Interner Penetrationstest

Pentest von Innen

Die binsec GmbH führt systematische interne Penetrationstests bzw Pentests im internen Netzwerk durch, um Schwachstellen innerhalb interner Netzwerke, Server und Applikationen aufzudecken und zu bewerten. Interne IT-Penetrationstests betrachten die IT-Umgebung aus der Perspektive eines Angreifers mit Netz-Zugang, zum Beispiel nach einer erfolgreichen Phishing-Attacke, bei kompromittierten Endpunkten oder in Insider-Szenarien.

Die Durchführung eines internen Pentest orientiert sich an etablierten Standards und folgt einer strukturierten Methodik, die sich in mehrere aufeinander aufbauende Phasen gliedert.

Im Folgenden finden Sie die typischen Testphasen und Auswahloptionen für interne Penetrationstests, die wir je nach Kundenanforderung kombinieren oder einzeln durchführen können.

  • Black-box (ohne Zugangsdaten): Simulation eines Angreifers ohne gültige Zugangsdaten.
  • Unprivilegierter Benutzeraccount: Analyse aus Sicht eines regulären Mitarbeiters zur Bewertung von Rechten und Eskalationspfaden.
  • Physical Security Assessment (optional): Prüfung physischer Sicherheitsmaßnahmen als möglicher Einstiegspunkt.

Interner Pentest: Reconnaissance & Enumeration (Interne Angriffsfläche)

  • Identifikation aktiver Systeme, Dienste und Netzwerksegmente
  • Analyse interner Namensauflösung (z. B. DNS, Active Directory)
  • Enumerierung von Benutzern, Gruppen und Ressourcen
  • Analyse von Netzwerkzugangskontrollen (z. B. NAC) und möglichen Umgehungen

Interner Pentest: Scanning & Service Analysis

  • Identifikation erreichbarer Dienste (SMB, RDP, FTP, Datenbanken, interne Webanwendungen)
  • Erkennung von Versionen, Konfigurationen und eingesetzten Technologien
  • Analyse von Schnittstellen, Endpunkten und Authentifizierungsmechanismen

Interner Pentest: Prüfung auf Sicherheitslücken (Vulnerability Assessment)

  • Analyse von Patchständen und bekannten Schwachstellen
  • Überprüfung von Konfigurationen und Sicherheitsrichtlinien (z. B. Active Directory, IAM)
  • Bewertung von Netzwerksegmentierung, Firewall- und ACL-Regeln
  • Analyse von Passwort-Richtlinien und -Handling
  • Überprüfung von Datenzugriffen und Berechtigungen auf File-Shares

Interner Pentest: Exploitation & Lateral Movement (sofern zutreffend)

  • Ausnutzung identifizierter Schwachstellen zur Erlangung initialer Zugriffe
  • Durchführung von Man-in-the-Middle-Angriffen (z. B. LLMNR oder NBT-NS Spoofing)
  • Seitwärtsbewegung innerhalb des internen Netzwerks
  • Analyse und Ausnutzung von Vertrauensstellungen (z. B. Active Directory)

Interner Pentest: Privilege Escalation & Post-Exploitation (sofern zutreffend)

  • Untersuchung möglicher Rechteausweitung auf System- oder Domänenebene
  • Zugriff auf sensible Daten und kritische Systeme
  • Bewertung der Gesamtauswirkungen möglicher Angriffsketten

Physical Security Assessment (optional)

  • Überprüfung physischer Zugangskontrollen zu Gebäuden und sensiblen Bereichen
  • Bewertung von Zutrittskontrollen und Besucherprozessen

Die binsec bietet interne Pentests sowohl vor Ort als auch remote an. Für Remote-Engagements nutzen wir unsere PenPI (Pentesting Physical Interface). Die Geräte werden einmalig vor Ort platziert und anschließend über eine verschlüsselte VPN-Verbindung betrieben.

Beispiel Pentestbericht

Download

Unsere Leistung in Kurzfassung:
Durchführung von Penetrationstest (Pentest)

Seit 2013 führt unser zertifiziertes Team Pentest für IT-Infrastrukturen, Webanwendungen, Mobile APP (iOS/Android) und anderen Zielen jeweils mit Hilfe einer strukturierten Vorgehensweise durch, die auf allen relevanten Standards basiert. Als Anbieter für professionelle Pentest legen wir die Bewertung der Schwachstellen anhand des dazugehörigen Business-Risikos fest und erstellen einen Bericht, der eine Zusammenfassung für den IT-Manager sowie die technischen Details zu den identifizierten Schwachstellen enthält. Nachdem Sie die Schwachstellen behoben haben, führen wir in der Regel ohne zusätzliche Kosten einen Nachtest durch.

Kontaktieren Sie uns

Mehr als 10 Jahre praktische Erfahrung im Bereich Penetration Testing

Keine Subunternehmer oder externen Freelancer

Direkter Kontakt zum verantwortlichen Senior Penetration Tester

Strukturierte, dokumentierte und reproduzierbare Testmethodik auf Basis von PTDoc

Vollständig kontrollierte, eigene Pentesting-Infrastruktur, keine Cloud-Nutzung

Professionelle Offensive-Security-Zertifizierungen: OSCP, OSCE, CRTO, BACPP

Identifizierung technischer und geschäftsrelevanter Sicherheitsrisiken

Risikogewichtete Bewertung von Schwachstellen oder CVSS Bewertung

Bericht mit Management-Übersicht und technischem Detailteil

Nachprüfung der identifizierten Schwachstellen inkludiert

Unsere Leistung in Kurzfassung:
Durchführung von Penetrationstest (Pentest)

Seit 2013 führt unser zertifiziertes Team Pentest für IT-Infrastrukturen, Webanwendungen, Mobile APP (iOS/Android) und anderen Zielen jeweils mit Hilfe einer strukturierten Vorgehensweise durch, die auf allen relevanten Standards basiert. Als Anbieter für professionelle Pentest legen wir die Bewertung der Schwachstellen anhand des dazugehörigen Business-Risikos fest und erstellen einen Bericht, der eine Zusammenfassung für den IT-Manager sowie die technischen Details zu den identifizierten Schwachstellen enthält. Nachdem Sie die Schwachstellen behoben haben, führen wir in der Regel ohne zusätzliche Kosten einen Nachtest durch.

Kontaktieren Sie uns

Mehr als 10 Jahre praktische Erfahrung im Bereich Penetration Testing

Keine Subunternehmer oder externen Freelancer

Direkter Kontakt zum verantwortlichen Senior Penetration Tester

Strukturierte, dokumentierte und reproduzierbare Testmethodik auf Basis von PTDoc

Vollständig kontrollierte, eigene Pentesting-Infrastruktur, keine Cloud-Nutzung

Professionelle Offensive-Security-Zertifizierungen: OSCP, OSCE, CRTO, BACPP

Identifizierung technischer und geschäftsrelevanter Sicherheitsrisiken

Risikogewichtete Bewertung von Schwachstellen oder CVSS Bewertung

Bericht mit Management-Übersicht und technischem Detailteil

Nachprüfung der identifizierten Schwachstellen inkludiert

Was ist ein Penetrationstest?

Was ist das Ziel eines Penetrationstests?

Welche Arten von Penetrationstests gibt es?

Welche Angriffszenarien bzw Angriffsvektoren gibt es?

Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetrationstest?

Pentest-Vorgehensweise

Ein Penetrationstest ist ein strukturiert durchgeführter Angriff auf IT-Systeme oder IT-Anwendungen, um mögliche Schwachstellen zu identifizieren. Dabei werden die gleichen Werkzeuge und Techniken eingesetzt, die auch reale Angreifer anwenden um in Systeme einzubrechen. Somit ist ein Penetrationstest kein automatischer Schwachstellen-Scan. Im Gegenteil, ein Penetrationstest als Dienstleistung ist immer eine Kombination aus der Anwendung von Security-Tools und der Durchführung manueller Tests, die der Aufdeckung von Schwachstellen dienen. Während ein realer Angreifer nur eine einzige Schwachstelle finden und ausnutzen muss, wird ein Penetrationstester alle relevanten Angriffsvektoren prüfen.

Eine strukturierte Vorgehensweise ist einer der wichtigsten Erfolgsfaktoren als Pentest-Dienstleister, um dies erreichen zu können. Das ist auch relevant bei der Durchführung von einem Interner Pentest. Unsere Vorgehensweise basiert auf allen relevanten Standards und Veröffentlichungen.

OWASP Testing Guide
OWASP Top 10
OWASP API Security Top 10
OWASP Mobile Top 10
OWASP Mobile Security Testing Guide
OWASP Top 10 für LLM Anwendungen
Mobile Application Security Verification Standard (MASVS)
BSI-Studie Durchführungskonzept für Penetrationstest
Open Source Security Testing Methodology Manual (OSSTMM)
CWE Top 25
Penetration Testing Execution Standard (PTES)

Angebot für Interner Pentest

Die Durchführung eines Penetrationstest ist immer ein Kompromiss aus Aufwand und Kosten, für die Darstellung eines angemessenen Preises. Erfolgreiche Pentest zeigen eine gute Balance zwischen diesen Eigenschaften, um die Prüfung aller relevanten Angriffe und Angriffsvektoren leisten zu können. Die Kosten für einen solchen Test sind immer abhängig vom eingesetzten Zeitaufwand des Penetrationstesters sowie von der Größe und Komplexität des IT-Systems bzw. der Webanwendungen. Während ein Penetrationstest für eine kleine Webanwendung wenige Tage dauert, kann ein Penetrationstest für große Netzwerke schon einmal mehrere Wochen in Anspruch nehmen.

Für ein Pentest-Angebot benötigen wir vorab Informationen über die zu untersuchenden Systeme und Anwendungen. Es ist notwendig, dass wir uns vom Ziel einen ersten Eindruck verschaffen. Bei Webanwendungen sind zum Beispiel Testzugänge hilfreich. Jede zusätzliche weitere Information, z.B. über verwendete Frameworks, wird uns dabei helfen, Ihnen das für Sie passende Angebot zu unterbreiten. Wünschen Sie einen Penetrationstest für ein IT-System, benötigen wir vorab die entsprechenden Netzwerkadressen. In diesem Fall werden wir zunächst einen nichtinvasiven Netzwerkscan durchführen, um uns ein erstes Bild von Ihrem Netzwerk zu machen. Nach unserer Aufwandsschätzung erhalten Sie ein detailliertes Angebot.

binsec GmbH ist ein deutsches Pentest Unternehmen für professionelle Penetrationstests. Kontaktieren Sie uns für Ihr Interner Pentest-Angebot - veranlassen Sie Ihren Pentest noch heute!

Kontaktieren Sie uns
Pentest Offer

Wie oft sollte man einen Penetrationstest durchführen?

Welche Vorteile hat ein Unternehmen durch einen Penetrationstest?

Warum findet binsec mehr Findings als andere?

Was ist beim Thema Datenschutz im Rahmen eines Penetrationstests zu berücksichtigen?

Wo und wie werden Pentest-Daten verarbeitet?

Pentesting
für bestimmte Standards und Anforderungen

Weltweit gibt es zahlreiche Normen oder gesetzliche Vorgaben, die die Durchführung eines Penetrationstests vorschreiben.

ISO 27001
ISO 25010
PCI DSS
KRITIS
i-Kfz
DiGa
Konzessionen Sportwetten im Internet (RP Darmstadt)
MPA Global Content Security Program
ÖNORM A7700
IEC 81001-5-1
TISAX / VDA ISA
MDR (Medical Device Regulation)
TIBER-DE Test / Threat-Led Penetration Testing (TLPT) für DORA
NIS2
Microsoft 365 App Compliance Program (Teams/Sharepoint)

binsec GmbH für professionelle Penetrationstest
Interner Pentest

Die binsec GmbH ist das deutsche Unternehmen für professionelles Penetration Testing für Ihren Interner Pentest. Erhalten Sie ein Pentest Angebot ohne typischen Verkaufsunsinn. Reden Sie mit Experten anstelle von Pre-Sales-Beratern. Better pentesting. No nonsense. Als professioneller Penetration Test Anbieter machen wir einiges anders als andere Firmen: Als Dienstleister für Penetration Testing verkaufen wir automatisierte Schwachstellenscans nicht als Pentest. Wir betrachten auch geschäftliche Sicherheitsrisiken. Sie suchen ein Unternehmen für einen professionell durchgeführten Penetrationstest? Nehmen Sie das Team der binsec für Ihren Interner Pentest!

Kontaktieren Sie uns

Häufig gestellte Fragen

Ja, natürlich. Bitte kontaktieren Sie uns für einen Pentest-Beispielbericht.

Die Antwort auf diese Frage lässt sich schwer pauschalisieren, da das eingesetzte Toolset grundsätzlich vom jeweiligen Prüfobjekt abhängt. So setzen wir selbstverständlich Tools wie nmap bei der Überprüfung von IT-Infrastrukturen oder die Burp Suite Professional im Fall von Webanwendungen ein.

Jedoch sind wir der Meinung, dass die Veröffentlichung einer Tool-Liste reine Augenwischerei ist, da jedes Zielsystem individuell betrachtet werden sollte. Sie können uns aber gerne am Ende der Durchführung nach den eingesetzten Tools fragen.

Wenn Sie Schwachstellen innerhalb einer angemessenen Zeit beheben, prüfen wir gerne kostenlos nach.

Das Hosten einer kritischen Geschäftsanwendung bei einem Cloud-Anbieter wie Amazon AWS, Microsoft Azure, Google Cloud oder Hetzner Cloud ist immer verbreiteter.

Selbstverständlich führen wir Penetrationstests für Anwendungen durch, die in der Cloud betrieben werden. Dies gilt auch für Penetrationstests von IT-Infrastrukturen in der Cloud, sofern die virtuellen Maschinen nicht vom Cloud-Anbieter selbst verwaltet werden.

Es gibt drei verschiedene Pentest-Ansätze, die sich darin unterscheiden wie viele Informationen ein Pentester vor dem eigentlich Test erhält: Black-Box-Pentest, Grey-Box-Pentest und White-Box Pentest. Wir empfehlen in der Regel einen Greybox Pentest. Er hat das beste Kosten-Nutzen-Verhältnis, wenn Sie Ihre komplette Angriffsfläche testen lassen möchten.
Natürlich, unsere Pentest-Leistungen umfassen auch Offensive Security und Red Teaming. Im Grunde sind diese eine Unterkategorie von Pentesting mit einem sehr starken Fokus auf unstrukturiertes Ethical Hacking.

Wir führen Penetrationstests für praktisch jede IT-Umgebung, jedes IT-System, jede Anwendung oder jedes Netzwerk durch – bis hin zu Protokoll-Fuzzing. Lediglich die Analyse von Hardwarechips unter dem Mikroskop überlassen wir anderen.

Typische Prüfobjekte unserer Penetrationstests sind unter anderem:

Webanwendungen und APIs

Mobile Anwendungen

Server, Plattformen und Infrastruktur

Container und DevOps

Identität und Authentifizierung

Pentest Wissen und Tools

binsec.tools logo

Kostenlose Pentest-Tools für Ihre Sicherheitsanalyse.

Pentest Tools
binsec.wiki logo

Besuchen Sie unsere Wiki-Seite zum Thema Pentesting.

Pentest WIKI
binsec FAQ logo

Klare Antworten auf häufige Fragen zum Thema Pentesting.

Pentest FAQ
binsec news logo

Neuigkeiten zu Pentesting und dem binsec-Universum.

Pentest News

Unternehmen

binsec GmbH
Clemensstraße 6-8
60487 Frankfurt am Main
Germany

Kontakt

info@binsec.com

+49 692475607-0

Impressum

Geschäftsführer: Patrick Sauer
Prokura: Florian Zavatzki, Dominik Sauer
Handelsregister: Frankfurt am Main, HRB97277
USt-ID: DE290966808

© 2026 Alle Rechte vorbehalten binsec GmbH.

Datenschutzerklärung

© 2026 Alle Rechte vorbehalten binsec GmbH.

Datenschutzerklärung