Der erste Einbruch in ein Netzwerk ist für Angreifer selten das eigentliche Ziel. Ein kompromittierter Büro-PC oder ein erbeutetes Passwort hat zunächst wenig Wert. Der große Schaden entsteht danach: wenn sich Angreifer unbemerkt von System zu System vorarbeiten, Administratorrechte erlangen und schließlich Datenbanken, Backups oder Produktionssteuerungen erreichen.
Diese Phase heißt laterale Bewegung, im Englischen Lateral Movement. Sie entscheidet darüber, ob aus einem begrenzten Vorfall ein unternehmensweiter Notfall wird. Wer laterale Bewegung versteht und erschwert, nimmt Angriffen wie Ransomware einen großen Teil ihrer Wirkung.
Was ist laterale Bewegung?
Laterale Bewegung bezeichnet alle Techniken, mit denen Angreifer sich innerhalb eines bereits kompromittierten Netzwerks ausbreiten. Der Begriff beschreibt die Richtung des Vorgehens: Nach dem Erstzugriff bewegt sich der Angreifer seitwärts durch die Umgebung, von einem eher unwichtigen Einstiegspunkt zu immer wertvolleren Zielen.
Typisch ist die Kombination aus Erkundung und Rechteausweitung. Auf jedem erreichten System sammeln Angreifer Informationen und Zugangsdaten, mit denen sie den nächsten Schritt gehen. Moderne Angriffsgruppen nutzen dafür bevorzugt legitime Administrationswerkzeuge und reguläre Anmeldungen. Dieses Vorgehen wird als Living off the Land bezeichnet und ist für klassische Schutzsoftware schwer zu erkennen, weil kein offensichtlicher Schadcode ausgeführt wird.
Das Framework MITRE ATT&CK führt laterale Bewegung als eigene Angriffstaktik mit dokumentierten Techniken, darunter die Nutzung von Remote-Desktop-Verbindungen, administrativen Freigaben und gestohlenen Anmeldetickets.
So funktioniert es
Ein typischer Angriff folgt einem wiederkehrenden Muster:
- Erkundung des Netzwerks: Vom ersten kompromittierten System aus untersucht der Angreifer die Umgebung: Welche Systeme sind erreichbar, welche Dienste laufen, wo liegen Freigaben und Verzeichnisdienste?
- Diebstahl von Zugangsdaten: Aus dem Arbeitsspeicher, aus Konfigurationsdateien oder über ausgelesene Passwort-Hashes gewinnt der Angreifer weitere Anmeldedaten, im besten Fall die eines Administrators.
- Anmeldung am nächsten System: Mit den erbeuteten Zugangsdaten meldet sich der Angreifer regulär an weiteren Systemen an, häufig über Remote-Desktop, administrative Freigaben oder Fernwartungswerkzeuge.
- Rechteausweitung: Auf jedem neuen System sucht der Angreifer nach Wegen zu höheren Berechtigungen, bis hin zur zentralen Verwaltung der gesamten Umgebung.
- Wiederholung bis zum Ziel: Diese Schritte wiederholen sich, bis das eigentliche Ziel erreicht ist: sensible Datenbanken, zentrale Dateiablagen, Backup-Systeme oder die Infrastruktur zur flächigen Verteilung von Ransomware.
Zwei Voraussetzungen machen dieses Vorgehen so wirksam: flache Netzwerke, in denen fast jedes System jedes andere erreichen kann, und großzügig vergebene Berechtigungen, die jedes erbeutete Konto wertvoll machen.
Warum der Schutz vor lateraler Bewegung wichtig ist
- Hier entscheidet sich das Schadensausmaß: Ob ein Vorfall einen einzelnen Rechner betrifft oder das ganze Unternehmen lahmlegt, hängt vor allem davon ab, wie weit sich der Angreifer ausbreiten konnte.
- Ransomware braucht Reichweite: Erpressergruppen wollen möglichst viele Systeme gleichzeitig verschlüsseln, einschließlich der Backups. Ohne laterale Bewegung bleibt ihr Druckmittel klein.
- Angriffe bleiben lange unentdeckt: Angreifer halten sich oft über Wochen in Netzwerken auf, bevor sie zuschlagen. In dieser Zeit findet vor allem laterale Bewegung statt, die ohne passende Kontrollen kaum auffällt.
- Legitime Werkzeuge tarnen den Angriff: Weil Angreifer reguläre Anmeldungen und vorhandene Administrationswerkzeuge nutzen, greifen rein signaturbasierte Schutzmechanismen zu kurz. Auffällig ist vor allem Kommunikation zwischen Systemen, die fachlich nichts miteinander zu tun haben.
- Compliance fordert Eindämmung: Rahmenwerke wie NIS2 und ISO 27001 verlangen Maßnahmen, die die Ausbreitung von Vorfällen begrenzen. Der Nachweis gelingt über Segmentierung und kontrollierte interne Kommunikation.
Typische Anwendungsfälle
- Ransomware im Mittelstand: Nach einer Phishing-Mail übernimmt der Angreifer einen Arbeitsplatzrechner, erbeutet Administratorzugänge und verschlüsselt Wochen später Server und Backups gleichzeitig. Der Weg dorthin besteht fast vollständig aus lateraler Bewegung.
- Produktion und OT: Gelangt ein Angreifer vom Büronetz in das Produktionsnetz, drohen Stillstand und Sachschäden. Die Übergänge zwischen IT und OT sind deshalb die wichtigste Stelle, um laterale Bewegung zu stoppen.
- Krankenhäuser und kritische Infrastruktur: Medizingeräte und Verwaltungssysteme teilen sich historisch oft dasselbe Netzwerk. Angreifer nutzen diese Nähe, um von unauffälligen Systemen zu patientenkritischen vorzudringen.
- Kompromittierte Fernzugänge: Ein erbeutetes VPN-Konto, etwa das eines Dienstleisters, öffnet häufig den Blick auf große Netzwerkbereiche. Von dort beginnt die systematische Ausbreitung in Richtung zentraler Systeme.
Laterale Bewegung und Erstzugriff: der Unterschied
Der Erstzugriff, im Englischen Initial Access, ist der Moment, in dem Angreifer erstmals in ein Netzwerk gelangen, etwa über Phishing, eine ungepatchte Schwachstelle oder gekaufte Zugangsdaten. Laterale Bewegung beginnt danach: Sie umfasst alles, was Angreifer unternehmen, um sich vom Einstiegspunkt aus auszubreiten und ihre Position auszubauen.
Für die Verteidigung ist diese Unterscheidung zentral, weil beide Phasen unterschiedliche Gegenmaßnahmen erfordern. Den Erstzugriff erschweren E-Mail-Sicherheit, Patch-Management, Multi-Faktor-Authentifizierung und der Schutz öffentlich erreichbarer Anwendungen, etwa durch eine Web Application Firewall . Gegen laterale Bewegung helfen Segmentierung, restriktiv vergebene Berechtigungen und die Überwachung interner Verbindungen.
Vollständig verhindern lässt sich der Erstzugriff erfahrungsgemäß nie. Eine belastbare Sicherheitsstrategie akzeptiert das und sorgt dafür, dass ein einzelner kompromittierter Rechner folgenlos bleibt. Genau an dieser Stelle setzen Zero-Trust-Konzepte und Mikrosegmentierung an.
Schutz vor lateraler Bewegung bei KAEMI
KAEMI unterstützt Unternehmen dabei, laterale Bewegung sichtbar zu machen und wirksam einzudämmen. Mit Zero-Trust-Mikrosegmentierung auf Basis von Illumio visualisieren wir die Kommunikation zwischen Ihren Systemen und setzen Richtlinien durch, die Angreifern die Seitwärtsbewegung nehmen. Ergänzend begrenzt Zero Trust Network Access den Fernzugriff auf einzelne Anwendungen statt auf das ganze Netzwerk. Gern zeigen wir Ihnen in einem Gespräch, wie beides in Ihrer Umgebung zusammenwirkt.