Offensive Security
Active Directory Red Team: Kerberoasting, Golden Ticket und DCSync im Pentest
Vincent Heinen12 Min.
Netzwerk & Infrastruktur Security
Netzwerk-Penetrationstest.
Angreifer simulieren. Schwachstellen eliminieren.
Active Directory. Lateral Movement. Privilege Escalation. Firewall-Bypass. Wir testen Ihre Netzwerk-Infrastruktur von innen und außen — bevor Angreifer es tun.
OSCP-zertifiziert
ISO 27001
Pentest Box
100% festangestellt
ACTIVE ATTACK PATH — DOMAIN COMPROMISE
PTES · BSI-Leitfaden · OSSTMM
DOMAIN ADMINDiese Unternehmen vertrauen uns beim Schutz ihrer Netzwerk-Infrastruktur
- Pentests durchgeführt
-
- Jahre Erfahrung
-
- kritische Findings pro Test
-
- festangestellte Tester
-
Zwei Perspektiven
Externer oder interner Netzwerk-Pentest?
Beide Tests simulieren unterschiedliche Angreifer-Perspektiven und liefern komplementäre Erkenntnisse. Für ein vollständiges Lagebild empfehlen wir die Kombination.
Externer Pentest
Angreifer aus dem Internet
Simuliert einen Angreifer ohne jeglichen Vorabzugang zu Ihrer Infrastruktur. Ausgangspunkt ist das öffentliche Internet — genau wie bei einem realen Angriff.
- Exponierte Dienste: Web-Server, Mail-Server, FTP, RDP, SSH
- VPN-Gateways auf bekannte CVEs und Fehlkonfigurationen
- DNS-Konfiguration: Zone Transfers, Subdomain-Enumeration, DNSSEC
- Firewall-Regeln und Port-Filtering auf Bypässe prüfen
- Mail-Sicherheit: SPF, DKIM, DMARC, Open Relay, SMTP-Enumeration
- Port-Scanning, Service-Enumeration und Vulnerability Assessment
Laufzeit: 5–10 Werktage ab 6.000 EUR
Interner Pentest
Insider oder kompromittierter PC
Simuliert einen Angreifer mit internem Netzwerkzugang — sei es ein böswilliger Mitarbeiter, ein kompromittiertes Gerät nach Phishing oder ein Angreifer nach erstem Einbruch.
- Active Directory: vollständige Analyse aller Angriffspfade
- Netzwerksegmentierung: VLAN-Hopping, Broadcast-Angriffe
- Lateral Movement: Pivoting durch das Netzwerk nach initialem Zugang
- Privilege Escalation: lokale und domänenweite Rechteerweiterung
- NTLM Relay, Kerberoasting, Pass-the-Hash, DCSync
- Durchführbar remote via AWARE7 Pentest Box — keine Anreise nötig
Laufzeit: 8–15 Werktage ab 8.000 EUR
Unsere Empfehlung: Beide Tests kombinieren für ein vollständiges Lagebild. Externer Perimeter und internes Netzwerk sind zwei Seiten derselben Angriffsfläche — getrennt betrachtet entstehen blinde Flecken.
Active Directory Pentest
Active Directory: Der Schlüssel zum Königreich
In 9 von 10 internen Pentests führt der Weg zur vollständigen Domänenkompromittierung über Active Directory-Fehlkonfigurationen. Wir prüfen systematisch alle bekannten Angriffspfade — von Kerberoasting bis DCSync.
KRB
Kerberoasting
Service Accounts mit SPNs ermöglichen das Anfordern von Kerberos-Tickets ohne Adminrechte. Schwache Passwörter lassen sich offline cracken — oft in Sekunden.
ASR
AS-REP Roasting
Accounts ohne Kerberos Pre-Authentication liefern AS-REP-Hashes ohne gültigen Credential. Hashcat und John the Ripper knacken schwache Passwörter offline.
PTH
Pass-the-Hash / Ticket
Gestohlene NTLM-Hashes oder Kerberos-Tickets ermöglichen laterale Bewegung ohne Klartextpasswort. Impacket und Mimikatz sind die Standard-Werkzeuge.
NTR
NTLM Relay
LLMNR/NBT-NS-Poisoning mit Responder fängt Authentifizierungsversuche ab. Ntlmrelayx leitet diese weiter — oft bis zum Domain Controller.
DCS
DCSync
Mit ausreichenden Replikationsrechten können alle Passwort-Hashes der Domäne extrahiert werden — ohne lokalen Zugang zum Domain Controller.
GT
Golden / Silver Ticket
Mit dem KRBTGT-Hash lassen sich beliebige Kerberos-Tickets fälschen (Golden Ticket) — unbegrenzter, persistenter Domänenzugang ohne Passwortkenntnis.
GPO
GPO & ACL-Missbrauch
Falsch konfigurierte Group Policy Objects und ACL-Einträge ermöglichen Rechteeskalation. BloodHound visualisiert alle Angriffspfade automatisch.
ADCS
ADCS — Zertifikatsdienste
Active Directory Certificate Services (ESC1–ESC8): Fehlkonfigurierte Zertifikat-Templates ermöglichen Privilege Escalation und persistenten Domänenzugang.
BloodHound-gestützte Angriffspfad-Analyse
Wir setzen BloodHound ein, um alle AD-Objekte, Berechtigungen und Delegierungen zu erfassen und in einem gerichteten Graphen zu visualisieren. So werden Angriffspfade sichtbar, die bei manueller Analyse verborgen bleiben — inklusive verketteter Privilegieneskalation über mehrere Hops.
Prüfbereiche
Vollständige Angriffsfläche im Blick
Von der Außengrenze bis zum Domain Controller — wir decken alle Angriffsvektoren in Ihrer Netzwerk-Infrastruktur ab.
Netzwerkprotokolle & Dienste
SMBv1/v2, RPC, LDAP, Kerberos, NTP, SNMP, IPMI/BMC. Veraltete Protokolle, Default Credentials und unsichere Service-Konfigurationen werden identifiziert und verifiziert.
Netzwerksegmentierung
VLAN-Hopping, 802.1Q Double Tagging, ARP-Spoofing, DHCP-Starvation und -Spoofing, fehlkonfigurierte Trunking-Ports. Wir prüfen, ob Segmente tatsächlich isoliert sind.
Wireless / WLAN
WPA2/WPA3-Schwachstellen, Rogue Access Points, Evil-Twin-Angriffe, WLAN-Gastnetz-Isolation, Client-Isolation, RADIUS-Konfiguration und captive Portal-Bypässe.
VPN & Firewall
VPN-Gateways (IPSec, SSL/TLS, WireGuard) auf bekannte CVEs, schwache Cipher Suites und Fehlkonfigurationen. Firewall-Regeln auf übermäßige Freigaben und Bypass-Möglichkeiten.
IDS/IPS-Evasion
Prüfung ob Angriffe durch eingesetzte Intrusion Detection- und Prevention-Systeme erkannt werden. Fragmentierung, Obfuskation und Low-and-Slow-Techniken gegen Signatur-basierte Systeme.
Lateral Movement
Simulation der Netzwerkausbreitung nach initialem Zugang: Pivoting über kompromittierte Systeme, Command-and-Control-Pfade, Persistenzmechanismen und Exfiltrations-Szenarien.
AWARE7 Pentest Box
Interner Pentest — ohne Anreise.
Die AWARE7 Pentest Box macht aufwendige Vor-Ort-Termine überflüssig: Das Hardware-Gerät wird einmalig in Ihr Netzwerk eingebunden. Danach führen unsere OSCP-zertifizierten Experten den vollständigen internen Penetrationstest vollständig remote durch — in gleicher Qualität wie beim klassischen Vor-Ort-Einsatz.
Gerät einmalig per Post oder kurzer persönlicher Einbindung ins Netzwerk bringen
Verschlüsselter Mobilfunk-Rückkanal: kein VPN, keine Firewall-Öffnung Ihrerseits erforderlich
Nach Abschluss: Gerät zurücksenden — kein dauerhafter Remote-Zugang bleibt bestehen
Keine Reisekosten
Kein Tagessatz für Anreise und Übernachtung — Einsparung typischerweise 500–1.500 EUR
Hochgradig abgesichert
Ende-zu-Ende-Verschlüsselung, kein dauerhafter Zugang, hardware-gesicherter Mobilfunk-Kanal
Gleiche Qualität
Identische Testtiefe wie beim klassischen Vor-Ort-Einsatz — dieselben Experten, dieselben Werkzeuge
Typische Findings
Was wir regelmäßig finden
Echte Finding-Typen aus unseren Netzwerk-Pentests — anonymisiert, aber repräsentativ für die Praxis.
Critical CVSS 9.8
Active Directory Domain Admin via Kerberoasting
Schwache Passwörter auf Service Accounts ermöglichen Offline-Brute-Force entwendeter Kerberos-Tickets. Vollständige Active Directory-Kompromittierung in unter 4 Stunden nachgewiesen — ausgehend von einem Standard-Domain-User-Account.
Kerberoasting Service Account Privilege Escalation
High CVSS 8.8
Netzwerk NTLM Relay zum Domain Controller
LLMNR/NBT-NS-Poisoning mit Responder fängt Authentifizierungsversuche ab. Ntlmrelayx leitet die Hashes direkt an den Domain Controller weiter — Ergebnis: Domain-Admin-Zugang ohne ein einziges Passwort zu kennen.
NTLM Relay LLMNR Poisoning Domain Controller
High CVSS 7.5
Segmentierung Fehlende Segmentierung ermöglicht Lateral Movement
Ungehinderter Zugang vom Entwicklungs- ins Produktionsnetz und vom Gastnetz in interne Server-Segmente. Ein kompromittierter Entwicklerrechner ermöglicht vollständigen Zugang zur Produktionsinfrastruktur.
Lateral Movement VLAN Firewall-Regeln
Medium CVSS 5.3
Protokoll Veraltete SMBv1-Signierung aktiv
SMBv1 ohne Message Signing auf mehreren Servern aktiv — Voraussetzung für EternalBlue-Exploits (MS17-010) und NTLM-Relay-Angriffe. Das Protokoll gilt seit 2017 als unsicher und sollte deaktiviert werden.
SMBv1 EternalBlue MS17-010
Preise
Transparente Festpreise
Kein Stundensatz, keine Nachforderungen. Verbindliches Festpreisangebot innerhalb von 24 Stunden.
Externer Pentest
ab 6.000 EUR
5–10 Werktage
- Perimeter-Analyse (alle öff. IPs)
- VPN / Firewall / DNS / Mail
- CVSS-Bericht + Management Summary
- Kostenloser Nachtest inklusive
Interner Pentest
ab 8.000 EUR
8–15 Werktage
- Active Directory Analyse
- Lateral Movement / Priv. Escalation
- Pentest Box optional (kein Aufpreis)
- Kostenloser Nachtest inklusive
Empfohlen
Kombi — intern & extern
ab 12.000 EUR
12–20 Werktage
- Externer + interner Pentest
- Vollständiges AD-Assessment
- Konsolidierter Bericht + Roadmap
- NIS-2 / ISO 27001 Compliance-Nachweis
Individuell
Auf Anfrage
Scope nach Bedarf
- Großes oder komplexes Netzwerk
- Multi-Standort / Konzernstruktur
- Red Team / Adversary Simulation
- Persönliches Erstgespräch kostenlos
Security Retainer — planen statt reagieren
Quartalsweise oder halbjährliche Netzwerk-Pentests zu reduzierten Konditionen, feste Priorität im Projektplan, bekanntes Team. Ideal für NIS-2-betroffene Unternehmen und KRITIS-Betreiber.
Compliance
Regulatorische Anforderungen erfüllen
Netzwerk-Penetrationstests sind in mehreren regulatorischen Frameworks explizit gefordert oder als anerkannte Prüfmaßnahme anerkannt.
NIS2
NIS-2-Richtlinie
§ 30 BSIG-E verpflichtet wichtige und besonders wichtige Einrichtungen zu aktiven Sicherheitsmaßnahmen. Penetrationsanalysen sind in § 40 Abs. 5 Nr. 3 BSIG-E explizit genannt.
IT-GS
BSI IT-Grundschutz
Das BSI IT-Grundschutz-Kompendium empfiehlt regelmäßige Penetrationstests als Teil der Sicherheitsüberprüfung (OPS.1.1.6). KRITIS-Betreiber sind nach § 8a BSIG zur Prüfung verpflichtet.
TISAX
TISAX
Der ENX/VDA-Standard für die Automobilindustrie (TISAX-Assessment Level 2+) verlangt regelmäßige Sicherheitsüberprüfungen der IT-Infrastruktur als Lieferantenanforderung.
ISO27k
ISO 27001:2022
Kontrolle A.8.8 (Schwachstellenmanagement) fordert das aktive Identifizieren und Behandeln technischer Schwachstellen. Netzwerk-Pentests sind das anerkannte Mittel zum Nachweis.
Warum AWARE7 für Ihren Netzwerk-Pentest
Was uns von anderen Anbietern unterscheidet
Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.
Forschung und Lehre als Fundament
Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.
Digitale Souveränität - keine Kompromisse
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.
Festpreis in 24h - planbare Projektzeiträume
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.
Ihr fester Ansprechpartner - jederzeit erreichbar
Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.
Für wen sind wir der richtige Partner?
Mittelstand mit 50–2.000 MA
Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.
IT-Verantwortliche & CISOs
Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.
Regulierte Branchen
KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.
Mitwirkung an Industriestandards
LLM
OWASP · 2023
OWASP Top 10 for Large Language Models
Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.
BSI
BSI · Allianz für Cyber-Sicherheit
Management von Cyber-Risiken
Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).
Referenzen aus der Praxis
Pentesting & Schwachstellenscans
Sill Optics GmbH
Feststellung der Angriffsfläche bei Sill Optics GmbH
Pentesting & SchwachstellenscansXignSys GmbH
Whitebox-Penetrationstests eines Authentifizierungsdienstes als Mobile- und Web-Anwendung
Pentesting & SchwachstellenscansTWINSOFT GmbH & Co. KG
Externer Penetrationstest einer iOS-Applikation
So starten wir
In drei Schritten zum Netzwerk-Pentest
Von der ersten Anfrage bis zum gestarteten Pentest vergehen typischerweise 5–10 Werktage.
01
Erstgespräch
Kostenloses 30-minütiges Gespräch mit einem unserer Sicherheitsexperten. Wir klären Scope, Ziele und offene Fragen — unverbindlich und ohne Verkaufsdruck.
02
Festpreisangebot
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot mit klar definiertem Scope, Zeitplan und Leistungsumfang. Kein Stundensatz, keine Nachforderungen.
03
Pentest startet
Nach Auftragserteilung koordinieren wir alle Details mit Ihrem IT-Team. Kick-off-Meeting, Rules of Engagement, Notfallkontakte — dann beginnt der Pentest zum vereinbarten Termin.
FAQ
Häufige Fragen zum Netzwerk-Pentest
Alles, was Sie vor dem Erstgespräch über den Netzwerk-Penetrationstest wissen sollten.
Was ist der Unterschied zwischen einem externen und einem internen Netzwerk-Pentest?
Ein externer Netzwerk-Pentest simuliert einen Angreifer aus dem Internet ohne jeglichen Vorabzugang. Getestet werden öffentlich erreichbare Dienste, VPN-Gateways, Mail-Server, DNS-Konfiguration und Firewall-Regeln. Ein interner Pentest hingegen simuliert einen kompromittierten Mitarbeiter oder Insider, der bereits Zugang zum internen Netz hat. Hier stehen Active Directory, Netzwerksegmentierung, Lateral Movement und Privilege Escalation im Fokus. Unsere Empfehlung: beide Tests kombinieren, da die meisten realen Angriffe beide Phasen durchlaufen.
Wie lange dauert ein Netzwerk-Penetrationstest?
Ein fokussierter externer Netzwerk-Pentest dauert typischerweise 5–10 Werktage. Ein interner Pentest mit Active Directory-Analyse benötigt je nach Komplexität 8–15 Werktage. Das Komplett-Paket (extern + intern + AD) ist auf 12–20 Werktage ausgelegt. Im kostenlosen Erstgespräch klären wir den genauen Umfang und Sie erhalten innerhalb von 24 Stunden ein verbindliches Festpreisangebot.
Was ist die AWARE7 Pentest Box und wie funktioniert sie?
Die AWARE7 Pentest Box ist ein physisches Hardware-Gerät, das wir Ihnen einmalig per Post zusenden oder kurz persönlich einbinden. Das Gerät verbindet sich ausschließlich über einen verschlüsselten Mobilfunk-Rückkanal zu unserem Sicherheitsteam — ohne VPN-Zugang, ohne Firewall-Öffnung und ohne dauerhaften Remote-Zugang Ihrerseits. Danach führen unsere OSCP-zertifizierten Experten den internen Penetrationstest vollständig remote durch. Das Ergebnis ist qualitativ gleichwertig mit einem klassischen Vor-Ort-Einsatz — ohne Reise- und Übernachtungskosten.
Was wird beim Active Directory-Pentest genau getestet?
Ein Active Directory-Assessment prüft systematisch alle bekannten AD-Angriffspfade: Kerberoasting (Offline-Crack schwacher Service-Account-Passwörter), AS-REP Roasting (Accounts ohne Kerberos-Pre-Auth), Pass-the-Hash und Pass-the-Ticket (laterale Bewegung mit gestohlenen Credentials), DCSync (Extraktion aller Passwort-Hashes), BloodHound-Analyse aller Delegierungspfade, GPO-Fehlkonfigurationen sowie Angriffe auf Certificate Services (ADCS, ESC1–ESC8). Ziel ist es, jeden möglichen Weg zur Domain-Admin-Kompromittierung aufzudecken.
Welche Tools setzt AWARE7 beim Netzwerk-Pentest ein?
Wir setzen auf einen kombinierten Werkzeugkasten: Nmap und Masscan für Port-Scanning und Service-Enumeration, Metasploit Framework für Exploitation, BloodHound und SharpHound für Active Directory-Analyse, Impacket für NTLM-Relay und Kerberos-Angriffe, Responder für LLMNR/NBT-NS-Poisoning, CrackMapExec für laterale Bewegung sowie Burp Suite für Services mit Web-Oberfläche. Entscheidend ist jedoch das manuelle Urteil unserer Experten — Tools liefern Daten, Menschen finden Angriffspfade.
Können meine Systeme durch den Pentest beschädigt werden?
Nein. Wir arbeiten ausschließlich nach anerkannten Standards (PTES, BSI-Empfehlungen) und stimmen alle Tests vorab schriftlich ab. Destruktive Tests wie Denial-of-Service führen wir grundsätzlich nur in isolierten Testumgebungen durch. Vor Tests in der produktiven Umgebung empfehlen wir aktuelle Backups — dies halten wir vertraglich fest. Alle Tester sind ISO 27001 Lead Auditoren und handeln innerhalb vertraglich fixierter Rules of Engagement.
Wie bereite ich mein Unternehmen auf den Pentest vor?
Die Vorbereitung ist minimal: Sie benennen einen technischen Ansprechpartner, der im Notfall erreichbar ist. Für interne Tests bitten wir um einen Netzwerk-Anschluss und ein Standard-Domain-User-Konto (kein Admin). Für externe Tests genügt eine schriftliche Testgenehmigung. Wir erledigen den Rest: Scope-Definition, Rules of Engagement und die Koordination mit Ihrem IT-Team. Typischer Vorlauf ab Vertragsunterzeichnung: 5–10 Werktage.
Was enthält der Abschlussbericht?
Unser Netzwerk-Pentest-Bericht enthält: ein Management Summary (2–3 Seiten) für Geschäftsführung und Aufsichtsgremien mit Risikobewertung und Investitions-Empfehlung, eine vollständige Finding-Liste mit CVSS-Score (v3.1), technischen Details, Screenshots, reproduzierbaren Proof-of-Concepts und konkreten Handlungsempfehlungen, eine Angriffspfad-Dokumentation die zeigt wie einzelne Findings zu einer vollständigen Kompromittierung verkettet werden können, sowie eine priorisierte Remediation-Roadmap. Auf Anfrage erhalten Sie vorab einen anonymisierten Muster-Bericht.
Wie oft sollte ein Netzwerk-Pentest wiederholt werden?
Mindestens einmal jährlich, bei kritischen Infrastrukturen oder nach größeren Netzwerk-Umbauten häufiger. Nach Fusionen, Akquisitionen oder größeren IT-Projekten empfehlen wir einen zeitnahen Pentest der neuen Umgebung. NIS-2-betroffene Unternehmen und KRITIS-Betreiber sollten mindestens halbjährlich testen. Viele unserer Kunden nutzen unser Retainer-Modell: planbare, regelmäßige Tests zu reduzierten Konditionen mit fester Priorität im Projektplan.
Ist ein Netzwerk-Pentest für NIS-2, KRITIS oder ISO 27001 relevant?
Ja — für alle drei. Die NIS-2-Richtlinie (§ 30 BSIG-E) verpflichtet besonders wichtige und wichtige Einrichtungen zu technischen Sicherheitsmaßnahmen; Penetrationsanalysen sind in § 40 Abs. 5 Nr. 3 BSIG-E explizit genannt. Das BSI empfiehlt für KRITIS-Betreiber regelmäßige Netzwerk-Pentests als Teil der IT-Sicherheitspflichten nach § 8a BSIG. ISO 27001:2022 fordert in Kontrolle A.8.8 das aktive Management technischer Schwachstellen. Unsere Berichte sind als Compliance-Nachweis für Auditoren, BSI-Prüfer und Zertifizierungsaudits konzipiert.
Festpreisangebot in 24 Stunden
Schildern Sie uns kurz Ihre Infrastruktur — wir erstellen ein verbindliches Angebot für Ihren Netzwerk-Penetrationstest. Kein Stundensatz, keine versteckten Kosten.
Kostenlos · 30 Minuten · Unverbindlich
Zertifizierungen & Standards
OSCP Offensive Security
ISO 27001 Lead Auditor
PTES Pentest Standard
BSI IT-Grundschutz
Pentest Box Remote-Lösung
T.I.S.P. Zertifizierter Schulungsanbieter
