Bei einem Pass-the-Ticket-Angriff werden in einer Windows Active-Directory-Umgebung Authentifizierungsdaten, sogenannte Tickets, kompromittiert und wiederverwendet. Welche Schutzmaßnahmen sind zu ergreifen?
Unternehmen müssen Schwachstellen proaktiv angehen, um die Abwehrkräfte gegen PtT-Angriffsvektoren zu stärken!
(Bild: Skórzewiak - stock.adobe.com)
Jedes Jahr nimmt die Zahl der Angriffe, die die Sicherheit von Geräten, Computersystemen, Servern und Netzwerkinfrastrukturen gefährden, stetig zu. Unter den vielen Arten von Angriffen muss dem Pass-the-Ticket-Angriff (PtT) besondere Aufmerksamkeit gewidmet werden.
Dies liegt daran, dass es mit einem Pass-the-Ticket-Angriff möglich ist, das in allen gängigen Betriebssystemen vorhandene Kerberos-Netzwerkprotokoll zu korrumpieren, um auf die Sitzung eines Users zuzugreifen, ohne über dessen Anmeldeinformationen zu verfügen. Das Problem dabei: Ein Angriff dieser Art ist nicht nur schwer zu erkennen, sondern Hacker sind in der Regel auch in der Lage, die gängigsten Systemzugriffskontrollen zu umgehen.
Ein Kerberos ist ein Netzwerkprotokoll, das in den 1980er Jahren vom MIT entwickelt und 1993 zum IETF-Standard wurde. Es wird für eine solide Authentifizierung zwischen verschiedenen Terminals durch ein symmetrisches Verschlüsselungssystem verwendet, ohne dass Passwörter übertragen werden müssen.
Der Vorteil der Verwendung des Kerberos-Protokolls liegt in seinem Authentifizierungssystem zwischen Client und Server. Dies macht es sehr effektiv im Kampf gegen Phishing und „Man-in-the-Middle“-Angriffe. Kerberos ist in allen gängigen Betriebssystemen wie Microsoft, Apple, Linux und vielen mehr integriert.
Bei einem Pass-the-Ticket-Angriff ist es jedoch möglich, die Kerberos-Authentifizierung zu kompromittieren, um Zugriff auf einen User-Account zu erhalten. Die Folgen sind dabei nicht zu unterschätzen. Unter den vielen vorstellbaren Szenarien könnte beispielsweise die Möglichkeit bestehen, dass das kompromittierte Konto über hohe Administratorrechte verfügt und dem Hacker somit vollen Zugriff auf weitreichende Ressourcen garantiert.
Ablauf eines PtT-Angriffs
Mit einem Pass-the-Ticket-Angriff erhält ein Hacker privilegierten Zugriff auf Netzwerkressourcen, ohne Kennwörter von Usern verwenden zu müssen. Denn in Active-Directory-Umgebungen beweist ein Ticket Granting Ticket (TGT), dass ein User tatsächlich der ist, für den er sich ausgibt.
Mithilfe einiger Tools und Techniken könnte ein Hacker diese Tickets sammeln und sie verwenden, um Ticket Granting Services (TGS) anzufordern. Auf diese Weise kann er auf Ressourcen zugreifen, die in verschiedenen Teilen des Netzwerks vorhanden sind.
Ein PtT-Angriff birgt selbst auch dann Risiken, wenn das kompromittierte Konto nicht über besondere Administratorrechte verfügt, da der Hacker über Lateral Movements möglicherweise Zugriff auf andere Konten und Geräte erhalten kann.
Der Unterschied zwischen Pass-the-Ticket und einem Pass-the-Hash-Angriff liegt darin, dass PtT TGT-Tickets ausnutzt, die in ein paar Stunden ablaufen, während PtH sogenannte NTLM-Hashes verwendet, die sich nur ändern, wenn ein User sein Passwort ändert. Ein TGT-Ticket muss innerhalb der Ablauffrist genutzt oder für einen längeren Zeitraum verlängert werden.
Aufgrund der Tarnung des Angriffsvektors stellt die Erkennung von PtT-Angriffen eine Herausforderung dar. Dabei können jedoch verschiedene Techniken und Maßnahmen hilfreich sein:
Überwachen von Ereignisprotokollen: Durch die Analyse von Ereignis-Protokollen von Domänen-Controllern und Endpunkt-Systemen lassen sich Anomalien aufdecken, beispielsweise mehrere Authentifizierungen eines einzelnen Users oder ungewöhnliche Zugriffsmuster.
Verhaltensanalyse: Die Implementierung von Tools zur Verhaltensanalyse hilft dabei, ungewöhnliches User-Verhalten zu erkennen, wie etwa aus dem Rahmen fallende Anmeldezeiten, übermäßige Rechteausweitungen oder Zugriffe auf im Grunde „unbekannte“ Ressourcen.
Netzwerksegmentierung: Der Einsatz einer Netzwerk-Segmentierung kann die Lateral Movements von Hackern einschränken und ihnen den Zugriff auf kritische Ressourcen erschweren.
Vorsichtsmaßnahmen ergreifen
Als möglicher Schutz vor PtT-Angriffen bzw. um deren Auswirkungen abzuschwächen, sollten Unternehmen folgende vorbeugende Maßnahmen in Betracht ziehen:
Strenge Zugriffskontrollen implementieren: Prinzip der geringsten Rechte (Principle of Least Privilege – PoLP) anwenden und sicherstellen, dass die User nur über die Zugriffsrechte verfügen, die zur Erfüllung ihrer Aufgaben erforderlich sind.
Passwörter für Dienstkonten regelmäßig verändern: Häufige Veränderungen der Passwörter für Dienstkonten verringern das Risiko einer TGT-Extraktion.
Multi-Faktor-Authentifizierung (MFA) aktivieren: Die Implementierung von MFA fügt eine zusätzliche Sicherheitsebene hinzu und erschwert es Hackern deutlich, gestohlene Anmelde-Informationen zu nutzen.
Netzwerkverkehr überwachen und analysieren: Der Einsatz von Tools für die Netzwerk-Überwachung kann dabei helfen, verdächtiges Verhalten zu identifizieren, PtT-Angriffe zu erkennen und umgehend darauf zu reagieren.
Systeme auf dem neuesten Stand halten: Sicherheits-Patches und Updates sind regelmäßig und zeitnah anzuwenden, um Schwachstellen sofort zu schließen, die ein Angreifer ausnutzen könnte.
UEBA und SIEM im Einsatz
Für einen Schutz der Infrastruktur ist es sinnvoll, bewährte Technologien wie User and Entity Behavior Analytics (UEBA) und Security Information and Event Management (SIEM) zur Erkennung von PtT zu verwenden. Beide Technologien nutzen Big-Data-Techniken, Methoden des Maschinellen Lernens (ML) bzw. der Künstlichen Intelligenz (KI). Damit ist es möglich, Pass-The-Ticket-Angriffe zu verhindern, indem das Verhalten von Usern und Entitäten analysiert wird.
Eine UEBA-Lösung würde beispielsweise in solchen Fällen die schnelle Identifizierung von kompromittierten Accounts gewährleisten und sie sperren, um den Schaden zu begrenzen. Einige SIEM-Lösungen ermöglichen nicht nur die Analyse herkömmlicher Protokolle, sondern sind auch in der Lage, eine genaue Sicherheitsanalyse durchzuführen, indem sie das Verhalten der User innerhalb eines Netzwerks analysieren, um das Vorhandensein von Bedrohungen für die Infrastruktur umgehend zu erkennen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/a7/fda7d067c2285c6117392fe77ca95327/0129322250v2.jpeg "Die französische nationale Funkfrequenzbehörde nahm die Spione wegen de rillegalen Nutzung und Störung von Frequenzen und dem illegalen Besitz von technischen Geräten zum Empfang von Computerdaten fest. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/48/b1482f56bc90441316f1aeb8da13f2fd/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/9a/fe/9afee73e7c4576e3987560387ed4a8c7/0129326905v1.jpeg "In Google Cloud Looker finden sich acht Sicherheitslücken, eine davon ist kritisch. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ea/2a/ea2a4f09c857d29ce37567bf2467ab3c/0129353618v1.jpeg "Ein umfassendes und automatisiertes Update-Management schützt Unternehmen vor wachsenden Cyberbedrohungen. (Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/0b/490b69d49b5f8357e4527f94f04b6c71/0129264740v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/05/1b/051b33b3dad1712cd89b9008dd6d65f6/0114780778.jpeg "Dirk Reimers und Alexandra Roszkowski von secunet geben eine Übersicht der gängigsten Schwachstellen bei PC-Arbeitsplätzen – und wie Unternehmen sich davor schützen können. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/9a/ed9a501b527c1c4167381f9165c6e98f/0115090238.jpeg "Superintelligenzen oder starke KIs mögen unsere Zukunft sein – bis es aber so weit ist, liegt die Verantwortung bei uns: Wir müssen entscheiden, wie wir mit diesen Technologien umgehen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/1d/5a1d21918c970ad44377ca4e6aa30e19/0123283113v2.jpeg "Paula Januszkiewicz, Gründerin und CEO von Cqure, einem polnischen Unternehmen, dass sich auf Cybersicherheitsdienstleistungen spezialisiert hat, bei der IT-Defense 2025 (Bild: cirosec GmbH)")
:quality(80)/p7i.vogel.de/wcms/95/bb/95bbd9abdcef3a607b8a8f1841efe072/0124594202v2.jpeg "Cyberkriminelle attackieren Unternehmen zunehmend simultan über diverse Kommunikationswege. Der Artikel beleuchtet, wie diese Multivektor-Angriffe funktionieren und welche Strategien IT-Sicherheits-Experten ergreifen können, um ihre Organisationen wirksam zu schützen. (Bild: © StockUp - stock.adobe.com)")