Partner werden
Login

Aktuelle Störung: Das SEC AUDITOR Dashboard ist momentan nicht erreichbar. Unser Team arbeitet mit Hochdruck an der Wiederherstellung. Bei dringenden Fragen: support@sec-auditor.com

Identitäten im Fokus

23. Januar 2026

Der Schutz der Angriffsflächen ist 2026 der entscheidende Hebel, um die Cybersicherheit zu verbessern“ – so lautet die klare Botschaft des BSI-Lageberichts 2025. Die Zahlen unterstreichen die Dringlichkeit: Durchschnittlich 119 neue Schwachstellen werden täglich bekannt, und das Active Directory bleibt einer der Hauptangriffsvektoren. Besonders betroffen: kleine und mittlere Unternehmen, die oft weder die Mittel noch das Wissen haben, ihre Angriffsflächen eigenständig zu schützen. Als IT-Dienstleister können Sie hier den Unterschied machen – nicht mit reaktiven Notfallmaßnahmen, sondern mit präventiver Sicherheit im Active Directory und Entra ID. SEC AUDITOR bietet Ihnen die Werkzeuge, um diese Herausforderung zu meistern.

Neue Funktionen

Übersicht privilegierter Konten

Der Explorer zeigt nun auch eine kompakte Übersicht der wichtigsten privilegierten Konten wie Domänen-Admins oder Konten-Operatoren sowie den zugehörigen Berechtigungspfad.Der Explorer zeigt nun auch eine kompakte Übersicht der wichtigsten privilegierten Konten wie Domänen-Admins oder Konten-Operatoren sowie den zugehörigen Berechtigungspfad.

Filterung für Indicators of Attack

Um bei vielen Indicators of Attack noch den Überblick zu behalten, lassen sich diese nun auch nach Datum, Klassifizierung oder Typ filtern.

Neue Sicherheitsprüfungen

Mit der aktuellen Version werden folgende zusätzliche Sicherheitsprobleme im Active Directory überprüft:

Fehlende umfassende Conditional Access PolicyFehlende umfassende Conditional Access Policy

Kritikalität: Hoch
Conditional Access Policies sollten grundsätzlich alle Cloud-Anwendungen und alle Benutzer umfassen, mit gezielten Ausnahmen für spezielle Fälle. Das liegt daran, dass neue Anwendungen oder Benutzer sonst automatisch ungeschützt bleiben, bis sie manuell zu Policies hinzugefügt werden. Infolgedessen können Sicherheitslücken entstehen, wenn etwa ein neuer Mitarbeiter angelegt oder eine neue Anwendung im Tenant registriert wird, da diese nicht automatisch durch bestehende Sicherheitsrichtlinien geschützt sind.

Unsichere Credential Manager BerechtigungUnsichere Credential Manager Berechtigung

Kritikalität: Hoch
Das Benutzerrecht „Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen“ (SeTrustedCredManAccessPrivilege) ist eine hochsensible Berechtigung, die standardmäßig ausschließlich dem Winlogon-Dienst zugewiesen sein sollte. Wenn diese Berechtigung anderen Konten erteilt wird, können Angreifer darüber gespeicherte Anmeldeinformationen aller Benutzer des Systems extrahieren, einschließlich Domain-Accounts, Webzugängen und Remote-Desktop-Credentials. Dies ermöglicht eine unmittelbare Privilegieneskalation und laterale Bewegung innerhalb der IT-Infrastruktur. Öffentlich verfügbare Exploit-Tools demonstrieren die praktische Ausnutzbarkeit dieser Schwachstelle.

Kritische Privilegien für alle Benutzer

Kritikalität: Hoch
In Ihrer Umgebung wurden bestimmten Benutzergruppen, insbesondere der Gruppe „Jeder“ (Everyone), hochprivilegierte Windows-Privilegien zugewiesen. Diese Privilegien sind ausschließlich für administrative Tätigkeiten vorgesehen und ermöglichen tiefgreifende Systemoperationen wie das Debuggen von Prozessen, das Laden von Treibern oder den Zugriff auf beliebige Dateien. Das führt dazu, dass normale Benutzer diese mächtigen Funktionen missbrauchen können, um ihre Rechte auf Systemebene auszuweiten. Ein Angreifer mit Zugriff auf ein kompromittiertes Standardbenutzerkonto kann dadurch die vollständige Kontrolle über betroffene Systeme erlangen, Anmeldeinformationen extrahieren und sich lateral im Netzwerk bewegen.

Delegierbare Administrator-Konten

Kritikalität: Hoch
Es wurden Administrator-Konten identifiziert, die nicht gegen Delegierung geschützt sind. Dadurch können Angreifer, die Zugriff auf einen Dienst mit entsprechenden Berechtigungen erlangen, die Identität dieser privilegierten Konten übernehmen und deren Berechtigungen missbrauchen. Diese Schwachstelle stellt ein erhebliches Sicherheitsrisiko dar, da sie einen direkten Weg zur Kompromittierung hochprivilegierter Konten ermöglicht, ohne dass das eigentliche Passwort bekannt sein muss.

Fehlende „All Cloud Apps“-Richtlinie

Kritikalität: Mittel
Wenn Conditional Access Policies nur für einzelne Anwendungen konfiguriert sind, bleiben neu hinzugefügte Dienste ungeschützt. Das liegt daran, dass Administratoren die Richtlinien bei jedem Onboarding einer neuen Anwendung manuell erweitern müssten. Infolgedessen können neue Cloud-Apps ohne Sicherheitskontrollen wie Multi-Faktor-Authentifizierung oder Gerätecompliance genutzt werden, was ein Sicherheitsrisiko darstellt.Wenn Conditional Access Policies nur für einzelne Anwendungen konfiguriert sind, bleiben neu hinzugefügte Dienste ungeschützt. Das liegt daran, dass Administratoren die Richtlinien bei jedem Onboarding einer neuen Anwendung manuell erweitern müssten. Infolgedessen können neue Cloud-Apps ohne Sicherheitskontrollen wie Multi-Faktor-Authentifizierung oder Gerätecompliance genutzt werden, was ein Sicherheitsrisiko darstellt.

Privilegierte, ungenutzte Accounts

Kritikalität: Mittel
Privilegierte Accounts mit Administratorrechten, die über einen längeren Zeitraum nicht genutzt werden, bleiben häufig unbemerkt in der Active Directory-Umgebung bestehen und werden nicht mit der gleichen Aufmerksamkeit überwacht wie aktiv genutzte Administratorkonten. Angreifer suchen gezielt nach solchen vergessenen Accounts, da sie erweiterte Berechtigungen besitzen, aber deren Kompromittierung mit geringerer Wahrscheinlichkeit zeitnah erkannt wird.

Inaktive Benutzer mit privilegierten Entra-Berechtigungen

Kritikalität: Mittel
Inaktive Benutzerkonten mit privilegierten Rollen in Microsoft Entra ID besitzen weitreichende Berechtigungen für die Verwaltung von Cloud-Ressourcen, Identitäten und Sicherheitseinstellungen, werden jedoch nicht aktiv überwacht. Angreifer betrachten solche vergessenen privilegierten Cloud-Konten als attraktive Ziele, da sie direkten Zugriff auf kritische Cloud-Services ermöglichen, während ihre Kompromittierung aufgrund fehlender Nutzung oft unentdeckt bleibt.Inaktive Benutzerkonten mit privilegierten Rollen in Microsoft Entra ID besitzen weitreichende Berechtigungen für die Verwaltung von Cloud-Ressourcen, Identitäten und Sicherheitseinstellungen, werden jedoch nicht aktiv überwacht. Angreifer betrachten solche vergessenen privilegierten Cloud-Konten als attraktive Ziele, da sie direkten Zugriff auf kritische Cloud-Services ermöglichen, während ihre Kompromittierung aufgrund fehlender Nutzung oft unentdeckt bleibt.

Fehlende Notfallkonten-Ausnahme in Conditional Access

Kritikalität: Niedrig
Conditional Access Policies steuern den Zugriff auf Microsoft 365 und Azure-Ressourcen durch Sicherheitsrichtlinien wie Multifaktor-Authentifizierung oder Standortbeschränkungen. Wenn alle administrativen Konten durch eine fehlerhafte Policy blockiert werden, kann niemand mehr auf den Tenant zugreifen, um das Problem zu beheben. Notfallkonten, auch Break-Glass-Konten genannt, dienen als Sicherheitsnetz für solche Szenarien. Ohne mindestens ein von allen Policies ausgenommenes Konto riskiert die Organisation einen kompletten Tenant-Lockout bei Fehlkonfigurationen.Conditional Access Policies steuern den Zugriff auf Microsoft 365 und Azure-Ressourcen durch Sicherheitsrichtlinien wie Multifaktor-Authentifizierung oder Standortbeschränkungen. Wenn alle administrativen Konten durch eine fehlerhafte Policy blockiert werden, kann niemand mehr auf den Tenant zugreifen, um das Problem zu beheben. Notfallkonten, auch Break-Glass-Konten genannt, dienen als Sicherheitsnetz für solche Szenarien. Ohne mindestens ein von allen Policies ausgenommenes Konto riskiert die Organisation einen kompletten Tenant-Lockout bei Fehlkonfigurationen.

Verbesserungen & Fehlerbehebungen

  • [Dashboard]  Für überwachte Domänen lässt sich nun eine eigene Kundennummer hinterlegen, sodass eine einfache Zuordnung bei der Abrechnung oder der Nutzung per API möglich ist.
  • [API] CSV-Berichte lassen sich über die API herunterladen.
  • [Collector]  Alle ausführbaren Dateien sind mit einem Microsoft-Zertifikat signiert.
  • [Collector]  Dem Collector kann im Modus „Audit“ der Domaincontroller als CLI-Parameter mitgegeben werden. Das ist gerade für Audits von Geräten, die nicht der Domäne beigetreten sind (wie bei einem externen Pentest)
  • [Dashboard] Der Sicherheitslog lädt deutlich schneller
  • [Dashboard] Quickchecks lassen sich manuell im Dashboard löschen.