Was ist LDAP: Ist es 2026 noch relevant?

LDAP (Lightweight Directory Access Protocol) ist ein Client-Server-Protokoll zum Lesen und Schreiben von Verzeichnisdiensten über ein Netzwerk. Definiert in RFC 4511, bietet es Anwendungen eine standardisierte Möglichkeit, ein Verzeichnis abzufragen — mit Fragen wie „Existiert dieser Benutzer?", „Zu welchen Gruppen gehört er?" und „Auf welche Ressourcen hat er Zugriff?"

Obwohl LDAP erstmals Anfang der 1990er Jahre standardisiert wurde, bleibt es auch 2026 das Rückgrat der Unternehmens-Identitätsinfrastruktur. Active Directory, das auf LDAP basiert, ist nach wie vor bei etwa 90 % der Organisationen weltweit im Einsatz.

Wichtigste Erkenntnisse

  • LDAP ist ein Protokoll. Es definiert, wie Anwendungen ein Verzeichnis abfragen — Benutzerkonten, Gruppenmitgliedschaften, Zugriffsrechte. Active Directory implementiert es, aber LDAP läuft unabhängig auf OpenLDAP und anderen Servern ohne jegliche Microsoft-Software.
  • AD kann ohne LDAP nicht funktionieren. Jedes Nicht-Windows-System, das sich gegen Active Directory authentifiziert, tut dies über LDAP. Ohne LDAP verliert AD die Fähigkeit, Drittanbieteranwendungen, Netzwerkgeräte und Linux-Infrastruktur zu bedienen.
  • Port 389 ist in Produktionsumgebungen nicht akzeptabel. Standard-LDAP überträgt Anmeldedaten im Klartext. LDAPS auf Port 636 verschlüsselt die gesamte Sitzung. Microsoft setzt seit 2020 Anforderungen für Signierung und Channel Binding durch.
  • Zwei kritische Schwachstellen wurden 2025 gepatcht. CVE-2025-26663 ermöglicht nicht authentifizierte Remote-Code-Ausführung auf Domänencontrollern durch einen Speicherfehler im Windows-LDAP-Dienst. CVE-2025-54918 umgeht Channel-Binding- und Signierungsschutz durch NTLM-Relay. Für beide gibt es Patches — ungepatchte Domänencontroller haben höchste Priorität bei der Behebung.
  • LDAP und moderne Protokolle sind keine Alternativen. SAML übernimmt browserbasiertes SSO. OAuth übernimmt API-Autorisierung. LDAP übernimmt Verzeichnisabfragen für Systeme, die keines von beiden sprechen. Die meisten Unternehmensumgebungen betreiben alle drei gleichzeitig.
  • Manuelle Zugriffsverwaltung schafft Lücken. Wenn AD-Gruppenänderungen nicht automatisch an abhängige Systeme weitergegeben werden, bleiben Konten länger aktiv als sie sollten. Die Synchronisierung des Anmeldedatenzugriffs mit der Verzeichnis-Gruppenmitgliedschaft eliminiert diese Verzögerung.

LDAP verstehen: Die Grundlagen

LDAP ist ein Standardprotokoll für den Zugriff auf und die Verwaltung von verteilten Verzeichnisinformationsdiensten. Es arbeitet mit einem hierarchischen Datenmodell, das vom X.500-Standard abgeleitet ist, und ermöglicht Clients die Authentifizierung von Benutzern, das Nachschlagen von Attributen und das Abrufen von Gruppenmitgliedschaften aus einem zentralen Verzeichnis. Organisationen nutzen es, um eine grundlegende Frage im großen Maßstab zu beantworten: Wer darf was tun und wo?

Die Daten, die LDAP organisiert, befinden sich in einem Directory Information Tree (DIT) — einer hierarchischen Struktur von Einträgen, die jeweils durch einen Distinguished name (DN) identifiziert werden. Ein typischer DN sieht so aus:

Copycn=jane.doe,ou=engineering,dc=company,dc=com

Jeder Eintrag enthält Attribute: Ein Benutzereintrag könnte mail, uid, memberOf und userPassword enthalten. Anwendungen fragen diese Attribute ab, um Authentifizierungs- und Autorisierungsentscheidungen zu treffen.

Wie funktioniert LDAP? (Client-Server-Modell)

Ein LDAP-Client sendet eine Anfrage an einen LDAP-Server (genannt Directory System Agent oder DSA). Der Server verarbeitet die Operation gegen seine Verzeichnisdatenbank und gibt eine Antwort zurück. Die in RFC 4511 definierten Kernoperationen umfassen:

  • Bind — authentifiziert einen Client beim Verzeichnis
  • Search — fragt Einträge ab, die einem Filter entsprechen
  • Compare — prüft, ob ein Eintrag einen bestimmten Attributwert hat
  • Modify / Add / Delete — Schreiboperationen auf Verzeichniseinträgen
  • Unbind — beendet die Sitzung

Die Bind-Operation ist der Ort, an dem die Authentifizierung stattfindet. Ein Client sendet einen DN und Anmeldedaten. Der Server validiert diese und gewährt oder verweigert die Sitzung. Die meisten Unternehmensanwendungen verwenden LDAP-Bind, um die Benutzeridentität vor der Gewährung des Zugriffs zu überprüfen.

LDAP-Port 389 vs. LDAPS-Port 636

Standard-LDAP läuft auf TCP-Port 389 und überträgt Daten im Klartext. Das bedeutet, dass Anmeldedaten, einschließlich Passwörter, unverschlüsselt über das Netzwerk übertragen werden. In jeder Umgebung, in der Netzwerkverkehr abgefangen werden könnte (was jede Umgebung ist), ist dies inakzeptabel.

LDAPS (LDAP über SSL/TLS) läuft auf TCP-Port 636 und umhüllt die gesamte LDAP-Sitzung mit TLS, wodurch der gesamte Datenverkehr einschließlich der Bind-Anmeldedaten verschlüsselt wird. Eine dritte Option, StartTLS, aktualisiert eine bestehende Port-389-Verbindung mitten in der Sitzung auf TLS, führt jedoch zu Verhandlungskomplexität und ist fehleranfälliger bei der korrekten Konfiguration.

LDAP (Port 389) LDAPS (Port 636)
Transport Klartext-TCP TLS-verschlüsseltes TCP
Anmeldedaten bei Übertragung Exponiert Verschlüsselt
Zertifikat erforderlich Nein Ja
Anfällig für MITM Ja Nein (mit gültigem Zertifikat)
NTLM-Relay-Risiko Hoch Reduziert (mit Channel Binding)
Microsoft-Durchsetzung Für Produktion veraltet Erforderlich (ADV190023)
Einsatz in Produktion Nein Ja
StartTLS-Alternative Port 389 + STARTTLS-Upgrade N/A

Microsoft schreibt seit 2020 schrittweise LDAP-Channel-Binding und LDAP-Signierung vor, wobei die Durchsetzung in nachfolgenden Windows-Server-Updates verschärft wurde. Unverschlüsseltes LDAP auf Port 389 in der Produktion zu betreiben, ist eine Sicherheitslücke. Port 636 ist die korrekte Standardeinstellung.

Was ist TCP-Port 389?

TCP-Port 389 — der standardmäßige unverschlüsselte Port für LDAP-Kommunikation (Lightweight Directory Access Protocol). Er ermöglicht Verzeichnisdiensten das Abfragen und Verwalten von Benutzerinformationen, Authentifizierungsdaten und Organisationsdaten auf LDAP-Servern ohne Verschlüsselung. Häufig in Unternehmensumgebungen für Verzeichnisabfragen verwendet, überträgt aber Daten im Klartext, was ihn weniger sicher als verschlüsselte Alternativen macht.

Was ist TCP-Port 636?

TCP-Port 636 — der Standardport für LDAPS (LDAP über SSL/TLS), also LDAP-Kommunikation, die mit SSL/TLS-Sicherheitsprotokollen verschlüsselt ist. Er bietet sichere, verschlüsselte Verbindungen für Verzeichnisdienstabfragen und Authentifizierung und schützt sensible Daten vor Abfangen. Dieser Port wird in sicherheitsbewussten Umgebungen gegenüber Port 389 bevorzugt und wird häufig in Unternehmensverzeichnisdiensten wie Active Directory verwendet.

Was ist SSL/TLS?

SSL/TLS (Secure Sockets Layer / Transport Layer Security) — kryptografische Protokolle, die sichere, verschlüsselte Verbindungen zwischen Clients und Servern über Netzwerke herstellen. SSL ist das ältere Protokoll (inzwischen veraltet), während TLS sein moderner Nachfolger ist. Sie bieten Authentifizierung, Verschlüsselung und Datenintegrität für sensible Kommunikation wie HTTPS, E-Mail und Verzeichnisdienste. TLS verwendet digitale Zertifikate zur Verifizierung der Serveridentität und verschlüsselt alle übertragenen Daten, um Abhören zu verhindern.

Was ist StartTLS?

StartTLS — eine Protokollerweiterung, die eine bestehende unverschlüsselte Verbindung auf eine verschlüsselte unter Verwendung von TLS-Verschlüsselung aktualisiert. Anstatt einen separaten sicheren Port zu erfordern, ermöglicht StartTLS einem Client, sich über einen Standardport (wie LDAP-Port 389 oder SMTP-Port 25) zu verbinden und dann einen STARTTLS-Befehl zu senden, um die Verbindung auf Verschlüsselung umzustellen. Dies bietet Flexibilität durch Unterstützung von verschlüsselten und unverschlüsselten Modi auf demselben Port, erfordert jedoch Serverunterstützung und ist weniger sicher als dedizierte verschlüsselte Ports wie LDAPS (Port 636).

LDAP vs. Active Directory: Was ist der Unterschied?

Active Directory (AD) ist kein Ersatz für LDAP — es ist ein Verzeichnisdienst, der LDAP als eines seiner Zugriffsprotokolle verwendet. Die Verwechslung beider ist eines der häufigsten Missverständnisse in der Unternehmens-IT. Die Abhängigkeit besteht nur in eine Richtung: LDAP steht für sich allein, AD nicht.

Kann LDAP ohne AD betrieben werden?

Ja. LDAP ist ein Protokoll — es definiert, wie ein Client einen Verzeichnisserver nach Informationen fragt und wie dieser Server antwortet. Es kann unabhängig von jeglicher Microsoft-Software eingesetzt werden.

OpenLDAP ist die am weitesten verbreitete Open-Source-Implementierung. 389 Directory Server und Apache Directory Server sind gängige Alternativen. Diese eigenständigen Server speichern Benutzeridentitäten und Gruppenmitgliedschaften und stellen sie Linux/Unix-Systemen, Mailservern und benutzerdefinierten Anwendungen zur Verfügung.

Kann AD ohne LDAP betrieben werden?

Nein. Active Directory ist ein vollständiger Verzeichnisdienst, der von Microsoft auf Basis des X.500-Datenmodells entwickelt wurde. Domänencontroller verwenden LDAP intern zum Lesen, Schreiben und Replizieren von Verzeichnisdaten: Benutzer, Computer, Gruppenrichtlinien. Jede Drittanbieteranwendung oder Nicht-Windows-Maschine, die sich gegen AD authentifiziert, tut dies über LDAP.

Ohne LDAP kann AD nicht mit dem Rest Ihrer Infrastruktur kommunizieren.

Wie sie in der Praxis zusammenhängen

Typ LDAP Active Directory
Typ Offenes Protokoll (RFC 4511) Proprietärer Verzeichnisdienst
Anbieter IETF-Standard Microsoft
Primäre Authentifizierungsmethode Simple Bind, SASL Kerberos (Windows), LDAP-Bind (alles andere)
Plattform Plattformübergreifend Windows Server
Läuft unabhängig Ja Nein — erfordert LDAP
Gängige Implementierungen OpenLDAP, 389 Directory Server, Apache DS Active Directory Domain Services

Wenn sich ein Linux-Server gegen Active Directory authentifiziert, spricht er LDAP. Wenn sich eine Windows-Workstation anmeldet, verwendet sie Kerberos. AD unterstützt beides — aber LDAP ist das, was AD für den Rest Ihrer Infrastruktur zugänglich macht.

Moderne Alternativen: LDAP vs. SAML, OAuth und OpenID Connect

LDAP wurde für die interne Netzwerkauthentifizierung konzipiert — das Abfragen eines Verzeichnisses innerhalb eines Unternehmensperimeters. Die Protokolle, die ihm folgten, wurden für eine andere Welt entwickelt: föderierte Identität über Organisationsgrenzen hinweg, Webanwendungen und mobile Clients.

Protokoll Primärer Anwendungsfall Transport Anmeldedaten-Exponierung
LDAP Interne Verzeichnisabfragen TCP (Port 389/636) Anmeldedaten werden an Server gesendet
SAML Föderiertes SSO (Unternehmens-Webanwendungen) HTTP/XML Anmeldedaten bleiben beim IdP
OAuth 2.0 Delegierte Autorisierung (API-Zugriff) HTTPS Keine Anmeldedaten ausgetauscht
OpenID Connect Föderierte Authentifizierung auf Basis von OAuth HTTPS Keine Anmeldedaten ausgetauscht

Diese Protokolle ersetzen LDAP nicht — sie arbeiten auf einer anderen Ebene. SAML und OpenID Connect übernehmen browserbasiertes SSO. LDAP übernimmt Verzeichnisabfragen und Anwendungsauthentifizierung für Systeme, die SAML nicht sprechen können. Die meisten Unternehmensumgebungen betreiben alle gleichzeitig.

Ist LDAP 2026 noch relevant? (Die Hybrid-Cloud-Realität)

LDAP ist nach wie vor das dominierende Unternehmens-Authentifizierungsprotokoll, das durch Active-Directory-Implementierungen bei etwa 90 % der Organisationen weltweit präsent ist. Die Cloud-Adoption hat daran nichts geändert.

Die meisten Unternehmen sind nicht vollständig cloud-nativ. Sie betreiben ein Hybridmodell: einige Workloads in Azure oder AWS, andere vor Ort, mit Active Directory als Identitätsanker für beide. Microsoft Entra ID (ehemals Azure AD) verbindet sich über Synchronisation mit dem lokalen AD, aber das lokale AD (und damit LDAP) bleibt für viele Identitätsentscheidungen die maßgebliche Quelle.

Die Rolle von LDAP in der Zero-Trust-Architektur

Zero Trust erfordert kontinuierliche Verifizierung: Jede Zugriffsanfrage muss authentifiziert und autorisiert werden, unabhängig vom Netzwerkstandort. LDAP sitzt an einem kritischen Knotenpunkt in diesem Modell, da es oft das System ist, das diese Verifizierungsanfragen beantwortet.

Die Herausforderung besteht darin, dass LDAP nicht mit Zero-Trust-Prinzipien im Sinn entwickelt wurde. Es setzt Netzwerknähe voraus, verwendet persistente Verbindungen und exponiert in seiner unverschlüsselten Form Anmeldedaten bei der Übertragung. Die Einbindung von LDAP in eine Zero-Trust-Architektur erfordert kompensierende Kontrollen:

  • Obligatorisches LDAPS
  • Strikte Firewall-Regeln
  • Einschränkung, welche Systeme Port 636 erreichen können
  • Durchsetzung der LDAP-Signierung
  • Überwachung von Bind-Versuchen auf anomale Muster

LDAP bricht Zero Trust nicht, erfordert aber gezielte Härtung, um es zu unterstützen. Organisationen, die LDAP als Legacy-Komponente behandeln und es unkonfiguriert lassen, schaffen genau die Art von implizitem Vertrauen, das Zero Trust beseitigen soll.

DevOps und CI/CD-Secrets-Management

Automatisierte Pipelines stellen eine spezifische LDAP-Herausforderung dar. CI/CD-Systeme (Jenkins, GitLab CI, GitHub Actions Runner) müssen sich oft gegen LDAP authentifizieren, um auf interne Ressourcen zuzugreifen. Diese Authentifizierung umfasst typischerweise ein Dienstkonto: einen dedizierten LDAP-Bind-DN mit einem statischen Passwort.

Statische Dienstkonto-Anmeldedaten sind ein anhaltendes Risiko. Sie werden selten rotiert, werden oft über Pipelines hinweg gemeinsam genutzt, und wenn sie in Build-Logs oder Konfigurationsdateien erscheinen, sind sie schwer zu erkennen und zu widerrufen. Die Lösung besteht darin, diese Anmeldedaten über einen dedizierten Secrets-Manager zu verwalten, anstatt sie in der Pipeline-Konfiguration hart zu kodieren.

Die CLI-Tools und REST API von Passwork ermöglichen es DevOps-Teams, Dienstkonto-Anmeldedaten zur Laufzeit abzurufen, anstatt sie in Pipeline-Konfigurationen zu speichern. Berechtigungen werden von AD-Gruppen geerbt, sodass der Zugriff ohne manuellen Eingriff mit Ihrem Verzeichnis synchronisiert bleibt. Starten Sie noch heute Ihre kostenlose Testversion und testen Sie es in Ihrer Infrastruktur

Kritische LDAP-Sicherheitsrisiken 2026

LDAP ist nicht nur ein Legacy-Protokoll mit theoretischen Risiken. Es ist eine aktive Angriffsfläche mit dokumentierten, ausgenutzten Schwachstellen.

Die Bedrohung durch Anmeldedatendiebstahl und Ransomware

Laut dem X-Force Threat Intelligence Index 2026 von IBM war das Abgreifen von Anmeldedaten die häufigste Angriffsauswirkung, die 2025 beobachtet wurde. Bedrohungsakteure sammelten Anmeldedaten durch Phishing und Infostealer und fügten sich dann in normale Authentifizierungsströme ein, um sich lateral zu bewegen. LDAP-Dienstkonto-Anmeldedaten passen genau in dieses Muster: anwendungsübergreifend wiederverwendet, selten rotiert und fast nie auf anomale Bind-Aktivitäten überwacht.

Die Angriffskette ist gut dokumentiert: Kompromittierung einer LDAP-Anmeldedaten durch Phishing oder Password Spraying, Nutzung zur Aufzählung des Verzeichnisses, Identifizierung privilegierter Konten und Eskalation. Der Digital Defense Report von Microsoft hat durchgängig die Kompromittierung von AD/LDAP-Anmeldedaten mit Ransomware-Bereitstellung in Verbindung gebracht. Das Verzeichnis ist eine Karte der gesamten Zugriffsstruktur einer Organisation, und Angreifer lesen sie, bevor sie handeln.

Aktuelle Schwachstellen: CVE-2025-26663 und CVE-2025-54918

Zwei kritische Schwachstellen, die 2025 offengelegt wurden, zeigen, dass die Angriffsfläche von LDAP aktiv wächst.

CVE-2025-26663 ist eine Use-after-free-Schwachstelle für Remote-Code-Ausführung in Windows LDAP, die im April 2025 offengelegt wurde. Ein Angreifer kann einen Speicherverwaltungsfehler im Windows-LDAP-Dienst (speziell in wldap32.dll) ausnutzen, um beliebigen Code auf einem Zielserver ohne gültige Anmeldedaten auszuführen.

Der Angriff erfordert nur Netzwerkzugriff auf den LDAP-Dienst. Domänencontroller, die LDAP naturgemäß exponieren, sind die Hauptziele. Ungepatchte Domänencontroller mit dieser Schwachstelle sind praktisch offen für nicht authentifizierte Remote-Code-Ausführung (RCE) von jedem System, das Port 389 oder 636 erreichen kann.

CVE-2025-54918, offengelegt im September 2025, ist eine Privilegieneskalations-Schwachstelle, die NT LAN Manager Relay mit erzwungener Authentifizierung kombiniert, um LDAP-Channel-Binding- und Signierungsschutz zu umgehen. Ein Angreifer mit einem niedrig privilegierten Domänenkonto kann einen Domänencontroller zwingen, sich bei einem vom Angreifer kontrollierten System zu authentifizieren, die NTLM-Authentifizierungspakete während der Übertragung manipulieren und die modifizierte Authentifizierung zurück an den Domänencontroller weiterleiten — und so SYSTEM-Level-Zugriff erlangen. Der Angriff ist besonders gefährlich, weil er Kontrollen umgeht, auf die sich Organisationen üblicherweise als Härtungsmaßnahmen verlassen.

⚠️
Für beide Schwachstellen sind Patches verfügbar. Wenn Ihre Domänencontroller die Sicherheitsupdates vom April 2025 und nachfolgende Windows-Updates nicht erhalten haben, hat das Patchen unmittelbare Priorität.

Best Practices zur Absicherung von LDAP im Unternehmen

Die folgende Checkliste umfasst die Mindestkontrollen für eine LDAP-Produktionsbereitstellung. Dies sind Empfehlungen, die einen spezifischen, dokumentierten Angriffsvektor adressieren.

  1. LDAPS auf Port 636 durchsetzen. Klartext-LDAP auf Port 389 für den gesamten Produktionsverkehr deaktivieren. TLS-Zertifikate von Ihrer internen CA oder einer vertrauenswürdigen öffentlichen CA konfigurieren.
  2. LDAP-Signierung und Channel Binding aktivieren. Verhindert Relay-Angriffe. Erforderlich zur Minderung von CVE-2025-54918 — wobei zu beachten ist, dass CVE-2025-54918 diese Kontrollen auf ungepatchten Systemen umgeht, sodass das Patchen weiterhin obligatorisch ist.
  3. Alle Windows-Sicherheitsupdates anwenden. Für CVE-2025-26663 und CVE-2025-54918 gibt es Patches. Ungepatchte Domänencontroller sind das Behebungselement mit höchster Priorität.
  4. LDAP-Zugriff nach IP einschränken. Nur Systeme, die legitimerweise LDAP abfragen müssen, sollten Port 636 erreichen können. Firewall-Regeln sollten dies durchsetzen, nicht nur Annahmen zur Netzwerksegmentierung.
  5. Dienstkonto-Anmeldedaten auditieren. Jeden Bind-DN identifizieren, der in Ihrer Umgebung verwendet wird. Passwörter nach einem Zeitplan rotieren. Konten entfernen, die nicht mehr benötigt werden.
  6. Bind-Versuche überwachen. Ungewöhnliche Bind-Muster — wiederholte Fehlschläge, Binds von unerwarteten Quell-IPs, Binds zu ungewöhnlichen Zeiten — sind frühe Indikatoren für Credential Stuffing oder laterale Bewegung.
  7. Anonyme LDAP-Binds deaktivieren. Anonyme Abfragen ermöglichen nicht authentifizierte Aufzählung von Verzeichnisinhalten. Die meisten modernen Implementierungen haben keine legitime Verwendung für anonyme Binds.
  8. Dienstkonten nach Funktion trennen. Ein Dienstkonto, das von einem VPN verwendet wird, sollte nicht die gleichen Berechtigungen haben wie eines, das von einem Backup-System verwendet wird. Das Prinzip der geringsten Rechte gilt auch für LDAP-Bind-Konten.

Unternehmens-Zugriff mit der Passwork-LDAP-Integration optimieren

Unternehmens-Zugriff mit der Passwork-LDAP-Integration optimieren

Der operative Aufwand der LDAP-basierten Zugriffsverwaltung summiert sich im Laufe der Zeit. Benutzer wechseln Teams, treten Projekten bei und verlassen die Organisation — und jeder Übergang erfordert Zugriffsänderungen über mehrere Systeme hinweg. Wenn diese Änderungen manuell erfolgen, hinken sie hinterher. Konten bleiben länger aktiv als sie sollten. Anmeldedaten sammeln sich an Orten an, die niemand verfolgt.

Passwork verbindet sich direkt mit Active Directory oder jedem LDAP-kompatiblen Verzeichnis und ordnet Gruppenmitgliedschaften automatisch dem Tresor-Zugriff zu:

  • Fügen Sie einen Benutzer zur SRE-Gruppe in AD hinzu — die korrekten Anmeldedaten erscheinen in seinem Passwork-Tresor, keine separate Admin-Aktion erforderlich
  • Entfernen Sie ihn aus der Gruppe — der Zugriff wird widerrufen
  • Das Verzeichnis bleibt die einzige Wahrheitsquelle dafür, wer auf was Zugriff hat

Für selbst gehostete Umgebungen wird Passwork vollständig innerhalb Ihres eigenen Perimeters bereitgestellt. Anmeldedaten verlassen ihn nie. SAML SSO wird neben LDAP unterstützt, sodass Teams, die beide Protokolle für verschiedene Anwendungsebenen verwenden, ihre Identitätsarchitektur nicht neu aufbauen müssen.

Jedes Lesen, Schreiben, Teilen und Exportieren wird im Audit-Log aufgezeichnet — relevant sowohl für interne Sicherheitsüberprüfungen als auch zum Nachweis der Compliance mit SOC 2 CC6.1 und DSGVO Artikel 32.

Fazit

LDAP wird nicht verschwinden. Der Markt für Verzeichnissoftware wurde 2025 auf 8,4 Milliarden US-Dollar geschätzt und soll laut der Marktforschung von Dataintelo bis 2034 19,7 Milliarden US-Dollar erreichen — eine Zahl, die fortgesetzte Unternehmensinvestitionen in Verzeichnisinfrastruktur widerspiegelt, nicht eine Technologie im Niedergang. Mit 90 % der Unternehmen, die noch Active Directory betreiben, bleibt LDAP das verbindende Gewebe des Unternehmens-Identitätsmanagements.

Was sich geändert hat, ist die Bedrohungsumgebung. CVE-2025-26663 und CVE-2025-54918 sind aktiv gepatchte Schwachstellen, die auf die LDAP-Dienste abzielen, die Ihre Domänencontroller gerade jetzt exponieren.

Die praktische Maßnahme ist einfach: LDAPS durchsetzen, Ihre Domänencontroller patchen, Ihre Dienstkonto-Anmeldedaten auditieren und sicherstellen, dass Zugriffsänderungen in Ihrem Verzeichnis automatisch an die Systeme weitergegeben werden, die davon abhängen. Manuelle Zugriffsverwaltung im Maßstab, in dem die meisten Unternehmen operieren, ist dort, wo Lücken entstehen.

Passwork integriert sich mit Active Directory und LDAP, um den Anmeldedatenzugriff mit Ihren Verzeichnisgruppen synchronisiert zu halten — automatisch, ohne benutzerdefinierte Skripte. Selbst gehostet, AES-256-verschlüsselt, ISO 27001, mit vollständigem Audit-Trail. Testen Sie es in Ihrer Infrastruktur

Häufig gestellte Fragen zu LDAP

Häufig gestellte Fragen zu LDAP

Wofür wird LDAP verwendet?

LDAP wird zur Authentifizierung von Benutzern und zum Nachschlagen von Verzeichnisinformationen verwendet — Gruppenmitgliedschaften, E-Mail-Adressen, Kontoattribute — über Unternehmensanwendungen hinweg. Häufige Anwendungsfälle umfassen VPN-Authentifizierung, Mailserver-Benutzerabfrage, Anwendungs-SSO und zentralisierte Benutzerverwaltung. Die meisten Unternehmensanwendungen, die eine Identität gegen ein Unternehmensverzeichnis verifizieren müssen, verwenden LDAP.

Was ist der Unterschied zwischen LDAP und Active Directory?

LDAP ist ein offenes Protokoll (RFC 4511) für den Zugriff auf Verzeichnisdienste. Active Directory ist der Verzeichnisdienst von Microsoft, der LDAP als eines seiner Zugriffsprotokolle verwendet. AD verwendet auch Kerberos für die Windows-Authentifizierung. LDAP kann ohne Active Directory verwendet werden (z. B. über OpenLDAP), aber Active Directory ist auf LDAP angewiesen, um Verzeichnisabfragen an Nicht-Windows-Anwendungen zu bedienen.

Was ist LDAPS und warum ist es wichtig?

LDAPS ist LDAP über TLS, läuft auf Port 636. Standard-LDAP auf Port 389 überträgt Anmeldedaten im Klartext, wodurch sie für jeden sichtbar sind, der Netzwerkverkehr abfangen kann. LDAPS verschlüsselt die gesamte Sitzung. Im Jahr 2026 ist das Betreiben von unverschlüsseltem LDAP in der Produktion nicht vertretbar — Microsoft setzt seit 2020 Anforderungen für LDAP-Signierung und Channel Binding durch, und sowohl CVE-2025-26663 als auch CVE-2025-54918 zielen direkt auf LDAP-Dienste ab.

Wird LDAP 2026 noch verwendet?

Ja. Active Directory, das auf LDAP angewiesen ist, wird bei etwa 90 % der Unternehmen weltweit eingesetzt. Die Cloud-Adoption hat dies nicht verdrängt — die meisten Organisationen betreiben Hybridumgebungen, in denen das lokale AD die maßgebliche Identitätsquelle bleibt. LDAP ist auch in Tausenden von Anwendungen eingebettet, die sich gegen Unternehmensverzeichnisse authentifizieren und ohne erhebliche Umgestaltung nicht durch SAML oder OAuth ersetzt werden.

Wie passt LDAP in eine Zero-Trust-Architektur?

LDAP kann Zero Trust unterstützen, wenn es korrekt gehärtet wird. Zero Trust erfordert kontinuierliche Verifizierung jeder Zugriffsanfrage, und LDAP ist oft das System, das diese Anfragen beantwortet. Die Anforderungen: LDAPS durchsetzen (Port 636), Signierung und Channel Binding aktivieren, Verzeichniszugriff nach Quell-IP einschränken, Bind-Versuche überwachen und Dienstkonto-Anmeldedaten regelmäßig rotieren. Die Standardkonfiguration von LDAP ist nicht Zero-Trust-kompatibel — aber das Protokoll selbst ist nicht das Hindernis.

Was sind die wichtigsten Sicherheitsrisiken bei LDAP?

Die primären Risiken sind die Exponierung von Anmeldedaten über unverschlüsselte Verbindungen (Port 389), Diebstahl von Dienstkonto-Anmeldedaten, NTLM-Relay-Angriffe (CVE-2025-54918) und nicht authentifizierte RCE über Speicherkorruptions-Schwachstellen (CVE-2025-26663). Der X-Force Threat Intelligence Index 2025 von IBM ergab, dass identitätsbasierte Angriffe — viele auf Verzeichnis-Anmeldedaten abzielend — 2024 30 % aller Einbrüche ausmachten. Patchen, LDAPS-Durchsetzung und Dienstkonto-Hygiene adressieren die Mehrheit dieser Risiken.

Kann LDAP durch SAML oder OAuth ersetzt werden?

Nicht vollständig. SAML und OAuth übernehmen browserbasierte föderierte Authentifizierung bzw. API-Autorisierung. LDAP übernimmt Verzeichnisabfragen und Anwendungsauthentifizierung für Systeme, die SAML nicht sprechen können. Die meisten Unternehmensumgebungen betreiben alle drei Protokolle für verschiedene Ebenen ihres Anwendungsstacks. Die Frage ist nicht, welches gewählt werden soll — sondern welche Anwendungen LDAP erfordern und ob diese Verbindungen ordnungsgemäß gesichert sind.

Schatten-IT vs. Schatten-KI: Warum KI die größere Bedrohung ist
Mitarbeiter nutzen KI-Tools, die Sie nicht genehmigt haben, auf Konten, die Sie nicht überwachen können, mit Daten, die Sie nicht wiederherstellen können. So sieht das Risiko wirklich aus und was Governance adressieren muss.
Passwork BlogAlex Muntyan
Unsichere Passwortweitergabe: Risiken und sichere Lösungen 2026
Jedes Mal, wenn Anmeldedaten über Slack oder E-Mail übertragen werden, verlieren Sie Verantwortlichkeit, Audit-Trail und Compliance-Haltung in einem Schritt. Dieser Leitfaden behandelt die realen Risiken unsicherer Passwortweitergabe 2026, warum Mitarbeiter es trotzdem tun, und wie Sie auf tresor-vermittelten Zugriff umsteigen, ohne Ihr Team zu stören.
Passwork BlogAlex Muntyan
Passwork gewinnt Top Performer Frühjahr 2026 auf SourceForge
Passwork wurde von SourceForge als Top Performer Frühjahr 2026 ausgezeichnet und rangiert unter den Top 10 % von über 100.000 Lösungen. Die Auszeichnung basiert ausschließlich auf verifizierten Bewertungen — 4,8 Sterne insgesamt, mit einer perfekten 5,0 für Support.
Passwork BlogAlex Muntyan