Der 33 Jahre alte Authentifizierungsstandard NTLM wird zur Sicherheitsfalle. Microsoft forciert die Ablösung – und setzt IT-Teams unter Zeitdruck.
Die Uhr tickt für Unternehmen, die noch auf die veraltete NTLM-Authentifizierung setzen. Mit mehreren Sicherheitsdeadlines und kritischen Schwachstellen hat Microsoft diese Woche den Druck auf IT-Abteilungen erhöht. Der Konzern treibt seine mehrjährige Strategie zur Abschaffung des Protokolls konsequent voran – und die jüngsten Exploits zeigen, warum das überfällig ist.
Angreifer nutzen Sicherheitslücken in alten Protokollen gezielt aus, um sensible Unternehmensdaten zu stehlen. Dieser kostenlose Report zeigt Ihnen, wie Sie sich mit modernen Methoden wie Passkeys effektiv gegen Phishing und Datenklau schützen können. Passkey-Ratgeber jetzt kostenlos herunterladen
„BlueHammer“ und weitere Schwachstellen: Die Risiken werden konkret
Am 6. Mai 2026 lief eine entscheidende Frist ab: Die US-Cybersicherheitsbehörde CISA hatte Unternehmen aufgefordert, eine kritische Sicherheitslücke zu schließen. Die als „BlueHammer“ (CVE-2026-33825) bekannte Schwachstelle nutzt eine Race-Condition in Microsoft Defender aus, um NTLM-Passwort-Hashes aus der SAM-Datenbank zu extrahieren. Das Tückische: Selbst normale Benutzer konnten damit Systemrechte erlangen – und die modernen Schutzmechanismen umgehen.
Parallel dazu sorgt eine weitere Lücke für Unruhe. Die Schwachstelle CVE-2026-32202 ermöglicht einen sogenannten Zero-Click-Angriff: Ein Nutzer muss lediglich einen Ordner mit einer manipulierten Verknüpfung öffnen, schon startet automatisch ein NTLM-Handshake. Die gekaperten Zugangsdaten landen auf einem Server der Angreifer. „Das zeigt, dass reines Patchen nicht mehr reicht“, kommentieren Sicherheitsexperten die Entwicklung. „Die Architektur von NTLM ist grundlegend anfällig für Relay- und Pass-the-Hash-Angriffe.“
Windows 11-Härtung legt versteckte Abhängigkeiten offen
Die jüngsten Sicherheitsupdates für Windows 11 haben zudem unerwartete Nebenwirkungen. Eine neue Maßnahme blockiert die Authentifizierung zwischen geklonten Maschinen mit identischen Sicherheitskennungen (SIDs). Was den Identitätsdiebstahl verhindern soll, führt in virtualisierten Umgebungen zu Ausfällen bei Remote Desktop und SMB-Verbindungen. Der Grund: Viele dieser Verbindungen nutzen noch immer NTLM als Fallback. IT-Teams müssen nun ihre Migration zu Kerberos beschleunigen.
Microsoft schließt Lücke für „Deny-All“-Politik
Am 5. Mai veröffentlichte Microsoft ein automatisches Update für den Entra Connect Provisioning Agent (Version 2334.0). Der Fix adressiert ein zentrales Problem: Bisher scheiterten Unternehmen, die NTLM komplett blockieren wollten, an bestimmten On-Premises-Anwendungen mit ECMA-Connectors. Diese funktionierten nicht mehr, selbst wenn Kerberos verfügbar war. Der Schritt ist Teil der „Secure-by-Default“-Strategie des Konzerns.
Microsoft setzt dabei auf verbesserte Überwachungstools in Windows Server 2025 und Windows 11 24H2. Diese erlauben es Sicherheitsteams, jede einzelne NTLM-Nutzung zu protokollieren. Die Daten sind essenziell für die nächste Phase der Roadmap – denn sie zeigen, wo alte Drucker, veraltete Service-Konten oder hartcodierte Anwendungen noch auf das Legacy-Protokoll angewiesen sind.
Während Microsoft die Sicherheit von Windows 11 stetig verschärft, stehen viele Anwender beim Umstieg vor technischen Hürden oder Fehlermeldungen. Der kostenlose PDF-Report „Erste Hilfe für Windows 11“ bietet Ihnen konkrete Schritt-für-Schritt-Anleitungen, um typische Probleme eigenständig und ohne teure IT-Hilfe zu lösen. Kostenlosen Windows 11 Hilfe-Report sichern
Der Drei-Stufen-Plan: Was auf Unternehmen zukommt
Microsofts offizielle Abschaltung von NTLM läuft seit Mitte 2024 in drei Phasen:
Phase 1 (aktuell): Fokus auf Transparenz und Kontrolle durch umfassende Protokollierung aller NTLM-Aktivitäten.
Phase 2 (ab zweites Halbjahr 2026): Die größte technische Herausforderung. Microsoft führt zwei Schlüsselfunktionen ein:
– IAKerb: Ermöglicht Kerberos auch dann, wenn kein direkter Kontakt zu einem Domain-Controller besteht – etwa bei Remote-Zugriffen.
– Lokales KDC: Erlaubt die Authentifizierung lokaler Konten per Kerberos-Ticket, ohne NTLM.
Phase 3: Netzwerk-NTLM wird standardmäßig deaktiviert – mit dem nächsten großen LTSC-Release von Windows Server. Ein konkretes Datum steht noch nicht fest.
Ein wichtiger Zwischenschritt kommt bereits im Oktober 2026: Dann will Microsoft den BlockNTLMv1SSO-Registrierungsschlüssel standardmäßig auf „Erzwingen“ setzen. Das bedeutet das Ende für die schwächste und älteste Version des Protokolls.
Vier Schritte zur Migration – jetzt handeln
Für IT-Abteilungen und Managed Service Provider wird die NTLM-Ablösung zur strategischen Priorität. Die Komplexität moderner Netzwerke – eine Mischung aus Cloud-Diensten, lokalen Legacy-Anwendungen und Drittanbieter-Tools – macht einen radikalen Umstieg unmöglich. Experten empfehlen für das Frühjahr 2026 einen Vier-Stufen-Plan:
- Audit durchführen: Die aktuellen Protokollierungsrichtlinien bereitstellen und NTLM-Ereignis-IDs (insbesondere 4024 und 8004) identifizieren.
- Drittanbieter kontaktieren: Hersteller anschreiben, deren Software noch auf NTLMv1 oder hartcodierte NTLM-Handshakes setzt.
- Kerberos testen: Reine Kerberos-Umgebungen in isolierten Testsystemen auf Kompatibilität prüfen.
- Oktober 2026 im Blick: Die NTLMv1-Sperre als ersten großen Test der Migrationsbemühungen nutzen.
Die Branche sieht in der Abschaltung von NTLM einen notwendigen Schritt in eine passwortlose Zukunft. Kerberos mit seinen zeitgestempelten Tickets und der gegenseitigen Authentifizierung macht es Angreifern deutlich schwerer. Für IT-Teams heißt das: Jetzt handeln, bevor die Zeit davonläuft.
