Netzwerk-Penetrationstest: externe und interne Infrastruktur
Ein Netzwerk-Penetrationstest prüft die Infrastruktur unterhalb Ihrer Anwendungen — die exponierten Dienste, Edge-Appliances, Segmentierung und Privilegienpfade, die ein Angreifer nutzt, um Fuß zu fassen und sich durch Ihre Umgebung zu bewegen. Matproof Sentinel kartiert Ihre Netzwerk-Angriffsfläche, testet sie sowohl vom externen Perimeter als auch aus einer Assumed-Breach-Position im Inneren und beweist, welche Schwächen tatsächlich ausnutzbar sind. Sie erhalten einen audit-tauglichen Bericht mit Mapping auf ISO 27001, NIS2 und DORA. Kostenloser 3-Minuten-Scan, vollständiger Bericht ab €149.
Warum Tests auf Netzwerkebene in einer Cloud-first-Welt weiterhin zählen
Selbst Cloud-native Organisationen laufen auf Netzwerken: VPCs und Security-Groups, VPN- und Identity-Gateways, interne Dienste, die einander implizit vertrauen, und die Management-Oberflächen, die sich unbemerkt an den Rändern ansammeln. Ein Netzwerk-Penetrationstest beantwortet zwei Fragen, die Anwendungen nicht beantworten können: was kann ein Angreifer auf der Infrastrukturebene von außen erreichen und ausnutzen, und wie weit kann er sich bewegen, sobald er drin ist. Die externe Dimension findet exponierte Dienste, verwundbare Edge-Appliances (die wiederkehrende Ursache prominenter Breaches) und fehlkonfigurierte Cloud-Netzwerk-Controls. Die interne Dimension geht davon aus, dass ein Breach bereits stattgefunden hat — ein gephishtes Credential, ein kompromittierter Host — und misst laterale Bewegung, Privilegieneskalation und ob Ihre Segmentierung einen Eindringling tatsächlich eindämmt oder nur auf einem Diagramm so aussieht. NIS2 Art. 21 und DORA Art. 24 erwarten beide technische Tests auf Infrastrukturebene, und Cyber-Versicherer verlangen zunehmend den Nachweis, dass Segmentierung und privilegierter Zugriff getestet — nicht nur entworfen — wurden.
- Edge-Appliances (VPN, Firewall, File-Transfer, Mail) bleiben ein Top-Initial-Access-Vektor — bekannte CVE-RCEs werden binnen Tagen weaponisiert; Netzwerk-Testing bestätigt, ob Ihre erreichbar und ausnutzbar sind.
- Netzwerk-Segmentierung ist häufig nur Wunschdenken: ein Test aus einer Assumed-Breach-Position zeigt, ob ein kompromittierter Host Ihre Kronjuwelen-Systeme tatsächlich erreichen kann oder echt eingedämmt ist.
- Privilegieneskalation und laterale Bewegung — schwache Service-Accounts, wiederverwendete Credentials, übermäßiges Vertrauen zwischen internen Diensten — verwandeln einen einzelnen Brückenkopf in eine vollständige Kompromittierung.
- Cloud-Netzwerk-Controls driften: zu weit gefasste Security-Groups, exponierte Management-Ports und vergessene Peering-Routen sind verbreitet und genau das, was Infrastruktur-Testing aufdeckt.
- NIS2 Art. 21, DORA Art. 24 und ISO 27001:2022 A.8.20–A.8.22 (Netzwerksicherheit und Segregation) erwarten getestete — nicht nur dokumentierte — Netzwerk-Controls.
Was Matproof in einem Netzwerk-Penetrationstest prüft
- Externe Dienst-Exposition: offene Ports, Management-Oberflächen, aus dem Internet erreichbare Datenbanken, RDP/SSH-Exposition, Standard-/schwache Credentials
- Edge-Appliance-Schwachstellen: VPN-, Firewall- und File-Transfer-Geräte werden gefingerprintet und auf bekannte RCE- und Auth-Bypass-CVEs geprüft
- Cloud-Netzwerk-Konfiguration: zu permissive Security-Groups/NSGs, exponierte Metadata-Services, fehlkonfiguriertes Peering und Routing, öffentlicher Speicher
- Segmentierungs-Validierung (Assumed-Breach): von einem Brückenkopf aus — welche anderen Netzwerk-Segmente und Systeme tatsächlich erreichbar sind
- Laterale Bewegung: Credential-Reuse, exponierte Service-Accounts, SMB-/LDAP-/Kerberos-Schwächen, Pass-the-Hash-Exposition, sofern zutreffend
- Privilegieneskalations-Pfade von Standard- zu administrativem Zugriff auf erreichbaren Hosts und Diensten
- TLS- und Protokoll-Härtung (RFC 8446), schwache Cipher und exponierte Legacy-Protokolle
- Detection-Coverage: welche Test-Aktionen Alerts erzeugen würden (oder nicht), gemappt auf MITRE ATT&CK für Ihr SOC
- Befunde risikobewertet mit CVSS 3.1 und gemappt auf ISO 27001 A.8.20–A.8.22, NIS2 Art. 21 und DORA Art. 24 für audit-taugliche Evidenz
Beispiel-Befund
Flaches Netzwerk ließ einen Brückenkopf mit niedrigen Rechten die Produktionsdatenbank erreichen
Aus einer Assumed-Breach-Position im Segment einer Entwickler-Workstation erreichte Sentinel den Produktions-Datenbankserver direkt auf Port 5432 — die Segmentierung, die Produktion vom Corporate-/Dev-Netzwerk isolieren sollte, war auf Netzwerkebene nicht tatsächlich durchgesetzt. In Kombination mit einem Service-Account, dessen Credentials aus einem Staging-System wiederverwendet wurden, ergab dies einen direkten Pfad von einem einzelnen gephishten Notebook zum Produktions-Datenspeicher. Netzwerk-Segmentierung, die auf dem Architekturdiagramm existiert, aber nicht in den Firewall-Regeln, ist einer der häufigsten und schädlichsten Befunde im internen Netzwerk-Testing.
Behebung: Setzen Sie Segmentierung auf Netzwerkebene durch: Produktions-Datensysteme dürfen nur aus explizit autorisierten Anwendungs-Subnetzen erreichbar sein, niemals aus Corporate- oder Entwickler-Segmenten — verifizieren Sie mit Deny-by-Default-Regeln, nicht mit Allow-Lists, die gedriftet sind. Rotieren und vereindeutigen Sie die wiederverwendeten Service-Account-Credentials und wechseln Sie nach Möglichkeit auf kurzlebige, scoped Credentials. Testen Sie die Segmentierung aus jedem Quell-Segment erneut, um die Eindämmung zu bestätigen. Sentinel dokumentiert die Vorher-/Nachher-Erreichbarkeit im Bericht als Evidenz für ISO 27001 A.8.22 und die DORA-Testanforderungen.
Referenz: CWE-923 Improper Restriction of Communication Channel · ISO 27001:2022 A.8.22 Segregation of Networks · MITRE ATT&CK TA0008 Lateral Movement · NIS2 Art. 21 technische Maßnahmen
Netzwerk-Pentest: kostenloser Scan vs Matproof Sentinel vs klassische Beratung
| — | Kostenloser Scan | Matproof Sentinel | Klassische Beratung |
|---|---|---|---|
| Automatisierte Scan-Engine | ✓ (3-min Vorschau) | ✓ Vollständiger Scan | ✗ Nur manuell |
| OWASP Top 10 Abdeckung | Partiell | ✓ Vollständig | ✓ Vollständig |
| Proof-of-Exploit-Evidenz | ✗ | ✓ Pro Befund | ✓ Pro Befund |
| Regulatorisches Mapping (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisiert | ✓ Manuell |
| Audit-tauglicher PDF-Bericht | ✗ | ✓ Sofort | ✓ 2–4 Wochen Lieferzeit |
| Kontinuierliche / wiederkehrende Scans | ✗ | ✓ Pro Deploy | ✗ Jährliches Engagement |
| Zeit bis zum ersten Ergebnis | ~3 Min. | ~30 Min. Vollscan | 2–4 Wochen |
| Preis | €0 | Ab €149 | €8.000–€25.000 |
| Quellcode-Review (SAST) | ✗ | ✓ Im Growth-Plan | ✓ Im Scope |
| API-Testing (REST/GraphQL) | ✗ | ✓ Automatisiert | ✓ Manuell |
Preise für Netzwerk-Penetrationstests
- 1 vollständiger Pentest-Scan
- KI-priorisierte Befunde mit CVSS 3.1
- Proof-of-Exploit für jedes Finding
- PDF-Bericht (audit-tauglich)
- Regulatorisches Mapping (DORA, NIS2, BSI)
- Unbegrenzte Scans (bis 3 Domains)
- Kontinuierliches Monitoring
- CI/CD-Integration (GitHub, GitLab)
- Alle Regulierungs-Mappings
- Prioritäts-Support
- Unbegrenzte Scans + Domains
- White-Box / Authenticated Testing
- API- & Cloud-Infrastruktur-Tests
- Dedizierter Security-Account-Manager
- SLA 24h Reaktionszeit
Häufige Fragen zum Netzwerk-Penetrationstest
Was ist ein Netzwerk-Penetrationstest?
Ein Netzwerk-Penetrationstest prüft Ihre Infrastruktur — exponierte Dienste, Edge-Appliances, Cloud-Netzwerk-Konfiguration, Segmentierung und Privilegienpfade — statt der Anwendungslogik, die darauf läuft. Er wird typischerweise in eine externe Phase (was ein Angreifer aus dem Internet erreichen und ausnutzen kann) und eine interne Phase (wie weit ein Angreifer sich bewegen kann, sobald er drin ist) aufgeteilt.
Ist ein Netzwerk-Penetrationstest noch relevant, wenn wir vollständig in der Cloud sind?
Ja. Cloud-Umgebungen sind weiterhin Netzwerke: VPCs, Security-Groups, VPN- und Identity-Gateways sowie interne Service-Vertrauensbeziehungen haben allesamt eine Angriffsfläche auf Netzwerkebene. Zu permissive Security-Groups, exponierte Metadata-Services und fehlkonfiguriertes Peering sind verbreitete Cloud-Netzwerk-Befunde, und die Segmentierung zwischen Workloads muss getestet statt angenommen werden.
Was ist der Unterschied zwischen Netzwerk-, externem und internem Testing?
Netzwerk-Testing ist die Infrastrukturebene; es spannt sowohl die externe (Perimeter) als auch die interne (Assumed-Breach) Perspektive auf. Unsere Seite zum externen Penetrationstest fokussiert speziell den internetexponierten Perimeter, und unsere Seite zum internen Penetrationstest fokussiert laterale Bewegung und Privilegieneskalation, sobald ein Angreifer drin ist. Viele Organisationen scopen einen Netzwerk-Test so, dass er beides umfasst.
Was kostet ein Netzwerk-Penetrationstest?
Klassische Netzwerk-Pentests von Beratungshäusern variieren stark mit der Anzahl der in-scope Hosts und IPs — etwa £2.000–£6.000 für einen fokussierten externen Netzwerk-Test, mehr für große interne Infrastrukturen — über 2–4 Wochen. Matproof Sentinel liefert kontinuierliches externes Netzwerk-Testing und einen audit-tauglichen Bericht ab €149 (Einzel-Scan) oder €299/Monat; komplexe interne Segmentierungs-Engagements werden im Growth-Plan gescopt.
Vertiefen — verwandte Artikel aus unserem Blog
Testen Sie Ihr Netzwerk vom Perimeter und von innen
Starten Sie jetzt einen kostenlosen 3-Minuten-Scan oder erhalten Sie einen vollständigen Netzwerk-Penetrationstest-Bericht — exponierte Dienste, Segmentierung und Privilegienpfade, Proof-of-Exploit pro Befund, gemappt auf ISO 27001, NIS2 und DORA — ab €149.
Kostenlosen Netzwerk-Scan starten