Interner Penetrationstest: Assumed-Breach, laterale Bewegung und Eindämmung
Perimeter-Abwehr versagt irgendwann — ein gephishtes Credential, ein kompromittiertes Notebook, ein böswilliger Insider. Ein interner Penetrationstest misst, was als Nächstes geschieht: wie weit ein Angreifer sich bewegen kann, wie schnell er zum Administrator eskalieren kann und ob Ihre Segmentierung ihn tatsächlich eindämmt. Matproof Sentinel führt internes Assumed-Breach-Testing durch, beweist die existierenden Pfade für laterale Bewegung und Privilegieneskalation und berichtet Detection-Lücken gemappt auf MITRE ATT&CK. Sie erhalten einen audit-tauglichen Bericht mit Mapping auf ISO 27001, NIS2 und DORA. Bericht ab €149.
Warum Assumed-Breach-Testing die Frage ist, die tatsächlich zählt
Die meisten Sicherheitsausgaben versuchen, die Erstkompromittierung zu verhindern — aber die Breaches, die Schlagzeilen machen, betreffen selten einen cleveren Weg hinein; sie betreffen, wie viel Schaden möglich war, sobald der Angreifer überhaupt irgendeinen Brückenkopf hatte. Ein interner Penetrationstest startet von der realistischen Annahme aus, dass Prävention versagt hat: ein Angreifer hat den Zugang eines Standard-Benutzers oder einen einzelnen kompromittierten Host. Der Test misst dann die Dinge, die darüber entscheiden, ob daraus ein kleiner Vorfall oder ein katastrophaler Breach wird — kann er die Datenspeicher erreichen, kann er zu Domain- oder Cloud-Admin eskalieren, dämmt ihn die Segmentierung ein, und würde Ihr Monitoring es überhaupt bemerken. Hier trifft 'wir haben eine Firewall' auf die Realität. Segmentierung, die auf einem Diagramm sauber aussieht, ist häufig nicht durchgesetzt; Service-Accounts sind überprivilegiert und ihre Credentials wiederverwendet; Detection-Regeln decken die Eingangstür ab, aber nicht die laterale Bewegung. NIS2 Art. 21 und DORA Art. 24 erwarten Tests dieser internen Controls, und Cyber-Versicherer verlangen bei der Verlängerung zunehmend Assumed-Breach-Evidenz — denn Eindämmung, nicht nur Prävention, begrenzt ihre Auszahlung.
- Eindämmung ist die echte Risiko-Metrik: der Unterschied zwischen einem eingedämmten Vorfall und einem vollständigen Breach ist, wie weit ein Angreifer sich nach dem ersten Brückenkopf bewegt — genau das, was Assumed-Breach-Testing misst.
- Segmentierung ist häufig nur Wunschdenken — internes Testing zeigt, ob ein kompromittierter Host Kronjuwelen-Systeme tatsächlich erreichen kann oder echt isoliert ist.
- Überprivilegierte und Credentials wiederverwendende Service-Accounts sind der häufigste Privilegieneskalations-Pfad; sie tauchen in einem Perimeter-Scan nie auf.
- Detection-Lücken zählen ebenso wie Schwachstellen: der Test dokumentiert, welche Aktionen Ihr Monitoring erkennen würde (und welche nicht), gemappt auf MITRE ATT&CK, sodass Ihr SOC die blinden Flecken schließen kann.
- NIS2 Art. 21, DORA Art. 24 und ISO 27001:2022 A.8.22 (Segregation of Networks) erwarten getestete interne Controls; Versicherer verlangen bei der Verlängerung zunehmend Assumed-Breach-Evidenz.
Was Matproof in einem internen Penetrationstest prüft
- Laterale Bewegung aus einem Assumed-Breach-Brückenkopf: erreichbare Hosts, Dienste und Segmente über die gesamte interne Infrastruktur
- Segmentierungs-Eindämmung: ob kompromittierte Corporate-/Dev-Segmente Produktion und sensible Datensysteme erreichen können
- Privilegieneskalation: lokale und Domain-/Cloud-Eskalationspfade, schwache Service-Accounts, Credential-Reuse, Token-/Secret-Exposition auf Hosts
- Identitätsangriffe, sofern zutreffend: Kerberoasting, AS-REP-Roasting, Pass-the-Hash-Exposition, zu permissive Active-Directory-/Cloud-IAM-Rollen
- Credential-Hygiene: Secrets in Dateien und Skripten (CWE-312/CWE-798), geteilte Local-Admin-Passwörter, exponierte CI/CD- und Cloud-Credentials
- Erreichbarkeit sensibler Daten: welche Datenspeicher ein Brückenkopf lesen oder exfiltrieren kann und ob DLP/Segmentierung das verhindert
- Detection-Coverage: welche Aktionen Alerts erzeugen vs unbemerkt bleiben, dokumentiert gegen MITRE-ATT&CK-Taktiken (Lateral Movement, Privilege Escalation, Exfiltration)
- Befunde risikobewertet mit CVSS 3.1 und gemappt auf ISO 27001 A.8.2/A.8.3/A.8.22, NIS2 Art. 21 und DORA Art. 24 für audit-taugliche Evidenz
Beispiel-Befund
Wiederverwendetes Local-Admin-Passwort ermöglichte domänenweite laterale Bewegung
Von einer einzelnen kompromittierten Workstation aus extrahierte Sentinel den Hash des Local-Administrator-Passworts und stellte fest, dass auf jeder Workstation der Infrastruktur dasselbe Local-Admin-Passwort gesetzt war (kein LAPS oder Äquivalent). Mittels Pass-the-Hash authentifizierte sich dasselbe Credential an Dutzenden weiterer Hosts, von denen mehrere Domain-Admin-Credentials im Arbeitsspeicher cachten — wodurch ein klarer Pfad von einem gephishten Notebook zur vollständigen Domain-Kompromittierung entstand. Geteilte Local-Admin-Credentials sind einer der häufigsten und folgenreichsten internen Befunde, und sie sind vom Perimeter aus völlig unsichtbar.
Behebung: Setzen Sie eine verwaltete Local-Admin-Passwort-Lösung ein (z.B. Windows LAPS), sodass jeder Host ein eindeutiges, rotiertes Local-Admin-Passwort hat. Schränken Sie Workstation-zu-Workstation-SMB/RPC ein, wo nicht erforderlich. Aktivieren Sie Credential-Guard-Schutzmechanismen, um das Credential-Caching zu begrenzen, und stufen Sie administrative Konten so, dass Domain-Admin-Credentials nie auf Standard-Workstations verwendet werden. Testen Sie die Pass-the-Hash-Erreichbarkeit nach der Behebung erneut. Sentinel dokumentiert die reduzierte Lateral-Movement-Oberfläche im Bericht als Evidenz für ISO 27001 A.8.2 (Privileged Access Rights).
Referenz: CWE-798 Use of Hard-coded/Shared Credentials · MITRE ATT&CK T1550.002 Pass the Hash · ISO 27001:2022 A.8.2 Privileged Access Rights · NIS2 Art. 21 technische Maßnahmen
Interner Pentest: kostenloser Scan vs Matproof Sentinel vs klassische Beratung
| — | Kostenloser Scan | Matproof Sentinel | Klassische Beratung |
|---|---|---|---|
| Automatisierte Scan-Engine | ✓ (3-min Vorschau) | ✓ Vollständiger Scan | ✗ Nur manuell |
| OWASP Top 10 Abdeckung | Partiell | ✓ Vollständig | ✓ Vollständig |
| Proof-of-Exploit-Evidenz | ✗ | ✓ Pro Befund | ✓ Pro Befund |
| Regulatorisches Mapping (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisiert | ✓ Manuell |
| Audit-tauglicher PDF-Bericht | ✗ | ✓ Sofort | ✓ 2–4 Wochen Lieferzeit |
| Kontinuierliche / wiederkehrende Scans | ✗ | ✓ Pro Deploy | ✗ Jährliches Engagement |
| Zeit bis zum ersten Ergebnis | ~3 Min. | ~30 Min. Vollscan | 2–4 Wochen |
| Preis | €0 | Ab €149 | €8.000–€25.000 |
| Quellcode-Review (SAST) | ✗ | ✓ Im Growth-Plan | ✓ Im Scope |
| API-Testing (REST/GraphQL) | ✗ | ✓ Automatisiert | ✓ Manuell |
Preise für interne Penetrationstests
- 1 vollständiger Pentest-Scan
- KI-priorisierte Befunde mit CVSS 3.1
- Proof-of-Exploit für jedes Finding
- PDF-Bericht (audit-tauglich)
- Regulatorisches Mapping (DORA, NIS2, BSI)
- Unbegrenzte Scans (bis 3 Domains)
- Kontinuierliches Monitoring
- CI/CD-Integration (GitHub, GitLab)
- Alle Regulierungs-Mappings
- Prioritäts-Support
- Unbegrenzte Scans + Domains
- White-Box / Authenticated Testing
- API- & Cloud-Infrastruktur-Tests
- Dedizierter Security-Account-Manager
- SLA 24h Reaktionszeit
Häufige Fragen zum internen Penetrationstest
Was ist ein interner Penetrationstest?
Ein interner Penetrationstest prüft, was ein Angreifer tun könnte, sobald er bereits einen Brückenkopf in Ihrem Netzwerk hat — ein kompromittiertes Benutzerkonto oder einen Host. Statt zu versuchen einzubrechen, misst er laterale Bewegung, Privilegieneskalation, Segmentierungs-Eindämmung und Detection-Coverage aus einer 'Assumed-Breach'-Startposition. Er beantwortet die Frage, die die Schwere eines Breaches bestimmt: wie schlimm ist es, sobald Prävention versagt?
Was bedeutet 'Assumed Breach'?
Assumed-Breach-Testing startet von der realistischen Prämisse aus, dass ein Angreifer bereits Erstzugang erlangt hat — etwa über Phishing oder ein gestohlenes Credential — und konzentriert sich vollständig darauf, was er als Nächstes tun kann. Es ist weit aufschlussreicher als die Hoffnung, dass der Perimeter nie versagt, weil es direkt Eindämmung und Blast Radius misst — also genau das, was den Schaden eines echten Vorfalls begrenzt.
Wie unterscheidet sich internes von externem Testing?
Externes Testing startet aus dem öffentlichen Internet ohne Zugang und zielt auf Ihren Perimeter (siehe unsere Seite zum externen Penetrationstest). Internes Testing startet innen und misst Bewegung und Eskalation. Sie ergänzen sich: extern senkt die Wahrscheinlichkeit der Erstkompromittierung; intern begrenzt den Schaden, wenn die Kompromittierung trotzdem geschieht.
Was kostet ein interner Penetrationstest?
Interne Engagements variieren mit Größe und Komplexität der Infrastruktur; klassische interne Tests von Beratungshäusern starten typischerweise um £5.000 und skalieren für große oder Multi-Site-Umgebungen nach oben, über mehrere Wochen. Matproof Sentinel scopt internes Assumed-Breach-Testing im Growth-Plan (€799/Monat), der zudem authentifizierte und Infrastruktur-Tests umfasst; siehe unseren Leitfaden zu Pentest-Kosten für das vollständige Bild.
Vertiefen — verwandte Artikel aus unserem Blog
Finden Sie heraus, wie weit ein Angreifer tatsächlich kommen könnte
Starten Sie mit einem kostenlosen externen Scan oder scopen Sie einen internen Assumed-Breach-Penetrationstest — laterale Bewegung, Privilegieneskalation und Eindämmung, gemappt auf ISO 27001, NIS2 und DORA — mit Matproof Sentinel.
Kostenlosen Scan starten