Die laterale Bewegung ist der Prozess, mit dem Angreifer tiefer in ein infiziertes Netzwerk vordringen, um weitere Systeme zu kontrollieren oder Zugriff auf sensible Daten und Schwachstellen zu erhalten.
Inhalt
Was ist laterale Bewegung?
Statt sofort auf sensible Daten oder kritische Systeme abzuzielen, nehmen sich Angreifer Zeit, um das Netzwerk zu erkunden, Berechtigungen zu erweitern, hochwertige Ziele zu identifizieren und sich dauerhaft im Netzwerk zu etablieren. Dieser kalkulierte Ansatz kommt bei Advanced Persistent Threats (APTs) und anderen ausgeklügelten Cyberangriffen häufig vor.
Selbst wenn die Sicherheitsverletzung entdeckt wird, kann der Angreifer seine Präsenz aufrechterhalten, um sich lateral innerhalb des Netzwerks zu bewegen und so einer Entdeckung zu entgehen. Wenn es den Angreifern gelingt, sich dauerhaft im Netzwerk zu etablieren und einer Entdeckung zu entgehen, können sie einem Unternehmen durch Ransomware-Angriffe, Datenexfiltration oder Spionage ernsthaften Schaden zufügen.
Klicken Sie hier, um zu verstehen, wie Cyberkriminelle mit ihren Verbrechen davonkommen, wie sie ihre Angriffe starten.
Phasen der lateralen Bewegung
Angriffe mit lateraler Bewegung erfolgen nicht in einem einzigen Schritt. Sie werden sorgfältig in einem mehrstufigen Prozess ausgeführt, um Netzwerke zu infiltrieren und auszunutzen. Im Folgenden sind die typischen Phasen der lateralen Bewegung aufgeführt:
Aufklärung
In der Aufklärungsphase beginnen Angreifer damit, die Architektur des Netzwerks abzubilden, verbundene Geräte zu identifizieren und nach wertvollen Zielen zu suchen. Die Angreifer erkunden und erfassen das Netzwerk, einschließlich der Speicherorte sensibler Daten, Anmeldedaten und Sicherheitskonfigurationen. Dies ist eine entscheidende Phase für die Angreifer. Sie hilft ihnen, die Beziehungen zwischen den Systemen zu verstehen und ihre nächsten Schritte zu planen, ohne als Sicherheitsrisiko entdeckt zu werden.
Erfassung von Zugangsdaten
Sobald die Aufklärung abgeschlossen ist, konzentrieren sich Angreifer häufig darauf, Anmeldedaten wie Benutzernamen, Passwörter oder Passwort-Hashes aus kompromittierten Systemen zu sammeln. Tools zum Auslesen von Anmeldedaten wie Mimikatz oder Brute-Force-Angriffe auf schwache Passwörter sind gängige Methoden, um Zugriff auf Konten mit höheren Berechtigungen zu erhalten. Mit diesen gestohlenen Anmeldedaten können sich Angreifer als legitime Benutzer ausgeben und sich so unbemerkt quer durch das Netzwerk bewegen.
Rechteausweitung
Die Rechteausweitung (Privilege Escalation) umfasst die Ausnutzung von Software-Schwachstellen, Fehlkonfigurationen oder unzureichenden Zugriffskontrollen mit dem Ziel, höherrangige Berechtigungen zu erlangen. Die Angreifer könnten Schwachstellen in einer Anwendung ausnutzen, um sich Administratorrechte zu verschaffen und uneingeschränkten Zugriff auf kritische Systeme zu erhalten. Die Rechteausweitung ist eine entscheidende Phase bei einem Angriff mit lateraler Bewegung. Sie erhöht die Möglichkeiten des Angreifers, tiefer in das Netzwerk vorzudringen, erheblich.
Laterale Bewegung
Sobald Angreifer über ausreichende Anmeldedaten und Berechtigungen verfügen, können sie mit der lateralen Bewegung fortfahren. Dazu gehört das Navigieren von einem System zum anderen innerhalb des Netzwerks, der Zugriff auf Ressourcen und die Vorbereitung der letzten Phasen ihres Angriffs. Außerdem müssen die Angreifer auf Gegenmaßnahmen achten, die ein Sicherheitsteam einsetzen könnte, um die Attacke zu stoppen. Die Angreifer können legitime Tools wie Remote Desktop Protocol (RDP), PowerShell oder Windows Management Instrumentation (WMI) nutzen, um sich in den normalen Betrieb einzufügen und einer Entdeckung zu entgehen. Außerdem können die Angreifer Backdoors installieren oder Persistenzmechanismen einrichten, um den Zugriff auf das Netzwerk aufrechtzuerhalten, selbst wenn ihr ursprünglicher Einstiegspunkt entdeckt und geschlossen wird.
Zielzugriff und Ausführung
Nachdem sie sich lateral bewegt haben, erreichen die Angreifer ihre Zielsysteme, auf denen möglicherweise sensible Daten, geistiges Eigentum oder kritische Infrastruktur gespeichert sind. Die Angriffe könnten auch die Ausführung von Schadsoftware beinhalten, beispielsweise Ransomware. Diese verschlüsselt Dateien, entwendet sensible Daten oder deaktiviert Systeme, um Betriebsstörungen zu verursachen. Diese Phase ist oft der Höhepunkt des lateralen Bewegungsprozesses. Je länger Angreifer den Zugriff auf das Netzwerk ohne Erkennung aufrechterhalten können, desto umfangreicher ist der Schaden, den sie verursachen können.
Formen von Angriffen mit lateraler Bewegung
Ransomware-Angriffe
Die laterale Bewegung ist eine Schlüsselkomponente von Ransomware-Kampagnen. Die Angreifer bewegen sich systemübergreifend, um Malware zu verbreiten und ihre Wirkung zu maximieren, bevor sie Dateien verschlüsseln und Zahlungen fordern. Diese Strategie erhöht die Wahrscheinlichkeit von Lösegeldzahlungen, da ganze Organisationen lahmgelegt werden können.
Datenexfiltration
Die Angreifer nutzen häufig laterale Bewegungen, um sensible Informationen zu lokalisieren und zu extrahieren. Durch das Eindringen in verschiedene Teile des Netzwerks können sie wertvolle Daten wie geistiges Eigentum, Finanzunterlagen oder personenbezogene Daten (PII) identifizieren. Erfolgreiche Datenexfiltration kann zu schweren Reputations- und finanziellen Schäden für Unternehmen führen.
Spionage und Advanced Persistent Threats (APTs)
Staatlich geförderte Akteure und fortgeschrittene Hackergruppen nutzen laterale Bewegungen, um über lange Zeiträume hinweg in hochwertige Systeme einzudringen. Diese Angreifer versuchen, sich dauerhaft im Netzwerk einzunisten, um unbemerkt Informationen zu sammeln und kritische Infrastrukturen zu kompromittieren.
Botnet-Infektion
Bei Botnet-Kampagnen können Angreifer durch laterale Bewegungen weitere Geräte innerhalb eines Netzwerks kompromittieren. Durch Infizieren mehrerer Endpunkte können Angreifer ihr Botnet erweitern und das Ausmaß ihrer Angriffe vergrößern. Dazu könnten Distributed-Denial-of-Service-Angriffe (DDoS) oder groß angelegte Spam-Kampagnen gehören.
Erkennung von lateraler Bewegung
Überwachung der Authentifizierungsprotokolle
Authentifizierungsprotokolle sind eine wichtige Informationsquelle für die Erkennung lateraler Bewegungen. Anzeichen wie wiederholte fehlgeschlagene Anmeldeversuche, erfolgreiche Anmeldungen von ungewöhnlichen Standorten oder unerwartete Zugriffe zu ungewöhnlichen Zeiten können auf böswillige Aktivitäten hindeuten. Regelmäßige Überprüfung dieser Protokolle hilft bei der Identifizierung unbefugter Zugriffsversuche.
SIEM-Systeme verwenden
Security Information and Event Management (SIEM)-Systeme aggregieren Protokolldaten aus dem gesamten Netzwerk und bieten eine zentrale Plattform für Analysen. Diese Systeme verwenden erweiterte Analysen, um Muster zu erkennen, die auf seitliche Bewegungen hinweisen können, wie z. B. Privilegeskalation oder anormale Zugriffsversuche.
Einsatz von EDR-und XDR-Lösungen
Tools für Endpoint Detection and Response (EDR) überwachen einzelne Geräte auf verdächtige Aktivitäten, etwa nicht autorisierte administrative Befehle. Allerdings kann EDR allein laterale Bewegungen möglicherweise nicht vollständig erkennen, insbesondere wenn Angreifer Ausweichtaktiken anwenden oder den Schutz deaktivieren. Extended Detection and Response (XDR) löst dieses Problem durch die Integration von Daten aus Endgeräten, Netzwerken, Servern und Cloud-Umgebungen. Durch die Korrelation von Aktivitäten über diese Ebenen hinweg verbessert XDR die Transparenz und hilft bei der Erkennung von Bedrohungen, die EDR möglicherweise umgehen. Damit ist es eine wichtige Lösung für die Identifizierung lateraler Bewegungen.
Analyse des Netzwerkverkehrs
Tools zur Analyse des Netzwerkverkehrs (NTA) helfen dabei, unregelmäßige Datenflüsse innerhalb des Netzwerks zu identifizieren. Beispiel: Unerwartete Dateiübertragungen zwischen nicht verbundenen Systemen oder übermäßige Daten-Uploads an externe Ziele sind starke Indikatoren für laterale Bewegungen.
Festlegung von Basiswerten für das Verhalten
Durch die Erstellung von Basiswerten für normale Aktivitäten können Unternehmen Anomalien leichter erkennen. Beispielsweise könnte ein plötzlicher Anstieg der Nutzung von PowerShell auf einem System, das nur selten damit arbeitet, auf die Anwesenheit eines Angreifers hindeuten. Die Überwachung der Basiswerte erfordert eine konsistente Protokollierung und Analyse, um wirksam zu bleiben. Baseline-Überwachung erfordert eine konsistente Protokollierung und Analyse, um effektiv zu bleiben.
Verhinderung von lateralen Bewegungen
Netzwerksegmentierung
Die Aufteilung von Netzwerken in isolierte Segmente begrenzt die Fähigkeit von Angreifern, sich frei zwischen Systemen zu bewegen. Beispielsweise sorgt die Trennung kritischer Infrastruktur von Allzweckgeräten dafür, dass selbst bei einem Angriff auf ein einzelnes Segment die Auswirkungen begrenzt bleiben.
Zero-Trust-Architektur
Zero-Trust-Prinzipien erfordern eine strenge Überprüfung jeder Anfrage, unabhängig davon, ob sie innerhalb oder außerhalb des Netzwerks ihren Ursprung hat. Dieser Ansatz minimiert die Abhängigkeit von Perimeter-Abwehrmaßnahmen und erzwingt detaillierte Zugriffskontrollen.
Multi-Faktor-Authentifizierung (MFA)
MFA fügt der Benutzerauthentifizierung eine zusätzliche Sicherheitsebene hinzu, wodurch es für Angreifer schwieriger wird, gestohlene Anmeldedaten zu missbrauchen. Wenn Benutzer ihre Identität anhand mehrerer Faktoren bestätigen müssen, verringern Unternehmen die Effektivität von Identitätsdiebstahl.
Regelmäßige Aktualisierung und Patching von Systemen
Ungepatchte Schwachstellen bieten Angreifern einfache Einstiegspunkte. Die Einhaltung eines konsistenten Patching-Zeitplans stellt sicher, dass Systeme vor bekannten Exploits geschützt sind. Dadurch reduziert sich das Risiko einer lateralen Bewegung.
Einschränkung von Privilegien
Durch die Anwendung des Prinzips der geringsten Privilegien wird der Zugriff der Benutzer auf das Maß beschränkt, das für ihre Aufgaben erforderlich ist. Das begrenzt die Möglichkeiten von Angreifern, ihre Berechtigungen zu erweitern oder auf sensible Daten zuzugreifen, wenn sie ein Konto kompromittieren.
Schulung der Belegschaft
Die Schulung der Beschäftigten zu Phishing-Versuchen und Social- Engineering-Taktiken trägt dazu bei, das Risiko einer ersten Kompromittierung zu verringern. Regelmäßige Schulungen stellen sicher, dass die Beschäftigten auf neue Bedrohungen aufmerksam werden und die Best Practices für die Aufrechterhaltung der Sicherheit verstehen.
Verhinderung unbefugter Zugriffe durch starke Passwörter
Starke, einzigartige Passwörter sind entscheidend, wenn es darum geht, unbefugten Zugriff innerhalb eines Netzwerks zu verhindern. Schwache oder wiederverwendete Passwörter sind häufige Ziele für Angreifer, die ihre Rechte ausweiten oder sich zwischen Systemen bewegen wollen. Die Durchsetzung komplexer Passwortrichtlinien, die Implementierung einer Multi-Faktor-Authentifizierung (MFA) und die regelmäßige Änderung von Anmeldedaten können dieses Risiko verringern. Die Verwendung von Passwort-Managern fördert die Sicherheit und Einzigartigkeit von Passwörtern. Außerdem sorgt die Anwendung des Prinzips der geringsten Privilegien dafür, dass Benutzer nur Zugriff auf die Ressourcen haben, die sie brauchen. Dadurch wird der unbefugte Zugriff noch weiter eingeschränkt.
Wie sich Cyberangriffe im Jahr 2025 weiterentwickeln
Cyberangriffe nehmen an Umfang, Komplexität und Wirkung zu. Von Ransomware und Phishing bis hin zu Angriffen auf Lieferketten und KI-gesteuerten Exploits – Angreifer passen sich ständig an, um Sicherheitsmaßnahmen zu umgehen und Schwachstellen auszunutzen. Ein Verständnis dieser Entwicklungen ist entscheidend für den Aufbau robuster digitaler Strategien.
2025 Cyber Risk Report
Der aktuelle Bericht von Trend Micro bietet eine umfassende Analyse der sich wandelnden Bedrohungslandschaft, beleuchtet neue Angriffsvektoren, Risikomuster und strategische Empfehlungen für Unternehmen. Eine unverzichtbare Lektüre für alle, die Cyberangriffe besser verstehen und ihnen vorbeugen möchten.
Sicherheitslösungen bei Angriffen mit lateralen Bewegungen
Sicherheitsteams brauchen mehr als nur Transparenz. Sie benötigen Klarheit, Priorisierung und schnelle, koordinierte Maßnahmen, um ihre Organisation vor Angriffen mit lateralen Bewegungen zu schützen. Trend Vision One™ Security Operations (SecOps) vereint prämiertes XDR, agentenbasiertes SIEM und agentenbasiertes SOAR (Security Orchestration, Automation and Response). Ziel ist es, dass sich Teams auf das Wesentliche konzentrieren können.
Joe Lee
Vice President of Product Management
Joe Lee ist Vice President of Product Management bei Trend Micro. Er leitet die globale Entwicklung von Strategien und Produkten für Lösungen zur E-Mail- und Netzwerksicherheit in Unternehmen.
Häufig gestellte Fragen (FAQs)
Was ist laterale Bewegung in der Cybersicherheit?
Laterale Bewegung beschreibt, wie Angreifer sich nach einem ersten Zugriff seitlich im Netzwerk zu sensiblen Daten bewegen.
Welche Cyberangriffe nutzen laterale Bewegung?
APT-Angriffe, Ransomware und Insider-Bedrohungen nutzen laterale Bewegung zur Privilegieneskalation und Systemzugriff.
Beispiele für laterale Bewegungsangriffe?
NotPetya und SolarWinds nutzten laterale Bewegung, um sich im Netzwerk auszubreiten und Systeme zu kompromittieren.
Wie erkennen Organisationen laterale Bewegung?
Durch Verhaltensanalysen, SIEM-Systeme, Endpoint-Überwachung und Erkennung ungewöhnlicher Netzwerkaktivitäten.
Häufige Indikatoren für laterale Bewegung?
Ungewöhnliche Logins, Privilegieneskalation, Remotezugriffe und unerwarteter interner Datenverkehr sind typische Anzeichen.
Was ist die Auswirkung lateraler Bewegung?
Laterale Bewegung ermöglicht tiefere Netzwerkzugriffe, Datendiebstahl, Ransomware-Angriffe und langfristige unentdeckte Kompromittierung.