Externer vs. Interner Pentest Berlin
Was ist der Unterschied? Wann brauchen Sie welchen Ansatz? Und warum ist die Kombination für Berliner KMUs der goldene Standard?
Externer vs. Interner Pentest — Direktvergleich
| Kriterium | Externer Pentest | Interner Pentest |
|---|---|---|
| Angreifer-Perspektive | Internet-Angreifer ohne Vorwissen | Insider / bereits kompromittierter Account |
| Angriffsfläche | Öffentliche IPs, Domains, VPN, Mail, Webserver | Internes Netz, Active Directory, Fileserver, Datenbanken |
| Typische Methoden | Port-Scanning, CVE-Exploitation, Web-Angriffe | Kerberoasting, Pass-the-Hash, Privilege Escalation |
| Voraussetzungen | Nur IP-Adressen / Domains | VPN-Zugang zum internen Netz |
| Dauer | 3–7 Werktage | 5–10 Werktage |
| Preis (Berlin) | ab 2.500 € | ab 4.500 € |
| Gut für... | Erstprüfung, EAS, Cloud-Absicherung | Active Directory, Post-Exploitation, Insider-Threat |
| NIS2-Relevanz | Ja — externe Angriffsfläche | Ja — interne Ausbreitung nach Breach |
Black-Box, Grey-Box oder White-Box?
Diese drei Ansätze unterscheiden sich im Grad des Vorwissens des Testers — und damit in Tiefe, Dauer und Kosten.
Kein Vorwissen. Tester sieht nur den Unternehmensnamen — so wie ein echter Angreifer.
- Realste Simulation möglich
- Testet Security ohne Insider-Wissen
- Zeitintensiver (mehr Recon-Phase)
- Möglicherweise nicht alle Bereiche abgedeckt
Teilweises Vorwissen (z.B. normaler Benutzeraccount, Netzwerkplan). Effizienz + Realismus.
- Effizienter als Black-Box
- Deckt Insider-Szenarien ab
- Bestes Kosten-Nutzen-Verhältnis
- Erfordert etwas Vorab-Sharing
Vollständiges Vorwissen: Architektur, Code, Credentials. Tiefste Testabdeckung.
- Höchste Testtiefe
- Optimalste Codeanalyse
- Weniger Lücken bleiben unentdeckt
- Teuerster Ansatz
- Weniger realitätsnah
Der goldene Standard: Hybrid-Pentest (Extern + Intern)
Für Berliner KMUs empfiehlt SODU Secure den kombinierten Ansatz: Zuerst externer Pentest (Grey-Box), dann interner Active-Directory-Test (Grey-Box). Dieser Hybrid deckt den vollständigen Angriffspfad ab — vom ersten Angriff aus dem Internet bis zur Übernahme des Domain Controllers.
Wann brauche ich welchen Pentest?
Externer Pentest empfohlen, wenn...
- Sie noch nie einen Pentest hatten
- Sie neue Webapplikationen launchen
- Sie Cloud-Infrastruktur absichern wollen
- Sie NIS2-Compliance nachweisen müssen
- Ihre Versicherung einen Nachweis fordert
Interner Pentest empfohlen, wenn...
- Sie Active Directory betreiben
- Sie einen Ransomware-Angriff simulieren wollen
- Insider-Threat ein reales Risiko ist
- Sie nach einem Incident die eigene Abwehr testen
- ISO 27001 und ISO 27019 Anforderungen vorliegen
Grey-Box empfohlen, wenn...
- Sie ein begrenztes Budget haben
- Maximale Effizienz bei vorgegebenem Zeitfenster wichtig ist
- Sie Best-of-both-worlds aus Realismus und Tiefe möchten
- KMU-Standardpaket gewünscht wird
White-Box empfohlen, wenn...
- Sie eine ISO 27001 Zertifizierung vorbereiten
- Sie den Quellcode einer kritischen Anwendung prüfen lassen
- Sie maximale Testtiefe in regulierten Branchen brauchen
- DORA oder TIBER-EU Anforderungen gelten
Häufige Fragen: Intern vs. Extern
Was ist ein externer Penetrationstest?
Ein externer Pentest simuliert einen Angreifer aus dem Internet ohne Vorwissen über Ihre Infrastruktur. Der Tester greift von außen auf Ihre öffentlichen IPs, Domains, Webserver, VPNs und Mailserver an – so wie ein echter Angreifer es tun würde. Ziel: Identifikation aller von außen erreichbaren Schwachstellen.
Was ist ein interner Penetrationstest?
Ein interner Pentest simuliert einen Angreifer, der bereits im Netzwerk ist – z. B. nach einem Phishing-Angriff oder durch einen böswilligen Mitarbeiter. Der Tester erhält Zugang zu einem internen System und versucht, sich lateral durch das Netzwerk zu bewegen, Privilegien zu eskalieren und sensible Daten zu erreichen.
Was ist der Unterschied zwischen Black-Box, Grey-Box und White-Box Pentest?
Black-Box: Kein Vorwissen, simuliert realen externen Angreifer. Grey-Box: Teilweises Vorwissen (z.B. ein normaler Benutzeraccount), effizienteres Testen. White-Box: Vollständiges Vorwissen inklusive Architektur, Quellcode und Credentials – tiefste Testabdeckung. Für KMUs empfiehlt sich Grey-Box extern + White-Box intern.
Brauche ich als Berliner KMU einen internen oder externen Pentest?
Idealerweise beides – aber wenn Sie mit einem starten müssen: Beginnen Sie mit einem externen Pentest (geringerer Aufwand, direkte Angriffsfläche aus dem Internet). Im zweiten Schritt folgt der interne Pentest (Active Directory, laterale Bewegung). SODU Secure kombiniert beides im KMU-Paket.
Was kostet ein externer Pentest in Berlin?
Ein fokussierter externer Netzwerk-Pentest (bis 20 IPs / Domains) kostet ab 2.500 €. Ein umfangreicherer externer Pentest mit Webapplikationen, VPN und Mailserver kostet zwischen 4.000 und 8.000 €. Ein vollständiges KMU-Paket (extern + intern + AD) beginnt bei 8.000 €.
Weitere Themen rund um Pentest Berlin
Pentest in Berlin konfigurieren
Kostenloses Erstgespräch — wir helfen Ihnen, den richtigen Pentest-Ansatz für Ihre Infrastruktur zu wählen.
Pentest Kosten Berechnen