Von Hakan Akcan · Reepa Solutions
Active Directory ist in praktisch jedem deutschen Mittelständler das zentrale Nervensystem der IT — Anmeldungen, Berechtigungen, Gruppenrichtlinien, Datei-Zugriffe, Cloud-Anbindung über Entra ID. Genau deshalb ist es seit Jahren der häufigste Eintrittsvektor bei schweren Ransomware-Vorfällen im Mittelstand. Wer hier nicht systematisch härtet, riskiert in einer einzigen Nacht den Verlust ganzer Standorte: verschlüsselte Dateiserver, zerstörte Backups, stillstehende Produktion. Diese Praxis-Checkliste zeigt, welche Härtungs-Maßnahmen für mittelständische Unternehmen den höchsten Schutz-Hebel haben, in welcher Reihenfolge sie sinnvoll sind, was sie kosten und welche Monitoring-Vendoren am Markt etabliert sind. Sie ergänzt unseren Cybersecurity-Guide für den Mittelstand, in dem wir den breiteren Verteidigungs-Rahmen mit NIS2, ISO 27001 und Incident Response einordnen.
Warum AD-Härtung Vorstandsthema ist: Ransomware, Haftung, Versicherung
Für Geschäftsleitung, CFO und IT-Leitung ist Active Directory längst nicht mehr nur ein operatives Thema, sondern ein klassischer Vorstands-Posten. Die Allianz hat im Risk Barometer 2025 erneut Cyber-Vorfälle als das wichtigste Geschäftsrisiko in Deutschland markiert. Bei den schwersten Vorfällen — Produktions-Stillstand, Lieferketten-Unterbrechung, sechs- bis siebenstelliger Schaden — läuft der Eintritt in über 80 Prozent der dokumentierten Fälle über die Identitäts-Verwaltung. Eine ungehärtete AD-Umgebung wirkt für versierte Bedrohungsakteure wie ein offen liegender Hauptschlüssel zum ganzen Haus.
Drei regulatorische Verstärker erhöhen den Druck. Erstens DSGVO Artikel 32: technische und organisatorische Maßnahmen müssen dem Stand der Technik entsprechen. Eine AD-Umgebung ohne MFA für Domain-Admin-Konten, ohne sauberes Tiering und ohne aktives Monitoring ist nach gefestigter Verwaltungs-Praxis nicht mehr Stand der Technik. Zweitens NIS2: seit Oktober 2024 in Kraft, mit persönlicher Haftung der Geschäftsleitung. Drittens die Cyber-Versicherung: nahezu alle Versicherer verlangen heute Nachweise zu MFA, getrennten Administrations-Konten und DC-Logging — ohne diese Nachweise gibt es entweder keine Police oder die Prämien steigen erheblich.
Auch das Lieferketten-Risiko wächst. Industriekunden, Krankenhaus-Verbünde und KRITIS-Betreiber verlangen von Zulieferern zunehmend eine schriftliche Erklärung zur AD-Härtung. Wer keine sauberen Antworten geben kann, verliert Aufträge oder muss in beschleunigten Audits unter Druck nachweisen.
Das Tiering-Modell: drei klare Schutzebenen
Die zentrale organisatorische Schutzmaßnahme heißt Konten-Tiering. Microsoft empfiehlt sie seit über zehn Jahren, das BSI hat sie in den IT-Grundschutz integriert, und sie ist die wirksamste Einzelmaßnahme, die nichts außer Disziplin und konsequenter Schulung kostet. Das Modell trennt administrative Zugriffsebenen vollständig voneinander, sodass eine betroffene Workstation niemals als Sprungbrett für höhere Administrations-Konten dienen kann.
Identitäts- und Steuerungsebene
Domain-Controller, Entra-ID-Verbund, PKI, Backup-Server der Identitäts-Systeme, Hypervisor mit Domain-Controllern. Anmeldung ausschließlich von dedizierten, gehärteten Tier-0-Arbeitsplätzen.
Server- und Anwendungs-Ebene
Datei-Server, Fachanwendungs-Server, Datenbanken, Anwendungs-Cluster. Eigene Tier-1-Administrations-Konten, getrennte Tier-1-Verwaltungsstationen, keine Anmeldung auf Workstations.
Workstation- und Endgeräte-Ebene
Benutzer-Arbeitsplätze, Drucker, mobile Endgeräte. Helpdesk-Konten dürfen ausschließlich auf Tier 2 arbeiten. Keinerlei Schreibzugriff auf Tier-0- oder Tier-1-Komponenten.
Die Grundregel lautet: Administrations-Konten höherer Tiers dürfen sich niemals an Geräten niedrigerer Tiers anmelden. Ein Domain-Admin meldet sich nie an einer Standard-Workstation an. Ein Server-Admin verwaltet keine Drucker. Diese strikte Trennung wird durch eigene Anmelde-Geräte ergänzt — sogenannte Privileged Access Workstations für Tier 0 und Jump-Hosts für Tier 1. Diese Geräte sind dediziert, gehärtet, ohne Internet-Zugang, mit eigener Bitlocker-Verschlüsselung und einem reduzierten Anwendungs-Profil. In der Mittelstands-Praxis genügen oft drei bis fünf solcher Geräte, die zentral verwaltet werden.
Die schwierigste Disziplin am Tiering ist nicht die technische Einführung, sondern die Beibehaltung im Alltag. Wer Tiering einführt, muss eine Identitäts-Governance verankern — quartalsweise Reviews, dokumentierte Ausnahmen, automatisierte Berichte. Ohne diesen Prozess bröckelt das Modell nach 12 bis 18 Monaten.
LAPS: das lokale Administrator-Passwort als zentrale Schutzschicht
Die zweite Pflicht-Maßnahme ist die lokale Administrator-Passwort-Lösung, in Windows 11 und Server 2022 unter dem Namen Windows LAPS direkt integriert, in älteren Umgebungen über die kostenfreie Microsoft-LAPS-Erweiterung verfügbar. Das Prinzip ist einfach: jeder Rechner bekommt ein anderes, regelmäßig automatisch rotiertes lokales Administrator-Passwort, das verschlüsselt im Active Directory abgelegt und für berechtigte Helpdesk-Konten abrufbar ist.
Ohne LAPS teilen sich in der Praxis nahezu alle Workstations und ein erheblicher Teil der Server dasselbe Local-Admin-Passwort — eine Folge typischer Image-Verteilung. Ein einziger betroffener Endpunkt eröffnet damit den Zugang zu allen anderen Geräten mit demselben Image. Diese horizontale Ausbreitung im Netzwerk ist einer der wichtigsten Hebel jeder Ransomware-Kampagne. Mit LAPS ist sie wirksam unterbrochen: pro Gerät ein eigenes, mindestens 14-stelliges Zufalls-Passwort, automatische Rotation nach Abruf, vollständige Audit-Spur.
LAPS ist kostenfrei, Microsoft-eigen und gilt nach BSI-Grundschutz als Stand der Technik. In der Reepa-Audit-Praxis sehen wir trotzdem regelmäßig Umgebungen, in denen LAPS nur teilweise oder gar nicht aktiviert ist. Der Aufwand für eine vollständige Einführung in einem Unternehmen mit 500 bis 1.500 Endgeräten liegt bei drei bis sieben Personentagen — Stunde für Stunde eine der wirtschaftlichsten Schutz-Investitionen.
MFA für privilegierte Konten und Kerberos-Härtung
Mehrfaktor-Authentifizierung gehört auf jedes Konto mit administrativen Rechten — ohne Ausnahme. Für reine Domain-Umgebungen lässt sich MFA über Entra ID und Azure Conditional Access oder über lokale Anbieter wie Yubico, Duo Security oder die in vielen Identity-Providern integrierten Push-Verfahren umsetzen. Entscheidend ist nicht das Produkt, sondern die konsequente Erzwingung: jede Sitzung eines Tier-0- oder Tier-1-Kontos beginnt mit einem zweiten Faktor, idealerweise FIDO2-basiert.
Die Kerberos-Härtung adressiert die kryptografischen Eigenschaften des Anmelde-Protokolls. Die wichtigsten defensiven Konfigurationen sind durchgängig: AES-128- und AES-256-Verschlüsselung als alleiniger Standard, vollständige Abschaltung von RC4 und DES, Aktivierung der Kerberos-Vorauthentifizierung für alle Konten, kurze Ticket-Lebenszeiten für privilegierte Sitzungen und die strikte Vermeidung des Attributs „unconstrained delegation" auf Domain-Controllern und sensiblen Servern. Hinzu kommt die Einführung von Group Managed Service Accounts für alle Service-Konten, da diese mit langen Zufalls-Passwörtern arbeiten, die Windows alle 30 Tage automatisch rotiert. Klassische Service-Konten mit statischem Passwort bleiben ein Schwachpunkt — der Wechsel auf gMSA gehört in jede Härtungs-Roadmap.
Wir gehen hier bewusst nicht auf konkrete Bedrohungsszenarien ein, die diese Konfigurationen adressieren. Die fachlichen Details sind Teil eines geführten Audits oder einer dedizierten Schulung — entscheidend für die Geschäftsleitung ist, dass die defensiven Einstellungen vorhanden, dokumentiert und in regelmäßigen Abständen geprüft sind.
Kostenloser AD-Härtungs-Quick-Check
Wir prüfen Ihre Active-Directory-Umgebung in einem strukturierten Gespräch gegen die wichtigsten Härtungs-Kontrollen — Konten-Tiering, LAPS, MFA für privilegierte Konten, Monitoring, Backup-Trennung. Sie erhalten eine schriftliche Kurz-Auswertung mit Ampel-Bewertung und priorisierten Empfehlungen.
Kostenlosen AD-Härtungs-Quick-Check anfordernAudit-Logging und SIEM-Integration
Härtung ohne Sichtbarkeit ist Stückwerk. Die zentrale Voraussetzung für jede ernsthafte AD-Verteidigung ist eine vollständige, zentral ausgewertete Audit-Spur. Auf Domain-Controllern, Mitgliedsservern und Workstations werden Sicherheits-Ereignisse erzeugt — Anmeldungen, Berechtigungs-Änderungen, Gruppen-Modifikationen, Konten-Erstellungen. Diese Ereignisse gehören in ein SIEM, in dem sie korreliert, alarmiert und für 90 bis 365 Tage aufbewahrt werden.
Mittelständische Unternehmen wählen typischerweise zwischen drei Wegen: Microsoft Sentinel als Cloud-SIEM mit nativer Anbindung an Entra ID und Defender for Identity, Splunk Enterprise Security mit hohem Reifegrad und entsprechenden Lizenzkosten, oder Open-Source-Stacks wie Wazuh und Elastic Security mit niedrigen Lizenz- aber hohen Pflegekosten. Welcher Weg sinnvoll ist, hängt vom Reifegrad des Teams, der Cloud-Strategie und dem Budget ab.
Wichtig sind klare Use Cases: ungewöhnliche Anmeldungen außerhalb der Arbeitszeit, Zugriffe von neuen Endgeräten, Änderungen an privilegierten Gruppen, ungewöhnliche Service-Ticket-Anfragen, Manipulationen an Gruppenrichtlinien. Diese Use Cases sind Branchen-Standard und in nahezu allen SIEM-Produkten als Vorlage verfügbar. Aufwand: zehn bis fünfzehn Personentage Erstausstattung, ein halber bis ganzer Tag pro Woche laufende Pflege.
Monitoring-Vendoren: vier Kategorien im Überblick
Über generisches SIEM hinaus existiert ein etablierter Markt für AD-spezifische Monitoring- und Schutz-Plattformen. Wir empfehlen Mittelständlern, sich nicht in Vendor-Vergleichen zu verlieren, sondern an der eigenen IT-Strategie zu orientieren. Vier Kategorien sind verbreitet.
Microsoft-eigene Plattformen. Microsoft Defender for Identity (vormals Azure ATP) ist die naheliegende Wahl für Unternehmen mit Microsoft-365-E5- oder ergänzenden Defender-Lizenzen. Die Anbindung an Domain-Controller läuft über einen leichten Sensor, die Auswertung erfolgt in der Microsoft-Cloud, die Integration in Sentinel ist nahtlos.
Tenable Identity Exposure. Statische Bewertung der AD-Konfiguration, kontinuierliche Erkennung neuer Privilegierungs-Pfade, klare Priorisierung nach Risiko. Stark bei Compliance-Berichten und Visualisierung der Angriffs-Pfade.
Semperis Directory Services Protector. Schwerpunkt auf Wiederherstellung nach einem Vorfall: Forest-Recovery-Funktionen, Backup der AD-Strukturen außerhalb des AD selbst, automatisierte Roll-back-Optionen. Besonders relevant für regulierte Branchen und kritische Infrastrukturen.
Quest Change Auditor. Klassische Audit-Lösung mit langer Marktpräsenz. Detaillierte Aufzeichnung jeder AD-Änderung mit benutzerfreundlichen Reports — vor allem dort gefragt, wo Wirtschafts-Prüfer regelmäßige Nachweise verlangen.
Eine eigene Empfehlung aus jüngeren Mandaten: in mittelständischen Umgebungen unter 1.000 Mitarbeitenden mit Microsoft-365-E5 reicht Defender for Identity in vier von fünf Fällen aus. Spezialisierte Plattformen lohnen sich, sobald Compliance-Druck (NIS2-Sektor, KRITIS), Multi-Forest-Komplexität oder eigenständige Disaster-Recovery-Anforderungen ins Spiel kommen. Wer beim AD-Audit zusätzlich eine Außensicht braucht, sollte unseren Cluster zu Penetrationstest-Ablauf und zur Red-Team-vs-Pentest-Abgrenzung mitlesen.
Was kostet die Härtung im Mittelstand?
Die Kosten hängen vom Reifegrad der Ausgangs-Umgebung, der Anzahl der Domains und Standorte und der Auswahl der Monitoring-Plattform ab. Die folgende Übersicht zeigt typische Spannen für ein mittelständisches Unternehmen mit ein bis drei Domains und 200 bis 1.500 Mitarbeitenden. Sie ist als Orientierung gedacht, nicht als verbindliches Angebot — präzise Zahlen brauchen einen kurzen Scope-Workshop.
| Maßnahmen-Cluster | Aufwand (PT) | Externer Berater (€) | Lizenzkosten p.a. (€) |
|---|---|---|---|
| Konten-Inventar, Domain-Admin-Reduktion, Stale-Account-Cleanup | 4–8 | ab 5.000 | — |
| Tier-Modell-Einführung inkl. Privileged Access Workstations | 10–20 | ab 12.000 | geringe Hardware-Kosten |
| LAPS / Windows LAPS Roll-out | 3–7 | ab 3.500 | — |
| MFA für Tier-0- und Tier-1-Konten | 4–8 | ab 4.500 | 3.000–10.000 |
| Kerberos-Härtung und gMSA-Migration | 5–10 | ab 6.000 | — |
| SIEM-Anbindung und Use-Case-Bibliothek | 10–15 | ab 10.000 | 10.000–40.000 |
| AD-Monitoring-Plattform (Defender for Identity, Tenable, Semperis) | 3–6 | ab 4.000 | 5.000–25.000 |
| Identitäts-Governance und quartalsweise Reviews | laufend 2–4 PT/Quartal | nach Vereinbarung | — |
In Summe bewegt sich ein vollständiges Härtungs-Projekt zwischen 25.000 und 60.000 Euro einmalige Beratung, 40 bis 80 Personentage Inhouse-Aufwand über sechs bis neun Monate und 8.000 bis 35.000 Euro Lizenzkosten pro Jahr. Gegenüber dem typischen Ransomware-Schaden — Allianz Risk Barometer 2025 nennt durchschnittlich 1,8 Millionen Euro pro Vorfall im deutschen Mittelstand — ist diese Investition gering und in der Regel innerhalb des ersten verhinderten Vorfalls amortisiert.
Quick-Wins: was sich in zwei bis vier Wochen umsetzen lässt
Nicht jedes Unternehmen kann mit einem mehrmonatigen Härtungs-Projekt starten. Drei Quick-Wins lassen sich erfahrungsgemäß innerhalb von zwei bis vier Wochen umsetzen und entfernen den Großteil der ausnutzbaren Privilegierungs-Pfade.
- Domain-Admin-Konten-InventarVollständige Liste aller Konten mit Mitgliedschaft in den Gruppen Domain Admins, Enterprise Admins, Schema Admins, Account Operators und Server Operators. Reduktion auf drei bis fünf benannte Konten, alle anderen entfernen oder herabstufen. Diese eine Maßnahme schließt erfahrungsgemäß 30 Prozent der ausnutzbaren Privilegierungs-Pfade.
- Service-Konten-AuditInventar aller Service-Konten, Identifikation veralteter oder ungenutzter Einträge, schrittweiser Wechsel der aktiven Service-Konten auf Group Managed Service Accounts. Service-Konten mit Domain-Admin-Mitgliedschaft sind die häufigste Ursache stiller Privilegierungs-Eskalation und gehören sofort auf den Prüfstand.
- Stale-Account-CleanupDeaktivierung aller Benutzerkonten ohne Anmeldung in den letzten 90 Tagen, Archivierung nach 180 Tagen, Löschung nach 365 Tagen. Reduziert die Angriffsfläche, vereinfacht die Lizenzpflege und ist Pflicht-Nachweis in DSGVO- und NIS2-Audits.
- MFA für Tier-0-KontenMehrfaktor-Authentifizierung für alle Konten mit Domain-Admin-Rechten, idealerweise FIDO2-basiert. Dies ist die wirksamste Einzelmaßnahme gegen den missbräuchlichen Einsatz erbeuteter Anmelde-Daten und ist innerhalb weniger Tage umsetzbar, sobald die Identitäts-Plattform vorhanden ist.
- LAPS auf allen EndpunktenVollständiger Roll-out der Windows-LAPS-Konfiguration über Gruppenrichtlinien, Überwachung der Rotation, Audit der Helpdesk-Abrufe. Die Maßnahme ist kostenfrei und unterbricht eine der häufigsten Ausbreitungs-Pfade in Ransomware-Vorfällen.
Wer diese fünf Quick-Wins konsequent umsetzt, hebt das Sicherheits-Niveau der eigenen AD-Umgebung in vier bis sechs Wochen messbar an — ohne neue Lizenzkosten, ohne Architektur-Umbau und ohne Stillstand im Tagesgeschäft.
Wann externe Unterstützung sinnvoll ist
Manche Mittelständler haben starke Microsoft-Spezialisten im eigenen Team und können die Härtung weitgehend inhouse stemmen. In diesem Fall lohnt sich externe Hilfe vor allem für drei Aufgaben: erstens eine unabhängige Bestands-Aufnahme zu Beginn, die typische blinde Flecken aufzeigt; zweitens ein begleitendes Coaching während der ersten Tiering-Einführung, weil hier viele Detail-Entscheidungen über den späteren Erfolg entscheiden; drittens eine jährliche externe Bewertung, weil interne Teams nach einigen Monaten betriebsblind gegenüber den eigenen Architektur-Entscheidungen werden.
Unternehmen ohne dedizierte Identitäts-Spezialisten sollten den Großteil des Projekts mit einem externen Partner planen und ein internes Team-Mitglied als Produkt-Eigentümer benennen, das mitlernt und nach Abschluss die laufende Pflege übernimmt. Das verkürzt das Projekt erheblich und sichert die Nachhaltigkeit. Eine konkrete Erfahrung aus einem unserer jüngeren Mandate: bei einem deutschen Anlagenbauer mit knapp 900 Mitarbeitenden konnten wir mit einem dreimonatigen Härtungs-Projekt die Zahl der ausnutzbaren Privilegierungs-Pfade — gemessen mit einem Industrie-Standard-Werkzeug — von über 1.400 auf unter 50 senken, bei einer einmaligen Investition von rund 42.000 Euro Beratungs-Honorar. Lesen Sie ergänzend unsere Praxis-Erfahrung zur hybriden Cloud-Migration eines Mittelständlers, bei der die AD-Härtung als integraler Teil mitgedacht wurde.
Wer NIS2 oder ISO 27001 als Compliance-Treiber hat, sollte die AD-Härtung in den größeren Rahmen einordnen. Unsere Cluster zur NIS2-Richtlinie für den Mittelstand, zur ISO-27001-Zertifizierung und zur DSGVO-IT-Sicherheits-Checkliste erklären die jeweilige Einbettung im Detail. Für die Gesamtstrategie verweisen wir zurück auf unsere Pillar-Seite Cybersecurity für den Mittelstand.
Häufige Fragen
Warum ist Active Directory der häufigste Eintrittsvektor bei Ransomware im Mittelstand?
Active Directory bündelt in praktisch jedem mittelständischen Unternehmen die Anmeldungen, Berechtigungen und Datei-Zugriffe sämtlicher Windows-Server und Arbeitsplätze. Wer die zentrale Identitäts-Verwaltung übernimmt, kontrolliert effektiv das ganze Unternehmen. Genau deshalb fokussieren sich Ransomware-Akteure und ihre Affiliate-Programme auf diese Komponente — sie ist der einzige Weg, in akzeptabler Zeit flächendeckend Schaden anzurichten. Studien des BSI und der Allianz-Sicherheitsversicherung zeigen, dass über 80 Prozent der schweren Ransomware-Vorfälle in Deutschland 2024 und 2025 über den Verlust der Domain-Kontrolle abliefen.
Was ist das Konten-Tiering-Modell und warum ist es so wirksam?
Das Tiering-Modell ist die Microsoft-Standard-Empfehlung zur Trennung administrativer Zugriffsebenen. Tier 0 umfasst Domain-Controller und Identitäts-Systeme, Tier 1 alle Anwendungs-Server, Tier 2 alle Workstations und Endgeräte. Admins eines höheren Tiers dürfen sich niemals an Geräten eines niedrigeren Tiers anmelden. Eine betroffene Workstation lässt sich dann nicht mehr als Sprungbrett für die Übernahme höherer Administrations-Konten verwenden. Das Modell ist die wirksamste organisatorische Schutzschicht und kostet außer Disziplin und Schulung kaum Geld.
Was ist LAPS und warum gilt es als Pflicht-Härtungsmaßnahme?
LAPS (Local Administrator Password Solution, seit Windows 11 und Server 2022 als Windows LAPS integriert) sorgt dafür, dass jeder Rechner ein anderes, regelmäßig automatisch rotiertes lokales Administrator-Passwort hat. Ohne LAPS teilen sich in der Praxis nahezu alle Workstations dasselbe Passwort. Eine einzige betroffene Workstation öffnet damit den Zugang zu allen anderen. Mit LAPS ist diese horizontale Ausbreitung im Netzwerk wirksam unterbrochen. Die Maßnahme ist kostenfrei, Microsoft-eigen und gilt nach BSI-Grundschutz als Stand der Technik.
Welche Monitoring-Produkte empfehlen sich für die AD-Überwachung im Mittelstand?
Vier Vendor-Kategorien sind verbreitet: Microsoft Defender for Identity (vormals Azure ATP) als Microsoft-eigene Lösung, Tenable Identity Exposure für statische Konfigurations-Bewertung und Privilegierungs-Pfade, Semperis Directory Services Protector mit Schwerpunkt auf Wiederherstellung nach einem Vorfall sowie Quest Change Auditor als klassische Audit-Lösung. Für mittelständische Unternehmen mit Microsoft-365-Lizenzen ist Defender for Identity der schnellste Einstieg. Spezialisierte Plattformen wie Tenable oder Semperis lohnen sich bei höherem Reifegrad oder regulierten Branchen.
Was kostet die vollständige Härtung in einem mittelständischen Unternehmen?
Für eine typische Umgebung mit ein bis drei Domains und 200 bis 1.500 Mitarbeitenden liegen die einmaligen Beratungs-Kosten bei einem externen Partner zwischen 25.000 und 60.000 Euro, je nach Reifegrad und Anzahl der Standorte. Inhouse-Aufwand summiert sich auf 40 bis 80 Personentage über sechs Monate. Hinzu kommen Lizenzkosten für Monitoring-Werkzeuge zwischen 8.000 und 35.000 Euro pro Jahr. Gegenüber dem typischen Schaden eines Ransomware-Vorfalls — Allianz Risk Barometer 2025 nennt im deutschen Mittelstand durchschnittlich 1,8 Millionen Euro pro Vorfall — ist diese Investition gering.
Welche Quick-Wins lassen sich kurzfristig umsetzen?
Drei Maßnahmen wirken sehr schnell und kosten wenig: erstens ein vollständiges Inventar aller Konten mit Domain-Admin-Rechten und Reduktion auf typischerweise drei bis fünf Konten, zweitens ein Audit aller Service-Konten samt Identifikation veralteter oder ungenutzter Einträge, drittens die Bereinigung inaktiver Benutzerkonten älter als 90 Tage. Diese drei Quick-Wins entfernen erfahrungsgemäß 60 bis 70 Prozent der ausnutzbaren Privilegierungs-Pfade ohne jede Software-Investition und sind in zwei bis vier Wochen erledigt.
Bereit, Ihre Active-Directory-Sicherheit auf das nächste Level zu heben?
Sprechen wir 30 Minuten unverbindlich. Wir gehen mit Ihnen die wichtigsten Härtungs-Kontrollen durch, identifizieren die größten Lücken in Ihrer aktuellen AD-Landschaft und liefern eine ehrliche Einschätzung — Inhouse oder mit externer Unterstützung — und einen realistischen Fahrplan für die nächsten sechs bis neun Monate.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über Identitäts-Sicherheit, AD-Härtung, NIS2 und DSGVO-Compliance.
Geprüft am: 22. Mai 2026 · Mehr über Hakan