Ein Passwort genügt

Vom kompromittierten Passwort zum vollständigen Netzwerkzugriff

Wie Angreifer sich im Netzwerk ausbreiten
(Lateral Movement)

Viele Cyberangriffe beginnen unscheinbar – etwa mit einer kompromittierten Benutzerkennung oder einem einzelnen infizierten Endgerät. Der eigentliche Schaden entsteht jedoch häufig erst danach: wenn sich Angreifer im Netzwerk weiterbewegen. Dieser Prozess wird als Lateral Movement bezeichnet – und genau hier entscheidet sich oft, ob aus einem kleinen Vorfall ein schwerwiegender Sicherheitsvorfall wird.

Ein realistisches Beispiel aus der Praxis

Ein Mitarbeiter verwendet für mehrere private und geschäftliche Accounts das gleiche Passwort. Eines seiner privaten Konten wird kompromittiert, und die Zugangsdaten tauchen kurze Zeit später in einem Datensatz im Darknet auf. Ein Angreifer kauft diesen Datensatz und testet automatisiert, ob die Kombination aus E-Mail-Adresse und Passwort auch bei Unternehmensdiensten funktioniert – etwa VPN, Microsoft 365 oder Remote-Zugängen.

Der Login funktioniert. Der Angreifer hat damit einen gültigen Zugang – ohne eine einzige Sicherheitslücke ausgenutzt zu haben.

Der erste Zugriff im Unternehmenskontext

Nach dem Login prüft der Angreifer zunächst, auf welche Systeme er zugreifen kann. Häufig sind das E-Mail-Postfächer, interne Anwendungen oder File Shares.

Bereits hier ergeben sich erste Möglichkeiten: interne Kommunikation einsehen, Dokumente analysieren oder Hinweise auf weitere Systeme und Benutzer erhalten. Oft enthalten E-Mails oder Dateien bereits Informationen über Administratoren, Servernamen oder interne Strukturen.

Was danach passiert

Der Angreifer versucht nun, den Zugriff schrittweise zu erweitern. Er meldet sich an weiteren Systemen an, nutzt bestehende Netzwerkverbindungen und bewegt sich innerhalb der vorhandenen Berechtigungen. Sobald ein System erreicht wird, auf dem der Benutzer aktiv ist oder war, ergeben sich neue Möglichkeiten.

Zugangsdaten auslesen

Ein besonders kritischer Schritt ist das Auslesen weiterer Zugangsdaten. Auf vielen Systemen finden sich:

  • gespeicherte Passwörter
  • aktive Sitzungen
  • Authentifizierungs-Tokens

Mit Tools wie Mimikatz kann ein Angreifer Passwörter aus dem Arbeitsspeicher extrahieren oder bestehende Sitzungen übernehmen. Ein einzelner kompromittierter Account kann so schnell zu mehreren Zugriffen führen – oft auch mit höheren Rechten.

Seitliche Bewegung im Netzwerk

Mit diesen neuen Zugangsdaten beginnt die eigentliche Ausbreitung im Netzwerk. Der Angreifer nutzt dabei typische Administrationswege wie Remote Desktop, Netzwerkfreigaben oder Tools wie PsExec und PowerShell, um Befehle auf anderen Systemen auszuführen. Dabei bleibt das Verhalten oft unauffällig, da ausschließlich legitime Funktionen genutzt werden.

Der Weg zu kritischen Systemen

Mit jedem Schritt erweitert der Angreifer seinen Zugriff. Ein typischer Ablauf:

    1. Zugriff auf einen Benutzeraccount
    2. Zugriff auf einen Arbeitsplatzrechner
    3. Auslesen weiterer Zugangsdaten
    4. Zugriff auf Server
    5. Kompromittierung eines Administratorkontos

Tools wie BloodHound helfen Angreifern dabei, Strukturen im Active Directory zu analysieren und gezielt nach Wegen zu höheren Berechtigungen zu suchen. Oft gibt es im Netzwerk mehrere indirekte Wege zu administrativen Rechten – Angreifer müssen sie nur finden.

Weshalb Angriffe oft lange unentdeckt bleiben

In diesem gesamten Ablauf gibt es keinen einzelnen auffälligen Angriff. Stattdessen besteht der Angriff aus vielen kleinen Schritten:

  • legitime Logins
  • bekannte Tools
  • normale Netzwerkzugriffe

Technisch wirkt vieles wie reguläre IT-Nutzung. Erst wenn kritische Systeme betroffen sind oder Daten abfließen, wird der Angriff sichtbar.

Das eigentliche Ziel des Angreifers

Die seitliche Bewegung dient immer einem konkreten Ziel. Typische Ziele sind:

  • Zugriff auf sensible Daten wie Kundendaten oder Verträge
  • Kontrolle über zentrale Systeme wie Active Directory
  • Vorbereitung eines Ransomware-Angriffs
  • Aufbau eines dauerhaften Zugriffs auf das Netzwerk

Gerade bei Ransomware-Angriffen wird das Netzwerk oft zunächst vollständig analysiert und kontrolliert, bevor der eigentliche Angriff gestartet wird. Die Verschlüsselung erfolgt häufig erst am Ende – wenn der Angreifer genau weiß, welche Systeme kritisch sind.

Klassische Endpoint-Security stößt hier an Grenzen

Im beschriebenen Szenario kommt kaum klassische Malware zum Einsatz. Der Angreifer nutzt gültige Zugangsdaten und bewegt sich über legitime Systemfunktionen im Netzwerk – genau deshalb bleibt das Verhalten oft unauffällig. Klassische Endpoint-Security erkennt solche Aktivitäten in der Regel nicht, da sie primär auf das Blockieren bekannter Bedrohungen und die Ausführung kritischer Software ausgelegt ist.

EDR-Lösungen machen diese Bewegungen sichtbar. Entscheidend ist jedoch die richtige Einordnung: Einzelne Hinweise wirken oft unkritisch, ergeben aber im Zusammenhang ein klares Angriffsmuster. Ohne kontinuierliche Überwachung bleiben diese Zusammenhänge häufig unerkannt – hier setzen Security Operations Center an, die solche Signale analysieren, priorisieren und bei Bedarf unmittelbar Maßnahmen einleiten.

Fazit
Lateral Movement ist die Phase, in der ein Angreifer beginnt, Kontrolle über ein Unternehmen zu gewinnen. Der erste Zugriff ist dabei oft unspektakulär. Entscheidend ist, wie schnell und wie weit sich ein Angreifer danach im Netzwerk bewegen kann. Unternehmen, die diese Bewegungen erkennen oder gezielt erschweren, stoppen Angriffe oft genau in dem Moment, bevor sie wirklich kritisch werden.

Zurück
Bitte versuchen Sie es erneut.
Anti-Spam-Schutz
Bitte klicken Sie hier um zu bestätigen, dass Sie kein Robot sind.
Der Anti-Spam-Schutz konnte Sie erfolgreich verifizieren.
Danke, Sie können nun das Formular abschicken.
Bitte erlauben Sie aus Sicherheitsgründen Cookies für diese Website um das Formular zu nutzen.