Ein Penetrationstest (PT) wird in der Schwachstellenanalyse eingesetzt und dient dem Auffinden von Sicherheitslücken in IT-Systemen. Er eignet sich im Besonderen für das Auffinden von Schwachstellen, die die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen gefährden. Der Penetrationstest untersucht alle Schwachstellen an denen die Informationsverarbeitung und die Kommunikation gefährdet sein könnten.
Penetrationstests können sich auf interne und externe Tests beziehen und werden in der Regel nach herstellerspezifischen Erfahrungswerten als Hacking as a Service ( HaaS) durchgeführt, da das Testverfahren selbst nicht standardisiert ist.
Bei den Schwachstellentests unterscheidet man zwischen dem Penetrationstest, der häufig von White-Hat- Hackern eingesetzt wird, und dem Vulnerability-Scan, bei dem die Ergebnisse manuell ausgewertet werden. Der Vulnerability-Scan überprü ft ebenfalls die Verletzlichkeit der IT- Systeme mit einem Vulnerability-Scannner. Neben der Scan-Technik werden bei Penetrationstests spezielle Hacking-Tools eingesetzt, um unberechtigte Zugriffe zu simulieren. Dazu gehören ebenso manuell ausgeführte Attacken, um in die Netzwerk- Infrastruktur einzudringen.