Beim Kerberoasting nimmt ein Angreifer ein verschlüsseltes Ticket mit und probiert das Passwort eines Dienstkontos in aller Ruhe durch — unbemerkt. Wir erklären, warum lange Dienstpasswörter genau das verhindern, und zeigen den einen Fix, der die Kette unterbricht.
Nicht jede Lücke steht allein — Kerberoasting ist ein Schritt in einer Kette. Tippen Sie auf einen Schritt, um den Fix zu sehen, der genau hier die Kette reißen lässt.
Beispielhafter Angriffspfad · so liest TULPAR Ihr Active Directory
Ein Ticket für ein Dienstkonto anzufordern ist im Active Directory völlig normal — jeder angemeldete Nutzer darf das. Genau deshalb fällt es nicht auf.
Das Passwort wird offline auf einem fremden Rechner durchprobiert. Kein gesperrtes Konto, kein Alarm im Netz, keine fünf Fehlversuche, die jemand bemerkt.
Fällt das Konto, ist der Weg zur vollen Kontrolle oft kurz. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen.
Der Angriff lässt sich technisch kaum verhindern — aber wertlos machen. Ist das Dienstkonto-Passwort lang und zufällig, läuft das Offline-Durchprobieren ins Leere, selbst wenn das Ticket längst in fremder Hand ist.
TULPAR im Netzwerk einrichten — startklar in Minuten.
🟢 Nur ansehen (empfohlen) oder 🟡 aktiv testen — mit Ihrer Freigabe.
Bericht mit Schulnote, Ampel und Klartext — keine Fachsprache nötig.
Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — in dieser Reihenfolge. Sie sehen sofort, ob Ihre Dienstkonten ein Risiko sind.
Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.
Findet schwache Passwörter, RC4-Reste und überflüssige Dienst-Kennungen.
Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.
Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.
Kerberoasting ist nur ein Baustein. Den ganzen Verzeichnisdienst härten Sie auf Active Directory absichern für KMU →
In einem Windows-Netzwerk meldet sich jeder Nutzer über ein zentrales System namens Active Directory an. Damit Programme wie eine Datenbank im Hintergrund laufen können, gibt es dafür eigene Dienstkonten. Beim Kerberoasting fordert jemand, der bereits einen ganz normalen Mitarbeiter-Zugang hat, ein verschlüsseltes Ticket für so ein Dienstkonto an. Dieses Ticket nimmt er dann mit und probiert in aller Ruhe auf einem fremden Rechner das Passwort durch. Der entscheidende Punkt: Solange das Dienstkonto ein langes, zufälliges Passwort hat, ist dieses Durchprobieren praktisch aussichtslos.
Weil das Knacken offline passiert und niemand es sieht. Sobald das Ticket einmal angefordert ist, braucht der Angreifer keine Verbindung mehr zu Ihrem Netz — er probiert das Passwort auf seinem eigenen Computer durch, ohne dass im Active Directory ein Alarm anschlägt. Es gibt keine fünf Fehlversuche, die jemand bemerkt, kein gesperrtes Konto. Genau deshalb ist die einzige verlässliche Gegenwehr ein Passwort, das so lang und zufällig ist, dass das Durchprobieren auch über lange Zeit chancenlos bleibt.
Lange, zufällige Dienstkonto-Passwörter — als Faustregel über 25 Zeichen — oder besser gleich verwaltete Dienstkonten, sogenannte (g)MSA, bei denen Windows das Passwort selbst setzt und regelmäßig sehr lang und zufällig erneuert. Damit läuft das Offline-Durchprobieren ins Leere, selbst wenn jemand das Ticket schon in der Hand hat. Das ist die unsichtbare Gegenwehr: Der Angriff findet statt, aber er bringt nichts.
Die Tickets können mit unterschiedlichen Verschlüsselungsverfahren ausgestellt werden. Das ältere Verfahren RC4 lässt sich beim Offline-Durchprobieren deutlich schneller angreifen als das moderne AES. Viele Active-Directory-Umgebungen stellen aus alter Gewohnheit immer noch RC4-Tickets aus. Wenn Sie in den Konten-Einstellungen AES erzwingen und RC4 abschalten, wird das Knacken zusätzlich erschwert. Lange Passwörter bleiben dabei der wichtigste Hebel — AES ist die sinnvolle zweite Schicht.
Ein SPN ist eine Kennung, die einem Konto sagt: „Hier läuft ein Dienst." Nur Konten mit so einer Kennung sind überhaupt für diese Art Ticket-Anfrage interessant. Über die Jahre sammeln sich oft alte oder überflüssige Kennungen an — etwa an einem normalen Benutzerkonto, das eigentlich gar kein Dienst sein sollte. SPN-Hygiene heißt: aufräumen. Nicht mehr benötigte Kennungen entfernen und keine Dienst-Kennungen an persönlichen Benutzerkonten lassen. Je weniger angreifbare Dienstkonten existieren, desto kleiner die Angriffsfläche.
Nein, und das ist Absicht. Wir erklären rein defensiv, was im Hintergrund passiert, damit Sie verstehen, warum die Schutzmaßnahmen wirken — aber wir nennen keine Werkzeuge und liefern keine Schritt-für-Schritt-Anleitung. Ziel ist, dass eine Geschäftsführung oder IT-Verantwortung die Gefahr einordnen und den richtigen Fix priorisieren kann. TULPAR prüft ausschließlich Ihr eigenes Netzwerk und nur mit Ihrer Freigabe.
TULPAR sieht sich Ihr Active Directory im Modus „nur ansehen" an und meldet im Klartext, welche Dienstkonten ein zu kurzes oder altes Passwort haben, wo noch RC4 statt AES erlaubt ist und welche überflüssigen Dienst-Kennungen gesetzt sind. Sie bekommen eine Schulnote, eine Ampel und eine Reihenfolge der Maßnahmen — ohne Fachchinesisch. So sehen Sie auf einen Blick, ob hier ein Risiko liegt und welcher Schritt zuerst dran ist.
Kerberoasting ist meist ein Schritt in einer längeren Kette — der Angreifer braucht zuerst irgendeinen Zugang, und nach dem Dienstkonto will er oft weiter Richtung voller Kontrolle. Starke Dienstkonto-Passwörter unterbrechen diese Kette an einer entscheidenden Stelle. Sinnvoll ist trotzdem, das ganze Active Directory zu betrachten: Berechtigungen sauber trennen, alte Konten entfernen, Updates einspielen. Mehr dazu auf unserer Seite Active Directory absichern. TULPAR zeigt Ihnen, welcher Schritt bei Ihnen am meisten bringt.
Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Active Directory und zeigen, wie der Sicherheitscheck bei Ihnen abläuft — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.