Wichtige Frist: Letzte SG-UTM Lizenzverlängerung bis 31.12.2025 Kostenloses Firewall-Sizing für Ihre IT-Infrastruktur Access Point Angebot: Bis zu 25% Rabatt auf Sophos AP6 420E & 840E Risiken jetzt aufdecken: Externe Schwachstellenanalyse Rabatt bei Herstellerwechsel: 50% auf Sophos XGS & Xstream Sophos Firewall praxisnah erlernen: 1-Tages-Training Aktuelle Sophos-Angebote für Neu- & Bestandskunden

Zuletzt aktualisiert am 22.12.2025

Was ist Lateral Movement? Techniken, Erkennung & Schutz in professionellen Netzwerken

In den Kategorien: Cybersecurity FAQ Was ist Lateral Movement? Techniken, Erkennung & Schutz in professionellen Netzwerken

Überblick: Lateral Movement in der Cybersecurity

Lateral Movement in der Cybersecurity beschreibt die seitliche Ausbreitung von Angreifenden innerhalb eines Netzwerks, nachdem der erste Zugriff bereits gelungen ist. Es geht also nicht mehr um den Einstieg, sondern um die Wege, die ein Angriff nach innen nimmt.

In vielen Vorfällen verläuft der kritischste Teil einer Angriffskette genau in dieser Phase. Ein einzelner kompromittierter Rechner führt oft noch nicht zum Totalausfall. Gefährlich wird es, wenn sich Angreifende im Netzwerk bewegen, Berechtigungen ausweiten, neue Systeme kompromittieren und schrittweise in Richtung Fachanwendungen, Backups oder Domain Controller vorstoßen.

Lateral Movement spielt sowohl bei Ransomware-Angriffen als auch bei Spionage- und Datendiebstahl eine zentrale Rolle. In diesem Artikel zeigen wir, wie diese seitliche Bewegung funktioniert, welche Techniken in der Praxis eingesetzt werden und wie sich Unternehmen, Behörden oder andere Organisationen wirksam schützen können.

Was ist Lateral Movement?

Unter Lateral Movement wird die Phase eines Angriffs verstanden, in der Angreifende sich von einem bereits kompromittierten System aus auf weitere Systeme innerhalb der Umgebung ausbreiten. Ziel ist es, an höherwertige Ressourcen zu gelangen, etwa an privilegierte Konten, zentrale Verzeichnisdienste oder sensible Daten.

Im Unterschied zum initialen Zugriff stehen hier nicht mehr Exploits oder Phishing im Vordergrund, sondern vorhandene Vertrauensbeziehungen. Angreifende nutzen bestehende Berechtigungen, freigegebene Dienste und administrative Werkzeuge, die im Alltag legitim verwendet werden. Genau dieser Bezug auf reguläre Abläufe macht Lateral Movement schwer erkennbar.

In professionellen IT-Umgebungen ist Lateral Movement daher ein Schlüsselbegriff. Viele technische und organisatorische Cybersecurity-Maßnahmen zielen am Ende darauf, diese seitliche Bewegung zu erschweren oder früh zu erkennen, bevor aus einem Einzelvorfall ein flächendeckender Ausfall wird.

Schaubild einer Angriffskette mit initialem Zugriff, lateralem Movement und Angriffsziel

Wie funktioniert Lateral Movement in der Praxis?

In der Praxis verläuft Lateral Movement selten chaotisch. Viele Vorfälle folgen wiederkehrenden Mustern, auch wenn die konkrete Technik variiert. Typischerweise lassen sich mehrere Schritte unterscheiden, die sich in Logs und Telemetriedaten wiederfinden.

Nach dem ersten Zugriff wird das kompromittierte System analysiert: Welche Konten sind angemeldet, welche Dienste laufen, welche Verbindungen bestehen?
Anschließend werden Anmeldedaten und Tokens gesammelt, etwa über Speicherzugriffe, LSASS-Dumps oder das Auslesen von Konfigurationsdateien.
Auf dieser Basis testen Angreifende, welche weiteren Systeme mit den gewonnenen Informationen erreichbar sind, zum Beispiel Dateiserver, Applikationsserver oder Verwaltungskonsolen.
Zugriff auf ein neues System wird genutzt, um den Vorgang zu wiederholen, bis ausreichend Rechte und Reichweite für das eigentliche Angriffsziel vorhanden sind.

Diese Schleife aus Informationsgewinnung, Test neuer Pfade und erneuter Ausbreitung bildet den Kern von Lateral Movement. Sie läuft oft über Stunden oder Tage und mischt sich mit regulären Administrations- und Nutzeraktionen.

Typische Techniken beim Lateral Movement

Die konkrete Umsetzung von Lateral Movement hängt von Plattform, Architektur und Sicherheitsniveau ab. Bestimmte Techniken tauchen in Vorfallanalysen jedoch immer wieder auf. Drei Bereiche sind besonders häufig zu sehen.

Übersicht typischer Lateral-Movement-Techniken wie Remote Services, Pass-the-Hash und Living-off-the-Land

Remote Services und Admin-Tools

Remote-Dienste wie SMB, RDP, WinRM, SSH oder Managementschnittstellen werden im Alltag intensiv genutzt. Für Angreifende sind sie ein naheliegender Weg, um von einem System zum nächsten zu gelangen, sofern gültige Konten und Netzwerkpfade vorhanden sind.

Auch klassische Admin-Tools wie PowerShell Remoting, PsExec oder Remote-Verwaltungskonsolen sind in diesem Zusammenhang relevant. In vielen Umgebungen sind sie für bestimmte Gruppen breit verfügbar, ohne dass jede Nutzung sauber protokolliert oder ausgewertet wird. Lateral Movement nutzt diese Werkzeuge bevorzugt, weil sie nur wenig Aufmerksamkeit erzeugen.

Pass-the-Hash, Pass-the-Ticket & ähnliche Verfahren

Verfahren wie Pass-the-Hash oder Pass-the-Ticket nutzen das Verhalten von Authentifizierungsprotokollen aus. Statt Passwörter im Klartext zu kennen, werden vorhandene Hashes oder Tickets wiederverwendet, die auf einem kompromittierten System vorliegen.

In Windows-Umgebungen betrifft das vor allem NTLM-Hashes und Kerberos-Tickets. Sind diese Artefakte einmal ausgelesen, können Angreifende sie einsetzen, um sich an weiteren Systemen anzumelden. Je höher die Berechtigungen des betroffenen Kontos sind, desto weiter reicht die spätere seitliche Bewegung.

Living-off-the-Land und legitime Tools

Beim Living-off-the-Land-Ansatz greifen Angreifende bevorzugt auf bereits vorhandene Systemwerkzeuge zurück. Dazu zählen PowerShell, WMI, certutil, taskschd oder integrierte Backup- und Verwaltungsfunktionen. Auch legitime Remote-Management-Tools von Drittanbietern werden häufig mitgenutzt.

Der Vorteil liegt aus Angreifersicht auf der Hand: Es müssen keine zusätzlichen Binärdateien platziert werden, die durch klassische Endpoint-Signaturen auffallen könnten. Viele Interaktionen sehen aus wie reguläre Administration. Erst eine verhaltensbasierte Auswertung zeigt, wenn Muster von üblichen Abläufen abweichen.

Ziele und Pfade seitlicher Bewegung

Lateral Movement verfolgt ein klares Zielbild. Angreifende suchen nach Wegen zu Systemen, über die sich der größtmögliche Einfluss auf Daten, Identitäten oder Verfügbarkeit erreichen lässt. Welche Pfade gewählt werden, hängt von der jeweiligen Organisation ab, bestimmte Zielbereiche wiederholen sich jedoch.

Active Directory und Identitätsdienste

Verzeichnisdienste wie Active Directory oder zentrale Identity-Provider sind ein Hauptziel. Wer hier ausreichende Rechte erlangt, kann neue Konten anlegen, bestehende Konten manipulieren oder Richtlinien verändern. In vielen Vorfällen markiert der Zugriff auf Domain-Admin-Konten den Wendepunkt, ab dem die Verteidigung erheblich schwerer wird.

Server, Dateien und Geschäftsdaten

Dateiserver, Datenbanken und Fachanwendungen mit vertraulichen Daten liegen ebenfalls im Fokus. Über Lateral Movement werden zunächst Zugänge zu solchen Systemen geprüft, anschließend werden Daten ausgeleitet oder für spätere Verschlüsselungsangriffe kartiert. Oft zeigt sich, dass produktive und weniger kritische Datenbestände nur unzureichend voneinander getrennt sind.

Backups und Sicherheitssysteme

Angreifende wissen, dass Backups und Sicherheitslösungen über Erfolg oder Misserfolg eines Angriffs entscheiden können. Lateral Movement wird daher auch genutzt, um Backup-Server zu erreichen, Sicherungen zu löschen oder unbrauchbar zu machen und Sicherheitssysteme zu schwächen. Dazu zählt etwa das Deaktivieren von Schutzfunktionen, das Anpassen von Regeln oder das Entfernen einzelner Agenten.

Woran lässt sich Lateral Movement erkennen?

Lateral Movement ist darauf ausgelegt, sich innerhalb regulärer Abläufe zu verstecken. Einzelne Aktionen wirken oft unauffällig. Erst in der Summe entsteht ein klares Bild. Für die Erkennung sind daher korrelierte Daten und ein Verständnis normaler Muster entscheidend.

Zu den typischen Hinweisen auf Lateral Movement gehören:

Anmeldungen privilegierter Konten auf Systemen, auf denen sie im Alltag kaum genutzt werden.
Ungewöhnliche Kombinationen aus Quelle, Ziel, Protokoll und Uhrzeit bei Remote-Verbindungen.
Häufige Wechsel derselben Identität zwischen verschiedenen Systemen in kurzer Zeit.
Auffälligkeiten bei der Nutzung von PowerShell, WMI oder Remote-Tools, etwa neue Befehlsmuster oder Scripts.
Plötzliche Zugriffe auf Verwaltungsoberflächen oder Verzeichnisdienste von Systemen, die sonst nur Fachaufgaben ausführen.

Einzelne dieser Signale können harmlos sein. Kritisch wird es, wenn mehrere Indikatoren gemeinsam auftreten oder sich zeitlich mit einem bekannten Erstzugriff überlappen. Cybersecurity-Lösungen wie Sophos XDR sammeln Telemetriedaten aus Endpoints, Netzwerk und Identitätsdiensten und helfen dabei, solche Muster sichtbar zu machen. Organisationen ohne eigenes SOC können diese Analyse an Managed Detection & Response auslagern.

Darstellung von Logdaten, Zugriffspfaden und Alerts zur Erkennung von Lateral Movement

Schutz vor Lateral Movement

Schutz vor Lateral Movement entsteht nicht durch eine einzelne, technische Cybersicherheitslösung, sondern durch das Zusammenspiel von Architektur, Härtung, Identitätsmanagement und Überwachung. Ziel ist es, seitliche Bewegung im Netzwerk zu erschweren und Vorfälle früh zu erkennen.

Netzwerksegmentierung und Architektur

Eine saubere Segmentierung reduziert die Zahl der Systeme, die Angreifende nach einem Erstzugriff direkt erreichen können. Getrennte Zonen für Server, Clients, Verwaltung und besonders schützenswerte Systeme erschweren schnelle Ausbreitung. Hardware Firewalls und interne Filterregeln unterstützen diese Trennung und überwachen auch Ost-West-Verkehr.

In vielen Projekten zeigt sich, dass bereits einfache Maßnahmen wie restriktivere Regeln zwischen Serversegmenten, klare Trennung von Test- und Produktionsumgebungen und der Abbau historischer Freigaben deutliche Effekte haben.

Identitäten, Rechte und Konten

Da Lateral Movement stark von bestehenden Berechtigungen abhängt, ist ein konsequentes Rechte- und Kontenmodell zentral. Dazu gehört der Verzicht auf dauerhaft angemeldete Domain-Admins auf Arbeitsstationen, die Trennung von Benutzer- und Administrationskonten und die klare Zuordnung von Service-Accounts.

Mehrfaktor-Authentifizierung für besonders kritische Konten, strenge Kennwortrichtlinien und der gezielte Einsatz von Privileged-Access-Management-Lösungen erschweren das Ausnutzen einzelner kompromittierter Identitäten. In vielen Umgebungen entstehen Risiken weniger durch hochkomplexe Technik, sondern durch gewachsene Rechte, die nie zurückgebaut wurden.

EDR, XDR und MDR in der Praxis

Um Lateral Movement vorzubeugen und früh zu erkennen, spielen Endpoint Security Lösungen eine zentrale Rolle, weil sie die notwendige Endpunkt-Telemetrie zu Prozessen, Kommandozeilen, Netzwerkverbindungen und Remote-Ausführung liefern. Darauf baut EDR auf, indem es die Detektion und Investigation am Endpunkt erweitert und Hinweise auf laterale Remote-Tools, verdächtige PowerShell- und WMI-Nutzung sowie Credential-Zugriffe sichtbar macht, besonders dann, wenn Malware nach einem Erstzugriff zur Credential-Entwendung eingesetzt wird oder Living-off-the-Land-Techniken für die interne Ausbreitung nutzt.

XDR vergrößert den Datensatz, indem zusätzliche Telemetrie aus weiteren Quellen einbezogen und korreliert wird, etwa aus Netzwerk- und Identitätsdiensten, wodurch Zusammenhänge zwischen Logins, Ticket-Nutzung, Netzwerkpfaden und Prozessaktivitäten als Muster erkennbar werden. MDR-Lösungen gehen noch einen Schritt weiter und stellen die kontinuierliche Bewertung dieser Telemetriedaten durch ein 24/7-SOC sicher, priorisieren Lateral-Movement-Hinweise, ordnen sie im Kontext ein und leiten bei Bedarf abgestimmte Gegenmaßnahmen ein, etwa Host-Isolation, das Zurücksetzen kompromittierter Konten oder das Unterbinden auffälliger Remote-Pfade.

Typische Fehler, die Lateral Movement erleichtern

In Cybersecurity Assessments und Incident-Response-Einsätzen treten bestimmte Muster immer wieder auf, die Lateral Movement unnötig erleichtern:

große, kaum segmentierte Netzbereiche mit weitreichenden Freigaben.
Admin-Konten, die für alltägliche Tätigkeiten genutzt werden und auf vielen Systemen gleichzeitig angemeldet sind.
Service-Accounts mit weit mehr Rechten als technisch erforderlich, oft ohne regelmäßige Überprüfung.
fehlende oder lückenhafte Protokollierung auf kritischen Systemen, etwa Domain Controllern oder Managementservern.
Vertrauen auf Einzellösungen, etwa ein klassisches Antivirenprodukt, ohne korrelierte Auswertung von Ereignissen.

Diese Umstände führen dazu, dass ein einzelner kompromittierter Zugang weitreichende Folgen hat. Lateral Movement wird dann weniger durch hoch spezialisierte Technik ermöglicht, sondern durch Strukturen, die Angreifenden viele Abkürzungen anbieten.

Praxisbeispiel: Lateral Movement in mittelständischem Unternehmen

Dokumentierte Incident-Response-Fälle zeigen, dass in mittelständischen Netzwerkumgebungen Lateral Movement häufig vergleichbaren Abläufen folgt. Nach einem Erstzugriff über E-Mail-Kampagnen oder vorgeschaltete Schadsoftware werden zunächst Systeme und Konten im Umfeld kartiert, um nutzbare Berechtigungen und erreichbare Ziele zu identifizieren.

Anschließend folgen seitliche Bewegungen im Netzwerk über vorhandene Remote-Dienste und Admin-Werkzeuge. In aktuellen Lagebildern werden dafür wiederholt RDP und PsExec genannt, ergänzt um weitere Remote- oder Managementpfade. Parallel werden Zugangsdaten gesammelt oder wiederverwendet, damit der Sprung auf File-Server, Applikationsserver und Verwaltungsinfrastruktur gelingt.

Vor der eigentlichen Verschlüsselung wird die Wiederherstellung gezielt erschwert. In mehreren Ransomware-Analysen wird beschrieben, dass Backups, Volume Shadow Copies und Sicherungsartefakte per Skript oder Systemkommando gelöscht werden, häufig über vssadmin oder verwandte Mechanismen. Erst danach startet die Schadphase, in der erreichbare Daten verschlüsselt werden und der Vorfall meist erst spät auffällt.

In der Nachbetrachtung zeigt sich, dass ein konsequent begrenztes Lateral Movement durch getrennte Konten, restriktive Remote-Pfade, belastbare Protokollierung und eine gehärtete Backup-Infrastruktur die Reichweite eines Vorfalls deutlich reduziert.

Fazit: Warum Lateral Movement ernst genommen werden muss

Lateral Movement entscheidet oft darüber, ob ein Cybersicherheits-Vorfall lokal begrenzt bleibt oder zur Krise für die gesamte Organisation wird. Wer Angreifenden nach einem initialen Zugriff viele Wege lässt, riskiert den Verlust von Kontrolle über Identitäten, Daten und Verfügbarkeit zentraler Systeme.

Ein wirksamer Umgang mit diesem Thema erfordert mehr als einzelne Produkte. Gefragt sind eine durchdachte Netz- und Rechtearchitektur, gehärtete Systeme, moderne Endpoint- und Netzwerksicherheit sowie eine kontinuierliche Auswertung von Telemetriedaten. Organisationen, die Lateral Movement in ihren Sicherheitskonzepten ausdrücklich berücksichtigen, erhöhen nicht nur die Chance auf eine frühzeitige Erkennung, sondern begrenzen auch den Schaden, wenn es trotz aller Maßnahmen zu einem erfolgreichen Erstzugriff kommt.

Bei der Analyse bestehender Cybersecurity-Strukturen, der Planung von Segmentierungskonzepten und der Einführung von XDR- und MDR-Lösungen unterstützt das Team von Firewalls24 je nach Bedarf technisch und organisatorisch. Für individuelle Anfragen stehen telefonische Kontaktaufnahme und das Kontaktformular zur Verfügung.

Verwandte Produkte