Thought Leadership
Trotz steigender Investitionen in Cybersecurity sind viele Unternehmensnetzwerke weiterhin anfällig für sogenannte laterale Bewegungen von Angreifern.
Zu diesem Ergebnis kommt der aktuelle „Lateral Movement Exposure Report 2026“ von Zero Networks. Für die Untersuchung wurden innerhalb eines Monats rund 54 Billionen Netzwerkaktivitäten in 312 Unternehmensumgebungen analysiert.
Die Ergebnisse verdeutlichen, dass sich Angreifer nach einer erfolgreichen Erstinfektion in vielen Unternehmen weiterhin vergleichsweise einfach innerhalb des Netzwerks ausbreiten können. Besonders im Zeitalter automatisierter und KI-gestützter Angriffe erhöht dies das Risiko schwerwiegender Sicherheitsvorfälle erheblich.
Interner Datenverkehr bleibt häufig ungeschützt
Ein zentrales Ergebnis der Studie betrifft den sogenannten East-West-Traffic – also den Datenverkehr zwischen Systemen innerhalb eines Unternehmensnetzwerks. Dieser macht laut Zero Networks mehr als 70 Prozent der gesamten Netzwerkkommunikation aus, wird jedoch oft nicht ausreichend abgesichert.
Besonders kritisch: Rund 80 Prozent der untersuchten Unternehmensserver sind von nahezu jedem Punkt innerhalb des internen Netzwerks erreichbar. Gelangt ein Angreifer einmal ins Netzwerk, eröffnen sich dadurch zahlreiche Möglichkeiten zur weiteren Ausbreitung.
Fernzugriffe bieten Angreifern zahlreiche Angriffspunkte
Die Analyse zeigt, dass 87 Prozent der Server eingehende Verbindungen über Remote-Protokolle wie RDP oder SSH aus vielen internen Quellen akzeptieren. Diese Zugänge werden häufig für administrative Aufgaben genutzt, können jedoch auch von Cyberkriminellen missbraucht werden, um sich im Netzwerk weiterzubewegen.
Zusätzlich sind 78 Prozent der Server über Verwaltungsprotokolle wie SMB oder WinRM erreichbar. Gerade diese Technologien werden regelmäßig bei Ransomware-Angriffen eingesetzt, um Schadsoftware auf weitere Systeme zu verteilen.
Veraltete Authentifizierung weiterhin weit verbreitet
Auch bei der Benutzeranmeldung sehen die Forscher erheblichen Nachholbedarf. Dem Bericht zufolge basieren 43 Prozent des internen Authentifizierungsverkehrs weiterhin auf NTLM. Das ältere Protokoll gilt seit Jahren als Sicherheitsrisiko, da es Angriffe auf Zugangsdaten und die Ausweitung von Benutzerrechten erleichtern kann.
Besonders problematisch sind zudem direkte Verwaltungsverbindungen von Arbeitsplatzrechnern zu Servern. Zwölf Prozent der untersuchten Unternehmen erlauben solche Zugriffswege. Wird ein Mitarbeitergerät kompromittiert, könnten Angreifer dadurch unmittelbar auf kritische Systeme zugreifen.
Neben klassischen Netzwerkproblemen rückt die Studie auch den zunehmenden Einsatz interner KI-Agenten in den Fokus. Rund 80 Prozent der untersuchten Unternehmen nutzen bereits entsprechende Systeme. Allerdings verfügen etwa zwei Drittel der Organisationen laut Bericht über keine klaren Governance-Regeln für deren Einsatz.
Dadurch entstehen neue und oftmals unkontrollierte Angriffsflächen. Ohne klare Richtlinien und Sicherheitskontrollen könnten KI-basierte Systeme künftig zu einem zusätzlichen Einfallstor für Cyberangriffe werden.
Sichtbarkeit als Grundlage für bessere Sicherheit
Zero Networks weist darauf hin, dass viele Unternehmen den tatsächlichen Umfang ihrer internen Angriffsflächen nicht kennen. Um Sicherheitsverantwortlichen einen besseren Überblick zu verschaffen, hat das Unternehmen parallel zur Studie ein Analysewerkzeug namens „Breach Map“ vorgestellt. Damit sollen Organisationen potenzielle Bewegungswege von Angreifern innerhalb ihrer Netzwerke sichtbar machen können.
Die Untersuchung macht deutlich, dass moderne Sicherheitsstrategien nicht nur den Schutz der Netzwerkgrenzen berücksichtigen dürfen. Ebenso wichtig ist die Absicherung interner Kommunikationswege, damit sich Angreifer nach einem erfolgreichen Eindringen nicht ungehindert im Unternehmensnetz bewegen können.
(red/Zero Networks)
