Skip to content
CyberXplore - Xplore the Unseen

Was ein externer Netzwerk-Penetrationstest wirklich findet

cyberxploreVon cyberxplore10 Min. Lesezeit

Die großen Treffer bei externen Netzwerk-Penetrationstests sind selten exotische Zero-Days. Es sind der vergessene Server, das ungepatchte VPN und der Login, der noch immer admin/admin lautet. Hier ist, was wir finden – und wie.

Was ein externer Netzwerk-Penetrationstest wirklich findet

Wir finden im offenen Internet noch immer Login-Panels, die admin/admin beim ersten Versuch akzeptieren. Nicht ein einziges Mal, nicht als Zufall. Es ist eine wiederkehrende Schlagzeile in unseren Berichten. Eine Backup-Appliance, die vor Jahren ins Rack gehängt und nie wieder angefasst wurde. Ein Staging-Server, den ein Entwickler an einem Wochenende hochgezogen und dann vergessen hat. Ein Firewall-Management-Port, der eigentlich auf eine einzige Büro-IP beschränkt sein sollte und es nie war.

Das ist die unbequeme Wahrheit über externe Netzwerk-Penetrationstests: Der Weg hinein ist fast nie raffiniert. Es ist etwas, das Ihnen längst gehört und das Sie irgendwann aus den Augen verloren haben.

Externe Netzwerk-Penetrationstests bedeuten, Ihre ins Internet gerichteten Systeme so anzugreifen, wie es ein echter Eindringling tun würde – von außen, ohne Zugangsdaten, ohne Netzwerkdiagramm und ohne Hilfe. Es geht darum, die Tür zu finden, bevor jemand sie findet, der Ihnen nicht Rechenschaft schuldet. Dieser Beitrag zeigt, was solche Tests zutage fördern, wie wir es aufdecken und was Sie zuerst beheben sollten.

Das Wichtigste in Kürze

  • Externe Netzwerk-Penetrationstests greifen Ihre ins Internet gerichteten Assets ohne Vorabzugang an, um die Einstiegspunkte zu finden, nach denen ein Angreifer zuerst greift.
  • Die Befunde mit der größten Wirkung sind meist banal: offen zugängliche Admin-Panels, ungepatchte VPN- und Firewall-Appliances sowie Standard- oder wiederverwendete Zugangsdaten.
  • Die Erfassung der Angriffsfläche ist die halbe Miete. Die meisten Organisationen können nicht jeden Host aufzählen, den sie exponieren, und genau über die vergessenen kommen wir hinein.
  • Edge-Geräte wie VPNs, Firewalls und Mail-Gateways sind bevorzugte Ziele, weil eine einzige nicht authentifizierte Schwachstelle den gesamten Perimeter preisgeben kann.
  • Die Gegenmaßnahmen sind bewusst unspektakulär: die exponierte Fläche verkleinern, Edge-Geräte schnell patchen, Standard-Zugangsdaten abschaffen und MFA für alles verlangen, was zum Internet zeigt.

Was ist ein externer Netzwerk-Penetrationstest?

Ein externer Netzwerk-Penetrationstest ist ein kontrollierter Angriff auf alles, was Ihre Organisation dem offenen Internet aussetzt: Webserver, Mailserver, VPN-Gateways, Firewalls, Remote-Access-Dienste, DNS und jeden anderen Port, den ein Außenstehender erreichen kann. Der Tester beginnt aus der Perspektive eines Angreifers, meist mit nichts als Ihrem Firmennamen oder einer Liste von IP-Bereichen und Domains.

Er beantwortet eine unverblümte Frage. Wenn ein motivierter Fremder uns heute angehen würde, könnte er von außen Fuß fassen? Das ist eine andere Frage als die, die ein interner Test stellt. Interne Arbeit setzt voraus, dass der Angreifer bereits drin ist, und misst, wie weit er kommt. Externe Arbeit dreht sich um den Perimeter, und der Perimeter ist größer und unübersichtlicher, als die meisten Teams glauben.

Man verwechselt das gern mit einem Schwachstellen-Scan. Zu Unrecht. Ein Scan lässt ein Tool laufen und druckt einen Bericht aus. Ein Penetrationstest nimmt diese Ausgabe als Ausgangspunkt, dann prüft ein Mensch sie, verkettet die Befunde und nutzt sie aus, um echte Auswirkungen nachzuweisen. Scanner sind laut und blind für den Kontext. Einer meldet eine TLS-Einstellung mit mittlerem Schweregrad und läuft direkt an dem Admin-Panel vorbei, das admin/admin akzeptiert, weil ein Scanner sich am Anmelden gar nicht erst versucht.

Wie kartiert man die externe Angriffsfläche?

Die Erfassung kommt zuerst, und genau darin steckt überraschend viel vom eigentlichen Wert. Bevor wir irgendetwas anfassen, erstellen wir das vollständigste mögliche Bild dessen, was Sie exponieren. Die Scope-Liste, die uns ein Kunde übergibt, ist selten die vollständige Liste dessen, was tatsächlich online läuft.

Wir beginnen mit passiver Aufklärung, um leise zu bleiben: Certificate-Transparency-Logs, DNS-Einträge, WHOIS-Daten und Suchmaschinen, die exponierte Dienste indexieren. Certificate Transparency ist das Erste, wonach ich greife. Jedes TLS-Zertifikat, das ein Unternehmen ausstellt, wird öffentlich protokolliert und verrät so Subdomains, die niemand bewerben wollte – die dev-, uat- und vpn-test-Hostnamen, die eigentlich nie auffindbar sein sollten.

# Subdomain enumeration from multiple passive sources
subfinder -d acme-corp.com -all -silent | tee subs.txt

# Resolve, then probe which ones are actually live
cat subs.txt | dnsx -silent -a -resp | httpx -silent -title -status-code -tech-detect

Dann werden wir aktiv: Wir scannen die aufgelösten Hosts auf offene Ports und erstellen Fingerabdrücke dessen, was antwortet. Wir zählen nicht einfach offene Ports. Wir jagen die interessanten. Nichts schärft den Fokus eines Testers so wie 3389 (RDP), 445 (SMB) oder ein Datenbank-Port, der direkt ins Internet antwortet.

# Fast full-range TCP sweep, then service/version detection on the hits
nmap -p- --min-rate 2000 -oA sweep 203.0.113.0/24
nmap -sV -sC -p 22,443,3389,8443 -oA services 203.0.113.10

Was dabei herauskommt, ist ein Live-Inventar: Hostnamen, IPs, offene Ports, laufende Software, Versionen. Dieses Inventar überrascht regelmäßig die Leute, die den Test beauftragt haben. Wir haben Teams schon Listen übergeben, auf denen ein guter Teil der Hosts Dinge waren, von denen ihre Sicherheitsabteilung nie gehört hatte – hochgezogen von einem Entwickler oder einem Marketing-Dienstleister und einfach weiterlaufen gelassen.

Was findet ein externer Test tatsächlich?

Hier die ehrliche Aufschlüsselung dessen, was auf der ersten Seite unserer Berichte landet, ungefähr in der Reihenfolge, in der es meist zählt.

Exponierte Dienste und Admin-Oberflächen

Der häufigste ernste Befund ist etwas, das nie zum Internet hätte zeigen dürfen. Management-Konsolen. CI-Dashboards wie Jenkins. Datenbank-Ports. Kubernetes-API-Server. Elasticsearch- und Redis-Instanzen, die ohne Authentifizierung dastehen – und ja, ein offenes Redis bedeutet oft eine schnelle redis-cli-Verbindung und einen Blick auf alles, was darin zwischengespeichert ist. Drucker- und IoT-Admin-Panels. Staging-Umgebungen, die die Produktion spiegeln, aber deren Kontrollen weglassen. Wenn es auf einer öffentlichen IP lauscht und für den internen Gebrauch gebaut wurde, schreiben wir es auf.

Ungepatchte Edge-Appliances

VPN-Konzentratoren, Firewalls und Mail-Gateways sind genau dort, wo ein externer Angreifer sein will, und sie altern schlecht. Sie sitzen direkt auf der Grenze. Sie laufen mit Software, die Sie oft nicht inspizieren können. Und ein einziger Pre-Authentication-Bug in einem davon kann einen Angreifer direkt ins interne Netzwerk befördern. Kritische, nicht authentifizierte Schwachstellen in großen VPN- und Firewall-Produkten gehörten in den letzten Jahren zu den am stärksten ausgenutzten Bugs, gerade weil sie konstruktionsbedingt zum Internet zeigen und langsam gepatcht werden. Wenn wir ein Edge-Gerät mit einer Version entdecken, für die ein öffentlicher Exploit bekannt ist, wandert das an die Spitze des Berichts – und es kommt mit einem Anruf.

Standard- und schwache Zugangsdaten

Standard-Zugangsdaten sterben einfach nicht aus. Das Problem hat sogar seine eigene Schwachstellenklasse, CWE-1392, Verwendung von Standard-Zugangsdaten, und wir finden noch immer admin/admin, admin/password und Herstellervorgaben auf Geräten, die in Eile ausgerollt und nie wieder angefasst wurden. Direkt dahinter kommt die Wiederverwendung von Zugangsdaten – Passwörter, die in alten Datenlecks Dritter verbrannt wurden und trotzdem noch Ihr VPN oder Webmail öffnen. Wir testen entdeckte Login-Oberflächen gegen kuratierte, aus Datenlecks abgeleitete Listen, vorsichtig und mit Ratenbegrenzung, denn ein Angreifer, der ein Password-Spraying (MITRE ATT&CK T1110.003) fährt, schert sich nicht um eine Sperrrichtlinie, die Sie nie konfiguriert haben.

Fehlende MFA beim Remote-Zugang

Ein VPN- oder Outlook-Web-Access-Portal, das nur durch ein Passwort geschützt ist, ist von einer Kompromittierung nur ein einziges Zugangsdatum entfernt. Spraying ohne MFA gehört zu den zuverlässigsten Wegen in eine Organisation, die wir sehen, und es braucht null Exploit-Code. Wenn es zum Internet zeigt und eine Tür zu irgendetwas Internem öffnet, braucht es einen zweiten Faktor. Punkt.

Informationslecks und Fehlkonfigurationen

Ausführliche Fehlerseiten. Offen zugängliche .git-Verzeichnisse. Directory-Listings. Backup-Dateien, die im Web-Root liegen bleiben. Interne Hostnamen, die über HTTP-Header nach außen dringen. Für sich genommen wirken diese Dinge trivial. Miteinander verkettet reichen sie einem Angreifer eine Landkarte – und manchmal Quellcode oder Zugangsdaten direkt dazu.

Warum zählt ein einziger offener Port?

Weil der Perimeter eine Kette ist und ein Angreifer nur ein einziges haltendes Glied braucht. Sehen Sie, wie es läuft. Eine vergessene Subdomain zeigt auf eine ungepatchte Web-App. Die App verrät Ihr internes Benutzernamen-Format. Dieses Format speist ein Password-Spraying gegen das VPN, und das VPN hat keine MFA. Jetzt gibt es einen Fuß in der Tür, und der externe Test hat gerade einen Einbruch in Zeitlupe vorgeführt.

Nicht ein einziger dieser Schritte brauchte einen Zero-Day. Das ist der Punkt, den wir unseren Kunden immer wieder machen. Sie werden weit eher über einen Haufen gewöhnlicher, behebbarer Expositionen kompromittiert als über einen exotischen, neuartigen Angriff. Externe Netzwerk-Penetrationstests gibt es, um diesen Haufen zu finden, solange es noch Ihr Problem ist, das Sie in aller Ruhe beheben können.

Wie beugt man diesen Befunden vor?

Die Gegenmaßnahmen sind wenig glamourös, und das ist die gute Nachricht, denn wenig glamourös heißt machbar.

  • Verkleinern Sie die Angriffsfläche. Jeder Dienst auf einer öffentlichen IP sollte einen dokumentierten Grund haben, dort zu sein. Wenn nicht, nehmen Sie ihn vom Internet oder verschieben Sie ihn hinter das VPN. Niemand greift einen Port an, der nicht offen ist.
  • Führen Sie ein Asset-Inventar, das wirklich stimmt. Sie können nicht verteidigen, von dessen Existenz Sie nichts wissen. Pflegen Sie eine lebende Liste der ins Internet gerichteten Assets und gleichen Sie sie regelmäßig ab, idealerweise mit automatisierter externer Erfassung, die dieselbe Aufklärung durchführt wie ein Angreifer.
  • Patchen Sie Edge-Geräte auf der Überholspur. VPNs, Firewalls und Mail-Gateways verdienen ihren eigenen beschleunigten Prozess. Wenn ein Hersteller einen Fix für eine nicht authentifizierte Schwachstelle in einem davon ausliefert, rechnen Sie in Tagen, nicht in Wochen.
  • Schaffen Sie Standard-Zugangsdaten ab und erzwingen Sie MFA. Ändern Sie beim Deployment jede Standardvorgabe, blockieren Sie wiederverwendete und geleakte Passwörter und verlangen Sie Multi-Faktor-Authentifizierung auf jeder Remote-Access- und Admin-Oberfläche. Diese eine Maßnahme neutralisiert einen großen Teil dessen, was wir ausnutzen.
  • Testen Sie erneut, nachdem Sie etwas geändert haben. Ein Perimeter ist nicht statisch. Neue Dienste tauchen auf, DNS-Einträge verschieben sich, Appliances veralten. Ein Test zu einem bestimmten Zeitpunkt ist eine Momentaufnahme, keine Garantie.

Wie CyberXplore hilft

Unser Service für externe Netzwerk-Penetrationstests tut genau das, was dieser Artikel beschreibt. Wir kartieren Ihren gesamten ins Internet gerichteten Fußabdruck, einschließlich der Assets, von deren Exposition Sie nichts wussten, und validieren und exploiten dann sicher, was wir finden, um echte Auswirkungen zu zeigen statt einer Wand aus Scanner-Rauschen. Sie erhalten einen priorisierten Bericht, der die noch-heute-zu-behebenden Punkte vom Hintergrundrisiko trennt, mit klaren Reproduktionsschritten, auf die Ihre Techniker reagieren können, und einen Nachtest, der bestätigt, dass die Lücken auch wirklich geschlossen sind. Wenn Sie sehen möchten, was ein echter Angreifer sieht, wenn er auf Ihren Perimeter schaut, fordern Sie ein Angebot an, und wir stecken den Umfang gemeinsam mit Ihnen ab.

FAQ

Wie unterscheidet sich ein externer Netzwerk-Penetrationstest von einem Schwachstellen-Scan?

Ein Schwachstellen-Scan ist automatisiert und wirft eine Liste potenzieller Probleme aus, viele davon Fehlalarme, ohne Nachweis, dass irgendetwas ausnutzbar ist. Ein externer Netzwerk-Penetrationstest nutzt das Scannen als eine Eingabe, dann prüft ein Mensch die Befunde, verkettet sie und demonstriert sicher die echten Auswirkungen. Der Scan sagt Ihnen, was falsch sein könnte. Der Test beweist, was ein Angreifer tatsächlich tun könnte.

Wie lange dauert ein externer Netzwerk-Penetrationstest?

Für einen typischen kleinen bis mittelgroßen externen Fußabdruck sollten Sie mit etwa ein bis zwei Wochen aktiver Tests plus Berichterstellung rechnen, auch wenn das mit der Anzahl der aktiven Hosts und Dienste im Scope skaliert. Am stärksten variiert die Erfassung, denn eine große oder weit verzweigte Angriffsfläche braucht länger, um sie gründlich zu kartieren. Wir setzen den Zeitplan an Ihrer tatsächlichen Asset-Zahl an, statt zu raten.

Stört der Test unsere Produktivsysteme?

Der Test läuft nach vorab vereinbarten Rules of Engagement. Wir vermeiden Denial-of-Service-Techniken, begrenzen die Rate bei allem, was Authentifizierung berührt, und stimmen uns bei sensiblen Systemen ab. Der weitaus größte Teil der externen Arbeit besteht aus sorgfältiger Beobachtung und kontrollierter Validierung, und alles mit echtem Störpotenzial wird nur mit ausdrücklicher Freigabe ausgeführt.

Wie oft sollten wir externe Netzwerk-Penetrationstests durchführen?

Mindestens einmal im Jahr und nach jeder wesentlichen Änderung an Ihrer ins Internet gerichteten Umgebung – einem neuen Produktstart, einer Migration, einer Fusion. Viele Organisationen führen ihn auch durch, um Compliance-Anforderungen wie PCI DSS oder SOC 2 zu erfüllen. Weil Perimeter driften, profitieren Teams mit einem schnell wachsenden Fußabdruck von häufigeren Tests oder einer kontinuierlichen externen Überwachung der Angriffsfläche zwischen den vollständigen Engagements.

Was erhalten wir am Ende des Engagements?

Einen Bericht, der mit einer Zusammenfassung für die Geschäftsleitung und einer priorisierten, nach echtem Risiko geordneten Liste der Befunde beginnt, jeweils mit klaren Nachweisen, Reproduktionsschritten und Anleitungen zur Behebung. Wir trennen die dringenden Punkte von der Härtung mit niedrigerer Priorität, damit Ihr Team genau weiß, was zuerst anzugehen ist. Wir bieten außerdem einen Nachtest nach der Behebung an, um zu bestätigen, dass die Probleme wirklich geschlossen und nicht nur gemeldet sind.

Ähnliche Artikel

Machen Sie aus diesen Insights ein Projekt

Erhalten Sie einen von Senior-Experten geführten Penetrationstest, zugeschnitten auf Ihren Stack - umsetzbare Ergebnisse statt Checkliste.

  • Kostenloser Nachtest für jeden Fix
  • Scope und Angebot innerhalb von 24 Stunden
  • Ausschließlich Senior-Tester
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Angebot anfordern