5. Mai 2025

Laterale Bewegungen von Cyberkriminellen im Netzwerk verhindern

Cyberangreifer bewegen sich nach dem ersten Zugriff „seitwärts“ durch das Netzwerk auf der Suche nach sensiblen Daten und Assets. Diese Seitwärtsbewegungen lassen sich durch automatisierte Mikrosegmentierung stoppen. [...]

(c) stock.adobe.com/ONLY

Moderne Cyberangreifer sind zu raffiniert, damit sich Unternehmen auf reine Perimeter-Abwehr beschränken können. Früher oder später wird ein Hacker den Weg ins Netzwerk finden – und lateral Movement, die laterale oder seitliche Bewegung, ist ein wichtiger Bestandteil der Taktik. Laut Microsoft Digital Defense Report 2024 sind neun von zehn Unternehmen derzeit mindestens einem Angriffspfad ausgesetzt – 80 Prozent haben Pfade, die kritische Assets Risiken aussetzen. Folglich ist es leicht zu verstehen, warum VMware zufolge bei 25 Prozent der Cyberangriffe eine laterale Bewegung beobachtet wird.

Zero Networks, Experte für Mikrosegmentierung, erläutert daher Cybersicherheitsrisiken und -strategien im Zusammenhang mit lateralen Bewegungen im Netzwerk.

Die meisten Unternehmen sind anfällig für Cyberangriffe, die sich seitlich durch ihr Netzwerk bewegen. Sicherheitsverantwortliche stufen dennoch Angriffe dieser Art als geringstes unter den wesentlichen Cybersicherheitsrisiken ein, obwohl sie oft als Katalysator für andere Bedrohungen dienen. Selbst für Teams, die diese Gefahr in der Cybersicherheit verstehen, galt es in der Vergangenheit als zu komplex und disruptiv, Kontrollen anzuwenden, die robust genug sind, um Angreifer effektiv aufzuhalten.

Hacker verschaffen sich zunächst oft durch Phishing oder kompromittierte Anmeldedaten Zugang zum Netzwerk. Mit diesem ersten Einstieg können sie sich dann seitlich durch das Netzwerk bewegen, wenn die Kontrollen nicht ausreichen, um eine Eskalation von Berechtigungen zu verhindern, Pass-the-Ticket-Angriffe abzuschwächen oder andere von Hackern bevorzugte Methoden zu vereiteln.

Welche Arten von Cyberangriffen nutzen Lateral Movement?

Viele Angreifer setzen auf Lateral Movement, um den Umfang ihrer Aktivitäten zu maximieren und ein bestimmtes Ziel zu erreichen. Einige Angriffsarten, die häufig Lateral Movement beinhalten, sind:

  • Ransomware: Um die höchstmögliche Auszahlung zu verlangen, zielt Ransomware darauf ab, so viele Systeme wie möglich zu infizieren und zu verschlüsseln. Lateral Movement ermöglicht es Ransomware, sich schnell im Netzwerk auszubreiten, kritische Vermögenswerte zu erreichen und den Druck zur Zahlung zu erhöhen.
  • Datenexfiltration: Sobald sie sich im Netzwerk befinden, bewegen sich Angreifer lateral, um sensible Daten wie persönliche Aufzeichnungen, IP- oder Finanzinformationen zu finden, bevor sie diese zur Erpressung, zum Verkauf oder zur Veröffentlichung aus dem Netzwerk übertragen.
  • Botnet-Infektion: Durch laterale Bewegungen können Angreifer unbemerkt Geräte zu einem Roboternetzwerk (Botnet) hinzufügen und so ihre Kontrolle erweitern, bevor sie größere Operationen wie verteilte Denial-of-Service-Angriffe (DDoS) starten.

Warum kommt es (immer noch) zu Lateral Movement?

Lateral Movement ist kein neues Konzept, aber es ist nach wie vor eine bewährte Technik bei Cyberangriffen. Im Wesentlichen liegt dies an der Komplexität – sowohl der modernen Umgebungen als auch bislang verfügbarer Sicherheitslösungen.

Sobald sie sich in einem Netzwerk befinden, versuchen Angreifer oft, ihre Berechtigungen zu erweitern, indem sie Schwachstellen in Admin- und Servicekonten, Fehlkonfigurationen oder gestohlene Anmeldedaten ausnutzen. Schwache Identitätskontrollen erleichtern es Angreifern, übermäßige Anmeldeberechtigungen, Pass-the-Ticket-, Golden-Ticket-, Kerberoasting- und andere Angriffe zu nutzen und sich seitlich durch das Netzwerk zu bewegen, ohne Alarm auszulösen. Ohne strenge Identitäts- und Zugriffskontrollen müssen Hacker nicht erst eindringen – sie können sich einfach anmelden. Da der Prozess in der Regel manuell, langwierig und komplex ist, bleibt die Regelung von Zugriffsrechten eine Herausforderung für Unternehmen, die versuchen, seitliche Bewegungen zu unterbinden.

Erkennung von lateralen Bewegungen

Laterale Bewegungen erfolgen schnell – oft innerhalb von 30 Minuten nach der ersten Kompromittierung. Das bedeutet, dass Sicherheitsteams von reaktiven Warnmeldungen zu proaktiver Kontrolle übergehen und ausgefeilte Erkennungstechniken mit robusten Präventionsstrategien kombinieren müssen, um Bedrohungen einzudämmen, bevor sie eskalieren.

Angreifer arbeiten hart daran, unentdeckt zu bleiben, indem sie sich in den legitimen Datenverkehr einfügen und native Tools verwenden, um das Auslösen von Warnmeldungen zu vermeiden. Um sie auf frischer Tat zu ertappen, müssen Unternehmen mehrschichtige Erkennungstechniken einsetzen, die in der Lage sind, subtile Anomalien zu identifizieren.

  • Überwachungs- und Erkennungstechniken: Die Erkennung hängt davon ab, ob Abweichungen vom normalen Verhalten erkannt werden. KI- und maschinell lernende Tools analysieren kontinuierlich den Datenverkehr und die Aktivitäten im gesamten Netzwerk, um verdächtige Muster in Echtzeit zu erkennen.
  • Verhaltensanalyse: Auf Benutzerverhalten trainierte Modelle für maschinelles Lernen können Abweichungen wie ungewöhnliche Anmeldezeiten, seltsame Dateizugriffsmuster oder anormale Verwaltungsaktionen erkennen – alles Anzeichen für eine mögliche laterale Bewegung.
  • SIEM- und Log-Analyse: SIEM-Plattformen (Security Information and Event Management) korrelieren Protokolle und Ereignisse im gesamten Netzwerk, erkennen ungewöhnliche Muster und decken potenzielle laterale Bewegungspfade auf.
  • Netzwerkverkehrsanalyse (NTA): NTA-Tools bewerten den Netzwerkfluss und kennzeichnen Anomalien, die auf nicht autorisierten Ost-West-Verkehr hindeuten könnten, und nutzen Algorithmen, um normales Netzwerkverhalten von schädlichen Aktivitäten zu unterscheiden.
  • Endpoint Detection and Response (EDR): EDR-Systeme überwachen Endpunkt- und Netzwerkereignisse und helfen IT-Teams, Zugriffsversuche auf hochwertige Systeme zu untersuchen und den Verlauf von Angriffen zu verfolgen.
  • Täuschungstechnologie: Honeypots und Täuschungssysteme locken Angreifer dazu, ihre Anwesenheit zu offenbaren, und ermöglichen so eine frühzeitige Erkennung von lateralen Bewegungsaktivitäten mit minimalem Risiko.
  • Log Management: Zentralisierte Lösungen für die Protokollverwaltung und -analyse durchsuchen Zugriffsmuster, um potenzielle Privilegienerweiterungen oder heimliche Sprünge zwischen Systemen zu erkennen.

Verhinderung von lateralen Bewegungen

Die wirksamste Methode, einen Angriff zu stoppen, bevor er sich ausbreitet, ist die vollständige Verhinderung lateraler Bewegungen. Eine ideale Präventionsstrategie kombiniert Netzwerkkontrollen, Identitätsverwaltung und Automatisierung, um potenzielle Pfade zu versiegeln und den Explosionsradius eines Angriffs zu verringern. Sicherheitsteams können laterale Bewegungen durch verschiedene Maßnahmen proaktiv blockieren.

Mikrosegmentierung ist eine effektive Methode, um die Kommunikation zwischen Assets einzuschränken, sofern dies nicht ausdrücklich erlaubt ist. Durch die Isolierung von Systemen in kleinere, kontrollierte Netzwerkzonen können Unternehmen sicherstellen, dass ein Angreifer selbst bei einer Kompromittierung eines Systems nicht einfach auf andere Systeme übergreifen kann. Moderne Mikrosegmentierung reduziert die Komplexität veralteter Ansätze, indem sie direkt in die bestehende Infrastruktur integriert wird, native Firewall-Regeln koordiniert und manuelle Arbeit bei der Implementierung und laufenden Wartung durch eine robuste Automatisierung eliminiert.

Statische Richtlinien können mit den heutigen fließenden IT-Umgebungen nicht mithalten. Stattdessen sollten Sicherheitsteams die automatisierte Erstellung und Durchsetzung von Richtlinien einführen. Hierbei werden Regeln auf der Grundlage des beobachteten Verhaltens generiert und kontinuierlich aktualisiert, wenn sich die Umgebung weiterentwickelt.

Prinzip der geringsten Privilegien

Benutzerberechtigungen sollten nach dem Prinzip der geringsten Privilegien (PoLP) streng kontrolliert werden. Jeder Benutzer oder jede Anwendung sollte nur Zugriff auf die Ressourcen haben, die für seine Rolle oder Funktion erforderlich sind. Dadurch wird die Möglichkeit für Angreifer minimiert, während eines lateralen Angriffs überprivilegierte Konten auszunutzen.

Über Benutzeranmeldungen hinaus kann MFA auf kritische Systeme und privilegierte Ports angewendet werden. Dieser Ansatz stellt sicher, dass selbst bei einer Kompromittierung der Anmeldedaten der Zugriff nicht ohne eine zweite Form der Verifizierung gewährt wird, wodurch die Fähigkeit des Angreifers, sich lateral zu bewegen, erheblich reduziert wird.

Zero Trust

Das Zero-Trust-Modell geht davon aus, dass jedes Gerät, jeder Benutzer und jede Verbindung bis zur Überprüfung als nicht vertrauenswürdig gilt. Dieses Prinzip erfordert, dass die Sicherheit Sicherheitsverletzungen als unvermeidlich akzeptiert. In der Praxis bedeutet dies, dass die Identität konsequent überprüft, der Zugriff eingeschränkt und der Netzwerkverkehr segmentiert wird, um Bedrohungen zu neutralisieren und laterale Bewegungen zu stoppen, bevor sie beginnen.

Um laterale Bewegungen wirklich zu verhindern, müssen Unternehmen eine 3D-Netzwerksicherheit einführen, die nicht nur vor Ost-West-Bewegungen schützt, sondern auch die Einstiegsmöglichkeiten für Angreifer minimiert, und zwar durch einen robusten Nord-Süd-Schutz (der den Zugang von außen verhindert) und einen Auf-Ab-Schutz, der den Zugriff auf sensible Bereiche des Netzwerks auf der Grundlage der Identität dynamisch steuert.

Mit Strategien wie diesen können Sicherheitsteams laterale Bewegungen endlich kontrollieren, bevor ein Sicherheitsvorfall zu einer Katastrophe wird.

Mikrosegmentierung: Laterale Bewegungen in Echtzeit stoppen

Seitwärtsbewegungen können durch automatisierte Mikrosegmentierung gestoppt werden, die sich radikal einfach bereitstellen lässt und effektiv ist. Im Gegensatz zu herkömmlichen Lösungen mit komplexen, nie endenden Implementierungen ist eine moderne Lösung bereits innerhalb von Tagen – statt mitunter Jahren – einsatzbereit und setzt den Zugriff mit geringsten Privilegien in großem Maßstab durch.

Durch automatisierte Kennzeichnung, Gruppierung und Erstellung und Verwaltung von Richtlinien werden deterministische, fein abgestufte Regeln generiert – ohne komplexe Konfigurationen. Eine infrastrukturunabhängige Lösung koordiniert native Firewalls, um alle Ressourcen zu sichern und sich nahtlos in bestehende Umgebungen zu integrieren – ohne die manuelle Komplexität herkömmlicher Lösungen. Just-in-time-MFA, die auf Netzwerkebene angewendet wird, hält privilegierte Ports bis zur Überprüfung geschlossen und verhindert so den Missbrauch von Anmeldeinformationen und die Eskalation von Berechtigungen. Die adaptive Durchsetzung von Richtlinien sorgt für eine dynamische Aufrechterhaltung granularer Kontrollen, die sich zusammen mit dem Netzwerk weiterentwickeln.

Moderne Cyberangreifer machen nicht an der Peripherie halt – und das sollte auch für die Abwehrmechanismen eines Unternehmens gelten. Heutzutage ist es einfacher denn je, eine proaktive, mehrschichtige Verteidigung aufzubauen, die seitliche Bewegungen stoppt und Hacker ins Leere laufen lässt.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*