Das Testen und Bewerten der gesamten organisationseigenen Informations- und Kommunikationstechnik ist eine entscheidende Maßnahme, um die wichtigsten Werte – die Informationen – einer Organisation zu schützen. Bedroht werden die Informationen von Datendiebstählen und Datenmanipulation durch Hacker, im Rahmen der persönlichen Bereicherung oder der Wirtschaftsspionage.

Das Ziel eines Penetrationstests besteht darin, Sicherheitsschwächen der IT-Infrastruktur einer Organisation zu identifizieren. Klassische (Funk-)Netzwerke und Web-Anwendungen sind im Fokus der Tests, da diese am häufigsten von Angreifern ausgenutzt werden, um sich Zugang zum Unternehmen zu verschaffen. IT-Sicherheitsexperten führen dazu kontrollierte Angriffe aus der Perspektive eines Angreifers, bestenfalls auf ein Referenzsystem, durch. Alle Schritte und Ergebnisse werden dokumentiert und dem Auftraggeber nach Fertigstellung in einem umfangreichem Report vertraulich übermittelt.
Damit liegt dem Auftraggeber unter anderem eine Mängelliste vor, die sicherheitskritische Aspekte aus der Sicht der IT-Sicherheitsexperten priorisiert darstellt. Das Unternehmen kann so die identifizierten Schwachstellen schnell und effizient schließen.

Penetrationstests bieten eine gute Möglichkeit mit relativ geringem Aufwand und aus Sicht eines Angreifers Schwachstellen in komplexen IT-Infrastrukturen und Anwendungen zu identifizieren.