Microsoft schaltet NTLM ab – Ende einer 30 Jahre alten Sicherheitslücke

Microsoft stellt den veralteten NTLM-Authentifizierungsstandard in Windows schrittweise ab. Das Unternehmen will damit seine Kunden zu dem moderneren und sichereren Kerberos-Protokoll drängen. Der seit 30 Jahren genutzte Standard gilt als anfällig für Cyberangriffe und soll in kommenden Windows-Versionen standardmäßig deaktiviert werden.

Der Plan ist eine direkte Reaktion auf die gravierenden Sicherheitslücken in NTLM. Das Protokoll bietet keine Server-Authentifizierung und nutzt schwache Verschlüsselung. Das macht es zum leichten Ziel für Angriffe wie Pass-the-Hash oder Relay-Attacken, mit denen sich Hacker Zugang zu Netzwerken verschaffen.

Viele Unternehmen hängen jedoch noch an der alten Technologie. Schuld sind oft veraltete Anwendungen und komplexe Netzwerkkonfigurationen, die einen schnellen Wechsel verhindern. Microsofts strukturierter Ausstieg soll Administratoren nun Zeit für eine geordnete Migration geben.

Viele IT‑Teams unterschätzen, wie weitreichend Authentifizierungslücken wie bei NTLM sein können. Aktuelle Cyber-Angriffe nutzen genau solche Schwächen — oft reichen organisatorische Maßnahmen und einfache technische Anpassungen, um größere Vorfälle zu verhindern. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ erklärt, welche Bedrohungsmuster aktuell dominieren, wie moderne Authentifizierungsverfahren (inkl. Kerberos) Ihre Sicherheit verbessern und welche Schritte jetzt Priorität haben. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Drei-Phasen-Plan für den Abschied von NTLM

Microsoft verfolgt eine dreistufige Strategie, um den Übergang zu Kerberos zu managen und Betriebsstörungen zu minimieren.

Phase 1: Transparenz schaffen (bereits aktiv)
Aktuelle Versionen von Windows 11 und Windows Server 2025 bieten bereits verbesserte Audit-Tools. Administratoren können damit genau nachverfolgen, wo und warum in ihrem Netzwerk noch NTLM genutzt wird. Diese Bestandsaufnahme ist die Grundlage für jede Migrationsplanung.

Phase 2: Hürden beseitigen (zweite Hälfte 2026)
Ab Mitte 2026 will Microsoft neue Funktionen liefern, die typische Gründe für NTLM-Nutzung obsolet machen. Dazu gehören IAKerb und ein lokaler Key Distribution Center (KDC). Diese sollen Authentifizierungen auch dann ermöglichen, wenn kein Domain-Controller erreichbar ist. Gleichzeitig werden Windows-Kernkomponenten optimiert, um Kerberos zu priorisieren.

Phase 3: NTLM standardmäßig abschalten (zukünftige Releases)
In den nächsten großen Windows-Updates wird NTLM schließlich standardmäßig deaktiviert. Das Protokoll bleibt zwar im System, wird aber nicht mehr automatisch genutzt. Nur Unternehmen mit absolut kritischem Bedarf können es per Richtlinie wieder explizit aktivieren.

Ein Wendepunkt für die Unternehmenssicherheit

Die Abschaltung markiert eine Zeitenwende. Kerberos bietet nicht nur stärkere Kryptografie, sondern ermöglicht auch gegenseitige Authentifizierung und moderne Standards wie Single Sign-On (SSO). Sicherheitsexperten sehen den Wechsel als essenziellen Schritt hin zu einer passwortlosen und phishing-resistenten Zukunft.

Doch der Abschied von einer drei Jahrzehnte alten Technologie ist kein einfacher Knopfdruck. Viele legacy-Anwendungen sind hartkodiert, Netzwerkabhängigkeiten komplex. Microsofts gestreckter Zeitplan gibt Unternehmen die nötige Luft, um Systeme zu prüfen, Software-Anbieter zu kontaktieren und Konfigurationen intensiv zu testen.

Was Unternehmen jetzt tun müssen

Die Botschaft von Redmond ist klar: Jetzt mit der Migration beginnen. IT-Teams sollten umgehend die Audit-Tools nutzen, um den gesamten NTLM-Einsatz in ihrem Netzwerk zu kartieren. Anschließend gilt es, kritische Workloads priorisiert auf Kerberos umzustellen und die Umgebung gründlich zu testen.

Zentrale Meilensteine rücken näher: Erleichternde Features kommen in der zweiten Jahreshälfte 2026, eine damit verbundene Abschaltung von NTLMv1 für SSO ist für Oktober 2026 geplant. Wer jetzt handelt, kann seine Sicherheitslage deutlich verbessern, die Angriffsfläche verkleinern und an moderne Authentifizierungsstandards anschlussfähig bleiben.

PS: Wenn Sie die Migration zu Kerberos planen, lohnt sich ein Blick auf praxisnahe Schutzmaßnahmen gegen die Gefahren, die NTLM bisher offenließ. Der kostenlose Cyber‑Security‑Guide liefert umsetzbare Empfehlungen für kleine und mittlere IT‑Abteilungen — von Audit‑Checks bis zu priorisierten Abwehrmaßnahmen gegen Phishing und Pass‑the‑Hash‑Angriffe. Gratis Cyber‑Security‑Guide sichern