Kerberos & RC4 – Was das für SAP-Kunden bedeutet und wie Onapsis dabei hilft

Von:

28. Mai 2026

Microsoft ändert die Art und Weise, wie Windows Kerberos mit RC4 umgeht, einem veralteten, unsicheren Verschlüsselungsalgorithmus, der bislang standardmäßig zur Verschlüsselung von Service-Tickets für SPNs von Benutzerkonten (die Kategorie, in die die meisten SAP-Dienstkonten fallen) verwendet wurde, deren Attribut „msDS-SupportedEncryptionTypes“ nicht gesetzt ist. Die endgültige Durchsetzungsphase beginnt im Juli 2026. In SAP-Umgebungen mit Dienstkonten in diesem Zustand und Keytabs ohne AES-Schlüsselmaterial kommt es zu Störungen beim Single Sign-On (SSO) und zu Authentifizierungsfehlern. 

Dies ist kein hypothetisches zukünftiges Risiko. Die Einführung hat bereits begonnen. SAP-Kunden müssen jetzt handeln.

⚠ Maßnahmen bis Juli 2026 erforderlich: Phase 2 ist bereits angelaufen. Bei Kunden, die noch nicht migriert haben, können derzeit Probleme mit der Single-Sign-On-Anmeldung auftreten.

Was ist RC4 und warum ist es wichtig?

RC4 ist ein Verschlüsselungsalgorithmus aus den 1980er Jahren, der seit Jahren als kryptografisch geknackt gilt. Sicherheitsforscher können mit moderner Hardware RC4-verschlüsselte Daten innerhalb weniger Stunden knacken. 

Zwei Stellen in der SAP-Umgebung, an denen RC4 traditionell vorkommt:

  • Kerberos-Authentifizierung:Der Mechanismus hinter dem „transparenten“ SAP-SSO, bei dem sich Benutzer an ihrem Windows-Arbeitsplatzrechner anmelden und automatisch Zugriff auf SAP erhalten, ohne erneut ein Passwort eingeben zu müssen. RC4 war die Standardverschlüsselungsmethode für Kerberos-Tickets.
  • TLS/HTTPS-Kommunikation: Der verschlüsselte Kanal, der den Webdatenverkehr zwischen Browsern, SAP GUI und SAP-Servern schützt. RC4 kann hier als eine der verfügbaren Verschlüsselungssuiten aufgeführt sein.

Beides sind aktive Angriffsflächen. RC4 in Kerberos ermöglicht „Kerberoasting“, einen Angriff zum Diebstahl von Anmeldedaten, bei dem jeder Domänenbenutzer den Passwort-Hash eines Dienstkontos stehlen und offline knacken kann. RC4 in TLS ermöglicht Man-in-the-Middle-Angriffe auf verschlüsselten Datenverkehr. 

Zeitplan für die Durchsetzung durch Microsoft

PhaseDatumWas hat sich geändert?
Phase 1: AuditJanuar 2026Windows hat begonnen, jede Verwendung von RC4 zu protokollieren. Bislang hat sich das Verhalten noch nicht geändert.
Phase 2: StandardverschiebungApril 2026
(bereits in Kraft)		Windows-Domänencontroller stellen nun standardmäßig AES-Tickets aus. Das SSO funktioniert nicht mehr, wenn ein Windows-Administrator RC4 auf der Windows-Seite deaktiviert und das entsprechende SAP-Dienstkonto noch nicht auf AES umgestellt wurde und Keytab weiterhin nur RC4 unterstützt, sodass keine AES-Schlüssel als Ausweichlösung zur Verfügung stehen.
Phase 3: DurchsetzungJuli 2026RC4-Tickets werden unter keinen Umständen mehr ausgestellt. Es gibt keine Ausnahmen, es sei denn, es erfolgt eine manuelle Übersteuerung, die von den Prüfern nicht akzeptiert wird.
Hinweis: Bei dieser Konfiguration stellt Kerberos RC4-Tickets nur aus, wenn dies für jedes Konto explizit über das Attribut „msDS-SupportedEncryptionTypes“ konfiguriert wurde (wie im April).

Was in SAP nicht funktioniert

Falls in einer SAP-Umgebung die Dienstkonten und die Authentifizierungsinfrastruktur noch nicht auf AES migriert wurden:

  • SAP GUI (SNC): SSO schlägt fehl. Das für den Benutzer sichtbare Verhalten hängt davon ab, wie das SAP-System konfiguriert ist. Ist die interaktive Passwortanmeldung als Fallback zulässig, wird der Benutzer zum Standard-Anmeldebildschirm weitergeleitet und muss seine Anmeldedaten eingeben. Ist das System oder der Benutzer für eine reine SNC-Authentifizierung (kein Passwort-Fallback) konfiguriert, kann sich der Benutzer erst dann anmelden, wenn SSO wiederhergestellt ist. 
  • Browserbasierte Frontends (Fiori, WebDynpro, WebGUI über SPNego): Der SPNego-Handshake schlägt fehl. Die Benutzer verlieren das transparente SSO und werden zu dem vom System konfigurierten Fallback weitergeleitet, bei dem es sich in der Regel um eine formularbasierte Anmeldung, eine SAML-Weiterleitung oder – falls kein Fallback vorhanden ist – um einen Authentifizierungsfehler handelt. 
  • ABAP-zu-ABAP-RFC über SNC mit Kerberos: Betroffene RFC-Destinationen schlagen mit derselben Art von Authentifizierungsfehlern fehl wie SAP GUI. Hinweis: Die meisten Java-basierten Middleware-Lösungen verwenden JCo-RFC mit X.509-Zertifikaten und nicht Kerberos und sind daher nicht betroffen.
  • SAP HANA Kerberos SSO: Der Vorgang schlägt fehl, wenn im HANA-Dienstkonto oder im Keytab kein AES-Schlüsselmaterial vorhanden ist. SAP dokumentiert dieses Szenario in seinem HANA-SSO-Leitfaden.
  • Nach Juli: Alle oben genannten Änderungen werden dauerhaft. Microsoft hebt die Rücknahme auf Domänencontroller-Ebene auf (Registrierungsschlüssel „RC4DefaultDisablementPhase“ und Überwachungsmodus). Korrekturen auf Kontoebene funktionieren weiterhin. Erstellen Sie Keytabs mit AES neu oder aktivieren Sie RC4 explizit für das jeweilige Konto wieder (nicht empfohlen), doch die domänenweite Rücknahme ist nicht mehr möglich.

Dies betrifft SAP NetWeaver ABAP, SAP NetWeaver Java, S/4HANA, SAP HANA sowie alle Integrationen, die SNC mit Kerberos verwenden.

Das Sicherheitsrisiko nach Ablauf der Frist

Schon vor Juli ist jede SAP-Umgebung, in der RC4 noch verwendet wird, heute einer akuten Bedrohung ausgesetzt.

Kerberoasting (MITRE ATT&CK T1558.003): Jeder Domänenbenutzer kann unbemerkt ein Authentifizierungsticket für ein SAP-Dienstkonto anfordern und das Passwort offline knacken. RC4-Tickets sind so anfällig, dass moderne Hardware über eine Milliarde Passwortversuche pro Sekunde durchführen kann. Ein geknacktes SAP-Dienstkonto gewährt in der Regel umfassenden Zugriff auf Finanzdaten, Personalunterlagen und Systemkonfigurationen.

Bis Mai 2026 hat SAP noch keinen Sicherheitshinweis zur Abkündigung von Kerberos RC4 veröffentlicht, es gibt jedoch Knowledge-Base-Artikel (KBAs), die bestätigen, dass Windows RC4 deaktiviert und dass Dienstkonten ohne explizite Konfiguration der ASE-SHA1-Verschlüsselung Gefahr laufen, ihre Authentifizierungsfähigkeiten und den Zugriff auf geschützte Ressourcen zu verlieren. (SAP-Hinweis Nr.3000930 & #2629070). Die Dokumentation von Microsoft (CVE-2026-20833, KB zum Update vom Januar 2026) ist die primäre Referenz.

Was Kunden tun müssen

Für Kerberos-SSO (Frist: Juli 2026)

  1. Prüfen Sie nach, statt anzunehmen. Nutzen Sie die Skripte „List-AccountKeys.ps1“ und „Get-KerbEncryptionUsage.ps1“ von Microsoft (aus dem GitHub-Repo „Kerberos-Crypto“) sowie die DC-Systemprotokollereignisse 201–209, um SAP-Dienstkonten zu identifizieren, die weiterhin RC4-Tickets ausstellen oder anfordern. Dies sind die gefährdeten Konten.
  2. Für Konten ohne AES-Schlüssel (Passwort seit dem DFL vor 2008 nicht zurückgesetzt): Setzen Sie das Passwort zurück, um AES-Schlüssel zu generieren. Die AES-Unterstützung ist standardmäßig bereits aktiviert; es ist kein Kontrollkästchen erforderlich.
  3. SAP-Keytabs mit AES-Einträgen (ktpass /crypto AES256-SHA1 oder /crypto ALL) neu generieren, die der aktuellen KVNO entsprechen.
  4. Stellen Sie Keytabs bereit und testen Sie SAP GUI (SNC), Fiori/WebGUI (SPNego) sowie alle ABAP-zu-ABAP-RFC-Destinationen, die SNC mit Kerberos verwenden.
  5. Sicherheitserhöhung (optional, aber empfohlen): Setzen Sie bei SAP-Dienstkonten explizit „msDS-SupportedEncryptionTypes = 0x18“ (nur AES), um sie als Ziele für Kerberoasting auszuschließen, und verwenden Sie bei manuell verwalteten Konten lange Passwörter (mindestens 25 Zeichen). gMSAs erledigen dies automatisch mit automatisch generierten Passwörtern von 240 Zeichen Länge.

So erkennt Onapsis dies: Platform

Die Platform drei Prüfungen, die sich direkt mit der Verwendung von RC4 und schwachen Verschlüsselungsalgorithmen im gesamten SAP-TLS-Stack befassen. Mit einem einfachen Scan können Onapsis-Kunden SAP Cloud , JAVA-, ABAP-, S/4HANA- und BW-Systeme identifizieren, bei denen das Risiko besteht, dass sie von dieser Änderung negativ betroffen sind.  Kunden sollten sich für weitere Details an ihren Kundenbetreuer wenden. Während die Verwendung von RC4 in der SNC/Kerberos-Authentifizierungsebene von SAP in den Zuständigkeitsbereich der Windows/Active Directory-Konfiguration fällt, Assess Onapsis Assess der TLS/SSL-Kommunikationsebene, wo RC4 unabhängig und unter control von SAP behoben werden kann.

Stichwörter, ,
Über den Autor
Hernán Formoso

Hernán Formoso

Leitender Sicherheitsspezialist

Hernan Formoso ist ein engagierter SAP-Sicherheitsexperte und Verfechter der Cybersicherheit, der sich dem Schutz der weltweit wichtigsten Unternehmensanwendungen verschrieben hat. Mit fundiertem Fachwissen in den Bereichen Schwachstellenerkennung und Erkennung komplexer Bedrohungen leitet Hernan innovative Forschungsprojekte zur Absicherung komplexer SAP-Umgebungen. Er entdeckt regelmäßig kritische Schwachstellen und meldet diese auf verantwortungsvolle Weise. Darüber hinaus bietet er spezialisierte Schulungen an, um globale Unternehmen dabei zu unterstützen, sich in der sich ständig wandelnden Cybersicherheitslandschaft zurechtzufinden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen