Unsichere Kennwörter oder wiederverwendete Passwörter stellen eine Gefahr für Active Directory da. Cyberkriminelle können sich dadurch unentdeckt im Netzwerk bewegen und auch größeren Schaden anrichten. In diesem Video-Tipp zeigen wir, welche Optionen Sie für optimale Kennwortsicherheit nutzen sollten.
Wenn Cyberkriminelle Zugriff auf Benutzerkennungen und Passwörter eines Unternehmensnetzwerks verschaffen, können sie sich meist ungestört im Netzwerk bewegen und Schaden anrichten.
(Bild: thodonal - stock.adobe.com)
Schwache Kennwörter können von Cyberkriminellen leicht übernommen werden. Nutzen Anwender parallel noch Kennwörter, die als geleaked bekannt sind, also Hacker bereits kennen, besteht die Gefahr, dass Angreifer auch über VPN oder auf anderen Wegen im Netzwerk schaden anrichten können.
Damit können sich die Kriminellen ungestört im Netzwerk bewegen und Schaden anrichten. Es ist daher sehr wichtig dafür zu sorgen, dass die Kennwörter möglichst sicher sind. Wir zeigen in diesem Beitrag was bezüglich von Kennwörtern wichtig ist.
Wie man unsichere Kennwörter oder wiederverwendete Passwörter in Active Directory verhindert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
Kennwörter und Richtlinien mit der PowerShell und dem Windows Admin Center verwalten
Wir haben darüber hinaus im Beitrag „Kennwortrichtlinien in Active Directory mit der PowerShell verwalten“ gezeigt, wie auch die PowerShell mit eingebunden werden kann, um Kennwörter in Active Directory abzusichern. So kann zum Beispiel mit dem Cmdlet „Get-ADDefaultDomainPasswordPolicy joos.int“ überprüft werden, welche Einstellungen für die Kennwortrichtlinie gesetzt sind.
Parallel dazu ist es möglich Kennwörter für Benutzer im Windows Admin Center zurückzusetzen. Dadurch können Admins über den Webbrowser die Kennwortänderungen von Benutzern anzustoßen und auch Kennworteinstellungen zu überwachen. Damit das funktioniert, muss die Erweiterung „Active Directory“ im Windows Admin Center zur Verfügung stehen, wenn die Verbindung zu einem Domänencontroller aufgebaut wird.
Überblick im Netzwerk schaffen mit Specops Password Auditor
Wenn sich Admins mit dem Thema Sicherheit in Active Directory auseinandersetzen und die Kennwörter von Admins und Benutzern so sicher wie nur möglich gestalten wollen, besteht der erste sinnvolle Schritt darin, sich einen Überblick zu verschaffen. Kostenlose Tools, wie Specops Password Auditor scannen das Netzwerk auf unsichere Kennwörter. Dabei erkennt das Tool nicht nur unsichere und schon lange nicht mehr geänderte Kennwörter, sondern es verfügt auch über eine Datenbank von Kennwörtern, die bereits in kriminellen Kreisen im Internet als bekannt/geleaked kursieren.
Nach dem Start scannt das Tool die Benutzerkonten und zeigt an, wann Benutzer ihr Kennwort beim letzten Mal geändert haben und auch wann sich der Benutzer das letzte Mal angemeldet hat. Im Tool lassen sich außerdem identische Kennwörter identifizieren und auch „Breached Password“, also die im Internet bekannten Kennwörter. Dazu kommt ein Bericht, der für Vorgesetzte offenlegt, warum das Netzwerk gefährdet ist. Mit dem Tool lässt sich daher sehr schnell ein Überblick gewinnen, wo Maßnahmen notwendig sind.
Kennwortrichtlinien in Active Directory nutzen
Über neue oder bereits vorhandene Gruppenrichtlinien in Active Directory lassen sich die wichtigsten Einstellungen vorgeben. Die Einstellungen für Kennwörter sind über „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien“ zu finden. Hier sollten die verschiedenen, verfügbaren Richtlinien maximal sicher gestaltet sein.
Zunächst sollte sichergestellt sein, dass „Kennwort muss Komplexitätsvoraussetzungen entsprechen“ gesetzt sein. Das stellt sicher, dass die Benutzer drei der fünf Kriterien beim Setzen ihrer Kennwörter setzen müssen:
1. Großbuchstaben (A bis Z)
2. Kleingeschriebene Buchstaben (a bis z)
3. Ziffern (0 bis 9)
4. Sonderzeichen (zum Beispiel !, &, /, %)
5. Unicodezeichen (€, @, ®)
Außerdem darf in diesem Fall das Kennwort keinen Teil des Benutzer- oder Anzeigenamens enthalten.
Parallel dazu sollten Admins sicherstellen, dass die Kennwortchronik auf einem hohen Wert von 24 stehen, damit Benutzer nicht ständig die gleichen Kennwörter nutzen. Der Wert bei „Maximales Kennwortalter“ legt wiederum fest, wann Benutzer spätestens ihr Kennwort ändern sollten. Die Option „Minimale Kennwortlänge“ steuert wiederum wie lange die Benutzerkennwörter sein sollten. Hier sollte der absolute Mindestwert 8 Zeichen sein, besser 16 Zeichen. Durch das Setzen dieser Optionen sind die Kennwörter zunächst zuverlässig abgesichert.
Regelmäßiger Passwortwechsel bring nicht mehr Sicherheit!
Studien zeigen immer wieder, dass häufiges Wechseln der Passwörter nicht unbedingt zu einem Sicherheitsgewinn führt. Anwender versuchen beim Wechsel eines Kennworts ähnliche Passwortmuster zu verwenden, um sich das neue Passwort besser merken zu können. Ist also einem Cyberkriminellen ein Passwort bereits bekannt, ist ein Wechsel auf ein ähnliches Passwort kein Sicherheitsgewinn. Besser als regelmäßige Passwortänderungen sind Fallbezogene Änderungen, wenn ein Passwort als kompromittiert bekannt ist oder es bewusst weitergegeben wurde. In einem solchen Fall ist es dann aber wichtig, keine Abwandlung eines alten Passworts zu verwenden, sondern ein komplett neues Kennwort zu vergeben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Erweiterte Richtlinieneinstellungen setzen
Nachdem die grundlegenden Sicherheitseinstellungen gesetzt sind, besteht der nächste Schritt darin mit zusätzlichen Richtlinien in diesem Bereich für mehr Sicherheit zu sorgen. Weitere Einstellungen dazu sind bei „Die wichtigsten Einstellungen für mehr Sicherheit von Kennwörtern sind im Bereich Computerkonfiguration\<Richtlinien>\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen“ zu finden.
Zunächst sollte an dieser Stelle die Option „Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern“ gesetzt werden. Hier erhalten die Anwender mehrere Tage vor der notwendigen Änderung des Kennwortes die Information, wann die Änderung erfolgen muss. Dadurch ändern viele Anwender ihr Kennwort vor dem notwendigen Ablauf, ohne dazu gezwungen zu sein.
Kennwörter mit reversibler Verschlüsselung speichern
Parallel zu den Möglichkeiten komplexe Kennwörter zu nutzen, steht auch die Einstellung „Kennwörter mit reversibler Verschlüsselung speichern“ über den Pfad „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien“ zur Verfügung. Generell wird diese Richtlinie vor allem für dem Einsatz zur Authentifizierung für Anwendungen von Drittanbietern genutzt, oder wenn CHAP und die Digest-Authentifizierung bei IIS zum Einsatz kommen. Vor allem dann, wenn Kennwörter in Klartext übermittelt werden, oder die Gefahr besteht, dass in IIS oder bei der jeweiligen Anwendung das passiert, ist die reversible Verschlüsselung sinnvoll, um das Kennwort zu schützen. Die Aktivierung sollte nur dann erfolgen, wenn die Domänencontroller maximal abgesichert sind und Anwendungen im Netzwerk den Einsatz rechtfertigen. Generell sollte diese Funktion in einer eigenen Richtlinie nur für die Anwender granular gesetzt werden, die mit den entsprechenden Anwendungen auch arbeiten.
Wie man unsichere Kennwörter oder wiederverwendete Passwörter in Active Directory verhindert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109e520d85957b9dd127a5725c28af41/0129123492v2.jpeg "Seit Mitte Januar 2026 konnte eine neue Welle automatisierter Angriffe auf Fortinet FortiGate-Geräte beobachtet werden. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/66/51660e057f62d85982b75b6404a6bbac/0129159958v1.jpeg "Mit Detail über die sechs Sicherheitslücken in seiner Web-Help-Desk-Plattform hält sich Solarwinds zurück. Das Update 2026.1 löst die Probleme. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/f0/e9f01c33573649afdf8f5141269171f2/0128948431v1.jpeg "Chinesische Unternehmen wie Huawei und ZTE stehen vor dem Ausschluss aus kritischen Infrastrukturen der Europäischen Union. Chinesische Technologie soll künftig per EU-Regulierung aus Telekommunikationsnetzen und Solarenergiesystemen verbannt werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9e/6f/9e6f7bbc0ea524d6cb30d2c6c99a1c09/0110808167.jpeg "Specops Password Auditor scannt das Netzwerk auf unsichere und doppelte Kennwörter.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/58/53/5853c21724914fd2785efbd47e0c5f55/0110808173.jpeg "Nach dem Scanvorgang zeigt Specops Password Policy auch Kennwörter an, die im Internet bereits als geleaked bekannt sind.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/ad/e1/ade17ea3206c4423c93e5eb90c7ec75c/0110808171.jpeg "Specops Password Policy kann auch Management-Berichte erstellen, um Verantwortlichen in Unternehmen Password-Probleme offenzulegen.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/9a/15/9a15627974944eb111f9c1e62cc01bc2/0110808165.jpeg "Mit Kennwortrichtlinien lassen sich die Kennwörter in Active Directory im ersten Schritt am besten absichern.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/3a/0d/3a0dbf0cc138ecc8a699aaf8cba92c35/0123860507v1.jpeg "Thomas Trenz von JDisc zeigt, was die Local Administrator Password Solution von Microsoft macht und erläutert die Vorteile des neuen LAPS gegenüber dem älteren Legacy LAPS. (Bild: Fa.Fotografie Susanne Krum - JDisc)")
:quality(80)/p7i.vogel.de/wcms/06/78/0678ce1dceed0f9a6205f464fd5a33da/0125974706v1.jpeg "Windows Server 2025 bringt zahlreiche neue Gruppenrichtlinien für Sicherheit, Updates, Energiesparmodus, SMB over QUIC und mehr – zentral steuerbar per Admin Center. (Bild: Joos | Microsoft)")