Als 2007 der "Hackerparagraph" §202c in Strafgesetzbuch aufgenommen wurde gab es zunächst Befürchtungen in der IT-Sicherheitsbranche, dass dieser auch das Ende für einschlägige Software und damit auch für Penetrationstests an sich bedeuten könnte. In seiner Begründung zur Abweisung einer Verfassungsbeschwerde ( https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2009/bvg09-067.html) stellte das Bundesverfassungsgericht fest, dass es sich Tätigkeiten, die im Auftrag des Betreibers bzw. Eigentümers eines Datenverarbeitungssystems durchgeführt werden nicht um die Vorbereitung einer Straftat nach §202a oder §202b handelt und damit auch der nötige Tatvorsatz beim Tester nicht vorhanden ist. Leider kommt es dennoch immer wieder vor, dass in Strafanzeigen gestellt werden und in Einzelfällen sogar entsprechende Verurteilunge erfolgen ( https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html), wobei im genannten Fall noch das Berufungsverfahren aussteht.

In jedem Fall müssen Auftraggeber und Dienstleister die Zielsystem (Scope) genau definieren. Eine von einer berechtigten Person unterzeichnete Einverständniserklärung oder "Permission to attack" gehört auf jeden Fall zum Dienstleistungvertrag, wobei auch die Rechte Dritter (z.B. Rechenzentrumsbetreiber, Cloud Anbieter, ...) berücksichtigt werden müssen.