Bestimmen die Wahrscheinlichkeit, dass am jeweiligen System unter Bewertung kann, von einem Angreifer mit Zugriff auf die Computer gefährdet sein an das Netzwerk des Unternehmens angeschlossen. Untersuchung ob ein Angreifer das System, ohne die Gesellschaft, die Bereitstellung von mehr Informationen durchdringen konnte, als wäre natürlich berechtigten Benutzern zur Verfügung.