AD- & Windows-Sicherheitshaertung

AD-Takeover-Risiko reduzieren.

Ich helfe CISOs, IT-Sicherheitsverantwortlichen und Infrastrukturteams, unuebersichtliche AD-, Windows- und Firewall-Befunde in priorisierte Behebungsarbeit zu uebersetzen, ohne den Betrieb zu sprengen: Tier 0, privilegierte Zugriffe, AD CS, Domänencontroller, NGFW-Regeln und Pentest-Befunde, die dauerhaft geschlossen bleiben muessen.

Musterreport ansehen

AD-Haertungscheck mit 30/60/90-Tage-Massnahmenplan
Tier 0, AD CS und privilegierte Zugriffspfade
Firewall/NGFW und Pentest-Nachbearbeitung mit belastbarer Evidenz

17+ Jahre Verantwortung als IT-Unternehmer

150+ Firewall-/Netzwerk-Migrationen und Designs

3+ Monate typische Projektlaufzeit

Flexibel Projektstart vor Ort nach Bedarf

Positionierung

Saubere Behebung statt Sicherheits-Theater.

Fuer Organisationen, die keine weitere abstrakte Beratung brauchen, sondern eine klare Antwort: Welche AD-, Windows- und Firewall-Pfade sind wirklich riskant, wem gehoeren sie, und wie bekommen wir sie sicher geschlossen?

AD-Haertungscheck

Fokussierte Bewertung fuer Microsoft-zentrische Umgebungen: Tier 0, privilegierte Gruppen, AD CS, Domänencontroller, Legacy-Authentifizierung und ein priorisierter 30/60/90-Tage-Massnahmenplan.

ADTier 0Massnahmenplan

Pentest-Nachbearbeitung

Befunde so schliessen, dass sie in der Nachpruefung geschlossen bleiben: Verantwortliche, Evidenz, Validierungsabfragen, Einfuehrungspfade und technische Umsetzung ohne Blindflug.

NachpruefungEvidenzBehebung

Firewall-/NGFW-Regelwerkspruefung

Regelwerke, VPNs und Segmentierung aufraeumen: Verantwortliche, Zweck, Ablaufdatum, Protokollierung, Risiko und sichere Bereinigungsschritte statt historisch gewachsener Ausnahmen.

NGFWSegmentierungProtokollierung

Windows- & Microsoft-Sicherheitshaertung

Pragmatische Haertung von Windows- und Microsoft-Sicherheitskontrollen: Admin-Arbeitsplaetze, Credential Guard, Defender/EDR, NTLM-Reduktion und Basislinien.

WindowsDefenderBasislinie

CISO-/IT-Sicherheits-Sparring

Technische Einordnung kritischer Befunde, Architekturentscheidungen und Massnahmenplaene fuer Entscheider, die schnell wissen muessen, was wirklich priorisiert werden sollte.

CISO-UnterstuetzungPruefungPrioritaeten

Projektgeschaeft

Primaer remote erbrachte freiberufliche Unterstuetzung fuer Projekte ab etwa drei Monaten. Direkte Zusammenarbeit mit CISO, IT-Sicherheit, Infrastruktur und Betrieb.

FreiberuflichDACH-weit3+ Monate

Angebote

Drei Einstiege, die zu echten Sicherheitsprojekten passen

Klarer Umfang, klare Evidenz, klare naechste Schritte. Keine Blackbox-Beratung.

AD-Haertungscheck

Ausloeser: Wenn Audit, Pentest oder interne Pruefung AD-Risiken sichtbar gemacht haben.

Ergebnis: Management-Zusammenfassung, priorisiertes Befundregister, Tier-0-Exposition, AD-CS-Risiken, schnelle Verbesserungen und 30/60/90-Tage-Massnahmenplan.

Tier 0AD CSDomaenencontrollerPrivilegierter Zugriff

Firewall-/NGFW-Regelwerkspruefung

Ausloeser: Wenn Regeln gewachsen sind, niemand die Verantwortlichen kennt oder Segmentierung nicht mehr belastbar ist.

Ergebnis: Riskante Regeln, fehlende Verantwortliche, Protokollierungsluecken, Fernzugriffspfade und sicherer Bereinigungsplan.

NGFWVPNSegmentierungRegelbereinigung

Pentest-Nachbearbeitung

Ausloeser: Wenn Befunde geschlossen werden muessen und in der Nachpruefung nicht wieder aufgehen duerfen.

Ergebnis: Verantwortliche, Behebungspfad, Validierungsabfrage, Einfuehrungsplan, Rueckfalloption und Nachweispaket fuer Nachpruefung und Management.

NachpruefungNachweiseAD-BefundeFirewall-Befunde

Projektmodell

Senior-Unterstuetzung ohne Ballast

Einsätze laufen typischerweise projektbasiert ab mindestens drei Monaten. Vollzeit, Teilzeit oder laufende Beratung sind möglich. Primaer remote, DACH-weit, mit Vor-Ort-Onboarding wenn es dem Projekt hilft.

Schnelle technische Einarbeitung in komplexe Microsoft-, Netzwerk- und Sicherheitsumgebungen
Direkte Kommunikation mit Management, CISO, IT-Leitung und operativen Teams
Lieferung von Befunden, Priorisierung, Massnahmenplaenen und praktischer Umsetzungshilfe

Locked Shields

Live-Fire-Cyberabwehr auf internationalem Niveau

Teilnahme in Blue Team 01 bei Locked Shields '26, der weltweit größten und komplexesten Live-Fire-Cyberdefense-Übung, in der ein bewaffneter Konflikt simuliert wird. Die NATO-Übung umfasst rund 42 Nationen, mehr als 4.000 Teilnehmende und etwa 8.000 Systeme inklusive Sondersysteme aus dem Bereich kritischer Infrastruktur. Verantwortlich war ich für eine Domäne inklusive Domänencontroller in einem KRITIS-nahen Szenario, insbesondere für die Härtung der Domäne und die aktive Abwehr laufender Angriffe unter extremem Zeit- und Entscheidungsdruck. Die Rolle umfasste Überwachung, Analyse netzwerk- und hostbasierter Indikatoren, Eindämmung bösartiger Aktivitäten, Systemhärtung, Wiederherstellung kompromittierter Dienste und die Aufrechterhaltung kritischer Infrastrukturkomponenten.

Weiterführende Details bleiben bewusst allgemein, da Übungs- und Einsatzinformationen schutzbedürftig sind.

Aktive Abwehr laufender Red-Team-Angriffe auf eine AD-nahe Domäne unter hohem Zeitdruck
Systemhärtung von Windows- und AD-nahen Komponenten
Zusammenarbeit mit Bundeswehr und div. "3-letter agencies" aus dem In- und Ausland

Projekterfahrung

Erfahrung aus sicherheitskritischen Umgebungen

KRITIS / Energie

Externer IT-Sicherheitsberater für kontinuierliche Pentests, AD-Risikoreduktion, Firewall-/Proxy-/IPS-Verbesserungen, Schwachstellenmanagement und Audit-Vorbereitung.

Logistik / Vorfallwiederherstellung

Leitung eines Sicherheitsvorfalls mit Koordination von Vorfallreaktion, Forensik, Versicherung, Geschäftsführung und technischem Wiederaufbau hybrider Infrastruktur.

Einzelhandel / AD Pentest

Leitender Pentester für Active-Directory-Sicherheitsbewertungen, interne Pentests, interne Webanwendungen, Berichterstellung und fortlaufende Behebungsunterstützung.

Forschung / VPN & ZTNA

Vorstudie, Vergleichsmatrix und Management-Entscheidungsvorlage für VPN/ZTNA-Lösungen inklusive Netzwerkdesign-Empfehlungen.

GitHub / Arbeitsproben

Tools statt Behauptungen

Drei öffentliche Repos als technische Arbeitsproben: gebaut für genau die Probleme, die in AD-, SMB- und Firewall-Umgebungen regelmäßig weh tun.

SMB / offengelegte Zugangsdaten

secrets_find0r

Multithreaded SMB-Share-Crawler, der in autorisierten Prüfungen nach offengelegten Zugangsdaten, Tokens und Secrets sucht.

SMBSecretsAD-Exposition

Active Directory / Kerberos

april26_ad_check0r

Nur lesende PowerShell-Checks für die Kerberos-RC4/AES-Umstellung im April 2026: SPN-Konten, KDC-Events und Bruchstellen vor der Umstellung sichtbar machen.

KerberosRC4AD-Haertung

Firewall / NGFW

Sophos-XGS-Live-Log-Viewer

Windows-App für nahezu Live-Sicht auf Sophos-XGS-Protokolle über SSH, inklusive Filtervorlagen, Vorfallmitschnitt und Demo-Modus.

SophosNGFWProtokolle

AD-Haertungscheck

Musterreport ansehen

Ich helfe Unternehmen dabei, unübersichtliches Active-Directory-Risiko in einen klaren, priorisierten Haertungsfahrplan zu überführen - besonders rund um Tier 0, privilegierte Zugriffe, AD CS und Domänencontroller-Schutz.

Die meisten Organisationen brauchen nicht mehr Angst. Sie brauchen Klarheit. Dieser fiktive Beispielreport zeigt, wie ein AD-Haertungscheck aussieht: Management-Zusammenfassung, priorisierte Befunde, Tier-0-Exposition, AD-CS-Risiken und ein umsetzbarer 90-Tage-Massnahmenplan.

Fiktives Muster - keine echten Kundendaten

Musterreport zum AD-Haertungscheck herunterladen

Fiktives Muster - keine echten Kundendaten

Ein konkretes AD-Thema mitbringen. Mit einem klareren naechsten Schritt rausgehen.

Gute AD-Haertung bedeutet nicht, jeden Schalter gleichzeitig umzulegen. Es bedeutet zu verstehen, was die Domäne kontrolliert, welche Pfade am wichtigsten sind und welche Behebungsschritte für echte IT-Teams sicher umsetzbar sind.

Management-Zusammenfassung
priorisiertes AD-Befundregister
Tier-0-Expositionsueberblick
AD-CS-Risikonotizen
30/60/90-Tage-Massnahmenplan

Anonymisierte Befundbibliothek

Die Muster, die in echten Umgebungen weh tun

Keine Kundendaten. Keine Effekthascherei. Nur wiederkehrende Befunde, die zeigen, wie ich Risiko in umsetzbare Arbeit uebersetze.

Domain-Admin-Anmeldung auf Mitgliedsserver

Risiko: Ein lokales Serverproblem wird zum Pfad fuer Domaenenkontrolle.
Evidenz: Privilegierte Logons, lokale Admins, Serverrolle, EDR-Spuren.

AD-CS-Vorlage ohne Verantwortlichen

Risiko: Zertifikat-Templates werden zu Identitaetsrisiko, wenn Enrollment-Rechte und EKUs nicht sauber sind.
Evidenz: Vorlagen, Registrierungsrechte, EKUs, Verantwortliche, Aenderungsalarme.

Firewall-Regel ohne Ablaufdatum

Risiko: Aus einer temporaren Ausnahme wird ein permanenter Angriffspfad.
Evidenz: Verantwortliche, Zweck, Trefferzahl, Protokollierung, Ablaufdatum, Change-Referenz.

Pentest-Befund ohne Nachweis geschlossen

Risiko: Das Ticket ist zu, aber die Nachpruefung oeffnet es wieder.
Evidenz: Validierungsabfrage, Pruefumfang, Verantwortliche, Einfuehrungsstatus, Ausnahmen.

Nachweise

Zertifizierungen mit praktischer Aussagekraft

Die Zertifizierungen zeigen einen klaren Schwerpunkt auf praxisnahe offensive Sicherheit, Active Directory, Pentesting und belastbare Sicherheitsberatung.

OSCP+

OffSec Certified Professional+

OffSec · Aktiv

OSCP

Offensive Security Certified Professional

OffSec · Aktiv

PNPT

Practical Network Penetration Tester

TCM Security · Aktiv

CEH Master Badge

CEH Master

Certified Ethical Hacker Master

EC-Council · Aktiv

CEH Practical Badge

CEH Practical

Certified Ethical Hacker Practical

EC-Council · Aktiv

CEH

Certified Ethical Hacker

EC-Council · Aktiv

THM PT1

Jr Penetration Tester

TryHackMe · Aktiv

eJPT

Junior Penetration Tester

INE Security · Aktiv

CRTP

Certified Red Team Professional

Altered Security · In progress

OSEP

OffSec Experienced Penetration Tester

OffSec · In progress

Werdegang

Vom IT-Unternehmer zum spezialisierten Sicherheitsberater

2002-2005
Dipl. Wirtschaftsinformatik an der Rheinischen FH Köln, Schwerpunkt Multimedianetze.
2006-2023
Geschäftsführender Gesellschafter eines IT-Systemhauses und Managed Cloud Service Providers.
Seit 2023
IT-Freiberufler unter SafeLink IT mit Schwerpunkt offensive und defensive Cybersicherheit.

Blog

AD-Sicherheit & Haertung

AD-Sicherheit, Haertung und Vorfallsbereitschaft.

08. Juni 2026

AS-REP Roasting reduzieren: Kerberos-Preauth wieder zur Pflicht machen

AS-REP Roasting entsteht meist nicht durch einen exotischen Fehler, sondern durch Benutzerkonten ohne Kerberos-Pre-Authentication. Die Härtung ist technisch klein, braucht aber klare Verantwortlichkeiten und Tests.

Active DirectoryHaertungKerberosAS-REP RoastingPreauth

08. Juni 2026

Coerce Attacks reduzieren: erzwungene Authentifizierung begrenzen

Coerce Attacks sind selten ein einzelner Schalter. Entscheidend ist, welche Systeme noch ungeplant NTLM, SMB, RPC oder HTTP-Authentifizierung ausloesen duerfen.

Active DirectoryHaertungCoerce AttacksNTLMTier 0

03. Juni 2026

Unconstrained Delegation abbauen: Kerberos-Delegation ohne Domain-Risiko

Unconstrained Delegation ist oft ein historischer Komfortschalter für alte Double-Hop-Szenarien. In heutigen AD-Umgebungen sollte sie außerhalb von Domain Controllern praktisch nicht mehr vorkommen.

Active DirectoryHaertungKerberosDelegationTier 0

01. Juni 2026

AD CS absichern: Zertifikate als Tier-0-Risiko behandeln

AD CS entscheidet indirekt darüber, wer sich als wen authentifizieren kann. Wenn Templates, Enrollment-Rechte und CA-Betrieb ungepflegt sind, wird PKI schnell zum Domain-Takeover-Pfad.

Active DirectoryHaertungAD CSPKITier 0

27. Mai 2026

Kerberos Armoring (FAST) in AD einführen: sauberer Rollout statt Auth-Blackout

Kerberos Armoring (FAST) schützt Kerberos-Preauth besser vor Offline-Angriffen und verringert die Angriffsfläche bei Anmelde- und Ticket-Workflows. Der Nutzen ist real — aber nur mit sauberem Inventar, Pilotierung und klaren Rückfallwegen.

Active DirectoryHaertungKerberosFASTAuthentifizierung

25. Mai 2026

LSASS als Protected Process (RunAsPPL): Credential-Diebstahl erschweren

LSASS ist ein primäres Ziel für Credential-Theft. RunAsPPL macht direkte Zugriffe deutlich schwerer – wenn du Kompatibilität, Rollout und Betrieb sauber planst.

Active DirectoryHardeningWindowsLSASSCredential TheftTiering

Mehr lesen

Sicherheitshinweise

Aktuelle Sicherheitshinweise

Kompakte, aber belastbare Einordnungen zu relevanten Microsoft-, Windows- und Active-Directory-Themen: konkrete Auswirkungen, Risiken und nächste Schritte ohne Alarmismus.

08. Juni 2026

Exchange Online: CVE-2026-48579 dienstseitig mitigiert, Tenant-Spuren prüfen

CVE-2026-48579 betrifft eine Informationspreisgabe in Exchange Online. Microsoft stuft die Schwachstelle hoch ein und hat sie dienstseitig mitigiert; Tenant-Teams sollten Audit-Logs, Berechtigungen und auffällige Mailbox-Aktivität trotzdem zeitnah nachweisen.

Microsoft Exchange OnlineMicrosoft 365Mailbox AuditIdentity SecurityMicrosoft

08. Juni 2026

Microsoft Exchange: OWA-Mitigation für CVE-2026-42897 prüfen

CVE-2026-42897 betrifft Outlook Web Access auf lokalen Exchange-Servern und wird aktiv ausgenutzt. Prüfe, ob die Exchange Emergency Mitigation Service-Regel M2.1.x aktiv ist und OWA nicht über Internet Explorer Mode genutzt wird.

Microsoft ExchangeOWAWindows ServerPatch ManagementKEVMicrosoft

01. Juni 2026

Microsoft Defender: aktiv ausgenutzte Schwachstellen – Engine- und Plattformstand prüfen

CVE-2026-41091 und CVE-2026-45498 betreffen Microsoft Defender und werden aktiv ausgenutzt. Prüfe Malware Protection Engine und Antimalware Platform explizit, besonders auf Servern, VDI, DMZ- und isolierten Windows-Systemen.

Microsoft DefenderWindowsEndpoint-SicherheitPatch-ManagementKEVMicrosoft

Kontakt

Projektbedarf klären

Für Projektanfragen, laufende Beratung oder eine schnelle technische Einordnung: direkt Kontakt aufnehmen oder einen Termin über Microsoft Bookings wählen.

Direkt anrufen E-Mail schreiben LinkedIn

YouTube

Praxisvideos aus dem SafeLink IT Kanal

Die vier meistgesehenen Videos aus dem SafeLink IT YouTube-Kanal: kompakte Einblicke in Active-Directory-Sicherheit, laterale Bewegung, Passwortangriffe und Sicherheitsgrundlagen.

SO bewegen sich Hacker durch Dein Netzwerk - Lateral Movement mit Ligolo-NG

4.300+ Aufrufe

So cracken Hacker Deine Passwörter.

1.500+ Aufrufe

Angriff auf Active Directory in 2026 - Zum Domainadmin in 15 Minuten

1.500+ Aufrufe

Hacking 101: Einführung in Shells und Reverse Shells

830+ Aufrufe