Über 90 Prozent der Ransomware-Angriffe zielen auf das Active Directory, aber die meisten Backups enthalten bereits kompromittierte Objekte oder veraltete Strukturen. Microsofts 29-Schritte-Wiederherstellung überfordert Teams unter Zeitdruck, manuelle Prozesse führen zu Fehlern und schaffen Einfallstore für erneute Angriffe. Es braucht forensische Analyse in isolierten Umgebungen, Validierung sauberer Backups und Automatisierung. Prävention allein reicht nicht mehr.
Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität.
Wenn Angreifer das Active Directory (AD) kompromittieren, sind die meisten Unternehmen handlungsunfähig. Als Rückgrat für Authentifizierung, Zugriff und Identitätsverwaltung ist es eines der attraktivsten Angriffsziele überhaupt. Dennoch ist kaum ein Unternehmen wirklich in der Lage, einen kompromittierten AD-Forest schnell und sicher wiederherzustellen.
Das Active Directory ist für Mitarbeitende meistens unsichtbar, dennoch ist es geschäftskritisch, denn es verwaltet Identitäten, Berechtigungen und Zugriffe. Damit bildet es die Grundlage für nahezu alle Geschäftsprozesse, von der Anmeldung am Rechner bis zur Cloud-Anwendung.
Doch aufgrund dieser zentralen Rolle ist das AD ein bevorzugtes Ziel moderner Cyberangriffe. In über 90 Prozent der untersuchten Ransomware-Vorfälle war das AD betroffen, so eine Untersuchung des Cyber Event Response Teams (CERT) von Cohesity. Wer es kontrolliert, hat in der Regel auch die Infrastruktur im Griff, vom E-Mail-Server bis zu den Produktionssystemen.
Ein kompromittiertes AD bedeutet unbegrenzten Zugriff auf Systeme und Daten. Dies ermöglicht die Ausbreitung von Malware über Gruppenrichtlinien, die unbemerkte Manipulation von Berechtigungen und im schlimmsten Fall den vollständigen Stillstand des gesamten Betriebs.
Viele IT-Teams verlassen sich auf klassische Backup-Mechanismen und gehen davon aus, dass sich das AD im Ernstfall einfach aus einer Sicherung zurückspielen lässt. Das ist jedoch eine gefährliche Illusion. Denn es ist kein statisches System, sondern ein komplexes, dynamisches Konstrukt mit zahllosen Abhängigkeiten. Die Wiederherstellung ist ein hochsensibler Prozess mit vielen manuellen Schritten und nicht ein einfacher Restore-Vorgang.
Bereits ein einziger Fehler, beispielsweise eine vergessene Metadatenbereinigung oder ein nicht isolierter Domain Controller, kann dazu führen, dass kompromittierte Objekte, Konten oder Richtlinien erneut in das System gelangen. Microsoft selbst listet 29 Schritte auf, um den AD-Forest nach einer Kompromittierung wieder online zu bringen. Im Ernstfall, unter Zeitdruck und mit einem verunsicherten Team, lässt sich das nur sehr schwer fehlerfrei bewältigen, insbesondere da dieses Vorgehen im Normalbetrieb keine Anwendung findet.
Klassische Backups versagen
Darüber hinaus erweist sich die Vorstellung, ein Backup des Active Directory sei automatisch unversehrt, in der Praxis immer wieder als gefährliche Fehleinschätzung. Denn tatsächlich enthalten viele Sicherungen bereits kompromittierte Daten, weil ein Angriff unbemerkt geblieben ist. Zudem verändert sich das AD ständig. So werden in großen Umgebungen täglich Tausende von Objekten aktualisiert. Ein Backup, das wenige Tage alt ist, kann also bereits veraltet oder inkonsistent sein. Wird es trotzdem eingespielt, drohen Datenverlust oder sogar eine Reinfektion durch Schadsoftware sowie persistente Zugriffspfade.
Außerdem sind klassische Backup-Systeme meist nicht für AD-spezifische Anforderungen konzipiert. Vertrauensstellungen, Forest-Strukturen und Replikationsmechanismen lassen sich nicht wie Datenbanken einfach wiederherstellen. Der Versuch, das AD mit Standardwerkzeugen zu rekonstruieren, endet daher oft in einer instabilen oder unsicheren Umgebung.
Fällt das AD aus, steht das Unternehmen still. Während Angreifer ihre Attacke oft über Wochen oder Monate vorbereitet haben, bleibt dem IT-Team nur ein sehr kurzes Zeitfenster, um auf den Angriff zu reagieren.
So muss die Wiederherstellung unter enormem Druck erfolgen: Systeme sind zu isolieren, um eine weitere Ausbreitung des Angriffs zu verhindern. Gleichzeitig gilt es, die vorhandenen Backups auf ihre Integrität zu prüfen, kompromittierte Konten zu identifizieren und sämtliche Konfigurationen sorgfältig auf Manipulationen zu untersuchen.
Zudem fehlen in vielen Organisationen geübte Prozesse. Denn kaum ein Unternehmen führt regelmäßige Übungen zur AD-Wiederherstellung oder Cyber-Response-Drills durch. Daher sind die Zuständigkeiten oft unklar, wodurch Verzögerungen oder auch Fehlentscheidungen entstehen können. Häufig geht dadurch wertvolle Zeit verloren, während Authentifizierung und Zugriff weiterhin blockiert bleiben.
Identitätsresilienz statt reiner Prävention
Viele Sicherheitsstrategien konzentrieren sich heute auf Prävention: mit Firewalls, Endpoint-Protection, Zero Trust oder MFA. Doch Resilienz bedeutet, auch nach einem erfolgreichen Angriff schnell wieder arbeitsfähig zu sein, insbesondere beim Identitätssystem.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Echte Identitätsresilienz umfasst daher drei zentrale Elemente:
Forensische Analyse: Zunächst muss man verstehen, wie der Angriff erfolgt ist, welche Konten betroffen sind und welche Änderungen vorgenommen wurden.
Sichere Wiederherstellung: Nur validierte, saubere Backups dürfen verwendet werden, idealerweise in einer isolierten Umgebung.
Automatisierung: Manuelle Prozesse sind zu fehleranfällig. Automatisierte Orchestrierung verkürzt Wiederherstellungszeiten und reduziert Risiken.
Diese Kombination aus Transparenz, Integrität und Automatisierung ist der Schlüssel, um ein kompromittiertes AD kontrolliert und sicher zurückzubringen.
Automatisierte AD-Recovery
Moderne Lösungen integrieren Backup, Forensik und Orchestrierung zu einem geschlossenen Sicherheits- und Wiederherstellungsprozess. Durch die Kombination von beispielsweise Cohesity und Semperis lässt sich ein kompromittiertes Active Directory zunächst in einer isolierten Umgebung analysieren. Die Lösung erkennt Manipulationen, prüft Backups auf Schadcode und orchestriert anschließend eine automatisierte, saubere Wiederherstellung. Dabei werden kompromittierte Objekte ausgeschlossen, Berechtigungen und Richtlinien validiert und der Wiederherstellungsprozess dokumentiert und geprüft.
Das Ergebnis ist ein nachweislich sauberer AD-Zustand und eine signifikant verkürzte Recovery Time Objective (RTO). Dabei ersetzt Automatisierung nicht den Menschen, aber sie verhindert viele Fehler, die in Stresssituationen unvermeidlich sind.
Das Active Directory gehört zu den am häufigsten angegriffenen und zugleich kritischsten Komponenten der IT-Infrastruktur. Ein Angriff ist fast immer gleichbedeutend mit einem vollständigen Stillstand des Unternehmens. Wer Cyberresilienz ernst nimmt, darf sich nicht allein auf Prävention verlassen. Die Fähigkeit, das AD sicher, automatisiert und nachvollziehbar wiederherzustellen, ist mittlerweile die Basis moderner IT-Sicherheit. Nur wer sein Identitätssystem schnell und sauber reaktivieren kann, schützt nicht nur seine Infrastruktur, sondern auch die eigene Handlungsfähigkeit in der Krise.
Über den Autor: Christoph Linden ist Field Technical Director bei Cohesity.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/5a/1d/5a1d21918c970ad44377ca4e6aa30e19/0123283113v2.jpeg "Paula Januszkiewicz, Gründerin und CEO von Cqure, einem polnischen Unternehmen, dass sich auf Cybersicherheitsdienstleistungen spezialisiert hat, bei der IT-Defense 2025 (Bild: cirosec GmbH)")
:quality(80)/p7i.vogel.de/wcms/e9/d4/e9d4123dc40cf9482fc81d9654bcd4cb/0109226021.jpeg "Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/28/7e28b814cea7d8d0761d3de4fb88ec1c/0110808188.jpeg "Wenn Cyberkriminelle Zugriff auf Benutzerkennungen und Passwörter eines Unternehmensnetzwerks verschaffen, können sie sich meist ungestört im Netzwerk bewegen und Schaden anrichten. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/4c/8d4c5d6a3bb1b27b78db3774e509ec6f/0125605639v2.jpeg "Unternehmen können auf einem Synology NAS direkt einen AD-Domänencontroller betreiben, oder es ganz einfach in eine bestehende AD-Umgebung integrieren. (Bild: © Scanrail - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/cb/75cbbab1645da7c0b99f3272a205c62d/0122579879v1.jpeg "Topologische Ansichten eines Active Directory Forest veranschaulichen Abhängigkeiten und geben Hinweise für die korrekte Wiederherstellung des Active Directory. (Bild: Commvault)")
:quality(80)/p7i.vogel.de/wcms/5a/1d/5a1d21918c970ad44377ca4e6aa30e19/0123283113v2.jpeg "Paula Januszkiewicz, Gründerin und CEO von Cqure, einem polnischen Unternehmen, dass sich auf Cybersicherheitsdienstleistungen spezialisiert hat, bei der IT-Defense 2025 (Bild: cirosec GmbH)")