Seitwärtsbewegung in der Cybersicherheit: Die stille Verbreitung, mit der Angreifer Netzwerke kompromittieren

Wichtige Erkenntnisse

LOTL attacks fuel 84% of severe breaches, with PowerShell appearing in 71% of cases according to security research (Illumio Modern Trojan Horse 2025)
Windows Event ID correlation (4624, 4625, 4648, 4769) remains critical for detection, yet most organizations lack proper correlation rules (MITRE ATT&CK Defender guidance)
The fastest containment actions reduce blast radius by restricting identity use and east-west communication, not by chasing isolated alerts. (MITRE ATT&CK Defender guidance)

Once attackers gain an initial foothold, the primary risk is not just the first compromised host. The real damage happens when they move from system to system, blend into normal admin activity, and quietly expand access until they reach crown-jewel assets.

Lateral movement is that expansion. It is how modern intrusions turn into ransomware, data theft, and domain-wide compromise. Stopping it requires visibility into how identities and hosts behave across the network, not just whether a single endpoint looks suspicious.

This guide explains how lateral movement works and how security teams can detect it in real environments. SOC analysts, threat hunters, and security leaders will learn how attackers move across systems, which protocols and tools they abuse, and what behavioral signals reveal lateral movement before major damage occurs.

Was ist eine seitliche Bewegung?

Laterale Bewegung ist die Technik, die Angreifer verwenden, um durch ein kompromittiertes Netzwerk zu navigieren und auf zusätzliche Systeme und Ressourcen zuzugreifen, während sie ihre aktuelle Berechtigungsstufe beibehalten. Im Gegensatz zur vertikalen Bewegung, bei der höhere Privilegien angestrebt werden, breitet sich die laterale Bewegung horizontal über die Umgebung aus und ermöglicht es den Angreifern, das Netzwerk zu erkunden, wertvolle Daten zu finden und mehrere Angriffspunkte zu etablieren, bevor sie ihre endgültigen Ziele ausführen.

Diese Unterscheidung ist wichtig, weil laterale Bewegungen oft unter dem Radar herkömmlicher Sicherheitstools verschwinden. Die Angreifer nutzen legitime Anmeldeinformationen und systemeigene Tools und lassen ihre Aktivitäten als normalen Netzwerkverkehr erscheinen. Der Illumio-Bericht aus dem Jahr 2025 zeigt, dass fast 90 % der Unternehmen im vergangenen Jahr in irgendeiner Form von Lateral Movement betroffen waren, was im Durchschnitt zu mehr als 7 Stunden Ausfallzeit pro Vorfall führte - viel zu lange, wenn Angreifer schnell auf wichtige Systeme zugreifen können.

Die Auswirkungen auf das Unternehmen gehen über die technischen Kennzahlen hinaus. Jede Minute unentdeckter seitlicher Bewegung vergrößert den potenziellen Aktionsradius eines Angriffs. Was mit einer einzelnen kompromittierten Workstation beginnt, kann schnell zu einer domänenweiten Kompromittierung, Datenexfiltration oder einer vollständigen ransomware im gesamten Unternehmen eskalieren. Diese Entwicklung erklärt, warum die Implementierung einer effektiven zero trust und proaktiver threat hunting für moderne Sicherheitsprogramme unverzichtbar geworden ist.

Why attackers use lateral movement

Attackers move laterally because it increases the probability of impact while reducing the probability of detection.

Common objectives include:

Expand access to higher-value systems such as directory services, file servers, hypervisors, and cloud control planes.
Reach privileged identities and service accounts that enable broad access.
Identify data stores and backup systems to maximize ransomware leverage.
Establish redundancy with multiple footholds so containment is harder.
Blend into normal operations by using native tools, remote admin protocols, and existing trust relationships.

Seitwärtsbewegung vs. Privilegienerweiterung

Lateral movement is horizontal expansion across systems. Privilege escalation is vertical elevation of permissions. Attackers often combine both: they move laterally to find a system or identity that enables escalation, then use elevated access to move laterally with greater reach.

A practical way to separate them during investigation:

If the same identity is accessing more systems than expected, suspect lateral movement.
If an identity suddenly gains new rights or performs actions it could not previously do, suspect privilege escalation.
If both happen in a short window, treat it as active attack progression.

Wie die seitliche Bewegung funktioniert

Most lateral movement occurs after attackers complete earlier stages of the cyber kill chain, such as reconnaissance and credential access. After gaining an initial foothold, attackers move through the environment by discovering systems, obtaining credentials, and using legitimate management protocols to access additional hosts.

Stage 1: Reconnaissance and discovery

Attackers first map the network to understand what systems exist and how they are connected. They enumerate Active Directory objects, scan for open ports, and identify valuable systems such as domain controllers, file servers, and management hosts.

Common discovery methods include commands and tools such as:

Nettoansicht
nltest
PowerShell AD enumeration cmdlets
port scanning and service discovery

Because these tools are commonly used by administrators, this phase often produces little or no security alerts.

Stage 2: Credential access and authentication material

Once attackers understand the environment, they focus on acquiring additional credentials that allow them to move between systems.

Common credential acquisition methods include:

extracting password hashes from memory (LSASS dumping)
harvesting Kerberos tickets
abusing credential storage mechanisms
capturing cached credentials

Attackers may use tools like Mimikatz or rely on built-in utilities such as procdump.exe in Living-off-the-Land (LOTL) attacks.

With valid credentials or authentication tokens, attackers can access other systems without triggering failed login alerts.

Stage 3: Access and movement execution

Armed with legitimate credentials, attackers begin moving laterally across systems.

This typically involves remote administration protocols such as:

Remote Desktop Protocol (RDP)
SMB administrative shares
Windows Management Instrumentation (WMI)
PowerShell Remoting (WinRM)

Attackers create remote processes, scheduled tasks, or services to execute commands on new systems. Each successful pivot expands their foothold and increases the likelihood of reaching sensitive systems or privileged identities.

Häufig genutzte Protokolle

Attackers consistently abuse several built-in remote administration protocols for lateral movement. These protocols exist to support legitimate enterprise management, which makes malicious activity difficult to distinguish from normal administrative behavior.

The most commonly exploited protocols include SMB, Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI), and PowerShell Remoting (WinRM).

SMB / Windows Administrative Shares (T1021.002)

SMB remains one of the most common lateral movement mechanisms in Windows environments. Administrative shares such as ADMIN$, C$, and IPC$ allow remote file access and command execution between systems.

Attackers use SMB to:

Deploy payloads to remote systems
Execute commands using tools such as PsExec
Transfer tools or scripts across hosts
Access administrative shares for remote execution

Because SMB is heavily used in enterprise environments, malicious activity can blend into legitimate system administration traffic.

Remote Desktop Protocol (T1021.001)

Remote Desktop Protocol provides interactive access to remote systems, allowing attackers to operate as if they were legitimate administrators.

Attackers frequently use RDP to:

Maintain persistent remote access to compromised hosts
Interactively explore systems and networks
Manually execute commands or tools
Establish command and control through long-running sessions

RDP activity can remain undetected when attackers authenticate using legitimate credentials.

Windows Management Instrumentation (T1047)

Windows Management Instrumentation provides remote management capabilities that allow administrators to execute commands and query system information across the network.

Attackers abuse WMI to:

Execute remote commands
Spawn processes on remote systems
Modify system configuration or registry keys
Establish persistence mechanisms

Because WMI is a legitimate administrative interface, many security tools treat this activity as normal management traffic.

PowerShell Remoting and WinRM (T1021.006)

PowerShell Remoting uses Windows Remote Management (WinRM) to allow administrators to execute scripts across multiple systems simultaneously.

Attackers commonly leverage this capability to:

Execute remote PowerShell commands
Run scripts across multiple hosts
Conduct discovery and credential harvesting
Deploy payloads without writing files to disk

Attackers often encode PowerShell commands or execute them in memory, making detection significantly more difficult.

Protocol detection and telemetry

The table below illustrates how these protocols commonly appear during lateral movement and which signals can help identify suspicious activity.

Protokoll	Common technique	Nachweisverfahren	Ereignis-IDs
SMB	PsExec-Einsatz	Erstellung benannter Rohre	5145, 5140
RDP	Direkte Authentifizierung	Anmeldung Typ 10	4624, 4778
WMI	Erstellung von Remote-Prozessen	WMI-Aktivität	5857, 5860
WinRM	PowerShell-Ausführung	WSMan-Verbindungen	91, 168

Übliche Techniken für Angriffe mit seitlichen Bewegungen

Lateral movement techniques are best understood as named patterns. Many map to MITRE ATT&CK (TA0008), but defenders benefit most from knowing prerequisites, execution paths, and the signals they generate.

The table below maps common lateral movement protocols to attacker techniques and detection signals.

Technik	What it enables	Typical prerequisite	Primary signals
Pass-the-Hash	Authenticate without the plaintext password	NTLM hash access	Explicit credential use, anomalous lateral logons, NTLM use where Kerberos is expected
Pass-the-Ticket and ticket replay	Impersonate users with stolen Kerberos tickets	Ticket theft or forged tickets	Unusual service ticket requests, atypical ticket lifetimes, privileged service access from unusual hosts
Remote services misuse (RDP, SMB, SSH)	Interactive or service-based access to new hosts	Valid credentials and network reachability	New admin paths, off-hours remote sessions, east-west spikes between segments
WMI, WinRM, and remote execution	Run commands on remote hosts	Admin rights or delegated management rights	Remote process creation, WMI/WinRM activity from endpoints that do not manage systems
Scheduled tasks and service creation	Persist and execute on remote hosts	Rights to create tasks or services	New scheduled tasks, new services, service creation from remote admin shares
Service account and delegated access abuse	Move using non-human identities	Over-permissioned accounts or keys	New service account usage, access to many hosts, unusual API calls or directory reads

How attackers use living off the land techniques

Living Off the Land (LOTL) attacks represent the evolution of lateral movement, eliminating the need for custom malware by abusing legitimate system tools already present in the environment. This approach dramatically reduces detection rates while accelerating attack timelines.

Rather than deploying external malware, attackers rely on built-in administrative tools and trusted protocols that security teams routinely use.

Common LOTL behaviors include:

Using PowerShell for discovery, credential access, and remote command execution
Executing remote processes through Windows Management Instrumentation (WMI)
Moving laterally using SMB administrative shares or tools like PsExec
Creating scheduled tasks or services to execute commands on remote systems
Leveraging WinRM or PowerShell Remoting for scripted multi-host execution

Because these tools are widely used in legitimate administration, LOTL activity often appears indistinguishable from normal operations.

A typical attack sequence might involve PowerShell for reconnaissance, WMI for remote execution, and scheduled tasks for persistence, all occurring without deploying traditional malware.

Example attack paths

Real intrusions vary, but the movement patterns repeat. These examples are designed to help analysts recognize progression.

Example 1: Workstation to directory services

Initial foothold on a user workstation.
Credential access or token reuse.
Lateral movement to a file server or management host.
Discovery of privileged identities and directory services.
Expansion to domain controllers or identity infrastructure.

Example 2: Service account spread

Attacker compromises an application host or automation runner.
Extracts or reuses a service account credential.
Uses that identity to access multiple servers where the service account is trusted.
Establishes persistence via scheduled tasks or remote execution.
Deploys ransomware or steals data once backup and monitoring systems are reached.

Example 3: Hybrid pivot into cloud control plane

Attacker compromises an on-prem identity or federation path.
Uses SSO and delegated permissions to access cloud resources.
Enumerates roles, secrets, and storage.
Moves laterally across subscriptions or accounts through role chaining or service principals.
Exfiltrates data or disrupts operations through control plane actions.

‍

Signals that indicate lateral movement activity

Lateral movement rarely appears as a single obvious event. Instead, attackers generate small behavioral signals across identity systems, endpoints, and network traffic as they move between hosts.

Security teams can identify potential lateral movement by monitoring for combinations of the following signals:

Identity activity

Unusual authentication patterns across multiple systems
Service accounts authenticating to new hosts
Logins from unexpected locations or devices
Abnormal Kerberos ticket requests or unexpected NTLM authentication

Endpoint behavior

Remote process execution using WMI or PowerShell
Creation of scheduled tasks or services on remote hosts
Access to LSASS memory or credential stores
Administrative tools executing outside normal workflows

Network activity

New SMB connections between internal hosts
Unexpected RDP sessions
Increased east-west traffic between systems
WinRM or PowerShell remoting connections

When correlated across identities, hosts, and network activity, these signals often reveal attackers progressing through the environment before major impact occurs.

Erkennen und Verhindern von Seitwärtsbewegungen

Ein wirksamer Schutz gegen Seitwärtsbewegungen erfordert einen mehrschichtigen Ansatz, der proaktive Prävention, Echtzeit-Erkennung und schnelle Reaktionsmöglichkeiten auf Vorfälle kombiniert. Unternehmen, die umfassende Strategien implementieren, melden, dass sie seitliche Bewegungen 73 % schneller erkennen als Unternehmen, die sich auf herkömmliche, auf den Umkreis konzentrierte Sicherheitsmaßnahmen verlassen.

Der Schlüssel liegt in der Annahme der Kompromittierung, d. h. in der Annahme, dass sich Angreifer zunächst Zugang verschaffen, und im Aufbau von Verteidigungsmaßnahmen, die ihre Ausbreitung einschränken. Diese Philosophie ist die Grundlage für moderne Ansätze wie die Mikrosegmentierung, die die Ausbreitung von Angriffen drastisch einschränkt, indem sie granulare Sicherheitsgrenzen zwischen Workloads schafft. In Kombination mit Netzwerkerkennungs- und -reaktionsfunktionen sowie einer angemessenen Ereigniskorrelation können Unternehmen seitliche Bewegungen erkennen und eindämmen, bevor ein erheblicher Schaden entsteht.

Windows-Ereignis-ID-Erkennungsmuster

Windows-Sicherheitsereignisse bieten umfangreiche Telemetriedaten zur Erkennung von Seitwärtsbewegungen, aber die meisten Unternehmen versäumen es, geeignete Korrelationsregeln zu implementieren. Die vier kritischen Ereignis-IDs für die Erkennung von Seitwärtsbewegungen bilden ein Muster, das das Verhalten von Angreifern offenbart, wenn es zusammen analysiert wird:

Ereignis-ID 4624 (Erfolgreiche Anmeldung) zeigt an, wenn sich ein Benutzer an einem System authentifiziert. Die Anmeldetypen 3 (Netzwerkanmeldung) und 10 (interaktive Fernanmeldung) sind für die Erkennung von Seitwärtsbewegungen besonders wichtig. Achten Sie auf Muster von aufeinanderfolgenden Anmeldungen des Typs 3 auf mehreren Systemen innerhalb kurzer Zeiträume, insbesondere von Dienstkonten oder zu ungewöhnlichen Zeiten.

Die Ereignis-ID 4625 (Fehlgeschlagene Anmeldung) offenbart Erkundungs- und Passwort-Spraying-Versuche. Mehrere 4625-Ereignisse, gefolgt von einem erfolgreichen 4624-Ereignis, deuten oft auf das Erraten von Anmeldeinformationen hin. Achten Sie besonders auf Fehlermuster bei mehreren Systemen, die von einer einzigen Quelle ausgehen und auf automatisierte Versuche von Quereinsteigern hindeuten.

Ereignis-ID 4648 (Explicit Credential Usage) wird ausgelöst, wenn ein Prozess explizite Anmeldeinformationen verwendet, die sich von denen des angemeldeten Benutzers unterscheiden. Dieses Ereignis ist entscheidend für die Erkennung von Pass-the-Hash- und Overpass-the-Hash-Angriffen. Die Korrelation mit Ereignissen bei der Prozesserstellung (4688) zeigt, wann legitime Tools für den Diebstahl von Anmeldeinformationen missbraucht werden.

Die Ereignis-ID 4769 (Kerberos Service Ticket Request) hilft bei der Identifizierung von Pass the Ticket-Angriffen und der Verwendung von Golden Tickets. Ungewöhnliche Service-Ticket-Anforderungen, insbesondere für Dienste mit hohen Berechtigungen oder von Systemen, die diese normalerweise nicht anfordern, rechtfertigen eine Untersuchung.

Die folgenden Korrelationsmuster deuten auf eine wahrscheinliche Seitwärtsbewegung hin:

Muster	Reihenfolge der Ereignisse	Zeitfenster	Risikostufe
Aufklärungsarbeit	Mehrfach 4625 → Einfach 4624	5 Minuten	Mittel
Pass the Hash	4648 + 4624 (Typ 3)	1 Minute	Hoch
Servicekonto-Missbrauch	4624 (Typ 3) vom Dienstleistungskonto	Jede	Hoch
Kerberos-Angriffe	Ungewöhnliche 4769-Muster	10 Minuten	Kritisch

Strategien zur Netzsegmentierung

Die Netzwerksegmentierung hat sich weit über die traditionelle VLAN-Trennung hinaus zu einem Eckpfeiler der Prävention von Lateral Movements entwickelt. Moderne Mikrosegmentierungsansätze schaffen granulare Sicherheitsgrenzen um einzelne Workloads herum und schränken die Ausbreitung von Angriffen selbst nach der ersten Kompromittierung drastisch ein.

Die Grundsätze des Zero Trust Network Access (ZTNA) beseitigen das implizite Vertrauen zwischen Netzsegmenten. Jede Verbindung erfordert eine explizite Überprüfung, unabhängig vom Quellnetzwerk oder einer vorherigen Authentifizierung. Dieser Ansatz hindert Angreifer daran, kompromittierte Anmeldedaten für uneingeschränkte laterale Bewegungen zu nutzen, da sie gezwungen sind, sich an jeder Grenze zu authentifizieren.

Software-definierte Perimeter (SDP) schaffen dynamische, verschlüsselte Mikrotunnel zwischen autorisierten Benutzern und bestimmten Ressourcen. Im Gegensatz zu herkömmlichen VPN-Ansätzen, die einen breiten Netzwerkzugang bieten, beschränkt SDP die Konnektivität auf genau das, was für Geschäftsfunktionen benötigt wird. Diese Granularität verhindert, dass Angreifer das Netzwerk auch mit gültigen Anmeldedaten auskundschaften können.

Zu den Best Practices für eine effektive Segmentierung gehören die Identifizierung kritischer Ressourcen und die Einrichtung von Schutzzonen um diese herum, die Implementierung strenger Ost-West-Traffic-Filterung zwischen Segmenten und der Einsatz identitätsbewusster Kontrollen, die den Kontext von Benutzern, Geräten und Anwendungen berücksichtigen. Unternehmen sollten außerdem den Traffic zwischen den Segmenten auf Anomalien überwachen und die Wirksamkeit der Segmentierung regelmäßig durch Penetrationstests überprüfen.

Der Geschäftsnutzen der Mikrosegmentierung ist überzeugend, denn Unternehmen berichten über einen erheblichen ROI durch reduzierte Kosten für Sicherheitsverletzungen und betriebliche Effizienzsteigerungen. Durch die Einschränkung der seitlichen Bewegung und die Verringerung des Aktionsradius von Angriffen bieten Investitionen in die Mikrosegmentierung einen messbaren Sicherheits- und Geschäftswert.

Erkennungsinstrumente und -technologien

Moderne Erkennung erfordert eine Kombination aus endpoint, Netzwerk- und identitätsorientierten Technologien, die zusammenarbeiten. Kein einzelnes Tool bietet einen vollständigen Einblick in laterale Bewegungen, aber integrierte Plattformen, die Signale über mehrere Domänen hinweg korrelieren, erzielen die höchsten Erkennungsraten.

Endpoint Detection and Response (EDR)-Lösungen bieten einen tiefen Einblick in die Prozessausführung, den Dateizugriff und die Registrierungsänderungen auf einzelnen Systemen. Fortschrittliche EDR-Plattformen nutzen Verhaltensanalysen, um verdächtige Muster wie ungewöhnliche PowerShell-Nutzung, Prozessinjektion oder Versuche, Anmeldedaten zu verlieren, zu erkennen. Die Integration mit Bedrohungsdaten ermöglicht die Erkennung von bekannten Tools und Techniken für laterale Bewegungen.

Network Detection and Response (NDR)-Technologien analysieren den Netzwerkverkehr auf Anzeichen für Seitwärtsbewegungen. Modelle für maschinelles Lernen bilden die Grundlage für normale Kommunikationsmuster und warnen vor Anomalien wie ungewöhnlichem SMB-Datenverkehr, unerwarteten RDP-Verbindungen oder verdächtigem Verhalten von Dienstkonten. NDR eignet sich hervorragend für die Erkennung von LOTL-Angriffen, die sich den endpoint entziehen könnten.

Extended Detection and Response (XDR)-Plattformen korrelieren Signale über Endpunkte, Netzwerke und cloud hinweg, um komplexe laterale Bewegungsmuster zu erkennen. Durch die Kombination von Telemetriedaten aus mehreren Quellen kann XDR mehrstufige Angriffe erkennen, die einzelnen Tools möglicherweise entgehen. Der Plattform-Ansatz verringert auch die Ermüdung durch Alarme, indem er zusammenhängende Ereignisse zu einheitlichen Vorfällen korreliert.

Identity Threat Detection and Response (ITDR) ist die neueste Kategorie, die sich speziell auf identitätsbasierte Angriffe konzentriert. Diese Lösungen überwachen Authentifizierungsströme, erkennen den Missbrauch von Anmeldeinformationen und identifizieren Versuche der Privilegienerweiterung, die eine seitliche Bewegung ermöglichen. In Anbetracht der Tatsache, dass 80 % der Sicherheitsverletzungen mit kompromittierten Anmeldedaten einhergehen, schließt ITDR eine wichtige Lücke in der Erkennungspalette.

Cloud laterale Bewegung

Cloud bieten einzigartige Vektoren für seitliche Bewegungen, für die herkömmliche Sicherheitskontrollen nicht ausgelegt sind. Das Modell der geteilten Verantwortung, die dynamische Infrastruktur und die API-gesteuerte Architektur bieten Angreifern die Möglichkeit, sich auf eine Weise zu bewegen, die in lokalen Umgebungen unmöglich ist. Container-basierte Angriffe haben erheblich zugenommen, was die Dringlichkeit von cloud Schutzmaßnahmen unterstreicht.

Die Abstraktionsebenen in cloud - von der Infrastruktur über die Plattform bis hin zu den Software-Services - bergen jeweils unterschiedliche Risiken für Seitwärtsbewegungen. Angreifer nutzen Fehlkonfigurationen aus, missbrauchen Dienstkonten und nutzen genau die Automatisierung, die die cloud so leistungsfähig macht. Das Verständnis dieser cloud Techniken ist für die Sicherung moderner cloud unerlässlich.

Seitliche Bewegung von Containern und Kubernetes

Container-Eskapaden stellen die direkteste Form der lateralen Bewegung in containerisierten Umgebungen dar. Angreifer nutzen Schwachstellen in Container-Laufzeiten, Kernel-Subsystemen oder Orchestrierungsplattformen aus, um aus der Container-Isolierung auszubrechen. Die MITRE ATT&CK T1611 dokumentiert verschiedene Escape-Methoden, von der Ausnutzung privilegierter Container bis zum Missbrauch gemounteter Host-Dateisysteme.

Kubernetes-Cluster sind durch den Missbrauch von Service-Account-Tokens zusätzlichen Risiken ausgesetzt. Jeder Pod erhält standardmäßig ein Service-Account-Token, das API-Zugriff gewährt, den Angreifer für Erkundungen und laterale Bewegungen nutzen können. Die Kompromittierung eines einzelnen Pods mit übermäßigen Berechtigungen kann den clusterweiten Zugriff über die Kubernetes-API ermöglichen.

Der jüngste Anstieg von Sidecar-Container-Angriffen zeigt, dass sich die Techniken weiterentwickeln. Angreifer kompromittieren einen Container in einem Pod und nutzen gemeinsam genutzte Ressourcen wie Volumes oder Netzwerk-Namespaces, um auf benachbarte Container zuzugreifen. Diese seitliche Bewegung findet innerhalb desselben Pods statt und umgeht häufig die netzwerkbasierte Erkennung.

Angriffe auf die Lieferkette durch kompromittierte Container-Images ermöglichen vorbereitete laterale Bewegungsmöglichkeiten. Schädliche Images, die Backdoors oder Kryptowährungs-Miner enthalten, verbreiten sich automatisch, wenn Unternehmen sie in ihrer Infrastruktur einsetzen. Der Docker Hub-Vorfall vom Dezember 2024, bei dem Tausende von Images versteckte malware enthielten, ist ein Beispiel für dieses Risiko.

Muster des Missbrauchs von Cloud

Konten für Cloud und verwaltete Identitäten bieten leistungsstarke Vektoren für laterale Bewegungen, wenn sie angegriffen werden. In AWS missbrauchen Angreifer die IAM-Rollenübernahme, um zwischen Konten und Diensten zu wechseln. Eine kompromittierte EC2-Instanz mit einer angehängten Rolle kann auf jede Ressource zugreifen, die diese Rolle zulässt, und so möglicherweise mehrere AWS-Konten in komplexen Organisationen überspannen.

Azure-Dienstprinzipale sind einem ähnlichen Missbrauch ausgesetzt. Angreifer, die eine Anwendung mit einem Dienstprinzipal kompromittieren, können dessen Berechtigungen nutzen, um auf Azure-Ressourcen zuzugreifen, das Verzeichnis aufzulisten und möglicherweise zu anderen Abonnements zu wechseln. Die programmatische Natur der Dienstprinzipal-Authentifizierung macht die Erkennung schwierig, da diese Aktivität identisch mit legitimer Automatisierung erscheint.

Die Verkettung von Serverless-Funktionen schafft subtile Wege für seitliche Bewegungen. Angreifer kompromittieren eine Lambda-Funktion oder Azure Function und verwenden dann deren Ausführungskontext, um andere Funktionen aufzurufen, auf Datenbanken zuzugreifen oder mit Speicherdiensten zu interagieren. Die ephemere Natur der serverlosen Ausführung erschwert die Forensik und Erkennung.

Die IPv6-SLAAC-Angriffe der APT-Gruppe TheWizards in hybriden cloud zeigen, wie Schwachstellen auf Protokollebene laterale Bewegungen ermöglichen. Durch die Ausnutzung der IPv6-Autokonfiguration in Dual-Stack-Netzwerken, die lokale und cloud verbinden, umgingen sie Sicherheitskontrollen, die auf IPv4-Datenverkehr ausgerichtet sind. Diese Technik verdeutlicht, wie cloud unerwartete Vektoren für Seitwärtsbewegungen schaffen kann.

Moderne Ansätze zur Abwehr seitlicher Bewegungen

Die Entwicklung von Angriffen mit seitlichen Bewegungen erfordert eine ebenso fortschrittliche Verteidigung. Unternehmen, die moderne Ansätze wie die zero trust anwenden, melden 67 % weniger erfolgreiche Angriffe, was die Wirksamkeit der Annahme eines Einbruchs und der Beseitigung des impliziten Vertrauens beweist. Diese Strategien konzentrieren sich nicht auf die Verhinderung der ersten Kompromittierung, sondern auf die Eindämmung ihrer Auswirkungen.

Die Konvergenz mehrerer defensiver Technologien - Mikrosegmentierung, KI-gesteuerte Erkennung und identitätsorientierte Sicherheit - schafft eine tiefgreifende Verteidigung, die die Ziele von Angreifern vereitelt. Regulatorische Rahmenbedingungen schreiben diese Kontrollen zunehmend vor: PCI DSS v4.0 verlangt ausdrücklich eine Validierung der Netzwerksegmentierung und die NIS2-Richtlinie betont die Widerstandsfähigkeit gegen laterale Bewegungen.

Investitionen in die Abwehr von Seitwärtsbewegungen bringen messbare Ergebnisse. Neben der Verringerung erfolgreicher Angriffe haben Unternehmen, die umfassende zero trust implementieren, deutlich niedrigere Kosten für Sicherheitsverletzungen nachgewiesen. IBMs Studie aus dem Jahr 2021 hat gezeigt, dass Unternehmen mit ausgereiften zero trust im Vergleich zu Unternehmen ohne zero trust 1,76 Millionen US-Dollar einsparen konnten. Die Kombination aus verringerter Häufigkeit von Vorfällen und minimierten Auswirkungen, wenn es zu Sicherheitsverletzungen kommt, rechtfertigt die Investition in moderne Verteidigungsansätze.

Die Zero trust beseitigt das Konzept vertrauenswürdiger interner Netzwerke und erfordert eine kontinuierliche Überprüfung jeder Verbindung unabhängig von der Quelle. Dieser Ansatz wirkt Querbewegungen direkt entgegen, indem er das implizite Vertrauen beseitigt, das Angreifer ausnutzen. Unternehmen, die zero trust implementieren, berichten von drastischen Verbesserungen ihrer Sicherheitslage, wobei einige eine 90-prozentige Verringerung der Vorfälle mit Seitwärtsbewegungen erreichen.

Das Rahmenwerk NIST SP 800-207 bietet eine umfassende Anleitung für die Implementierung von zero trust . Zu den wichtigsten Grundsätzen gehören die explizite Überprüfung jeder Transaktion, die Durchsetzung des Zugriffs mit den geringsten Rechten und die Annahme einer Verletzung bei allen Sicherheitsentscheidungen. Diese Grundsätze befassen sich direkt mit den Bedingungen, die Seitwärtsbewegungen ermöglichen.

Die KI-gesteuerten Erkennungsfunktionen sind inzwischen sehr ausgereift. Modelle für das maschinelle Lernen sind jetzt in der Lage, subtile Verhaltensanomalien zu erkennen, die auf Seitwärtsbewegungen hindeuten. Diese Systeme erstellen eine Grundlinie für das normale Verhalten von Benutzern und Unternehmen und erkennen dann Abweichungen, die auf eine Kompromittierung hindeuten könnten. Im Gegensatz zur signaturbasierten Erkennung können KI-Ansätze neuartige Angriffstechniken und Living Off the Land -Taktiken erkennen.

Das Wachstum des Mikrosegmentierungsmarktes auf 52,08 Milliarden US-Dollar bis 2030 spiegelt die Effektivität bei der Verhinderung von Seitwärtsbewegungen wider. Moderne Mikrosegmentierungsplattformen nutzen Identität, Workload-Attribute und Anwendungsabhängigkeiten, um dynamische Sicherheitsrichtlinien zu erstellen. Dieser Ansatz geht über statische Netzwerkgrenzen hinaus und schafft adaptive Verteidigungsmaßnahmen, die sich je nach Risiko und Kontext anpassen.

Wie Vectra AI über seitliche Bewegungen denkt

Vectra AI setzt bei der Erkennung von Lateral Movement auf Attack Signal Intelligence™, eine Methode, die sich auf das Verhalten von Angreifern konzentriert und nicht auf Signaturen oder bekannte Muster. Dieser Ansatz erkennt an, dass sich Tools und Techniken zwar weiterentwickeln, die grundlegenden Verhaltensweisen, die für Seitwärtsbewegungen erforderlich sind, jedoch gleich bleiben.

Die Plattform korreliert schwache Signale über Netzwerke, Endpunkte und Identitäten hinweg, um laterale Bewegungsmuster zu identifizieren, die einzelnen Warnungen möglicherweise entgehen. Durch die Analyse der Beziehungen zwischen Entitäten und ihrer normalen Kommunikationsmuster identifiziert Attack Signal Intelligence anomales Verhalten, das auf Seitwärtsbewegungen hinweist, selbst wenn Angreifer legitime Tools und Protokolle verwenden.

Dieser verhaltensbasierte Ansatz erweist sich als besonders effektiv gegen Living Off the Land -Angriffe, die sich der herkömmlichen Erkennung entziehen. Anstatt nach bestimmten Tools oder Befehlen zu suchen, identifiziert die Plattform die Ergebnisse von Seitwärtsbewegungen - ungewöhnliche Kontonutzung, atypische Systemzugriffsmuster und anormale Datenströme. Diese Methode ermöglicht die Erkennung sowohl bekannter als auch unbekannter Lateral Movement-Techniken und bietet Schutz vor sich weiterentwickelnden Angriffsmethoden.

Künftige Trends und neue Überlegungen

Die Landschaft der lateralen Bewegungen wird in den nächsten 12 bis 24 Monaten einen bedeutenden Wandel erfahren, da sowohl Angreifer als auch Verteidiger neue Technologien nutzen werden. Künstliche Intelligenz revolutioniert sowohl die Angriffs- als auch die Verteidigungsfähigkeiten, wobei ML-gestützte Angriffstools automatisch Möglichkeiten für laterale Bewegungen identifizieren und ausnutzen, während defensive KI bei der Verhaltenserkennung immer ausgefeilter wird.

Die zunehmende Verbreitung von IoT- und Edge-Computing-Geräten vergrößert die Angriffsfläche exponentiell. Jedes angeschlossene Gerät stellt einen potenziellen Dreh- und Angelpunkt für seitliche Bewegungen dar, insbesondere in Produktions- und Gesundheitsumgebungen, in denen die IT/OT-Konvergenz weiter voranschreitet. Gartner prognostiziert, dass bis 2026 60 % der Unternehmen durch IoT-Geräte angegriffen werden, gegenüber 15 % im Jahr 2024. Unternehmen müssen ihre Abwehrmaßnahmen gegen Seitwärtsbewegungen erweitern, um diese nicht traditionellen Endpunkte zu erfassen.

Quantenresistente Kryptografie wird die Authentifizierung und die laterale Bewegung auf überraschende Weise neu gestalten. Während sich Unternehmen durch die Implementierung neuer kryptografischer Standards auf Bedrohungen durch Quantencomputer vorbereiten, entstehen in der Übergangsphase Schwachstellen. Angreifer erbeuten bereits verschlüsselte Anmeldedaten, um sie später zu entschlüsseln, und die gemischte kryptografische Umgebung während der Migration wird neue Vektoren für laterale Bewegungen durch Protokoll-Downgrade-Angriffe schaffen.

Der Druck von Seiten der Regulierungsbehörden nimmt weiter zu: Die NIS2-Richtlinie der EU und die bevorstehenden Anforderungen der US-Bundesbehörden befassen sich ausdrücklich mit der Prävention von Lateral Movements. Unternehmen müssen mit Bußgeldern von bis zu 2 % des weltweiten Umsatzes rechnen, wenn sie ihr Netzwerk nicht angemessen segmentieren und gegen Seitwärtsbewegungen schützen. Der Schwerpunkt der Vorschriften verlagert sich von der grundlegenden Einhaltung der Vorschriften auf die nachgewiesene Widerstandsfähigkeit gegen ausgeklügelte Angriffe mit seitlichen Bewegungen.

Die Sicherheit der Lieferkette erweist sich als kritischer Vektor für seitliche Bewegungen, insbesondere durch Software-Abhängigkeiten und die Integration von Drittanbietern. Die Prognose für das Jahr 2025 zeigt, dass 40 % der Sicherheitsverletzungen über Verbindungen in der Lieferkette erfolgen werden. Unternehmen müssen die zero trust auf den Zugang zu Anbietern ausweiten und eine strikte Segmentierung zwischen den Verbindungen von Drittanbietern und der Kerninfrastruktur vornehmen.

Die Investitionsprioritäten für die nächsten 24 Monate sollten sich auf identitätszentrierte Sicherheitskontrollen konzentrieren, da 80 % der Seitwärtsbewegungen auf kompromittierte Anmeldedaten zurückgehen. Unternehmen sollten der passwortlosen Authentifizierung, der kontinuierlichen Identitätsüberprüfung und der Verwaltung privilegierter Zugriffe Priorität einräumen. Darüber hinaus werden automatisierte Reaktionsmöglichkeiten unverzichtbar, da sich die Angriffsgeschwindigkeit weiter beschleunigt und menschliche Reaktionszeiten nicht mehr ausreichen, um Seitwärtsbewegungen einzudämmen.

Schlussfolgerung

Seitliche Bewegungen haben sich von einer technischen Kuriosität zur entscheidenden Herausforderung der modernen Cybersicherheit entwickelt. Die Statistiken zeichnen ein klares Bild: Fast 90 % der Unternehmen sind mit dieser Bedrohung konfrontiert, Angriffe können sich in weniger als einer Stunde ausbreiten, und der durchschnittliche Verstoß kostet weltweit 4,44 Millionen Dollar. Doch diese Zahlen erzählen nur einen Teil der Geschichte. Die wirkliche Bedeutung liegt in der grundlegenden Veränderung, die die seitliche Bewegung darstellt - von der Verhinderung von Sicherheitsverletzungen zur Annahme von Kompromittierungen und zur Begrenzung des Schadens.

Die Techniken und Tools werden sich weiter entwickeln, aber die Grundsätze einer effektiven Verteidigung bleiben konstant. Unternehmen müssen zero trust einführen, die implizites Vertrauen eliminieren, Mikrosegmentierung implementieren, um die Ausbreitung von Angriffen zu begrenzen, und Verhaltenserkennung einsetzen, die Angriffe unabhängig von den verwendeten Tools identifiziert. Die nachweisliche Verringerung erfolgreicher Angriffe und die deutliche Senkung der Kosten für Sicherheitsverletzungen zeigen, dass diese Investitionen messbare Ergebnisse liefern.

Sicherheitsverantwortliche stehen vor einer klaren Entscheidung: Entweder sie versuchen weiterhin, mit immer raffinierteren Angreifern mitzuhalten, oder sie müssen ihre Sicherheitsarchitektur für eine Welt, in der Seitwärtsbewegungen nicht nur möglich, sondern wahrscheinlich sind, grundlegend neu konzipieren. Erfolgreich werden die Unternehmen sein, die diese Realität akzeptieren und widerstandsfähige Abwehrmechanismen aufbauen, die Seitwärtsbewegungen eindämmen und erkennen, bevor katastrophale Schäden entstehen.

Sind Sie bereit, Ihren Ansatz zur Erkennung von Querbewegungen zu verändern? Erfahren Sie, wie die Attack Signal Intelligence von Vectra AI AI laterale Bewegungen in Ihrer Umgebung identifizieren und stoppen kann, unabhängig von den Techniken, die Angreifer verwenden.

Sources and methodology

The insights referenced in this guide are based on publicly available threat intelligence research and defensive guidance that analyze real-world attack behavior and detection practices.

These sources synthesize incident investigations, security telemetry analysis, and defensive best practices observed across enterprise environments.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Lateral Movement und Privilegieneskalation?

Seitliche Bewegung und Privilegienerweiterung dienen unterschiedlichen Zwecken in der Angriffskette, obwohl Angreifer sie oft kombinieren, um maximale Wirkung zu erzielen. Bei der lateralen Bewegung geht es darum, sich horizontal über Systeme auszubreiten und dabei dieselbe Berechtigungsstufe beizubehalten - wie ein normaler Benutzer, der auf mehrere Arbeitsstationen zugreift, auf denen er Standardberechtigungen hat. Das Ziel des Angreifers ist die Erkundung, das Ausharren und der Zugriff auf wertvolle Daten, ohne dass Sicherheitswarnungen ausgelöst werden, die bei Versuchen, die Berechtigungen zu erhöhen, auftreten könnten.

Bei der Eskalation von Berechtigungen geht es dagegen um das vertikale Aufsteigen in der Berechtigungshierarchie. Ein Angreifer nutzt Schwachstellen, Fehlkonfigurationen oder gestohlene Anmeldedaten aus, um Zugriff auf Administrator-, Root- oder Systemebene zu erhalten. Diese Erhöhung der Rechte findet auf einem einzigen System statt und verschafft dem Angreifer Fähigkeiten, die er zuvor nicht besaß.

Die Techniken wirken bei echten Angriffen synergetisch zusammen. Angreifer bewegen sich in der Regel seitlich mit Standard-Benutzeranmeldeinformationen, bis sie ein System finden, das für eine Ausweitung der Berechtigungen anfällig ist. Sobald sie erhöhte Privilegien erlangt haben, können sie sich seitlich mit größerer Freiheit bewegen und auf sensiblere Systeme zugreifen. Die Volt Typhoon war ein Beispiel für dieses Muster: Sie behielt monatelang den Zugriff auf Benutzerebene bei, während sie sich seitlich bewegte und die Privilegien nur dann erweiterte, wenn bestimmte Ziele einen administrativen Zugriff erforderten. Das Verständnis dieser Beziehung hilft den Sicherheitsteams zu erkennen, dass es nicht ausreicht, sich nur gegen eine Technik zu verteidigen - für eine umfassende Sicherheit müssen sowohl die seitlichen als auch die vertikalen Bewegungspfade berücksichtigt werden.

Wie schnell können sich Angreifer seitlich durch ein Netz bewegen?

Die Geschwindigkeit der lateralen Bewegung hat sich mit der jüngsten Entwicklung der Angriffe dramatisch beschleunigt. Aktuelle Daten aus den Jahren 2024-2025 zeigen, dass sich die Angriffe im Durchschnitt innerhalb von 48 Minuten nach der ersten Kompromittierung ausbreiten, während die schnellsten beobachteten Angriffe eine vollständige Netzwerkausbreitung in nur 18 Minuten erreichen. Die um KI-Funktionen erweiterte ransomware LockBit 4.0 demonstrierte diese extreme Geschwindigkeit, indem sie bei mehreren Vorfällen im Jahr 2025 in weniger als 20 Minuten vom ersten Zugriff bis zur vollständigen Verschlüsselung des Netzwerks vordrang.

Diese Zeitspannen variieren erheblich und hängen von mehreren Faktoren ab. Die Raffinesse und Vorbereitung des Angreifers spielen eine entscheidende Rolle: Nationale Akteure wie Volt Typhoon bewegen sich oft langsam und absichtlich über Monate hinweg, um nicht entdeckt zu werden, während ransomware der Geschwindigkeit den Vorzug vor der Heimlichkeit geben. Auch die Netzwerkarchitektur wirkt sich auf die Geschwindigkeit aus. Flache Netzwerke mit minimaler Segmentierung ermöglichen eine schnelle Ausbreitung, während richtig segmentierte Umgebungen mit zero trust die Ausbreitung verlangsamen oder ganz stoppen können.

Die wichtigste Variable ist der Reifegrad der Sicherheit der Zielumgebung. Unternehmen mit starken Identitätskontrollen, Netzwerksegmentierung und Verhaltenserkennung können die Zeit für laterale Bewegungen von Minuten auf Stunden oder Tage verlängern, was eine entscheidende Reaktionszeit bedeutet. Umgekehrt ermöglichen Umgebungen mit übermäßigen Privilegien, ungepatchten Systemen und schlechter Sichtbarkeit eine nahezu sofortige Bewegung. Die CrowdStrike 1-10-60-Regel bietet einen praktischen Rahmen: Erkennen von Eindringlingen innerhalb von 1 Minute, Verstehen der Bedrohung innerhalb von 10 Minuten und Reagieren innerhalb von 60 Minuten, um der Geschwindigkeit moderner lateraler Bewegungen voraus zu sein.

Welches sind die gängigsten seitlichen Bewegungstechniken?

Angreifer verlassen sich immer wieder auf mehrere bewährte Lateral Movement-Techniken, die legitime Windows-Funktionen und -Protokolle ausnutzen. Pass the Hash (T1550.002) ist nach wie vor verheerend effektiv und ermöglicht es Angreifern, sich mit gestohlenen NTLM-Hashes zu authentifizieren, ohne die tatsächlichen Kennwörter zu kennen. Diese Technik kommt in über 60 % der Fälle von Domänenkompromittierungen vor, da sie herkömmliche Kennwortkontrollen umgeht und sogar mit starken, komplexen Kennwörtern funktioniert.

Der Missbrauch des Remote-Desktop-Protokolls (T1021.001) ermöglicht einen interaktiven Zugriff, der die Aktivitäten eines legitimen Administrators perfekt imitiert. Angreifer nutzen RDP sowohl für laterale Bewegungen als auch für dauerhaften Zugriff und halten Sitzungen oft wochenlang aufrecht, während sie als normale Fernverwaltung erscheinen. Die Allgegenwärtigkeit des Protokolls in Unternehmensumgebungen und die Schwierigkeit, böswillige von legitimer Nutzung zu unterscheiden, machen es zu einem attraktiven Angriffsziel.

Living Off the Land "-Taktiken dominieren moderne laterale Bewegungen, wobei PowerShell in 71 % der LOTL-Angriffe vorkommt. Angreifer verwenden native Windows-Tools wie WMI, geplante Aufgaben und die Erstellung von Diensten, um sich zwischen Systemen zu bewegen, ohne eigene malware zu installieren. Diese Techniken umgehen herkömmliche Antivirenprogramme und erschweren die forensische Analyse, da die Tools selbst legitim sind. Die Kombination von PowerShell-Remoting mit Tools wie PsExec oder WMI bietet leistungsstarke, flexible Möglichkeiten für laterale Bewegungen, die sich an die Verteidigungskontrollen anpassen. Sicherheitsteams müssen sich auf die Erkennung von Verhaltensmustern und nicht auf spezifische Tools konzentrieren, da die Angreifer ihre Techniken ständig weiterentwickeln und dabei dieselben grundlegenden Ansätze beibehalten.

Können seitliche Bewegungen in cloud auftreten?

Cloud sind mit einzigartigen und sich weiterentwickelnden Risiken für laterale Bewegungen konfrontiert, die sich deutlich von herkömmlichen Angriffen vor Ort unterscheiden. Angreifer nutzen Schwachstellen in Container-Laufzeiten oder Orchestrierungsplattformen aus, um Isolationsgrenzen zu überwinden. Der 34-prozentige Anstieg von Container-basierten Lateral Movement-Angriffen im Jahr 2025 zeigt, wie sich Angreifer an cloud Architekturen angepasst haben. Kubernetes-Umgebungen sind durch den Missbrauch von Service-Account-Token besonders gefährdet, da die Kompromittierung eines einzelnen Pods mit übermäßigen Berechtigungen eine clusterweite Seitwärtsbewegung über die Kubernetes-API ermöglicht.

Der Missbrauch von Cloud und verwalteten Identitäten schafft leistungsstarke laterale Bewegungspfade über cloud . In AWS nutzen Angreifer die IAM-Rollenverkettung, um zwischen Konten und Diensten zu wechseln und die Vertrauensbeziehungen auszunutzen, die die cloud ermöglichen. Azure Service Principals bieten ähnliche Möglichkeiten, wobei kompromittierte Anwendungen die ihnen zugewiesenen Berechtigungen nutzen, um auf Ressourcen in verschiedenen Abonnements zuzugreifen. Die programmatische Natur dieser Identitäten erschwert die Erkennung, da die bösartigen Aktivitäten identisch mit legitimer Automatisierung erscheinen.

Serverlose Architekturen bieten durch Funktionsverkettungen und ereignisgesteuerte Auslöser subtile Vektoren für seitliche Bewegungen. Angreifer kompromittieren eine Lambda-Funktion oder Azure Function und verwenden dann deren Ausführungskontext, um andere Funktionen aufzurufen, auf Datenbanken zuzugreifen oder Speicherdienste zu manipulieren. Die kurzlebige Natur der serverlosen Ausführung erschwert die Erkennung und Forensik. cloud verschlimmern diese Herausforderungen, da Angreifer die Konnektivität zwischen den Clouds ausnutzen, um sich seitlich über verschiedene Anbieter hinweg zu bewegen und dabei häufig Sicherheitskontrollen zu umgehen, die sich auf Bedrohungen in cloud einzigen Cloud konzentrieren.

Welche Windows-Ereignis-IDs weisen auf eine seitliche Bewegung hin?

Windows-Ereignis-IDs liefern wichtige Telemetriedaten für die Erkennung von Seitwärtsbewegungen, aber für eine wirksame Erkennung müssen mehrere Ereignisse miteinander korreliert werden, anstatt bei einzelnen IDs eine Warnung auszulösen. Die Ereignis-ID 4624 (Erfolgreiche Anmeldung) bildet die Grundlage für die Erkennung von Seitwärtsbewegungen, insbesondere für die Ereignisse des Anmeldetyps 3 (Netzwerkanmeldung) und des Typs 10 (Remote Interactive). Sequentielle Anmeldungen des Typs 3 über mehrere Systeme hinweg innerhalb von Minuten, insbesondere von Servicekonten oder nach Geschäftsschluss, deuten stark auf Seitwärtsbewegungen hin. In Kombination mit der Analyse der Quell-IP und der Kontonutzungsmuster zeigen 4624 Ereignisse die Bewegungspfade der Angreifer durch das Netzwerk auf.

Die Ereignis-ID 4625 (Fehlgeschlagene Anmeldung) zeigt, dass die Erkundung und das Erraten von Anmeldeinformationen oft einer erfolgreichen Seitwärtsbewegung vorausgehen. Mehrere 4625-Ereignisse, gefolgt von einem erfolgreichen 4624-Ereignis, deuten auf Passwort-Spraying oder Brute-Force-Versuche hin. Das Muster der Fehlversuche auf mehreren Zielsystemen von einer einzigen Quelle aus deutet insbesondere auf automatisierte Tools für Seitwärtsbewegungen hin. Die Ereignis-ID 4648 (Explicit Credential Usage) ist von unschätzbarem Wert für die Erkennung von Pass the Hash und den Diebstahl von Anmeldedaten, da sie ausgelöst wird, wenn Prozesse andere Anmeldedaten als der angemeldete Benutzer verwenden.

Die Ereignis-ID 4769 (Kerberos Service Ticket Request) hilft bei der Identifizierung von Pass the Ticket-Angriffen und der Verwendung von Golden Tickets. Ungewöhnliche Service-Ticket-Anforderungen, insbesondere für Dienste mit hohen Rechten von Systemen, die diese normalerweise nicht anfordern, erfordern eine sofortige Untersuchung. Eine wirksame Erkennung erfordert Korrelationsregeln, die diese Ereignisse mit der Analyse des Netzwerkverkehrs und den Ereignissen zur Prozesserstellung (4688) kombinieren. Beispielsweise deuten 4648-Ereignisse, die unmittelbar von 4624-Ereignissen des Typs 3 gefolgt werden, stark auf Pass the Hash-Angriffe hin, während ungewöhnliche Muster von 4769-Ereignissen in Verbindung mit der Erstellung von Diensten auf Silver Ticket-Angriffe hindeuten könnten.

Wie verhindert die zero trust eine Seitwärtsbewegung?

Die Zero trust verändert die Netzwerksicherheit grundlegend, indem sie das implizite Vertrauen beseitigt, das laterale Bewegungen ermöglicht. Herkömmliche Perimeter-basierte Sicherheit geht davon aus, dass Benutzer und Geräte innerhalb des Netzwerks vertrauenswürdig sind und erlaubt einen breiten Zugriff, sobald sie authentifiziert sind. Zero trust hebt diese Annahme auf und erfordert eine kontinuierliche Überprüfung für jede Verbindung, unabhängig vom Standort der Quelle oder einer vorherigen Authentifizierung. Dieser Ansatz wirkt lateralen Bewegungen direkt entgegen, da Angreifer gezwungen sind, sich bei jedem Schritt zu authentifizieren, was das Risiko einer Entdeckung drastisch erhöht.

Die Umsetzung von zero trust schafft mehrere Barrieren für laterale Bewegungen. Die Mikrosegmentierung unterteilt das Netzwerk in granulare Zonen mit strengen Zugriffskontrollen zwischen diesen Zonen und schränkt so die Möglichkeiten eines Angreifers ein, sich selbst mit gültigen Anmeldedaten auszubreiten. Identitätsbasierte Richtlinien stellen sicher, dass der Zugriff nicht nur von den Anmeldeinformationen, sondern auch vom Benutzerverhalten, dem Zustand des Geräts und kontextbezogenen Faktoren wie Standort und Zeit abhängt. Der Zugriff mit minimalen Rechten stellt sicher, dass Benutzer und Anwendungen nur auf Ressourcen zugreifen, die für ihre Funktion erforderlich sind, und reduziert so die Angriffsfläche für seitliche Bewegungen.

Ergebnisse aus der Praxis belegen die Wirksamkeit von zero trust im Kampf gegen Seitwärtsbewegungen. Unternehmen, die umfassende zero trust implementieren, berichten von 67 % weniger erfolgreichen Angriffen und einer 90 %igen Verringerung der Vorfälle mit Quereinsteigern. Der Ansatz erweist sich als besonders effektiv gegen Living Off the Land -Angriffe, die legitime Tools missbrauchen, da Verhaltensanalysen anomale Nutzungsmuster unabhängig von den verwendeten Tools erkennen. Wenn es doch einmal zu einem Einbruch kommt, reduzieren zero trust die Einbruchskosten erheblich, indem sie den Explosionsradius begrenzen und Angreifer daran hindern, wichtige Anlagen zu erreichen.

Welche finanziellen Auswirkungen haben Angriffe mit Seitwärtsbewegungen?

Die finanziellen Folgen von Angriffen durch Seitwärtsbewegungen bleiben auch im Jahr 2025 schwerwiegend. Der IBM Cost of Data Breach Report zeigt, dass sich die durchschnittlichen Kosten für Data Breach weltweit auf 4,44 Millionen US-Dollar belaufen. Unternehmen, die von Angriffen durch Seitwärtsbewegungen betroffen sind, sehen sich mit zusätzlichen Kosten konfrontiert, die durch schnellere Angriffsgeschwindigkeiten und ausgefeiltere Techniken verursacht werden, die das Ausmaß des Verstoßes vor der Entdeckung erweitern. Die Kosten umfassen die unmittelbare Reaktion auf den Vorfall, die Unterbrechung des Geschäftsbetriebs während der Wiederherstellung, behördliche Strafen, Anwaltskosten und langfristige Reputationsschäden, die sich auf die Kundengewinnung und -bindung auswirken.

Die branchenspezifischen Auswirkungen sind je nach Sensibilität der Daten und gesetzlichen Vorschriften sehr unterschiedlich. Unternehmen des Gesundheitswesens sind mit besonders hohen Kosten konfrontiert, da die Kosten für Datenschutzverletzungen in diesem Sektor laut einer IBM-Studie regelmäßig 10 Millionen US-Dollar übersteigen. Der ransomware auf Change Healthcare ist ein Beispiel dafür. Er führte zu einer Lösegeldzahlung in Höhe von 22 Millionen US-Dollar und massiven Betriebsunterbrechungen, von denen Millionen von Patienten betroffen waren. Finanzdienstleistungen sind am schnellsten von Angriffen mit seitlichen Bewegungen betroffen, die kritische Systeme in durchschnittlich 31 Minuten erreichen, was zu einer Überprüfung durch die Aufsichtsbehörden und zu Strafen für die Einhaltung von Vorschriften führt, die oft die direkten Kosten für die Sicherheitsverletzung übersteigen.

Die Investitionsrendite für die Prävention von Seitwärtsbewegungen ist in allen Branchen überzeugend. Unternehmen, die umfassende Präventionsstrategien, einschließlich zero trust und Mikrosegmentierung, implementieren, berichten von einem erheblichen ROI durch geringere Kosten für Sicherheitsverletzungen und betriebliche Verbesserungen. Diese Kontrollen verhindern nicht nur Sicherheitsverletzungen, sondern reduzieren auch die Kosten, wenn es zu Sicherheitsverletzungen kommt, indem sie die Ausbreitung von Angreifern begrenzen. Eine schnellere Erkennung und Eindämmung minimiert Geschäftsunterbrechungen, während Unternehmen auch von dem Wettbewerbsvorteil einer nachgewiesenen Sicherheitsresistenz profitieren, da Kunden bei der Auswahl von Anbietern zunehmend die Sicherheitslage bewerten.

Welche Rolle spielt die threat hunting bei der Aufdeckung von Seitwärtsbewegungen?

Bei der Threat hunting geht es um die proaktive Suche nach Cyber-Bedrohungen, die sich den bestehenden Sicherheitsmaßnahmen entziehen, einschließlich Anzeichen für seitliche Bewegungen. Erfahrene Bedrohungsjäger können subtile Anzeichen für eine Kompromittierung erkennen und dabei helfen, heimliche Angreiferbewegungen innerhalb des Netzwerks aufzudecken und zu bekämpfen.

Wie können Unternehmen ihre Abwehrmaßnahmen gegen Seitwärtsbewegungen verbessern?

Unternehmen können ihren Schutz verbessern, indem sie in fortschrittliche Cybersecurity-Tools investieren, eine ganzheitliche Sicherheitsstrategie einführen, die regelmäßige Sicherheitsbewertungen, Bedrohungsdaten, einen robusten endpoint und die Förderung einer Kultur des Sicherheitsbewusstseins bei allen Mitarbeitern umfasst.

Welche zukünftigen Entwicklungen sind zu erwarten, um den Schutz gegen seitliche Bewegungen zu verbessern?

Künftige Entwicklungen könnten Fortschritte bei der KI und bei Technologien des maschinellen Lernens zur besseren Erkennung anormaler Aktivitäten, eine breitere Einführung von zero trust und einen verbesserten Austausch von Bedrohungsdaten zwischen Organisationen umfassen, um Taktiken der Querbewegung effektiver zu erkennen und zu entschärfen.