Penetrationstests werden zur Simulation von Angriffen sowohl aus dem Inneren eines IT-Verbundes als auch solchen von außerhalb verwendet. Durch die Vorwegnahme solcher Attacken und die rechtzeitige Entdeckung möglicher Schwachstellen kann die Wahrscheinlichkeit echter und vor allem erfolgreicher Angriffe vermindert werden.
Die angewandten Verfahren lassen sich in manuelle durchgeführte einerseits und weitgehend automatisierte Tests andererseits klassifizieren.
Zum Beispiel kann ein Tester manuell versuchen, einen Firewall zu umgehen oder sich mit Verfahren des Social Engineering Kennwörter oder andere sensible Informationen zu verschaffen. Er kann jedoch auch so genannte Schwachstellenscanner, Portscanner, Passwortcracker etc. einsetzen, um automatisiert und mit relativ geringem Aufwand zahlreiche Systeme gleichzeitig zu untersuchen.
Ein Penetrationstest ist - insbesondere, wenn die manuellen Verfahren einbezogen werden - eine sehr aufwändige Methode, um die Sicherheit eines IT-Verbundes zu erhöhen. Es muss aus diesem Grund vor dessen Ausführung immer geprüft werden, ob die Kosten und das Risiko des Tests in einem angemessenen Verhältnis zur erwarteten Verbesserung der Sicherheit stehen.
Im Allgemeinen sprechen die folgenden Unternehmensmerkmale gegen (insbesondere manuelle) Penetrationstests:
* (historisch, wird nicht mehr aktualisiert)
