Sicherheit der Infrastrukturen sollte weit mehr sein als nur die Ergebnisse aus Penetrationstest an diese zurückzuspiegel - ich stimme keineswegs zu, dass (wie im Hintergrund beschrieben) dies die einzige Möglichkeit zur Gewinnung von Informationen über Sicherheitsstandards darstellt. Derartige Angriffe ließen doch letztendlich nur (begrenzt) Rückschlüsse auf Sicherheitsmaßnahmen technischer Natur zu. Wie darauf auf Standards geschlossen werden soll, ist äußerst unklar. Zudem wird der (keineswegs weniger prioritäre) Aspekte von Management von Sicherheit, Organsation, Personalien etc. vollständig ausgeklammert. Warum auch gerade unangekündigt? Einerseits können auch angekündigte Pen-Tests das Bewusstsein heben; anderereseits können bei tatsächlich bestehenden Problemen (Risikoabwägung) unangekündigte Tests gerade in diesen Bereichen zu schwerwiegenden Auswirkungen führen.
Weiterhin sollte man auch immer die Finanzierbarkeit im Hinterkopf behalten. Eine derartige Einheit müsste ja Spezialisten beherbergen (mögliche Stellen sind oben ja bereits aufgeführt) - wie wäre zu rechtfertigen, dass hier der Staat quasi Penetrationstest für Unternehmen finanziert?