RC4 in Kerberos abschalten: Zeitplan 2026 & alles was Sie wissen müssen | abtis Gruppe

RC4-Abschaltung in Kerberos

Zeitplan, Risiken und konkrete Schritte zur AES-Umstellung.

abtis GmbH / 22. Januar 2026

Was Unternehmen jetzt tun müssen

Die angekündigte Abschaltung des veralteten Verschlüsselungsalgorithmus RC4 in Kerberos markiert einen der wichtigsten sicherheitstechnischen Einschnitte in Active-Directory-Umgebungen der letzten Jahre. Microsoft wird RC4 schrittweise aus dem Kerberos Key Distribution Center (KDC) entfernen – mit finaler Durchsetzung ab Juli 2026. 

Für Unternehmen bedeutet das: Jetzt handeln, um Sicherheitsrisiken zu reduzieren und gleichzeitige Authentifizierungsprobleme im Produktivbetrieb zu vermeiden. Dieser Artikel fasst die wichtigsten Hintergründe zusammen und zeigt ein bewährtes Vorgehen für Enterprise-Umgebungen auf – informierend, praxisnah und mit klarem Fokus auf Umsetzbarkeit. 

Warum RC4 ein akutes Risiko darstellt

RC4 ist historisch tief in Windows-Umgebungen verankert vor allem aus Gründen der Abwärtskompatibilität. Kryptographisch gilt RC4 jedoch seit Jahren als gebrochen. In Kombination mit Kerberos ermöglicht RC4 eine der effektivsten Active-Directory-Angriffstechniken: Kerberoasting. 

Dabei können Angreifer mit einem normalen Benutzerkonto Service-Tickets anfordern, diese offline knacken und so an Service-Account-Passwörter gelangen - häufig mit weitreichenden Berechtigungen. Moderne Hardware reduziert den Zeitaufwand dafür auf Sekundenbruchteile. 

Die Konsequenz: RC4 ist nicht nur „veraltet“, sondern ein reales Einfallstor für Ransomware, Datenabfluss und laterale Bewegungen im Netzwerk. 

Microsofts Zeitplan: Drei Phasen bis 2026

Microsoft setzt auf einen klar definierten Migrationspfad, der Unternehmen Zeit zur Vorbereitung gibt: 

Phase 1 – Audit Mode (Januar bis März 2026) 

  • RC4 wird noch nicht blockiert 

  • Domain Controller protokollieren detailliert, wo RC4 noch verwendet wird 

  • Ziel: Transparenz und vollständige Inventarisierung 

Empfehlung: Diese Phase unbedingt nutzen, um Service-Accounts, Computerobjekte und angebundene Geräte systematisch zu erfassen. 
 

Phase 2 – Enforcement Mode (April bis Juni 2026) 

  • RC4 wird standardmäßig nicht mehr ausgegeben 

  • Konten ohne AES-Unterstützung verursachen Authentifizierungsfehler 

  • Übergangskonfigurationen sind nur noch begrenzt möglich 

Empfehlung: Spätestens jetzt müssen alle produktiven Abhängigkeiten auf AES128/AES256 migriert sein. 
 

Phase 3 – Finale Abschaltung (ab Juli 2026) 

  • RC4 ist endgültig deaktiviert 

  • Registry-Workarounds greifen nicht mehr 

  • Rückfalloptionen entfallen vollständig 

Empfehlung: Wer bis dahin nicht migriert hat, riskiert echte Produktionsausfälle. 
 

Typische Stolpersteine aus der Praxis

In Projekten zeigt sich immer wieder: 

  • Service-Accounts mit uralten Passwörtern besitzen nur RC4-Schlüssel 

  • Legacy-Geräte (z. B. NAS, Drucker, Appliances) unterstützen kein AES 

  • Gemischte Domain-Controller-Versionen erzeugen schwer nachvollziehbare Effekte 

  • Applikationen (z. B. Java) blockieren RC4 bereits heute – lange vor Microsoft 

Die gute Nachricht: Fast alle Probleme lassen sich vorab erkennen und gezielt beheben, wenn strukturiert vorgegangen wird. 

Bewährte Vorgehensweise für Unternehmen

Aus Sicht von abtis hat sich folgende Roadmap bewährt: 

  1. Frühes Audit starten 
    Nutzung der neuen Event-Logs (4768/4769) und Microsoft-Tools zur RC4-Erkennung 
     
  2. Saubere Inventarisierung 
    Service-Accounts, Computerobjekte, Geräte und Applikationen kategorisieren 
     

  3. Pilot-Migration durchführen 
    Getrennte OU, ausgewählte Systeme, realistisches Testing 

  4. Gestaffelte Umstellung 
    Unkritische Dienste zuerst, geschäftskritische Systeme zuletzt – mit Wartungsfenstern 

  5. Monitoring & Kommunikation 
    Zentrales Logging, klare Eskalationswege, transparente Info an Fachbereiche 

Fazit: Jetzt vorbereiten – später profitieren

Die RC4-Abschaltung in Kerberos ist keine optionale Änderung, sondern ein fester Bestandteil der zukünftigen Windows-Sicherheitsarchitektur. Unternehmen, die frühzeitig starten, profitieren doppelt: 

  • höhere Sicherheit ohne Hektik 

  • stabile Authentifizierung ohne Überraschungen 

abtis unterstützt Sie dabei von der Analyse über die Pilotierung bis zur sicheren Umsetzung im Produktivbetrieb – technisch fundiert, pragmatisch und mit Blick auf Ihr Tagesgeschäft. 

Unser Rat: Nutzen Sie 2026 nicht als Deadline, sondern als Bestätigung, dass Sie bereits vorbereitet sind. 

Security Erstberatung vereinbaren - Jetzt 30 Minuten Slot buchen

Unsere Experten beraten Sie gerne individuell in einem kostenlosen Erstgespräch über unsere IT-Security Angebote.
Klicken Sie hierfür einfach auf den Button und buchen Sie direkt Ihren Wunschtermin.

Jetzt Termin buchen

 

Zurück