Auf den Punkt: Unzureichende Netzwerksegmentierung und fehlende Zugriffskontrolle ermöglichen Angreifern unkontrollierte Lateralbewegung — ohne spezialisierte Exploits, sondern mit Standardadministrations-Tools.
Über 80 Prozent der Enterprise-Server sind innerhalb von Unternehmensnetzen von überall erreichbar, zeigt der 2026 Lateral Movement Exposure Report von Zero Networks. Die Analyse von 54 Billionen Aktivitäten in 312 Live-Umgebungen offenbart kritische Sicherheitslücken, die Angreifern nach erfolgreichem Perimeterdurchbruch freie Hand geben.
Der Bericht dokumentiert alarmierende Fehlkonfigurationen bei RDP- und SSH-Zugriffen: 87 Prozent der Server akzeptieren inbound-Verbindungen dieser Protokolle von breiten internen Quellen. Zudem sind 78 Prozent der Server über SMB oder WinRM erreichbar — beide Protokolle werden routinemäßig zur Lateralbewegung im Kontext von Ransomware-Angriffen ausgenutzt. Besonders kritisch: 43 Prozent der internen Authentifizierungsverkehr basiert noch auf NTLM, einem Legacy-Protokoll, das anfällig für Credential-Relay und Privilege-Escalation-Angriffe ist. In 12 Prozent der Organisationen existieren direkte Benutzer-zu-Server-Administratorpfade, was bedeutet, dass ein kompromittiertes Endgerät unmittelbaren Zugriff auf kritische Systeme ermöglicht.
Sicherheitspraktiker bestätigen diese Befunde aus ihren operativen Erfahrungen. Dray Agha, Senior Manager Security Operations bei Huntress, beschreibt ein weit verbreitetes Pattern: „Netzwerkperimeter sind von außen hart, werden aber im inneren Netzwerk flach und offen.“ Robby Winchester, Chief Global Professional Services Officer bei SpecterOps, ergänzt: In nahezu jedem Penetrationstest gelinge es den PenetrationsTestern, Lateralbewegung zu erreichen. Tools wie BloodHound visualisierten, dass Angriffspfade durchgehend präsent und ohne Visibility kaum zu eliminieren sind.
Angreifer haben nach der Perimeter-Kompromittierung keinen Anlass, aufwendige Zero-Day-Exploits einzusetzen. Sie nutzen dieselben administrativen Werkzeuge und offenen Pfade — RDP, SMB, SSH — die auch IT-Teams tagtäglich verwenden. Dies ist kein Versehen, sondern Folge einer bewussten Designentscheidung: RDP, SMB, SSH und WinRM existieren, weil Administratoren damit arbeiten müssen. Moderne Alternativen zu Legacy-Protokollen wie NTLM zu implementieren ist operativ herausfordernd und erfordert in lange gewachsenen Umgebungen erhebliche Anstrengungen.
David Sancho, Senior Threat Researcher bei Trend Micro, betont dabei eine wichtige Differenzierung: Erreichbarkeit zeige das potenzielle Schadensausmaß an, garantiere aber nicht automatisch Kompromittierung in allen Szenarien. Gleichwohl offenbaren die Erkenntnisse ein fundamentales operatives Spannungsfeld — die Balance zwischen Sicherheit und Usability. Maßnahmen wie Einschränkung administrativer Pfade, Ausmusterung Legacy-basierter Protokolle und implementierte Netzwerksegmentierung sind fachlich sinnvoll, in komplexen, über Jahrzehnte gewachsenen Umgebungen aber oft schwer durchzusetzen.
Quelle: www.csoonline.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.