory ist historisch gewachsen und erfüllt eine zentrale Rolle: Es verwaltet Identitäten, Berechtigungen und Richtlinien in einer einzigen Instanz. Genau darin liegt das Risiko. Wird das AD kompromittiert, bedeutet dies in der Praxis häufig:
- Anlage neuer Administratorkonten
- Manipulation von Gruppenmitgliedschaften
- Veränderung von Richtlinien (GPOs)
- Zugriff auf Servicekonten und deren Berechtigungen
Die Konsequenz ist eindeutig: Domänenadministration entspricht faktisch vollständiger Kontrolle über die Unternehmens-IT.
Technische Angriffsvektoren im Windows-Ökosystem
Das klassische AD-Umfeld bringt zusätzliche Angriffsflächen mit sich. Anmeldeinformationen werden teilweise im Systemspeicher verarbeitet und können durch etablierte Angriffstechniken kompromittiert werden, beispielsweise:
- Pass-the-Hash
- Pass-the-Ticket
- Kerberoasting
Da zahlreiche Systeme direkt an das AD angebunden sind – von Servern über Backup-Systeme bis hin zu VPN-Zugängen und Geschäftsanwendungen – wirkt sich eine Kompromittierung meist systemübergreifend aus. Kurz gesagt: Wird das AD übernommen, ist oft die gesamte Infrastruktur betroffen.
Klassische Gegenmaßnahmen – wirksam, aber aufwendig
Microsoft und Sicherheitsexperten haben umfangreiche Härtungsmaßnahmen definiert, darunter:
- Trennung von Administrations- und Benutzerkonten
- Verbot administrativer Logins auf Standardarbeitsplätzen
- Minimierung und Delegation von Berechtigungen
- Einsatz starker Authentifizierungsverfahren
- Absicherung der Domain Controller
- Kontinuierliches Monitoring
Diese Maßnahmen sind sinnvoll und notwendig – erfordern jedoch ein hohes Maß an Disziplin, Know-how und operativem Aufwand. Insbesondere kleinere IT-Teams stoßen hier schnell an ihre Grenzen. Der ursprüngliche Vorteil eines zentralen Systems wird dadurch zunehmend relativiert.
Neue Rahmenbedingungen: Cloud und mobiles Arbeiten
Die klassische Trennung zwischen internem Netzwerk und externer Welt existiert faktisch nicht mehr. Geschäftskritische Dienste wie E-Mail, Kollaboration und Dateiablagen sind in die Cloud gewandert. Identitäten werden parallel sowohl im Active Directory als auch in Cloud-Verzeichnisdiensten wie Entra ID verwaltet.
Gleichzeitig ermöglichen moderne Werkzeuge wie Intune die vollständige Geräteverwaltung – unabhängig vom Standort und ohne VPN-Zwang. Das führt zu einer hybriden Realität: Zwei Identitätssysteme, erhöhte Komplexität und neue Abhängigkeiten.
Der moderne Ansatz: Zero Trust statt Netzwerkgrenzen
Moderne Sicherheitsarchitekturen gehen von einem anderen Grundprinzip aus: Kein Gerät und kein Benutzer wird per se vertraut – unabhängig vom Standort.
Endgeräte befinden sich grundsätzlich in einer potenziell unsicheren Umgebung. Der Zugriff auf Unternehmensressourcen erfolgt ausschließlich nach Identitäts- und Gerätezustandsprüfung.
Netzwerkzugang wird dabei nicht mehr vorausgesetzt, sondern gezielt und kontextabhängig gewährt (Zero Trust Network Access). In diesem Modell wird ein klassisches, intern verankertes Active Directory zunehmend zum Hemmnis.
Unser Ansatz: Entkopplung vom Active Directory
Unsere Zielarchitektur folgt daher einem klaren Prinzip: Reduktion des Active Directory auf ein Minimum – bis hin zur vollständigen Ablösung im Benutzer- und Endgeräteumfeld.
Konkret bedeutet das:
- Verwaltung von Identitäten über Entra ID
- Gerätemanagement über Intune
- Bereitstellung neuer Geräte über automatisierte Verfahren (z. B. Autopilot)
- Zugriff auf interne Ressourcen ausschließlich über abgesicherte, identitätsbasierte Verbindungen
Ein verbleibendes AD wird – falls erforderlich – nur noch für isolierte Spezialanwendungen betrieben, ohne Kopplung an Benutzerarbeitsplätze.
Der Weg dorthin: Migration statt Big Bang
Die Transformation erfolgt schrittweise:
- Ablösung klassischer LDAP-Abhängigkeiten
- Migration von Gruppen und Berechtigungen in Entra ID
- Umstellung von GPOs auf moderne Richtlinienverwaltung
- Entkopplung von Benutzerkonten aus hybriden Strukturen
- Migration von Endgeräten aus der AD-Domäne
Dieser Prozess ist operativ aufwendig, da Benutzer und Geräte einzeln umgestellt werden müssen. Gleichzeitig fehlen bislang standardisierte Werkzeuge, um hybride Umgebungen sauber zu entflechten.
Fazit: Sicherheit durch Reduktion von Komplexität
Der Verzicht auf ein zentrales Active Directory im klassischen Sinne ist kein Selbstzweck, sondern eine strategische Entscheidung:
- Reduktion eines kritischen Angriffsziels
- Anpassung an moderne Arbeitsmodelle
- Stärkung der Sicherheitsarchitektur durch Dezentralisierung
Der Weg dorthin ist anspruchsvoll. Dennoch sind wir überzeugt: Zukunftsfähige IT-Sicherheit entsteht nicht durch das Absichern bestehender Strukturen allein – sondern durch deren gezielte Weiterentwicklung. Oder einfacher formuliert: Resilienz entsteht durch kluge Entkopplung.
