Blog de WatchGuard

Go to 

85 Prozent der Cyberangriffe nutzen RDP für laterale Bewegungen

Erfahren Sie, warum laterale Bewegungen so schwer zu erkennen sind und wie Sie Angreifern auf die Schliche kommen, bevor es zu spät ist.

Ransomware entwickelt sich zunehmend weiter – hin zu schnelleren, gezielteren Modellen der Kompromittierung und Erpressung, bei denen die Verschlüsselung mit anschließender Lösegeldforderung zur Entschlüsselung nicht mehr das primäre Ziel ist. Laut WatchGuards Cybersecurity-Vorhersagen für 2026 steht mittlerweile Datendiebstahl im Fokus, um Unternehmen unter Druck zu setzen. Dadurch wird die technische Hürde für Angreifer kleiner und ihre Angriffsgeschwindigkeit gleichzeitig höher.

Diese Verschiebung hat eine unmittelbare Folge: Der Brennpunkt eines Angriffs ist nicht mehr der Erstzugriff, sondern die laterale Bewegung innerhalb des Netzwerks. Insbesondere legitime interne Tools wie das Remote Desktop Protocol (RDP) sind vor diesem Hintergrund für Angreifer zu einem der effektivsten Werkzeuge geworden.

Daten von Google Threat Intelligence (GTIG) zeigen, dass RDP bei 85 Prozent dieser Angriffe im Einsatz ist. Das verdeutlicht einen klaren Trend: Angreifer verzichten zunehmend auf komplexe Malware und setzen stattdessen auf „Living off the Land" – sie nutzen legitime Tools, um unsichtbar zu bleiben.

Es geht nicht mehr nur darum, wie Angreifer ins Netz gelangen, sondern darum, was sie tun, sobald sie drin sind.

RDP: Der unauffällige Angriffsvektor 

RDP ist ein zuverlässiges Werkzeug, das von Administratoren und MSP häufig für die Remote-Verwaltung von Geräten genutzt wird. Genau deshalb hat es sich zu einem beliebten Angriffsvektor entwickelt: Es erlaubt Angreifern, im normalen Geschäftsverkehr unterzutauchen. Somit bleiben sie oft über längere Zeiträume unbemerkt und können in dieser Zeit erheblichen Schaden anrichten. Cyberkriminelle nutzen RDP aus, um:

  • Berechtigungen mithilfe kompromittierter Zugangsdaten auszuweiten
  • sich unentdeckt zwischen Systemen zu bewegen
  • Datendiebstahl in die Wege zu leiten oder Angriffe zu starten, ohne dabei offensichtliche Alarmmeldungen auszulösen

Für MSP ist die Herausforderung noch größer. Sie müssen über eine Vielzahl von Umgebungen hinweg zwischen legitimen Sitzungen und böswilligen Absichten unterscheiden und in vielen dieser Umgebungen gehört RDP zum täglichen Betrieb.

Die eigentliche Herausforderung: Gefahr im Alltag erkennen 

Wer unzählige Endpunkte verwaltet, sieht den Großteil der täglichen Aktivitäten als reine Routine: Remote-Logins, Datenübertragungen und Konfigurationsänderungen. Genau diese „Normalität" ist das Einfallstor für Cyberkriminelle – und ihre beste Tarnung. Wenn es ihnen gelingt, sich hinter legitimen Prozessen zu verbergen, können sie sich unbemerkt durch Netzwerke bewegen und ihr Unwesen treiben.

Daraus ergibt sich eine neue Hürde: Es gilt, legitime Sitzungen von unautorisiertem Verhalten zu trennen, in einem Umfeld, in dem sich beides zum Verwechseln ähnelt. Das kann zur Mammutaufgabe werden, besonders für Teams, die ohnehin schon in Warnmeldungen versinken und dadurch im Hinblick auf Handlungsfähigkeit und Reaktionszeiten ausgebremst werden.

Die Lösung dieses Problems erfordert eine strukturiertere Strategie, die auf folgenden Punkten beruht:

  • Rund-um-die-Uhr-Überwachung der Endpunkte, mit verhaltensbasierter Bedrohungserkennung und klarer Einsicht auf Vorfälle
  • Ereigniskorrelation, die isolierte Datenpunkte in verwertbare Warnmeldungen überführt
  • Priorisierung von Vorfällen anhand des tatsächlichen Risikos, damit sich Teams auf das Wesentliche konzentrieren können

Mit diesem Modell lassen sich Anomalien aufspüren, die sich hinter „normalen" Aktivitäten verbergen. So durchdringen Teams das Alarmrauschen und können besser reagieren.

Wie sich laterale Bewegungen in der Praxis erkennen und stoppen lassen 

KI-gestützte EDR-Lösungen gehen dieses Problem direkt an, indem sie Prävention, Erkennung und Reaktion auf einer einzigen Plattform bündeln. Der eigentliche Gamechanger ist aber nicht allein die Erkennung von Bedrohungen, sondern die durchgehende Transparenz und der verhaltensbasierte Kontext, den diese Lösungen liefern. In der Praxis bedeutet das:

  • Vollständige Endpunkt-Transparenz: Telemetriedaten zu Prozessen, Verbindungen und Nutzern werden zusammengeführt, ergänzt um eine Ursachenanalyse, damit Teams Umfang und Ursprung einer Bedrohung verstehen.
  • Erkennung lateraler Bewegungen: Ungewöhnliche RDP-Logins, manipulierte Zugangsdaten und verdächtige Verbindungsmuster werden identifiziert und die Warnmeldungen im MITRE-ATT&CK-Framework zugeordnet.
  • Automatisierte Vorfallkorrelation: Mehrere Ereignisse werden miteinander verknüpft, um den gesamten Verlauf eines Angriffs nachzuvollziehen. Das hilft Teams dabei, ihre Kräfte zu bündeln, und die Alarmmüdigkeit zu reduzieren.
  • Isolierung und Reaktion auf Endpunktebene: Geräte werden unter Quarantäne gestellt und verdächtige Prozesse beendet, während Analyse und direkte Schadensbegrenzung über Remote-Zugriff oder Remote-Shell-Tools erfolgen.
  • Mandantenfähige Konsolen für mehr operative Effizienz: MSP können mehr Kunden verwalten, ohne dass Aufwand oder Komplexität steigen.

Transparenz und Kontext: Die neue Verteidigungslinie 

Es ist kein Zufall, dass RDP bei 85 Prozent der Cyberangriffe eine tragende Rolle spielt. Das führt vor Augen, wie Cyberkriminelle heute vorgehen: „Living off the Land", also mithilfe vertrauenswürdiger Tools, um unsichtbar zu bleiben. Je mehr ein Angriff wie normaler Geschäftsbetrieb wirkt, desto schwerer ist er zu erkennen – und desto wahrscheinlicher ist er erfolgreich. Genau darin liegt die eigentliche Herausforderung. Bei Endpoint Security geht es längst nicht mehr nur um Prävention, sondern um klare Transparenz und verhaltensbasierten Kontext für schnellere, präzisere Erkennungen, gepaart mit einer schnellen Reaktion. Der Umstieg auf dieses Modell neutralisiert nicht nur laterale Bewegungen, sondern schafft auch einen Sicherheitsbetrieb, der mehr Effizienz und Skalierbarkeit bietet und den sich wandelnden Bedrohungen von heute besser standhält. 

Wenn Sie tiefer in die Frage einsteigen möchten, warum jedes Unternehmen Endpoint Detection and Response braucht, finden Sie in unserem Blog weitere Einblicke: Modernes EDR: Endpoint-Schutz auf Enterprise-Niveau

Archivado bajo: Cybersecurity Insights, Datenschutzverletzung, Malware, Ransomware, Zero Day, Risikomanagement, Endpoint-Security, Detection & Response, Threat Hunting, Channel-Partner