Internes vs. externes Scanning: Warum Sie beide Perspektiven brauchen

Written by ExposIQ | März 17, 2026

Viele Unternehmen verlassen sich ausschliesslich auf externe Sicherheitsscans oder glauben, dass ihre Firewall ausreichend Schutz bietet. Doch die Realität zeigt: Cyberangriffe erfolgen heute über mehrere Vektoren gleichzeitig. Wer nur von aussen scannt, übersieht die Risiken im internen Netzwerk. Und wer nur intern schaut, weiss nicht, was Angreifer von aussen sehen. Für eine wirkungsvolle Sicherheitsstrategie brauchen Sie beide Perspektiven.

Was ist externes Scanning?

Beim externen Scanning werden Ihre öffentlich erreichbaren Systeme aus der Perspektive eines Angreifers untersucht. Das umfasst Webserver, Mail-Server, VPN-Gateways, DNS-Einträge, Cloud-Dienste und alle weiteren Dienste, die vom Internet aus sichtbar sind.

Ein externer Scan beantwortet die zentrale Frage: Was sieht ein Angreifer, wenn er Ihr Unternehmen von aussen betrachtet?

Typische Erkenntnisse aus externen Scans:

  • Offene Ports und Dienste, die nicht exponiert sein sollten
  • Veraltete Software-Versionen mit bekannten Schwachstellen (z.B. ungepatchte Exchange-Server)
  • Fehlkonfigurierte SSL/TLS-Zertifikate
  • Exponierte Administrationsoberflächen (WordPress-Admin, Datenbank-Panels, Remote-Desktop)
  • Informationen, die in DNS-Einträgen, HTTP-Headern oder Fehlermeldungen preisgegeben werden
  • Schwachstellen in VPN-Gateways und Remote-Access-Lösungen

Externe Scans sind der logische Ausgangspunkt, weil sie zeigen, wo Ihre Angriffsfläche am grössten ist. Jeder Dienst, der vom Internet erreichbar ist, ist ein potenzieller Einstiegspunkt.

Was ist internes Scanning?

Internes Scanning untersucht Ihr Netzwerk von innen heraus. Dabei wird ein Agent oder Scanner innerhalb Ihres lokalen Netzwerks eingesetzt, der Systeme, Dienste und Konfigurationen prüft, die von aussen nicht sichtbar sind.

Ein interner Scan beantwortet eine andere, ebenso wichtige Frage: Was passiert, wenn ein Angreifer bereits in Ihrem Netzwerk ist?

Dieses Szenario ist keineswegs hypothetisch. Ein erfolgreicher Phishing-Angriff, ein kompromittiertes Endgerät oder ein infizierter USB-Stick genügen, um einem Angreifer einen Fuss in die Tür zu setzen. Ab diesem Punkt beginnt die sogenannte Lateral Movement Phase – der Angreifer bewegt sich seitlich durch das Netzwerk, sucht nach weiteren verwundbaren Systemen und versucht, seine Berechtigungen zu eskalieren.

Typische Erkenntnisse aus internen Scans:

  • Ungepatchte Arbeitsplatzrechner und Server im lokalen Netzwerk
  • Offene SMB-Freigaben mit sensiblen Daten ohne Zugangskontrolle
  • Veraltete Drucker-Firmware oder IoT-Geräte mit Standardpasswörtern
  • Fehlende Netzwerksegmentierung zwischen Abteilungen
  • Interne Dienste ohne Authentifizierung (Datenbanken, Management-Interfaces)
  • Active-Directory-Fehlkonfigurationen wie überprivilegierte Konten

Warum eine Firewall nicht genügt

Die klassische Sicherheitsarchitektur vieler KMU basiert auf einem einfachen Perimeter-Modell: Eine Firewall trennt das «sichere» interne Netzwerk vom «unsicheren» Internet. Dieses Modell hat grundlegende Schwächen.

Erstens: Die Firewall schützt nicht vor Bedrohungen, die bereits im Netzwerk sind. Ein Mitarbeitender, der auf einen Phishing-Link klickt, umgeht die Firewall vollständig. Der Angreifer operiert nun innerhalb des «sicheren» Bereichs.

Zweitens: Viele KMU haben flache Netzwerke ohne Segmentierung. Wenn ein Angreifer ein einzelnes System kompromittiert, kann er potenziell auf alle anderen Systeme im gleichen Netzwerk zugreifen – vom Buchhaltungsserver bis zur Produktionssteuerung.

Drittens: Cloud-Dienste, VPN-Verbindungen und Home-Office lösen den klassischen Perimeter auf. Die Grenze zwischen «intern» und «extern» verschwimmt. Mitarbeitende greifen von überall auf Unternehmensressourcen zu, und Daten liegen sowohl lokal als auch in der Cloud.

Praxisbeispiele: Wenn eine Perspektive nicht reicht

Szenario 1: Der vergessene Testserver

Ein KMU betreibt einen Webshop. Der externe Scan zeigt: Alles in Ordnung, die Webseite ist aktuell, SSL ist korrekt konfiguriert. Der interne Scan deckt jedoch auf, dass im gleichen Netzwerk noch ein alter Testserver mit einer veralteten Apache-Version läuft. Dieser Server ist von aussen nicht erreichbar – aber wenn ein Angreifer über Phishing ins Netzwerk gelangt, kann er diesen Server als Sprungbrett nutzen, um sich zum Produktionssystem vorzuarbeiten.

Szenario 2: Das exponierte Admin-Panel

Ein externer Scan entdeckt, dass die Administrationsoberfläche eines NAS-Systems über Port 5000 öffentlich erreichbar ist. Der IT-Dienstleister hatte dies für die Fernwartung geöffnet und nicht wieder geschlossen. Ohne externen Scan wäre dies unentdeckt geblieben – von innen sieht alles normal aus.

Szenario 3: Lateral Movement nach Phishing

Ein Mitarbeitender fängt sich über eine Phishing-Mail einen Infostealer ein. Der Angreifer hat nun Zugriff auf ein Endgerät. Ein interner Scan hätte vorab gezeigt, dass mehrere Systeme im Netzwerk SMBv1 aktiviert haben – ein Protokoll mit bekannten Schwachstellen wie EternalBlue. Der Angreifer nutzt genau diese Schwachstelle, um sich vom kompromittierten Arbeitsplatz auf den Dateiserver auszubreiten.

Die Kombination macht den Unterschied

Externes und internes Scanning ergänzen sich gegenseitig. Gemeinsam liefern sie ein vollständiges Bild Ihrer Sicherheitslage:

  1. Externe Scans identifizieren Ihre Angriffsfläche und zeigen, wo Angreifer einsteigen könnten
  2. Interne Scans zeigen, wie weit ein Angreifer kommen würde, wenn er bereits im Netzwerk ist
  3. Die Kombination ermöglicht eine realistische Risikobewertung und gezielte Priorisierung von Massnahmen

Nur wenn Sie beide Perspektiven kennen, können Sie fundierte Entscheidungen treffen: Welche Schwachstellen müssen sofort behoben werden? Wo braucht es zusätzliche Segmentierung? Welche Systeme sind besonders exponiert?

So funktioniert es mit ExposIQ

ExposIQ unterstützt beide Scanning-Perspektiven in einer einzigen Plattform:

Externes Scanning (Cloud-basiert): ExposIQ scannt Ihre öffentlich erreichbaren Systeme automatisch aus der Cloud. Mit über 35 Scan-Engines und 11’700 Nuclei-Templates werden Webserver, Mail-Server, VPN-Gateways und Cloud-Dienste auf bekannte Schwachstellen geprüft. Die Scans laufen regelmässig und ohne Installation – Sie geben einfach Ihre Domains und IP-Bereiche an.

Internes Scanning (Agent-basiert): Für die interne Perspektive bietet ExposIQ einen installierbaren Agenten. Dieser wird auf einem System in Ihrem lokalen Netzwerk eingesetzt und scannt von dort aus alle erreichbaren Systeme. So werden auch Schwachstellen sichtbar, die von aussen verborgen bleiben: ungepatchte Workstations, offene Freigaben, veraltete interne Dienste.

Alle Ergebnisse fliessen in ein einheitliches Dashboard zusammen. Jede Schwachstelle wird mit dem EPSS-Score (Wahrscheinlichkeit einer aktiven Ausnutzung) bewertet und auf MITRE ATT&CK-Techniken gemappt. So erkennen Sie nicht nur, was verwundbar ist, sondern auch, welches Risiko tatsächlich besteht.

Empfehlung für KMU

Wenn Sie heute nur externe Scans durchführen, machen Sie einen wichtigen ersten Schritt. Aber Sie sehen nur die halbe Wahrheit. Ergänzen Sie Ihre Sicherheitsstrategie um internes Scanning, um Lateral-Movement-Risiken zu erkennen und Ihre Netzwerksegmentierung zu validieren.

Starten Sie nicht mit dem Versuch, alles gleichzeitig zu lösen. Ein pragmatischer Ansatz:

  1. Beginnen Sie mit externen Scans, um Ihre öffentliche Angriffsfläche zu verstehen
  2. Beheben Sie kritische externe Schwachstellen zuerst
  3. Ergänzen Sie interne Scans, um Ihr Netzwerk von innen zu überprüfen
  4. Priorisieren Sie basierend auf dem kombinierten Risikobild
  5. Wiederholen Sie regelmässig – Ihre IT-Landschaft verändert sich laufend

Mit ExposIQ können Schweizer KMU beide Perspektiven abdecken – in einer Plattform, in Schweizer Rechenzentren gehostet und bereits ab CHF 99 pro Monat. Testen Sie den Unterschied, den ein vollständiges Lagebild macht: exposiq.ch

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.