Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist ein Golden Ticket Angriff?
Cybersecurity 101/Cybersecurity/Golden Ticket Angriff

Was ist ein Golden Ticket Angriff?

Golden Ticket Angriffe fälschen Kerberos-Tickets mit gestohlenen KRBTGT-Hashes für dauerhaften Domänenzugriff. Erfahren Sie mehr über Erkennungsstrategien und den Ansatz von SentinelOne.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist ein Golden Ticket Angriff?
Bezug von Golden Ticket zu Cybersecurity
Auswirkungen eines Golden Ticket Angriffs auf eine Organisation
Domänenweiter Ressourcenzugriff
Persistenter Langzeitzugriff
Datenexfiltration und regulatorische Risiken
Betriebs- und Wiederherstellungskosten
Kernkomponenten eines Golden Ticket Angriffs
Techniken zur Fälschung eines Golden Tickets
KRBTGT-Hash-Extraktionsmethoden
Gängige Angriffswerkzeuge
Offline-Fälschungsprozess
Indikatoren für einen Golden Ticket Angriff
Anomalien in Authentifizierungsprotokollen
Signale für Verschlüsselungs-Downgrade
Vorläufer für Credential Access
Abweichungen vom Verhaltensbaseline
Wie ein Golden Ticket Angriff funktioniert
Wie man einen Golden Ticket Angriff erkennt
SIEM-Überwachung für Kerberos-Ereignisse konfigurieren
Überwachung auf Verschlüsselungs-Downgrades
Credential Access-Versuche verfolgen
Verhaltensanalysen einsetzen
Endpunkt- und Identitätstelemetrie korrelieren
Wie man Golden Ticket Angriffe verhindert und eindämmt
Regelmäßige KRBTGT-Passwortrotation implementieren
Zugriff auf Domänencontroller härten
Credential Hygiene durchsetzen
Legacy-Authentifizierungsprotokolle deaktivieren
Deception-Technologie einsetzen
Incident Response Playbooks vorbereiten
Warum das Verständnis der Golden Ticket Mechanik wichtig ist
Einschränkungen von Golden Ticket Angriffen
Häufige Fehler bei der Verteidigung gegen Golden Ticket Angriffe
Best Practices zum Schutz vor Golden Ticket Angriffen
Stoppen Sie Golden Ticket Angriffe mit SentinelOne

Verwandte Artikel

  • Digital Rights Management: Ein praxisorientierter Leitfaden für CISOs
  • Was ist Remote Monitoring and Management (RMM) Security?
  • Address Resolution Protocol: Funktion, Typen & Sicherheit
  • Was sind unveränderliche Backups? Autonomer Ransomware-Schutz
Autor: SentinelOne | Rezensent: Arijeet Ghatak
Aktualisiert: January 23, 2026

Was ist ein Golden Ticket Angriff?

Sie stehen einem Angreifer gegenüber, der den KRBTGT-Passworthash Ihrer Domäne exfiltriert. Kurz darauf fälscht er ein Kerberos-Ticket, das ihm für die nächsten 10 Jahre Domain-Admin-Rechte gewährt. Ihre Domänencontroller vertrauen diesem gefälschten Ticket vollständig: Sie können es nicht von einer legitimen Authentifizierung unterscheiden.

Dies ist ein Golden Ticket Angriff. Angreifer fälschen Ticket-Granting Tickets (TGTs) mithilfe gestohlener KRBTGT-Konto-Passworthashes und erstellen kryptografisch gültige Anmeldeinformationen, die Standard-Sicherheitskontrollen umgehen. Wenn ein Ticket mit dem langfristigen Schlüssel des KRBTGT-Kontos verschlüsselt ist, geht der Ticket-Granting-Service Ihres KDC davon aus, dass es sich um eine authentische Anfrage eines authentischen Benutzers handelt. Ihre Domänencontroller können gefälschte Tickets nicht von legitimen unterscheiden, da die kryptografischen Signaturen mathematisch identisch erscheinen.

CISA dokumentiert weiterhin Diebstahl von Anmeldeinformationen und Kerberos-basierte Angriffe in staatlich gesteuerten Kampagnen und Ransomware-Operationen, die auf kritische Infrastrukturen abzielen, was diese Technik zu einem der hartnäckigsten Post-Exploitation-Angriffe für Unternehmen macht.

Bevor Angreifer Golden Ticket Angriffe ausführen können, müssen drei Voraussetzungen erfüllt sein: administrativer Zugriff auf Ihren Domänencontroller oder ein gleichwertig privilegiertes System, Extraktion des KRBTGT-Konto-Hashes aus Ihrer NTDS.dit-Datenbank oder dem LSASS-Prozessspeicher sowie Sammlung von Domänen-FQDN, Domänen-SID und Zielbenutzerinformationen. Sobald diese Bedingungen erfüllt sind, fälschen Angreifer Tickets vollständig außerhalb Ihres Netzwerks; keine Kommunikation mit dem Domänencontroller erforderlich.

Golden Ticket Attack - Featured Image | SentinelOne

Bezug von Golden Ticket zu Cybersecurity

Golden Ticket Angriffe sind identitätsbasierte Angriffe, die Sicherheitskontrollen umgehen, die auf den Schutz des Netzwerkperimeters und Endpunktsicherheit ausgerichtet sind. Sie verteidigen sich gegen Angreifer, die die Phase des ersten Eindringens überwunden und die Phase Credential Access in komplexen Angriffsketten erreicht haben.

Ihre Standard-Sicherheitskontrollen versagen, weil gefälschte Tickets kryptografisch identisch zu legitimen Authentifizierungsereignissen erscheinen. Signaturbasierte Erkennung kann Golden Tickets nicht identifizieren. Multi-Faktor-Authentifizierung schützt nicht davor. Passwort-Richtlinien werden irrelevant. Organisationen müssen das KRBTGT-Passwort zweimal zurücksetzen, um bestehende Golden Tickets ungültig zu machen.

MITRE ATT&CK klassifiziert die Technik gleichzeitig unter drei Taktiken: 

  • Credential Access (T1558.001),
  • Lateral Movement (ermöglicht domänenweiten Ressourcenzugriff),
  • Persistence (Tickets bleiben jahrelang gültig). 

CISA-Warnungen bestätigen, dass russische, staatlich unterstützte APT-Akteure Windows Active Directory-Server für Privilegieneskalation ins Visier genommen haben, und Ransomware-Operationen wie Akira zielen aktiv auf Kerberos-Authentifizierungsinfrastrukturen ab, indem sie Credential Extraction-Tools einsetzen.

Um sich gegen Golden Ticket Angriffe zu verteidigen, müssen Sie zunächst die Kerberos-Komponenten verstehen, die von Angreifern ausgenutzt werden.

Auswirkungen eines Golden Ticket Angriffs auf eine Organisation

Ein erfolgreicher Golden Ticket Angriff verschafft Angreifern uneingeschränkten Zugriff auf jede Ressource in Ihrer Active Directory-Umgebung. Sie authentifizieren sich als beliebiger Benutzer, greifen auf beliebige Systeme zu und behalten diesen Zugriff über Monate oder Jahre, ohne Standard-Sicherheitsalarme auszulösen.

Domänenweiter Ressourcenzugriff

Angreifer mit gefälschten TGTs bewegen sich frei in Ihrer Umgebung. Sie greifen auf Dateiserver mit sensiblen geistigen Eigentum zu, authentifizieren sich an E-Mail-Systemen für Geschäftskommunikation, fragen Datenbanken mit Kundendaten ab und verbinden sich mit Backup-Infrastrukturen. Ihre Sicherheitskontrollen sehen legitime Kerberos-Authentifizierung, keinen unautorisierten Zugriff.

Persistenter Langzeitzugriff

Golden Tickets fungieren als Backdoors, die typische Incident-Response-Maßnahmen überdauern. Passwort-Resets für kompromittierte Konten haben keine Wirkung. Das Deaktivieren von Benutzerkonten entzieht nicht den Zugriff. Die gefälschten Tickets bleiben gültig, bis Sie das doppelte KRBTGT-Passwort-Reset-Protokoll auf allen Domänencontrollern abgeschlossen haben – ein Prozess, den viele Organisationen aus Sorge vor Betriebsunterbrechungen verzögern.

Datenexfiltration und regulatorische Risiken

Uneingeschränkter Domänenzugriff ermöglicht großflächigen Datendiebstahl. Angreifer können systematisch Kundendatenbanken, Finanzunterlagen, Mitarbeiterinformationen und geschäftskritische Daten extrahieren. Für Organisationen, die der DSGVO, HIPAA oder PCI-DSS unterliegen, löst ein Golden Ticket Kompromittierung in der Regel Meldepflichten und potenzielle regulatorische Strafen aus.

Betriebs- und Wiederherstellungskosten

Die Wiederherstellung nach Golden Ticket Angriffen erfordert erhebliche Ressourcen. Sie müssen das KRBTGT-Passwort zweimal auf allen Domänencontrollern zurücksetzen, alle bestehenden Kerberos-Tickets widerrufen, privilegierte Kontopasswörter zurücksetzen, forensische Analysen zur Identifikation der ursprünglichen Kompromittierungsvektoren durchführen und gegebenenfalls kompromittierte Domänencontroller aus sauberen Backups wiederherstellen. Organisationen entdecken die Nutzung von Golden Tickets oft erst Wochen oder Monate nach der ersten Bereitstellung, was den Umfang der forensischen Untersuchung erweitert.

Diese Auswirkungen machen Golden Ticket Angriffe zu den schwerwiegendsten Active Directory-Kompromittierungen. Die Verteidigung dagegen erfordert das Verständnis der Kernkomponenten des Angriffs.

Kernkomponenten eines Golden Ticket Angriffs

Golden Ticket Angriffe nutzen vier Kerberos-Komponenten aus: das KRBTGT-Servicekonto, TGTs, PAC-Strukturen und den KDC.

  • KRBTGT-Konto: Das KRBTGT-Konto ist das Kerberos-Servicekonto Ihrer Domäne. Jeder Domänencontroller verwendet dessen Passworthash, um alle TGTs zu verschlüsseln und zu signieren. Wenn Angreifer diesen Hash extrahieren, besitzen sie den kryptografischen Schlüssel, der jedes Authentifizierungsticket in Ihrer Domäne validiert.
  • Ticket-Granting Ticket (TGT): TGTs fungieren als Authentifizierungsnachweise, die Ihr KDC nach erfolgreicher Benutzeranmeldung ausstellt. Benutzer legen TGTs vor, um Service-Tickets für bestimmte Ressourcen anzufordern. Normale TGTs laufen nach begrenzten Zeiträumen ab, während gefälschte Golden Tickets beliebige Ablaufdaten haben können.
  • Privilege Attribute Certificate (PAC): Das PAC enthält Autorisierungsdaten, die in Kerberos-Tickets eingebettet sind und Gruppenmitgliedschaften, Privilegien und Zugriffsrechte des Benutzers spezifizieren. Angreifer fälschen PAC-Daten, um sich selbst Domain-Admin-Rechte zuzuweisen, unabhängig von den tatsächlichen Kontoberechtigungen.
  • Key Distribution Center (KDC): Ihr KDC läuft auf Domänencontrollern und verarbeitet alle Kerberos-Authentifizierungsanfragen, indem er Tickets durch Überprüfung kryptografischer Signaturen mit dem KRBTGT-Konto-Hash validiert.

Diese vier Komponenten interagieren in einer bestimmten Abfolge während eines Golden Ticket Angriffs.

Techniken zur Fälschung eines Golden Tickets

Angreifer nutzen spezialisierte Tools und etablierte Methoden, um KRBTGT-Hashes zu extrahieren und TGTs zu fälschen. Das Verständnis dieser Techniken hilft Ihnen, Versuche des Diebstahls von Anmeldeinformationen zu erkennen, bevor Angreifer den Fälschungsprozess abschließen.

KRBTGT-Hash-Extraktionsmethoden

Angreifer extrahieren den KRBTGT-Passworthash über zwei Hauptvektoren. Der erste zielt auf die NTDS.dit-Datenbankdatei auf Domänencontrollern ab, die alle Active Directory-Anmeldeinformationen speichert. Tools wie ntdsutil, secretsdump oder Volume Shadow Copy ermöglichen eine Offline-Extraktion. Der zweite Vektor zielt auf den LSASS-Prozessspeicher auf Domänencontrollern ab, wo Anmeldeinformationen im Klartext oder in leicht reversiblen Formaten vorliegen.

Gängige Angriffswerkzeuge

MITRE ATT&CK dokumentiert mehrere Tools, die Angreifer für Golden Ticket Angriffe verwenden:

  • Mimikatz: Das am häufigsten dokumentierte Tool, das sowohl KRBTGT-Extraktion als auch Ticket-Fälschung über das kerberos::golden-Modul ermöglicht
  • Rubeus: Eine C#-Implementierung mit ähnlichen Fähigkeiten und besserer Umgehung von Sicherheitskontrollen
  • Impacket: Python-basiertes Toolkit mit ticketer.py zur TGT-Generierung
  • Sliver: Command-and-Control-Framework mit integrierter Kerberos-Ticket-Manipulation

Offline-Fälschungsprozess

Nach der Extraktion des KRBTGT-Hashes erstellen Angreifer gefälschte Tickets auf Systemen außerhalb Ihres Netzwerks. Sie geben die Domänen-SID, den Zielbenutzernamen, Gruppenmitgliedschaften (typischerweise Domain Admins) und beliebige Gültigkeitszeiträume an. Der Fälschungsprozess erfordert keine Kommunikation mit Ihren Domänencontrollern und bleibt bis zur Ticket-Injektion und Authentifizierung für die Netzwerküberwachung unsichtbar.

Das Erkennen dieser Techniken prägt Ihre Überwachungsstrategie für Indikatoren, die auf aktive Angriffe hinweisen.

Indikatoren für einen Golden Ticket Angriff

Golden Ticket Angriffe erzeugen erkennbare Muster in Authentifizierungsprotokollen, Netzwerkverkehr und Endpunkt-Telemetrie. Ihr Sicherheitsteam kann diese Indikatoren durch Überwachung von Anomalien finden, die vom normalen Kerberos-Verhalten abweichen.

Anomalien in Authentifizierungsprotokollen

Windows Security Event Logs erfassen Kerberos-Aktivitäten, die auf die Nutzung von Golden Tickets hinweisen. Event-IDs 4768, 4769 und 4770 protokollieren TGT-Anfragen, Service-Ticket-Anfragen und Ticket-Erneuerungen. Achten Sie auf Tickets mit ungewöhnlich langen Gültigkeitszeiträumen, Authentifizierungsereignisse von unerwarteten IP-Adressen und Service-Anfragen, die nicht zum normalen Benutzerverhalten passen.

Signale für Verschlüsselungs-Downgrade

Gefälschte Tickets verwenden häufig RC4-Verschlüsselung, da ältere Angriffswerkzeuge standardmäßig diesen Algorithmus nutzen. In Umgebungen, in denen RC4 zugunsten von AES deaktiviert wurde, stellt jedes RC4-verschlüsselte Kerberos-Ticket einen hochgradigen Indikator dar. Konfigurieren Sie Ihr SIEM so, dass es bei RC4-Nutzung alarmiert, wenn Ihre Domänenrichtlinie nur AES-Authentifizierung zulässt.

Vorläufer für Credential Access

Die Bereitstellung eines Golden Tickets erfordert vorherigen Credential Theft. Überwachen Sie die erforderlichen Angriffsphasen: ungewöhnlicher Zugriff auf den LSASS-Prozess, NTDS.dit-Dateioperationen, Erstellung von Volume Shadow Copies auf Domänencontrollern und Ausführung bekannter Tools zur Extraktion von Anmeldeinformationen. Das Erkennen von Credential Access-Versuchen bietet eine frühere Warnung als die Überwachung allein auf Ticket-Fälschung.

Abweichungen vom Verhaltensbaseline

Benutzer authentifizieren sich zu vorhersehbaren Ressourcen basierend auf ihren Aufgaben. Die Nutzung von Golden Tickets erzeugt häufig Authentifizierungsmuster, die von etablierten Baselines abweichen. Wenn ein Benutzerkonto plötzlich Service-Tickets für Systeme außerhalb seines normalen Bereichs anfordert, sich von unbekannten Netzwerksegmenten authentifiziert oder zu ungewöhnlichen Zeiten auf sensible Ressourcen zugreift, ist eine sofortige Untersuchung erforderlich.

Diese Indikatoren bestimmen, wie Verteidiger ihre Überwachungs- und Reaktionsfähigkeiten strukturieren.

Wie ein Golden Ticket Angriff funktioniert

Golden Ticket Angriffe sind Post-Exploitation-Techniken, bei denen Angreifer zunächst administrativen Zugriff auf Domänencontroller erlangen und den KRBTGT-Konto-Passworthash extrahieren müssen, bevor sie TGTs fälschen.

  • Phase 1-2: Erste Kompromittierung und KRBTGT-Extraktion: Angreifer verschaffen sich ersten Zugriff durch Phishing, Ausnutzung von Schwachstellen oder Credential Theft. CISA Advisory AA23-250a dokumentiert APT-Akteure, die CVE-2022-47966 in Zoho ManageEngine ausnutzen und LSASS-Speicherdumps durchführen, um Anmeldeinformationen in gesamten Active Directory-Domänen zu sammeln. Angreifer setzen Tools wie Mimikatz, Rubeus oder Sliver ein, um den KRBTGT-Passworthash zu extrahieren und auf ein externes System zu exfiltrieren.
  • Phase 3: Ticket-Fälschung: Angreifer erstellen gefälschte TGTs offline mit dem gestohlenen KRBTGT-Hash, der Domänen-SID und Zielbenutzerinformationen. Sie geben beliebige Privilegien in der PAC-Datenstruktur an, typischerweise Domain Admins-Gruppenmitgliedschaft, setzen verlängerte Gültigkeitszeiträume und verschlüsseln das gefälschte Ticket mit dem gestohlenen KRBTGT-Hash.
  • Phase 4-5: Laterale Bewegung und persistenter Zugriff: Angreifer injizieren gefälschte TGTs in den Speicher kompromittierter Systeme und fordern Service-Tickets in Ihrer Domäne an. Ihr KDC validiert die kryptografische Signatur des gefälschten TGT und stellt Service-Tickets aus. Angreifer authentifizieren sich mit gefälschten Anmeldeinformationen an Dateiservern, Datenbanksystemen, E-Mail-Infrastruktur und Backup-Systemen. Doppelte KRBTGT-Passwort-Resets sind unerlässlich, da Domänencontroller sowohl aktuelle als auch vorherige Passworthashes aus Kompatibilitätsgründen speichern.

Das Erkennen dieser Angriffsphasen prägt Ihre Überwachungs- und Reaktionsstrategie.

Wie man einen Golden Ticket Angriff erkennt

Das Erkennen von Golden Ticket Angriffen erfordert die Überwachung von Kerberos-Authentifizierungsmustern und die Korrelation von Anomalien in Ihrer Sicherheitsinfrastruktur. Signaturbasierte Tools können gefälschte Tickets nicht identifizieren, da sie kryptografisch gültig sind. Ihre Erkennungsstrategie muss sich auf Verhaltensanalysen und Authentifizierungsanomalien konzentrieren.

SIEM-Überwachung für Kerberos-Ereignisse konfigurieren

Windows Security Event Logs sind die primäre Datenquelle für die Erkennung von Golden Tickets. Konfigurieren Sie Ihr SIEM so, dass es Event-IDs 4768, 4769, 4770 und 4771 sammelt und analysiert, die TGT-Anfragen, Service-Ticket-Anfragen, Ticket-Erneuerungen und Authentifizierungsfehler protokollieren. Erstellen Sie Korrelationsregeln, die Tickets mit Gültigkeitszeiträumen über Ihrer Domänenrichtlinie, Authentifizierungsanfragen von IP-Adressen außerhalb normaler Benutzerprofile und Service-Ticket-Anfragen, die nicht zu etablierten Benutzerverhaltensbaselines passen, kennzeichnen.

Überwachung auf Verschlüsselungs-Downgrades

Viele Golden Ticket Angriffswerkzeuge verwenden standardmäßig RC4-Verschlüsselung beim Fälschen von Tickets. Wenn Ihre Umgebung nur AES-Kerberos-Authentifizierung zulässt, stellt jedes RC4-verschlüsselte Ticket einen hochgradigen Indikator für Fälschung dar. Konfigurieren Sie Alarme für den RC4-Verschlüsselungstyp in Kerberos-Authentifizierungsereignissen und untersuchen Sie alle Vorkommen sofort.

Credential Access-Versuche verfolgen

Golden Ticket Angriffe erfordern die vorherige Extraktion des KRBTGT-Hashes. Überwachen Sie Domänencontroller auf die erforderliche Credential Theft-Phase:

  • Ungewöhnlicher Zugriff auf LSASS-Prozessspeicher
  • NTDS.dit-Datenbankdateioperationen oder Extraktionsversuche
  • Erstellung von Volume Shadow Copies mit Systemstatusbezug
  • Ausführung bekannter Tools zur Extraktion von Anmeldeinformationen wie Mimikatz oder secretsdump

Das Erkennen von Credential Theft-Versuchen bietet eine frühere Warnung als das Warten auf die Nutzung gefälschter Tickets.

Verhaltensanalysen einsetzen

Erstellen Sie Authentifizierungsbaselines für jedes Benutzerkonto basierend auf normalen Ressourcenzugriffsmustern, Arbeitszeiten und Netzwerkstandorten. Verhaltensanalyseplattformen identifizieren Abweichungen von diesen Baselines, etwa wenn ein Benutzer plötzlich auf sensible Systeme außerhalb seiner Aufgaben zugreift oder Ressourcen von unbekannten Netzwerksegmenten aus anspricht. Solche Anomalien deuten oft auf Golden Ticket Nutzung hin, auch wenn einzelne Authentifizierungsereignisse legitim erscheinen.

Endpunkt- und Identitätstelemetrie korrelieren

Effektive Erkennung erfordert die Korrelation von Daten aus Endpunkt-, Identitäts- und Netzwerkquellen. Verbinden Sie LSASS-Speicherzugriffsereignisse auf Domänencontrollern mit anschließenden Kerberos-Authentifizierungsanomalien, um die Sequenz von Credential Theft zu Ticket-Fälschung zu identifizieren. Identity Security-Plattformen können diese Korrelation automatisieren und auf den Fortschritt der Angriffskette alarmieren.

Erkennungsfähigkeiten bestimmen Ihre Präventions- und Reaktionsstrategien.

Wie man Golden Ticket Angriffe verhindert und eindämmt

Die Verhinderung von Golden Ticket Angriffen erfordert den Schutz des KRBTGT-Kontos, die Härtung des Zugriffs auf Domänencontroller und die Implementierung von Kontrollen, die die Bewegung von Angreifern auch nach einer Kompromittierung von Anmeldeinformationen einschränken.

Regelmäßige KRBTGT-Passwortrotation implementieren

Richten Sie ein geplantes KRBTGT-Passwort-Reset-Protokoll ein. Da Active Directory sowohl aktuelle als auch vorherige Passwort Hashes aus Kompatibilitätsgründen speichert, müssen Sie das KRBTGT-Passwort zweimal zurücksetzen, um alle bestehenden Golden Tickets vollständig ungültig zu machen. Planen Sie diese Resets in Intervallen, die Ihrem Risikoprofil entsprechen; viele Organisationen führen vierteljährliche Rotationen durch.

Zugriff auf Domänencontroller härten

Beschränken Sie den administrativen Zugriff auf Domänencontroller durch privilegierte Arbeitsstationen und Jump-Server mit Sitzungsüberwachung. Implementieren Sie Netzwerksegmentierung, die einschränkt, welche Systeme direkt mit Domänencontrollern kommunizieren können. Setzen Sie Endpoint Detection and Response Lösungen auf Domänencontrollern ein, um Credential Extraction Tools und verdächtige Prozessaktivitäten gegen LSASS oder NTDS.dit zu überwachen.

Credential Hygiene durchsetzen

Trennen Sie privilegierte und nicht privilegierte Konten für Administratoren. Domain Admin-Anmeldeinformationen sollten niemals auf Standardarbeitsplätzen verwendet werden, auf denen Credential Theft wahrscheinlicher ist. Implementieren Sie zeitlich begrenzten administrativen Zugriff, der automatisch abläuft, um das Zeitfenster für Credential Extraction zu verkleinern.

Legacy-Authentifizierungsprotokolle deaktivieren

Deaktivieren Sie RC4-Verschlüsselung für Kerberos-Authentifizierung und erzwingen Sie AES-Verschlüsselung in Ihrer Domäne. Dies erzeugt ein hochpräzises Erkennungssignal, wenn Angreifer ältere Tools verwenden, die standardmäßig RC4 für Ticket-Fälschung nutzen. Überprüfen und deaktivieren Sie nach Möglichkeit weitere Legacy-Protokolle wie NTLM, um die Angriffsfläche für Credential Theft insgesamt zu reduzieren.

Deception-Technologie einsetzen

Deception-basierte Verteidigungen erstellen gefälschte Credential Caches und Honey Accounts, die Angreifer während der Aufklärung anziehen. Wenn Angreifer mit diesen Ködern interagieren, erhalten Sie sofortige Alarme über aktive Kompromittierungsversuche. Dieser Ansatz identifiziert Credential Theft-Aktivitäten, bevor Angreifer den KRBTGT-Hash erreichen.

Incident Response Playbooks vorbereiten

Dokumentieren und üben Sie Golden Ticket Incident Response-Verfahren. Ihr Playbook sollte das doppelte KRBTGT-Reset-Protokoll, Schritte zum Widerruf aller bestehenden Kerberos-Tickets, Verfahren zum Zurücksetzen privilegierter Kontopasswörter und forensische Analyseleitfäden zur Identifikation der ursprünglichen Kompromittierungsvektoren enthalten. Eine schnelle Umsetzung dieser Verfahren begrenzt die Persistenz von Angreifern.

Diese Präventionsmaßnahmen wirken zusammen mit Erkennungsfähigkeiten, um das Golden Ticket Risiko in Ihrer Umgebung zu reduzieren.

Warum das Verständnis der Golden Ticket Mechanik wichtig ist

Sicherheitsteams, die die Mechanik von Golden Ticket Angriffen verstehen, können ihre Überwachungsstrategie von signaturbasierter Erkennung auf Verhaltensanalysen umstellen. Signaturbasierte Tools versagen, weil gefälschte Tickets kryptografisch gültig sind. Verhaltensanalysen identifizieren anomale Kerberos-Authentifizierungsmuster wie ungewöhnliche TGT-Anfragen, Service-Ticket-Operationen von unerwarteten IP-Adressen und Tickets mit abnormen Gültigkeitszeiträumen.

Dieses Verständnis verbessert auch die Incident Response-Bereitschaft. Ihre Playbooks sollten das doppelte Reset-Protokoll für KRBTGT-Passwörter, forensische Analyseverfahren für LSASS-Speicherdumps und NTDS.dit-Extraktion sowie Eindämmungsstrategien für domänenweiten Zugriff enthalten.

Die Voraussetzungen des Angriffs schaffen zudem Erkennungsfenster für Ihr Sicherheitsteam.

Einschränkungen von Golden Ticket Angriffen

Angreifer müssen den KRBTGT-Konto-Passworthash erlangen, bevor sie einen Golden Ticket Angriff ausführen können, was Verteidigern Erkennungsmöglichkeiten bietet.

  • Anforderung des Zugriffs auf Domänencontroller: Angreifer müssen zunächst Domänencontroller oder gleichwertig privilegierte Systeme kompromittieren, um KRBTGT-Hashes zu extrahieren. Dies schafft ein Erkennungsfenster während der Credential Access-Phase. Überwachen Sie ungewöhnliche Zugriffsversuche auf Domänencontroller, Manipulationen am LSASS-Prozess und Zugriffsmuster auf die NTDS.dit-Datenbank.
  • Kryptografische Anomalie-Indikatoren: Gefälschte Tickets weisen häufig erkennbare Merkmale auf. Die Nutzung von RC4-Verschlüsselung in Umgebungen, in denen RC4 deaktiviert wurde, ist ein hochgradiges Signal. Sie können auch Tickets mit übermäßig langen Gültigkeitszeiträumen, fehlenden PAC-Datenstrukturen und Authentifizierungsereignisse von unerwarteten IP-Adressen finden.
  • Klassifizierung als Post-Compromise: Golden Tickets fungieren als Post-Exploitation-Techniken in mehrstufigen Angriffsketten. Angreifer profitieren nicht von der Ticket-Fälschung, ohne zuvor Netzwerkzugriff zu erlangen, Aufklärung durchzuführen, Privilegieneskalation zu erreichen und den KRBTGT-Hash zu extrahieren. Ihre Defense-in-Depth-Strategie sollte sich auf die Verhinderung der initialen Kompromittierungssequenz konzentrieren, statt ausschließlich auf die Überwachung der Golden Ticket Nutzung nach deren Bereitstellung.

Trotz dieser Einschränkungen machen Sicherheitsteams häufig Fehler, die ihre Verteidigung schwächen.

Häufige Fehler bei der Verteidigung gegen Golden Ticket Angriffe

Sicherheitsteams machen vier häufige Fehler bei der Verteidigung gegen Golden Ticket Angriffe.

  1. Einmaliges KRBTGT-Passwort-Reset: Sie setzen das KRBTGT-Passwort einmal zurück und gehen davon aus, dass bestehende Golden Tickets ungültig sind. Active Directory speichert sowohl aktuelle als auch vorherige Passworthashes. Einmalige Resets lassen den vorherigen Hash gültig, sodass gefälschte Tickets der Angreifer weiterhin funktionieren. Sie müssen das KRBTGT-Passwort zweimal zurücksetzen, um gefälschte Tickets vollständig zu invalidieren.
  2. Verlass auf signaturbasierte Erkennung: Sie setzen signaturbasierte Sicherheitskontrollen ein und erwarten, Golden Ticket Angriffe durch Mustererkennung zu finden. Ihre Sicherheitstools können gefälschte Tickets nicht kryptografisch von legitimen unterscheiden, wenn sie mit gültigen KRBTGT-Schlüsseln verschlüsselt sind. Sie benötigen Verhaltensanalysen, die anomale Kerberos-Muster überwachen.
  3. Unzureichende Protokollaufbewahrung: Sie bewahren Windows Security Event Logs nicht lange genug auf und verpassen den erweiterten Untersuchungszeitraum, der für Golden Ticket Forensik erforderlich ist. Angreifer können zwischen KRBTGT-Hash-Extraktion und aktiver Ausnutzung warten. Sicherheitsteams benötigen eine verlängerte Protokollaufbewahrung, um die initiale Kompromittierung mit späterer Ticket-Nutzung zu korrelieren.
  4. Ignorieren der erforderlichen Angriffsphasen: Sie konzentrieren sich ausschließlich auf die Identifikation der Golden Ticket Nutzung und ignorieren die Credential Theft-Phase, die zuerst stattfinden muss. CISA Advisory AA23-250a dokumentiert APT-Akteure, die LSASS-Speicherdumps durchführen, bevor sie administrativen Zugriff erlangen. Finden Sie die Credential Extraction-Phase durch Überwachung ungewöhnlicher LSASS-Prozessinteraktionen und Ausführung bekannter Tools zur Extraktion von Anmeldeinformationen.

Das Vermeiden dieser Fehler erfordert die Implementierung evidenzbasierter Sicherheitskontrollen.

Best Practices zum Schutz vor Golden Ticket Angriffen

Die Verteidigung gegen Golden Ticket Angriffe erfordert die Implementierung von Sicherheitskontrollen, die auf das KRBTGT-Kontomanagement, die Überwachung der Kerberos-Authentifizierung und eine schnelle Incident Response ausgerichtet sind.

  • Setzen Sie das KRBTGT-Konto-Passwort zweimal zurück: Richten Sie regelmäßige KRBTGT-Passwort-Reset-Zeitpläne nach dem doppelten Reset-Protokoll ein. Active Directory speichert sowohl aktuelle als auch vorherige KRBTGT-Passworthashes für Kompatibilität, daher bleibt ein einmaliges Reset bestehende Golden Tickets gültig. Erst das zweite Reset macht alle gefälschten Tickets ungültig.
  • Konfigurieren Sie SIEM für Kerberos-Überwachung: Konfigurieren Sie Security Information and Event Management (SIEM)-Systeme, um Windows Event-IDs 4768, 4769, 4770 und 4771 auf anomale Muster zu überwachen. Ihre Überwachung sollte kennzeichnen:
  1. RC4-Verschlüsselung in AES-only-Umgebungen
  2. Tickets mit abnormen Gültigkeitszeiträumen
  3. Authentifizierungsereignisse von unerwarteten IP-Adressen
  4. Service-Anfragen, die nicht zu Benutzerrollen-Baselines passen

Korrelieren Sie anomalen Dateizugriff mit ungewöhnlichen Kerberos-Service-Ticket-Anfragen. Identity Security-Plattformen wie Singularity Identity erkennen Credential Theft und Privilegieneskalationsversuche in Echtzeit und alarmieren, wenn Angreifer Active Directory-Infrastrukturen ins Visier nehmen.

  • Zugriff auf Domänencontroller schützen: Implementieren Sie Privileged Access Management-Kontrollen, die den administrativen Zugriff auf Domänencontroller auf dedizierte Jump-Boxen mit Sitzungsüberwachung beschränken. Setzen Sie Endpoint Detection and Response (EDR)-Lösungen auf Domänencontrollern ein, um Credential Dumping Tools zu überwachen.
  • Verhaltensanalysen einsetzen: Setzen Sie Analysen ein, die Versuche zur Fälschung oder zum Replay von Kerberos-Tickets durch Überwachung anomaler Authentifizierungssequenzen erkennen. Singularity XDR automatisiert diese Korrelation, verbindet Authentifizierungsanomalien mit Endpunkt-Ereignissen und rekonstruiert Golden Ticket Angriffsketten.
  • Erweiterte Protokollaufbewahrung sicherstellen: Erweitern Sie die Aufbewahrung von Windows Security Event Logs, um forensische Untersuchungen vollständiger Angriffsketten zu ermöglichen. Zentralisieren Sie Kerberos-Authentifizierungsprotokolle in Ihrer SIEM-Plattform mit Korrelationsregeln für Authentifizierungsanomalien.

Die manuelle Implementierung dieser Kontrollen erfordert erhebliche Ressourcen. Sicherheitsplattformen können einen Großteil dieser Arbeit automatisieren.

Stoppen Sie Golden Ticket Angriffe mit SentinelOne

Die Singularity™ Plattform von SentinelOne bietet die Verhaltensanalysen und autonome Korrelation, die zur Identifikation von Golden Ticket Angriffen in Ihrer Umgebung erforderlich sind.

Singularity™ XDR zeigte 88 % weniger Alarme als der Median aller Anbieter in den MITRE ATT&CK Evaluierungen 2024 bei gleichzeitig 100 % Erkennungsgenauigkeit. Dadurch kann sich Ihr Sicherheitsteam auf echte Bedrohungen konzentrieren, anstatt Fehlalarme zu untersuchen. Die Storyline-Technologie der Plattform rekonstruiert Angriffsketten mit maschineller Geschwindigkeit, indem sie LSASS-Speicherzugriffsereignisse mit anschließenden Kerberos-Authentifizierungsanomalien verbindet, um die Sequenz von Credential Theft zu Ticket-Fälschung zu identifizieren.

Singularity™ Identity schützt hybride Umgebungen: sowohl Active Directory als auch Cloud-Identity-Provider – einschließlich Entra ID, Okta, Ping, SecureAuth und Duo. Die Plattform erkennt Credential Theft-Versuche, blockiert laterale Bewegungen und nutzt Deception-Technologie, um Angreifer von AD-Infrastrukturen abzulenken und gleichzeitig Telemetrie für Untersuchungen zu generieren.

Purple AI beschleunigt Threat Hunting mit natürlichen Sprachabfragen und KI-gestützter Analyse. Bei der Untersuchung potenzieller Golden Ticket Aktivitäten korreliert Purple AI Authentifizierungsindikatoren über mehrere Ereignisse hinweg, reduziert Fehlalarme und beschleunigt Untersuchungen.

SentinelOne Wayfinder Managed Detection and Response ist ein 24/7/365 Managed Service mit internen Expertenanalysten, die automatisierten Erkennungen menschlichen Kontext hinzufügen. Ihre Analysten können forensische Tiefenanalysen durchführen und eine effektive Incident Response umsetzen. MDR Elite bietet integrierte Incident Readiness und bereitet Sie auf Hochdrucksituationen vor. Sie erhalten Zugriff auf IRR-Retainer und On-Demand-DFIR-Experten.

SentinelOne Singularity™ Network Discovery ermöglicht Netzwerk-Erkennung und identifiziert nicht autorisierte Geräte im Netzwerk. Es erkennt, isoliert und enthält Bedrohungen nach der Entdeckung und verhindert laterale Bewegungen. Network Discovery kann nicht verwaltete Geräte entdecken und mit einem Klick isolieren. Es überwacht auch, wie unbekannte Geräte mit verwalteten Hosts kommunizieren. Sie können Richtlinien erstellen und zwischen ihnen wechseln, auch für einzelne Subnetze.

SentinelOne Cloud Workload Security schützt Cloud-Instanzen (AWS, Azure, Google Cloud) und Kubernetes-Container – entscheidend für die Verteidigung gegen Golden Ticket Angriffe, die sich über domänenverbundene hybride Infrastrukturen auf Cloud-Umgebungen ausweiten können.

Die Behavioral AI Engines (statisch und zur Laufzeit) von SentinelOne können Credential Theft stoppen und abnormale Authentifizierungsmuster erkennen, bevor eine Ticket-Fälschung erfolgt, und so Angriffe früh in der Kill Chain stoppen.

Fordern Sie eine SentinelOne-Demo an, um zu sehen, wie diese Funktionen Golden Ticket Angriffe in Ihrer Umgebung stoppen.

Singularity™-Plattform

Verbessern Sie Ihre Sicherheitslage mit Echtzeit-Erkennung, maschineller Reaktion und vollständiger Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

FAQs

Ein Golden Ticket-Angriff ist eine Post-Exploitation-Technik, die auf Active Directory-Umgebungen abzielt, bei der Angreifer gefälschte Kerberos Ticket-Granting Tickets (TGTs) mithilfe gestohlener KRBTGT-Konto-Passworthashes erstellen. 

Diese gefälschten Tickets gewähren domänenweiten Zugriff auf jeder Berechtigungsebene und bleiben gültig, bis das KRBTGT-Passwort zweimal zurückgesetzt wird. Angreifer können sich als beliebiger Benutzer authentifizieren, auf beliebige Ressourcen zugreifen und über Monate oder Jahre hinweg persistenten Zugriff aufrechterhalten, ohne dass herkömmliche Sicherheitswarnungen ausgelöst werden.

Sicherheitsteams, die die Mechanismen von Golden Ticket-Angriffen verstehen, können ihre Überwachungsstrategie von signaturbasierter Erkennung auf verhaltensbasierte Analysen umstellen. Signaturbasierte Tools versagen, da gefälschte Tickets kryptografisch gültig sind. Verhaltensanalysen identifizieren anomale Kerberos-Authentifizierungsmuster wie ungewöhnliche TGT-Anfragen, Service-Ticket-Operationen von unerwarteten IP-Adressen und Tickets mit abnormen Gültigkeitszeiträumen. 

Dieses Verständnis verbessert auch die Bereitschaft zur Incident Response, indem es Playbooks für das zweimalige Zurücksetzen des KRBTGT-Protokolls, forensische Analyseverfahren und Eindämmungsstrategien für domänenweite Zugriffsszenarien informiert.

MITRE ATT&CK dokumentiert mehrere Tools, die von Angreifern für Golden Ticket-Angriffe verwendet werden. Mimikatz ist das am häufigsten dokumentierte Tool und ermöglicht sowohl die Extraktion von KRBTGT als auch die Fälschung von Tickets über das Modul kerberos::golden. 

Rubeus bietet eine C#-Implementierung mit besserer Umgehung von Sicherheitskontrollen. Impacket stellt ein Python-basiertes Toolkit bereit, das ticketer.py zur TGT-Generierung umfasst. Sliver ist ein Command-and-Control-Framework mit integrierten Funktionen zur Manipulation von Kerberos-Tickets.

Angreifer extrahieren den KRBTGT-Passworthash auf zwei Hauptwegen. Die erste Methode zielt auf die NTDS.dit-Datenbankdatei auf Domänencontrollern ab, die alle Active Directory-Anmeldeinformationen speichert. Tools wie ntdsutil, secretsdump oder Volume Shadow Copy ermöglichen die Offline-Extraktion aus dieser Datenbank. 

Die zweite Methode zielt auf den LSASS-Prozessspeicher auf Domänencontrollern ab, in dem Anmeldeinformationen im Klartext oder in leicht reversiblen Formaten vorliegen. 

Beide Methoden erfordern administrativen Zugriff auf Domänencontroller oder gleichwertig privilegierte Systeme, was bedeutet, dass Angreifer zunächst eine Privilegieneskalation erreichen müssen, bevor sie Golden Ticket-Angriffe ausführen können.

Golden Tickets bleiben gültig, bis Sie das KRBTGT-Passwort auf allen Domänencontrollern zweimal zurücksetzen. Angreifer konfigurieren beim Fälschen der Tickets typischerweise verlängerte Gültigkeitszeiträume; die tatsächliche Lebensdauer hängt von Ihrem KRBTGT-Passwort-Rotationsplan ab.

Golden Tickets fälschen TGTs mithilfe des KRBTGT-Konto-Hashes und gewähren domänenweiten Zugriff auf alle Ressourcen. Silver Tickets fälschen Diensttickets mithilfe einzelner Dienstkonto-Hashes und beschränken den Zugriff auf bestimmte Dienste wie Dateifreigaben oder SQL-Datenbanken. 

Golden Tickets erfordern die Kompromittierung eines Domänencontrollers, um den KRBTGT-Hash zu extrahieren. Silver Tickets erfordern lediglich die Kompromittierung des Ziel-Dienstkontos.

Multi-Faktor-Authentifizierung (MFA) kann Golden Ticket-Angriffe nicht verhindern, da gefälschte Tickets die initiale Authentifizierungsphase vollständig umgehen. MFA schützt vor anfänglichen Kompromittierungsversuchen, bietet jedoch keinen Schutz, sobald Angreifer den KRBTGT-Hash extrahiert haben. 

Konzentrieren Sie sich stattdessen auf die Überwachung der vorausgehenden Phase des Diebstahls von Anmeldeinformationen: ungewöhnlicher Zugriff auf den LSASS-Prozess, Versuche zur Extraktion von NTDS.dit und Ausführung von Tools zum Auslesen von Anmeldeinformationen.

Überwachen Sie die Ereignis-IDs 4768, 4769 und 4770 auf RC4-Verschlüsselung in AES-Umgebungen, ungewöhnliche Gültigkeitszeiträume, inkonsistente Service-Ticket-Anfragen und unerwartete IP-Adressen. Setzen Sie verhaltensbasierte Analysen ein, um normale Authentifizierungsgrundlagen für jeden Benutzer zu etablieren; Abweichungen lösen hochpriorisierte Warnmeldungen aus, die eine sofortige Untersuchung erfordern.

Setzen Sie das KRBTGT-Passwort auf allen Domänencontrollern sofort zweimal zurück, um bestehende Golden Tickets ungültig zu machen. Widerrufen Sie anschließend bestehende Kerberos-Tickets durch Neustart der KDC-Dienste, führen Sie eine forensische Untersuchung der initialen Kompromittierungsvektoren durch, setzen Sie alle privilegierten Kontopasswörter zurück und stellen Sie kompromittierte Domänencontroller aus sauberen Backups wieder her.

Golden Ticket-Angriffe umgehen Sicherheitskontrollen, da gefälschte Tickets kryptografisch identisch mit legitimen Tickets sind. Ihre Domänencontroller validieren Tickets, indem sie die KRBTGT-Verschlüsselung-Signatur überprüfen. 

Wenn Angreifer Tickets mit dem tatsächlichen KRBTGT-Hash fälschen, besteht die Überprüfung. Kein signaturbasiertes Tool kann zwischen authentischen und gefälschten Tickets unterscheiden.

Erfahren Sie mehr über Cybersecurity

HUMINT in der Cybersicherheit für UnternehmenssicherheitsverantwortlicheCybersecurity

HUMINT in der Cybersicherheit für Unternehmenssicherheitsverantwortliche

HUMINT-Angriffe manipulieren Mitarbeitende dazu, Netzwerkzugang zu gewähren und umgehen so technische Kontrollen vollständig. Lernen Sie, sich gegen Social Engineering und Insider-Bedrohungen zu verteidigen.

Mehr lesen
Was ist ein Vendor Risk Management Program?Cybersecurity

Was ist ein Vendor Risk Management Program?

Ein Vendor Risk Management Program bewertet Risiken von Drittanbietern während des gesamten Geschäftslebenszyklus. Erfahren Sie mehr über VRM-Komponenten, kontinuierliches Monitoring und Best Practices.

Mehr lesen
SOC 1 vs SOC 2: Unterschiede der Compliance-Frameworks erklärtCybersecurity

SOC 1 vs SOC 2: Unterschiede der Compliance-Frameworks erklärt

SOC 1 bewertet Kontrollen zur Finanzberichterstattung; SOC 2 bewertet Sicherheits- und Datenschutzmaßnahmen. Erfahren Sie, wann welcher Berichtstyp angefordert werden sollte und wie Sie die Compliance von Anbietern bewerten.

Mehr lesen
SANS 6-Schritte Incident Response Framework LeitfadenCybersecurity

SANS 6-Schritte Incident Response Framework Leitfaden

Das SANS Incident Response PICERL Framework unterteilt Incident Response in sechs umsetzbare Phasen. Dieser Leitfaden behandelt jede Phase, den Aufbau eines IR-Plans und Best Practices.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch