Angriffspfad erklärt · rein defensiv · von Buzzard AI

Kerberoasting verständlich: Wie ein Dienst-Passwort offline geknackt wird — und die unsichtbare Gegenwehr.

Beim Kerberoasting nimmt ein Angreifer ein verschlüsseltes Ticket mit und probiert das Passwort eines Dienstkontos in aller Ruhe durch — unbemerkt. Wir erklären, warum lange Dienstpasswörter genau das verhindern, und zeigen den einen Fix, der die Kette unterbricht.

Rein defensiv erklärt · kein Tutorial, keine Werkzeuge Läuft im Haus · keine Cloud · Daten bleiben Ihre Klartext-Report: Schulnote & Ampel
So läuft es im Hintergrund

Vom Mitarbeiter-Zugang zum geknackten Dienstkonto.

Nicht jede Lücke steht allein — Kerberoasting ist ein Schritt in einer Kette. Tippen Sie auf einen Schritt, um den Fix zu sehen, der genau hier die Kette reißen lässt.

Beispielhafter Angriffspfad · so liest TULPAR Ihr Active Directory

💻
Normaler Mitarbeiter-Zugang
WS-042 · 10.10.10.42
Ein einfacher Login genügt
✅ Fix: starke Anmeldung und MFA — schon der erste Zugang wird schwerer. Doch oft reicht ein ganz normaler Login als Startpunkt.
🎫
Ticket für ein Dienstkonto
svc_sql · SPN gesetzt
Kerberoasting
✅ Fix: nicht benötigte Dienst-Kennungen (SPNs) entfernen und AES statt RC4 erzwingen — weniger angreifbare Konten, langsameres Durchprobieren.
🔑
Passwort offline geknackt
svc_sql · kurzes Passwort
Unbemerkt offline
✅ Fix: langes, zufälliges Dienstkonto-Passwort (über 25 Zeichen) oder gleich ein verwaltetes Konto (g)MSA — hier reißt die Kette. Das Durchprobieren läuft ins Leere.
👑
Volle Kontrolle
Domain-Admin · DC01
Game Over
✅ Wäre das Dienstkonto-Passwort lang und zufällig gewesen, käme der Angreifer hier nie an.
Das Knacken passiert offline und unsichtbar — ein langes Dienstpasswort unterbricht die Kette, bevor sie gefährlich wird. TULPAR sagt Ihnen, wo Sie ansetzen müssen.
Warum das so tückisch ist

Der Angriff macht keinen Lärm.

🎫

Ein ganz legaler Schritt

Ein Ticket für ein Dienstkonto anzufordern ist im Active Directory völlig normal — jeder angemeldete Nutzer darf das. Genau deshalb fällt es nicht auf.

🤫

Geknackt wird woanders

Das Passwort wird offline auf einem fremden Rechner durchprobiert. Kein gesperrtes Konto, kein Alarm im Netz, keine fünf Fehlversuche, die jemand bemerkt.

🔥

Und meist zu spät bemerkt

Fällt das Konto, ist der Weg zur vollen Kontrolle oft kurz. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen.

Der eine Fix

Lange Dienstpasswörter — die unsichtbare Gegenwehr.

Der Angriff lässt sich technisch kaum verhindern — aber wertlos machen. Ist das Dienstkonto-Passwort lang und zufällig, läuft das Offline-Durchprobieren ins Leere, selbst wenn das Ticket längst in fremder Hand ist.

  • Über 25 Zeichen oder (g)MSA. Verwaltete Dienstkonten setzen das Passwort selbst — sehr lang, zufällig, automatisch erneuert.
  • AES statt RC4. Das veraltete Verfahren RC4 abschalten — moderne AES-Tickets sind beim Durchprobieren deutlich zäher.
  • SPN-Hygiene. Überflüssige Dienst-Kennungen entfernen, keine an persönlichen Konten — weniger angreifbare Ziele.
So einfach geht's

In drei Schritten zum Lagebild.

1

Installieren

TULPAR im Netzwerk einrichten — startklar in Minuten.

2

Prüfen lassen

🟢 Nur ansehen (empfohlen) oder 🟡 aktiv testen — mit Ihrer Freigabe.

3

Verstehen

Bericht mit Schulnote, Ampel und Klartext — keine Fachsprache nötig.

4Ausreichend
Sicherheits-Zeugnis
Beispiel-Auswertung · Active Directory „Musterfirma GmbH"
Dienstkonto svc_sql mit kurzem Passwortkritisch
RC4-Verschlüsselung noch erlaubtkritisch
Dienst-Kennung an Benutzerkonto gesetztmittel
Dienstkonto-Passwort seit Jahren unverändertmittel
Verwaltetes Konto (g)MSA für Backup-Dienstok
Ihre wichtigste Maßnahme: Dienstkonto-Passwörter verlängern bzw. auf (g)MSA umstellen — macht das Offline-Knacken aussichtslos. Illustratives Beispiel.
Warum TULPAR

Sicherheit, die man versteht.

Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — in dieser Reihenfolge. Sie sehen sofort, ob Ihre Dienstkonten ein Risiko sind.

📋

Klartext-Bericht

Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.

🔑

Dienstkonten im Blick

Findet schwache Passwörter, RC4-Reste und überflüssige Dienst-Kennungen.

🔒

Bleibt im Haus

Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.

🛡️

Nichts ohne Freigabe

Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.

Anlässe

Wann ein Blick aufs Active Directory jetzt sinnvoll ist.

Kerberoasting ist nur ein Baustein. Den ganzen Verzeichnisdienst härten Sie auf Active Directory absichern für KMU →

Preis

Erst sehen, wo Sie stehen. Individuell für Ihr Netzwerk.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Prüfung der Dienstkonten: Passwortstärke, RC4-Reste, SPN-Hygiene
  • Angriffspfad-Analyse — die Kette und der eine Fix
  • Klartext-Bericht mit Schulnote, Ampel und Maßnahmen-Reihenfolge
  • On-Premise, keine Cloud — Ihre Daten bleiben im Haus
  • Nur ansehen als Standard — aktiver Test nur mit Ihrer Freigabe
Sicherheitscheck anfragen →
Häufige Fragen

Häufige Fragen zu Kerberoasting.

In einem Windows-Netzwerk meldet sich jeder Nutzer über ein zentrales System namens Active Directory an. Damit Programme wie eine Datenbank im Hintergrund laufen können, gibt es dafür eigene Dienstkonten. Beim Kerberoasting fordert jemand, der bereits einen ganz normalen Mitarbeiter-Zugang hat, ein verschlüsseltes Ticket für so ein Dienstkonto an. Dieses Ticket nimmt er dann mit und probiert in aller Ruhe auf einem fremden Rechner das Passwort durch. Der entscheidende Punkt: Solange das Dienstkonto ein langes, zufälliges Passwort hat, ist dieses Durchprobieren praktisch aussichtslos.

Weil das Knacken offline passiert und niemand es sieht. Sobald das Ticket einmal angefordert ist, braucht der Angreifer keine Verbindung mehr zu Ihrem Netz — er probiert das Passwort auf seinem eigenen Computer durch, ohne dass im Active Directory ein Alarm anschlägt. Es gibt keine fünf Fehlversuche, die jemand bemerkt, kein gesperrtes Konto. Genau deshalb ist die einzige verlässliche Gegenwehr ein Passwort, das so lang und zufällig ist, dass das Durchprobieren auch über lange Zeit chancenlos bleibt.

Lange, zufällige Dienstkonto-Passwörter — als Faustregel über 25 Zeichen — oder besser gleich verwaltete Dienstkonten, sogenannte (g)MSA, bei denen Windows das Passwort selbst setzt und regelmäßig sehr lang und zufällig erneuert. Damit läuft das Offline-Durchprobieren ins Leere, selbst wenn jemand das Ticket schon in der Hand hat. Das ist die unsichtbare Gegenwehr: Der Angriff findet statt, aber er bringt nichts.

Die Tickets können mit unterschiedlichen Verschlüsselungsverfahren ausgestellt werden. Das ältere Verfahren RC4 lässt sich beim Offline-Durchprobieren deutlich schneller angreifen als das moderne AES. Viele Active-Directory-Umgebungen stellen aus alter Gewohnheit immer noch RC4-Tickets aus. Wenn Sie in den Konten-Einstellungen AES erzwingen und RC4 abschalten, wird das Knacken zusätzlich erschwert. Lange Passwörter bleiben dabei der wichtigste Hebel — AES ist die sinnvolle zweite Schicht.

Ein SPN ist eine Kennung, die einem Konto sagt: „Hier läuft ein Dienst." Nur Konten mit so einer Kennung sind überhaupt für diese Art Ticket-Anfrage interessant. Über die Jahre sammeln sich oft alte oder überflüssige Kennungen an — etwa an einem normalen Benutzerkonto, das eigentlich gar kein Dienst sein sollte. SPN-Hygiene heißt: aufräumen. Nicht mehr benötigte Kennungen entfernen und keine Dienst-Kennungen an persönlichen Benutzerkonten lassen. Je weniger angreifbare Dienstkonten existieren, desto kleiner die Angriffsfläche.

Nein, und das ist Absicht. Wir erklären rein defensiv, was im Hintergrund passiert, damit Sie verstehen, warum die Schutzmaßnahmen wirken — aber wir nennen keine Werkzeuge und liefern keine Schritt-für-Schritt-Anleitung. Ziel ist, dass eine Geschäftsführung oder IT-Verantwortung die Gefahr einordnen und den richtigen Fix priorisieren kann. TULPAR prüft ausschließlich Ihr eigenes Netzwerk und nur mit Ihrer Freigabe.

TULPAR sieht sich Ihr Active Directory im Modus „nur ansehen" an und meldet im Klartext, welche Dienstkonten ein zu kurzes oder altes Passwort haben, wo noch RC4 statt AES erlaubt ist und welche überflüssigen Dienst-Kennungen gesetzt sind. Sie bekommen eine Schulnote, eine Ampel und eine Reihenfolge der Maßnahmen — ohne Fachchinesisch. So sehen Sie auf einen Blick, ob hier ein Risiko liegt und welcher Schritt zuerst dran ist.

Kerberoasting ist meist ein Schritt in einer längeren Kette — der Angreifer braucht zuerst irgendeinen Zugang, und nach dem Dienstkonto will er oft weiter Richtung voller Kontrolle. Starke Dienstkonto-Passwörter unterbrechen diese Kette an einer entscheidenden Stelle. Sinnvoll ist trotzdem, das ganze Active Directory zu betrachten: Berechtigungen sauber trennen, alte Konten entfernen, Updates einspielen. Mehr dazu auf unserer Seite Active Directory absichern. TULPAR zeigt Ihnen, welcher Schritt bei Ihnen am meisten bringt.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Diese Seite erklärt Kerberoasting rein defensiv, ohne Werkzeuge oder Anleitung. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und keine Rechtsberatung und garantiert keine NIS2-, BSI- oder DSGVO-Konformität. Genannte Marken und Bezeichnungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Sind Ihre Dienstkonten ein offenes Tor?

Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Active Directory und zeigen, wie der Sicherheitscheck bei Ihnen abläuft — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp