Active Directory · Identity Security · Bremen
Active Directory Härtung & Sicherer Betrieb Gewachsene Infrastrukturen absichern –Enterprise Access Model, GPO-Baselines & AD-Bereinigung.
Historisch gewachsen, kaum dokumentiert, alle in der Domain-Admins-Gruppe – das ist das größte Sicherheitsrisiko in Bremer Mittelstandsnetzwerken. Ich bereinige Ihre Active-Directory-Struktur, implementiere das Microsoft Enterprise Access Model und härte Ihre Richtlinien (GPOs). Damit ein Angriff sich nicht durch Ihr gesamtes Unternehmen ausbreiten kann und Sie die harten Auflagen Ihrer Cyberversicherung und NIS2 souverän erfüllen.
Kostenfreies Erstgespräch (30 Minuten)
Wie verwundbar ist der Kern Ihrer IT wirklich?
Vier kritische Fragen für Geschäftsführung und IT-Leitung. Wenn Sie hier mit "Nein" oder "Weiß nicht" antworten, ist Ihr Unternehmen im Falle eines Angriffs schutzlos.
Kann ein kompromittierter Büro-PC zur vollständigen Übernahme Ihrer IT führen?
Ransomware-Angreifer suchen den "Domain Controller". Wenn Ihre IT-Administratoren mit denselben Konten E-Mails lesen, mit denen sie auch Server verwalten, reicht ein einziger Phishing-Klick, um das gesamte Unternehmen (inkl. Backups) zu verschlüsseln.
Sind Ihre Gruppenrichtlinien (GPOs) auditierbar und nach Standards gehärtet?
Historisch gewachsene Infrastrukturen sind voller Altlasten und Widersprüche. Ohne eine saubere Security-Baseline (z.B. nach CIS-Standards) fehlt Ihnen im Ernstfall jegliche Grundlage, um gegenüber Cyberversicherungen und Regulatoren den "Stand der Technik" nachzuweisen.
Haben Service-Konten für ERP oder Backups unbegrenzte Admin-Rechte?
Oft werden für Software-Dienste Konten mit "Domain Admin"-Rechten und nie ablaufenden Passwörtern angelegt. Für professionelle Angreifer sind solche Konten ein offenes Einfallstor – sie übernehmen geräuschlos die vollständige Kontrolle über Ihr Netzwerk.
Würden Sie bemerken, wenn ein Angreifer bereits seit Wochen unbemerkt in Ihrer AD-Umgebung aktiv ist?
Professionelle Angreifer bewegen sich nach einer Kompromittierung oft wochenlang lateral durch das Netzwerk. Ich implementiere ein stabiles Audit-Framework: strukturierte AD-Ereignis-Logs, klar definierte Event-Filter und eine dokumentierte Erkennungs-Baseline – so hat Ihr IT-Team die Grundlage, anomale Aktivitäten frühzeitig zu erkennen.
Ein kompromittiertes Konto reicht für den Totalschaden
In einer ungepflegten Active-Directory-Umgebung ist die Frage nicht ob, sondern wann ein Angriff eskaliert. Ransomware-Gruppen nutzen exakt diese Strukturschwächen aus.
Totalausfall durch Ransomware
Ransomware-Operatoren verschlüsseln nicht sofort. Sie lernen Ihre Umgebung kennen. In einer flachen AD-Struktur genügt ein einziges kompromittiertes Konto, um Domain-Admin-Rechte zu erlangen und sämtliche Systeme in einer einzigen Nacht zu zerstören.
Haftung & NIS2-Compliance
Die Geschäftsführung haftet persönlich für den „Stand der Technik“. Eine AD-Umgebung ohne Berechtigungskonzept (Tiering) und ohne gehärtete GPOs entspricht nicht mehr dem, was Aufsichtsbehörden und Gerichte heute als ausreichend akzeptieren.
Verlust der Cyberversicherung
Versicherer und Auditoren fordern explizit Konzepte für privilegierte Konten, sauberes Patch-Management und AD-Härtung. Ohne belastbare Dokumentation riskieren Sie Ihren Versicherungsschutz – genau dann, wenn Sie ihn brauchen.
Wie ich den Kern Ihrer IT strukturiere und absichere
Kein theoretisches Konzept für die Schublade. Ich setze bewährte Microsoft-Security-Standards ein, um die Ausbreitung eines Angriffs strukturell zu verhindern und den möglichen Schaden auf das kleinstmögliche Maß zu begrenzen.
Enterprise Access Model (EAM)
Tiering · Strikte Identitätstrennung
Ich löse flache Berechtigungsstrukturen auf und implementiere das moderne Microsoft Enterprise Access Model (Tiering). Wir trennen Identitäten strikt in drei Ebenen: Kronjuwelen/AD, Server und Clients – sodass ein kompromittiertes Konto auf einer Ebene nicht automatisch die anderen gefährdet.
Dedizierte Admin-Konten & PAW
Dedizierte Admin-Konten · Isolierte Geräte
Admins erhalten dedizierte Konten für jede Ebene. Für Zugriffe auf die kritische AD-Infrastruktur etablieren wir hochgesicherte Arbeitsstationen, die ausschließlich für administrative Aufgaben genutzt werden – physisch und logisch getrennt vom normalen Büroalltag.
GPO-Baselines & Altlasten-Bereinigung
CIS Benchmarks · MS Security Baseline
Ich bereinige Ihr GPO-Chaos und führe eine strukturierte, dokumentierte Security-Baseline ein. Veraltete, unsichere Protokolle werden systematisch abgeschaltet, um die Angriffsfläche massiv zu reduzieren.
Passwort-Schutz (LAPS)
Windows LAPS · Credential Guard
Das gleiche lokale Admin-Passwort auf jedem Rechner ist ein tödliches Risiko. Ich richte Microsoft LAPS ein, sodass lokale Administrator-Passwörter automatisch und maschinenindividuell rotiert werden. Das verhindert, dass ein gekapertes lokales Admin-Konto als Sprungbrett für weitere Maschinen dient.
Hybride Sicherheit (Entra ID)
Entra ID Connect · Conditional Access
Lokales AD und die Microsoft 365 Cloud wachsen zusammen. Ich sichere die Schnittstellen (Entra ID Connect) ab, damit ein Vorfall in Ihrem lokalen Netzwerk nicht automatisch Ihre Cloud-Identitäten und Microsoft-365-Daten kompromittiert.
Service-Konten absichern
Managed Service Accounts (gMSA)
Überprivilegierte Service-Konten für Backups oder ERP-Systeme werden identifiziert, auf das notwendige Minimum reduziert und – wo möglich – auf automatisch verwaltete Group Managed Service Accounts (gMSA) umgestellt.
Die Perspektive des Angreifers einnehmen
AD-Härtung erfordert tiefes Engineering-Wissen. Ich arbeite mit denselben Tools wie professionelle Red Teams, um Schwachstellen aufzudecken, bevor Angreifer sie nutzen können.
Mein Werkzeugkasten
Angriffspfad-Analyse
Ich nutze spezialisierte AD-Analyse-Tools, um graphenbasiert versteckte Angriffspfade, verwaiste Delegierungen und gefährliche Berechtigungen in Ihrem Active Directory aufzuspüren. Reale Sicherheit statt reiner Checklisten.
Härtung gegen Credential-Angriffe
Ich schalte unsichere Legacy-Protokolle (NTLMv1, SMBv1) ab, aktiviere SMB Signing und LDAP Channel Binding zum Schutz vor Relay-Angriffen und härte Service-Konten gezielt gegen Kerberoasting und AS-REP Roasting.
Protected Users & MFA
Hochprivilegierte Konten (Domain Admins) verschiebe ich in die "Protected Users Security Group", was Credential-Diebstahl im Arbeitsspeicher extrem erschwert. Wo immer möglich, setze ich phishing-resistente Verfahren (z.B. Smartcards oder Drittanbieter-MFA) für administrative Zugriffe durch.
Bordmittel effizient nutzen
Meine Philosophie: Sicherheit darf keine unbezahlbare Materialschlacht sein. Ich konfiguriere die mächtigen, oft brachliegenden Sicherheits-Features, die in Ihren Windows Server Lizenzen bereits enthalten sind.
Ich bin kein Microsoft-Reseller und verdiene nicht an Lizenzen. Meine Expertise basiert auf harter Konzernpraxis. Ich optimiere das, was Sie bereits besitzen – ohne versteckte Produktkosten.
Schrittweise Härtung – ohne Betriebsunterbrechung
Änderungen am Herzstück der IT erfordern maximale Vorsicht. Ich folge einem phasenbasierten Ansatz: Alles im laufenden Betrieb, ohne Big-Bang-Ausfälle.
AD-Audit & Attack-Path Analyse
Bevor wir etwas ändern, lese ich das AD aus. Wir analysieren Gruppen, GPOs und Service-Konten. Sie erhalten eine visualisierte Schwachstellenkarte und einen priorisierten Audit-Bericht.
Sicherung der Control Plane (Tier 0)
Wir starten bei den "Kronjuwelen". Domain Controller und Admin-Konten werden isoliert. Einrichtung von dedizierten PAWs und Bereinigung der hochprivilegierten Gruppen (Enterprise Admins).
Server & Client Härtung (Tier 1/2)
Schrittweise Einführung der GPO-Baselines und Ausrollen von LAPS auf allen Servern und Endgeräten. Altlasten und Legacy-Protokolle werden nach erfolgreichem Testing im Monitoring-Modus deaktiviert.
Übergabe & Betriebshandbuch
Vollständige Dokumentation der neuen AD-Struktur, des Enterprise Access Models und aller GPOs. Nach einer strukturierten Einweisung kann Ihr internes IT-Team die gehärtete Umgebung sicher weiterbetreiben.
Enterprise-Know-how für den Bremer Mittelstand
Ich bringe praxiserprobte Konzern-Sicherheitsstandards in Ihr Unternehmen – transparent, unabhängig und auf Augenhöhe.
Erfahrung aus kritischen Umgebungen
Hauptberuflich administriere und sichere ich IT-Infrastrukturen in der europäischen Luft- und Raumfahrt unter höchsten Stabilitätsanforderungen. Genau diese Gründlichkeit bringe ich in Ihre AD-Umgebung.
Angreiferperspektive einnehmen
Ich kenne die Angriffsvektoren, die Penetrationstester und Ransomware-Gruppen zuerst ausnutzen. Ich nutze dieses Wissen defensiv, um Ihr Netzwerk wirklich sicher zu machen – nicht nur auf dem Papier.
Unabhängig & lizenzneutral
Ich bin nicht an Verkaufsziele gebunden. Ich verdiene an Beratung und sauberer Umsetzung. Keine unnötigen Software-Verkäufe, sondern Fokussierung auf bestes Engineering.
Dokumentation als Kernleistung
Vollständige Dokumentation ist kein netter Bonus, sondern Pflicht. Nach Abschluss weiß Ihr Team exakt, wie das Berechtigungskonzept aufgebaut ist. Kein Vendor-Lock-in.
Der direkte Draht
Sie sprechen direkt mit dem Engineer, der Ihre AD-Härtung plant und umsetzt – nicht mit einem Projektmanager oder einem ausgelagerten Support-Team.
Bremen & Remote
Vor Ort in Bremen und Norddeutschland für Workshops und Analysen, remote für die technische Umsetzung. Flexibel, störungsarm und verlässlich.
Der Vorher-Nachher-Vergleich
Aus einem historisch gewachsenen AD-Wildwuchs wird eine strukturierte, dokumentierte und versicherungskonforme Umgebung.
Alle IT-Mitarbeiter sind Domain-Admins – niemand weiß mehr, warum.
Saubere Rollentrennung nach dem Enterprise Access Model – jeder Admin hat einen definierten Bereich.
Ein kompromittierter Büro-PC reicht für die vollständige Domänenübernahme.
Isolation der Control Plane – Ransomware kommt vom Client nicht an die Domain Controller.
Hunderte inkonsistente GPOs, die seit Jahren niemand mehr anfasst.
Bereinigte, dokumentierte GPO-Baseline nach CIS Benchmarks – wartbar und auditierfähig.
Service-Konten mit Admin-Rechten und nie ablaufenden Passwörtern.
Gehärtete Konten (gMSA) mit minimalen Rechten, geschützt vor Kerberoasting.
Dasselbe lokale Admin-Passwort auf jedem Server und Laptop.
Automatisch rotierende, individuelle lokale Passwörter durch Microsoft LAPS.
Unklar, ob Sie aktuelle NIS2- und Versicherungsauflagen erfüllen.
Nachweisbar gehärtete Umgebung – bereit für jedes Audit und Versicherungsgespräch.
Was Sie sich vermutlich fragen
Klare Antworten auf die wichtigsten Fragen rund um AD-Härtung und Infrastruktur-Sicherheit.
Absolut. Eine historisch gewachsene, schlecht dokumentierte AD-Umgebung ist im Mittelstand die Regel, keine Ausnahme. Ich beginne mit einer strukturierten Bestandsaufnahme mittels Analyse-Tools – eine vollständige, datenbasierte Dokumentation Ihrer Umgebung ist das erste greifbare Ergebnis meiner Arbeit.
In der Regel nicht. Das Enterprise Access Model, GPO-Härtung und LAPS sind mächtige Bordmittel, die in bestehenden Windows-Server-Umgebungen bereits enthalten sind. Credential Guard setzt Windows Enterprise Edition und kompatible Hardware (UEFI, Secure Boot, Virtualisierungsunterstützung) voraus – das prüfen wir in der Bestandsaufnahme. Das meiste konfiguriere ich aus dem, was Sie ohnehin schon besitzen.
Ja. Wir implementieren schrittweise, testen ausführlich und führen kritische Änderungen an den Berechtigungen außerhalb Ihrer Kernarbeitszeiten durch. Es gibt keinen "Big-Bang", der Ihre Firma über Nacht lahmlegt.
Ein Systemhaus arbeitet in der Breite (Hardware-Rollout, Helpdesk, Office 365). Tiefgehende AD-Sicherheit, Angriffspfad-Analysen und die Einführung des Enterprise Access Models sind Spezialistenarbeit, die im Alltag eines Systemhauses zu selten vorkommt. Ich ersetze Ihr Systemhaus nicht, ich ergänze es als Experte für diese strategische Absicherung.
Der Audit und die Auswertung der Angriffspfade sind meist nach ein bis zwei Wochen abgeschlossen. Die Umsetzungsphase hängt stark von der Größe und dem Alter Ihrer Umgebung ab. Typischerweise rechnen wir bei mittelständischen Unternehmen mit vier bis acht Wochen, aufgeteilt in gut verdauliche Meilensteine.
Massiv. Versicherer fragen heute gezielt nach Privileged Access Management (PAM), Multi-Faktor-Authentifizierung (MFA) für Admins und strukturiertem Patch-/GPO-Management. Ohne diese Maßnahmen verlieren Sie den Schutz. Mit der dokumentierten EAM-Architektur belegen Sie, dass Sie den geforderten "Stand der Technik" aktiv umgesetzt haben.
Ihr Active Directory ist das Fundament Ihrer IT. Gebaut wurde es meistens in einer Zeit, als Ransomware noch kein Begriff war. Seitdem wurde es nur noch erweitert, fast nie aufgeräumt und schon gar nicht grundlegend hinterfragt. Genau auf diesen blinden Fleck warten Angreifer.
Gilt das auch für Ihre Cloud-Identitäten?
Das lokale AD und Microsoft Entra ID sind fast immer untrennbar verbunden. Wer Ihr lokales Netz kompromittiert, spaziert ohne zusätzliche Hürde direkt in Ihren Microsoft 365-Tenant durch.
Wer schützt den Zugang von außen?
Ein sauberes Berechtigungskonzept sichert das Innere. Aber wer kontrolliert kompromisslos, wer von außen überhaupt an diese Systeme herankommt? Ohne eine moderne Firewall-Architektur ist die interne Härtung nur die halbe Miete.