Active Directory ist für viele Unternehmen so selbstverständlich geworden wie Strom aus der Steckdose. Benutzerkonten, Gruppen, Berechtigungen, Drucker, Datei- und Applikationszugriffe – alles läuft durch dieses Verzeichnis. Genau deshalb ist es für Angreifer so attraktiv: Wer das Active Directory kompromittiert, kontrolliert im Zweifel die gesamte Windows-Infrastruktur. In der Praxis sehen wir aber immer wieder: Das AD ist über Jahre gewachsen, viele Admins haben daran gearbeitet, alte Strukturen wurden nie konsequent aufgeräumt – und niemand hat einen wirklich vollständigen Überblick, wo Risiken lauern.
An diesem Punkt setzen wir als IT-Dienstleister an. Wir möchten die Sicherheit von Active Directory nicht „nach Gefühl“ beurteilen, sondern anhand klarer Kennzahlen und reproduzierbarer Prüfungen. Eines der wichtigsten Werkzeuge, das wir dafür einsetzen, ist PingCastle. In diesem Beitrag zeigen wir Ihnen, warum wir das Tool nutzen, wie ein typischer AD-Sicherheitscheck abläuft und welche konkreten Mehrwerte sich daraus für Ihr Unternehmen ergeben – von ganz praktischen Hardening-Maßnahmen bis hin zu Compliance-Themen wie ISO 27001 oder NIS-2.
1. Warum Active Directory heute Chefsache ist
Für viele Angriffe der letzten Jahre war Active Directory das entscheidende Einfallstor oder zumindest ein wichtiger Verstärker: Ein kompromittierter Admin-Account, ein falsch konfigurierter Domain Trust, ein verwaister Service-Account mit „Password never expires“ – und plötzlich lassen sich ganze Serverfarmen oder sogar komplette Unternehmensnetzwerke verschlüsseln oder ausspionieren.
Hinzu kommt, dass AD-Umgebungen häufig sehr alt sind. Vielleicht wurde die Domäne vor zehn oder fünfzehn Jahren eingeführt, damals mit Windows Server 2008 oder 2012. Im Laufe der Zeit kamen Standorte hinzu, es wurden neue Gruppenrichtlinien (GPOs) aufgebaut, alte Systeme aber nie endgültig abgelöst und viele „Schnellschüsse“ nie richtig aufgeräumt. In der Summe entsteht ein komplexes Gebilde, das zwar funktioniert, in dem aber auch zahlreiche Fehlkonfigurationen schlummern können, die Angreifern das Leben enorm erleichtern.
Genau das ist der Punkt: AD-Sicherheit ist kein reines Technikthema, sie entscheidet direkt über die Widerstandsfähigkeit des gesamten Unternehmens. Wer hier nicht regelmäßig prüft, ob die eigene Umgebung noch dem aktuellen Stand der Technik entspricht, geht ein erhebliches Risiko ein.
2. Was PingCastle ist – und was nicht
PingCastle ist ein spezialisiertes Analysewerkzeug, das Active Directory aus der Perspektive eines Sicherheitsprüfers betrachtet. Es arbeitet nicht wie ein klassischer Virenscanner oder ein reines Schwachstellen-Tool, sondern kombiniert verschiedene Prüfungen zu einem Risikomodell. Ziel ist es, innerhalb kurzer Zeit die wichtigsten Schwachstellen einer AD-Umgebung zu identifizieren und in einer verständlich aufbereiteten Bewertung zusammenzufassen.
Wichtig ist uns eine klare Einordnung: PingCastle ist kein „Hackertool“ und auch kein Allheilmittel. Es ist vielmehr ein Diagnoseinstrument, vergleichbar mit einem medizinischen Check-up. Es zeigt sehr deutlich, wo Probleme liegen, welche Bereiche gesund sind und wo dringend Handlungsbedarf besteht. Die eigentliche Heilung – also das Schließen der Lücken – passiert anschließend durch gezielte Maßnahmen im AD, in den Gruppenrichtlinien, auf Servern, in Prozessen und in der Organisation.
Uns gefällt an PingCastle besonders, dass das Werkzeug zwei Welten zusammenbringt. Zum einen liefert es sehr detaillierte technische Informationen für unsere Administratoren und Security-Spezialisten. Zum anderen bereitet es die Ergebnisse in Form von Scores, Diagrammen und priorisierten Maßnahmen so auf, dass sie sich hervorragend in Management-Berichte und Sicherheitskonzepte integrieren lassen. Dadurch entsteht ein gemeinsames Verständnis zwischen IT-Abteilung, Geschäftsführung und eventuell auch Auditoren.
3. Wie PingCastle ein Active Directory bewertet
Das Herzstück von PingCastle ist der sogenannte Healthcheck-Report. Für diesen „Gesundheitscheck“ sammelt das Tool eine Reihe von Informationen aus dem Active Directory, ohne produktive Dienste zu stören. Es liest zum Beispiel aus, welche Domain Controller vorhanden sind, welche Betriebssystemversionen sie einsetzen, wie Vertrauensstellungen aussehen, wie Gruppen und Berechtigungen strukturiert sind und ob bestimmte sicherheitsrelevante Funktionen korrekt konfiguriert sind.
Aus diesen Daten errechnet PingCastle einen Gesamtrisikoscore und verschiedene Teilbewertungen. Typischerweise werden unter anderem folgende Bereiche betrachtet:
Es wird geprüft, ob es veraltete Systeme gibt oder Domain Controller mit nicht mehr unterstützten Betriebssystemen laufen. Es wird analysiert, wie viele Benutzer und Gruppen tatsächlich administrative Rechte haben und ob es vielleicht Gruppen gibt, deren Mitgliederliste über die Jahre stark angewachsen ist. Es wird bewertet, ob Prinzipien wie „Least Privilege“ und Trennung von Rollen eingehalten werden oder ob es Konten gibt, die viel mehr dürfen, als eigentlich notwendig wäre. Es wird geschaut, ob bekannte Angriffspfade offen stehen, etwa durch unsichere Delegationseinstellungen, fehlende Signierung von Protokollen oder offene Angriffsflächen für bekannte Lücken. Und schließlich prüft PingCastle, wie „aufgeräumt“ das AD insgesamt ist: Gibt es alte, ungenutzte Objekte, nicht mehr vorhandene Server, Testdomänen, verwaiste Service-Accounts oder merkwürdige Gruppen, deren Zweck niemand mehr kennt?
Das Ergebnis sind konkrete Findings, die nicht nur benennen, was technisch auffällig ist, sondern auch erklären, warum das ein Risiko darstellt. Zu jedem Punkt gibt es eine Einschätzung der Kritikalität und Vorschläge, wie das Problem behoben oder zumindest entschärft werden kann.
4. Unser Vorgehen: Der AD-Security-Check mit PingCastle
Als anyWARE AG nutzen wir PingCastle nicht „einfach mal so“, sondern eingebettet in einen klar definierten Prozess. Unser Ziel ist es, aus einem reinen Tool-Lauf ein klärendes Sicherheitsprojekt zu machen, das am Ende des Tages zu echten Verbesserungen führt – nicht nur zu einem hübschen PDF.
Am Anfang steht immer ein Gespräch mit Ihnen. Wir klären die Rahmenbedingungen: Wie viele Domänen existieren in Ihrem Unternehmen, gibt es besondere Sicherheitszonen oder isolierte Netzbereiche, wie sieht Ihre aktuelle Admin-Organisation aus, welche Compliance-Anforderungen sind zu berücksichtigen? Außerdem legen wir fest, auf welchem System PingCastle ausgeführt werden soll und welche Berechtigungen notwendig sind. Wir arbeiten dabei nach dem Prinzip, so wenig Rechte wie möglich zu verwenden, aber genügend, um ein vollständiges Bild zu erhalten.
Im zweiten Schritt führen wir den eigentlichen Healthcheck durch. PingCastle wird in Ihrer Umgebung gestartet, liest die benötigten Daten aus und erzeugt die Reports. Für Sie läuft das weitgehend transparent: Es gibt keine Unterbrechungen von Diensten, keine Neustarts und keine Eingriffe in produktive Systeme. Falls sinnvoll, führen wir ergänzend noch weitere Tests durch, etwa spezielle Prüfungen für SYSVOL, DNS oder bekannte Schwachstellen, die in der Vergangenheit für viele Angriffe verwendet wurden.
Im dritten Schritt beginnt die eigentliche Arbeit: die Auswertung. Wir gehen den Report systematisch durch, ordnen die einzelnen Findings ein und priorisieren sie. Nicht jede Auffälligkeit ist automatisch kritisch; entscheidend ist der Kontext Ihrer Umgebung. Ein altes Testsystem, das komplett isoliert ist, hat eine andere Bedeutung als ein veralteter Domain Controller, der noch in der Produktionsdomäne hängt. Aus diesem Abgleich entsteht eine Liste von Maßnahmen, die nach Dringlichkeit und Aufwand sortiert ist.
Im vierten Schritt besprechen wir die Ergebnisse mit Ihnen. Uns ist wichtig, dass der Report nicht in der IT-Schublade verschwindet, sondern dass Geschäftsführung, IT-Leitung und, wo nötig, auch Fachbereiche verstehen, was im AD gut läuft und wo Handlungsbedarf besteht. Wir bereiten die Ergebnisse daher in zwei Sprachen auf: technisch detailliert für Administratoren und komprimiert, mit klaren Kernaussagen, für das Management.
Im fünften Schritt geht es um die Umsetzung. Je nach Vereinbarung unterstützen wir Sie bei der gezielten Bereinigung. Das kann ganz klassische Aufgaben umfassen, zum Beispiel die Härtung von Domain Controllern, die Anpassung von Gruppenrichtlinien, das Aufräumen von Gruppen, die Einführung von Konzepten wie LAPS, das Reduzieren von lokalen Administratorrechten, die Überarbeitung von Vertrauensstellungen oder die Einführung zusätzlicher Überwachungs- und Protokollierungsmechanismen. Wichtig ist uns, dass die Maßnahmen in Ihre bestehende IT-Landschaft und in Ihre Organisation passen. Es bringt wenig, technische Änderungen vorzunehmen, wenn Prozesse und Zuständigkeiten dahinter nicht mitziehen.
Schließlich empfehlen wir, PingCastle nicht nur einmalig, sondern regelmäßig einzusetzen – etwa jährlich oder nach größeren Änderungen im AD. So entsteht eine Art „AD-TÜV“, mit dem Sie nachvollziehen können, wie sich Ihre Sicherheitslage über die Zeit entwickelt. Gerade im Zusammenspiel mit Audits, Re-Zertifizierungen oder regulatorischen Prüfungen ist das ein großer Vorteil.
5. Typische Schwachstellen, die wir mit PingCastle immer wieder sehen
Die spannendste Frage ist oft: „Was findet ihr denn typischerweise bei solchen Checks?“ Natürlich sind alle Umgebungen anders, aber es gibt Muster, die sich leider sehr häufig wiederholen.
Sehr oft entdecken wir deutlich zu viele Konten mit weitreichenden Rechten. Über die Jahre wurde „zur Sicherheit“ jemand zur Domain-Admins-Gruppe hinzugefügt, später kam ein Dienstleister dazu, dann noch ein Notfallkonto für eine einmalige Migration – und niemand hat diese Berechtigungen wieder zurückgebaut. Dadurch entsteht ein deutlich größeres Risiko, dass ein kompromittiertes Benutzerkonto gleich das ganze AD in Gefahr bringt.
Ein weiterer Klassiker sind alte Service-Accounts mit festen Kennwörtern, die nie ablaufen und teilweise auf mehreren Systemen gleichzeitig verwendet werden. Aus Sicht des Komforts ist das verständlich, aus Sicherheitssicht aber problematisch: Wird ein solches Kennwort einmal bekannt, haben Angreifer oft einen sehr bequemen Einstieg in viele Systeme gleichzeitig.
Ebenfalls häufig stoßen wir auf verwaiste oder veraltete Server, die noch irgendwo als Domain Member eingetragen sind, tatsächlich aber schon lange nicht mehr existieren oder kein aktuelles Patch-Niveau haben. Solche „Leichen im Keller“ sind ideale Angriffspunkte, weil sie niemand mehr aktiv auf dem Radar hat.
Hinzu kommen Konfigurationen, die aus heutiger Sicht unsicher sind, aber aus früheren Windows-Versionen noch übernommen wurden. Dazu gehören zum Beispiel bestimmte Delegationsarten, fehlende Signierung von Protokollen oder alte Verschlüsselungsmodi, die inzwischen als unsicher gelten. Ein Angreifer kann solche Schwächen gezielt ausnutzen, um sich Schritt für Schritt höhere Berechtigungen zu verschaffen.
Das Entscheidende ist: Mit PingCastle lassen sich diese Themen nicht nur erkennen, sondern verständlich erklären. Wir können nachvollziehbar zeigen, wie aus einer harmlos wirkenden Einstellung ein reales Angriffsszenario entstehen kann – und was zu tun ist, um dieses Szenario zu entschärfen.
6. PingCastle als Baustein für Compliance, ISO 27001 und NIS-2
Viele unserer Kunden sind inzwischen nicht nur aus eigenem Antrieb mit IT-Sicherheit beschäftigt, sondern weil Anforderungen von außen kommen. Auditoren fragen nach regelmäßigen Sicherheitsüberprüfungen, größere Kunden verlangen Nachweise über ein funktionierendes Informationssicherheitsmanagementsystem, und Gesetze wie NIS-2 stellen klar, dass Identitäts- und Zugriffsmanagement professionell organisiert sein muss.
Hier passt PingCastle sehr gut in das Gesamtbild. Ein regelmäßiger AD-Security-Check lässt sich hervorragend in ein ISMS nach ISO 27001 integrieren. Er zeigt, dass Directory-Services nicht einfach „mitlaufen“, sondern strukturiert überwacht und verbessert werden. Aus den Reports lassen sich Maßnahmenpläne, Risiken und Verbesserungen dokumentieren, die wiederum direkt in Risiko-Register und Auditberichte einfließen.
Auch im Kontext von NIS-2 kann PingCastle helfen. Die Richtlinie und das deutsche Umsetzungsgesetz verlangen ein angemessenes Risikomanagement, klare Prozesse und ein klares Bewusstsein für die Bedeutung kritischer Systeme. Active Directory gehört in vielen Unternehmen genau zu diesen kritischen Systemen. Wer hier nachweisen kann, dass er regelmäßig unabhängige Prüfungen durchführt, Findings bewertet und abarbeitet, stärkt seine Position gegenüber Aufsicht, Kunden und Versicherern.
Wichtig ist uns dabei: Das Tool ist nur ein Baustein. Entscheidend ist, dass Ergebnisse in Prozesse und Verantwortlichkeiten eingebettet werden. Nur wenn klar ist, wer für welche Maßnahmen zuständig ist, bis wann sie umgesetzt werden und wie der Erfolg kontrolliert wird, entsteht echte Sicherheit.
7. Was Sie konkret von einem AD-Security-Check mit uns erwarten können
Als anyWARE AG mit Sitz in Mainz-Weisenau betreuen wir seit vielen Jahren mittelständische Unternehmen in Mainz und der Rhein-Main-Region als IT-Full-Service-Dienstleister. Active Directory-Umgebungen gehören für uns zum täglichen Geschäft – von der Planung über den Betrieb bis hin zur Härtung und Modernisierung. Unsere Partnerschaft mit HPE im Bereich Server und Storage ergänzt das ideal, weil wir die Infrastruktur kennen, auf der Ihr AD in der Regel läuft.
Wenn Sie sich für einen AD-Security-Check mit PingCastle entscheiden, können Sie in der Regel mit folgendem Ablauf rechnen: Es gibt eine gemeinsame Auftaktbesprechung, in der wir Ihre Umgebung und Ihre Ziele verstehen. Wir führen den Healthcheck in Ihrer Umgebung durch und bereiten die Ergebnisse professionell auf. Sie erhalten einen technischen Detailbericht und eine Management-Zusammenfassung mit klaren Prioritäten. Auf Wunsch begleiten wir Sie bei der Umsetzung der Maßnahmen, sei es punktuell in einzelnen Projekten oder als langfristiger Partner.
Unser Ziel ist dabei immer, dass Sie nach dem Projekt genau wissen, wo Sie stehen. Es geht nicht darum, Ihnen Angst zu machen, sondern um Transparenz und um einen realistischen Plan, wie Sie Ihre AD-Sicherheit Schritt für Schritt verbessern können.
8. Fazit: Besser einmal genau hinschauen als irgendwann böse überrascht werden
Active Directory ist das Herzstück vieler IT-Landschaften – und wie bei einem Herz checkt man lieber regelmäßig, ob alles in Ordnung ist, statt auf den ersten großen Infarkt zu warten. Mit PingCastle haben wir ein Werkzeug, das uns dabei hilft, schnell und strukturiert einen Blick in die Tiefe Ihrer AD-Umgebung zu werfen. In Kombination mit unserer Erfahrung als IT-Dienstleister entsteht daraus ein Sicherheitscheck, der Ihnen klare Erkenntnisse und konkrete Maßnahmen liefert.
Wenn Sie wissen möchten, wie „gesund“ Ihr Active Directory wirklich ist, ob sich über die Jahre riskante Strukturen eingeschlichen haben und welche Schritte Sie gehen können, um Ihre Umgebung zukunftssicher zu machen, sprechen Sie uns gerne an. Wir zeigen Ihnen in einem unverbindlichen Gespräch, wie ein AD-Security-Check mit PingCastle in Ihrem Unternehmen aussehen kann – und wie wir gemeinsam dafür sorgen, dass Ihr Verzeichnisdienst ein starker Schutzfaktor wird statt ein unbemerktes Risiko.