Definition Was ist Lateral Movement?

Autor / Redakteur: zeroshope / Sarah Böttcher

Unter Lateral Movement ist das Bewegungsmuster zu verstehen, dass Angreifer bei einer Cyber-Attacke im IT-Netzwerk beschreiben. Ziel ist es, so lange es geht unentdeckt zu bleiben. Zugleich geht es darum, möglichst breiten Zugriff zu erhalten.

Firmen zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Das sogenannte Lateral Movement (deutsch: „Seitwärtsbewegung“) ist ein Muster, das inzwischen bei fast allen Cyber-Attacken auf Unternehmensnetzwerke zu beobachten ist. Teilweise ist deshalb auch von Network Lateral Movement die Rede. Es beschreibt die Art, wie sich die Angreifer durch die IT-Infrastruktur ihrer Opfer bewegen. Das Ganze basiert auf der Idee eines Brückenkopfes, dem das Dominoprinzip folgt. Das Lateral Movement beginnt nach einem erfolgreichen Angriff. Hier nimmt die Malware des Hackers die Rolle eines legitimierten Nutzers an. Als ein solcher erhält sie Zugriff zu weiteren Bereichen und kann eine neuerliche Anwenderidentität kreieren – und so weiter.

Die Effekte des Lateral Movements

Das Hauptziel des Lateral Movements ist, möglichst lange unentdeckt zu bleiben. Hier greift das Dominoprinzip, das sich auf die immer neuen Nutzeridentitäten bezieht: Bringt das Sicherheitssystem eine falsche Identität zu Fall, setzt der Hacker bereits die nächste ein. Durch die wechselnden Identitäten kann der Angreifer zudem Zugang zu sehr vielen Bereichen des Netzwerkes erhalten. Dies ist das zweite große Ziel der Angriffsstrategie, die auf dieses Muster setzt. Das Ganze ist durchaus erfolgreich: 2019 dauerte es durchschnittlich 78 Tage, bis ein Angriff überhaupt entdeckt wurde. 2011 waren es zwar noch 418 Tage, was zeigt, dass die Sicherheitsprogramme deutlich besser geworden sind. Trotzdem bedeuten 78 Tage noch immer einen viel zu langen Zeitraum für die Integrität von Unternehmensnetzen.

Gegenmaßnahmen gegen das Lateral Movement

Gegen das Lateral Movement können verschiedene Gegenmaßnahmen durchgeführt werden:

  • Verhaltensanalysen automatisiert durchführen, die nach ungewöhnlichen Bewegungen suchen.
  • Log-Aggregationen regelmäßig erstellen.
  • Visualisierungen von Bewegungen im Netzwerk immer wieder anfertigen lassen.
  • Das Prinzip der geringsten Privilegien sollte zum Einsatz kommen.
  • Mehrstufige Authentifizierungsverfahren sollten für den Zugriff auf sensible Daten Standard sein.
  • Angriffsdaten öffentlich teilen, um die Entwicklung von geeigneter Sicherheitssoftware zu unterstützen.

(ID:47580863)