AEGYS DATALYTICS

WISSEN — BEDROHUNGEN & ANGRIFFSTECHNIKEN

Lateral Movement (laterale Bewegung)

Lateral Movement (laterale Bewegung) bezeichnet die Ausbreitung eines Angreifers innerhalb eines Netzwerks, nachdem er ein erstes System kompromittiert hat. Statt sofort zuzuschlagen, bewegt er sich seitlich von System zu System, um an wertvollere Ziele und höhere Rechte zu gelangen. Diese Phase ist im Angriffsmodell MITRE ATT&CK als eigene Taktik beschrieben.

Einfach erklärt

Ein Einbrecher, der durch ein Kellerfenster einsteigt, ist selten am Keller interessiert. Er bewegt sich durchs Haus, probiert Türen, sucht den Tresor. Genauso geht ein Angreifer im Netzwerk vor: Der erste kompromittierte Rechner ist nur der Einstieg — das eigentliche Ziel liegt woanders, und der Weg dorthin führt seitlich durch das Netz.

Wie es abläuft

EinstiegWorkstationFile-ServerDB / KronjuwelSeitliche Bewegung von System zu System bis zum eigentlichen Ziel.

Nach dem ersten Zugriff sammelt der Angreifer Zugangsdaten, missbraucht legitime Werkzeuge und greift auf weitere Systeme zu. Weil er sich oft normaler Bordmittel bedient, sieht vieles davon auf den ersten Blick wie regulärer Betrieb aus — was die Erkennung erschwert.

Wozu es dient und wo die Grenze liegt

Laterale Bewegung ist einer der wichtigsten Momente, um einen Angriff zu stoppen, bevor er sein Ziel erreicht. Sie erzeugt ungewöhnliche interne Verbindungen — Systeme sprechen miteinander, die das sonst nie tun. Genau solche Muster macht NDR sichtbar, weil es den internen Verkehr direkt beobachtet, statt sich auf Logs einzelner Systeme zu verlassen.

Verwandte Begriffe

Die Taktik ist im Framework MITRE ATT&CK dokumentiert. Wie sich solche Bewegungen im Netzwerk zeigen: Netzwerk-Monitoring-Tool richtig einordnen.

Zuletzt aktualisiert: 5. Juni 2026 · 4 Min. Lesezeit