Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Identity Threat Detection and Response (ITDR): Identitätsangriffe erkennen - Illustration zur Identitaetssicherheit und Authentifizierung
Netzwerk- & Endpoint Security

Identity Threat Detection and Response (ITDR): Identitätsangriffe erkennen und abwehren

Identity Threat Detection and Response (ITDR) ist die neue Sicherheitsdisziplin für Angriffe auf Identitätssysteme: Active Directory, Azure AD/Entra ID, IAM-Plattformen. Dieser Guide erklärt warum klassische SIEM-Regeln Identity-Angriffe (Golden Ticket, DCSync, Pass-the-Hash, MFA-Bypass) oft übersehen, wie ITDR-Lösungen (Microsoft Defender for Identity, Silverfort, Illusive) die Lücke schließen und welche Detection Use Cases und Gegenmaßnahmen Unternehmen priorisieren sollten.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
11 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Neunzig Prozent aller Advanced Persistent Threats missbrauchen kompromittierte Identitäten, da Angreifer Zugangsdaten stehlen und Privilegien eskalieren, oft monatelang unentdeckt. Klassische SIEM-Systeme übersehen diese Angriffe, weil legitime und bösartige Aktivitäten wie DCSync oder Golden Ticket identisch erscheinen und keine typischen Malware-Indikatoren erzeugen. Identity Threat Detection and Response (ITDR) schließt diese Lücke, indem es spezifische Angriffstechniken wie Golden Ticket (T1558.001) durch Anomalien in Kerberos-Tickets oder DCSync (T1003.006) durch ungewöhnliche Replikationsanfragen erkennt. Lösungen wie Microsoft Defender for Identity analysieren AD-Traffic in Echtzeit und decken über 40 Identity-spezifische ATT&CK-Techniken ab, um Unternehmen vor solchen Bedrohungen zu schützen.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (5 Abschnitte)

Neunzig Prozent aller Advanced Persistent Threats missbrauchen kompromittierte Identitäten. Nicht Malware, nicht Exploits - Identitäten. Angreifer stehlen Zugangsdaten, eskalieren Privilegien, bewegen sich lateral durch Active Directory und persistieren in der Umgebung - monatelang, unentdeckt. Identity Threat Detection and Response (ITDR) ist die Antwort auf diese Realität.

Warum Identity-Angriffe so schwer zu erkennen sind

Das fundamentale Problem

Legitime Aktivität und Angreifer-Aktivität sehen für SIEM-Systeme identisch aus:

Legitime Aktivität:

  • IT-Admin meldet sich an → liest AD-Objekte aus → ändert Gruppenrichtlinien
  • Security-Scanner führt LDAP-Abfrage durch → prüft Benutzerattribute
  • Service-Account greift auf Datenbank zu → sendet Kerberos-Ticket

Angreifer-Aktivität (identisch aussehend):

  • Kompromittierter Admin-Account meldet sich an → liest AD aus (Recon!)
  • Pass-the-Hash: Kerberos-Ticket mit gestohlenen NTLM-Hashes
  • DCSync: DRSUAPI-Call zum Auslesen aller Passwort-Hashes (sieht aus wie Replikation!)
  • Golden Ticket: Gültiges Kerberos-Ticket mit gefälschtem PAC

SIEM-Lücken bei Identity-Angriffen

  • Zu viele legitime Kerberos-Requests → Schwellwert zu hoch
  • LDAP-Queries von Admins normal → Recon nicht erkannt
  • DCSync kommt von DC-Accounts → von SIEM als Replikation klassifiziert
  • Pass-the-Hash: gültiges Ticket, kein Malware-IOC

Identity-Angriffe erzeugen oft keine klassischen Malware-Indikatoren!

Die wichtigsten Identity-Angriffstechniken

Golden Ticket (T1558.001)

  • Voraussetzung: KRBTGT-Hash (aus DCSync oder ntds.dit)
  • Angriff: Selbst signiertes Kerberos-TGT mit beliebigen PAC-Werten
  • Wirkung: Zugriff als beliebiger User inkl. Domain Admin, 10+ Jahre gültig!
  • Erkennungsmerkmale:
    • TGT-Lifetime > 10 Stunden (Standardwert!)
    • TGT-Attributwerte passen nicht zu User-Objekt in AD
    • KDC-Event 4769 ohne vorherigen 4768

Silver Ticket (T1558.002)

  • Voraussetzung: Service-Account-NTLM-Hash (z.B. MSSQL-Service)
  • Angriff: Gefälschtes Kerberos-Service-Ticket für diesen Service
  • Wirkung: Direkter Zugriff auf Service ohne KDC-Beteiligung!
  • Erkennungsmerkmale:
    • Service-Events ohne vorheriges KDC-4769
    • Ticket-Encryption-Type: RC4 (statt AES256)

DCSync (T1003.006)

  • Voraussetzung: Replication-Rechte (DA/DC oder gestohlen)
  • Angriff: DS-Replication-Get-Changes-All DRSUAPI-Calls
  • Wirkung: Alle Passwort-Hashes aus AD inklusive KRBTGT!
  • Erkennungsmerkmale:
    • Event 4662 mit DRSUAPI-Property-GUIDs
    • Von nicht-DC-Source (DC replizieren nur untereinander!)
    • Mimikatz-Signatur im Netzwerk (DRSUAPI-Calls vom Workstation)

Pass-the-Hash / Pass-the-Ticket (T1550)

  • Pass-the-Hash: NTLM-Hash statt Passwort für Authentifizierung
  • Pass-the-Ticket: Gestohlenes Kerberos-Ticket für laterale Bewegung
  • Erkennungsmerkmale:
    • Authentifizierung von Host ohne vorherige Credentials-Eingabe
    • NTLM-Authentifizierung trotz Kerberos-Policy
    • Event 4624 Logon-Type 9 (NewCredentials) + 4648 (Explicit Credentials)

Kerberoasting (T1558.003)

  • Angriff: SPN-Accounts (Service Principal Names) → TGS anfordern → TGS offline cracken (keine Passwortfehler im Log!)
  • Erkennungsmerkmale:
    • Viele TGS-Requests (4769) mit RC4-Encryption
    • Requests für SPNs zu ungewöhnlichen Zeiten
    • Account der nie vorher interagiert hat → viele SPNs anfragt

MFA-Bypass - Adversary-in-the-Middle (AiTM)

  • Angriff: Evilginx, Modlishka, Muraena als Proxy → Phishing-Seite proxied legitimen Login (inkl. MFA!) → Session-Cookie gestohlen (POST-MFA!)
  • Erkennungsmerkmale:
    • Impossible Travel: Login aus Deutschland + sofort USA
    • Unbekanntes Device/Browser-Fingerprint nach Login
    • Token-Replay aus anderer IP als Original-Login

ITDR-Lösungsansätze

Kategorie 1 - Active Directory-fokussiert

Microsoft Defender for Identity (MDI)

  • Früher: Azure ATP (Advanced Threat Protection)
  • Deployment: Sensor auf DCs (Domänencontrollern)
  • Analysiert AD DS-Traffic + Event Logs in Echtzeit
  • Erkennt: DCSync, Kerberoasting, Golden Ticket, Password Spray
  • ATT&CK Coverage: ~40+ Identity-spezifische Techniken
  • Integration: Microsoft Sentinel, Defender for Endpoint
  • Kosten: Inklusive in Microsoft 365 E5 / Defender for Endpoint Plan 2

CrowdStrike Falcon Identity

  • Agenten-basiert auf DCs + Workstations
  • Real-Time Prevention (nicht nur Detection!)
  • Verhindert Pass-the-Hash BEVOR die Authentifizierung erfolgt
  • Identity Behavior Graph: Baseline von normaler User-Aktivität

Vectra AI (Detect für Active Directory)

  • ML-basierte Anomalie-Erkennung im AD-Traffic
  • Keine Signaturen, nur Verhaltensbaseline
  • Eignet sich für hybride AD + Azure AD Umgebungen

Kategorie 2 - Identity Infrastructure Protection

Silverfort

  • Agentless MFA für jede Ressource (auch Legacy-Systeme!)
  • Schützt Service-Accounts (die kein normales MFA haben)
  • Risikobasierte Authentifizierungsregeln
  • Identity Firewall: blockiert seitliche Bewegung basierend auf Identity-Risk

Illusive Networks

  • Identity Risk Assessment: welche Service-Accounts haben zu viele Rechte?
  • Deception-Komponente: gefälschte Credentials in Endpunkten
  • Wenn gefälschter Admin-Account genutzt wird → sofortiger Alert!

Kategorie 3 - Integrierte Plattformen

Microsoft Entra ID Protection

  • Risikobasierter Conditional Access
  • User Risk + Sign-In Risk basierend auf ML-Scoring
  • Erzwingt MFA/Passwort-Reset bei riskantem Login

SailPoint IdentityIQ + ITDR

  • IGA (Identity Governance) + ITDR kombiniert
  • Zugriffszertifizierung + Anomalie-Erkennung
  • Least-Privilege-Durchsetzung kontinuierlich

Detection Use Cases priorisieren

KRITISCH (sofortige Alert → manuelle Investigation)

1. DCSync-Erkennung (KQL - Microsoft Sentinel / Defender):

SecurityEvent
| where EventID == 4662
| where Properties contains "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2"  // DS-Replication-Get-Changes-All
| where SubjectUserName !endswith "$"  // Nicht von DC-Computer-Account
| project TimeGenerated, SubjectUserName, IpAddress, Computer

2. Kerberoasting-Erkennung:

SecurityEvent
| where EventID == 4769
| where TicketEncryptionType == "0x17"  // RC4 statt AES!
| where TargetUserName !endswith "$"
| where ServiceName !startswith "krbtgt"
| summarize RequestCount = count() by bin(TimeGenerated, 1h), IpAddress
| where RequestCount > 10  // >10 TGS in 1h → Kerberoasting!

3. Golden Ticket (Long Lifetime):

SecurityEvent
| where EventID == 4769
| extend TicketOptions = extract(@"Ticket Options:\s+0x(\w+)", 1, EventData)
| where TicketOptions == "40810010"  // Forwarded + Renewable
| where TicketEndTime - TicketStartTime > 10h  // >10h Lifetime

4. Unmögliche Reise (Impossible Travel):

AADSignInEventsBeta  // Microsoft 365 Defender
| summarize Locations = make_set(Location),
            IPs = make_set(IPAddress) by UserPrincipalName, bin(TimeGenerated, 1h)
| where array_length(Locations) > 1
// Manuelle Prüfung: Deutschland + USA in 1 Stunde?

HOCH (Alert mit automatisierter Response)

5. Pass-the-Hash-Hinweise:

SecurityEvent
| where EventID == 4624
| where LogonType == 9  // NewCredentials (PtH-Indikator!)
| where AuthenticationPackageName == "NTLM"

6. Neue Admin-Gruppenmitgliedschaft:

SecurityEvent
| where EventID == 4728  // User zu Sicherheitsgruppe hinzugefügt
| where TargetUserName in ("Domain Admins", "Enterprise Admins", "Schema Admins")
// Sofort-Alert bei jeder Änderung dieser Gruppen!

Gegenmaßnahmen und Härtung

SOFORT

1. Tiered Administration Model

  • Tier 0: DCs, PKI, Federation (NUR Tier-0-Admins!)
  • Tier 1: Server-Administration
  • Tier 2: Workstation-Administration
  • Kein Tier-0-Admin meldet sich an Tier-1/2-Systemen an!
  • Authentication Policy Silos + Kerberos Armoring

2. KRBTGT-Passwort rotieren

  • Alle 6-12 Monate (oder nach Kompromittierung)
  • Zweimal rotieren! (Kerberos-Interoperabilität: altes Passwort gecacht)
  • Invalidiert alle Golden Tickets!

3. Kerberos AES-only erzwingen

Group Policy: Netzwerksicherheit → Kerberos-Verschlüsselungstypen → RC4 deaktivieren → Kerberoasting erschwert (AES-Hashes sind langsamer zu cracken!)

4. Protected Users Security Group

  • DAs, EAs in Protected Users aufnehmen!
  • Verhindert: NTLM-Auth, RC4-Kerberos, Credentials-Caching
  • Kerberos-Tickets max. 4 Stunden gültig

5. Service-Account-Härtung

  • Managed Service Accounts (MSA/gMSA) statt normaler Accounts
  • MSA: automatische Passwort-Rotation, kein interaktiver Login
  • LAPS für lokale Admin-Passwörter (jede Workstation individuell!)
  • Kerberoasting: SPNs auf gMSAs umziehen (sehr lange Passwörter = nicht crackbar)

MITTELFRISTIG

6. Privileged Identity Management (PIM)

  • Just-in-Time-Adminzugriff: Rechte nur wenn nötig, zeitlich begrenzt
  • Azure AD PIM / CyberArk / BeyondTrust
  • Jede DA-Aktivierung → Approval + Ticket-Nummer erforderlich

7. Conditional Access mit Identity Risk

  • User-Risk-Policy: High → Passwort-Reset erzwingen
  • Sign-In-Risk: Medium → MFA erzwingen
  • Compliant Device: nur Managed Devices mit Entra-Join

8. Credential Hygiene

  • Have I Been Pwned Integration: gehackte Passwörter sperren
  • LAPS v2: Windows LAPS (in Windows Server 2022/Windows 11 integriert)
  • Pass-the-Hash verhindern: Credential Guard (Hyper-V-basiert)
  • Windows Defender Credential Guard GPO aktivieren!

Identity-Angriffe sind der häufigste und gefährlichste Angriffsvektor in modernen Unternehmensnetzwerken. ITDR schließt die Lücke zwischen klassischen SIEM-Tools und den Realitäten moderner Identity-Angriffe. AWARE7 unterstützt bei der Implementierung und Bewertung von ITDR-Lösungen im Rahmen von Red-Team-Engagements und Security-Architecture-Reviews.

ITDR Assessment anfragen | Active Directory Penetrationstest

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung