Angreifer hangeln sich von einem einzigen Rechner bis zum Domänen-Admin — „seitliche Bewegung“. Teilen alle PCs dasselbe lokale Admin-Passwort, genügt ein Gerät, um per Pass-the-Hash aufs ganze Netz zu springen. Hier steht im Klartext, wie das läuft — und der eine Fix, der die Kette unterbricht.
Seitliche Bewegung heißt: Der erste Rechner ist nur der Einstieg, nicht das Ziel. Über ein einheitliches lokales Admin-Passwort wird per Pass-the-Hash aus einem Gerät schnell das ganze Netz. Tippen Sie auf einen Schritt, um den Fix zu sehen.
Beispielhafter Angriffspfad · so liest TULPAR Ihr Netz · keine Anleitung
Aus Bequemlichkeit tragen viele Netze auf jedem Rechner dasselbe lokale Admin-Passwort. Genau das macht aus einem Einzelfall einen Flächenbrand.
Ohne Segmentierung kann jeder PC mit jedem reden. Der Angreifer hangelt sich frei weiter, bis er beim Domänen-Controller ankommt.
Die seitliche Bewegung fällt oft erst auf, wenn alles verschlüsselt ist. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen.
Eine Software, die in Ihrem Netzwerk läuft und prüft, wie weit sich ein Angreifer von einem einzelnen PC aus weiterbewegen könnte — die seitliche Bewegung. Sie zeigt verständlich, wo die Kette am leichtesten reißt und was Sie zuerst tun sollten. Rein defensiv, ohne Angriffsanleitung.
TULPAR im Netzwerk einrichten — startklar in Minuten.
🟢 Nur ansehen (empfohlen) oder 🟡 aktiv testen — mit Ihrer Freigabe.
Bericht mit Schulnote, Ampel und Klartext — keine Fachsprache nötig.
Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die Maßnahmen, die die seitliche Bewegung am wirksamsten stoppen — in der richtigen Reihenfolge.
Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.
Sie sehen den Sprung von PC zu PC — nicht nur einzelne Lücken ohne Zusammenhang.
Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.
Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.
Die seitliche Bewegung ist ein Teil der Active-Directory-Sicherheit. Wie Sie Ihr Verzeichnis grundsätzlich härten, lesen Sie auf der Übersichtsseite: Active Directory absichern für KMU →
Lateral Movement heißt „seitliche Bewegung“: Ein Angreifer, der nur einen einzigen Rechner unter Kontrolle hat, hangelt sich von dort weiter — von PC zu PC, bis er irgendwann den Domänen-Controller und damit das ganze Netz beherrscht. Der erste Rechner ist selten das eigentliche Ziel, sondern nur der Einstieg. Genau deshalb ist „nur ein PC betroffen“ trügerisch: Entscheidend ist nicht, wo der Angreifer reinkommt, sondern wie weit er von dort kommt. TULPAR zeigt genau diesen Weg in Ihrem eigenen Netz — rein defensiv, ohne Angriffsanleitung.
Wenn auf allen Rechnern dasselbe lokale Administrator-Passwort eingerichtet ist, hat das eine fatale Folge: Verschafft sich ein Angreifer auf einem einzigen PC die Anmeldedaten dieses Kontos, passen sie sofort auf alle anderen Rechner — das nennt man Pass-the-Hash. Aus „ein Gerät kompromittiert“ wird so in Minuten „das halbe Netz kompromittiert“, ohne dass irgendein Passwort geknackt werden muss. Ein einziges, überall gleiches Passwort verwandelt jeden Einzelfall in einen Flächenbrand. Der Fix: jedem Rechner ein eigenes, zufälliges lokales Admin-Passwort geben.
Windows merkt sich beim Anmelden nicht das Klartext-Passwort, sondern einen daraus berechneten Fingerabdruck. Bei Pass-the-Hash übernimmt ein Angreifer diesen Fingerabdruck von einem bereits kontrollierten Rechner und nutzt ihn, um sich an anderen Rechnern anzumelden — ganz ohne das Passwort selbst zu kennen oder zu knacken. Das funktioniert besonders gut, wenn überall dasselbe Konto mit demselben Passwort existiert. Wir erklären das hier nur, um den Schutz verständlich zu machen — es ist keine Anleitung, sondern die Begründung für den einen Fix.
Der wirksamste Hebel ist, jedem Rechner ein eigenes, zufälliges lokales Administrator-Passwort zu geben — das übernimmt Microsoft LAPS automatisch und kostenlos. Dann öffnet ein gestohlener Fingerabdruck eben nur diesen einen Rechner und nicht das ganze Netz. Ergänzt wird das durch Admin-Tiering (Administratoren melden sich nie mit ihren wertvollen Konten an einfachen Arbeitsplätzen an), Credential Guard ab Windows 10 und Server 2016 (schirmt die Anmeldedaten im Speicher ab) und Netzwerksegmentierung (nicht jeder Rechner darf jeden erreichen). TULPAR sagt Ihnen, welcher dieser Schritte bei Ihnen den größten Unterschied macht.
Nein, ausdrücklich nicht. Diese Seite erklärt rein defensiv, wie eine Angriffskette grundsätzlich funktioniert, damit Sie verstehen, warum bestimmte Schutzmaßnahmen wichtig sind — ohne Werkzeuge, ohne Befehle, ohne Schritt-für-Schritt-Anleitung. TULPAR selbst ist eine autorisierte Selbstprüfung Ihres eigenen Netzwerks und kein Angriffswerkzeug. Standardmäßig wird nur angesehen; ein aktiver Test erfolgt ausschließlich mit Ihrer ausdrücklichen Freigabe und nur in Ihrem eigenen Netz. Wir greifen nichts an, was Sie nicht freigeben.
Active Directory ist das zentrale Verzeichnis, über das in den meisten Firmennetzen Anmeldungen und Rechte verwaltet werden — und damit das große Ziel jeder seitlichen Bewegung. Wer dort die Kontrolle erlangt, beherrscht praktisch alles. Viele Pass-the-Hash- und Rechte-Sprünge zielen genau darauf ab. Wie Sie Ihr Active Directory grundsätzlich härten, haben wir auf einer eigenen Seite zusammengefasst: Active Directory absichern für KMU. Diese Seite hier vertieft den einen Teilaspekt der seitlichen Bewegung.
Nein und nein. TULPAR läuft on-premise und offline direkt bei Ihnen im Netzwerk; es gibt keinen Cloud-Zwang, die Ergebnisse bleiben in Ihrem Haus — wichtig gerade für sensible Patienten-, Mandanten- oder Produktionsdaten und für die DSGVO-Datenhoheit. Und der Bericht kommt im Klartext: mit Schulnote, Ampel und einer priorisierten Liste, was Sie zuerst tun sollten. Auch eine Geschäftsführung ohne IT-Hintergrund versteht auf einen Blick, wo die Kette am leichtesten reißt.
TULPAR identifiziert und dokumentiert Schwachstellen wie ein einheitliches Admin-Passwort oder fehlende Segmentierung nachvollziehbar — Belege, die in NIS2-Risikomanagement, BSI-Einstiegschecks oder einen Cyberversicherungsantrag einfließen können; Versicherer verlangen heute oft genau solche Punkte wie Berechtigungskonzept und Netzwerksegmentierung. TULPAR ist aber keine Zertifizierung und keine Rechtsberatung und macht Sie nicht automatisch konform. Es schließt die Lücke zwischen einfachem Scan und teurem Pentest (typisch ab rund 2.000 Euro) und sagt Ihnen, wo sich ein tiefer Pentest noch lohnt.
Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie der Sicherheitscheck die seitliche Bewegung sichtbar macht — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.