**
Seit dem April-Update 2026 läuft der Authentifizierungsdienst von Windows-Domänencontrollern im AES-Modus für Konten ohne definierte Verschlüsselungseinstellungen. Der alte RC4-Standard fällt als Rückfallebene weg – und damit eine jahrzehntealte Sicherheitslücke. Unternehmen haben noch bis Juli zeit, ihre Systeme anzupassen.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen und welche neuen Bedrohungen auf Sie zukommen, erfahren Sie in diesem kostenlosen E-Book. Sichern Sie Ihre Firma ohne großes Budget gegen aktuelle Angriffe ab. Gratis-E-Book: Cyber Security Trends jetzt herunterladen
AES wird Pflicht – RC4 endgültig abgeschaltet
Die Umstellung adressiert die Sicherheitslücke CVE-2026-20833 im Kerberos-Protokoll. Angreifer konnten über schwache Verschlüsselung an Zugangsdaten von Dienstkonten gelangen. Microsoft hatte die schrittweise Abschaltung von RC4-HMAC bereits Anfang 2026 eingeleitet.
Seit den kumulativen Updates vom April arbeitet der Key Distribution Center (KDC) standardmäßig im AES-Modus. Konkret: Für Konten, deren Verschlüsselungstyp in Active Directory nicht explizit gesetzt ist (null-Wert), greift nun AES-SHA1 statt des unsicheren RC4. Damit schließt Microsoft eine Angriffsmöglichkeit, die als Kerberoasting bekannt ist: Angreifer forderten Diensttickets mit schwachen Hashes an und knackten sie offline.
Administratoren können einzelne Domänencontroller vorübergehend in einen „Audit-Modus“ versetzen – über den Registrierungsschlüssel RC4DefaultDisablementPhase. Diese Möglichkeit läuft jedoch im Juli aus.
Rekord-Patch-Zyklus im April
Die Kerberos-Härtung fiel mit einem der umfangreichsten Sicherheitsupdates der Microsoft-Geschichte zusammen. Der April-Patch-Tuesday schloss insgesamt 163 Schwachstellen – der zweitgrößte Wert aller Zeiten nach Oktober 2025. Sicherheitsforscher von Tenable sehen darin einen neuen Trend: Jährlich werden offenbar über 1.000 Schwachstellen adressiert.
Besondere Aufmerksamkeit erfordert der Active-Directory-Fehler CVE-2026-33826. Verzeichnisdienste stehen im Zentrum der Identitätsverwaltung – Fehler hier ermöglichen laterale Bewegungen im Netzwerk. Die Kombination aus Kerberos-Umstellung und der Vielzahl kritischer Schwachstellen belastet die Patch-Prozesse vieler Unternehmen erheblich.
Microsoft hat zudem neue Überwachungsfunktionen eingeführt: Dashboards und automatisierte Warnungen in Microsoft Defender for Identity zeigen verdächtige Aktivitäten an – etwa unautorisierte Änderungen an RBCD-Attributen (Resource-Based Constrained Delegation). So sollen Sicherheitsteams echte Angriffe von harmlosen Authentifizierungsfehlern unterscheiden können.
Kompatibilitätsprobleme – wer betroffen ist
Die Umstellung auf AES-SHA1 verursacht Betriebsstörungen – vor allem bei:
- Legacy-Dienstkonten
- NAS-Systemen (Network Attached Storage)
- Bestimmten Profilverwaltungslösungen
Besonders betroffen: FSLogix-Kunden, deren Profilspeicher über SMB-Freigaben mit Active Directory verbunden ist. Wenn diese Umgebungen oder die zugreifenden Konten explizit auf RC4-Verschlüsselung ausgelegt sind, schlägt die Authentifizierung fehl. Systeme ohne AES-SHA1-Unterstützung werden faktisch ausgesperrt.
Sicherheitsexperten empfehlen für Mai folgende Schritte:
- Attribut-Prüfung: Active-Directory-Objekte identifizieren, bei denen
msDS-SupportedEncryptionTypesnicht gesetzt ist - Audit-Logs überwachen: Geräte oder Konten erkennen, die noch RC4 verwenden
- Verschlüsselung anpassen: Dienstkonten und Legacy-Anwendungen explizit auf moderne Standards konfigurieren
Die meisten modernen Speicherkonten sind bereits auf AES-256 eingestellt und bleiben verschont. Der Aufwand liegt in den „Randfällen“ mit alter Infrastruktur.
Während Microsoft die technische Infrastruktur härtet, nutzen Cyberkriminelle oft psychologische Schwachstellen der Mitarbeiter aus. Dieser neue Gratis-Report enthüllt aktuelle Methoden der Angreifer und zeigt, wie Sie Ihr Unternehmen wirksam schützen können. Kostenloses Anti-Phishing-Paket jetzt sichern
Hintergrund: Das Ende einer Ära
RC4 blieb jahrzehntelang aus Kompatibilitätsgründen im Kerberos-Protokoll – für alte Windows-Versionen und Drittanbieter. Doch die Schwachstelle war bekannt: Kerberoasting nutzte genau diese Rückfallebene aus. Angreifer stahlen Diensttickets und knackten Passwörter offline.
Mit der Durchsetzung von AES-SHA1 als Minimum für Null-Typ-Konten schließt Microsoft die Hauptangriffsfläche. Die Maßnahme reiht sich ein in den schrittweisen Abschied von NTLM zugunsten von Kerberos – und folgt ähnlichen Härtungen bei Kerberos-Sitzungsschlüsseln aus Vorjahren.
Juli 2026: Kein Zurück mehr
Unternehmen haben ein schmales Zeitfenster von etwa zwei Monaten. Microsoft hat bestätigt: Mit der „Final Enforcement Phase“ im Juli 2026 wird der Registrierungsschlüssel RC4DefaultDisablementPhase entfernt. Der Audit-Modus fällt dann endgültig weg.
Nach dem Juli-Update ist das sichere Verhalten programmatisch erzwungen – auf allen betroffenen Systemen, von Windows Server 2008 (unter Premium Assurance) bis Windows Server 2025. Für Sicherheitsteams ist der Mai die letzte Gelegenheit, Dienstkonten, SMB-Freigaben und übergreifende Vertrauensstellungen auf AES-Kompatibilität zu testen.
