Lateral Movement
Technik, bei der sich Angreifer nach dem initialen Zugriff innerhalb eines Netzwerks von System zu System bewegen.
Lateral Movement bezeichnet die Phase eines Angriffs, in der sich ein Angreifer nach dem initialen Zugriff seitlich durch das Netzwerk bewegt — von einem kompromittierten System zum nächsten. Das Ziel ist, höhere Berechtigungen zu erlangen, wertvolle Daten zu finden oder Domain-Admin-Zugriff zu erreichen. Lateral Movement ist die kritischste Phase der meisten Angriffe, da hier aus einem einzelnen kompromittierten Endpunkt eine vollständige Netzwerkübernahme wird.
Gängige Techniken
Angreifer nutzen eine Vielzahl von Methoden, um sich innerhalb eines Netzwerks zu bewegen. Die meisten Techniken missbrauchen legitime Verwaltungsprotokolle und Authentifizierungsmechanismen.
| Technik | Beschreibung | Missbrauchter Mechanismus |
|---|---|---|
| Pass-the-Hash | Authentifizierung mit gestohlenen NTLM-Hashes ohne Klartextpasswort | NTLM-Authentifizierung |
| Kerberoasting | Extraktion und Offline-Cracking von Service-Ticket-Hashes | Kerberos TGS-Tickets |
| RDP-Hijacking | Übernahme oder Nutzung bestehender Remote-Desktop-Sitzungen | Remote Desktop Protocol |
| PsExec / SMB | Remote-Ausführung von Befehlen über SMB-Shares | Windows-Verwaltungstools |
| WMI-Missbrauch | Fernsteuerung über Windows Management Instrumentation | WMI-Infrastruktur |
| Token Impersonation | Übernahme von Sicherheitstoken anderer Nutzer oder Prozesse | Windows Access Tokens |
Warum Lateral Movement die entscheidende Phase ist
Der initiale Zugriff — ob durch Phishing, eine Schwachstelle oder gestohlene Credentials — betrifft zunächst nur ein einzelnes System mit begrenzten Rechten. Erst durch Lateral Movement erreicht ein Angreifer die Systeme, die tatsächlich Schaden anrichten: Domain Controller, Backup-Server, Datenbanken oder Produktionssysteme. Die meisten Ransomware-Angriffe wären ohne erfolgreiche Lateral-Movement-Phase auf einen einzelnen Endpunkt begrenzt.
Erkennung
Die Erkennung von Lateral Movement ist anspruchsvoll, da Angreifer legitime Protokolle verwenden. Network Detection and Response (NDR) analysiert Netzwerkverkehr auf anomale Muster — etwa ungewöhnliche SMB-Verbindungen zwischen Workstations. SIEM-Systeme korrelieren Anmeldeereignisse und erkennen verdächtige Zugriffsmuster, wie die Nutzung eines Kontos auf Systemen, auf die es normalerweise nicht zugreift. Honeypots und Deception-Technologien platzieren attraktive Scheinziele im Netzwerk, die bei Kontakt sofort Alarm auslösen.
Prävention
Die wirksamste Verteidigung gegen Lateral Movement kombiniert mehrere Ansätze: Ein Tiering-Modell trennt administrative Ebenen strikt voneinander, sodass kompromittierte Tier-1-Credentials keinen Zugriff auf Tier-0-Systeme ermöglichen. Mikrosegmentierung unterbindet unnötige Kommunikation zwischen Systemen. PAM eliminiert dauerhafte Admin-Rechte durch Just-in-Time-Zugriff. Credential Hygiene — insbesondere die Vermeidung von Cached Credentials auf Endpunkten und die Verwendung von LAPS — entzieht Angreifern das Material für Credential-basierte Angriffe.
Relevanz für KMUs
In vielen KMU-Netzwerken gibt es kaum Barrieren für Lateral Movement: flache Netzwerke ohne Segmentierung, Domain-Admin-Konten auf Workstations und lokale Admin-Passwörter, die auf allen Geräten identisch sind. Schon grundlegende Maßnahmen wie die Einführung von LAPS, die Trennung von Admin- und Nutzerkonten und eine Basis-Segmentierung reduzieren das Risiko erheblich.