Irgendwann muss auch das größte Verständnis für potenzielle Kompatibilitätsprobleme im Namen der Cybersicherheit enden. In Bezug auf den veralteten Verschlüsselungsalgorithmus RC4 ist der Stichtag dafür voraussichtlich der 1. Juli. Seit Jahrzehnten wurde die Unterstützung für ihn in sämtlichen Versionen von Microsoft Kerberos mitgeschleppt, dem zentralen Authentifizierungsprotokoll des Active Directory. Trivial ist die Entscheidung nicht, denn nahezu alle Active-Directory-Umgebungen werden vom End of Life von RC4 beeinflusst.
Was ist RC4 eigentlich?
Der symmetrische Verschlüsselungsalgorithmus wurde bereits in den 1990er-Jahren entwickelt. Besonders für Netzwerk- und Authentifizierungsprotokolle war RC4 attraktiv, da er einfach einzusetzen ist und eine hohe Geschwindigkeit bietet. In Kerberos setzte Microsoft den Algorithmus in den letzten Jahren vor allem aus Gründen der Abwärtskompatibilität ein. Da RC4 allerdings kryptografisch längst als gebrochen gilt, ist er mittlerweile zum Sicherheitsrisiko geworden: Hacker können mittlerweile Angriffe auf ihn durchführen, durch die sie in der Lage sind, Kerberos-Tickets offline zu analysieren und Passwörter von Servicekonten effizient zu rekonstruieren. Das sogenannte „Kerberoasting“ will Microsoft ab Juli dann endgültig unterbinden.
Die Entscheidung folgt auf das Bekanntwerden der Sicherheitslücke CVE-2026-20833. Sie beweist, dass RC4 nicht nur ein rein theoretisches Restrisiko darstellt, sondern eine strukturelle Schwachstelle in Active-Directory-Umgebungen. Microsoft muss also dafür sorgen, dass Domain Controller eben nicht mehr auf RC4 zurückfallen können. Das geht nur mit diesem drastischen Schritt des End of Life. Das erklärte Ziel ist, dass Kerberos zukünftig standardmäßig ausschließlich auf AES-basierte Verschlüsselungsalgorithmen zurückgreifen kann.
Der (streitbare) End-of-Life-Fahrplan von RC4
Natürlich geht das nicht von heute auf morgen. Microsoft begann daher bereits im Januar die Audit-Phase in der Domain Controller begannen zu protokollieren, wo RC4 überhaupt noch verwendet wird. Seit einem Update im April fällt Kerberos nun nicht mehr automatisch auf RC4 zurück, was für Systeme ohne AES-Support bedeutet, dass sie Fehler produzieren. Ab Juli dann wird der Fallback auf den veralteten Algorithmus vollständig entfernt, auch Exceptions ignoriert das System dann, sofern sie nicht explizit gesetzt werden.
Obwohl die schrittweise Taktik für den Ruhestand von RC4 an sich sinnvoll ist, gibt es einen validen Kritikpunkt: Da der Impact während der Audit-Phase relativ gering war, haben viele Unternehmen nicht auf dem Schirm, dass ihre Systeme in Kürze Authentifizierungsfehler produzieren – oder das bereits tun. Warum das so ist, liegt an einem bekannten Muster. Viele Unternehmen haben Kerberos nicht aktiv konfiguriert, sondern es mit Standardeinstellungen einfach in Betrieb genommen. Das rächt sich nun, denn es gibt durchaus Fälle, in denen Servicekonten noch sehr alte Passwörter verwenden, die ausschließlich RC4-Schlüssel besitzen. Gleichzeitig betreiben etliche Unternehmen Legacy-Anwendungen, die moderne AES-Verschlüsselung gar nicht unterstützen, sowie Nicht-Windows-Systeme, deren Kerberos-Implementierung nie aktualisiert wurde.
Es ist höchste Zeit zu handeln!
All diese Faktoren zeigen deutlich, dass die Abschaltung von RC4 in Kerberos weit mehr als eine kleine technische Umstellung ist. Sie stellt eine Zäsur für viele bestehende Active-Directory-Umgebungen dar, da sie versteckte Abhängigkeiten sichtbar macht. Genau deshalb ist jetzt der richtige Zeitpunkt, aktiv zu werden, statt auf Störungen zu reagieren. Unternehmen sollten, falls noch nicht geschehen, sofort Transparenz schaffen und mithilfe von Audit Logs nachvollziehen, wo RC4 noch eingesetzt wird. Darauf aufbauend sollten sie Servicekonten konsequent auf moderne AES-Verschlüsselung umstellen und notwendige Exceptions bewusst, dokumentiert und zeitlich begrenzt definieren. Ergänzend sind realistische Tests entscheidend, um Authentifizierungsprozesse frühzeitig vor Juli 2026 abzusichern.
NTT DATA unterstützt Unternehmen genau an diesen kritischen Punkten. Wir schaffen gemeinsam mit den Verantwortlichen Teams vollständige Transparenz über die Active-Directory- und Kerberos-Landschaft, identifizieren Risiken und Abhängigkeiten und entwickeln einen priorisierten, praxistauglichen Modernisierungsplan. Dabei geht es nicht nur um Technik, sondern um stabile Betriebsprozesse und eine sichere Migration ohne ungeplante Ausfälle. Durch gezielte Testszenarien stellen wir sicher, dass Systeme auch nach der Abschaltung von RC4 zuverlässig funktionieren. Gleichzeitig betrachten wir die Umstellung als Teil einer ganzheitlichen Identity-Security- Strategie, die mit Zero-Trust- und IAM-Initiativen kompatibel ist.
Auf diese Weise stellen wir sicher, dass Unternehmen im Juli 2026 keine Katastrophe erleben, sondern das Datum zu einem stressfreien Schritt hin zu mehr Sicherheit und Resilienz im Betrieb markiert.