Cybersecurity-Teams sind mit einer ernüchternden Realität konfrontiert: Sobald sich Angreifer einen ersten Zugang zu einem Netzwerk verschafft haben, können sie sich in nur 18 Minuten auf kritische Systeme ausbreiten. Diese stille Ausbreitung, bekannt als Lateral Movement, ist zum bestimmenden Merkmal moderner Cyberangriffe geworden und wird laut Illumios Global Cloud Detection and Response Report 2025 fast 90 % der Unternehmen betreffen.
Die Geschwindigkeit und Unauffälligkeit von Querbewegungen stellen eine grundlegende Herausforderung für herkömmliche Sicherheitsansätze dar. Während sich die Perimeterverteidigung darauf konzentriert, Angreifer draußen zu halten, wird bei lateralen Bewegungen davon ausgegangen, dass sie bereits drinnen sind. Sie nutzen legitime Tools, missbrauchen vertrauenswürdige Protokolle und bewegen sich schneller durch Umgebungen, als die meisten Sicherheitsteams reagieren können. Diese Technik zu verstehen und zu stoppen ist nicht nur wichtig, sondern überlebenswichtig in der heutigen Bedrohungslandschaft, in der ein durchschnittlicher Einbruch Unternehmen 4,44 Millionen Dollar kostet.
Laterale Bewegung ist die Technik, die Angreifer verwenden, um durch ein kompromittiertes Netzwerk zu navigieren und auf zusätzliche Systeme und Ressourcen zuzugreifen, während sie ihre aktuelle Berechtigungsstufe beibehalten. Im Gegensatz zur vertikalen Bewegung, bei der höhere Privilegien angestrebt werden, breitet sich die laterale Bewegung horizontal über die Umgebung aus und ermöglicht es den Angreifern, das Netzwerk zu erkunden, wertvolle Daten zu finden und mehrere Angriffspunkte zu etablieren, bevor sie ihre endgültigen Ziele ausführen.
Diese Unterscheidung ist wichtig, weil laterale Bewegungen oft unter dem Radar herkömmlicher Sicherheitstools verschwinden. Die Angreifer nutzen legitime Anmeldeinformationen und systemeigene Tools und lassen ihre Aktivitäten als normalen Netzwerkverkehr erscheinen. Der Illumio-Bericht aus dem Jahr 2025 zeigt, dass fast 90 % der Unternehmen im vergangenen Jahr in irgendeiner Form von Lateral Movement betroffen waren, was im Durchschnitt zu mehr als 7 Stunden Ausfallzeit pro Vorfall führte - viel zu lange, wenn Angreifer schnell auf wichtige Systeme zugreifen können.
Die Auswirkungen auf das Unternehmen gehen über die technischen Kennzahlen hinaus. Jede Minute unentdeckter seitlicher Bewegung vergrößert den potenziellen Aktionsradius eines Angriffs. Was mit einer einzelnen kompromittierten Workstation beginnt, kann schnell zu einer domänenweiten Kompromittierung, Datenexfiltration oder einer vollständigen ransomware im gesamten Unternehmen eskalieren. Diese Entwicklung erklärt, warum die Implementierung einer effektiven zero trust und proaktiver threat hunting für moderne Sicherheitsprogramme unverzichtbar geworden ist.
In der Sicherheitsbranche werden laterale Bewegung und Privilegieneskalation oft miteinander verwechselt, aber für eine effektive Verteidigung ist es wichtig, die Unterschiede zu verstehen. Seitliche Bewegung bedeutet eine horizontale Ausdehnung über Systeme hinweg unter Verwendung vorhandener Anmeldeinformationen und Berechtigungen. Ein Angreifer, der als Standardbenutzer auf einer Workstation kompromittiert wurde, bewegt sich zu anderen Workstations, auf die dieser Benutzer Zugriff hat - eine Erhöhung der Rechte ist nicht erforderlich.
Bei der Privilegienerweiterung hingegen geht es um den vertikalen Aufstieg in der Berechtigungshierarchie. Ein Angreifer nutzt Schwachstellen oder Fehlkonfigurationen aus, um Administratorrechte, Domänenadministratorrechte oder Root-Zugriff zu erlangen. Diese Techniken arbeiten oft zusammen: Angreifer bewegen sich seitlich, bis sie ein System finden, in dem eine Privilegienerweiterung möglich ist, und nutzen dann diese erhöhten Privilegien, um sich seitlich mit größerer Freiheit zu bewegen.
Denken Sie an die jüngste Volt Typhoon , die auf kritische Infrastrukturen abzielte. Die Bedrohungsakteure behielten monatelang den Standard-Benutzerzugang bei und bewegten sich mit legitimen Anmeldeinformationen seitlich durch VPN-Anwendungen und Netzwerkgeräte. Erst als sie bestimmte hochwertige Ziele ausfindig machten, versuchten sie eine Privilegienerweiterung, was zeigt, dass geduldige Angreifer der Heimlichkeit Vorrang vor der Geschwindigkeit einräumen.
Moderne laterale Bewegungen folgen einem vorhersehbaren dreistufigen Muster, das Sicherheitsteams verstehen müssen, um eine wirksame Verteidigung aufzubauen. Angreifer beginnen mit der Erkundung, um die Umgebung zu kartografieren, verschaffen sich dann Zugangsdaten und führen ihre Bewegungen mit legitimen Protokollen und Tools aus. Dieser methodische Ansatz ermöglicht es ihnen, sich unter die normalen Netzwerkaktivitäten zu mischen, während sie systematisch die Zielsysteme kompromittieren.
Die Raffinesse dieser Angriffe hat sich dramatisch weiterentwickelt. Jüngsten Daten zu Sicherheitsverletzungen zufolge sind Living Off the Land ) mittlerweile für 84 % der schweren Sicherheitsverletzungen im Jahr 2025 verantwortlich, wobei die Angreifer zunehmend auf benutzerdefinierte malware zugunsten integrierter Systemtools verzichten. Diese Verschiebung macht die Erkennung exponentiell schwieriger, da Sicherheitsteams zwischen legitimen administrativen Aktivitäten und bösartigen Bewegungen unterscheiden müssen.
Das Verständnis der einzelnen Phasen bildet die Grundlage für den Aufbau von Erkennungs- und Präventionsfunktionen. Unternehmen, die Lösungen zur Erkennung von Identitätsbedrohungen und zur Reaktion darauf implementieren, berichten von deutlich schnelleren Erkennungszeiten, insbesondere in Kombination mit Verhaltensanalysen, die normale Bewegungsmuster erfassen.
Phase 1: Erkundung und Entdeckung Die Angreifer erstellen zunächst eine Karte der Netzwerktopologie, um Systeme, Dienste und potenzielle Ziele zu identifizieren. Sie zählen Active Directory-Objekte auf, scannen nach offenen Ports und sammeln Systeminformationen mit Befehlen wie Nettoansicht, nltestund PowerShell-Cmdlets. In dieser Phase werden in der Regel nur minimale Sicherheitswarnungen erzeugt, da diese Tools legitimen Verwaltungszwecken dienen.
Stufe 2: Dumping von Anmeldeinformationen und Authentifizierungsmaterial Mit dem Wissen über die Umgebung konzentrieren sich die Angreifer auf die Beschaffung zusätzlicher Anmeldedaten. Sie extrahieren Passwort-Hashes aus dem Speicher mit Techniken wie LSASS-Dumping, sammeln Kerberos-Tickets oder missbrauchen Mechanismen zur Speicherung von Anmeldeinformationen. Die Tools reichen von Mimikatz (wenn eigene Tools verwendet werden) bis hin zu legitimen Windows-Dienstprogrammen wie procdump.exe für LOTL-Ansätze. Die erworbenen Berechtigungsnachweise ermöglichen Bewegungen, ohne dass es zu Authentifizierungsfehlern kommt.
Stufe 3: Zugriff und Bewegungsausführung Mit gültigen Anmeldeinformationen bewaffnet, führen Angreifer ihre seitlichen Bewegungen über legitime Fernzugriffsprotokolle aus. Sie richten RDP-Sitzungen ein, erstellen geplante Aufgaben über WMI oder verteilen Nutzdaten über administrative SMB-Freigaben. Mit jeder erfolgreichen Bewegung bauen sie ihre Position aus, während sie den Anschein autorisierter Aktivitäten aufrechterhalten.
Angreifer missbrauchen immer wieder vier primäre Protokolle für laterale Bewegungen, die jeweils einzigartige Vorteile in Bezug auf Tarnung und Zuverlässigkeit bieten:
SMB/Windows Administrative Shares (T1021.002) ist nach wie vor der am weitesten verbreitete Angriffsvektor, der in 68 % der Fälle von Lateral Movement ausgenutzt wird. Angreifer nutzen ADMIN$-, C$- und IPC$-Freigaben, um Nutzdaten zu verteilen, Befehle aus der Ferne auszuführen und Daten zu exfiltrieren. Die Allgegenwärtigkeit des Protokolls in Windows-Umgebungen bietet eine perfekte Tarnung für bösartige Aktivitäten.
Das Remote Desktop Protocol (T1021.001) bietet einen interaktiven Zugang, der das Verhalten eines legitimen Administrators nachahmt. Jüngste Kampagnen zeigen, dass Angreifer RDP-Sitzungen wochenlang aufrechterhalten und sie als primäre Befehls- und Kontrollkanäle nutzen, während sie sich als normale Fernverwaltung ausgeben.
Windows Management Instrumentation (T1047) bietet leistungsstarke Remote-Ausführungsfunktionen über ein Protokoll, das für die Unternehmensverwaltung entwickelt wurde. Angreifer nutzen WMI zum Erstellen von Prozessen, Ändern von Registrierungsschlüsseln und Herstellen von Persistenz, während sie gleichzeitig herkömmliche Antiviren-Erkennung umgehen.
PowerShell Remoting und WinRM (T1021.006) ermöglichen ausgeklügelte skriptbasierte Angriffe auf mehreren Systemen gleichzeitig. Die legitime Verwendung des Protokolls in der Unternehmensautomatisierung macht die Erkennung besonders schwierig, insbesondere wenn Angreifer verschlüsselte Befehle und speicherinterne Ausführung verwenden.
Die nachstehende Tabelle zeigt, wie diese Protokolle bestimmten Angriffstechniken und Erkennungsmöglichkeiten zugeordnet sind:
Das MITRE ATT&CK dokumentiert neun Haupttechniken und 20 Untertechniken unter der Taktik der seitlichen Bewegung (TA0008) und bietet damit eine umfassende Taxonomie des Angreiferverhaltens. Das Verständnis dieser Techniken ermöglicht es den Sicherheitsteams, gezielte Erkennungsregeln zu erstellen und auf der Grundlage der tatsächlichen Bedrohungsmuster Prioritäten für Verteidigungsinvestitionen zu setzen.
Bei Angriffen in der realen Welt wird selten eine einzelne Technik isoliert eingesetzt. Moderne Bedrohungsakteure kombinieren mehrere Methoden und passen ihren Ansatz je nach umgebungsspezifischen Möglichkeiten und Verteidigungslücken an, wie in der MITRE ATT&CK Wissensdatenbank dokumentiert. Die Verbreitung von Living Off the Land -Taktiken hat dies zu einer besonderen Herausforderung gemacht, da PowerShell laut einer Analyse von 2025 in 71 % der LOTL-Angriffe vorkommt.
Das vollständige MITRE ATT&CK Mapping für laterale Bewegungen zeigt die Bandbreite der Techniken, die Angreifern zur Verfügung stehen:
Pass the Hash (T1550.002)-Angriffe verdienen besondere Aufmerksamkeit, da sie herkömmliche passwortbasierte Verteidigungsmaßnahmen vollständig umgehen. Angreifer fangen NTLM-Kennwort-Hashes ab und spielen sie erneut ab, um sich zu authentifizieren, ohne das eigentliche Kennwort zu kennen. Diese Technik ist in Umgebungen, in denen es keine angemessene Hygiene bei den Anmeldeinformationen gibt oder in denen die NTLM-Authentifizierung nicht eingeschränkt wurde, nach wie vor sehr effektiv.
Pass the Ticket (T1550.003) stellt das Kerberos-Äquivalent dar, bei dem Angreifer Kerberos-Tickets stehlen und wiedergeben, um sich als legitime Benutzer auszugeben, oft in Kombination mit Kerberoasting Angriffen, um Anmeldedaten für Dienstkonten abzufangen. Die Varianten "Golden Ticket" und "Silver Ticket" bieten besonders hartnäckigen Zugang und überstehen mitunter die Rücksetzung von Kennwörtern und die üblichen Abhilfemaßnahmen.
Living Off the Land -Angriffe sind die Weiterentwicklung von Lateral Movement, bei der die Notwendigkeit für maßgeschneiderte malware durch den Missbrauch legitimer Systemtools entfällt. Dieser Ansatz reduziert die Erkennungsraten drastisch und beschleunigt gleichzeitig die Angriffszeiten. Sicherheitsteams berichten, dass LOTL-Angriffe in 76 % der Fälle der herkömmlichen signaturbasierten Erkennung entgehen.
PowerShell dominiert die LOTL-Landschaft und taucht in 71 % dieser Angriffe auf. Angreifer nutzen sie für alles Mögliche, von der Erkundung (Get-ADComputer, Get-ADUser) bis hin zum Dumping von Anmeldeinformationen (Invoke-Mimikatz) und Fernausführung (Invoke-Befehl, Enter-PSSession). Die legitime administrative Nutzung des Rahmens macht es besonders schwierig, bösartige Aktivitäten zu erkennen.
Windows Management Instrumentation Command-line (WMIC) bietet einen weiteren leistungsstarken LOTL-Vektor. Angreifer führen Befehle wie wmic /node:target process call create "cmd.exe" um Remote-Prozesse zu starten, ohne zusätzliche Tools einsetzen zu müssen. Die Abschaffung des Dienstprogramms in Windows 11 hat die Bedrohung nicht beseitigt, da die meisten Unternehmen noch ältere Windows-Versionen verwenden.
PsExec und seine Varianten ermöglichen die Ausführung von Remote-Befehlen über SMB, indem sie einen Dienst auf dem Zielsystem erstellen. Während PsExec selbst eine Bereitstellung erfordert, bietet Windows eine ähnliche Funktionalität durch geplante Aufgaben (schtasks), Erstellung von Diensten (sc.exe) und die Änderung der Registrierung, die die gleichen Ergebnisse ohne externe Tools erzielen.
Die Herausforderung bei der Erkennung vervielfacht sich, wenn Angreifer mehrere LOTL-Techniken miteinander kombinieren. Eine typische Angriffssequenz könnte PowerShell für die Erkennung, WMI für die Seitwärtsbewegung und geplante Aufgaben für die Persistenz verwenden - alle erscheinen für herkömmliche Sicherheitstools als legitime administrative Aktivitäten.
Die Bedrohungslandschaft der Jahre 2024-2025 zeigt, wie sich laterale Bewegungen von einem theoretischen Problem zu einer Hauptursache für verheerende Cyberangriffe entwickelt haben. Staatliche Akteure, ransomware und finanziell motivierte Kriminelle setzen diese Techniken immer raffinierter und schneller ein.
Die Volt Typhoon ist ein Beispiel für die gefährlichste Form moderner lateraler Bewegungen. Diese vom chinesischen Staat gesponserte Gruppe hielt sich über 300 Tage lang in kritischen US-Infrastrukturen auf und nutzte dabei ausschließlich Living Off the Land -Techniken. Sie bewegten sich seitlich über kompromittierte Fortinet- und Cisco-Geräte, missbrauchten legitime Windows-Tools und vermieden eine Entdeckung, indem sie normales administratives Verhalten imitierten. Ihre geduldige Vorgehensweise - manchmal warteten sie wochenlang zwischen den einzelnen Aktionen - zeigt, dass fortschrittliche, hartnäckige Bedrohungen der Heimlichkeit den Vorrang vor der Geschwindigkeit geben.
KI-gestützte ransomware hat die Angriffszeiten auf ein bisher unvorstellbares Tempo verkürzt. LockBit 4.0, das Anfang 2025 entdeckt wurde, erreicht eine vollständige Netzwerkverschlüsselung in nur 18 Minuten nach dem ersten Zugriff. Die ransomware Variante nutzt maschinelles Lernen, um optimale seitliche Bewegungspfade zu identifizieren, nutzt automatisch entdeckte Schwachstellen aus und passt seine Techniken auf der Grundlage erkannter Sicherheitskontrollen an. Diese Entwicklung zwingt Unternehmen dazu, Reaktionszeiten und Automatisierungsanforderungen zu überdenken.
Die in Windows Server 2025 entdeckte gMSA-Schwachstelle "Golden" bildete einen perfekten Sturm für Angriffe mit seitlichen Bewegungen. Angreifer, die ein einzelnes, mit einer Domäne verbundenes System kompromittierten, konnten die Anmeldeinformationen für ein Gruppenverwaltungsdienstkonto extrahieren und so uneingeschränkte Seitwärtsbewegungen in der gesamten Active Directory-Domäne ermöglichen. Mit dem Microsoft-Patch vom August 2025 wurde die Schwachstelle zwar behoben, aber erst nachdem mehrere aufsehenerregende Angriffe das verheerende Potenzial der Schwachstelle aufgezeigt hatten.
Die APT-Gruppe TheWizards hat mit IPv6-SLAAC-Angriffen (Stateless Address Autoconfiguration) einen neuen Ansatz in hybriden cloud eingeführt. Durch die Ausnutzung der IPv6-Autokonfiguration in Dual-Stack-Netzwerken umgingen sie herkömmliche, auf IPv4 ausgerichtete Sicherheitskontrollen und bewegten sich unbemerkt seitlich zwischen lokalen und cloud . Diese Technik verdeutlicht, wie neue Protokolle neue Vektoren für laterale Bewegungen schaffen, auf deren Abwehr Unternehmen nicht vorbereitet sind.
Die finanziellen Auswirkungen von Datenschutzverstößen durch Seitwärtsbewegungen bleiben auch im Jahr 2025 gravierend. Laut dem IBM Cost of Data Breach Report 2025 kostet eine Datenschutzverletzung Unternehmen im Durchschnitt weltweit 4,44 Millionen US-Dollar. Diese Zahl umfasst die unmittelbaren Reaktionskosten, die Unterbrechung des Geschäftsbetriebs, Geldbußen und langfristige Rufschädigung.
Unternehmen des Gesundheitswesens sind mit besonders schwerwiegenden Folgen konfrontiert, da die Kosten für Sicherheitsverletzungen in diesem Sektor laut einer IBM-Studie regelmäßig 10 Millionen US-Dollar übersteigen. Der Change Healthcare ransomware vom Februar 2024, der zu einer Lösegeldzahlung in Höhe von 22 Millionen US-Dollar führte, begann mit gestohlenen Anmeldeinformationen, die eine seitliche Bewegung über vernetzte Gesundheitsnetzwerke ermöglichten. Durch den Angriff wurde die Bearbeitung von Rezepten für Millionen von Patienten unterbrochen und die kaskadenartige Auswirkung von Seitwärtsbewegungen in kritischen Sektoren aufgezeigt.
Die Finanzdienstleister melden die schnellsten seitlichen Bewegungen, wobei die Angreifer hochwertige Ziele im Durchschnitt in 31 Minuten erreichen. Der CrowdStrike Global Threat Report führt diese Geschwindigkeit auf die starke Abhängigkeit des Sektors von vernetzten Systemen und den hohen Wert von Finanzdaten zurück, die Angreifer zu Innovationen treiben.
Die Fertigungsindustrie und kritische Infrastrukturen stehen vor einzigartigen Herausforderungen durch seitliche Bewegungen in OT-Umgebungen (Operational Technology). Die Konvergenz von IT- und OT-Netzwerken schafft seitliche Bewegungspfade, die es vor fünf Jahren noch nicht gab. Ein kompromittierter Büroarbeitsplatz kann jetzt einen Weg zu Produktionssystemen bieten, mit potenziellen Folgen, die vom Diebstahl geistigen Eigentums bis hin zu physischen Schäden und Sicherheitsvorfällen reichen.
Ein wirksamer Schutz gegen Seitwärtsbewegungen erfordert einen mehrschichtigen Ansatz, der proaktive Prävention, Echtzeit-Erkennung und schnelle Reaktionsmöglichkeiten auf Vorfälle kombiniert. Unternehmen, die umfassende Strategien implementieren, melden, dass sie seitliche Bewegungen 73 % schneller erkennen als Unternehmen, die sich auf herkömmliche, auf den Umkreis konzentrierte Sicherheitsmaßnahmen verlassen.
Der Schlüssel liegt in der Annahme der Kompromittierung, d. h. in der Annahme, dass sich Angreifer zunächst Zugang verschaffen, und im Aufbau von Verteidigungsmaßnahmen, die ihre Ausbreitung einschränken. Diese Philosophie ist die Grundlage für moderne Ansätze wie die Mikrosegmentierung, die die Ausbreitung von Angriffen drastisch einschränkt, indem sie granulare Sicherheitsgrenzen zwischen Workloads schafft. In Kombination mit Netzwerkerkennungs- und -reaktionsfunktionen sowie einer angemessenen Ereigniskorrelation können Unternehmen seitliche Bewegungen erkennen und eindämmen, bevor ein erheblicher Schaden entsteht.
Windows-Sicherheitsereignisse bieten umfangreiche Telemetriedaten zur Erkennung von Seitwärtsbewegungen, aber die meisten Unternehmen versäumen es, geeignete Korrelationsregeln zu implementieren. Die vier kritischen Ereignis-IDs für die Erkennung von Seitwärtsbewegungen bilden ein Muster, das das Verhalten von Angreifern offenbart, wenn es zusammen analysiert wird:
Ereignis-ID 4624 (Erfolgreiche Anmeldung) zeigt an, wenn sich ein Benutzer an einem System authentifiziert. Die Anmeldetypen 3 (Netzwerkanmeldung) und 10 (interaktive Fernanmeldung) sind für die Erkennung von Seitwärtsbewegungen besonders wichtig. Achten Sie auf Muster von aufeinanderfolgenden Anmeldungen des Typs 3 auf mehreren Systemen innerhalb kurzer Zeiträume, insbesondere von Dienstkonten oder zu ungewöhnlichen Zeiten.
Die Ereignis-ID 4625 (Fehlgeschlagene Anmeldung) offenbart Erkundungs- und Passwort-Spraying-Versuche. Mehrere 4625-Ereignisse, gefolgt von einem erfolgreichen 4624-Ereignis, deuten oft auf das Erraten von Anmeldeinformationen hin. Achten Sie besonders auf Fehlermuster bei mehreren Systemen, die von einer einzigen Quelle ausgehen und auf automatisierte Versuche von Quereinsteigern hindeuten.
Ereignis-ID 4648 (Explicit Credential Usage) wird ausgelöst, wenn ein Prozess explizite Anmeldeinformationen verwendet, die sich von denen des angemeldeten Benutzers unterscheiden. Dieses Ereignis ist entscheidend für die Erkennung von Pass-the-Hash- und Overpass-the-Hash-Angriffen. Die Korrelation mit Ereignissen bei der Prozesserstellung (4688) zeigt, wann legitime Tools für den Diebstahl von Anmeldeinformationen missbraucht werden.
Die Ereignis-ID 4769 (Kerberos Service Ticket Request) hilft bei der Identifizierung von Pass the Ticket-Angriffen und der Verwendung von Golden Tickets. Ungewöhnliche Service-Ticket-Anforderungen, insbesondere für Dienste mit hohen Berechtigungen oder von Systemen, die diese normalerweise nicht anfordern, rechtfertigen eine Untersuchung.
Die folgenden Korrelationsmuster deuten auf eine wahrscheinliche Seitwärtsbewegung hin:
Die Netzwerksegmentierung hat sich weit über die traditionelle VLAN-Trennung hinaus zu einem Eckpfeiler der Prävention von Lateral Movements entwickelt. Moderne Mikrosegmentierungsansätze schaffen granulare Sicherheitsgrenzen um einzelne Workloads herum und schränken die Ausbreitung von Angriffen selbst nach der ersten Kompromittierung drastisch ein.
Die Grundsätze des Zero Trust Network Access (ZTNA) beseitigen das implizite Vertrauen zwischen Netzsegmenten. Jede Verbindung erfordert eine explizite Überprüfung, unabhängig vom Quellnetzwerk oder einer vorherigen Authentifizierung. Dieser Ansatz hindert Angreifer daran, kompromittierte Anmeldedaten für uneingeschränkte laterale Bewegungen zu nutzen, da sie gezwungen sind, sich an jeder Grenze zu authentifizieren.
Software-definierte Perimeter (SDP) schaffen dynamische, verschlüsselte Mikrotunnel zwischen autorisierten Benutzern und bestimmten Ressourcen. Im Gegensatz zu herkömmlichen VPN-Ansätzen, die einen breiten Netzwerkzugang bieten, beschränkt SDP die Konnektivität auf genau das, was für Geschäftsfunktionen benötigt wird. Diese Granularität verhindert, dass Angreifer das Netzwerk auch mit gültigen Anmeldedaten auskundschaften können.
Zu den bewährten Praktiken für eine effektive Segmentierung gehören die Identifizierung kritischer Ressourcen und die Einrichtung von Schutzzonen um diese herum, die Implementierung einer strikten Ost-West-Filterung des Datenverkehrs zwischen den Segmenten und der Einsatz identitätsbewusster Kontrollen, die den Benutzer-, Geräte- und Anwendungskontext berücksichtigen. Unternehmen sollten außerdem den Datenverkehr zwischen den Segmenten auf Anomalien überwachen und die Wirksamkeit der Segmentierung regelmäßig durch Penetrationstests überprüfen.
Der Geschäftsnutzen der Mikrosegmentierung ist überzeugend, denn Unternehmen berichten über einen erheblichen ROI durch reduzierte Kosten für Sicherheitsverletzungen und betriebliche Effizienzsteigerungen. Durch die Einschränkung der seitlichen Bewegung und die Verringerung des Aktionsradius von Angriffen bieten Investitionen in die Mikrosegmentierung einen messbaren Sicherheits- und Geschäftswert.
Moderne Erkennung erfordert eine Kombination aus endpoint, Netzwerk- und identitätsorientierten Technologien, die zusammenarbeiten. Kein einzelnes Tool bietet einen vollständigen Einblick in laterale Bewegungen, aber integrierte Plattformen, die Signale über mehrere Domänen hinweg korrelieren, erzielen die höchsten Erkennungsraten.
Endpoint Detection and Response (EDR)-Lösungen bieten einen tiefen Einblick in die Prozessausführung, den Dateizugriff und die Registrierungsänderungen auf einzelnen Systemen. Fortschrittliche EDR-Plattformen nutzen Verhaltensanalysen, um verdächtige Muster wie ungewöhnliche PowerShell-Nutzung, Prozessinjektion oder Versuche, Anmeldedaten zu verlieren, zu erkennen. Die Integration mit Bedrohungsdaten ermöglicht die Erkennung von bekannten Tools und Techniken für laterale Bewegungen.
Network Detection and Response (NDR)-Technologien analysieren den Netzwerkverkehr auf Anzeichen für Seitwärtsbewegungen. Modelle für maschinelles Lernen bilden die Grundlage für normale Kommunikationsmuster und warnen vor Anomalien wie ungewöhnlichem SMB-Datenverkehr, unerwarteten RDP-Verbindungen oder verdächtigem Verhalten von Dienstkonten. NDR eignet sich hervorragend für die Erkennung von LOTL-Angriffen, die sich den endpoint entziehen könnten.
Extended Detection and Response (XDR)-Plattformen korrelieren Signale über Endpunkte, Netzwerke und cloud hinweg, um komplexe laterale Bewegungsmuster zu erkennen. Durch die Kombination von Telemetriedaten aus mehreren Quellen kann XDR mehrstufige Angriffe erkennen, die einzelnen Tools möglicherweise entgehen. Der Plattform-Ansatz verringert auch die Ermüdung durch Alarme, indem er zusammenhängende Ereignisse zu einheitlichen Vorfällen korreliert.
Identity Threat Detection and Response (ITDR) ist die neueste Kategorie, die sich speziell auf identitätsbasierte Angriffe konzentriert. Diese Lösungen überwachen Authentifizierungsströme, erkennen den Missbrauch von Anmeldeinformationen und identifizieren Versuche der Privilegienerweiterung, die eine seitliche Bewegung ermöglichen. In Anbetracht der Tatsache, dass 80 % der Sicherheitsverletzungen mit kompromittierten Anmeldedaten einhergehen, schließt ITDR eine wichtige Lücke in der Erkennungspalette.
Cloud bieten einzigartige Vektoren für seitliche Bewegungen, für die herkömmliche Sicherheitskontrollen nicht ausgelegt sind. Das Modell der geteilten Verantwortung, die dynamische Infrastruktur und die API-gesteuerte Architektur bieten Angreifern die Möglichkeit, sich auf eine Weise zu bewegen, die in lokalen Umgebungen unmöglich ist. Container-basierte Angriffe haben erheblich zugenommen, was die Dringlichkeit von cloud Schutzmaßnahmen unterstreicht.
Die Abstraktionsebenen in cloud - von der Infrastruktur über die Plattform bis hin zu den Software-Services - bergen jeweils unterschiedliche Risiken für Seitwärtsbewegungen. Angreifer nutzen Fehlkonfigurationen aus, missbrauchen Dienstkonten und nutzen genau die Automatisierung, die die cloud so leistungsfähig macht. Das Verständnis dieser cloud Techniken ist für die Sicherung moderner cloud unerlässlich.
Container-Eskapaden stellen die direkteste Form der lateralen Bewegung in containerisierten Umgebungen dar. Angreifer nutzen Schwachstellen in Container-Laufzeiten, Kernel-Subsystemen oder Orchestrierungsplattformen aus, um aus der Container-Isolierung auszubrechen. Die MITRE ATT&CK T1611 dokumentiert verschiedene Escape-Methoden, von der Ausnutzung privilegierter Container bis zum Missbrauch gemounteter Host-Dateisysteme.
Kubernetes-Cluster sind durch den Missbrauch von Service-Account-Token zusätzlichen Risiken ausgesetzt. Jeder Pod erhält standardmäßig ein Service-Account-Token, das Angreifern den API-Zugriff ermöglicht, den sie zur Erkundung und für Seitwärtsbewegungen nutzen können. Die Kompromittierung eines einzelnen Pods mit übermäßigen Berechtigungen kann den clusterweiten Zugriff über die Kubernetes-API ermöglichen.
Der jüngste Anstieg von Sidecar-Container-Angriffen zeigt, dass sich die Techniken weiterentwickeln. Angreifer kompromittieren einen Container in einem Pod und nutzen gemeinsam genutzte Ressourcen wie Volumes oder Netzwerk-Namespaces, um auf benachbarte Container zuzugreifen. Diese seitliche Bewegung findet innerhalb desselben Pods statt und umgeht häufig die netzwerkbasierte Erkennung.
Angriffe auf die Lieferkette durch kompromittierte Container-Images ermöglichen vorbereitete laterale Bewegungsmöglichkeiten. Schädliche Images, die Backdoors oder Kryptowährungs-Miner enthalten, verbreiten sich automatisch, wenn Unternehmen sie in ihrer Infrastruktur einsetzen. Der Docker Hub-Vorfall vom Dezember 2024, bei dem Tausende von Images versteckte malware enthielten, ist ein Beispiel für dieses Risiko.
Konten für Cloud und verwaltete Identitäten bieten leistungsstarke Vektoren für laterale Bewegungen, wenn sie angegriffen werden. In AWS missbrauchen Angreifer die IAM-Rollenübernahme, um zwischen Konten und Diensten zu wechseln. Eine kompromittierte EC2-Instanz mit einer angehängten Rolle kann auf jede Ressource zugreifen, die diese Rolle zulässt, und so möglicherweise mehrere AWS-Konten in komplexen Organisationen überspannen.
Azure-Dienstprinzipale sind einem ähnlichen Missbrauch ausgesetzt. Angreifer, die eine Anwendung mit einem Dienstprinzipal kompromittieren, können dessen Berechtigungen nutzen, um auf Azure-Ressourcen zuzugreifen, das Verzeichnis aufzulisten und möglicherweise zu anderen Abonnements zu wechseln. Die programmatische Natur der Dienstprinzipal-Authentifizierung macht die Erkennung schwierig, da diese Aktivität identisch mit legitimer Automatisierung erscheint.
Die Verkettung von Serverless-Funktionen schafft subtile Wege für seitliche Bewegungen. Angreifer kompromittieren eine Lambda-Funktion oder Azure Function und verwenden dann deren Ausführungskontext, um andere Funktionen aufzurufen, auf Datenbanken zuzugreifen oder mit Speicherdiensten zu interagieren. Die ephemere Natur der serverlosen Ausführung erschwert die Forensik und Erkennung.
Die IPv6-SLAAC-Angriffe der APT-Gruppe TheWizards in hybriden cloud zeigen, wie Schwachstellen auf Protokollebene laterale Bewegungen ermöglichen. Durch die Ausnutzung der IPv6-Autokonfiguration in Dual-Stack-Netzwerken, die lokale und cloud verbinden, umgingen sie Sicherheitskontrollen, die auf IPv4-Datenverkehr ausgerichtet sind. Diese Technik verdeutlicht, wie cloud unerwartete Vektoren für Seitwärtsbewegungen schaffen kann.
Die Entwicklung von Angriffen mit seitlichen Bewegungen erfordert eine ebenso fortschrittliche Verteidigung. Unternehmen, die moderne Ansätze wie die zero trust anwenden, melden 67 % weniger erfolgreiche Angriffe, was die Wirksamkeit der Annahme eines Einbruchs und der Beseitigung des impliziten Vertrauens beweist. Diese Strategien konzentrieren sich nicht auf die Verhinderung der ersten Kompromittierung, sondern auf die Eindämmung ihrer Auswirkungen.
Die Konvergenz mehrerer defensiver Technologien - Mikrosegmentierung, KI-gesteuerte Erkennung und identitätsorientierte Sicherheit - schafft eine tiefgreifende Verteidigung, die die Ziele von Angreifern vereitelt. Regulatorische Rahmenbedingungen schreiben diese Kontrollen zunehmend vor: PCI DSS v4.0 verlangt ausdrücklich eine Validierung der Netzwerksegmentierung und die NIS2-Richtlinie betont die Widerstandsfähigkeit gegen laterale Bewegungen.
Investitionen in die Abwehr von Seitwärtsbewegungen bringen messbare Ergebnisse. Neben der Verringerung erfolgreicher Angriffe haben Unternehmen, die umfassende zero trust implementieren, deutlich niedrigere Kosten für Sicherheitsverletzungen nachgewiesen. IBMs Studie aus dem Jahr 2021 hat gezeigt, dass Unternehmen mit ausgereiften zero trust im Vergleich zu Unternehmen ohne zero trust 1,76 Millionen US-Dollar einsparen konnten. Die Kombination aus verringerter Häufigkeit von Vorfällen und minimierten Auswirkungen, wenn es zu Sicherheitsverletzungen kommt, rechtfertigt die Investition in moderne Verteidigungsansätze.
Die Zero trust beseitigt das Konzept vertrauenswürdiger interner Netzwerke und erfordert eine kontinuierliche Überprüfung jeder Verbindung unabhängig von der Quelle. Dieser Ansatz wirkt Querbewegungen direkt entgegen, indem er das implizite Vertrauen beseitigt, das Angreifer ausnutzen. Unternehmen, die zero trust implementieren, berichten von drastischen Verbesserungen ihrer Sicherheitslage, wobei einige eine 90-prozentige Verringerung der Vorfälle mit Seitwärtsbewegungen erreichen.
Das Rahmenwerk NIST SP 800-207 bietet eine umfassende Anleitung für die Implementierung von zero trust . Zu den wichtigsten Grundsätzen gehören die explizite Überprüfung jeder Transaktion, die Durchsetzung des Zugriffs mit den geringsten Rechten und die Annahme einer Verletzung bei allen Sicherheitsentscheidungen. Diese Grundsätze befassen sich direkt mit den Bedingungen, die Seitwärtsbewegungen ermöglichen.
Die KI-gesteuerten Erkennungsfunktionen sind inzwischen sehr ausgereift. Modelle für das maschinelle Lernen sind jetzt in der Lage, subtile Verhaltensanomalien zu erkennen, die auf Seitwärtsbewegungen hindeuten. Diese Systeme erstellen eine Grundlinie für das normale Verhalten von Benutzern und Unternehmen und erkennen dann Abweichungen, die auf eine Kompromittierung hindeuten könnten. Im Gegensatz zur signaturbasierten Erkennung können KI-Ansätze neuartige Angriffstechniken und Living Off the Land -Taktiken erkennen.
Das Wachstum des Mikrosegmentierungsmarktes auf 52,08 Milliarden US-Dollar bis 2030 spiegelt die Effektivität bei der Verhinderung von Seitwärtsbewegungen wider. Moderne Mikrosegmentierungsplattformen nutzen Identität, Workload-Attribute und Anwendungsabhängigkeiten, um dynamische Sicherheitsrichtlinien zu erstellen. Dieser Ansatz geht über statische Netzwerkgrenzen hinaus und schafft adaptive Verteidigungsmaßnahmen, die sich je nach Risiko und Kontext anpassen.
Vectra AI setzt bei der Erkennung von Lateral Movement auf Attack Signal Intelligence™, eine Methode, die sich auf das Verhalten von Angreifern konzentriert und nicht auf Signaturen oder bekannte Muster. Dieser Ansatz erkennt an, dass sich Tools und Techniken zwar weiterentwickeln, die grundlegenden Verhaltensweisen, die für Seitwärtsbewegungen erforderlich sind, jedoch gleich bleiben.
Die Plattform korreliert schwache Signale über Netzwerke, Endpunkte und Identitäten hinweg, um laterale Bewegungsmuster zu identifizieren, die einzelnen Warnungen möglicherweise entgehen. Durch die Analyse der Beziehungen zwischen Entitäten und ihrer normalen Kommunikationsmuster identifiziert Attack Signal Intelligence anomales Verhalten, das auf Seitwärtsbewegungen hinweist, selbst wenn Angreifer legitime Tools und Protokolle verwenden.
Dieser verhaltensbasierte Ansatz erweist sich als besonders effektiv gegen Living Off the Land -Angriffe, die sich der herkömmlichen Erkennung entziehen. Anstatt nach bestimmten Tools oder Befehlen zu suchen, identifiziert die Plattform die Ergebnisse von Seitwärtsbewegungen - ungewöhnliche Kontonutzung, atypische Systemzugriffsmuster und anormale Datenströme. Diese Methode ermöglicht die Erkennung sowohl bekannter als auch unbekannter Lateral Movement-Techniken und bietet Schutz vor sich weiterentwickelnden Angriffsmethoden.
Die Landschaft der Lateral Movements wird sich in den nächsten 12 bis 24 Monaten erheblich verändern, da sowohl Angreifer als auch Verteidiger neue Technologien nutzen werden. Künstliche Intelligenz revolutioniert sowohl die Angriffs- als auch die Verteidigungskapazitäten. ML-gestützte Angriffstools identifizieren und nutzen automatisch Möglichkeiten für Lateral Moves, während die KI für die Verteidigung immer ausgefeiltere Verhaltenserkennung bietet.
Die zunehmende Verbreitung von IoT- und Edge-Computing-Geräten vergrößert die Angriffsfläche exponentiell. Jedes angeschlossene Gerät stellt einen potenziellen Dreh- und Angelpunkt für seitliche Bewegungen dar, insbesondere in Produktions- und Gesundheitsumgebungen, in denen die IT/OT-Konvergenz weiter voranschreitet. Gartner prognostiziert, dass bis 2026 60 % der Unternehmen durch IoT-Geräte angegriffen werden, gegenüber 15 % im Jahr 2024. Unternehmen müssen ihre Abwehrmaßnahmen gegen Seitwärtsbewegungen erweitern, um diese nicht traditionellen Endpunkte zu erfassen.
Quantenresistente Kryptografie wird die Authentifizierung und die laterale Bewegung auf überraschende Weise neu gestalten. Während sich Unternehmen durch die Implementierung neuer kryptografischer Standards auf Bedrohungen durch Quantencomputer vorbereiten, entstehen in der Übergangsphase Schwachstellen. Angreifer erbeuten bereits verschlüsselte Anmeldedaten, um sie später zu entschlüsseln, und die gemischte kryptografische Umgebung während der Migration wird neue Vektoren für laterale Bewegungen durch Protokoll-Downgrade-Angriffe schaffen.
Der Druck von Seiten der Regulierungsbehörden nimmt weiter zu: Die NIS2-Richtlinie der EU und die bevorstehenden Anforderungen der US-Bundesbehörden befassen sich ausdrücklich mit der Prävention von Lateral Movements. Unternehmen müssen mit Bußgeldern von bis zu 2 % des weltweiten Umsatzes rechnen, wenn sie ihr Netzwerk nicht angemessen segmentieren und gegen Seitwärtsbewegungen schützen. Der Schwerpunkt der Vorschriften verlagert sich von der grundlegenden Einhaltung der Vorschriften auf die nachgewiesene Widerstandsfähigkeit gegen ausgeklügelte Angriffe mit seitlichen Bewegungen.
Die Sicherheit der Lieferkette erweist sich als kritischer Vektor für seitliche Bewegungen, insbesondere durch Software-Abhängigkeiten und die Integration von Drittanbietern. Die Prognose für das Jahr 2025 zeigt, dass 40 % der Sicherheitsverletzungen über Verbindungen in der Lieferkette erfolgen werden. Unternehmen müssen die zero trust auf den Zugang zu Anbietern ausweiten und eine strikte Segmentierung zwischen den Verbindungen von Drittanbietern und der Kerninfrastruktur vornehmen.
Die Investitionsprioritäten für die nächsten 24 Monate sollten sich auf identitätszentrierte Sicherheitskontrollen konzentrieren, da 80 % der Seitwärtsbewegungen auf kompromittierte Anmeldedaten zurückgehen. Unternehmen sollten der passwortlosen Authentifizierung, der kontinuierlichen Identitätsüberprüfung und der Verwaltung privilegierter Zugriffe Priorität einräumen. Darüber hinaus werden automatisierte Reaktionsmöglichkeiten unverzichtbar, da sich die Angriffsgeschwindigkeit weiter beschleunigt und menschliche Reaktionszeiten nicht mehr ausreichen, um Seitwärtsbewegungen einzudämmen.
Seitliche Bewegungen haben sich von einer technischen Kuriosität zur entscheidenden Herausforderung der modernen Cybersicherheit entwickelt. Die Statistiken zeichnen ein klares Bild: Fast 90 % der Unternehmen sind mit dieser Bedrohung konfrontiert, Angriffe können sich in weniger als einer Stunde ausbreiten, und der durchschnittliche Verstoß kostet weltweit 4,44 Millionen Dollar. Doch diese Zahlen erzählen nur einen Teil der Geschichte. Die wirkliche Bedeutung liegt in der grundlegenden Veränderung, die die seitliche Bewegung darstellt - von der Verhinderung von Sicherheitsverletzungen zur Annahme von Kompromittierungen und zur Begrenzung des Schadens.
Die Techniken und Tools werden sich weiter entwickeln, aber die Grundsätze einer effektiven Verteidigung bleiben konstant. Unternehmen müssen zero trust einführen, die implizites Vertrauen eliminieren, Mikrosegmentierung implementieren, um die Ausbreitung von Angriffen zu begrenzen, und Verhaltenserkennung einsetzen, die Angriffe unabhängig von den verwendeten Tools identifiziert. Die nachweisliche Verringerung erfolgreicher Angriffe und die deutliche Senkung der Kosten für Sicherheitsverletzungen zeigen, dass diese Investitionen messbare Ergebnisse liefern.
Sicherheitsverantwortliche stehen vor einer klaren Entscheidung: Entweder sie versuchen weiterhin, mit immer raffinierteren Angreifern mitzuhalten, oder sie müssen ihre Sicherheitsarchitektur für eine Welt, in der Seitwärtsbewegungen nicht nur möglich, sondern wahrscheinlich sind, grundlegend neu konzipieren. Erfolgreich werden die Unternehmen sein, die diese Realität akzeptieren und widerstandsfähige Abwehrmechanismen aufbauen, die Seitwärtsbewegungen eindämmen und erkennen, bevor katastrophale Schäden entstehen.
Sind Sie bereit, Ihren Ansatz zur Erkennung von Querbewegungen zu verändern? Erfahren Sie, wie die Attack Signal Intelligence von Vectra AI AI laterale Bewegungen in Ihrer Umgebung identifizieren und stoppen kann, unabhängig von den Techniken, die Angreifer verwenden.
Seitliche Bewegung und Privilegienerweiterung dienen unterschiedlichen Zwecken in der Angriffskette, obwohl Angreifer sie oft kombinieren, um maximale Wirkung zu erzielen. Bei der lateralen Bewegung geht es darum, sich horizontal über Systeme auszubreiten und dabei dieselbe Berechtigungsstufe beizubehalten - wie ein normaler Benutzer, der auf mehrere Arbeitsstationen zugreift, auf denen er Standardberechtigungen hat. Das Ziel des Angreifers ist die Erkundung, das Ausharren und der Zugriff auf wertvolle Daten, ohne dass Sicherheitswarnungen ausgelöst werden, die bei Versuchen, die Berechtigungen zu erhöhen, auftreten könnten.
Bei der Eskalation von Berechtigungen geht es dagegen um das vertikale Aufsteigen in der Berechtigungshierarchie. Ein Angreifer nutzt Schwachstellen, Fehlkonfigurationen oder gestohlene Anmeldedaten aus, um Zugriff auf Administrator-, Root- oder Systemebene zu erhalten. Diese Erhöhung der Rechte findet auf einem einzigen System statt und verschafft dem Angreifer Fähigkeiten, die er zuvor nicht besaß.
Die Techniken wirken bei echten Angriffen synergetisch zusammen. Angreifer bewegen sich in der Regel seitlich mit Standard-Benutzeranmeldeinformationen, bis sie ein System finden, das für eine Ausweitung der Berechtigungen anfällig ist. Sobald sie erhöhte Privilegien erlangt haben, können sie sich seitlich mit größerer Freiheit bewegen und auf sensiblere Systeme zugreifen. Die Volt Typhoon war ein Beispiel für dieses Muster: Sie behielt monatelang den Zugriff auf Benutzerebene bei, während sie sich seitlich bewegte und die Privilegien nur dann erweiterte, wenn bestimmte Ziele einen administrativen Zugriff erforderten. Das Verständnis dieser Beziehung hilft den Sicherheitsteams zu erkennen, dass es nicht ausreicht, sich nur gegen eine Technik zu verteidigen - für eine umfassende Sicherheit müssen sowohl die seitlichen als auch die vertikalen Bewegungspfade berücksichtigt werden.
Die Geschwindigkeit der lateralen Bewegung hat sich mit der jüngsten Entwicklung der Angriffe dramatisch beschleunigt. Aktuelle Daten aus den Jahren 2024-2025 zeigen, dass sich die Angriffe im Durchschnitt innerhalb von 48 Minuten nach der ersten Kompromittierung ausbreiten, während die schnellsten beobachteten Angriffe eine vollständige Netzwerkausbreitung in nur 18 Minuten erreichen. Die um KI-Funktionen erweiterte ransomware LockBit 4.0 demonstrierte diese extreme Geschwindigkeit, indem sie bei mehreren Vorfällen im Jahr 2025 in weniger als 20 Minuten vom ersten Zugriff bis zur vollständigen Verschlüsselung des Netzwerks vordrang.
Diese Zeitspannen variieren erheblich und hängen von mehreren Faktoren ab. Die Raffinesse und Vorbereitung des Angreifers spielen eine entscheidende Rolle: Nationale Akteure wie Volt Typhoon bewegen sich oft langsam und absichtlich über Monate hinweg, um nicht entdeckt zu werden, während ransomware der Geschwindigkeit den Vorzug vor der Heimlichkeit geben. Auch die Netzwerkarchitektur wirkt sich auf die Geschwindigkeit aus. Flache Netzwerke mit minimaler Segmentierung ermöglichen eine schnelle Ausbreitung, während richtig segmentierte Umgebungen mit zero trust die Ausbreitung verlangsamen oder ganz stoppen können.
Die wichtigste Variable ist der Reifegrad der Sicherheit der Zielumgebung. Unternehmen mit starken Identitätskontrollen, Netzwerksegmentierung und Verhaltenserkennung können die Zeit für laterale Bewegungen von Minuten auf Stunden oder Tage verlängern, was eine entscheidende Reaktionszeit bedeutet. Umgekehrt ermöglichen Umgebungen mit übermäßigen Privilegien, ungepatchten Systemen und schlechter Sichtbarkeit eine nahezu sofortige Bewegung. Die CrowdStrike 1-10-60-Regel bietet einen praktischen Rahmen: Erkennen von Eindringlingen innerhalb von 1 Minute, Verstehen der Bedrohung innerhalb von 10 Minuten und Reagieren innerhalb von 60 Minuten, um der Geschwindigkeit moderner lateraler Bewegungen voraus zu sein.
Angreifer verlassen sich immer wieder auf mehrere bewährte Lateral Movement-Techniken, die legitime Windows-Funktionen und -Protokolle ausnutzen. Pass the Hash (T1550.002) ist nach wie vor verheerend effektiv und ermöglicht es Angreifern, sich mit gestohlenen NTLM-Hashes zu authentifizieren, ohne die tatsächlichen Kennwörter zu kennen. Diese Technik kommt in über 60 % der Fälle von Domänenkompromittierungen vor, da sie herkömmliche Kennwortkontrollen umgeht und sogar mit starken, komplexen Kennwörtern funktioniert.
Der Missbrauch des Remote-Desktop-Protokolls (T1021.001) ermöglicht einen interaktiven Zugriff, der die Aktivitäten eines legitimen Administrators perfekt imitiert. Angreifer nutzen RDP sowohl für laterale Bewegungen als auch für dauerhaften Zugriff und halten Sitzungen oft wochenlang aufrecht, während sie als normale Fernverwaltung erscheinen. Die Allgegenwärtigkeit des Protokolls in Unternehmensumgebungen und die Schwierigkeit, böswillige von legitimer Nutzung zu unterscheiden, machen es zu einem attraktiven Angriffsziel.
Living Off the Land "-Taktiken dominieren moderne laterale Bewegungen, wobei PowerShell in 71 % der LOTL-Angriffe vorkommt. Angreifer verwenden native Windows-Tools wie WMI, geplante Aufgaben und die Erstellung von Diensten, um sich zwischen Systemen zu bewegen, ohne eigene malware zu installieren. Diese Techniken umgehen herkömmliche Antivirenprogramme und erschweren die forensische Analyse, da die Tools selbst legitim sind. Die Kombination von PowerShell-Remoting mit Tools wie PsExec oder WMI bietet leistungsstarke, flexible Möglichkeiten für laterale Bewegungen, die sich an die Verteidigungskontrollen anpassen. Sicherheitsteams müssen sich auf die Erkennung von Verhaltensmustern und nicht auf spezifische Tools konzentrieren, da die Angreifer ihre Techniken ständig weiterentwickeln und dabei dieselben grundlegenden Ansätze beibehalten.
Cloud sind mit einzigartigen und sich weiterentwickelnden Risiken für laterale Bewegungen konfrontiert, die sich deutlich von herkömmlichen Angriffen vor Ort unterscheiden. Angreifer nutzen Schwachstellen in Container-Laufzeiten oder Orchestrierungsplattformen aus, um Isolationsgrenzen zu überwinden. Der 34-prozentige Anstieg von Container-basierten Lateral Movement-Angriffen im Jahr 2025 zeigt, wie sich Angreifer an cloud Architekturen angepasst haben. Kubernetes-Umgebungen sind durch den Missbrauch von Service-Account-Token besonders gefährdet, da die Kompromittierung eines einzelnen Pods mit übermäßigen Berechtigungen eine clusterweite Seitwärtsbewegung über die Kubernetes-API ermöglicht.
Der Missbrauch von Cloud und verwalteten Identitäten schafft leistungsstarke laterale Bewegungspfade über cloud . In AWS nutzen Angreifer die IAM-Rollenverkettung, um zwischen Konten und Diensten zu wechseln und die Vertrauensbeziehungen auszunutzen, die die cloud ermöglichen. Azure Service Principals bieten ähnliche Möglichkeiten, wobei kompromittierte Anwendungen die ihnen zugewiesenen Berechtigungen nutzen, um auf Ressourcen in verschiedenen Abonnements zuzugreifen. Die programmatische Natur dieser Identitäten erschwert die Erkennung, da die bösartigen Aktivitäten identisch mit legitimer Automatisierung erscheinen.
Serverlose Architekturen bieten durch Funktionsverkettungen und ereignisgesteuerte Auslöser subtile Vektoren für seitliche Bewegungen. Angreifer kompromittieren eine Lambda-Funktion oder Azure Function und verwenden dann deren Ausführungskontext, um andere Funktionen aufzurufen, auf Datenbanken zuzugreifen oder Speicherdienste zu manipulieren. Die kurzlebige Natur der serverlosen Ausführung erschwert die Erkennung und Forensik. cloud verschlimmern diese Herausforderungen, da Angreifer die Konnektivität zwischen den Clouds ausnutzen, um sich seitlich über verschiedene Anbieter hinweg zu bewegen und dabei häufig Sicherheitskontrollen zu umgehen, die sich auf Bedrohungen in cloud einzigen Cloud konzentrieren.
Windows-Ereignis-IDs liefern wichtige Telemetriedaten für die Erkennung von Seitwärtsbewegungen, aber für eine wirksame Erkennung müssen mehrere Ereignisse miteinander korreliert werden, anstatt bei einzelnen IDs eine Warnung auszulösen. Die Ereignis-ID 4624 (Erfolgreiche Anmeldung) bildet die Grundlage für die Erkennung von Seitwärtsbewegungen, insbesondere für die Ereignisse des Anmeldetyps 3 (Netzwerkanmeldung) und des Typs 10 (Remote Interactive). Sequentielle Anmeldungen des Typs 3 über mehrere Systeme hinweg innerhalb von Minuten, insbesondere von Servicekonten oder nach Geschäftsschluss, deuten stark auf Seitwärtsbewegungen hin. In Kombination mit der Analyse der Quell-IP und der Kontonutzungsmuster zeigen 4624 Ereignisse die Bewegungspfade der Angreifer durch das Netzwerk auf.
Die Ereignis-ID 4625 (Fehlgeschlagene Anmeldung) zeigt, dass die Erkundung und das Erraten von Anmeldeinformationen oft einer erfolgreichen Seitwärtsbewegung vorausgehen. Mehrere 4625-Ereignisse, gefolgt von einem erfolgreichen 4624-Ereignis, deuten auf Passwort-Spraying oder Brute-Force-Versuche hin. Das Muster der Fehlversuche auf mehreren Zielsystemen von einer einzigen Quelle aus deutet insbesondere auf automatisierte Tools für Seitwärtsbewegungen hin. Die Ereignis-ID 4648 (Explicit Credential Usage) ist von unschätzbarem Wert für die Erkennung von Pass the Hash und den Diebstahl von Anmeldedaten, da sie ausgelöst wird, wenn Prozesse andere Anmeldedaten als der angemeldete Benutzer verwenden.
Die Ereignis-ID 4769 (Kerberos Service Ticket Request) hilft bei der Identifizierung von Pass the Ticket-Angriffen und der Verwendung von Golden Tickets. Ungewöhnliche Service-Ticket-Anforderungen, insbesondere für Dienste mit hohen Rechten von Systemen, die diese normalerweise nicht anfordern, erfordern eine sofortige Untersuchung. Eine wirksame Erkennung erfordert Korrelationsregeln, die diese Ereignisse mit der Analyse des Netzwerkverkehrs und den Ereignissen zur Prozesserstellung (4688) kombinieren. Beispielsweise deuten 4648-Ereignisse, die unmittelbar von 4624-Ereignissen des Typs 3 gefolgt werden, stark auf Pass the Hash-Angriffe hin, während ungewöhnliche Muster von 4769-Ereignissen in Verbindung mit der Erstellung von Diensten auf Silver Ticket-Angriffe hindeuten könnten.
Die Zero trust verändert die Netzwerksicherheit grundlegend, indem sie das implizite Vertrauen beseitigt, das laterale Bewegungen ermöglicht. Herkömmliche Perimeter-basierte Sicherheit geht davon aus, dass Benutzer und Geräte innerhalb des Netzwerks vertrauenswürdig sind und erlaubt einen breiten Zugriff, sobald sie authentifiziert sind. Zero trust hebt diese Annahme auf und erfordert eine kontinuierliche Überprüfung für jede Verbindung, unabhängig vom Standort der Quelle oder einer vorherigen Authentifizierung. Dieser Ansatz wirkt lateralen Bewegungen direkt entgegen, da Angreifer gezwungen sind, sich bei jedem Schritt zu authentifizieren, was das Risiko einer Entdeckung drastisch erhöht.
Die Umsetzung von zero trust schafft mehrere Barrieren für laterale Bewegungen. Die Mikrosegmentierung unterteilt das Netzwerk in granulare Zonen mit strengen Zugriffskontrollen zwischen diesen Zonen und schränkt so die Möglichkeiten eines Angreifers ein, sich selbst mit gültigen Anmeldedaten auszubreiten. Identitätsbasierte Richtlinien stellen sicher, dass der Zugriff nicht nur von den Anmeldeinformationen, sondern auch vom Benutzerverhalten, dem Zustand des Geräts und kontextbezogenen Faktoren wie Standort und Zeit abhängt. Der Zugriff mit minimalen Rechten stellt sicher, dass Benutzer und Anwendungen nur auf Ressourcen zugreifen, die für ihre Funktion erforderlich sind, und reduziert so die Angriffsfläche für seitliche Bewegungen.
Ergebnisse aus der Praxis belegen die Wirksamkeit von zero trust im Kampf gegen Seitwärtsbewegungen. Unternehmen, die umfassende zero trust implementieren, berichten von 67 % weniger erfolgreichen Angriffen und einer 90 %igen Verringerung der Vorfälle mit Quereinsteigern. Der Ansatz erweist sich als besonders effektiv gegen Living Off the Land -Angriffe, die legitime Tools missbrauchen, da Verhaltensanalysen anomale Nutzungsmuster unabhängig von den verwendeten Tools erkennen. Wenn es doch einmal zu einem Einbruch kommt, reduzieren zero trust die Einbruchskosten erheblich, indem sie den Explosionsradius begrenzen und Angreifer daran hindern, wichtige Anlagen zu erreichen.
Die finanziellen Folgen von Angriffen durch Seitwärtsbewegungen bleiben auch im Jahr 2025 schwerwiegend. Der IBM Cost of Data Breach Report zeigt, dass sich die durchschnittlichen Kosten für Data Breach weltweit auf 4,44 Millionen US-Dollar belaufen. Unternehmen, die von Angriffen durch Seitwärtsbewegungen betroffen sind, sehen sich mit zusätzlichen Kosten konfrontiert, die durch schnellere Angriffsgeschwindigkeiten und ausgefeiltere Techniken verursacht werden, die das Ausmaß des Verstoßes vor der Entdeckung erweitern. Die Kosten umfassen die unmittelbare Reaktion auf den Vorfall, die Unterbrechung des Geschäftsbetriebs während der Wiederherstellung, behördliche Strafen, Anwaltskosten und langfristige Reputationsschäden, die sich auf die Kundengewinnung und -bindung auswirken.
Die branchenspezifischen Auswirkungen sind je nach Sensibilität der Daten und gesetzlichen Vorschriften sehr unterschiedlich. Unternehmen des Gesundheitswesens sind mit besonders hohen Kosten konfrontiert, da die Kosten für Datenschutzverletzungen in diesem Sektor laut einer IBM-Studie regelmäßig 10 Millionen US-Dollar übersteigen. Der ransomware auf Change Healthcare ist ein Beispiel dafür. Er führte zu einer Lösegeldzahlung in Höhe von 22 Millionen US-Dollar und massiven Betriebsunterbrechungen, von denen Millionen von Patienten betroffen waren. Finanzdienstleistungen sind am schnellsten von Angriffen mit seitlichen Bewegungen betroffen, die kritische Systeme in durchschnittlich 31 Minuten erreichen, was zu einer Überprüfung durch die Aufsichtsbehörden und zu Strafen für die Einhaltung von Vorschriften führt, die oft die direkten Kosten für die Sicherheitsverletzung übersteigen.
Die Investitionsrendite für die Prävention von Seitwärtsbewegungen ist in allen Branchen überzeugend. Unternehmen, die umfassende Präventionsstrategien, einschließlich zero trust und Mikrosegmentierung, implementieren, berichten von einem erheblichen ROI durch geringere Kosten für Sicherheitsverletzungen und betriebliche Verbesserungen. Diese Kontrollen verhindern nicht nur Sicherheitsverletzungen, sondern reduzieren auch die Kosten, wenn es zu Sicherheitsverletzungen kommt, indem sie die Ausbreitung von Angreifern begrenzen. Eine schnellere Erkennung und Eindämmung minimiert Geschäftsunterbrechungen, während Unternehmen auch von dem Wettbewerbsvorteil einer nachgewiesenen Sicherheitsresistenz profitieren, da Kunden bei der Auswahl von Anbietern zunehmend die Sicherheitslage bewerten.
Bei der Threat hunting geht es um die proaktive Suche nach Cyber-Bedrohungen, die sich den bestehenden Sicherheitsmaßnahmen entziehen, einschließlich Anzeichen für seitliche Bewegungen. Erfahrene Bedrohungsjäger können subtile Anzeichen für eine Kompromittierung erkennen und dabei helfen, heimliche Angreiferbewegungen innerhalb des Netzwerks aufzudecken und zu bekämpfen.
Unternehmen können ihren Schutz verbessern, indem sie in fortschrittliche Cybersecurity-Tools investieren, eine ganzheitliche Sicherheitsstrategie einführen, die regelmäßige Sicherheitsbewertungen, Bedrohungsdaten, einen robusten endpoint und die Förderung einer Kultur des Sicherheitsbewusstseins bei allen Mitarbeitern umfasst.
Künftige Entwicklungen könnten Fortschritte bei der KI und bei Technologien des maschinellen Lernens zur besseren Erkennung anormaler Aktivitäten, eine breitere Einführung von zero trust und einen verbesserten Austausch von Bedrohungsdaten zwischen Organisationen umfassen, um Taktiken der Querbewegung effektiver zu erkennen und zu entschärfen.