Ransomware im Netzwerk: Wie NDR laterale Bewegungen stoppt, bevor der Schaden entsteht

Ransomware-Angriffe haben sich in den letzten Jahren grundlegend verändert. Während frühere Varianten primär auf Massenverteilung setzten, operieren moderne Ransomware-Gruppen wie LockBit, BlackCat (ALPHV) und Cl0p nach dem Prinzip «Big Game Hunting» — gezielte Angriffe auf Unternehmen mit hohem Erpressungspotenzial. Dabei ist die laterale Bewegung im Netzwerk der entscheidende Faktor, der einen isolierten Vorfall von einer unternehmensweiten Katastrophe unterscheidet.

Die Anatomie moderner Ransomware-Angriffe

Gemäss dem IBM X-Force Threat Intelligence Index 2024 beträgt die durchschnittliche Verweildauer (Dwell Time) eines Angreifers im Netzwerk vor der Ransomware-Detonation 24 Tage. In dieser Zeit bewegen sich die Akteure lateral durch das Netzwerk, eskalieren Privilegien und exfiltrieren Daten — oft vollständig unerkannt von traditionellen Endpoint-Lösungen.

Der typische Angriffsverlauf folgt dem MITRE ATT&CK Framework und umfasst mehrere Phasen: Initial Access über Phishing oder ausgenutzte Schwachstellen, gefolgt von Credential Harvesting mit Tools wie Mimikatz, dann laterale Bewegung via SMB, RDP oder WMI, Datenexfiltration als Hebel für Double Extortion, und schliesslich die Ransomware-Detonation und Verschlüsselung.

Warum Endpoint-Security allein nicht ausreicht

Laut dem Verizon Data Breach Investigations Report (DBIR) 2024 wurden 68% der Breaches erst nach Wochen oder Monaten entdeckt. Endpoint Detection & Response (EDR) ist eine wichtige Komponente, hat aber einen fundamentalen blinden Fleck: Sie sieht nur, was auf dem einzelnen Endpunkt passiert.

Laterale Bewegungen im Ost-West-Traffic — also Kommunikation zwischen internen Systemen — bleiben für EDR weitgehend unsichtbar. Genau hier setzt Network Detection & Response (NDR) an. NDR analysiert den Netzwerkverkehr auf Layer 2 bis 7 und erkennt anomale Kommunikationsmuster, die auf laterale Bewegungen hindeuten.

NDR als Verteidigungslinie: So funktioniert die Erkennung

Moderne NDR-Systeme wie Ironate NDR setzen auf eine Kombination aus Deep Packet Inspection (DPI), maschinellem Lernen und Threat Intelligence. Die Erkennung erfolgt in Echtzeit und umfasst mehrere Mechanismen.

Erstens die Baseline-Analyse: Das System erstellt einen digitalen Fingerabdruck des normalen Netzwerkverhaltens. Jede Abweichung — etwa ein Buchhaltungsserver, der plötzlich mit Dutzenden anderen Systemen kommuniziert — wird sofort als Anomalie erkannt.

Zweitens die Protokoll-Analyse: C2-Beaconing (Command & Control) hat charakteristische Muster in Timing und Payload-Grösse. NDR erkennt diese Muster auch in verschlüsseltem Traffic durch JA3/JA3S-Fingerprinting, ohne den Traffic entschlüsseln zu müssen.

Drittens die automatisierte Reaktion: Bei kritischen Bedrohungen kann das System automatisch den betroffenen Endpunkt isolieren — in unter einer Sekunde, durch direkte API-Integration mit Firewall und EDR-Lösung.

Praxisbeispiel: Cobalt Strike Beaconing erkennen

Cobalt Strike ist eines der am häufigsten missbrauchten Tools bei Ransomware-Angriffen. Laut der Recorded Future Adversary Infrastructure Report 2024 wurde Cobalt Strike in über 30% aller identifizierten C2-Infrastrukturen verwendet. NDR erkennt Cobalt Strike Beaconing durch die Analyse von Interval-Jittering und HTTP-Header-Anomalien, selbst wenn die Kommunikation über HTTPS verschlüsselt ist.

Fazit: Defense in Depth erfordert NDR

Ransomware-Abwehr ist kein einzelnes Produkt, sondern eine Architekturentscheidung. NDR schliesst die kritische Lücke zwischen Endpoint- und Perimeter-Security und liefert die Netzwerktransparenz, die für die Erkennung lateraler Bewegungen unerlässlich ist. Für Schweizer Unternehmen, die den strengen Anforderungen des revDSG und ISO 27001 gerecht werden müssen, ist NDR keine Option mehr — sondern eine Notwendigkeit.