Laterale Bewegung

Laterale Bewegung ist eine der folgenreichsten Phasen eines Einbruchs, denn hier wird aus einem einzelnen Standbein eine netzwerkweite Kompromittierung. Ein Angreifer landet selten direkt auf dem Rechner, auf den es ihm wirklich ankommt. Stattdessen dringt er irgendwo ein, oft auf einer wenig wertvollen Arbeitsstation, und bewegt sich dann seitwärts über Systeme und Konten hinweg, bis er die Daten, Backups oder Administrationsserver erreicht, auf die er es abgesehen hatte. Laterale Bewegung zu verstehen ist sowohl für Angreifer wesentlich, die die Angriffskette studieren, als auch für Verteidiger, die sie durchbrechen wollen.

Warum es wichtig ist

Der erste Einbruch ist fast nie der Preis. Eine Phishing-Mail, die auf einem Laptop landet, ist nur dann wertvoll, wenn der Eindringling von dort zu etwas pivotieren kann, das sich zu stehlen lohnt. Laterale Bewegung ist das Bindegewebe, das das erste Standbein mit dem eigentlichen Ziel verbindet, und sie ist zugleich der Punkt, an dem Verteidiger die beste Chance haben, einen Angreifer zu fassen, der den Perimeter bereits überwunden hat.

Entscheidend ist: Laterale Bewegung ist manuelle Arbeit nach der Kompromittierung. Sie geschieht, nachdem die Schadsoftware bereits ausgeführt wurde und die Warnungen, die der Perimeter ausgelöst hätte, längst verklungen sind. Genau deshalb verdient sie besondere Aufmerksamkeit. In Anthropics Analyse von KI-gestützten Bedrohungsakteuren war laterale Bewegung der stärkste einzelne Indikator für einen Hochrisikoakteur: Profile, die laterale Bewegung zeigten, wiesen einen durchschnittlichen Risikowert von 56,4 gegenüber einem Gesamtmittel von 46,8 auf, wie wir in unserer Aufschlüsselung dazu, wie Hacker KI nutzen, darlegen. Wenn ein Eindringling aktiv zwischen Systemen pivotiert, sitzt ein echter Mensch an der Tastatur und verfolgt ein echtes Ziel, und Verteidiger müssen dieses Verhalten erkennen, statt sich auf den ersten Alarm zu verlassen.

Wie Angreifer sich lateral bewegen

Der Großteil der lateralen Bewegung beruht auf gestohlenen, aber legitimen Anmeldedaten, was sie so schwer aufspürbar macht. Das klassische Muster ist das Abgreifen von Anmeldedaten (MITRE ATT&CK T1003), um Passwort-Hashes oder Tickets von einem kompromittierten Host zu sammeln, gefolgt von der Wiederverwendung dieser Anmeldedaten auf benachbarten Rechnern.

Da diese Techniken legitime Protokolle und Konten missbrauchen, wirkt laterale Bewegung häufig wie gewöhnliche Administration. Der Angreifer nutzt nicht bei jedem Sprung einen spektakulären Zero-Day aus; er meldet sich einfach an.

Erkennen und Stoppen

Da laterale Bewegung auf gültigen Anmeldedaten beruht, fangen signaturbasierte Werkzeuge sie allein nur selten ab. Die Erkennung hängt vom Verhalten ab: ein Konto, das sich plötzlich an Systemen authentifiziert, die es nie berührt, Remote-Anmeldungen zu ungewöhnlichen Zeiten oder ein Host, der sich auf eine Weise durch das Netzwerk ausbreitet, wie er es nie zuvor getan hat.

Erstes Standbein

→Anmeldedaten abgreifen

Gestohlene Anmeldedaten

→über SMB/SSH wiederverwenden

Zum nächsten Host pivotieren

→wiederholen

Hochwertiges Ziel

Verteidiger erhöhen die Kosten des Pivotierens mit Netzwerksegmentierung, dem Prinzip der minimalen Rechte und Mehr-Faktor-Authentifizierung, sodass eine einzelne gestohlene Anmeldung weniger erreicht. Darüber hinaus liefern proaktives Threat Hunting und ein personell besetztes Security Operations Center das menschliche Urteilsvermögen, das nötig ist, um die manuelle Aktivität zu erkennen, die automatische Warnungen übersehen. Die Lehre bleibt dieselbe: Der erste Einbruch mag unvermeidlich sein, aber die laterale Bewegung ist der Punkt, an dem ein Verteidiger noch gewinnen kann.