Externer Penetrationstest: Ihre internetexponierte Angriffsfläche, nachgewiesen

Ein externer Penetrationstest prüft alles, was ein Angreifer ohne vorherigen Zugang aus dem öffentlichen Internet erreichen kann — Ihre Webanwendungen, APIs, Mail- und VPN-Gateways, exponierte Admin-Oberflächen, Cloud-Speicher und die Fehlkonfigurationen, die sich am Perimeter unbemerkt ansammeln. Matproof Sentinel ermittelt Ihre externe Angriffsfläche, testet sie so, wie es ein nicht authentifizierter Angreifer täte, und bestätigt jede ausnutzbare Schwäche mit Proof-of-Exploit. Sie erhalten einen audit-tauglichen Bericht mit Mapping auf ISO 27001, SOC 2, NIS2 und DORA. Starten Sie mit einem kostenlosen 3-Minuten-Scan oder erhalten Sie einen vollständigen Bericht ab €149.

Kostenlosen externen Scan starten
MW
Geschrieben von Malte Wagenbach
Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).
Zuletzt überprüft: 17. Mai 2026

Warum der externe Perimeter der Ort ist, an dem die meisten Breaches tatsächlich beginnen

Der internetexponierte Perimeter ist der Teil Ihrer Infrastruktur, den ein Angreifer rund um die Uhr ohne jede Authentifizierung und ohne Vorwarnung untersuchen kann — und es ist gleichzeitig der Teil, der am schnellsten driftet. Eine vergessene Staging-Subdomain, ein 'temporär' öffentlich gemachter S3-Bucket, eine nach einer Migration exponierte Admin-Oberfläche, ein VPN-Gateway mit einer Version, die einen bekannten RCE enthält: jedes davon ist ein vollständiger Breach, der nur darauf wartet, einzutreten — und keines erfordert, dass der Angreifer jemanden phisht. Externe Penetrationstests existieren, um diese Schwächen zu finden, bevor sie für Sie gefunden werden. Die meisten automatisierten Scanner enumerieren den Perimeter, können Ihnen aber nicht sagen, welche Befunde tatsächlich ausnutzbar sind — Teams ertrinken in Rauschen und übersehen das eine Problem, das zählt. Ein echter externer Pentest ermittelt die vollständige Oberfläche (inklusive der Assets, von denen Sie vergessen haben, dass sie Ihnen gehören), priorisiert nach echter Ausnutzbarkeit und beweist die Auswirkung. Dies ist außerdem die Testklasse, die von Frameworks und Käufern am explizitesten verlangt wird: ISO 27001:2022 A.8.8, NIS2 Art. 21 Basismaßnahmen und nahezu jeder Enterprise-Sicherheitsfragebogen verlangen den Nachweis, dass die externe Infrastruktur regelmäßig getestet wird.

  • Attack-Surface-Drift ist konstant: Subdomains, Cloud-Buckets, exponierte Dashboards und Schatten-IT entstehen schneller, als die meisten Teams sie nachverfolgen — externes Testing beginnt damit, zu ermitteln, was Sie tatsächlich exponieren, nicht nur, was Sie glauben zu exponieren.
  • Edge-Appliances (VPN, Firewall, File-Transfer, Mail-Gateways) sind wiederkehrende Breach-Vektoren — bekannte CVE-RCEs in diesen Geräten werden innerhalb von Tagen nach Veröffentlichung ausgenutzt; ein externer Pentest bestätigt, ob Ihre erreichbar und verwundbar sind.
  • Nicht authentifizierte Exposition ist die schwerwiegendste Klasse: Daten, die ohne jeden Login abgerufen werden können, aus dem Internet erreichbare Admin-Oberflächen und Standard-Credentials sind vollständige Kompromittierungen, keine theoretischen Risiken.
  • Scanner melden tausende von Perimeter-'Issues' ohne Ausnutzbarkeitskontext — ein externer Penetrationstest priorisiert nach dem, was ein Angreifer tatsächlich tun kann, und beweist es, damit Ihre Entwicklung zuerst die richtigen Dinge behebt.
  • ISO 27001:2022 A.8.8, SOC 2 CC7.1, NIS2 Art. 21 und DORA Art. 24 erwarten allesamt dokumentierte Tests internetexponierter Systeme — der Nachweis externer Tests ist der am häufigsten verlangte Punkt in B2B-Sicherheitsprüfungen.

Was Matproof in einem externen Penetrationstest prüft

  • Attack-Surface-Discovery: Subdomain-Enumeration, DNS-Records, exponierte Cloud-Speicher (S3/GCS/Azure Blob), vergessene Staging- und Pre-Production-Hosts, Schatten-Assets
  • Exponierte Dienste und Ports: Management-Oberflächen, aus dem Internet erreichbare Datenbanken, RDP/SSH-Exposition, Standard- und schwache Credentials
  • Edge-Appliance-CVEs: VPN-, Firewall- und File-Transfer-Appliances werden gefingerprintet und auf bekannte Remote-Code-Execution- und Authentication-Bypass-Schwachstellen geprüft
  • Web- und API-Einstiegspunkte: OWASP Top 10 (2021) und OWASP API Top 10 (2023) Tests jeder internetexponierten Anwendung und jedes Endpunkts
  • TLS- und E-Mail-Sicherheit: TLS-Konfiguration (RFC 8446), Zertifikatsprobleme, SPF/DKIM/DMARC-Posture, Open Relays
  • Security Misconfiguration (OWASP A05:2021): fehlende Security-Header, ausführliche Fehleroffenlegung, Directory Listing, exponierte .git/.env- und Backup-Dateien
  • Authentifizierungs-Exposition: Erreichbarkeit für Credential-Stuffing, Password-Spray-Resistenz, exponierte SSO- und Admin-Login-Oberflächen
  • Information Leakage: Metadaten, Versions-Offenlegung und öffentlich zugängliche Dateien, die einem Angreifer die interne Architektur verraten
  • Befunde risikobewertet mit CVSS 3.1 und gemappt auf MITRE ATT&CK (Initial Access, T1190 Exploit Public-Facing Application) sowie auf ISO 27001-/NIS2-/DORA-Controls

Beispiel-Befund

Kritisch

Exponierte .env-Datei legte Produktions-Datenbank-Credentials offen

Während der externen Attack-Surface-Discovery rief Sentinel eine öffentlich zugängliche .env-Datei im Web-Root ab (https://app.example.com/.env) — zurückgelassen durch eine Deployment-Fehlkonfiguration. Die Datei enthielt produktive Datenbank-Credentials, ein Drittanbieter-Payment-API-Secret und den JWT-Signaturschlüssel der Anwendung. Allein mit dem JWT-Signaturschlüssel kann ein Angreifer Authentifizierungs-Token für jeden Benutzer fälschen, inklusive Administratoren. Dies ist OWASP A05:2021 Security Misconfiguration, erfordert keine Authentifizierung zur Ausnutzung und ist genau die Art von Perimeter-Exposition, die ein externer Penetrationstest aufdecken soll, bevor es der automatisierte Crawler eines Angreifers tut.

Behebung: Rotieren Sie sofort jedes offengelegte Credential (Datenbank-Passwort, Payment-API-Secret, JWT-Signaturschlüssel) — gehen Sie davon aus, dass sie kompromittiert sind. Entfernen Sie die .env-Datei aus dem web-served Verzeichnis und ergänzen Sie Deployment-Checks, die Dotfiles und Secret-Dateien von der Auslieferung blockieren. Konfigurieren Sie den Webserver so, dass er Requests auf .env-, .git- und Backup-Dateimuster ablehnt. Ergänzen Sie ein CI-Gate und einen externen Monitoring-Scan (Sentinel tut dies kontinuierlich), sodass eine erneute Exposition innerhalb von Minuten statt Monaten erkannt wird. Sentinel testet den Pfad nach der Behebung erneut und dokumentiert die Verifikation als Audit-Evidenz.

Referenz: OWASP A05:2021 Security Misconfiguration · CWE-312 Cleartext Storage of Sensitive Information · MITRE ATT&CK T1552.001 Credentials in Files · ISO 27001:2022 A.8.9 Configuration Management

Externer Pentest: kostenloser Scan vs Matproof Sentinel vs klassische Beratung

Kostenloser ScanMatproof SentinelKlassische Beratung
Automatisierte Scan-Engine✓ (3-min Vorschau)✓ Vollständiger Scan✗ Nur manuell
OWASP Top 10 AbdeckungPartiell✓ Vollständig✓ Vollständig
Proof-of-Exploit-Evidenz✓ Pro Befund✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)✓ Automatisiert✓ Manuell
Audit-tauglicher PDF-Bericht✓ Sofort✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans✓ Pro Deploy✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis~3 Min.~30 Min. Vollscan2–4 Wochen
Preis€0Ab €149€8.000–€25.000
Quellcode-Review (SAST)✓ Im Growth-Plan✓ Im Scope
API-Testing (REST/GraphQL)✓ Automatisiert✓ Manuell

Preise für externe Penetrationstests

Einzel-Scan
€149 einmalig
  • 1 vollständiger Pentest-Scan
  • KI-priorisierte Befunde mit CVSS 3.1
  • Proof-of-Exploit für jedes Finding
  • PDF-Bericht (audit-tauglich)
  • Regulatorisches Mapping (DORA, NIS2, BSI)
Einzel-Scan kaufen
Empfohlen
Starter
€299 / Monat
  • Unbegrenzte Scans (bis 3 Domains)
  • Kontinuierliches Monitoring
  • CI/CD-Integration (GitHub, GitLab)
  • Alle Regulierungs-Mappings
  • Prioritäts-Support
Starter starten
Growth
€799 / Monat
  • Unbegrenzte Scans + Domains
  • White-Box / Authenticated Testing
  • API- & Cloud-Infrastruktur-Tests
  • Dedizierter Security-Account-Manager
  • SLA 24h Reaktionszeit
Growth anfragen

Häufige Fragen zum externen Penetrationstest

Was ist ein externer Penetrationstest?

Ein externer Penetrationstest prüft die Sicherheit Ihrer internetexponierten Systeme aus der Perspektive eines nicht authentifizierten Angreifers im öffentlichen Internet. Er umfasst Ihre Webanwendungen, APIs, Mail- und VPN-Gateways, exponierte Dienste, Cloud-Speicher und die Fehlkonfigurationen, die sich am Perimeter ansammeln. Ziel ist es, zu finden — und zu beweisen — was ein Angreifer ohne vorherigen Zugang kompromittieren könnte, bevor er es tut.

Was ist der Unterschied zwischen externem und internem Penetrationstest?

Ein externer Test startet aus dem öffentlichen Internet ohne Zugang und zielt auf Ihren Perimeter. Ein interner Test geht davon aus, dass ein Angreifer bereits im Netzwerk ist — ein gephishter Mitarbeiter, ein kompromittiertes Notebook, ein böswilliger Insider — und misst, wie weit er sich von dort lateral bewegen und Privilegien eskalieren kann. Beides zählt: Externes Testing senkt die Wahrscheinlichkeit einer Erstkompromittierung; internes Testing begrenzt den Schaden, falls die Kompromittierung trotzdem eintritt. Siehe unsere Seite zum internen Penetrationstest für die Assumed-Breach-Perspektive.

Was kostet ein externer Penetrationstest?

Klassische externe Netzwerk-Pentests von Beratungshäusern liegen typischerweise bei £2.000–£6.000 je nach Anzahl der in-scope Hosts und IPs und benötigen 2–4 Wochen für Terminierung und Lieferung. Matproof Sentinel liefert einen audit-tauglichen externen Pentest-Bericht ab €149 (Einzel-Scan) oder €299/Monat für kontinuierliches externes Monitoring. Da der Perimeter ständig driftet, liefert kontinuierliches externes Testing meist deutlich besseren Gegenwert als eine jährliche Momentaufnahme — siehe unseren Leitfaden zu Pentest-Kosten.

Wie oft sollte ein externer Penetrationstest durchgeführt werden?

Jährlich ist die Compliance-Untergrenze, aber der externe Perimeter ändert sich weit häufiger als einmal im Jahr — neue Subdomains, Cloud-Ressourcen und Appliance-Updates erscheinen wöchentlich. Best Practice ist kontinuierliches externes Attack-Surface-Monitoring mit einem tieferen Test mindestens jährlich und nach jeder wesentlichen Infrastrukturänderung. Kontinuierliches Testing fängt zudem genau die 'temporäre' Exposition ab, die sonst monatelang offen bliebe.

Erfüllt ein externer Penetrationstest ISO 27001, SOC 2, NIS2 oder DORA?

Externes Testing ist ein Kernbestandteil der von diesen Frameworks erwarteten Evidenz, aber selten das gesamte Bild. ISO 27001 A.8.8 und SOC 2 CC7.1 erwarten Tests internetexponierter Systeme plus einen dokumentierten Behebungsprozess; NIS2 Art. 21 und DORA Art. 24 erwarten regelmäßige technische Tests kritischer Systeme. Der Sentinel-Bericht für externe Pentests mappt Befunde direkt auf diese Controls, und die meisten Organisationen kombinieren externes Testing mit Webanwendungs- und (sofern relevant) internem Testing für vollständige Abdeckung.

Verwandte Themen

Vertiefen — verwandte Artikel aus unserem Blog

Kartieren und testen Sie Ihre externe Angriffsfläche

Starten Sie jetzt einen kostenlosen 3-Minuten-Scan Ihrer externen Angriffsfläche oder erhalten Sie einen vollständigen externen Penetrationstest-Bericht — Proof-of-Exploit pro Befund, gemappt auf ISO 27001, SOC 2, NIS2 und DORA — ab €149.

Kostenlosen externen Scan starten