Mimikatz erklärt: Das Tool zum Diebstahl von Anmeldedaten, das Sicherheitsverantwortliche kennen müssen

Wichtige Erkenntnisse

Mimikatz bleibt auch im Jahr 2026 eine der größten Bedrohungen. Im „Red Canary 2026 Threat Detection Report“ belegte es Platz 4 und betraf 3,1 % der überwachten Kunden; zudem wird es aktiv von ransomware „Play“ und „Akira“ eingesetzt.
Eine rein signaturbasierte Erkennung reicht allein nicht mehr aus. 82 Prozent der von CrowdStrike im Jahr 2026 erfassten Vorfälle waren malware, was bedeutet, dass Angreifer dateibasierte Signaturen routinemäßig durch PowerShell-Varianten, umbenannte Binärdateien und die Ausführung im Arbeitsspeicher umgehen.
Eine mehrschichtige Verteidigung ist die einzig zuverlässige Strategie. Credential Guard, LSA-Schutz, WDigest-Härtung und Verhaltenserkennung müssen zusammenwirken – keine einzelne Maßnahme kann alle Mimikatz-Angriffswege abwehren.
Mimikatz lässt sich 17 MITRE ATT&CK in vier Taktiken zuordnen. Damit ist es ein unverzichtbares Werkzeug für Compliance-Programme im Rahmen des NIST CSF und der CIS Controls.
Verhaltensbasierte Erkennung und ITDR sind die Zukunft. Unternehmen, die über statische Regeln hinausgehen und auf die Erkennung und Bekämpfung von Bedrohungen setzen, verkürzen die durchschnittliche Zeit bis zur Aufdeckung von Identitätsdiebstahl erheblich.

Jedes Anmeldedaten in Ihrer Umgebung ist ein potenzieller Universalschlüssel. Mimikatz – das Open-Source-Tool, das seit über einem Jahrzehnt den Diebstahl von Anmeldedaten begünstigt – ist nach wie vor eines der gefährlichsten Post-Exploitation-Tools im Umlauf. Laut dem MITRE ATT&CK (S0002)MITRE ATT&CK nutzen es über 50 Advanced Persistent Threat-Gruppen. Der Verizon DBIR 2025 ergab, dass gestohlene Anmeldedaten in 22 % der Sicherheitsverletzungen den ersten Zugangsweg darstellten. Für Verteidiger ist das Verständnis von Mimikatz keine Option – es ist unerlässlich.

Was ist Mimikatz?

Mimikatz ist ein Open-Source-Tool zur Extraktion von Windows-Anmeldedaten, das 2011 vom französischen Sicherheitsforscher Benjamin Delpy (gentilkiwi) entwickelt wurde, um Schwachstellen bei der Speicherung von Anmeldedaten im Arbeitsspeicher von Windows aufzuzeigen. Ursprünglich als Proof-of-Concept gedacht, entwickelte es sich schnell zu einem der weltweit am häufigsten eingesetzten Post-Exploitation-Tools sowohl bei Penetrationstestern als auch bei Angreifern.

Der Name „Mimikatz“ setzt sich aus dem französischen Slangwort „mimi“ (niedlich) und „katz“ (Katzen) zusammen – ein täuschend harmlos klingender Name für ein Tool, das Schäden in Milliardenhöhe verursacht hat. Mimikatz ist kein Virus und keine malware herkömmlichen Sinne. Es handelt sich um ein Sicherheitswerkzeug mit doppeltem Verwendungszweck, das von Antiviren-Anbietern aufgrund der Häufigkeit, mit der es von Angreifern missbraucht wird, als „HackTool:Win32/Mimikatz“ klassifiziert wird. Der Besitz und die Nutzung von Mimikatz für autorisierte Sicherheitstests sind legal. Der Einsatz gegen Systeme ohne Genehmigung verstößt gegen Gesetze gegen Computerbetrug wie den CFAA in den Vereinigten Staaten und den Computer Misuse Act im Vereinigten Königreich.

Was Mimikatz so bedeutend macht, ist das Ausmaß seiner Verbreitung. MITRE ATT&CK über 50 Bedrohungsgruppen, die Mimikatz im Rahmen ihrer Operationen einsetzen. Der „Red Canary 2026 Threat Detection Report“ stuft es als Nummer 4 unter den Bedrohungen ein; selbst nach Ausschluss der Testaktivitäten von Red Teams sind 3,1 % der überwachten Kunden davon betroffen.

Warum Mimikatz auch im Jahr 2026 noch wichtig ist

Obwohl Mimikatz bereits über 15 Jahre alt ist, ist es aktueller denn je. Von der CISA im Juni 2025 ( ransomware) und im November 2025 ( ransomware) aktualisierte Sicherheitshinweise bestätigen den aktiven Einsatz des Tools in laufenden Kampagnen. Der Verizon DBIR-Bericht 2025 gibt an, dass bei 54 % ransomware Anmeldedaten zuvor in Infostealer-Protokollen offengelegt worden waren – genau die Art von Anmeldedaten, die Mimikatz sammelt. Benjamin Delpy aktualisiert das Tool kontinuierlich, um neuen Windows-Sicherheitsfunktionen Rechnung zu tragen, sodass es auch gegen moderne Betriebssysteme wie Windows 10 und Windows 11 wirksam bleibt, wenn die Abwehrmaßnahmen nicht ordnungsgemäß konfiguriert sind.

So funktioniert Mimikatz

Mimikatz zielt auf den Windows Local Security Authority Subsystem Service (LSASS) ab – den Prozess, der für die Durchsetzung von Sicherheitsrichtlinien und die Abwicklung der Benutzerauthentifizierung zuständig ist. LSASS speichert Anmeldedaten im Arbeitsspeicher, damit Benutzer auf Netzwerkressourcen zugreifen können, ohne ihre Passwörter erneut eingeben zu müssen. Mimikatz nutzt diese Funktionsweise aus, indem es Anmeldedaten direkt aus dem Speicherbereich des LSASS-Prozesses ausliest.

Um auf den LSASS-Speicher zugreifen zu können, benötigt Mimikatz eine Berechtigungserweiterung auf Administrator- oder SYSTEM-Ebene, insbesondere das SeDebugPrivilege-Token. Nach der Berechtigungserweiterung nutzt das Tool drei Hauptmodule:

sekurlsa – Extrahiert Anmeldedaten direkt aus dem Speicher des LSASS-Prozesses, darunter NTLM-Hashes, Kerberos-Tickets und WDigest-Passwörter im Klartext
lsadump — Liest Anmeldedaten aus der SAM-Datenbank, LSA-Geheimnisse und Active Directory-Replikationsdaten aus (wird bei DCSync-Angriffen verwendet)
kerberos — Bearbeitet Kerberos-Tickets für „Golden-Ticket“- und „Silver-Ticket“-Angriffe

Eine besonders gefährliche Variante ist „Invoke-Mimikatz“, ein PowerShell-Skript aus dem PowerSploit-Framework, das Mimikatz vollständig im Arbeitsspeicher ausführt, ohne Daten auf die Festplatte zu schreiben. Der Bericht von Red Canary aus dem Jahr 2026 identifiziert „Invoke-Mimikatz“ mit dem Parameter „-dumpcreds“ als die am häufigsten beobachtete Ausführungsmethode. Dieser dateilose Ansatz umgeht die dateibasierte Signaturerkennung vollständig, weshalb Sicherheitsverantwortliche, die sich ausschließlich auf Antivirenprogramme verlassen, erheblich im Nachteil sind.

Anmeldedaten-Typen, die Mimikatz extrahieren kann

Diagramm: Ablauf der LSASS-Speicherauslesung – Mimikatz erlangt das SeDebugPrivilege, greift auf den LSASS-Prozess zu und extrahiert anschließend NTLM-Hashes, Kerberos-Tickets, WDigest-Passwörter im Klartext sowie DPAPI-Schlüssel.

‍

Art der Berechtigung	Lagerort	Angriff aktiviert	Anzeige für Erkennung
NTLM-Hashes	LSASS-Speicher	Pass-the-Hash (`T1550.002`)	Sysmon-Ereignis-ID 10 für lsass.exe
Kerberos TGT/TGS	LSASS-Speicher	Pass-the-Ticket (`T1550.003`), Gold-/Silberticket	Ungewöhnliche Ticket-Anfragen (Ereignis-ID 4769)
WDigest im Klartext	LSASS-Speicher (sofern aktiviert)	Direkte Wiederverwendung von Anmeldedaten	Der Registrierungswert „UseLogonCredential“ = 1
SAM-Datenbank	Registry-Hive	Kompromittierung eines lokalen Kontos	Zugriff auf den SAM-Hive in der Registrierung
LSA-Geheimnisse	Registrierung/Speicher	Kompromittierung eines Dienstkontos	Unbefugter Zugriff auf LSA-Geheimnisse
DPAPI-Schlüssel	LSASS-Speicher	Entschlüsselung geschützter Daten	DPAPI-Zugriffsmuster für Blobs

Tabelle: Arten von Anmeldedaten, die Mimikatz aus dem Windows-Speicher extrahieren kann.

Angriffstechniken mit Mimikatz

Mimikatz ermöglicht sechs wichtige Angriffstechniken, darunter Angriffe zum Diebstahl von Anmeldedaten, Ticketfälschung und Domänenreplikation. Jede dieser Techniken ist einer bestimmten MITRE ATT&CK mit eindeutigen Erkennungsindikatoren zugeordnet.

Technik	MITRE-ID	Was es tut	Anzeige für Erkennung
Pass-the-Hash	`T1550.002`	Verwendet gestohlene NTLM-Hashes zur Authentifizierung, ohne das Passwort im Klartext zu kennen	NTLM-Authentifizierung von unerwarteten Hosts (Ereignis-ID 4624, Anmeldetyp 9)
Das goldene Ticket	`T1558.001`	Erstellt Kerberos-TGTs unter Verwendung des KRBTGT-Hashs für uneingeschränkten Domänenzugriff	TGT mit ungültiger Gültigkeitsdauer oder von einem Nicht-DC ausgestellt (Ereignis-ID 4769)
Silber-Ticket	`T1558.002`	Erstellt TGS-Tickets für bestimmte Dienste, ohne den Domänencontroller zu kontaktieren	Serviceticket ohne vorherige TGT-Anforderung
DCSync	`T1003.006`	Repliziert AD-Anmeldedaten aus der Ferne über das Verzeichnisreplikationsprotokoll	Ungewöhnliche DS-Replication-Get-Changes-Anfragen von Nicht-DCs (Ereignis-ID 4662)
Über den Hash hinweg	`T1550.002`	Wandelt NTLM-Hashes in Kerberos-Tickets um, um NTLM-Einschränkungen zu umgehen	Kerberos-AS-REQ mit RC4-Verschlüsselung von einer unerwarteten Quelle
„Pass-the-Ticket“	`T1550.003`	Verwendet gestohlene Kerberos-Tickets, um sich als Benutzer auszugeben	Das Ticket wurde von einer anderen IP-Adresse als bei der ursprünglichen Authentifizierung verwendet

Tabelle: Mimikatz-Angriffstechniken, zugeordnet zu MITRE ATT&CK Erkennungsindikatoren.

Pass-the-Hash und Pass-the-Ticket

Bei einem „Pass-the-Hash“-Angriff werden extrahierte NTLM-Hashes verwendet, um sich bei Remote-Diensten zu authentifizieren, ohne das Passwort zu knacken. Der Angreifer übermittelt den Hash einfach direkt an das Authentifizierungsprotokoll. „Pass-the-Ticket“ funktioniert ähnlich, nutzt jedoch gestohlene Kerberos-Tickets anstelle von NTLM-Hashes. Beide Techniken ermöglichen die laterale Bewegung im Netzwerk und sind besonders gefährlich, da sie im Vergleich zu Brute-Force-Angriffen nur minimale forensische Spuren hinterlassen.

„Golden Ticket“- und „Silver Ticket“-Angriffe

Ein „Golden-Ticket“-Angriff gehört zu den verheerendsten Funktionen von Mimikatz. Durch das Extrahieren des KRBTGT-Account-Hashes – des Schlüssels, der alle Kerberos-Ticket-Granting-Tickets in Active Directory verschlüsselt – kann ein Angreifer TGTs fälschen, die jedem Benutzer, auch nicht existierenden, uneingeschränkten Domänenzugriff gewähren. Golden-Ticket-Angriffe bleiben so lange bestehen, bis das KRBTGT-Passwort zweimal zurückgesetzt wurde. Silver-Ticket-Angriffe sind gezielter und fälschen dienstspezifische Tickets unter Verwendung eines Dienstkonto-Hashes. Silver-Tickets haben zwar eine geringere Reichweite, sind jedoch schwerer zu erkennen, da sie den Domänencontroller vollständig umgehen.

DCSync-Angriffe

DCSync ist eine besonders gefährliche Mimikatz-Technik (T1003.006), das sich als Domänencontroller ausgibt, um über das Active-Directory-Replikationsprotokoll Anmeldedaten abzufragen. Im Gegensatz zur LSASS-Speicherauslesung arbeitet DCSync aus der Ferne – der Angreifer muss den Ziel-Domänencontroller nicht physisch berühren. Es erfordert DS-Replication-Get-Changes-Berechtigungen, über die Domänenadministratoren und Domänencontroller-Konten standardmäßig verfügen. Die Erkennung erfolgt durch Überwachung Ereignis-ID 4662 für Replikationsanforderungen, die von Quellen stammen, die keine Domänencontroller sind. Organisationen, die Kerberoasting Bei der Erkennung wird DCSync häufig als logischer nächster Schritt in der Angriffskette angesehen.

Mimikatz in der Praxis: Angriffe aus der Praxis

Mimikatz spielte bei einigen der verheerendsten Cyberangriffe der Geschichte eine zentrale Rolle. Laut dem Verizon DBIR 2025 waren 54 % der ransomware Opfer Anmeldedaten, die zuvor in Infostealer-Protokollen offengelegt worden waren, was die realen Auswirkungen von Tools zum Diebstahl von Anmeldedaten unterstreicht.

NotPetya (2017) – Der finanziell verheerendste Cyberangriff der Geschichte nutzte eine modifizierte Version von Mimikatz zum Abgreifen von Anmeldedaten und zur lateralen Bewegung über WMIC und PsExec und verursachte weltweit Schäden in Höhe von 10 Milliarden US-Dollar oder mehr.
ransomware 2023–2025) – Rund 900 Organisationen betroffen. Die Angreifer nutzten LSASS-Dumping, um Minidump-Dateien zu erstellen, und extrahierten anschließend offline Anmeldedaten. CISA-Hinweis aktualisiert im Juni 2025.
ransomware 2025) – Kombination Kerberoasting LSASS-Dumping und der Extraktion von AnmeldedatenKerberoasting Mimikatz in einer verketteten Angriffssequenz. CISA-Hinweis aktualisiert im November 2025.
SLOW#TEMPEST (2024–2025) – Kombination Cobalt Strike Mimikatz-Pass-the-Hash über den RDP-Modus „restrictedadmin“, gerichtet gegen Organisationen in Ostasien.
APT34/OilRig – Die iranische Hackergruppe setzte Mimikatz zusammen mit LaZagne für Kampagnen zum Abgreifen von Anmeldedaten ein, die auf die Infrastruktur des Energiesektors im Nahen Osten abzielten.

Jeder dieser Fälle zeigt ein einheitliches Muster. Angreifer verschaffen sich zunächst Zugriff, erweitern ihre Berechtigungen, setzen Mimikatz oder eine Variante davon ein, um Anmeldedaten zu sammeln, und bewegen sich dann lateral durch die Umgebung. Wird eine beliebige Stufe dieser Kette unterbrochen, lässt sich der Schaden begrenzen.

Mimikatz erkennen und verhindern

Eine wirksame Abwehr gegen Mimikatz erfordert mehrschichtige Kontrollmechanismen, die die Überwachung des LSASS-Zugriffs, die verhaltensbasierte Erkennung von Bedrohungen, Credential Guard und die Reduzierung von Berechtigungen kombinieren. Keine einzelne Lösung kann alle Angriffswege abwehren. Im Bericht von Red Canary aus dem Jahr 2026 heißt es: „Die Zeiten, in denen Tools wie Mimikatz, die LSASS missbrauchen, mit herkömmlichen Methoden erkannt wurden, … sind längst vorbei.“ Die Bedrohungserkennung muss sich entsprechend weiterentwickeln.

Erkennungstechniken für Mimikatz

SOC-Teams sollten Verhaltenssignale gegenüber statischen Signaturen priorisieren. Hier ist eine nach Überwachungsebenen gegliederte Checkliste zur Erkennung:

Erkennungsmethode	Was ist zu überwachen?	Ereignisquelle	Anmerkungen
Überwachung des LSASS-Zugriffs	Prozesse, die mit dem Zugriffsrecht 0x1010 oder 0x1410 auf lsass.exe zugreifen	Sysmon-Ereignis-ID 10	Hochpräzises Signal; auf legitime Sicherheitswerkzeuge abgestimmt
PowerShell-Protokollierung	ScriptBlock, der „Invoke-Mimikatz“ oder „sekurlsa“ enthält	Protokollierung von PowerShell-ScriptBlocks (Ereignis-ID 4104)	Erkennt Varianten der dateilosen Ausführung
Kerberos-Anomalien	TGTs mit ungewöhnlichen Gültigkeitsdauern oder RC4-Verschlüsselung	Windows-Sicherheitsereignis-ID 4769	Bezeichnet ein „Golden Ticket“ oder „Overpass-the-Hash“
DCSync-Erkennung	Replikationsanfragen von IP-Adressen, die keine Domänencontroller sind	Windows-Sicherheitsereignis-ID 4662	Entscheidend für die Erkennung von DCSync-Angriffen
Ausgabe von Anmeldedaten	Erstellung einer LSASS-Minidump-Datei	Sysmon-Ereignis-ID 11 (Dateierstellung)	ransomware „Play“ ransomware diese Technik
Privilegieneskalation	Zuweisung des SeDebugPrivilege-Tokens	Windows-Sicherheitsereignis-ID 4672	Voraussetzung für die standardmäßige Ausführung von Mimikatz
Seitliche Bewegung	NTLM-Authentifizierung aus unerwarteten Quellen	Windows-Sicherheitsereignis-ID 4624 (Typ 9)	Signale, die Hash-Daten weiterleiten
Verhaltensanalyse	Abweichende SMB-Muster, ungewöhnliche Prozessabfolge	NDR- und UEBA-Plattformen	Erkennt Varianten, die der Signaturerkennung entgehen

Tabelle: Checkliste zur Erkennung von Mimikatz für SOC-Teams.

Proaktive threat hunting nach diesen Indikatoren – anstatt auf automatisierte Warnmeldungen zu warten – verbessert die durchschnittliche Erkennungszeit erheblich. Der Splunk LSASS-Hunting-Leitfaden und die Red Canary-Analyse der LSASS-Speichertechniken bieten zusätzliche technische Einblicke in die Erkennung.

Windows gegen den Diebstahl von Anmeldedaten absichern

Präventionsmaßnahmen verringern die Angriffsfläche, bevor Mimikatz ausgeführt werden kann:

„Credential Guard“ aktivieren – Nutzt virtualisierungsbasierte Sicherheit (VBS), um Anmeldedaten von LSASS zu isolieren. Microsoft empfiehlt, „Credential Guard“ mit HVCI auf allen unterstützten Systemen zu aktivieren. Beachten Sie, dass es bekannte Umgehungstechniken gibt (einschließlich „NativeBypassCredGuard“), weshalb eine mehrschichtige Verteidigung weiterhin erforderlich ist.
LSA-Schutz (PPL) aktivieren – „Protected Process Light“ schränkt den Zugriff bestimmter Prozesse auf den LSASS-Speicher ein und verhindert so die übliche Mimikatz-Extraktion.
WDigest-Authentifizierung deaktivieren — Den Registrierungsschlüssel festlegen HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential auf 0 setzen, um die Speicherung von Passwörtern im Klartext zu verhindern.
Das Prinzip der geringsten Berechtigungen umsetzen – Reduzieren Sie die Anzahl der Konten mit Administrator- oder Domänenadministratorrechten.
KRBTGT-Passwörter verwalten – Führen Sie nach dem Verdacht auf eine Kompromittierung des „Golden Ticket“ im Rahmen der Reaktion auf den Vorfall eine doppelte Zurücksetzung des Passworts für das KRBTGT-Konto durch.
endpoint implementieren – Windows Defender erkennt zwar bekannte Mimikatz-Binärdateien (HackTool:Win32/Mimikatz), doch Angreifer umgehen die signaturbasierte Erkennung regelmäßig durch Modifikationen der Binärdateien, benutzerdefinierte Kompilierungen und PowerShell-Varianten.

Mimikatz, MITRE ATT&CK und Compliance

Mimikatz lässt sich 17 Techniken in vier Kategorien zuordnen MITRE ATT&CK -Taktiken ab, was es zu einem der am breitesten einsetzbaren Tools innerhalb des Frameworks macht (S0002). Unternehmen, die Compliance-Frameworks nutzen, können diese Techniken direkt den Kontrollanforderungen zuordnen.

Taktik	Technik-ID	Technik Name	Ansatz zur Erkennung
Zugang zu Anmeldeinformationen	`T1003.001`	LSASS-Speicher	Sysmon-Ereignis-ID 10, LSASS-Zugriffsüberwachung
Zugang zu Anmeldeinformationen	`T1003.006`	DCSync	Ereignis-ID 4662, Analyse des Replikationsdatenverkehrs
Seitliche Bewegung	`T1550.002`	Pass-the-Hash	Ereignis-ID 4624, Typ 9, unerwartete NTLM-Authentifizierung
Zugang zu Anmeldeinformationen	`T1558.001`	Goldenes Ticket	Ereignis-ID 4769, abnormale TGT-Lebensdauer

Tabelle: MITRE ATT&CK NIST-Cybersicherheits-Framework – Vergleichstabelle für Mimikatz-Techniken.

Diese Zuordnungen entsprechen den NIST-CSF-Kontrollen PR.AC-1 (Verwaltung von Anmeldedaten), DE.CM-1 (Netzwerküberwachung) und RS.AN-1 (Untersuchung). CIS Controls v8 behandelt Mimikatz-Risiken durch die Kontrollen 5 (Kontoverwaltung), 6 (Zugriffskontrolle), 8 (Prüfprotokolle) und 16 (Sicherheit von Anwendungssoftware).

Moderne Ansätze zur Abwehr von Identitätsdiebstahl

Die Branche bewegt sich weg von der signaturbasierten Mimikatz-Erkennung hin zu verhaltens- und identitätsorientierten Ansätzen. Der „2026 Global Threat Report“ von CrowdStrike bestätigt, dass 82 % der Erkennungen malware waren und die Zahl der KI-gestützten Angriffe im Vergleich zum Vorjahr um 89 % gestiegen ist. Statische Regeln können da einfach nicht mithalten.

Network Detection and Response (NDR) bietet Einblick in die Muster lateraler Bewegungen, die durch den Diebstahl von Anmeldedaten ermöglicht werden. Identity Threat Detection and Response (ITDR) überwacht das Authentifizierungsverhalten in Active Directory und cloud , um „Pass-the-Hash“-Angriffe, „Golden-Ticket“-Angriffe und DCSync-Angriffe anhand von Verhaltensabweichungen statt anhand von Signaturen zu erkennen.

Wie Vectra AI der Erkennung von Identitätsdiebstahl Vectra AI

Attack Signal Intelligence Vectra AI Attack Signal Intelligence identitätsbasierte Angriffssignale im gesamten modernen Netzwerk und erkennt Verhaltensmuster beim Diebstahl von Anmeldedaten – wie „Pass-the-Hash“- und „Golden-Ticket“-Angriffe – anhand von Verhaltensanalysen statt anhand von Signaturen. Die Plattform deckt sowohl lokale Active Directory-Umgebungen als auch cloud ab und ermöglicht es SOC-Teams, Angriffe vom Typ Mimikatz in Echtzeit zu erkennen und darauf zu reagieren – wodurch sich die durchschnittliche Erkennungszeit von Stunden auf Minuten verkürzt.

Künftige Trends und neue Überlegungen

Die Landschaft des Diebstahls von Anmeldedaten verändert sich rasant, und mehrere Entwicklungen werden in den nächsten 12 bis 24 Monaten die Art und Weise neu gestalten, wie sich Unternehmen gegen Mimikatz und ähnliche Tools schützen.

Angriffe auf Anmeldedaten mithilfe von KI nehmen zu. Der Bericht von IBM X-Force aus dem Jahr 2026 ergab, dass über 300.000 ChatGPT-Anmeldedaten von Infostealern gestohlen wurden, was darauf hindeutet, dass Konten für KI-Dienste neben herkömmlichen Active-Directory-Anmeldedaten zunehmend zu hochkarätigen Zielen werden. Da Unternehmen immer mehr KI-Agenten mit privilegiertem Zugriff einsetzen, vergrößert sich die Angriffsfläche für Tools zum Diebstahl von Anmeldedaten erheblich.

„Living-off-the-land“ Das Dumping von Anmeldedaten nimmt zu. Angreifer nutzen zunehmend integrierte Windows-Tools wie comsvcs.dll MiniDump und ProcDump (ein legitimes Microsoft Sysinternals-Tool), um LSASS-Speicher auszulesen, wodurch der Einsatz von Mimikatz gänzlich entfällt. Verteidiger müssen nicht nur das Tool, sondern auch das Verhalten – die LSASS-Zugriffsmuster – überwachen.

Die Gefährdung von Zugangsdaten durch Dritte und in der Lieferkette nimmt um das Doppelte zu. Der Verizon DBIR 2025 berichtet, dass sich die Zahl der Sicherheitsverletzungen, an denen externe Partner beteiligt waren, im Vergleich zum Vorjahr auf 30 % verdoppelt hat. Tools zum Diebstahl von Zugangsdaten, die in Partnerumgebungen eingesetzt werden, können miteinander vernetzte Organisationen gefährden. Daher sind eine Zero-Trust-Architektur und eine kontinuierliche Identitätsüberprüfung unerlässlich und keine Option mehr.

Der regulatorische Druck nimmt zu. Rahmenwerke wie NIST CSF 2.0 und sich weiterentwickelnde Offenlegungspflichten der SEC zwingen Unternehmen dazu, konkrete Maßnahmen zum Schutz von Anmeldedaten sowie Erkennungsfunktionen nachzuweisen. Die Dokumentation MITRE ATT&CK für Tools wie Mimikatz wird zunehmend zu einer Compliance-Anforderung und ist nicht mehr nur eine bewährte Vorgehensweise.

Unternehmen sollten vorrangig in Funktionen zur Erkennung von Verhaltensmustern, ITDR-Plattformen und das Management privilegierter Zugriffe investieren, um diesen Trends einen Schritt voraus zu sein.

Schlussfolgerung

Mimikatz ist seit über 15 Jahren ein führendes Tool zum Diebstahl von Anmeldedaten, da es grundlegende Designmerkmale der Windows-Authentifizierung ausnutzt. Die im LSASS-Speicher abgelegten Anmeldedaten – NTLM-Hashes, Kerberos-Tickets und manchmal auch Passwörter im Klartext – sind der Schlüssel zu lateraler Bewegung, Privilegienerweiterung und der Kontrolle über die Domäne.

Um sich gegen Mimikatz zu schützen, muss man von der signaturbasierten Erkennung auf Verhaltensanalysen umsteigen. Überwachen Sie die Zugriffsmuster von LSASS, aktivieren Sie Credential Guard und LSA Protection, deaktivieren Sie WDigest, reduzieren Sie die Anzahl privilegierter Konten und investieren Sie in Lösungen zur Erkennung von Identitätsbedrohungen, die das Verhalten erfassen – und nicht nur die Binärdatei. Am erfolgreichsten sind jene Unternehmen, die von einer Kompromittierung ausgehen und sich darauf konzentrieren, Angreifer aufzuspüren, die sich bereits im System befinden.

Um zu erfahren, wie Attack Signal Intelligence Verhaltensweisen im Zusammenhang mit dem Diebstahl von Anmeldedaten in Ihrer hybriden Umgebung Attack Signal Intelligence , besuchen Sie die Vectra AI oder fordern Sie eine Demo an.

Grundlagen der Cybersicherheit

Häufig gestellte Fragen

Ist Mimikatz ein Virus?

Nein. Mimikatz ist ein legitimes Open-Source-Sicherheitstool und keine malware herkömmlichen Sinne. Antiviren-Anbieter stufen es jedoch als „HackTool:Win32/Mimikatz“ ein, da Angreifer es bei Angriffen häufig missbrauchen. Diese Unterscheidung ist wichtig. Mimikatz repliziert sich nicht selbst, installiert keine Hintertüren und verbreitet sich nicht eigenständig. Es handelt sich um ein Tool mit doppeltem Verwendungszweck, das legitime Anwendungen im Rahmen autorisierter Penetrationstests und Sicherheitsforschung findet. Dennoch sollte seine Anwesenheit auf einem System außerhalb autorisierter Tests als ein Indikator für eine Kompromittierung mit hohem Schweregrad behandelt werden. Sicherheitsteams sollten endpoint so konfigurieren, dass sie bei jeder Ausführung einer Mimikatz-Binärdatei oder einer Ausführung im Arbeitsspeicher einen Alarm auslöst, unabhängig davon, ob es sich bei der jeweiligen Variante um „bekannte“ malware handelt. Der Dual-Use-Charakter bedeutet, dass der Kontext – wer es ausgeführt hat, wann und mit welcher Berechtigung – darüber entscheidet, ob es eine Bedrohung darstellt.

Ist Mimikatz illegal?

Der Besitz, das Herunterladen und die Nutzung von Mimikatz im Rahmen autorisierter Sicherheitstests sind legal. Das Tool ist auf GitHub frei verfügbar und wird weltweit von Penetrationstestern, Red Teams und Sicherheitsforschern häufig genutzt. Die Rechtmäßigkeit hängt vollständig von der Autorisierung ab. Die Verwendung von Mimikatz auf Systemen, die Ihnen gehören oder für deren Test Sie eine ausdrückliche schriftliche Genehmigung besitzen, ist in den meisten Rechtsordnungen legal. Der Einsatz gegen Systeme ohne Genehmigung verstößt gegen Gesetze gegen Computerbetrug, darunter den Computer Fraud and Abuse Act (CFAA) in den Vereinigten Staaten, den Computer Misuse Act im Vereinigten Königreich und entsprechende Gesetze in anderen Ländern. Viele Organisationen nehmen Mimikatz in ihre autorisierten Sicherheitstest-Toolkits auf, und es ist ein Standardbestandteil von Frameworks wie Metasploit und Cobalt Strike.

Was ist der Unterschied zwischen Mimikatz und Meterpreter?

Mimikatz ist ein eigenständiges Tool zur Extraktion von Anmeldedaten, das speziell auf die Windows-Authentifizierung ausgerichtet ist – es extrahiert NTLM-Hashes, Kerberos-Tickets und Passwörter im Klartext aus dem Arbeitsspeicher. Meterpreter ist eine universell einsetzbare Post-Exploitation-Payload innerhalb des Metasploit-Frameworks, die Fernzugriff, Dateisystemmanipulation, Privilegienerweiterung und weitere Funktionen bietet. Die beiden Tools ergänzen sich eher, als dass sie miteinander konkurrieren. Mimikatz kann als Modul in Meterpreter geladen werden (mithilfe des Kiwi laden Befehl), wodurch Metasploit-Operatoren über die Meterpreter-Sitzung Zugriff auf die Funktionen von Mimikatz zur Extraktion von Anmeldedaten erhalten. In der Praxis nutzen Angreifer Meterpreter häufig für den ersten Zugriff nach der Exploitation und laden Mimikatz dann gezielt, wenn sie Anmeldedaten für die laterale Bewegung sammeln müssen.

‍

Funktioniert Mimikatz unter Windows 10 und Windows 11?

Ja. Mimikatz wird vom Entwickler kontinuierlich aktualisiert und funktioniert auf modernen Windows-Versionen, einschließlich Windows 10 und Windows 11. Microsoft hat jedoch die Messlatte mit Sicherheitsfunktionen wie Credential Guard, LSA Protection (PPL) und Hypervisor-Protected Code Integrity (HVCI) deutlich höher gelegt. Wenn diese Funktionen ordnungsgemäß konfiguriert und aktiviert sind, schränken sie die Wirksamkeit von Mimikatz erheblich ein. Das entscheidende Wort lautet „korrekt konfiguriert“. Viele Unternehmen haben Credential Guard oder LSA Protection nicht aktiviert, wodurch ihre Systeme für die üblichen Mimikatz-Extraktionstechniken anfällig bleiben. Darüber hinaus gibt es selbst für Credential-Guard-Implementierungen bekannte Umgehungstechniken, was die Notwendigkeit einer mehrschichtigen Verteidigung unterstreicht, anstatt sich auf eine einzige Kontrollmaßnahme zu verlassen.

Welche Alternativen gibt es zu Mimikatz?

Mehrere Tools zum Auslesen von Anmeldedaten erfüllen ähnliche Funktionen, weisen jedoch unterschiedliche Erkennungsprofile auf. LaZagne ist ein plattformübergreifendes, Python-basiertes Tool, das Anmeldedaten aus Browsern, E-Mail-Clients und Betriebssystemspeichern extrahiert. Pypykatz ist eine reine Python-Implementierung von Mimikatz, die ohne Kompilierung von Windows-spezifischen Binärdateien ausgeführt werden kann. Dumpert nutzt direkte Systemaufrufe, um den LSASS-Speicher auszulesen, und umgeht dabei Überwachungshaken auf API-Ebene. ProcDump ist ein legitimes Microsoft Sysinternals-Tool, das von Angreifern häufig missbraucht wird, um LSASS-Speicherdumps zu erstellen. Die comsvcs.dll-MiniDump-Technik ist ein „Living-off-the-Land“-Ansatz, der integrierte Windows-Komponenten nutzt. Jede Alternative weist unterschiedliche OPSEC-Eigenschaften auf, und Verteidiger müssen das gesamte Ökosystem der Tools zum Dumping von Anmeldedaten berücksichtigen – nicht nur Mimikatz selbst.

Was ist Invoke-Mimikatz?

Invoke-Mimikatz ist ein PowerShell-Skript, das Teil des PowerSploit-Frameworks ist. Es führt Mimikatz vollständig im Arbeitsspeicher aus, ohne Dateien auf die Festplatte zu schreiben, wodurch es deutlich schwerer zu erkennen ist als die eigenständige ausführbare Datei. Der „2026 Threat Detection Report“ von Red Canary identifiziert Invoke-Mimikatz mit dem Parameter -dumpcreds als die häufigste Methode zur Ausführung von Mimikatz, die bei realen Angriffen beobachtet wurde. Da es im Arbeitsspeicher ausgeführt wird, erkennen herkömmliche dateibasierte Antivirensignaturen es nicht. Die Erkennung erfordert PowerShell ScriptBlock-Protokollierung (Ereignis-ID 4104), AMSI-Integration (Antimalware Scan Interface) und die Verhaltensüberwachung von LSASS-Zugriffsmustern. Unternehmen sollten sicherstellen, dass die PowerShell-Protokollierung auf ScriptBlock-Ebene aktiviert ist und dass Sicherheitstools die Ausführung von PowerShell im Arbeitsspeicher überprüfen können.

Kann Windows Defender Mimikatz erkennen?

Ja, Windows Defender erkennt bekannte Mimikatz-Binärdateien und kennzeichnet sie als „HackTool:Win32/Mimikatz“. Für die standardmäßige, unveränderte Mimikatz-Ausführungsdatei bietet Windows Defender eine zuverlässige Erkennung. Angreifer umgehen jedoch regelmäßig die signaturbasierte Erkennung durch verschiedene Techniken, darunter Binärmodifikationen, benutzerdefinierte Kompilierung aus dem Quellcode, PowerShell-basierte Ausführung (Invoke-Mimikatz), umbenannte Ausführungsdateien und reflektive DLL-Injektion. Der Bericht von Red Canary aus dem Jahr 2026 betont, dass traditionelle Erkennungsmethoden für LSASS-missbrauchende Tools den aktuellen Fähigkeiten von Angreifern „weit hinterherhinken“. Das bedeutet nicht, dass Windows Defender nutzlos ist – es erkennt einfache Angriffe und automatisierte Skripte. Unternehmen sollten sich jedoch nicht ausschließlich darauf als einzige Mimikatz-Abwehr verlassen. Eine verhaltensbasierte Erkennung, die LSASS-Zugriffsmuster überwacht, unabhängig davon, welches Tool diese auslöst, bietet eine weitaus zuverlässigere Abdeckung.