Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. Seitliche Bewegung

Wie sich Angreifer nach dem ersten Einbruch in hybriden Netzwerken bewegen

März 17, 2026
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Wie sich Angreifer nach dem ersten Einbruch in hybriden Netzwerken bewegen

Der erste Zugriff ist selten das eigentliche Ziel eines Angriffs. Er ist lediglich der Ausgangspunkt.

Sobald Angreifer sich dauerhaft in einem Netzwerk etabliert haben, ist ihr nächstes Ziel die Ausweitung. Sie bewegen sich vom ursprünglich kompromittierten System zu weiteren Hosts, Identitäten und Diensten, bis sie auf etwas Wertvolles stoßen.

Diese Phase wird als seitliche Bewegung bezeichnet .

In modernen Hybridumgebungen verläuft die laterale Bewegung oft unbemerkt. Angreifer nutzen legitime Anmeldedaten, zugelassene Tools und übliche Verwaltungsprotokolle.

Von außen sieht nichts kaputt aus.

Innerhalb des Netzwerks baut der Angreifer jedoch seine Kontrolle stetig aus.

Warum seitliche Bewegungen schwer zu erkennen sind

Herkömmliche Sicherheitsmaßnahmen sind darauf ausgelegt, Angreifer am Netzwerkperimeter abzuwehren oder malware Endgeräten zu erkennen.

Seitliche Bewegungen lösen selten eine der beiden Kontrollen aus. Angreifer bewegen sich intern mithilfe von Tools und Verhaltensweisen, die normalen Administratoraktivitäten ähneln. Sie nutzen häufig integrierte Protokolle wie SMB, RDP und PowerShell oder legitime Fernverwaltungsprogramme.

Jede einzelne Handlung mag harmlos erscheinen.

Für sich genommen sieht es nach einer ganz normalen IT-Tätigkeit aus.

Insgesamt betrachtet zeigt sich ein Eingriff, der sich in der gesamten Umgebung ausbreitet.

1. Wie Angreifer beginnen, sich im Netzwerk zu bewegen

Der erste Schritt bei der seitlichen Bewegung ist die Erkundung.

Angreifer beginnen damit, der Umgebung einfache Fragen zu stellen. Systeme liefern diese Antworten oft automatisch.

Zunächst überprüfen sie Identitätsberechtigungen und Gruppenmitgliedschaften, ermitteln Domänenstrukturen und erfassen sichtbare Systeme oder gemeinsam genutzte Ressourcen.

Ihr Ziel ist es, eine Auswahlliste potenzieller Zielunternehmen zu erstellen.

Active Directory steht bei diesem Erfassungsprozess oft im Mittelpunkt, da es die Beziehungen zwischen Benutzern, Gruppen und Systemen sichtbar macht.

Tools wie ADScan oder AdFind ermöglichen es Angreifern, das Active Directory direkt abzufragen. Andere nutzen BloodHound, das Identitätsbeziehungen abbildet und Wege zur Rechteausweitung innerhalb der Domäne aufzeigt.

Diese Tools verwandeln die Identitätsinfrastruktur in einen Angriffsplan.

2. Erweiterung des Zugriffs durch Diebstahl von Zugangsdaten

Sobald Angreifer die Umgebung verstanden haben, beginnen sie damit, Zugangsdaten zu sammeln.

Viele Angriffe basieren eher auf der Wiederverwendung von Zugangsdaten als auf der Ausnutzung neuer Sicherheitslücken.

Angreifer suchen in kompromittierten Systemen nach:

  • zwischengespeicherte Anmeldedaten
  • Kerberos-Tickets
  • gespeicherte Authentifizierungstoken
  • aktive Sitzungen auf Servern

Tools wie Mimikatz können Passwörter, NTLM-Hashes und Kerberos-Tickets direkt aus dem Arbeitsspeicher kompromittierter Rechner extrahieren. Mit jedem wiederhergestellten Zugangsdaten erweitert sich der Aktionsradius des Angreifers. Mehr Identitäten bedeuten mehr Systeme, die es zu erkunden gilt.

3. Fernausführung: Sobald die seitliche Bewegung einsetzt

Die seitliche Bewegung beginnt erst dann wirklich, wenn Angreifer Befehle auf einem zweiten System ausführen. An diesem Punkt stellen sie drei Dinge fest:

  1. das Zielsystem ist erreichbar
  2. Die gestohlenen Zugangsdaten gewähren ausreichende Zugriffsrechte
  3. Eine Ausführung aus der Ferne ist möglich

Angreifer benötigen dafür selten eigens entwickelte malware.

Sie nutzen häufig legitime Verwaltungstools wie:

  • PsExec zur Ausführung von Befehlen aus der Ferne
  • RDP, um sich interaktiv bei einem anderen System anzumelden
  • SMB-Admin-Freigaben zum Kopieren von Dateien oder Starten von Prozessen

Frameworks wie Cobalt Strike oder Brute Ratel automatisieren viele dieser Aktionen und ermöglichen es Angreifern, mehrere kompromittierte Systeme gleichzeitig zu kontrollieren.

Aus Sicht des Verteidigers können diese Handlungen wie legitime Systemadministration aussehen.

4. Netzwerkübergreifende Navigation

Sobald Angreifer Zugriff auf weitere Systeme erlangt haben, wiederholen sie diesen Vorgang.

Von jedem neuen Aussichtspunkt aus machen sie weitere Entdeckungen und halten Ausschau nach:

  • Domänencontroller
  • Identitätsinfrastruktur
  • sensible Repositorien
  • Konten mit erweiterten Rechten

Jedes neue System bietet zusätzliche Anmeldedaten und mehr Transparenz im Netzwerk.

Dieser iterative Prozess wird so lange fortgesetzt, bis die Angreifer die Systeme erreichen, die sie letztendlich kontrollieren wollen.

Das können Identitätsinfrastrukturen, cloud oder Datenspeicher sein.

Zu diesem Zeitpunkt hat der Angreifer die Umgebung effektiv unter seiner Kontrolle.

Moderne Zugangsmodelle verändern die horizontale Mobilität

Moderne IT-Zugriffsmodelle erleichtern die laterale Bewegung.

Tools, die den Zugriff auf die Infrastruktur vereinfachen sollen, können auch die Bewegungsfreiheit von Angreifern erleichtern, sobald eine Identität kompromittiert wurde.

Beispiel: Plattformen wie Teleport zentralisieren den Zugriff auf die Infrastruktur durch identitätsbasierte Authentifizierung. Wenn Angreifer das richtige Konto kompromittieren, erhalten sie möglicherweise Zugriff auf große Teile der Umgebung.

Ebenso schaffen Netzwerkplattformen wie Tailscale sichere Verbindungswege zwischen Geräten, ohne auf herkömmliche VPN-Infrastrukturen zurückzugreifen.

Wenn Angreifer die Kontrolle über eine dieser Identitäten oder eines dieser Geräte erlangen, können sie Zugriff auf Systeme erhalten, die nie direkt mit dem Internet verbunden waren.

Mit anderen Worten: Zugangsarchitekturen, die auf Komfort ausgelegt sind, können zu leistungsstarken Kanälen für laterale Bewegungen werden.

Warum herkömmliche Sicherheitswerkzeuge hier an ihre Grenzen stoßen

Die meisten Verteidigungsinstrumente analysieren einzelne Signale.

EDR konzentriert sich auf endpoint . IAM-Plattformen konzentrieren sich auf die Authentifizierung. Netzwerksicherheitstools konzentrieren sich auf Aktivitäten am Netzwerkperimeter.

Zwischen diesen Schichten kommt es häufig zu seitlichen Verschiebungen.

Angreifer nutzen legitime Anmeldedaten, native Protokolle und zugelassene Verwaltungstools. Die Aktivitäten wirken autorisiert, verschlüsselt und richtlinienkonform.

Auf den ersten Blick sieht nichts offensichtlich bösartig aus. Bis man das Verhalten in der gesamten Umgebung analysiert.

Was die Erkennung von seitlichen Bewegungen tatsächlich erfordert

Um seitliche Bewegungen zu erkennen, muss man wissen, wie sich Identitäten im gesamten Netzwerk verhalten. SOC-Teams sollten auf Muster achten wie:

  • Unzulässige Remote-Ausführung zwischen Systemen
  • Ungewöhnliche Aktivitäten im Zusammenhang mit Identitäten auf mehreren Hosts
  • wiederholte Authentifizierung auf verschiedenen Systemen innerhalb kurzer Zeiträume
  • interne Erkundungsmaßnahmen
  • Muster der Wiederverwendung von Anmeldedaten, die sich rasch in der gesamten Infrastruktur ausbreiten

Diese Verhaltensweisen lassen die Bewegungen des Angreifers erkennen, selbst wenn einzelne Aktionen legitim erscheinen.

Bei der Erkennung muss der Fokus auf Verhaltenskette liegen, nicht auf einzelnen Warnmeldungen.

Wie die Vectra AI Angreiferbewegungen im Netzwerk erkennt

Bei der lateralen Bewegung kommt selten offensichtliche malware zum Einsatz. Angreifer stützen sich in der Regel auf legitime Anmeldedaten und genehmigte Verwaltungsprotokolle. Tools zur Remote-Ausführung, Dateifreigaben und Identitätsdienste werden genau so genutzt, wie es auch Administratoren tun würden.

Für sich genommen scheinen diese Maßnahmen zulässig zu sein.

Die Vectra AI analysiert, wie Identitäten mit Systemen im gesamten Netzwerk interagieren, um Muster zu identifizieren, die auf eine Ausbreitung von Angreifern hindeuten. Die Wiederverwendung von Anmeldedaten auf mehreren Hosts, ungewöhnliche Remote-Ausführungspfade und interne Erkundungsaktivitäten zeigen, wenn eine Identität dazu genutzt wird, sich in der Umgebung zu bewegen.

Durch die Verknüpfung von Netzwerkverkehr und Identitätsverhalten rekonstruiert die Plattform die Bewegungen von Angreifern innerhalb der hybriden Infrastruktur. So können SOC-Teams nachvollziehen, wie sich eine Kompromittierung von einem System auf das nächste ausbreitet, und eingreifen, bevor der Angreifer die Kontrolle über die Domäne erlangt, an sensible Daten gelangt oder ransomware .

Anstatt einzelnen Warnmeldungen hinterherzujagen, können Analysten den Weg des Angreifers durch das Netzwerk verfolgen.

Ihre nächsten Schritte

Wenn die Angreifer beginnen, sich seitlich auszubreiten, ist der Angriff bereits in vollem Gange.

In dieser Phase nutzen sie Zugangsdaten wieder, führen Befehle aus der Ferne aus und bewegen sich von einem System zum nächsten, bis sie die Identitätsinfrastruktur, sensible Daten oder Systeme erreichen, die es ihnen ermöglichen, ransomware zu starten.

In Attack Lab, Folge 3: Lateral Movement – Wie sich Angreifer im Netzwerk bewegen, zeigen wir, wie moderne Angreifer mithilfe legitimer Administrationswerkzeuge und gestohlener Identitäten ihre Kontrolle in hybriden Umgebungen ausweiten.

Sehen Sie sich die Sitzung an, um zu erfahren, wie sich laterale Bewegungen bei tatsächlichen Angriffen abspielen und wie SOC-Teams das Verhalten von Angreifern erkennen können, bevor sich die Kompromittierung in der gesamten Umgebung ausbreitet.

Um den gesamten Angriffsverlauf nachzuvollziehen, können Sie sich auch die anderen Attack-Lab-Sitzungen ansehen, die folgende Themen behandeln Erster Zugriff und Persistenz, die zeigen, wie diese Angriffe beginnen und wie Angreifer langfristige Brückenköpfe etablieren.

---

*Zitat aus dem Buch von Vinny Troia "Grey Area: Dark Web Data Collection and the Future of OSINT"

Häufig gestellte Fragen