Das kommt darauf an, ..." ist sicher ein der am häufigsten gegebenen Antworten in der IT-Sicherheit. In jedem Fall muss man als Auftraggeber einige Vorarbeit leisten, um einen sinnvollen Penetrationstest zu planen und durchzuführen. Mindestens sollte man wissen, welche Daten, Systeme und Prozesse im Umfang (Scope) der Tests beinhaltet sein sollen. Diese können auf Grund externe Vorgaben (Compliance) festgelegt oder auf Basis einer eigenen Risikobewertung ggf. auch in Zusammenarbeit mit dem Dienstleister ermittelt werden. Die sicher am häufigsten durchgeführten Prüfungen nehmen Webanwendungen, wie Kundenportal, Webshops und zugehörige mobile Anwendung (Apps) ins Visier. Gefolgt werden diese von Prüfungen externer, interner oder cloud-basierter IT-Infrastruktur, wobei die Umfänge hier stark von der Unternehmensgröße und der damit verbundenen Komplexität abhängen.