Seitwärtsbewegung in der Cybersicherheit: Die stille Verbreitung, mit der Angreifer Netzwerke kompromittieren

Wichtige Erkenntnisse

Laut einer Sicherheitsstudie (Illumio Modern Trojan Horse 2025) sind LOTL-Angriffe für 84 % der schwerwiegenden Sicherheitsverletzungen verantwortlich, wobei PowerShell in 71 % der Fälle eine Rolle spielt.
Die Korrelation von Windows-Ereignis-IDs (4624, 4625, 4648, 4769) ist nach wie vor entscheidend für die Erkennung, doch den meisten Unternehmen fehlen geeignete Korrelationsregeln (LeitfadenMITRE ATT&CK )
Die wirksamsten Abwehrmaßnahmen verringern den Auswirkungsbereich, indem sie die Nutzung von Identitäten und die Kommunikation zwischen Abteilungen einschränken, und nicht, indem sie vereinzelten Warnmeldungen nachgehen. (LeitfadenMITRE ATT&CK )

Sobald Angreifer einen ersten Fuß in das System gesetzt haben, besteht die größte Gefahr nicht mehr nur für den ersten kompromittierten Rechner. Der eigentliche Schaden entsteht erst, wenn sie sich von System zu System bewegen, sich in die normalen Administratoraktivitäten einfügen und ihren Zugriff unbemerkt ausweiten, bis sie die wertvollsten Unternehmensressourcen erreichen.

Diese Ausbreitung erfolgt durch laterale Bewegung. Auf diese Weise entwickeln sich moderne Angriffe zu ransomware, Datendiebstahl und einer kompromittierten gesamten Domäne. Um dies zu verhindern, muss man einen Überblick darüber haben, wie sich Identitäten und Hosts im gesamten Netzwerk verhalten – und nicht nur darüber, ob ein einzelner endpoint verdächtig endpoint .

In diesem Leitfaden wird erläutert, wie laterale Bewegung funktioniert und wie Sicherheitsteams sie in realen Umgebungen erkennen können. SOC-Analysten, Threat Hunter und Sicherheitsverantwortliche erfahren, wie sich Angreifer zwischen Systemen bewegen, welche Protokolle und Tools sie missbrauchen und welche Verhaltenssignale auf laterale Bewegung hinweisen, bevor größerer Schaden entsteht.

Was ist eine seitliche Bewegung?

Laterale Bewegung ist die Technik, die Angreifer verwenden, um durch ein kompromittiertes Netzwerk zu navigieren und auf zusätzliche Systeme und Ressourcen zuzugreifen, während sie ihre aktuelle Berechtigungsstufe beibehalten. Im Gegensatz zur vertikalen Bewegung, bei der höhere Privilegien angestrebt werden, breitet sich die laterale Bewegung horizontal über die Umgebung aus und ermöglicht es den Angreifern, das Netzwerk zu erkunden, wertvolle Daten zu finden und mehrere Angriffspunkte zu etablieren, bevor sie ihre endgültigen Ziele ausführen.

Diese Unterscheidung ist wichtig, weil laterale Bewegungen oft unter dem Radar herkömmlicher Sicherheitstools verschwinden. Die Angreifer nutzen legitime Anmeldeinformationen und systemeigene Tools und lassen ihre Aktivitäten als normalen Netzwerkverkehr erscheinen. Der Illumio-Bericht aus dem Jahr 2025 zeigt, dass fast 90 % der Unternehmen im vergangenen Jahr in irgendeiner Form von Lateral Movement betroffen waren, was im Durchschnitt zu mehr als 7 Stunden Ausfallzeit pro Vorfall führte - viel zu lange, wenn Angreifer schnell auf wichtige Systeme zugreifen können.

Die Auswirkungen auf das Unternehmen gehen über die technischen Kennzahlen hinaus. Jede Minute unentdeckter seitlicher Bewegung vergrößert den potenziellen Aktionsradius eines Angriffs. Was mit einer einzelnen kompromittierten Workstation beginnt, kann schnell zu einer domänenweiten Kompromittierung, Datenexfiltration oder einer vollständigen ransomware im gesamten Unternehmen eskalieren. Diese Entwicklung erklärt, warum die Implementierung einer effektiven zero trust und proaktiver threat hunting für moderne Sicherheitsprogramme unverzichtbar geworden ist.

Warum Angreifer laterale Bewegungen nutzen

Angreifer bewegen sich lateral, da dies die Wahrscheinlichkeit eines Treffers erhöht und gleichzeitig die Wahrscheinlichkeit einer Entdeckung verringert.

Zu den gemeinsamen Zielen gehören:

Erweitern Sie den Zugriff auf höherwertige Systeme wie Verzeichnisdienste, Dateiserver, Hypervisoren und cloud .
Erhalten Sie Zugriff auf privilegierte Identitäten und Dienstkonten, die einen umfassenden Zugriff ermöglichen.
Identifizieren Sie Datenspeicher und Backup-Systeme, um ransomware .
Schaffe Redundanz durch mehrere Standorte, damit eine Eindämmung erschwert wird.
Integrieren Sie sich nahtlos in den normalen Betrieb, indem Sie native Tools, Fernverwaltungsprotokolle und bestehende Vertrauensbeziehungen nutzen.

Seitwärtsbewegung vs. Privilegienerweiterung

Seitliche Bewegung bezeichnet die horizontale Ausbreitung über verschiedene Systeme hinweg. Die Ausweitung von Berechtigungen bezeichnet die vertikale Erweiterung von Zugriffsrechten. Angreifer kombinieren oft beides: Sie bewegen sich seitlich, um ein System oder eine Identität zu finden, die eine Ausweitung der Berechtigungen ermöglicht, und nutzen dann den erweiterten Zugriff, um sich seitlich mit größerer Reichweite fortzubewegen.

Eine praktische Methode, sie während der Untersuchung voneinander zu trennen:

Wenn dieselbe Identität auf mehr Systeme zugreift als erwartet, sollte man auf eine laterale Bewegung schließen.
Wenn eine Identität plötzlich neue Rechte erhält oder Aktionen ausführt, die ihr zuvor nicht möglich waren, sollte man eine Ausweitung von Berechtigungen vermuten.
Wenn beides innerhalb eines kurzen Zeitraums geschieht, betrachte dies als fortschreitenden Angriff.

Wie die seitliche Bewegung funktioniert

Die meisten seitlichen Bewegungen finden statt, nachdem Angreifer frühere Phasen der Cyber-Kill-Chain abgeschlossen haben, wie beispielsweise die Erkundung und den Zugriff auf Anmeldedaten. Nachdem sie sich einen ersten Zugang verschafft haben, bewegen sich Angreifer durch die Umgebung, indem sie Systeme aufspüren, Anmeldedaten beschaffen und legitime Verwaltungsprotokolle nutzen, um auf weitere Hosts zuzugreifen.

Phase 1: Erkundung und Entdeckung

Angreifer erstellen zunächst eine Übersicht über das Netzwerk, um zu ermitteln, welche Systeme vorhanden sind und wie diese miteinander verbunden sind. Sie erfassen Active-Directory-Objekte, suchen nach offenen Ports und identifizieren wichtige Systeme wie Domänencontroller, Dateiserver und Verwaltungshosts.

Zu den gängigen Erkundungsmethoden gehören Befehle und Tools wie:

Nettoansicht
nltest
PowerShell-Cmdlets zur AD-Enumeration
Port-Scanning und Dienstermittlung

Da diese Tools häufig von Administratoren verwendet werden, löst diese Phase oft kaum oder gar keine Sicherheitswarnungen aus.

Phase 2: Zugangsdaten und Authentifizierungsmaterial

Sobald Angreifer die Umgebung durchschaut haben, konzentrieren sie sich darauf, weitere Zugangsdaten zu erlangen, die es ihnen ermöglichen, sich zwischen den Systemen zu bewegen.

Zu den gängigen Methoden zum Erwerb von Zugangsdaten gehören:

Passwort-Hashes aus dem Speicher extrahieren (LSASS-Dumping)
Kerberos-Tickets sammeln
Missbrauch von Mechanismen zur Speicherung von Anmeldedaten
Zwischengespeicherte Anmeldedaten erfassen

Angreifer können Tools wie Mimikatz verwenden oder auf integrierte Dienstprogramme zurückgreifen, wie zum Beispiel procdump.exe in „Living-off-the-Land“-Angriffe (LOTL).

Mit gültigen Anmeldedaten oder Authentifizierungstoken können Angreifer auf andere Systeme zugreifen, ohne dass Warnmeldungen wegen fehlgeschlagener Anmeldeversuche ausgelöst werden.

Phase 3: Annäherung und Bewegungsausführung

Mit legitimen Zugangsdaten ausgestattet, bewegen sich die Angreifer quer durch die Systeme.

Dazu gehören in der Regel Fernverwaltungsprotokolle wie:

Remote Desktop Protocol (RDP)
SMB-Verwaltungsfreigaben
Windows Management Instrumentation (WMI)
PowerShell-Remoting (WinRM)

Angreifer erstellen Remote-Prozesse, geplante Aufgaben oder Dienste, um Befehle auf neuen Systemen auszuführen. Mit jedem erfolgreichen Pivot bauen sie ihre Präsenz aus und erhöhen die Wahrscheinlichkeit, an sensible Systeme oder privilegierte Zugangsdaten zu gelangen.

Häufig genutzte Protokolle

Angreifer nutzen regelmäßig verschiedene integrierte Fernverwaltungsprotokolle für die laterale Bewegung aus. Diese Protokolle dienen der legitimen Unternehmensverwaltung, wodurch sich böswillige Aktivitäten nur schwer von normalem Verwaltungsverhalten unterscheiden lassen.

Zu den am häufigsten ausgenutzten Protokollen zählen SMB, das Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) und PowerShell Remoting (WinRM).

SMB / Windows-Verwaltungsfreigaben (T1021.002)

SMB ist nach wie vor einer der gängigsten Mechanismen für laterale Bewegungen in Windows-Umgebungen. Administratorfreigaben wie ADMIN$, C$ und IPC$ ermöglichen den Fernzugriff auf Dateien und die Ausführung von Befehlen zwischen Systemen.

Angreifer nutzen SMB, um:

Nutzdaten auf Remote-Systeme bereitstellen
Befehle mit Tools wie PsExec ausführen
Tools oder Skripte auf andere Hosts übertragen
Auf Verwaltungsfreigaben für die Remote-Ausführung zugreifen

Da SMB in Unternehmensumgebungen intensiv genutzt wird, können böswillige Aktivitäten im legitimen Datenverkehr der Systemadministration untergehen.

Remote Desktop Protocol (T1021.001)

Das Remote Desktop Protocol ermöglicht den interaktiven Zugriff auf Remote-Systeme, wodurch Angreifer so agieren können, als wären sie legitime Administratoren.

Angreifer nutzen RDP häufig, um:

Einen dauerhaften Fernzugriff auf kompromittierte Hosts aufrechterhalten
Systeme und Netzwerke interaktiv erkunden
Befehle oder Tools manuell ausführen
Schaffung von Führungs- und Kontrollstrukturen durch lang andauernde Sitzungen

RDP-Aktivitäten können unentdeckt bleiben, wenn sich Angreifer mit legitimen Anmeldedaten authentifizieren.

Windows Management Instrumentation (T1047)

Windows Management Instrumentation bietet Funktionen zur Fernverwaltung, mit denen Administratoren über das Netzwerk Befehle ausführen und Systeminformationen abfragen können.

Angreifer nutzen WMI aus, um:

Fernbefehle ausführen
Prozesse auf Remote-Systemen starten
Systemkonfiguration oder Registrierungsschlüssel ändern
Persistenzmechanismen einrichten

Da WMI eine legitime Verwaltungsschnittstelle ist, behandeln viele Sicherheitstools diese Aktivität als normalen Verwaltungsdatenverkehr.

PowerShell-Remoting und WinRM (T1021.006)

PowerShell Remoting nutzt Windows Remote Management (WinRM), um Administratoren die gleichzeitige Ausführung von Skripten auf mehreren Systemen zu ermöglichen.

Angreifer nutzen diese Funktion häufig, um:

PowerShell-Befehle remote ausführen
Skripte auf mehreren Hosts ausführen
Ermittlung und Erfassung von Anmeldedaten
Nutzdaten bereitstellen, ohne Dateien auf die Festplatte zu schreiben

Angreifer verschlüsseln PowerShell-Befehle häufig oder führen sie im Speicher aus, was ihre Erkennung erheblich erschwert.

Protokollerkennung und Telemetrie

Die folgende Tabelle zeigt, wie diese Protokolle üblicherweise bei seitlichen Bewegungen auftreten und welche Signale dabei helfen können, verdächtige Aktivitäten zu erkennen.

Protokoll	Gängige Methode	Nachweisverfahren	Ereignis-IDs
SMB	PsExec-Einsatz	Erstellung benannter Rohre	5145, 5140
RDP	Direkte Authentifizierung	Anmeldung Typ 10	4624, 4778
WMI	Erstellung von Remote-Prozessen	WMI-Aktivität	5857, 5860
WinRM	PowerShell-Ausführung	WSMan-Verbindungen	91, 168

Übliche Techniken für Angriffe mit seitlichen Bewegungen

Techniken zur seitlichen Bewegung lassen sich am besten als benannte Muster verstehen. Viele davon entsprechen dem MITRE ATT&CK TA0008), doch für Verteidiger ist es am nützlichsten, die Voraussetzungen, Ausführungswege und die dabei entstehenden Signale zu kennen.

Die folgende Tabelle ordnet gängige Protokolle zur seitlichen Bewegung den Techniken von Angreifern und Erkennungssignalen zu.

Technik	Was es ermöglicht	Typische Voraussetzung	Primärsignale
Pass-the-Hash	Sich ohne das Klartext-Passwort anmelden	Zugriff auf NTLM-Hash	Explizite Verwendung von Anmeldedaten, ungewöhnliche laterale Anmeldungen, Verwendung von NTLM anstelle von Kerberos
„Pass-the-Ticket“ und Ticket-Wiederholung	Sich als Benutzer mit gestohlenen Kerberos-Tickets ausgeben	Ticketdiebstahl oder gefälschte Tickets	Ungewöhnliche Service-Ticket-Anfragen, atypische Ticket-Laufzeiten, privilegierter Service-Zugriff von ungewöhnlichen Hosts
Missbrauch von Fernzugriffsdiensten (RDP, SMB, SSH)	Interaktiver oder dienstbasierter Zugriff auf neue Hosts	Gültige Anmeldedaten und Netzwerkverfügbarkeit	Neue Administratorpfade, Remote-Sitzungen außerhalb der Geschäftszeiten, Ost-West-Spitzen zwischen Segmenten
WMI, WinRM und Remote-Ausführung	Befehle auf Remote-Hosts ausführen	Administratorrechte oder delegierte Verwaltungsrechte	Erstellung von Remote-Prozessen, WMI-/WinRM-Aktivitäten von Endpunkten, die keine Systeme verwalten
Geplante Aufgaben und Erstellung von Diensten	Auf Remote-Hosts speichern und ausführen	Berechtigungen zum Erstellen von Aufgaben oder Diensten	Neue geplante Aufgaben, neue Dienste, Erstellung von Diensten über Remote-Admin-Freigaben
Missbrauch von Dienstkonten und delegierten Zugriffsrechten	Sich unter Verwendung nicht-menschlicher Identitäten bewegen	Konten oder Schlüssel mit zu umfangreichen Berechtigungen	Nutzung eines neuen Dienstkontos, Zugriff auf zahlreiche Hosts, ungewöhnliche API-Aufrufe oder Verzeichniszugriffe

Wie Angreifer „Living-off-the-Land“-Techniken einsetzen

Living Off the Land “-Angriffe Living Off the Land LOTL) stellen eine Weiterentwicklung der lateralen Bewegung dar, da sie den Einsatz maßgeschneiderter malware überflüssig machen, malware sie bereits in der Umgebung vorhandene legitime Systemtools missbrauchen. Dieser Ansatz senkt die Erkennungsrate drastisch und beschleunigt gleichzeitig den Ablauf der Angriffe.

Anstatt externe malware einzusetzen, nutzen Angreifer integrierte Verwaltungstools und vertrauenswürdige Protokolle, die von Sicherheitsteams routinemäßig verwendet werden.

Zu den typischen LOTL-Verhaltensweisen gehören:

Einsatz von PowerShell für die Erkennung, den Zugriff auf Anmeldedaten und die Ausführung von Befehlen aus der Ferne
Ausführen von Remote-Prozessen über Windows Management Instrumentation (WMI)
Seitliche Bewegung mithilfe von SMB-Administrationsfreigaben oder Tools wie PsExec
Erstellen von geplanten Aufgaben oder Diensten zur Ausführung von Befehlen auf Remote-Systemen
Nutzung von WinRM oder PowerShell Remoting für die skriptgesteuerte Ausführung auf mehreren Hosts

Da diese Tools in der legitimen Systemadministration weit verbreitet sind, lassen sich LOTL-Aktivitäten oft nicht von normalen Vorgängen unterscheiden.

Eine typische Angriffsabfolge könnte PowerShell zur Erkundung, WMI zur Remote-Ausführung und geplante Aufgaben zur Persistenz umfassen, wobei all dies ohne den Einsatz herkömmlicher malware erfolgt.

Beispiele für Angriffswege

Tatsächliche Angriffe können unterschiedlich verlaufen, doch die Bewegungsmuster wiederholen sich. Diese Beispiele sollen Analysten dabei helfen, den Verlauf zu erkennen.

Beispiel 1: Von der Workstation zu den Verzeichnisdiensten

Erster Zugang zu einem Benutzer-Arbeitsplatzrechner.
Zugriff über Anmeldedaten oder Wiederverwendung von Tokens.
Seitliche Verschiebung auf einen Dateiserver oder Verwaltungshost.
Ermittlung privilegierter Identitäten und Verzeichnisdienste.
Ausweitung auf Domänencontroller oder die Identitätsinfrastruktur.

Beispiel 2: Verteilung des Dienstkontos

Ein Angreifer kompromittiert einen Anwendungshost oder einen Automatisierungs-Runner.
Ruft die Anmeldedaten eines Dienstkontos ab oder verwendet sie erneut.
Verwendet diese Identität, um auf mehrere Server zuzugreifen, auf denen das Dienstkonto als vertrauenswürdig eingestuft ist.
Stellt die Persistenz über geplante Aufgaben oder die Remote-Ausführung sicher.
Sobald die Sicherungs- und Überwachungssysteme erreicht sind, verbreitet es ransomware stiehlt Daten.

Beispiel 3: Hybrid-Pivot in die cloud

Ein Angreifer kompromittiert eine lokale Identität oder einen Verbundpfad.
Nutzt SSO und delegierte Berechtigungen für den Zugriff auf cloud .
Listet Rollen, Geheimnisse und Speicherorte auf.
Wird über Abonnements oder Konten hinweg durch Rollenverkettung oder Dienstprinzipale übertragen.
Exfiltriert Daten oder stört den Betrieb durch Maßnahmen auf der Steuerungsebene.

‍

Anzeichen für seitliche Bewegungsaktivität

Seitliche Bewegungen treten selten als einzelnes, offensichtliches Ereignis auf. Stattdessen senden Angreifer beim Wechsel zwischen Hosts kleine Verhaltenssignale über Identitätssysteme, Endgeräte und den Netzwerkverkehr hinweg aus.

Sicherheitsteams können potenzielle laterale Bewegungen erkennen, indem sie auf Kombinationen der folgenden Anzeichen achten:

Identitätsaktivität

Ungewöhnliche Authentifizierungsmuster über mehrere Systeme hinweg
Dienstkonten, die sich bei neuen Hosts authentifizieren
Anmeldungen von unerwarteten Standorten oder Geräten
Ungewöhnliche Kerberos -Ticket-Anfragen oder unerwartete NTLM-Authentifizierung

Endpoint

Remote-Prozessausführung über WMI oder PowerShell
Erstellung von geplanten Aufgaben oder Diensten auf Remote-Hosts
Zugriff auf den LSASS-Speicher oder die Anmeldedaten-Speicher
Verwaltungstools, die außerhalb der üblichen Arbeitsabläufe ausgeführt werden

Netzwerkaktivität

Neue SMB-Verbindungen zwischen internen Hosts
Unerwartete RDP-Sitzungen
Zunehmender Ost-West-Verkehr zwischen den Systemen
WinRM- oder PowerShell-Remoting-Verbindungen

Werden diese Signale über verschiedene Identitäten, Hosts und Netzwerkaktivitäten hinweg miteinander verknüpft, lassen sie oft erkennen, dass sich Angreifer in der Umgebung ausbreiten, noch bevor größere Schäden entstehen.

Erkennen und Verhindern von Seitwärtsbewegungen

Ein wirksamer Schutz gegen Seitwärtsbewegungen erfordert einen mehrschichtigen Ansatz, der proaktive Prävention, Echtzeit-Erkennung und schnelle Reaktionsmöglichkeiten auf Vorfälle kombiniert. Unternehmen, die umfassende Strategien implementieren, melden, dass sie seitliche Bewegungen 73 % schneller erkennen als Unternehmen, die sich auf herkömmliche, auf den Umkreis konzentrierte Sicherheitsmaßnahmen verlassen.

Der Schlüssel liegt in der Annahme der Kompromittierung, d. h. in der Annahme, dass sich Angreifer zunächst Zugang verschaffen, und im Aufbau von Verteidigungsmaßnahmen, die ihre Ausbreitung einschränken. Diese Philosophie ist die Grundlage für moderne Ansätze wie die Mikrosegmentierung, die die Ausbreitung von Angriffen drastisch einschränkt, indem sie granulare Sicherheitsgrenzen zwischen Workloads schafft. In Kombination mit Netzwerkerkennungs- und -reaktionsfunktionen sowie einer angemessenen Ereigniskorrelation können Unternehmen seitliche Bewegungen erkennen und eindämmen, bevor ein erheblicher Schaden entsteht.

Windows-Ereignis-ID-Erkennungsmuster

Windows-Sicherheitsereignisse bieten umfangreiche Telemetriedaten zur Erkennung von Seitwärtsbewegungen, aber die meisten Unternehmen versäumen es, geeignete Korrelationsregeln zu implementieren. Die vier kritischen Ereignis-IDs für die Erkennung von Seitwärtsbewegungen bilden ein Muster, das das Verhalten von Angreifern offenbart, wenn es zusammen analysiert wird:

Ereignis-ID 4624 (Erfolgreiche Anmeldung) zeigt an, wenn sich ein Benutzer an einem System authentifiziert. Die Anmeldetypen 3 (Netzwerkanmeldung) und 10 (interaktive Fernanmeldung) sind für die Erkennung von Seitwärtsbewegungen besonders wichtig. Achten Sie auf Muster von aufeinanderfolgenden Anmeldungen des Typs 3 auf mehreren Systemen innerhalb kurzer Zeiträume, insbesondere von Dienstkonten oder zu ungewöhnlichen Zeiten.

Die Ereignis-ID 4625 (Fehlgeschlagene Anmeldung) offenbart Erkundungs- und Passwort-Spraying-Versuche. Mehrere 4625-Ereignisse, gefolgt von einem erfolgreichen 4624-Ereignis, deuten oft auf das Erraten von Anmeldeinformationen hin. Achten Sie besonders auf Fehlermuster bei mehreren Systemen, die von einer einzigen Quelle ausgehen und auf automatisierte Versuche von Quereinsteigern hindeuten.

Ereignis-ID 4648 (Explicit Credential Usage) wird ausgelöst, wenn ein Prozess explizite Anmeldeinformationen verwendet, die sich von denen des angemeldeten Benutzers unterscheiden. Dieses Ereignis ist entscheidend für die Erkennung von Pass-the-Hash- und Overpass-the-Hash-Angriffen. Die Korrelation mit Ereignissen bei der Prozesserstellung (4688) zeigt, wann legitime Tools für den Diebstahl von Anmeldeinformationen missbraucht werden.

Die Ereignis-ID 4769 (Kerberos Service Ticket Request) hilft bei der Identifizierung von Pass the Ticket-Angriffen und der Verwendung von Golden Tickets. Ungewöhnliche Service-Ticket-Anforderungen, insbesondere für Dienste mit hohen Berechtigungen oder von Systemen, die diese normalerweise nicht anfordern, rechtfertigen eine Untersuchung.

Die folgenden Korrelationsmuster deuten auf eine wahrscheinliche Seitwärtsbewegung hin:

Muster	Reihenfolge der Ereignisse	Zeitfenster	Risikostufe
Aufklärungsarbeit	Mehrfach 4625 → Einfach 4624	5 Minuten	Mittel
Pass the Hash	4648 + 4624 (Typ 3)	1 Minute	Hoch
Servicekonto-Missbrauch	4624 (Typ 3) vom Dienstleistungskonto	Jede	Hoch
Kerberos-Angriffe	Ungewöhnliche 4769-Muster	10 Minuten	Kritisch

Strategien zur Netzsegmentierung

Die Netzwerksegmentierung hat sich weit über die traditionelle VLAN-Trennung hinaus zu einem Eckpfeiler der Prävention von Lateral Movements entwickelt. Moderne Mikrosegmentierungsansätze schaffen granulare Sicherheitsgrenzen um einzelne Workloads herum und schränken die Ausbreitung von Angriffen selbst nach der ersten Kompromittierung drastisch ein.

Die Grundsätze des Zero Trust Network Access (ZTNA) beseitigen das implizite Vertrauen zwischen Netzsegmenten. Jede Verbindung erfordert eine explizite Überprüfung, unabhängig vom Quellnetzwerk oder einer vorherigen Authentifizierung. Dieser Ansatz hindert Angreifer daran, kompromittierte Anmeldedaten für uneingeschränkte laterale Bewegungen zu nutzen, da sie gezwungen sind, sich an jeder Grenze zu authentifizieren.

Software-definierte Perimeter (SDP) schaffen dynamische, verschlüsselte Mikrotunnel zwischen autorisierten Benutzern und bestimmten Ressourcen. Im Gegensatz zu herkömmlichen VPN-Ansätzen, die einen breiten Netzwerkzugang bieten, beschränkt SDP die Konnektivität auf genau das, was für Geschäftsfunktionen benötigt wird. Diese Granularität verhindert, dass Angreifer das Netzwerk auch mit gültigen Anmeldedaten auskundschaften können.

Zu den Best Practices für eine effektive Segmentierung gehören die Identifizierung kritischer Ressourcen und die Einrichtung von Schutzzonen um diese herum, die Implementierung strenger Ost-West-Traffic-Filterung zwischen Segmenten und der Einsatz identitätsbewusster Kontrollen, die den Kontext von Benutzern, Geräten und Anwendungen berücksichtigen. Unternehmen sollten außerdem den Traffic zwischen den Segmenten auf Anomalien überwachen und die Wirksamkeit der Segmentierung regelmäßig durch Penetrationstests überprüfen.

Der Geschäftsnutzen der Mikrosegmentierung ist überzeugend, denn Unternehmen berichten über einen erheblichen ROI durch reduzierte Kosten für Sicherheitsverletzungen und betriebliche Effizienzsteigerungen. Durch die Einschränkung der seitlichen Bewegung und die Verringerung des Aktionsradius von Angriffen bieten Investitionen in die Mikrosegmentierung einen messbaren Sicherheits- und Geschäftswert.

Erkennungsinstrumente und -technologien

Moderne Erkennung erfordert eine Kombination aus endpoint, Netzwerk- und identitätsorientierten Technologien, die zusammenarbeiten. Kein einzelnes Tool bietet einen vollständigen Einblick in laterale Bewegungen, aber integrierte Plattformen, die Signale über mehrere Domänen hinweg korrelieren, erzielen die höchsten Erkennungsraten.

Endpoint Detection and Response (EDR)-Lösungen bieten einen tiefen Einblick in die Prozessausführung, den Dateizugriff und die Registrierungsänderungen auf einzelnen Systemen. Fortschrittliche EDR-Plattformen nutzen Verhaltensanalysen, um verdächtige Muster wie ungewöhnliche PowerShell-Nutzung, Prozessinjektion oder Versuche, Anmeldedaten zu verlieren, zu erkennen. Die Integration mit Bedrohungsdaten ermöglicht die Erkennung von bekannten Tools und Techniken für laterale Bewegungen.

Network Detection and Response (NDR)-Technologien analysieren den Netzwerkverkehr auf Anzeichen für Seitwärtsbewegungen. Modelle für maschinelles Lernen bilden die Grundlage für normale Kommunikationsmuster und warnen vor Anomalien wie ungewöhnlichem SMB-Datenverkehr, unerwarteten RDP-Verbindungen oder verdächtigem Verhalten von Dienstkonten. NDR eignet sich hervorragend für die Erkennung von LOTL-Angriffen, die sich den endpoint entziehen könnten.

Extended Detection and Response (XDR)-Plattformen korrelieren Signale über Endpunkte, Netzwerke und cloud hinweg, um komplexe laterale Bewegungsmuster zu erkennen. Durch die Kombination von Telemetriedaten aus mehreren Quellen kann XDR mehrstufige Angriffe erkennen, die einzelnen Tools möglicherweise entgehen. Der Plattform-Ansatz verringert auch die Ermüdung durch Alarme, indem er zusammenhängende Ereignisse zu einheitlichen Vorfällen korreliert.

Identity Threat Detection and Response (ITDR) ist die neueste Kategorie, die sich speziell auf identitätsbasierte Angriffe konzentriert. Diese Lösungen überwachen Authentifizierungsströme, erkennen den Missbrauch von Anmeldeinformationen und identifizieren Versuche der Privilegienerweiterung, die eine seitliche Bewegung ermöglichen. In Anbetracht der Tatsache, dass 80 % der Sicherheitsverletzungen mit kompromittierten Anmeldedaten einhergehen, schließt ITDR eine wichtige Lücke in der Erkennungspalette.

Cloud laterale Bewegung

Cloud bieten einzigartige Vektoren für seitliche Bewegungen, für die herkömmliche Sicherheitskontrollen nicht ausgelegt sind. Das Modell der geteilten Verantwortung, die dynamische Infrastruktur und die API-gesteuerte Architektur bieten Angreifern die Möglichkeit, sich auf eine Weise zu bewegen, die in lokalen Umgebungen unmöglich ist. Container-basierte Angriffe haben erheblich zugenommen, was die Dringlichkeit von cloud Schutzmaßnahmen unterstreicht.

Die Abstraktionsebenen in cloud - von der Infrastruktur über die Plattform bis hin zu den Software-Services - bergen jeweils unterschiedliche Risiken für Seitwärtsbewegungen. Angreifer nutzen Fehlkonfigurationen aus, missbrauchen Dienstkonten und nutzen genau die Automatisierung, die die cloud so leistungsfähig macht. Das Verständnis dieser cloud Techniken ist für die Sicherung moderner cloud unerlässlich.

Seitliche Bewegung von Containern und Kubernetes

Container-Eskapaden stellen die direkteste Form der lateralen Bewegung in containerisierten Umgebungen dar. Angreifer nutzen Schwachstellen in Container-Laufzeiten, Kernel-Subsystemen oder Orchestrierungsplattformen aus, um aus der Container-Isolierung auszubrechen. Die MITRE ATT&CK T1611 dokumentiert verschiedene Escape-Methoden, von der Ausnutzung privilegierter Container bis zum Missbrauch gemounteter Host-Dateisysteme.

Kubernetes-Cluster sind durch den Missbrauch von Service-Account-Tokens zusätzlichen Risiken ausgesetzt. Jeder Pod erhält standardmäßig ein Service-Account-Token, das API-Zugriff gewährt, den Angreifer für Erkundungen und laterale Bewegungen nutzen können. Die Kompromittierung eines einzelnen Pods mit übermäßigen Berechtigungen kann den clusterweiten Zugriff über die Kubernetes-API ermöglichen.

Der jüngste Anstieg von Sidecar-Container-Angriffen zeigt, dass sich die Techniken weiterentwickeln. Angreifer kompromittieren einen Container in einem Pod und nutzen gemeinsam genutzte Ressourcen wie Volumes oder Netzwerk-Namespaces, um auf benachbarte Container zuzugreifen. Diese seitliche Bewegung findet innerhalb desselben Pods statt und umgeht häufig die netzwerkbasierte Erkennung.

Angriffe auf die Lieferkette durch kompromittierte Container-Images ermöglichen vorbereitete laterale Bewegungsmöglichkeiten. Schädliche Images, die Backdoors oder Kryptowährungs-Miner enthalten, verbreiten sich automatisch, wenn Unternehmen sie in ihrer Infrastruktur einsetzen. Der Docker Hub-Vorfall vom Dezember 2024, bei dem Tausende von Images versteckte malware enthielten, ist ein Beispiel für dieses Risiko.

Muster des Missbrauchs von Cloud

Konten für Cloud und verwaltete Identitäten bieten leistungsstarke Vektoren für laterale Bewegungen, wenn sie angegriffen werden. In AWS missbrauchen Angreifer die IAM-Rollenübernahme, um zwischen Konten und Diensten zu wechseln. Eine kompromittierte EC2-Instanz mit einer angehängten Rolle kann auf jede Ressource zugreifen, die diese Rolle zulässt, und so möglicherweise mehrere AWS-Konten in komplexen Organisationen überspannen.

Azure-Dienstprinzipale sind einem ähnlichen Missbrauch ausgesetzt. Angreifer, die eine Anwendung mit einem Dienstprinzipal kompromittieren, können dessen Berechtigungen nutzen, um auf Azure-Ressourcen zuzugreifen, das Verzeichnis aufzulisten und möglicherweise zu anderen Abonnements zu wechseln. Die programmatische Natur der Dienstprinzipal-Authentifizierung macht die Erkennung schwierig, da diese Aktivität identisch mit legitimer Automatisierung erscheint.

Die Verkettung von Serverless-Funktionen schafft subtile Wege für seitliche Bewegungen. Angreifer kompromittieren eine Lambda-Funktion oder Azure Function und verwenden dann deren Ausführungskontext, um andere Funktionen aufzurufen, auf Datenbanken zuzugreifen oder mit Speicherdiensten zu interagieren. Die ephemere Natur der serverlosen Ausführung erschwert die Forensik und Erkennung.

Die IPv6-SLAAC-Angriffe der APT-Gruppe TheWizards in hybriden cloud zeigen, wie Schwachstellen auf Protokollebene laterale Bewegungen ermöglichen. Durch die Ausnutzung der IPv6-Autokonfiguration in Dual-Stack-Netzwerken, die lokale und cloud verbinden, umgingen sie Sicherheitskontrollen, die auf IPv4-Datenverkehr ausgerichtet sind. Diese Technik verdeutlicht, wie cloud unerwartete Vektoren für Seitwärtsbewegungen schaffen kann.

Moderne Ansätze zur Abwehr seitlicher Bewegungen

Die Entwicklung von Angriffen mit seitlichen Bewegungen erfordert eine ebenso fortschrittliche Verteidigung. Unternehmen, die moderne Ansätze wie die zero trust anwenden, melden 67 % weniger erfolgreiche Angriffe, was die Wirksamkeit der Annahme eines Einbruchs und der Beseitigung des impliziten Vertrauens beweist. Diese Strategien konzentrieren sich nicht auf die Verhinderung der ersten Kompromittierung, sondern auf die Eindämmung ihrer Auswirkungen.

Die Konvergenz mehrerer defensiver Technologien - Mikrosegmentierung, KI-gesteuerte Erkennung und identitätsorientierte Sicherheit - schafft eine tiefgreifende Verteidigung, die die Ziele von Angreifern vereitelt. Regulatorische Rahmenbedingungen schreiben diese Kontrollen zunehmend vor: PCI DSS v4.0 verlangt ausdrücklich eine Validierung der Netzwerksegmentierung und die NIS2-Richtlinie betont die Widerstandsfähigkeit gegen laterale Bewegungen.

Investitionen in die Abwehr von Seitwärtsbewegungen bringen messbare Ergebnisse. Neben der Verringerung erfolgreicher Angriffe haben Unternehmen, die umfassende zero trust implementieren, deutlich niedrigere Kosten für Sicherheitsverletzungen nachgewiesen. IBMs Studie aus dem Jahr 2021 hat gezeigt, dass Unternehmen mit ausgereiften zero trust im Vergleich zu Unternehmen ohne zero trust 1,76 Millionen US-Dollar einsparen konnten. Die Kombination aus verringerter Häufigkeit von Vorfällen und minimierten Auswirkungen, wenn es zu Sicherheitsverletzungen kommt, rechtfertigt die Investition in moderne Verteidigungsansätze.

Die Zero trust beseitigt das Konzept vertrauenswürdiger interner Netzwerke und erfordert eine kontinuierliche Überprüfung jeder Verbindung unabhängig von der Quelle. Dieser Ansatz wirkt Querbewegungen direkt entgegen, indem er das implizite Vertrauen beseitigt, das Angreifer ausnutzen. Unternehmen, die zero trust implementieren, berichten von drastischen Verbesserungen ihrer Sicherheitslage, wobei einige eine 90-prozentige Verringerung der Vorfälle mit Seitwärtsbewegungen erreichen.

Das Rahmenwerk NIST SP 800-207 bietet eine umfassende Anleitung für die Implementierung von zero trust . Zu den wichtigsten Grundsätzen gehören die explizite Überprüfung jeder Transaktion, die Durchsetzung des Zugriffs mit den geringsten Rechten und die Annahme einer Verletzung bei allen Sicherheitsentscheidungen. Diese Grundsätze befassen sich direkt mit den Bedingungen, die Seitwärtsbewegungen ermöglichen.

Die KI-gesteuerten Erkennungsfunktionen sind inzwischen sehr ausgereift. Modelle für das maschinelle Lernen sind jetzt in der Lage, subtile Verhaltensanomalien zu erkennen, die auf Seitwärtsbewegungen hindeuten. Diese Systeme erstellen eine Grundlinie für das normale Verhalten von Benutzern und Unternehmen und erkennen dann Abweichungen, die auf eine Kompromittierung hindeuten könnten. Im Gegensatz zur signaturbasierten Erkennung können KI-Ansätze neuartige Angriffstechniken und Living Off the Land -Taktiken erkennen.

Das Wachstum des Mikrosegmentierungsmarktes auf 52,08 Milliarden US-Dollar bis 2030 spiegelt die Effektivität bei der Verhinderung von Seitwärtsbewegungen wider. Moderne Mikrosegmentierungsplattformen nutzen Identität, Workload-Attribute und Anwendungsabhängigkeiten, um dynamische Sicherheitsrichtlinien zu erstellen. Dieser Ansatz geht über statische Netzwerkgrenzen hinaus und schafft adaptive Verteidigungsmaßnahmen, die sich je nach Risiko und Kontext anpassen.

Wie Vectra AI über seitliche Bewegungen denkt

Vectra AI setzt bei der Erkennung von Lateral Movement auf Attack Signal Intelligence™, eine Methode, die sich auf das Verhalten von Angreifern konzentriert und nicht auf Signaturen oder bekannte Muster. Dieser Ansatz erkennt an, dass sich Tools und Techniken zwar weiterentwickeln, die grundlegenden Verhaltensweisen, die für Seitwärtsbewegungen erforderlich sind, jedoch gleich bleiben.

Die Plattform korreliert schwache Signale über Netzwerke, Endpunkte und Identitäten hinweg, um laterale Bewegungsmuster zu identifizieren, die einzelnen Warnungen möglicherweise entgehen. Durch die Analyse der Beziehungen zwischen Entitäten und ihrer normalen Kommunikationsmuster identifiziert Attack Signal Intelligence anomales Verhalten, das auf Seitwärtsbewegungen hinweist, selbst wenn Angreifer legitime Tools und Protokolle verwenden.

Dieser verhaltensbasierte Ansatz erweist sich als besonders effektiv gegen Living Off the Land -Angriffe, die sich der herkömmlichen Erkennung entziehen. Anstatt nach bestimmten Tools oder Befehlen zu suchen, identifiziert die Plattform die Ergebnisse von Seitwärtsbewegungen - ungewöhnliche Kontonutzung, atypische Systemzugriffsmuster und anormale Datenströme. Diese Methode ermöglicht die Erkennung sowohl bekannter als auch unbekannter Lateral Movement-Techniken und bietet Schutz vor sich weiterentwickelnden Angriffsmethoden.

Künftige Trends und neue Überlegungen

Die Landschaft der lateralen Bewegungen wird in den nächsten 12 bis 24 Monaten einen bedeutenden Wandel erfahren, da sowohl Angreifer als auch Verteidiger neue Technologien nutzen werden. Künstliche Intelligenz revolutioniert sowohl die Angriffs- als auch die Verteidigungsfähigkeiten, wobei ML-gestützte Angriffstools automatisch Möglichkeiten für laterale Bewegungen identifizieren und ausnutzen, während defensive KI bei der Verhaltenserkennung immer ausgefeilter wird.

Die zunehmende Verbreitung von IoT- und Edge-Computing-Geräten vergrößert die Angriffsfläche exponentiell. Jedes angeschlossene Gerät stellt einen potenziellen Dreh- und Angelpunkt für seitliche Bewegungen dar, insbesondere in Produktions- und Gesundheitsumgebungen, in denen die IT/OT-Konvergenz weiter voranschreitet. Gartner prognostiziert, dass bis 2026 60 % der Unternehmen durch IoT-Geräte angegriffen werden, gegenüber 15 % im Jahr 2024. Unternehmen müssen ihre Abwehrmaßnahmen gegen Seitwärtsbewegungen erweitern, um diese nicht traditionellen Endpunkte zu erfassen.

Quantenresistente Kryptografie wird die Authentifizierung und die laterale Bewegung auf überraschende Weise neu gestalten. Während sich Unternehmen durch die Implementierung neuer kryptografischer Standards auf Bedrohungen durch Quantencomputer vorbereiten, entstehen in der Übergangsphase Schwachstellen. Angreifer erbeuten bereits verschlüsselte Anmeldedaten, um sie später zu entschlüsseln, und die gemischte kryptografische Umgebung während der Migration wird neue Vektoren für laterale Bewegungen durch Protokoll-Downgrade-Angriffe schaffen.

Der Druck von Seiten der Regulierungsbehörden nimmt weiter zu: Die NIS2-Richtlinie der EU und die bevorstehenden Anforderungen der US-Bundesbehörden befassen sich ausdrücklich mit der Prävention von Lateral Movements. Unternehmen müssen mit Bußgeldern von bis zu 2 % des weltweiten Umsatzes rechnen, wenn sie ihr Netzwerk nicht angemessen segmentieren und gegen Seitwärtsbewegungen schützen. Der Schwerpunkt der Vorschriften verlagert sich von der grundlegenden Einhaltung der Vorschriften auf die nachgewiesene Widerstandsfähigkeit gegen ausgeklügelte Angriffe mit seitlichen Bewegungen.

Die Sicherheit der Lieferkette erweist sich als kritischer Vektor für seitliche Bewegungen, insbesondere durch Software-Abhängigkeiten und die Integration von Drittanbietern. Die Prognose für das Jahr 2025 zeigt, dass 40 % der Sicherheitsverletzungen über Verbindungen in der Lieferkette erfolgen werden. Unternehmen müssen die zero trust auf den Zugang zu Anbietern ausweiten und eine strikte Segmentierung zwischen den Verbindungen von Drittanbietern und der Kerninfrastruktur vornehmen.

Die Investitionsprioritäten für die nächsten 24 Monate sollten sich auf identitätszentrierte Sicherheitskontrollen konzentrieren, da 80 % der Seitwärtsbewegungen auf kompromittierte Anmeldedaten zurückgehen. Unternehmen sollten der passwortlosen Authentifizierung, der kontinuierlichen Identitätsüberprüfung und der Verwaltung privilegierter Zugriffe Priorität einräumen. Darüber hinaus werden automatisierte Reaktionsmöglichkeiten unverzichtbar, da sich die Angriffsgeschwindigkeit weiter beschleunigt und menschliche Reaktionszeiten nicht mehr ausreichen, um Seitwärtsbewegungen einzudämmen.

Schlussfolgerung

Seitliche Bewegungen haben sich von einer technischen Kuriosität zur entscheidenden Herausforderung der modernen Cybersicherheit entwickelt. Die Statistiken zeichnen ein klares Bild: Fast 90 % der Unternehmen sind mit dieser Bedrohung konfrontiert, Angriffe können sich in weniger als einer Stunde ausbreiten, und der durchschnittliche Verstoß kostet weltweit 4,44 Millionen Dollar. Doch diese Zahlen erzählen nur einen Teil der Geschichte. Die wirkliche Bedeutung liegt in der grundlegenden Veränderung, die die seitliche Bewegung darstellt - von der Verhinderung von Sicherheitsverletzungen zur Annahme von Kompromittierungen und zur Begrenzung des Schadens.

Die Techniken und Tools werden sich weiter entwickeln, aber die Grundsätze einer effektiven Verteidigung bleiben konstant. Unternehmen müssen zero trust einführen, die implizites Vertrauen eliminieren, Mikrosegmentierung implementieren, um die Ausbreitung von Angriffen zu begrenzen, und Verhaltenserkennung einsetzen, die Angriffe unabhängig von den verwendeten Tools identifiziert. Die nachweisliche Verringerung erfolgreicher Angriffe und die deutliche Senkung der Kosten für Sicherheitsverletzungen zeigen, dass diese Investitionen messbare Ergebnisse liefern.

Sicherheitsverantwortliche stehen vor einer klaren Entscheidung: Entweder sie versuchen weiterhin, mit immer raffinierteren Angreifern mitzuhalten, oder sie müssen ihre Sicherheitsarchitektur für eine Welt, in der Seitwärtsbewegungen nicht nur möglich, sondern wahrscheinlich sind, grundlegend neu konzipieren. Erfolgreich werden die Unternehmen sein, die diese Realität akzeptieren und widerstandsfähige Abwehrmechanismen aufbauen, die Seitwärtsbewegungen eindämmen und erkennen, bevor katastrophale Schäden entstehen.

Sind Sie bereit, Ihren Ansatz zur Erkennung von Querbewegungen zu verändern? Erfahren Sie, wie die Attack Signal Intelligence von Vectra AI AI laterale Bewegungen in Ihrer Umgebung identifizieren und stoppen kann, unabhängig von den Techniken, die Angreifer verwenden.

Quellen und Methodik

Die in diesem Leitfaden genannten Erkenntnisse basieren auf öffentlich zugänglichen Bedrohungsanalysen und Abwehrempfehlungen, in denen das tatsächliche Angriffsverhalten und Erkennungsverfahren untersucht werden.

Diese Quellen fassen Untersuchungen zu Vorfällen, Analysen von Sicherheitstelemetriedaten und bewährte Verfahren zur Abwehr zusammen, die in verschiedenen Unternehmensumgebungen beobachtet wurden.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Lateral Movement und Privilegieneskalation?

Seitliche Bewegung und Privilegienerweiterung dienen unterschiedlichen Zwecken in der Angriffskette, obwohl Angreifer sie oft kombinieren, um maximale Wirkung zu erzielen. Bei der lateralen Bewegung geht es darum, sich horizontal über Systeme auszubreiten und dabei dieselbe Berechtigungsstufe beizubehalten - wie ein normaler Benutzer, der auf mehrere Arbeitsstationen zugreift, auf denen er Standardberechtigungen hat. Das Ziel des Angreifers ist die Erkundung, das Ausharren und der Zugriff auf wertvolle Daten, ohne dass Sicherheitswarnungen ausgelöst werden, die bei Versuchen, die Berechtigungen zu erhöhen, auftreten könnten.

Bei der Eskalation von Berechtigungen geht es dagegen um das vertikale Aufsteigen in der Berechtigungshierarchie. Ein Angreifer nutzt Schwachstellen, Fehlkonfigurationen oder gestohlene Anmeldedaten aus, um Zugriff auf Administrator-, Root- oder Systemebene zu erhalten. Diese Erhöhung der Rechte findet auf einem einzigen System statt und verschafft dem Angreifer Fähigkeiten, die er zuvor nicht besaß.

Die Techniken wirken bei echten Angriffen synergetisch zusammen. Angreifer bewegen sich in der Regel seitlich mit Standard-Benutzeranmeldeinformationen, bis sie ein System finden, das für eine Ausweitung der Berechtigungen anfällig ist. Sobald sie erhöhte Privilegien erlangt haben, können sie sich seitlich mit größerer Freiheit bewegen und auf sensiblere Systeme zugreifen. Die Volt Typhoon war ein Beispiel für dieses Muster: Sie behielt monatelang den Zugriff auf Benutzerebene bei, während sie sich seitlich bewegte und die Privilegien nur dann erweiterte, wenn bestimmte Ziele einen administrativen Zugriff erforderten. Das Verständnis dieser Beziehung hilft den Sicherheitsteams zu erkennen, dass es nicht ausreicht, sich nur gegen eine Technik zu verteidigen - für eine umfassende Sicherheit müssen sowohl die seitlichen als auch die vertikalen Bewegungspfade berücksichtigt werden.

Wie schnell können sich Angreifer seitlich durch ein Netz bewegen?

Die Geschwindigkeit der lateralen Bewegung hat sich mit der jüngsten Entwicklung der Angriffe dramatisch beschleunigt. Aktuelle Daten aus den Jahren 2024-2025 zeigen, dass sich die Angriffe im Durchschnitt innerhalb von 48 Minuten nach der ersten Kompromittierung ausbreiten, während die schnellsten beobachteten Angriffe eine vollständige Netzwerkausbreitung in nur 18 Minuten erreichen. Die um KI-Funktionen erweiterte ransomware LockBit 4.0 demonstrierte diese extreme Geschwindigkeit, indem sie bei mehreren Vorfällen im Jahr 2025 in weniger als 20 Minuten vom ersten Zugriff bis zur vollständigen Verschlüsselung des Netzwerks vordrang.

Diese Zeitspannen variieren erheblich und hängen von mehreren Faktoren ab. Die Raffinesse und Vorbereitung des Angreifers spielen eine entscheidende Rolle: Nationale Akteure wie Volt Typhoon bewegen sich oft langsam und absichtlich über Monate hinweg, um nicht entdeckt zu werden, während ransomware der Geschwindigkeit den Vorzug vor der Heimlichkeit geben. Auch die Netzwerkarchitektur wirkt sich auf die Geschwindigkeit aus. Flache Netzwerke mit minimaler Segmentierung ermöglichen eine schnelle Ausbreitung, während richtig segmentierte Umgebungen mit zero trust die Ausbreitung verlangsamen oder ganz stoppen können.

Die wichtigste Variable ist der Reifegrad der Sicherheit der Zielumgebung. Unternehmen mit starken Identitätskontrollen, Netzwerksegmentierung und Verhaltenserkennung können die Zeit für laterale Bewegungen von Minuten auf Stunden oder Tage verlängern, was eine entscheidende Reaktionszeit bedeutet. Umgekehrt ermöglichen Umgebungen mit übermäßigen Privilegien, ungepatchten Systemen und schlechter Sichtbarkeit eine nahezu sofortige Bewegung. Die CrowdStrike 1-10-60-Regel bietet einen praktischen Rahmen: Erkennen von Eindringlingen innerhalb von 1 Minute, Verstehen der Bedrohung innerhalb von 10 Minuten und Reagieren innerhalb von 60 Minuten, um der Geschwindigkeit moderner lateraler Bewegungen voraus zu sein.

Welches sind die gängigsten seitlichen Bewegungstechniken?

Angreifer verlassen sich immer wieder auf mehrere bewährte Lateral Movement-Techniken, die legitime Windows-Funktionen und -Protokolle ausnutzen. Pass the Hash (T1550.002) ist nach wie vor verheerend effektiv und ermöglicht es Angreifern, sich mit gestohlenen NTLM-Hashes zu authentifizieren, ohne die tatsächlichen Kennwörter zu kennen. Diese Technik kommt in über 60 % der Fälle von Domänenkompromittierungen vor, da sie herkömmliche Kennwortkontrollen umgeht und sogar mit starken, komplexen Kennwörtern funktioniert.

Der Missbrauch des Remote-Desktop-Protokolls (T1021.001) ermöglicht einen interaktiven Zugriff, der die Aktivitäten eines legitimen Administrators perfekt imitiert. Angreifer nutzen RDP sowohl für laterale Bewegungen als auch für dauerhaften Zugriff und halten Sitzungen oft wochenlang aufrecht, während sie als normale Fernverwaltung erscheinen. Die Allgegenwärtigkeit des Protokolls in Unternehmensumgebungen und die Schwierigkeit, böswillige von legitimer Nutzung zu unterscheiden, machen es zu einem attraktiven Angriffsziel.

Living Off the Land "-Taktiken dominieren moderne laterale Bewegungen, wobei PowerShell in 71 % der LOTL-Angriffe vorkommt. Angreifer verwenden native Windows-Tools wie WMI, geplante Aufgaben und die Erstellung von Diensten, um sich zwischen Systemen zu bewegen, ohne eigene malware zu installieren. Diese Techniken umgehen herkömmliche Antivirenprogramme und erschweren die forensische Analyse, da die Tools selbst legitim sind. Die Kombination von PowerShell-Remoting mit Tools wie PsExec oder WMI bietet leistungsstarke, flexible Möglichkeiten für laterale Bewegungen, die sich an die Verteidigungskontrollen anpassen. Sicherheitsteams müssen sich auf die Erkennung von Verhaltensmustern und nicht auf spezifische Tools konzentrieren, da die Angreifer ihre Techniken ständig weiterentwickeln und dabei dieselben grundlegenden Ansätze beibehalten.

Können seitliche Bewegungen in cloud auftreten?

Cloud sind mit einzigartigen und sich weiterentwickelnden Risiken für laterale Bewegungen konfrontiert, die sich deutlich von herkömmlichen Angriffen vor Ort unterscheiden. Angreifer nutzen Schwachstellen in Container-Laufzeiten oder Orchestrierungsplattformen aus, um Isolationsgrenzen zu überwinden. Der 34-prozentige Anstieg von Container-basierten Lateral Movement-Angriffen im Jahr 2025 zeigt, wie sich Angreifer an cloud Architekturen angepasst haben. Kubernetes-Umgebungen sind durch den Missbrauch von Service-Account-Token besonders gefährdet, da die Kompromittierung eines einzelnen Pods mit übermäßigen Berechtigungen eine clusterweite Seitwärtsbewegung über die Kubernetes-API ermöglicht.

Der Missbrauch von Cloud und verwalteten Identitäten schafft leistungsstarke laterale Bewegungspfade über cloud . In AWS nutzen Angreifer die IAM-Rollenverkettung, um zwischen Konten und Diensten zu wechseln und die Vertrauensbeziehungen auszunutzen, die die cloud ermöglichen. Azure Service Principals bieten ähnliche Möglichkeiten, wobei kompromittierte Anwendungen die ihnen zugewiesenen Berechtigungen nutzen, um auf Ressourcen in verschiedenen Abonnements zuzugreifen. Die programmatische Natur dieser Identitäten erschwert die Erkennung, da die bösartigen Aktivitäten identisch mit legitimer Automatisierung erscheinen.

Serverlose Architekturen bieten durch Funktionsverkettungen und ereignisgesteuerte Auslöser subtile Vektoren für seitliche Bewegungen. Angreifer kompromittieren eine Lambda-Funktion oder Azure Function und verwenden dann deren Ausführungskontext, um andere Funktionen aufzurufen, auf Datenbanken zuzugreifen oder Speicherdienste zu manipulieren. Die kurzlebige Natur der serverlosen Ausführung erschwert die Erkennung und Forensik. cloud verschlimmern diese Herausforderungen, da Angreifer die Konnektivität zwischen den Clouds ausnutzen, um sich seitlich über verschiedene Anbieter hinweg zu bewegen und dabei häufig Sicherheitskontrollen zu umgehen, die sich auf Bedrohungen in cloud einzigen Cloud konzentrieren.

Welche Windows-Ereignis-IDs weisen auf eine seitliche Bewegung hin?

Windows-Ereignis-IDs liefern wichtige Telemetriedaten für die Erkennung von Seitwärtsbewegungen, aber für eine wirksame Erkennung müssen mehrere Ereignisse miteinander korreliert werden, anstatt bei einzelnen IDs eine Warnung auszulösen. Die Ereignis-ID 4624 (Erfolgreiche Anmeldung) bildet die Grundlage für die Erkennung von Seitwärtsbewegungen, insbesondere für die Ereignisse des Anmeldetyps 3 (Netzwerkanmeldung) und des Typs 10 (Remote Interactive). Sequentielle Anmeldungen des Typs 3 über mehrere Systeme hinweg innerhalb von Minuten, insbesondere von Servicekonten oder nach Geschäftsschluss, deuten stark auf Seitwärtsbewegungen hin. In Kombination mit der Analyse der Quell-IP und der Kontonutzungsmuster zeigen 4624 Ereignisse die Bewegungspfade der Angreifer durch das Netzwerk auf.

Die Ereignis-ID 4625 (Fehlgeschlagene Anmeldung) zeigt, dass die Erkundung und das Erraten von Anmeldeinformationen oft einer erfolgreichen Seitwärtsbewegung vorausgehen. Mehrere 4625-Ereignisse, gefolgt von einem erfolgreichen 4624-Ereignis, deuten auf Passwort-Spraying oder Brute-Force-Versuche hin. Das Muster der Fehlversuche auf mehreren Zielsystemen von einer einzigen Quelle aus deutet insbesondere auf automatisierte Tools für Seitwärtsbewegungen hin. Die Ereignis-ID 4648 (Explicit Credential Usage) ist von unschätzbarem Wert für die Erkennung von Pass the Hash und den Diebstahl von Anmeldedaten, da sie ausgelöst wird, wenn Prozesse andere Anmeldedaten als der angemeldete Benutzer verwenden.

Die Ereignis-ID 4769 (Kerberos Service Ticket Request) hilft bei der Identifizierung von Pass the Ticket-Angriffen und der Verwendung von Golden Tickets. Ungewöhnliche Service-Ticket-Anforderungen, insbesondere für Dienste mit hohen Rechten von Systemen, die diese normalerweise nicht anfordern, erfordern eine sofortige Untersuchung. Eine wirksame Erkennung erfordert Korrelationsregeln, die diese Ereignisse mit der Analyse des Netzwerkverkehrs und den Ereignissen zur Prozesserstellung (4688) kombinieren. Beispielsweise deuten 4648-Ereignisse, die unmittelbar von 4624-Ereignissen des Typs 3 gefolgt werden, stark auf Pass the Hash-Angriffe hin, während ungewöhnliche Muster von 4769-Ereignissen in Verbindung mit der Erstellung von Diensten auf Silver Ticket-Angriffe hindeuten könnten.

Wie verhindert die zero trust eine Seitwärtsbewegung?

Die Zero trust verändert die Netzwerksicherheit grundlegend, indem sie das implizite Vertrauen beseitigt, das laterale Bewegungen ermöglicht. Herkömmliche Perimeter-basierte Sicherheit geht davon aus, dass Benutzer und Geräte innerhalb des Netzwerks vertrauenswürdig sind und erlaubt einen breiten Zugriff, sobald sie authentifiziert sind. Zero trust hebt diese Annahme auf und erfordert eine kontinuierliche Überprüfung für jede Verbindung, unabhängig vom Standort der Quelle oder einer vorherigen Authentifizierung. Dieser Ansatz wirkt lateralen Bewegungen direkt entgegen, da Angreifer gezwungen sind, sich bei jedem Schritt zu authentifizieren, was das Risiko einer Entdeckung drastisch erhöht.

Die Umsetzung von zero trust schafft mehrere Barrieren für laterale Bewegungen. Die Mikrosegmentierung unterteilt das Netzwerk in granulare Zonen mit strengen Zugriffskontrollen zwischen diesen Zonen und schränkt so die Möglichkeiten eines Angreifers ein, sich selbst mit gültigen Anmeldedaten auszubreiten. Identitätsbasierte Richtlinien stellen sicher, dass der Zugriff nicht nur von den Anmeldeinformationen, sondern auch vom Benutzerverhalten, dem Zustand des Geräts und kontextbezogenen Faktoren wie Standort und Zeit abhängt. Der Zugriff mit minimalen Rechten stellt sicher, dass Benutzer und Anwendungen nur auf Ressourcen zugreifen, die für ihre Funktion erforderlich sind, und reduziert so die Angriffsfläche für seitliche Bewegungen.

Ergebnisse aus der Praxis belegen die Wirksamkeit von zero trust im Kampf gegen Seitwärtsbewegungen. Unternehmen, die umfassende zero trust implementieren, berichten von 67 % weniger erfolgreichen Angriffen und einer 90 %igen Verringerung der Vorfälle mit Quereinsteigern. Der Ansatz erweist sich als besonders effektiv gegen Living Off the Land -Angriffe, die legitime Tools missbrauchen, da Verhaltensanalysen anomale Nutzungsmuster unabhängig von den verwendeten Tools erkennen. Wenn es doch einmal zu einem Einbruch kommt, reduzieren zero trust die Einbruchskosten erheblich, indem sie den Explosionsradius begrenzen und Angreifer daran hindern, wichtige Anlagen zu erreichen.

Welche finanziellen Auswirkungen haben Angriffe mit Seitwärtsbewegungen?

Die finanziellen Folgen von Angriffen durch Seitwärtsbewegungen bleiben auch im Jahr 2025 schwerwiegend. Der IBM Cost of Data Breach Report zeigt, dass sich die durchschnittlichen Kosten für Data Breach weltweit auf 4,44 Millionen US-Dollar belaufen. Unternehmen, die von Angriffen durch Seitwärtsbewegungen betroffen sind, sehen sich mit zusätzlichen Kosten konfrontiert, die durch schnellere Angriffsgeschwindigkeiten und ausgefeiltere Techniken verursacht werden, die das Ausmaß des Verstoßes vor der Entdeckung erweitern. Die Kosten umfassen die unmittelbare Reaktion auf den Vorfall, die Unterbrechung des Geschäftsbetriebs während der Wiederherstellung, behördliche Strafen, Anwaltskosten und langfristige Reputationsschäden, die sich auf die Kundengewinnung und -bindung auswirken.

Die branchenspezifischen Auswirkungen sind je nach Sensibilität der Daten und gesetzlichen Vorschriften sehr unterschiedlich. Unternehmen des Gesundheitswesens sind mit besonders hohen Kosten konfrontiert, da die Kosten für Datenschutzverletzungen in diesem Sektor laut einer IBM-Studie regelmäßig 10 Millionen US-Dollar übersteigen. Der ransomware auf Change Healthcare ist ein Beispiel dafür. Er führte zu einer Lösegeldzahlung in Höhe von 22 Millionen US-Dollar und massiven Betriebsunterbrechungen, von denen Millionen von Patienten betroffen waren. Finanzdienstleistungen sind am schnellsten von Angriffen mit seitlichen Bewegungen betroffen, die kritische Systeme in durchschnittlich 31 Minuten erreichen, was zu einer Überprüfung durch die Aufsichtsbehörden und zu Strafen für die Einhaltung von Vorschriften führt, die oft die direkten Kosten für die Sicherheitsverletzung übersteigen.

Die Investitionsrendite für die Prävention von Seitwärtsbewegungen ist in allen Branchen überzeugend. Unternehmen, die umfassende Präventionsstrategien, einschließlich zero trust und Mikrosegmentierung, implementieren, berichten von einem erheblichen ROI durch geringere Kosten für Sicherheitsverletzungen und betriebliche Verbesserungen. Diese Kontrollen verhindern nicht nur Sicherheitsverletzungen, sondern reduzieren auch die Kosten, wenn es zu Sicherheitsverletzungen kommt, indem sie die Ausbreitung von Angreifern begrenzen. Eine schnellere Erkennung und Eindämmung minimiert Geschäftsunterbrechungen, während Unternehmen auch von dem Wettbewerbsvorteil einer nachgewiesenen Sicherheitsresistenz profitieren, da Kunden bei der Auswahl von Anbietern zunehmend die Sicherheitslage bewerten.

Welche Rolle spielt die threat hunting bei der Aufdeckung von Seitwärtsbewegungen?

Bei der Threat hunting geht es um die proaktive Suche nach Cyber-Bedrohungen, die sich den bestehenden Sicherheitsmaßnahmen entziehen, einschließlich Anzeichen für seitliche Bewegungen. Erfahrene Bedrohungsjäger können subtile Anzeichen für eine Kompromittierung erkennen und dabei helfen, heimliche Angreiferbewegungen innerhalb des Netzwerks aufzudecken und zu bekämpfen.

Wie können Unternehmen ihre Abwehrmaßnahmen gegen Seitwärtsbewegungen verbessern?

Unternehmen können ihren Schutz verbessern, indem sie in fortschrittliche Cybersecurity-Tools investieren, eine ganzheitliche Sicherheitsstrategie einführen, die regelmäßige Sicherheitsbewertungen, Bedrohungsdaten, einen robusten endpoint und die Förderung einer Kultur des Sicherheitsbewusstseins bei allen Mitarbeitern umfasst.

Welche zukünftigen Entwicklungen sind zu erwarten, um den Schutz gegen seitliche Bewegungen zu verbessern?

Künftige Entwicklungen könnten Fortschritte bei der KI und bei Technologien des maschinellen Lernens zur besseren Erkennung anormaler Aktivitäten, eine breitere Einführung von zero trust und einen verbesserten Austausch von Bedrohungsdaten zwischen Organisationen umfassen, um Taktiken der Querbewegung effektiver zu erkennen und zu entschärfen.