DORA: Alle Anforderungen für Pentests und TLPT

Seit dem 17.01.2025 ist DORA für den Finanzsektor verpflichtend. Im Gegensatz zu anderen Richtlinien wie NIS2, ISO27001 oder TISAX stellt DORA klare Anforderungen an Pentests und Sicherheitstests. Vor allem die Durchführung eines von DORA geforderten TLPT unterliegt strengen Auflagen und ist deutlicher komplexer als übliche Pentests. Neben der DORA Richtlinie gibt es daher für TLPT einen eigenen technischen Regulierungsstandard (im folgenden RTS): In diesem Blogeintrag werden wir daher die häufigsten Fragen zum Thema „Digital Operational Resilience Testing“ nach DORA beantworten. 

Alle Finanzunternehmen, die DORA unterliegen, sind verpflichtet, grundlegende Sicherheitstests durchzuführen. 

Zusätzlich zu den grundlegenden Sicherheitstests fordert DORA von bestimmten Finanzunternehmen die Durchführung von sogenannten Threat-Led Penetration Test (TLPT). Ein TLPT ist ein offiziell von der Deutschen Bundesbank betreuter weitreichender Pentest, der über mehrere Monate durchgeführt wird und strengen Auflagen unterliegt. Dieser TLPT ist sehr ähnlich zu einem TIBER-Test, ist jedoch mit DORA nun verpflichtend.
Neben TLPT listet DORA folgende Beispiele für grundlegende Sicherheitstests (DORA Art 25 (1)).

Unter der DORA-Richtlinie sind alle Finanzunternehmen verpflichtet, die oben genannten grundlegenden Sicherheitstests durchzuführen. Kleinstunternehmen mit weniger als 10 Mitarbeitenden oder einem Jahresumsatz von unter 2 Millionen Euro müssen diese Tests ebenfalls umsetzen, jedoch nach einem eigenen risikobasierten Ansatz (DORA Art 24 und Art 25 (3)). Sie haben mehr Spielraum und unterliegen nicht den strikten Vorgaben wie größere Unternehmen. Die Durchführung eines TLPT (Threat-Led Penetration Test) ist hingegen nur für Unternehmen verpflichtend, die eine besondere Relevanz für den Finanzsektor haben und bestimmte Umsatz- oder Einnahmekriterien erfüllen.

Für die grundlegenden Sicherheitstests betrachtet DORA ICT-Systeme und Applikationen, die laut Risikomanagement kritische oder wichtige Funktionen unterstützen, gesondert. Diese kritischen oder wichtigen Systeme müssen 

• Mindestens 1x im Jahr angemessen getestet werden (DORA Art 24 (6))
• Bei jedem (Re-)Deployment muss mind. ein Vulnerability Assessment erfolgen (Art 25 (2)) 

Für alle anderen nicht kritischen ICT-Systeme und Applikationen gilt, dass die Anzahl und Tiefe der Tests grundsätzlich immer angemessen gemäß der Größe, der Tätigkeiten und des Risikoprofils eines einzelnen Unternehmens sein muss (DORA Art 4 (2)).

Ein TLPT muss mindestens alle 3 Jahre durchgeführt werden. Die Deutsche Bundesbank bzw. die zuständige Behörde kann dabei die Häufigkeit je nach Risikoprofil erhöhen oder reduzieren (DORA Art 26 (1)). 

Finanzunternehmen, die als Kleinstunternehmen einzustufen sind, sind grundsätzlich davon ausgenommen, einen ausführlichen Testplan nach DORA Art 24 (1) zu erstellen. Diese müssen vielmehr einen risikobasierten Ansatz nach DORA Art 26 (3) verfolgen, um punktuell angemessene Sicherheitstests durchzuführen.  

Die grundlegenden Sicherheitstests müssen von einer unabhängigen Partei durchgeführt werden. Laut DORA kann das ein externer Dienstleister oder eine interne Abteilung sein, solange  

• genügend Ressourcen vorhanden sind und  
• keine Interessenskonflikte bestehen (DORA Art 24 (5)). 

Für TLPT gelten strengere Auflagen. Interne Mitarbeiter dürfen hier nur unter bestimmten Umständen eingesetzt werden. Spätestens jeder dritte TLPT muss komplett von einem externen Dienstleister durchgeführt werden (DORA Art 26 (8)). Finanzunternehmen, die gemäß DORA Art 6 (4) als bedeutend eingestuft werden, dürfen TLPT ausschließlich durch externe Dienstleister durchführen. 

Wenn interne Mitarbeiter in einem TLPT eingesetzt werden sollen, ist dies nur in der Red Team Phase möglich. Für die Threat Intelligence Phase eines TLPTs müssen immer externe Dienstleister herangezogen werden (DORA Art 27 (2c)). Bei der Auswahl eines externen Dienstleisters gelten strenge Anforderungen, z.B. müssen 

• Geeignete Zertifizierungen
• Mehrjährige Berufserfahrung im Bereich Red Teaming (5 Jahre beim Red Team Test Manager, 2 Jahre bei weiteren Red Team Mitglieder) sowie
• 5 Referenzprojekte existieren.
• Detaillierte Anforderungen können dem RTS Art 7 entnommen werden sowie DORA Art 27 (1). 

Beim Einsatz von internen Testern müssen die internen Tester von der Bundesbank genehmigt werden. Interne Tester dürfen nur in der Red-Team-Phase eingesetzt werden. In der Threat-Intelligence-Phase sind sie nicht erlaubt (DORA Art 27 (2c)). Zudem müssen bei internen Mitarbeitern unter anderem folgende Anforderungen sichergestellt sein 

• Red Team muss aus mind. 1x Red Team Test Lead und 2x weiteren Red Team Mitglieder bestehen
• Mitarbeiter müssen in den letzten 12 Monaten in dem Unternehmen angestellt gewesen sein
• Mitarbeiter müssen nachweislich durch Fortbildungen geschult sein, wie man derartige Red Team Tests durchführt
• Der Einsatz interner Mitarbeiter im TLPT darf die Verteidigungsfähigkeiten des Unternehmens nicht beeinträchtigen. Falls ein echter Sicherheitsvorfall gleichzeitig auftritt, muss das Unternehmen trotzdem handlungsfähig bleiben.
• Detaillierte Anforderungen zu internen Testern sind dem RTS Art 15 zu entnehmen.

Des Weiteren ist bei der Durchführung von TLPT darauf zu achten, dass die Teams für Threat Intelligence, Red Team und Blue Team strikt voneinander getrennt sind. So dürfen beim Einsatz von internen oder externen Mitarbeitern keine Verbindung zu internen Blue-Team-Aktivitäten bestehen.

Ein grundlegender Pentest eines spezifischen Systems oder Anwendung dauert in der Regel zwischen 4 und 10 Tagen. In einem TLPT muss sich allein die Red Team Phase mind. über 12 Wochen erstrecken (RTS Art 11 (5) ). Gemeinsam mit der Threat Intelligence Phase erstreckt sich ein TLPT daher oft über 5-6 Monate. Hinzu kommen die internen Vorbereitungen (z.B. Erstellung Scope Specification Document) und internen Nachbereitungen (z.B. Erstellung Blue Team Report).
 

Grundsätzlich beschränkt sich die Pflicht für TLPT auf Unternehmen, die eine wichtige Schlüsselposition im Finanzsektor einnehmen. Folgende Unternehmen sind explizit von der TLPT Pflicht ausgenommen (DORA Art 26 (1) und Art 16 (1)):

• Kleinstunternehmen
• Kleine und nicht verflochtene Wertpapierfirmen
• Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 ausgeschlossen sind
• E-Geld-Institute, die gemäß der Richtlinie 2009/110/EG ausgeschlossen sind
• Kleine Einrichtungen der betrieblichen Altersversorgung.

Für alle anderen Finanzunternehmen gilt, dass die zuständige Aufsichtsbehörde (BaFin, EZB oder Börsenaufsichtsbehörden) Unternehmen ermittelt, die einen TLPT durchzuführen haben und diese rechtzeitig kontaktiert, um sie a) über die Verpflichtung zu informieren und b) zu gegebener Zeit den Testprozess anzustoßen. Bei dieser Entscheidung werden sowohl quantitative Kriterien als auch qualitative Kriterien zugrunde gelegt, die im Folgenden kurz zusammengefasst werden: 

Quantitative Kriterien
Der RTS zu TLPT definiert folgende Schwellenwerte von unterschiedlichen Unternehmenstypen, die erreicht werden müssen, um TLPT pflichtig zu sein (RTS Art 26 (1)).

Qualitative Kriterien

Zusätzlich zu den qualitativen Kriterien bewerten die Behörden auch die Systemrelevanz und das ICT-Risiko der einzelnen Finanzunternehmen, wodurch die Behörden mehr Handlungsspielraum und Flexibilität erlangen (RTS Art 26 (2,3)):

Größe und Systemrelevanz:

• Größe des Unternehmens: 
  Berücksichtigung der Marktposition auf nationaler und EU-Ebene, der angebotenen Dienstleistungen und des Marktanteils.
• Vernetzung: 
  Ausmaß und Art der Vernetzung mit anderen Finanzunternehmen auf nationaler und EU-Ebene.
• Kritikalität der Dienstleistungen: 
  Bedeutung der angebotenen Dienstleistungen für den Finanzsektor.
• Substituierbarkeit: 
  Möglichkeit, die Dienstleistungen durch andere Anbieter zu ersetzen.
• Komplexität des Geschäftsmodells: 
  Anzahl der Geschäftsmodelle und die Vernetzung der Geschäftsprozesse.

ICT-Risiko:

• Risikoprofil: 
  Allgemeines Risikoprofil des Unternehmens.
• Bedrohungslandschaft: 
  Aktuelle Bedrohungslage für das Unternehmen.
• Abhängigkeit von ICT-Systemen: 
  Grad der Abhängigkeit kritischer Funktionen von ICT-Systemen.
• Komplexität der ICT-Architektur: 
  Komplexität der ICT-Infrastruktur des Unternehmens.
• ICT-Drittanbieter: 
  Anzahl und Art der Verträge mit ICT-Drittanbietern.
• Ergebnisse von Aufsichtsprüfungen: 
  Ergebnisse relevanter Aufsichtsprüfungen zur Bewertung der ICT-Reife.
• Reifegrad der ICT-Business-Continuity-Pläne: 
  Reifegrad der Pläne zur ICT-Business-Continuity und zur Reaktion und Wiederherstellung.
• Sicherheitsmaßnahmen: 
  Fähigkeit, die ICT-Infrastruktur kontinuierlich zu überwachen und auf Ereignisse in Echtzeit zu reagieren

Wir – die Axians Security Force – sind etablierter Dienstleister für professionelle TIBER- bzw. TLPT-Tests und führen bereits seit mehreren Jahren derartige Tests in Kooperation mit der Bundesbank durch.  Darüber hinaus betreuen wir unsere Kunden im gesamten DORA-Kontext. Gerne beraten wir Sie auch persönlich und unverbindlich in einem ersten Gespräch.

Durchführung der grundlegenden Tests
Mit unseren 50 Security Experten decken wir eine breite Palette an Pentesttypen ab. Zudem haben wir Erfahrung im Bereich Finanzen und Versicherungen und unterstützen hier bereits viele DAX-Konzerne aus der DACH-Region. Weitere Informationen zu unseren Pentest-Leistungen finden Sie hier:  Pentests

Durchführung von TLPT
Wir führen für Sie sowohl die Threat Intelligence- als auch die Red Team-Phase durch und können somit TLPT aus einer Hand, auf Basis der Vorgaben der Deutschen Bundesbank, anbieten. Wir weisen eine mehrjährige Erfahrung im Bereich TIBER und nun auch TLPT auf und sind seit 20 Jahren ein etablierter Dienstleiser für viele Banken und Versicherungen.

Managed Pentest und Schwachstellentracking
Neben der Durchführung von Pentests unterstützen wir auch bei der Planung und Vorbereitung und entlasten Ihre internen Ressourcen. Wir erstellen für Sie nicht nur den Testplan, sondern übernehmen mit einer eigens entwickelten Plattform auch das Schwachstellentracking für Sie. So haben Sie stets einen zentralen Blick auf den aktuellen Stand der Befunde und deren Behebung.

DORA-Beratung
Unser eigenes Security Consulting Team berät unsere Kunde im Bereich Governance und Compliance und ist mit allen gängigen Sicherheitsnormen wie ISO27001, TISAX, NIS2, VAIT, BAIT und DORA vertraut.

Risikomanagement
Unser eigenes Security Consulting Team unterstützt Sie bei der Identifizierung Ihrer kritischen Systeme und Funktionen und erstellt mit Ihnen ggf. das “Scope Specification Document”.

TLPT-Beratung Control Team (TIBER: White Team)
Als etablierter Experte und Dienstleiser für TLPT beraten wir Sie gerne vorbereitend und nachgelagert zu einem TLPT und bringen unsere Erfahrungen aus dem TIBER- / TLPT-Umfeld bei Ihnen ein.

^{1 DORA Richtlinie (DE)}

^{2 DORA Richtlinie (EN)}

^{3 RTS für TLPT}