Wer die Bezeichnung laterale Netzwerkbewegung hört, denkt erst einmal vermutlich an nichts besonders Schlimmes. Doch was zunächst geradezu harmlos klingt, entpuppt sich dann schnell als bösartiger Angriff mit anschließender Netzwerkinfiltrierung im betroffenen Unternehmen.
Lateral bedeutet dabei »seitlich; von der Seite« und meint auch in diesem Falle die seitliche Netzwerkbewegung. Cyberkriminelle bewegen sich bei dieser Art von Angriff durch das Netzwerk und versuchen so an möglichst viele kritische Informationen und Daten zu gelangen. Das geht oft mehrere Monate lang gut, weshalb die Angreifer bei dieser Art von Attacke auch keinen allzu großen Zeitdruck verspüren und vielmehr auf genau den richtigen Moment warten, bevor sie dann umfangreich zuschlagen.
Verwirrt von dieser Art der Attacke? Das verstehen wir gut, denn laterale Netzwerkbewegungen klingen sehr gewöhnlich und nicht unbedingt nach einem Sicherheitsvorfall. Warum es sich dabei aber dennoch um eine ernste Bedrohung handelt und wie genau die Cyberattacke abläuft, verraten wir Ihnen im Folgenden noch einmal genauer.
Was ist eine laterale Netzwerkbewegung?
Cyberkriminelle versuchen sich bei alltäglichen Angriffen für gewöhnlich sofortigen Zugriff zu verschaffen. Meist geschieht dies weder besonders unauffällig noch allzu elegant. Vielmehr gleicht die Vielzahl an Cyberattacken dem Einbruch mit einem Vorschlaghammer. Den Lärm bekommt also jeder mit, doch verhindern lässt sich der Angriff größtenteils nicht mehr oder erst dann, wenn es schon zu spät und der Schaden verursacht ist.
Bei lateralen Netzwerkbewegungen geht es hingegen darum, sich zunächst einmal unbemerkt im Netzwerk eines Unternehmens aufzuhalten. Hier werden also nicht bestimmte Daten gestohlen, sondern ein System wird regelrecht infiltriert und optimal durchleuchtet, auf der Suche nach möglichst wertvollen Datensätzen oder weiteren Zugängen und entsprechenden Möglichkeiten.
Die laterale Netzwerkbewegung meint also, dass sich Angreifer zunächst einmal Zugriff zum Netzwerk verschaffen und sich dort gekonnt hin und her bewegen, ohne sich dabei entdecken zu lassen. Sie werden vielmehr zu einem Teil des großen Ganzen und spähen aus, um hinterher, viel später, dann möglichst schnell und effizient zuschlagen zu können.
Wie funktioniert die laterale Netzwerkbewegung?
Zeit für ein wenig Aufklärung darüber, was wir mit einer lateralen Netzwerkbewegung genau meinen. Viele Menschen können sich darunter nämlich nicht besonders viel vorstellen. Der gesamte Ablauf der lateralen Netzwerkumgebung lässt sich prinzipiell in drei unterschiedliche Stadien einteilen. Schauen wir uns diese also zunächst einmal an.
- Stadium 1: Im ersten Stadium geht es um die reine Aufklärungsarbeit. Im Netzwerk werden also möglichst unauffällig interessante Angriffspunkte ausgemacht, die von besonderem Interesse sein könnten. Dabei werden Schwachstellen gesucht und mögliche Angriffe geplant. Zum Einsatz kommen hier oft Social Engineering Strategien, aber auch ganz einfache Recherchen im Internet, die ebenfalls häufig schon sehr viel über Netzwerke aussagen können. Gepaart mit ein paar einfachen Scans, die nicht weiter auffallen, sammeln Angreifer hier also viele potenziell wichtige Informationen für den eigentlichen Angriff, der aber erst später erfolgt.
- Stadium 2: Im zweiten Stadium der lateralen Netzwerkbewegungen geht es darum, sich die notwendigen Netzwerkprivilegien zu verschaffen. Der grundlegende Zugang zum Netzwerk besteht nun bereits, doch im weiteren Verlauf wollen Logins ergaunert werden, um lateral durch das gesamte Netzwerk hinweg agieren zu können.
- Stadium 3: Haben sich die Angreifer eine grundlegende Übersicht verschafft, etwaige Login-Daten und Netzwerkprivilegien gesichert, können sie sich um den eigentlichen Angriff kümmern. Welches Ziel dieser verfolgt, ist dabei vollkommen unterschiedlich. Mal wird Ransomware übertragen, ein anderes Mal geht es hingegen darum, bestimmte Daten zu sichern oder Systemstörungen zu verursachen. Im dritten Stadium findet, nach sorgfältiger Vorbereitung, dann der eigentliche Angriff statt.
Welche Sicherheitsmaßnahmen gegen derartige Angriffe gibt es?
Laterale Netzwerkbewegungen sind vor allem deshalb gefährlich, weil sie unglaublich subtil verlaufen. Angreifer haben über einen langen Zeitraum hinweg Zugriff auf Unternehmensnetzwerke und können sich dort relativ frei bewegen. Zudem wächst ihr Zugriff nur beständig weiter an, da sie sich innerhalb des Netzwerks weitere Logins sichern oder Zugriffsrechte ergaunern.
Wie also können sich Unternehmen vor den lateralen Netzwerkbewegungen schützen? Dafür sind in erster Linie proaktive Sicherheitsmaßnahmen vonnöten, die eine solche Kompromittierung von Beginn an ausschließen. Folgende Maßnahmen stellen dabei einen guten Start dar.
- Netzwerksegmentierung: Besonders wichtig für moderne Sicherheitsstrategien ist die Segmentierung des Netzwerks. Der Umstand, dass das Unternehmensnetzwerk in separate Segmente aufgeteilt wird, schränkt die Bewegungsfreiheit von Angreifern nämlich bereits massiv ein.
- Monitoring: Eine möglichst kontinuierliche Überwachung des gesamten Netzwerks, mit entsprechender Protokollierung von allen Vorgängen und Aktivitäten, bildet ebenfalls eine wichtige Grundlage im Kampf gegen laterale Netzwerkumgebungen.
- Zugangskontrolle: Je strikter und strenger die Zugangskontrollen ausfallen, desto schwieriger haben es Angreifer, sich Zugriff zum Netzwerk zu verschaffen. Eine Zugangskontrolle, die auf das Prinzip des minimalen Zugriffs setzt, mindert das Risiko lateraler Bewegung daher auch um ein Vielfaches.
- Awareness: Zu guter Letzt hilft auch Security Awareness wieder dabei, etwaige Eindringlinge möglichst früh zu identifizieren und auszuschließen. Immer dann, wenn Mitarbeiter beständig über entsprechende Risiken informiert werden und auch verdächtige Aktivitäten sofort als solche wahrnehmen, ist bereits viel gewonnen. Security Awareness erschafft dieses Sicherheitsbewusstsein bei den eigenen Mitarbeitern.
Wenn Sie in Ihrem Unternehmen also verhindern möchten, dass sich Angreifer Zugriff auf Ihr Netzwerk verschaffen und dort Daten sammeln, ehe sie dieses vollständig kompromittieren, sollten Sie die genannten Maßnahmen vorab besonders ernst nehmen und beständig erweitern und ausbauen. Cybersicherheit verlangt immer auch modernste Maßnahmen und Umsetzungsstrategien. Nur wer aktuelle Ergebnisse und Techniken kennt und einsetzt, kann sich effektiv vor Angreifern schützen.
Unscheinbar und doch unfassbar mächtig
Zunächst einmal klingt das Konzept der lateralen Netzwerkbewegung nicht allzu aufregend. Es erscheint geradezu gewöhnlich und wenig spektakulär zu sein. Doch schnell wird klar, wie viel Gefahr von den lateralen Bewegungen im Unternehmensnetzwerk ausgeht und wie hoch das Risiko ist, durch selbige einen enorm großen Schaden in Kauf zu nehmen.
Bei einer lateralen Netzwerkbewegung ist deshalb alles daranzusetzen, diese bereits frühzeitig zu erkennen. Wobei frühzeitig hier ein zwiespältiges Wort ist, denn wird eine solche Bewegung im eigenen Netzwerk erkannt, ist es eigentlich bereits längst zu spät. Dennoch ist dies die einzige Möglichkeit, noch effektiv gegen diese Form von Bedrohung vorzugehen.
Wir denken, dass wir Sie mit unserem Beitrag ein wenig darüber aufklären konnten, was laterale Netzwerkbewegungen ausmacht und wie eine Cybersicherheitsstrategie gegen selbige auszusehen hat. Bei der konkreten Umsetzung, entsprechenden Security Awareness Trainings und mehr, unterstützen wir Sie nun ebenfalls gerne. Kontaktieren Sie uns einfach und unverbindlich, um mehr darüber zu erfahren, wie wir Ihnen helfen können, sich gegen laterale Netzwerkbewegungen abzusichern.