Bei diesem Trick wird ein Passwort nicht geknackt, sondern eine fertige Anmeldung einfach weitergereicht. Der eine Fix: SMB-Signing per Gruppenrichtlinie erzwingen — rund 5 Minuten, und die Kette reißt. TULPAR findet fehlendes SMB-Signing in Ihrem Netz.
Niemand stiehlt Ihr Passwort — die fertige Anmeldung wird nur an einen anderen Server weitergereicht, der den Angreifer dann für die echte Person hält. So verbindet sich aus einem unscheinbaren Schritt eine ganze Kette. Tippen Sie auf einen Schritt, um den Fix zu sehen.
Beispielhafter Angriffspfad · so liest TULPAR Ihr Netz
Bei NTLM-Relay wird nichts geknackt. Die fertige Anmeldung wird weitergereicht — deshalb hilft selbst ein sehr langes Passwort an dieser Stelle nicht.
NTLM-Relay ist selten das Ziel, sondern ein Zwischenschritt: von einem unscheinbaren Gerät seitlich durchs Netz, Stück für Stück zu mehr Rechten.
Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen — und oft fehlt genau dieser eine, schnell gesetzte Schutzschalter.
SMB-Signing ist ein Echtheits-Siegel auf jeder Anmeldung. Ist es erzwungen, prüft jeder Server, ob die Anmeldung wirklich unverändert von der echten Person kommt — eine weitergeleitete Anmeldung fällt durch. Zentral über eine Gruppenrichtlinie aktiviert, gilt es auf einen Schlag für alle passenden Geräte.
TULPAR zeigt im Modus „nur ansehen", wo SMB-Signing fehlt.
SMB-Signing per Gruppenrichtlinie aktivieren — rund 5 Minuten.
Weitergeleitete Anmeldungen fallen durch — der Angriffsweg ist zu.
TULPAR prüft Ihr eigenes Netz und erkennt, wo eine weitergeleitete Anmeldung durchgehen würde — also wo SMB-Signing nicht erzwungen ist. Im Klartext mit Schulnote, Ampel und der Maßnahme, die am meisten bringt.
Zeigt konkret, auf welchen Geräten SMB-Signing fehlt — verständlich, ohne Fachchinesisch.
Liefert technische Belege Richtung NIS2 & BSI IT-Grundschutz — keine Garantie, kein Ersatz für Beratung.
Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.
Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.
NTLM-Relay ist ein Trick, bei dem ein Angreifer ein Passwort gar nicht knacken muss. Wenn sich ein Computer oder ein Mitarbeiter im Windows-Netzwerk anmeldet, fängt der Angreifer diese Anmeldung ab und leitet sie unverändert an einen anderen Server weiter — der hält ihn dann für die echte Person und lässt ihn herein. Das Passwort selbst bekommt der Angreifer nie zu sehen; er reicht nur die fremde Anmeldung weiter. Genau deshalb ist es so gefährlich: Es funktioniert auch bei langen, starken Passwörtern.
SMB-Signing ist eine Art Echtheits-Siegel auf jeder Anmeldung. Wird es erzwungen, prüft der Zielserver, ob die Anmeldung wirklich unverändert von der echten Person kommt — und nicht von jemandem dazwischen weitergereicht wurde. Eine weitergeleitete Anmeldung hat dieses Siegel nicht passend und wird abgewiesen. Damit reißt die Kette genau an der Stelle, an der NTLM-Relay sonst funktioniert. Ergänzend hilft die sogenannte Extended Protection for Authentication, die denselben Weiterleitungs-Trick zusätzlich abdeckt.
SMB-Signing wird zentral über eine Gruppenrichtlinie im Active Directory erzwungen, sodass es für alle passenden Geräte auf einmal gilt. Für eine Fachkraft ist das in der Regel in rund fünf Minuten eingerichtet. Wichtig ist, vorher kurz zu prüfen, ob sehr alte Geräte oder Spezialsoftware im Netz die Signierung noch nicht unterstützen, damit es keine Störungen gibt. Genau diese Prüfung nimmt Ihnen TULPAR ab: Es zeigt, wo SMB-Signing fehlt, bevor Sie es scharf schalten.
Nein. Diese Seite ist rein defensiv. Sie erklärt verständlich, was bei NTLM-Relay grundsätzlich passiert und vor allem, wie Sie sich davor schützen — sie liefert keine Anleitung, keine Werkzeuge und keine Schritt-für-Schritt-Beschreibung für einen Angriff. Unser Ziel ist, dass Sie die Gefahr verstehen und den einen Fix umsetzen, der die Kette unterbricht.
Nein, und genau das macht NTLM-Relay so tückisch. Weil das Passwort nie geknackt, sondern die fertige Anmeldung nur weitergereicht wird, hilft selbst ein sehr langes Passwort hier nicht. Schutz bringt nicht ein besseres Passwort, sondern das erzwungene SMB-Signing, das die Weiterleitung als solche entlarvt und blockiert. Starke Passwörter bleiben für andere Angriffswege wichtig — gegen das Weiterreichen einer Anmeldung sind sie aber wirkungslos.
TULPAR prüft Ihr eigenes Netzwerk im Modus „nur ansehen“ und erkennt unter anderem, auf welchen Servern und Geräten das SMB-Signing nicht erzwungen ist — also dort, wo eine weitergeleitete Anmeldung durchgehen würde. Im Klartext-Bericht erscheint das als konkreter Punkt mit Ampelfarbe und einer klaren Empfehlung, was zuerst zu tun ist. So sehen Sie nicht nur, dass eine Lücke besteht, sondern auch, wie wichtig sie im Vergleich zu anderen Punkten ist.
NTLM ist ein älteres Anmeldeverfahren von Windows, das aus Kompatibilitätsgründen in vielen Netzen noch aktiv ist — etwa für ältere Geräte, Drucker oder Spezialsoftware. Es komplett abzuschalten ist ein größeres Projekt. Der pragmatische erste Schritt ist deshalb, NTLM-Relay gezielt zu entschärfen: SMB-Signing erzwingen und die Nutzung von NTLM Stück für Stück einschränken. So senken Sie das Risiko sofort, ohne den Betrieb zu gefährden.
Oft ja. NTLM-Relay ist selten das Ziel, sondern ein Zwischenschritt: ein Sprungbrett, über das sich ein Angreifer von einem unscheinbaren Gerät zu mehr Rechten bewegt und sich seitlich durchs Netz arbeitet — bis am Ende die Übernahme der zentralen Windows-Verwaltung droht. Deshalb zeigt TULPAR nicht nur die einzelne Lücke, sondern den ganzen Weg: wie sich harmlose Schwächen zu einer Kette verbinden und welcher eine Fix sie am sichersten unterbricht. Mehr dazu unter „Active Directory absichern“.
Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie der Sicherheitscheck bei Ihnen abläuft — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.