Angriff verständlich erklärt · rein defensiv · von Buzzard AI

NTLM-Relay erklärt: Wie eine fremde Anmeldung weitergeleitet wird — und warum SMB-Signing alles stoppt.

Bei diesem Trick wird ein Passwort nicht geknackt, sondern eine fertige Anmeldung einfach weitergereicht. Der eine Fix: SMB-Signing per Gruppenrichtlinie erzwingen — rund 5 Minuten, und die Kette reißt. TULPAR findet fehlendes SMB-Signing in Ihrem Netz.

Rein defensiv · keine Angriffsanleitung · der eine Fix im Klartext Läuft im Haus · keine Cloud · Daten bleiben Ihre Nur ansehen — aktiver Test nur mit Ihrer Freigabe
Wie der Trick funktioniert

Die Anmeldung wird weitergeleitet, nicht geknackt.

Niemand stiehlt Ihr Passwort — die fertige Anmeldung wird nur an einen anderen Server weitergereicht, der den Angreifer dann für die echte Person hält. So verbindet sich aus einem unscheinbaren Schritt eine ganze Kette. Tippen Sie auf einen Schritt, um den Fix zu sehen.

Beispielhafter Angriffspfad · so liest TULPAR Ihr Netz

💻
Mitarbeiter-PC meldet sich an
WS-042 · 10.10.10.42
Anmeldung wird abgefangen
✅ Fix: Mit erzwungenem SMB-Signing trägt jede Anmeldung ein Echtheits-Siegel — eine abgefangene Anmeldung lässt sich nicht mehr unbemerkt missbrauchen.
↪️
Anmeldung wird weitergeleitet
an Datei-Server · 10.10.10.20
NTLM-Relay
✅ Fix: SMB-Signing erzwingen (Gruppenrichtlinie) und Extended Protection aktivieren — der Zielserver weist die weitergereichte Anmeldung ab. Genau hier reißt die Kette.
🔓
Zugriff mit fremder Identität
Datei-Server akzeptiert
Server hält Angreifer für echt
✅ Fix: Ohne gültiges Siegel kommt die weitergeleitete Anmeldung gar nicht erst an — der Server lässt sie nicht herein, dieser Schritt entfällt komplett.
👑
Sprungbrett zu mehr Rechten
Richtung zentrale Verwaltung · DC01
Game Over
✅ Wäre SMB-Signing davor erzwungen, käme der Angreifer hier nie an — die Weiterleitung scheitert am ersten Server.
Eine weitergeleitete Anmeldung bis Richtung voller Kontrolle — ein einziger Fix unterbricht die Kette: SMB-Signing erzwingen. TULPAR sagt Ihnen, wo es fehlt.
Warum das so gefährlich ist

Selbst ein starkes Passwort schützt hier nicht.

🔑

Das Passwort bleibt unangetastet

Bei NTLM-Relay wird nichts geknackt. Die fertige Anmeldung wird weitergereicht — deshalb hilft selbst ein sehr langes Passwort an dieser Stelle nicht.

🧩

Ein Sprungbrett, kein Einzelfall

NTLM-Relay ist selten das Ziel, sondern ein Zwischenschritt: von einem unscheinbaren Gerät seitlich durchs Netz, Stück für Stück zu mehr Rechten.

⏱️

Trifft vor allem den Mittelstand

Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen — und oft fehlt genau dieser eine, schnell gesetzte Schutzschalter.

Der eine Fix

SMB-Signing erzwingen — rund 5 Minuten.

SMB-Signing ist ein Echtheits-Siegel auf jeder Anmeldung. Ist es erzwungen, prüft jeder Server, ob die Anmeldung wirklich unverändert von der echten Person kommt — eine weitergeleitete Anmeldung fällt durch. Zentral über eine Gruppenrichtlinie aktiviert, gilt es auf einen Schlag für alle passenden Geräte.

  • Zentral per Gruppenrichtlinie. Einmal eingestellt, gilt es für alle passenden Geräte — in rund fünf Minuten.
  • Ergänzt durch Extended Protection. Deckt denselben Weiterleitungs-Trick zusätzlich ab und schließt Restwege.
  • Vorher prüfen lohnt sich. Sehr alte Geräte können stören — TULPAR zeigt, wo SMB-Signing fehlt, bevor Sie es scharf schalten.
So einfach geht's

In drei Schritten zum Schutz.

1

Finden

TULPAR zeigt im Modus „nur ansehen", wo SMB-Signing fehlt.

2

Erzwingen

SMB-Signing per Gruppenrichtlinie aktivieren — rund 5 Minuten.

3

Kette unterbrochen

Weitergeleitete Anmeldungen fallen durch — der Angriffsweg ist zu.

4Ausreichend
Sicherheits-Zeugnis
Beispiel-Auswertung · Netzwerk „Musterfirma GmbH"
SMB-Signing nicht erzwungenkritisch
Anmeldung könnte weitergeleitet werdenkritisch
Älteres NTLM netzweit noch aktivmittel
Windows-Updates teils veraltetmittel
Firewall & Virenschutz aktivok
Ihre wichtigste Maßnahme: SMB-Signing per Gruppenrichtlinie erzwingen — schließt allein den gefährlichsten Angriffspfad. Illustratives Beispiel.
Was TULPAR hier tut

Findet fehlendes SMB-Signing.

TULPAR prüft Ihr eigenes Netz und erkennt, wo eine weitergeleitete Anmeldung durchgehen würde — also wo SMB-Signing nicht erzwungen ist. Im Klartext mit Schulnote, Ampel und der Maßnahme, die am meisten bringt.

🔎

Lücke benannt

Zeigt konkret, auf welchen Geräten SMB-Signing fehlt — verständlich, ohne Fachchinesisch.

⚖️

Nachweise unterstützt

Liefert technische Belege Richtung NIS2 & BSI IT-Grundschutz — keine Garantie, kein Ersatz für Beratung.

🔒

Bleibt im Haus

Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.

🛡️

Nichts ohne Freigabe

Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.

Weiterlesen

Mehr zu Schutz und Angriffswegen.

NTLM-Relay ist oft nur ein Sprungbrett. Den ganzen Weg bis zur zentralen Windows-Verwaltung und wie Sie ihn schließen, lesen Sie unter Active Directory absichern →
Preis

Erst sehen, wo SMB-Signing fehlt. Individuell für Ihr Netzwerk.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Automatischer Schwachstellen-Scan im eigenen Netz
  • Findet fehlendes SMB-Signing — die Lücke hinter NTLM-Relay
  • Klartext-Bericht mit Schulnote, Ampel und Maßnahmen-Reihenfolge
  • On-Premise, keine Cloud — Ihre Daten bleiben im Haus
  • Nur ansehen als Standard — aktiver Test nur mit Ihrer Freigabe
Sicherheitscheck anfragen →
Häufige Fragen

Häufige Fragen zu NTLM-Relay & SMB-Signing.

NTLM-Relay ist ein Trick, bei dem ein Angreifer ein Passwort gar nicht knacken muss. Wenn sich ein Computer oder ein Mitarbeiter im Windows-Netzwerk anmeldet, fängt der Angreifer diese Anmeldung ab und leitet sie unverändert an einen anderen Server weiter — der hält ihn dann für die echte Person und lässt ihn herein. Das Passwort selbst bekommt der Angreifer nie zu sehen; er reicht nur die fremde Anmeldung weiter. Genau deshalb ist es so gefährlich: Es funktioniert auch bei langen, starken Passwörtern.

SMB-Signing ist eine Art Echtheits-Siegel auf jeder Anmeldung. Wird es erzwungen, prüft der Zielserver, ob die Anmeldung wirklich unverändert von der echten Person kommt — und nicht von jemandem dazwischen weitergereicht wurde. Eine weitergeleitete Anmeldung hat dieses Siegel nicht passend und wird abgewiesen. Damit reißt die Kette genau an der Stelle, an der NTLM-Relay sonst funktioniert. Ergänzend hilft die sogenannte Extended Protection for Authentication, die denselben Weiterleitungs-Trick zusätzlich abdeckt.

SMB-Signing wird zentral über eine Gruppenrichtlinie im Active Directory erzwungen, sodass es für alle passenden Geräte auf einmal gilt. Für eine Fachkraft ist das in der Regel in rund fünf Minuten eingerichtet. Wichtig ist, vorher kurz zu prüfen, ob sehr alte Geräte oder Spezialsoftware im Netz die Signierung noch nicht unterstützen, damit es keine Störungen gibt. Genau diese Prüfung nimmt Ihnen TULPAR ab: Es zeigt, wo SMB-Signing fehlt, bevor Sie es scharf schalten.

Nein. Diese Seite ist rein defensiv. Sie erklärt verständlich, was bei NTLM-Relay grundsätzlich passiert und vor allem, wie Sie sich davor schützen — sie liefert keine Anleitung, keine Werkzeuge und keine Schritt-für-Schritt-Beschreibung für einen Angriff. Unser Ziel ist, dass Sie die Gefahr verstehen und den einen Fix umsetzen, der die Kette unterbricht.

Nein, und genau das macht NTLM-Relay so tückisch. Weil das Passwort nie geknackt, sondern die fertige Anmeldung nur weitergereicht wird, hilft selbst ein sehr langes Passwort hier nicht. Schutz bringt nicht ein besseres Passwort, sondern das erzwungene SMB-Signing, das die Weiterleitung als solche entlarvt und blockiert. Starke Passwörter bleiben für andere Angriffswege wichtig — gegen das Weiterreichen einer Anmeldung sind sie aber wirkungslos.

TULPAR prüft Ihr eigenes Netzwerk im Modus „nur ansehen“ und erkennt unter anderem, auf welchen Servern und Geräten das SMB-Signing nicht erzwungen ist — also dort, wo eine weitergeleitete Anmeldung durchgehen würde. Im Klartext-Bericht erscheint das als konkreter Punkt mit Ampelfarbe und einer klaren Empfehlung, was zuerst zu tun ist. So sehen Sie nicht nur, dass eine Lücke besteht, sondern auch, wie wichtig sie im Vergleich zu anderen Punkten ist.

NTLM ist ein älteres Anmeldeverfahren von Windows, das aus Kompatibilitätsgründen in vielen Netzen noch aktiv ist — etwa für ältere Geräte, Drucker oder Spezialsoftware. Es komplett abzuschalten ist ein größeres Projekt. Der pragmatische erste Schritt ist deshalb, NTLM-Relay gezielt zu entschärfen: SMB-Signing erzwingen und die Nutzung von NTLM Stück für Stück einschränken. So senken Sie das Risiko sofort, ohne den Betrieb zu gefährden.

Oft ja. NTLM-Relay ist selten das Ziel, sondern ein Zwischenschritt: ein Sprungbrett, über das sich ein Angreifer von einem unscheinbaren Gerät zu mehr Rechten bewegt und sich seitlich durchs Netz arbeitet — bis am Ende die Übernahme der zentralen Windows-Verwaltung droht. Deshalb zeigt TULPAR nicht nur die einzelne Lücke, sondern den ganzen Weg: wie sich harmlose Schwächen zu einer Kette verbinden und welcher eine Fix sie am sichersten unterbricht. Mehr dazu unter „Active Directory absichern“.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Diese Seite erklärt NTLM-Relay rein defensiv und ist keine Angriffsanleitung. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und keine Rechtsberatung und garantiert keine NIS2-, BSI- oder DSGVO-Konformität. Genannte Marken und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Sie wollen wissen, ob bei Ihnen SMB-Signing fehlt?

Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie der Sicherheitscheck bei Ihnen abläuft — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp