Lateralbewegung

Aus ISMS-Ratgeber WiKi
Version vom 28. März 2026, 15:26 Uhr von Dirk (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Lateralbewegung ist eine zentrale Phase in fortgeschrittenen Cyberangriffen, bei der Angreifer nach dem initialen Kompromiss eines Systems (z. B. durch Phishing) seitwärts durch das Netzwerk navigieren, um weitere Systeme zu infiltrieren, Berechtigungen zu eskalieren und wertvolle Ziele wie Server oder Datenbanken zu erreichen.

Wie funktioniert sie?

Angreifer nutzen Techniken wie das Stehlen von Credentials (Pass-The-Hash, RDP, PowerShell), Schwachstellen-Ausnutzung oder legitime Admin-Tools (Living-off-the-Land), um sich unauffällig von Host zu Host zu bewegen, oft über Wochen unbemerkt. Dies verlängert die Verweildauer (Dwell-Time) und maximiert den Schaden, z.B. vor Ransomware-Aktivierung. Im Kontext unserer vorherigen Diskussion zu KI-Phishing ermöglicht sie systemweite Ausbreitung nach dem ersten Zugriff.

Häufige Techniken

  • Pass-the-Ticket/Hash: Wiederverwendung gestohlener Anmeldeinformationen für Seitwärtszugriffe.
  • Remote Services: RDP, SMB, WMI für Fernzugriff ohne neue Exploits.
  • Privilege Escalation: Von User- zu Admin-Rechten via Kernel-Exploits oder Misconfigurations.

Abgrenzung und Prävention

Im Gegensatz zu vertikaler Bewegung (Tieferes Eindringen in ein System) ist Lateralbewegung horizontal (Zwischen Systemen). Schutzmaßnahmen umfassen Zero-Trust-Architektur, Netzwerksegmentierung (Mikrosegmentierung) und EDR-Tools zur Verhaltensanalyse.

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Lateralbewegung&oldid=2012