Ein Penetrationstest ist im Prinzip ein strukturiert durchgeführter Angriff auf die IT-Infrastruktur eines Unternehms. Hierbei setzt ein Penetration Tester die gleichen Tools und Technicken ein, die auch ein Hacker in seinem Angriff verwendet. Allerdings unterscheidet sich dabei die Zielstellung zwischen einem böswilligen Hacker und einem professionellem Penetrationstester.
Ein Hacker versucht in der Regel in ein Unternehmen einzudringen, um sich Zugang zu deren IT-Systemen und Daten zu verschaffen. Hierzu benötigt er nur eine einzige kritische Schwachstelle, die er erfolgreich ausnutzen kann.
Unternehmen, die einen Penetrationstest beauftragen, wollen aber in der Regel primär nicht erfolgreich gehackt werden, sie wollen wissen, ob dieses möglich ist. Hierzu wird ein Penetrationstester versuchen alle Schwachstellen zu identifzieren, unabhängig von deren Kritikalität. Viele Schwachstellen werden dabei auch versucht auszunutzen, aber nicht alle. Denn manche weiterführende Angriffe stellen ein höheres Risiko für die angegriffen IT-Systeme dar.