Bei dieser Form des Audits stehen keine internen Informationen über die IT-Infrastruktur zur Verfügung, d.h. der Auditor befindet sich in der Rolle des anonymen Angreifers (Hacker), um einen möglichst realen Angriff zu simulieren.
Je nach Abgrenzung des Audits können Tests in allen relevanten Sicherheitszonen stattfinden (extern, intern, DMZ). Damit werden bekannte Sicherheitslücken aufgedeckt, welche zu Problemen führen können und so direkte Bedrohungen darstellen.
Der Kunde erhält eine externe Sicht seiner Bedrohungen und in Zusammenhang mit der Risikoanalyse und dem Massnahmenplan Möglichkeiten zur Behebung seiner Sicherheitslücken. Aus dem Projekt resultieren eine detaillierte Liste mit Bedrohungen und ein Massnahmenplan in Form eines ausführlichen Berichtes.
