Network Penetration Testing: Interne vs. Externe Tests im Vergleich

Dieser Leitfaden bietet Ihnen alles, was Sie benötigen, um diese Art von Test zu verstehen, zu planen und durchzuführen – mit praktischen Anleitungen, die Sie sofort umsetzen können.

Externes Netzwerk-Testing

Externes Penetration Testing evaluiert Ihre öffentlich zugängliche Infrastruktur aus der Perspektive eines Außenstehenden. Der Tester simuliert einen Angreifer ohne internen Zugriff und untersucht Ihre öffentlichen IP-Bereiche, Webserver, Mailserver, VPN-Endpunkte, DNS-Infrastruktur und alle anderen Dienste, die dem Internet zugänglich sind. Das Ziel: festzustellen, ob ein externer Angreifer in Ihr Netzwerk eindringen und Zugriff auf interne Systeme erhalten kann.

Internes Netzwerk-Testing

Internes Penetration Testing beginnt innerhalb Ihres Netzwerks und simuliert ein Szenario, in dem sich ein Angreifer bereits einen Fuß in die Tür gesetzt hat, beispielsweise durch Phishing, einen kompromittierten Endpunkt oder einen bösartigen Insider. Der Tester evaluiert, ob er Privilegien erhöhen, sich seitwärts über Netzwerksegmente bewegen, auf sensible Daten zugreifen, Active Directory kompromittieren und kritische Systeme erreichen kann, die durch Segmentierung geschützt werden sollten.

Segmentierungs-Testing

Netzwerksegmentierung ist Ihre Defence-in-Depth-Strategie – die Isolierung sensibler Systeme (wie Ihrer Cardholder Data Environment oder ePHI-Datenbanken) vom restlichen Netzwerk. Segmentierungs-Testing verifiziert, ob diese Grenzen tatsächlich standhalten. Kann ein Benutzer im Gast-WLAN auf Ihre Produktionsdatenbank zugreifen? Kann eine kompromittierte Workstation im Marketing auf den Finanzserver zugreifen? Für die PCI DSS-Compliance ist Segmentierungs-Testing obligatorisch.

Active Directory Sicherheit

Active Directory ist das Rückgrat der meisten Unternehmensnetzwerke – und das primäre Ziel für laterale Bewegung und Privilegienerweiterung. Internes Pentesting sollte Passwortrichtlinien, Kerberos-Sicherheit (Kerberoasting, AS-REP Roasting), Group Policy-Fehlkonfigurationen, Delegierungs-Schwachstellen und die Wege evaluieren, die ein Angreifer von einem Standardbenutzerkonto zum Domain Admin nehmen könnte.

Wann Sie beides benötigen

Die meisten Compliance-Frameworks erfordern sowohl externes als auch internes Testing. PCI DSS schreibt beides explizit vor. SOC 2-Auditoren erwarten den Nachweis, dass beide Perspektiven evaluiert wurden. Und aus Sicherheitssicht ist es, nur die Peripherie zu testen und zu ignorieren, was nach einer Verletzung passiert, als würde man die Haustür abschließen, aber jeden Raum im Inneren weit offen lassen.

Das Fazit

Netzwerk Penetration Testing evaluiert die Infrastruktur, von der Ihre Anwendungen und Daten abhängen – sowohl von außen nach innen als auch von innen nach außen. Penetrify deckt beide Perspektiven mit automatisiertem Scanning für eine breite Infrastrukturabdeckung und manuellem Expertentesting für Active Directory-Angriffe, Segmentierungsumgehungen und laterale Bewegungspfade ab, die Ihr tatsächliches Risiko bestimmen.

Häufig gestellte Fragen

Was ist Netzwerk Penetration Testing?

Netzwerk Penetration Testing evaluiert Ihre Netzwerkinfrastruktur – Router, Switches, Firewalls, Server, Endpunkte – auf Schwachstellen, die es einem Angreifer ermöglichen könnten, unbefugten Zugriff zu erhalten, Privilegien zu erhöhen oder sich seitwärts zu sensiblen Systemen zu bewegen.

Was ist der Unterschied zwischen externem und internem Pentesting?

Externes Testing simuliert einen externen Angreifer, der auf Ihre öffentlich zugänglichen Systeme abzielt. Internes Testing simuliert einen Angreifer, der bereits einen Fuß in Ihr Netzwerk gesetzt hat. Beide Perspektiven sind für eine umfassende Sicherheitsbewertung erforderlich.

Wie oft sollte Netzwerk-Pentesting durchgeführt werden?

Mindestens jährlich, wie von den meisten Compliance-Frameworks gefordert. Internes Testing sollte auch nach wesentlichen Netzwerkänderungen erfolgen – neuen Segmenten, Änderungen der Firewall-Regeln, Active Directory-Restrukturierung oder Änderungen der Cloud-Konnektivität.