Pentesting Interne IT Infrastruktur
Ein interner Penetrationstest bei Exfilion beantwortet die entscheidende Frage, die nach jeder erfolgreichen Erstkompromittierung im Raum steht: Wie weit kommt ein Angreifer, wenn er bereits im internen Netzwerk ist?
Wir betrachten eure Umgebung aus der Perspektive eines Angreifers mit Netz-Zugang. Das kann ein kompromittierter Client, ein gestohlener VPN-Zugang, ein unprivilegierter Benutzeraccount oder ein Insider-Szenario sein. Entscheidend ist nicht der Einstieg selbst, sondern was sich daraus entwickeln lässt.
Je nach Zielsetzung beginnen wir als Black-box-Szenario ohne Zugangsdaten oder mit einem unprivilegierten Benutzeraccount. Im Black-box-Fall prüfen wir, welche Angriffsflächen im internen Netz bereits ohne bekannte Credentials bestehen. Mit einem normalen Mitarbeiterkonto analysieren wir zusätzlich typische Berechtigungen, Einschränkungen und die Frage, ob sich daraus laterale Bewegungen oder Eskalationen ableiten lassen.
Auf Wunsch kann das Assessment um ein Physical Security Assessment ergänzt werden. Dabei prüfen wir, ob physische Schwachstellen den Weg in sensible Bereiche oder direkt in das interne Netzwerk eröffnen. Gerade in realen Angriffsszenarien ist physischer Zugang oft der Ausgangspunkt für weitergehende Kompromittierungen.
Im Zentrum steht die systematische Analyse interner Angriffsflächen. Typische Prüfziele sind Active Directory und Identity-Umgebungen, interne Dienste wie SMB, RDP, FTP oder Datenbanken, interne Webanwendungen und APIs, Netzwerksegmentierung, Firewall- und ACL-Regeln, Wireless-Infrastrukturen sowie IoT- und OT-Komponenten.
Die eigentliche Tiefe entsteht in der manuellen Analyse. Wir prüfen nicht isolierte Einzelprobleme, sondern kombinieren Schwachstellen, Fehlkonfigurationen und Vertrauensbeziehungen zu realistischen Angriffspfaden. Besonders relevant sind dabei Themen wie Credential Exposure, Rechteausweitung, unsichere Delegationen, Fehlkonfigurationen in AD, DNS, SMB, LDAP oder Kerberos sowie Lateral Movement zwischen Systemen und Segmenten.
Wenn sich verwertbare Angriffspfade ergeben, validieren wir diese kontrolliert im vereinbarten Scope. Ziel ist nicht die Produktion möglichst vieler Findings, sondern die belastbare Beantwortung operativ relevanter Fragen: Lassen sich privilegierte Zugänge übernehmen, kritische Systeme erreichen oder sensible Daten kompromittieren?
Methodisch orientieren wir uns an etablierten Standards wie dem OWASP Testing Guide, dem OSSTMM und dem Penetration Testing Execution Standard (PTES). Diese dienen jedoch ausschließlich als Ausgangspunkt. Die eigentliche Tiefe entsteht durch unseren praxisorientierten Ansatz, der sich an realen Angriffstechniken und tatsächlichen Kompromittierungsszenarien orientiert, nicht an formaler Compliance.
Am Ende steht keine abstrakte Risikoanalyse, sondern eine klare Aussage: Welche internen Angriffspfade existieren und wie weit ein Angreifer tatsächlich kommt.
Kompetenz
Exfilion steht für nachweisbare offensive Kompetenz. Unser Team besteht aus erfahrenen Hacking Experten mit praxisorientierten Zertifizierungen wie OSCP (Offensive Security Certified Professional), CRTO (Certified Red Team Operator) und BACPP (Binsec Academy Certified Pentest Professional).
Im Team vereinen wir jahrzehntelange Erfahrung aus Penetration Testing, Red Teaming und technischen Analysen. Dieses Wissen entstand nicht in Trainingsumgebungen, sondern in realen Security Assessments.
Pentest Richtlinien
Standards sind die Basis. Exfilion geht deutlich darüber hinaus.
Standards und regulatorische Anforderungen definieren das Minimum. Sie geben vor, was geprüft werden sollte, aber nicht, wie tief ein Angriff tatsächlich gehen kann. Sie schaffen Orientierung, aber keine Sicherheit.
Viele Prüfungen enden genau dort, wo Vorgaben erfüllt sind. Checklisten werden abgearbeitet, Anforderungen abgehakt. Genau hier entstehen blinde Flecken, denn reale Angreifer orientieren sich nicht an Standards, sondern an Möglichkeiten.
Exfilion nutzt Standards als Ausgangspunkt und nicht als Grenze. Durch Erfahrung, technische Tiefe und kreative Angriffsansätze gehen wir gezielt darüber hinaus und identifizieren Schwachstellen, die in klassischen Prüfungen unsichtbar bleiben.
Ihr Anbieter für Interner Pentest
Exfilion steht für technisch tiefgehendes, manuelles Penetration Testing auf Elite Level mit klarem Fokus auf reale Angriffswege. Wir arbeiten nicht nach Checklisten und nicht im Stil klassischer Pentest-Dienstleister. Unser Anspruch ist es, Systeme unter realistischen Bedingungen tatsächlich zu kompromittieren und ihre Angreifbarkeit sichtbar zu machen. Exfilion ist der spezialisierte Anbieter in Deutschland für Interner Penetrationstest auf Elite Level.
