Laterale Bewegung

Der erste Einbruch in ein Netzwerk ist für Angreifer selten das eigentliche Ziel. Ein kompromittierter Büro-PC oder ein erbeutetes Passwort hat zunächst wenig Wert. Der große Schaden entsteht danach: wenn sich Angreifer unbemerkt von System zu System vorarbeiten, Administratorrechte erlangen und schließlich Datenbanken, Backups oder Produktionssteuerungen erreichen.

Diese Phase heißt laterale Bewegung, im Englischen Lateral Movement. Sie entscheidet darüber, ob aus einem begrenzten Vorfall ein unternehmensweiter Notfall wird. Wer laterale Bewegung versteht und erschwert, nimmt Angriffen wie Ransomware einen großen Teil ihrer Wirkung.

Was ist laterale Bewegung?

Laterale Bewegung bezeichnet alle Techniken, mit denen Angreifer sich innerhalb eines bereits kompromittierten Netzwerks ausbreiten. Der Begriff beschreibt die Richtung des Vorgehens: Nach dem Erstzugriff bewegt sich der Angreifer seitwärts durch die Umgebung, von einem eher unwichtigen Einstiegspunkt zu immer wertvolleren Zielen.

Typisch ist die Kombination aus Erkundung und Rechteausweitung. Auf jedem erreichten System sammeln Angreifer Informationen und Zugangsdaten, mit denen sie den nächsten Schritt gehen. Moderne Angriffsgruppen nutzen dafür bevorzugt legitime Administrationswerkzeuge und reguläre Anmeldungen. Dieses Vorgehen wird als Living off the Land bezeichnet und ist für klassische Schutzsoftware schwer zu erkennen, weil kein offensichtlicher Schadcode ausgeführt wird.

Das Framework MITRE ATT&CK führt laterale Bewegung als eigene Angriffstaktik mit dokumentierten Techniken, darunter die Nutzung von Remote-Desktop-Verbindungen, administrativen Freigaben und gestohlenen Anmeldetickets.

So funktioniert es

Ein typischer Angriff folgt einem wiederkehrenden Muster:

  1. Erkundung des Netzwerks: Vom ersten kompromittierten System aus untersucht der Angreifer die Umgebung: Welche Systeme sind erreichbar, welche Dienste laufen, wo liegen Freigaben und Verzeichnisdienste?
  2. Diebstahl von Zugangsdaten: Aus dem Arbeitsspeicher, aus Konfigurationsdateien oder über ausgelesene Passwort-Hashes gewinnt der Angreifer weitere Anmeldedaten, im besten Fall die eines Administrators.
  3. Anmeldung am nächsten System: Mit den erbeuteten Zugangsdaten meldet sich der Angreifer regulär an weiteren Systemen an, häufig über Remote-Desktop, administrative Freigaben oder Fernwartungswerkzeuge.
  4. Rechteausweitung: Auf jedem neuen System sucht der Angreifer nach Wegen zu höheren Berechtigungen, bis hin zur zentralen Verwaltung der gesamten Umgebung.
  5. Wiederholung bis zum Ziel: Diese Schritte wiederholen sich, bis das eigentliche Ziel erreicht ist: sensible Datenbanken, zentrale Dateiablagen, Backup-Systeme oder die Infrastruktur zur flächigen Verteilung von Ransomware.

Zwei Voraussetzungen machen dieses Vorgehen so wirksam: flache Netzwerke, in denen fast jedes System jedes andere erreichen kann, und großzügig vergebene Berechtigungen, die jedes erbeutete Konto wertvoll machen.

Warum der Schutz vor lateraler Bewegung wichtig ist

  • Hier entscheidet sich das Schadensausmaß: Ob ein Vorfall einen einzelnen Rechner betrifft oder das ganze Unternehmen lahmlegt, hängt vor allem davon ab, wie weit sich der Angreifer ausbreiten konnte.
  • Ransomware braucht Reichweite: Erpressergruppen wollen möglichst viele Systeme gleichzeitig verschlüsseln, einschließlich der Backups. Ohne laterale Bewegung bleibt ihr Druckmittel klein.
  • Angriffe bleiben lange unentdeckt: Angreifer halten sich oft über Wochen in Netzwerken auf, bevor sie zuschlagen. In dieser Zeit findet vor allem laterale Bewegung statt, die ohne passende Kontrollen kaum auffällt.
  • Legitime Werkzeuge tarnen den Angriff: Weil Angreifer reguläre Anmeldungen und vorhandene Administrationswerkzeuge nutzen, greifen rein signaturbasierte Schutzmechanismen zu kurz. Auffällig ist vor allem Kommunikation zwischen Systemen, die fachlich nichts miteinander zu tun haben.
  • Compliance fordert Eindämmung: Rahmenwerke wie NIS2 und ISO 27001 verlangen Maßnahmen, die die Ausbreitung von Vorfällen begrenzen. Der Nachweis gelingt über Segmentierung und kontrollierte interne Kommunikation.

Typische Anwendungsfälle

  • Ransomware im Mittelstand: Nach einer Phishing-Mail übernimmt der Angreifer einen Arbeitsplatzrechner, erbeutet Administratorzugänge und verschlüsselt Wochen später Server und Backups gleichzeitig. Der Weg dorthin besteht fast vollständig aus lateraler Bewegung.
  • Produktion und OT: Gelangt ein Angreifer vom Büronetz in das Produktionsnetz, drohen Stillstand und Sachschäden. Die Übergänge zwischen IT und OT sind deshalb die wichtigste Stelle, um laterale Bewegung zu stoppen.
  • Krankenhäuser und kritische Infrastruktur: Medizingeräte und Verwaltungssysteme teilen sich historisch oft dasselbe Netzwerk. Angreifer nutzen diese Nähe, um von unauffälligen Systemen zu patientenkritischen vorzudringen.
  • Kompromittierte Fernzugänge: Ein erbeutetes VPN-Konto, etwa das eines Dienstleisters, öffnet häufig den Blick auf große Netzwerkbereiche. Von dort beginnt die systematische Ausbreitung in Richtung zentraler Systeme.

Laterale Bewegung und Erstzugriff: der Unterschied

Der Erstzugriff, im Englischen Initial Access, ist der Moment, in dem Angreifer erstmals in ein Netzwerk gelangen, etwa über Phishing, eine ungepatchte Schwachstelle oder gekaufte Zugangsdaten. Laterale Bewegung beginnt danach: Sie umfasst alles, was Angreifer unternehmen, um sich vom Einstiegspunkt aus auszubreiten und ihre Position auszubauen.

Für die Verteidigung ist diese Unterscheidung zentral, weil beide Phasen unterschiedliche Gegenmaßnahmen erfordern. Den Erstzugriff erschweren E-Mail-Sicherheit, Patch-Management, Multi-Faktor-Authentifizierung und der Schutz öffentlich erreichbarer Anwendungen, etwa durch eine Web Application Firewall . Gegen laterale Bewegung helfen Segmentierung, restriktiv vergebene Berechtigungen und die Überwachung interner Verbindungen.

Vollständig verhindern lässt sich der Erstzugriff erfahrungsgemäß nie. Eine belastbare Sicherheitsstrategie akzeptiert das und sorgt dafür, dass ein einzelner kompromittierter Rechner folgenlos bleibt. Genau an dieser Stelle setzen Zero-Trust-Konzepte und Mikrosegmentierung an.

Schutz vor lateraler Bewegung bei KAEMI

KAEMI unterstützt Unternehmen dabei, laterale Bewegung sichtbar zu machen und wirksam einzudämmen. Mit Zero-Trust-Mikrosegmentierung auf Basis von Illumio visualisieren wir die Kommunikation zwischen Ihren Systemen und setzen Richtlinien durch, die Angreifern die Seitwärtsbewegung nehmen. Ergänzend begrenzt Zero Trust Network Access den Fernzugriff auf einzelne Anwendungen statt auf das ganze Netzwerk. Gern zeigen wir Ihnen in einem Gespräch, wie beides in Ihrer Umgebung zusammenwirkt.

Häufige Fragen zu Laterale Bewegung

Wie erkennen Unternehmen laterale Bewegung im eigenen Netzwerk?

Auffällig sind Verbindungen zwischen Systemen, die fachlich nichts miteinander zu tun haben, Anmeldungen zu ungewöhnlichen Zeiten und die plötzliche Nutzung administrativer Werkzeuge auf normalen Arbeitsplätzen. Voraussetzung ist Sichtbarkeit: Wer die interne Kommunikation nicht beobachtet, bemerkt die Ausbreitung meist erst bei der Verschlüsselung. Werkzeuge zur Mikrosegmentierung liefern dafür eine Karte aller Kommunikationsbeziehungen.

Welche Rolle spielt laterale Bewegung bei Ransomware?

Eine zentrale. Moderne Ransomware-Gruppen verschlüsseln selten nur den ersten infizierten Rechner. Sie breiten sich zunächst aus, übernehmen zentrale Verwaltungssysteme und deaktivieren Backups. Erst wenn genug Systeme unter Kontrolle sind, startet die Verschlüsselung überall gleichzeitig. Wer die Ausbreitung früh stoppt, verhindert den flächendeckenden Stillstand und behält funktionsfähige Wiederherstellungspunkte.

Verhindert ein Virenscanner laterale Bewegung?

Nur eingeschränkt. Angreifer nutzen für die Ausbreitung bevorzugt legitime Anmeldedaten und vorhandene Administrationswerkzeuge, also Aktivitäten, die für Endpunktschutz zunächst normal aussehen. Endpoint-Lösungen erkennen Teile des Vorgehens, etwa das Auslesen von Zugangsdaten. Wirksamer ist die Kombination: Endpunktschutz plus Segmentierung, restriktive Berechtigungen und Multi-Faktor-Authentifizierung, damit erbeutete Konten möglichst wenig Reichweite haben.

Was ist der wirksamste Schutz gegen laterale Bewegung?

Die größte Wirkung erzielt Segmentierung: Wenn Systeme ausschließlich mit den Gegenstellen kommunizieren dürfen, die sie fachlich benötigen, verlieren Angreifer ihre Bewegungsfreiheit. Ergänzend wirken Multi-Faktor-Authentifizierung, sparsam vergebene Administratorrechte und getrennte Konten für administrative Aufgaben. Mikrosegmentierung setzt diese Kontrolle bis auf einzelne Server und Anwendungen um und gilt deshalb als Kernbaustein von Zero-Trust-Architekturen.

Betrifft laterale Bewegung auch Cloud-Umgebungen?

Ja. In der Cloud bewegen sich Angreifer über kompromittierte Zugangsschlüssel, zu weit gefasste Rollen und Verbindungen zwischen Diensten. Das Prinzip bleibt gleich. Hybride Umgebungen sind besonders betroffen, weil Angreifer zwischen Rechenzentrum und Cloud wechseln können. Einheitliche Richtlinien für Berechtigungen und Kommunikation über alle Umgebungen hinweg sind deshalb wichtiger Bestandteil der Abwehr.

Wie sieht das im eigenen Netzwerk aus? Sprechen Sie mit KAEMI: Wir planen, bauen und betreiben die passende Lösung mit Ihnen.