"Warum benötigen Sie Zugangsdaten? Sie sind doch Hacker?" So oder so ähnlich hat es jeder Penetrationstester in mindestens einem Projektgespräch schon einmal gehört. Ein wesentlicher Unterschied zwischen Penetrationstests und realen Angriffen ist der Faktor "Zeit". Angreifer bereiten sich teilweise Wochen und Monate vor und verweilen teilweise über noch längere Zeiträume passiv im Netzwerk oder auf angebundenen Systemen, ehe Sie wirklich aktiv werden und die zuvor heimlich identifizierten sensiblen Daten kopieren oder die Ransomware zur Ausführung bringen. Um den Tester in dem deutlich kürzeren Zeitrahmen von ein bis zwei Wochen die Möglichkeit zu geben, schnellere und effektiver vorzugehen, werden die meisten Penetrationstest als grey oder white-box Test durchgeführt. Die Tester erhalten vom Auftraggeber Zugangsdaten, Netzwerkdiagramme und teilweise sogar Source-Code der zu prüfenden Lösung, um nicht unnötige Zeit darauf zu verschwenden, durch blindes ausprobieren möglicher Angriffsvektoren mit höherem Aufwand das gleiche Ziel zu erreichen. Gerade bei zu prüfenden Softwareprojekten kann die aktive Suche nach ausnutzbaren Schwachstellen durch einen kurzen Blick in den Code oft stark beschleunigt werden.