Threat-Led Penetration Test (TLPT) nach DORA

Ein TLPT (Threat-Led Penetration Test) ist ein hochgradig spezialisiertes Prüfverfahren, das reale, gezielte Angriffe auf die kritischen Funktionen eines Finanzunternehmens simuliert. Im Gegensatz zu herkömmlichen Tests basiert ein TLPT auf konkreter Threat Intelligence: Er nutzt die tatsächlichen Taktiken, Techniken und Verfahren (TTPs) realer Bedrohungsakteure, um die Widerstandsfähigkeit der gesamten Organisation unter Realbedingungen zu testen.

Der Fokus liegt dabei weniger auf einer bloßen Liste von Schwachstellen, sondern auf der Frage, ob geschäftskritische Prozesse unentdeckt kompromittiert werden können. Als erfahrener TLPT Anbieter führen wir diese Tests über mehrere Monate hinweg durch, um nicht nur die Technik, sondern auch die Detektions- und Reaktionsfähigkeit Ihres Blue Teams zu bewerten. Für viele Institute ist der TLPT unter DORA mittlerweile eine verpflichtende regulatorische Anforderung, die ein offizielles Attest über die operative digitale Resilienz erfordert.

Ein TLPT ist die regulatorisch verpflichtende Testform nach DORA. TIBER-EU beschreibt das zugrundeliegende Framework für Threat Intelligence Based Ethical Red Teaming. Methodisch verfolgen beide denselben Kernansatz, unterscheiden sich jedoch im rechtlichen Rahmen. Die DORA-RTS zu TLPT sind verbindlich und wurden in Einklang mit dem TIBER-EU-Framework entwickelt.

Nein, ein TLPT (Threat-Led Penetration Test) ersetzt keinen klassischen Pentest, sondern ergänzt ihn als Advanced Testing. Während herkömmliche Penetrationstests, Vulnerability Assessments und Konfigurationsanalysen die notwendige Basis Ihres ICT-Testprogramms bilden und einzelne Systeme prüfen, betrachtet ein TLPT komplette Ende-zu-Ende-Angriffsketten über mehrere Monate hinweg. Ein TLPT konzentriert sich auf kritische Geschäftsprozesse und basiert auf realer Threat Intelligence sowie genehmigten Angriffsszenarien. Da Fehler bei der Abgrenzung oder der Wahl des TLPT Dienstleisters zu Projektverzögerungen oder einer verweigerten Attestierung durch die Aufsicht führen können, ist die Einbettung in ein gereiftes Test- und Risikomanagement essenziell.

Ein TLPT ist mindestens alle drei Jahre durchzuführen.

Die zuständige Aufsichtsbehörde kann den Turnus jedoch verkürzen oder verlängern, abhängig vom individuellen Risikoprofil des Instituts, der Bedrohungslage und den Ergebnissen vorheriger Tests.

Der Drei-Jahres-Rhythmus ist daher als Mindestanforderung, nicht als starre Vorgabe zu verstehen.

Ja, unter engen Voraussetzungen.

Interne Mitarbeiter dürfen ausschließlich in der Red-Team-Phase eingesetzt werden und niemals in der Threat-Intelligence-Phase.

Zusätzlich gelten strenge Anforderungen an Unabhängigkeit, Qualifikation, Ressourcennachweis und eine explizite Genehmigung durch die zuständige Aufsichtsbehörde. In der Praxis ist der Einsatz externer, unabhängiger TLPT-Dienstleister der Regelfall.

Ja, sofern dies im Scope vorgesehen und mit der Aufsicht abgestimmt ist.

Typische Szenarien sind gezielte Phishing-Angriffe, Vishing oder die Ansprache ausgewählter Rollen.

Ziel ist es zu prüfen, ob technische und organisatorische Schutzmaßnahmen auch gegen menschliche Angriffsvektoren greifen – und wie Prozesse und Verantwortlichkeiten im Ernstfall funktionieren.

Die Red-Team-Phase dauert mindestens zwölf Wochen.

Gemeinsam mit Vorbereitungs-, Threat-Intelligence-, Reporting- und Follow-up-Phase erstreckt sich ein TLPT in der Praxis meist über fünf bis sechs Monate.

Hinzu kommen interne Aufwände, etwa für Scoping, Abstimmungen und die Umsetzung abgeleiteter Maßnahmen.

Der Scope wird in enger Abstimmung mit dem Unternehmen, der Bundesbank und dem TI-Team  unter Berücksichtigung regulatorischer Anforderungen festgelegt. Grundlage sind geschäftskritische Funktionen, Bedrohungsanalysen sowie die Ergebnisse vorangegangener Risiko- und Impact-Assessments.

Ja. TLPT-Red-Teaming findet grundsätzlich in produktiven Umgebungen statt, da nur so realistische Aussagen zur tatsächlichen Widerstandsfähigkeit getroffen werden können. Dabei werden klare Rahmenbedingungen und Kontrollmechanismen definiert, um Stabilität, Verfügbarkeit und Integrität der Systeme jederzeit sicherzustellen.

Die Risikosteuerung erfolgt über ein Control-Team, klar definierte Abbruchkriterien, Eskalationsprozesse und kontinuierliches Monitoring. Kritische Aktivitäten werden vorab bewertet und abgestimmt, sodass realistische Angriffssimulationen möglich sind, ohne unkontrollierte Auswirkungen auf den Geschäftsbetrieb zu verursachen.

Die Abstimmung mit der zuständigen Aufsichtsbehörde (BaFin/EZB) erfolgt gemäß DORA/TLPT-Vorgaben. Testdesign, Scope, Zeitplan und Berichte werden frühzeitig, transparent und fristgerecht abgestimmt und eingereicht, um eine prüfungssichere und nachvollziehbare Durchführung sicherzustellen.

Alle Finanzunternehmen, die DORA unterliegen, sind verpflichtet, grundlegende Sicherheitstests durchzuführen. DORA listet folgende Beispiele für grundlegende Sicherheitstests (DORA Art 25 (1)):

• Threat-Led Penetration Test (TLPT): Ein TLPT ist ein offiziell von der Deutschen Bundesbank betreuter weitreichender Pentest, der über mehrere Monate durchgeführt wird und strengen Auflagen unterliegt. Dieser TLPT ist sehr ähnlich zu einem TIBER-Test, ist jedoch mit DORA nun verpflichtend.

• Vulnerability Assessments: Das sind primär automatisierte Scans mit Schwachstellenscanner wie Nessus, Rapid7 und OpenVAS

• Penetration Testing: Dabei handelt es sich vor allem um aktive Tests einzelner Systeme oder Infrastrukturen. Das Ziel ist es, so viele Schwachstellen wie möglich zu finden, indem verschiedene Angriffstechniken angewendet werden.

• Scenario-Based Tests: Diese Tests sind vor allem Red Team Assessments. Das Ziel ist es, Schwachstellen aktiv auszunutzen, um eine komplette Angriffskette nachzustellen. So soll zum Beispiel die Kompromittierung eines Servers erreicht werden.

• Network Security Assessments und GAP-Analysen: Das sind primär Konfigurationsaudits von einzelnen Netzwerksystemen (wie z.B. Active Directory, Windows Client, Exchange-Server, Firewalls, etc.) 

• Physical Security Reviews: Das kann eine technische Analyse von Schwachstellen in Zutrittskontrollsystemen wie RFID-, Bluetooth- oder NFC-Schnittstellen sein. Es kann auch eine aktive Angriffssimulation sein. Dabei wird versucht, mithilfe von Social Engineering in das Firmengebäude zu gelangen. 

• Source Code Reviews : Das sind passive Analysen des Source Codes einer Applikation, die ergänzend oder alternativ zu einem Applikations-Pentest angewendet werden können, wenn sinnvoll.

Die grundlegenden Sicherheitstests müssen von einer unabhängigen Partei durchgeführt werden. Laut DORA kann das ein externer Dienstleister oder eine interne Abteilung sein, solange  

• genügend Ressourcen vorhanden sind und  
• keine Interessenskonflikte bestehen (DORA Art 24 (5)). 

Für TLPT gelten strengere Auflagen. Interne Mitarbeiter dürfen hier nur unter bestimmten Umständen eingesetzt werden. Spätestens jeder dritte TLPT muss komplett von einem externen Dienstleister durchgeführt werden (DORA Art 26 (8)). Finanzunternehmen, die gemäß DORA Art 6 (4) als bedeutend eingestuft werden, dürfen TLPT ausschließlich durch externe Dienstleister durchführen. 

Wenn interne Mitarbeiter in einem TLPT eingesetzt werden sollen, ist dies nur in der Red Team Phase möglich. Für die Threat Intelligence Phase eines TLPTs müssen immer externe Dienstleister herangezogen werden (DORA Art 27 (2c)). Bei der Auswahl eines externen Dienstleisters gelten strenge Anforderungen, z.B. müssen 

• Geeignete Zertifizierungen
• Mehrjährige Berufserfahrung im Bereich Red Teaming (5 Jahre beim Red Team Test Manager, 2 Jahre bei weiteren Red Team Mitglieder) sowie
• 5 Referenzprojekte existieren.
• Detaillierte Anforderungen können dem RTS Art 7 entnommen werden sowie DORA Art 27 (1). 

Beim Einsatz von internen Testern müssen die internen Tester von der Bundesbank genehmigt werden. Interne Tester dürfen nur in der Red-Team-Phase eingesetzt werden. In der Threat-Intelligence-Phase sind sie nicht erlaubt (DORA Art 27 (2c)). Zudem müssen bei internen Mitarbeitern unter anderem folgende Anforderungen sichergestellt sein 

• Red Team muss aus mind. 1x Red Team Test Lead und 2x weiteren Red Team Mitglieder bestehen
• Mitarbeiter müssen in den letzten 12 Monaten in dem Unternehmen angestellt gewesen sein
• Mitarbeiter müssen nachweislich durch Fortbildungen geschult sein, wie man derartige Red Team Tests durchführt
• Der Einsatz interner Mitarbeiter im TLPT darf die Verteidigungsfähigkeiten des Unternehmens nicht beeinträchtigen. Falls ein echter Sicherheitsvorfall gleichzeitig auftritt, muss das Unternehmen trotzdem handlungsfähig bleiben.
• Detaillierte Anforderungen zu internen Testern sind dem RTS Art 15 zu entnehmen.

Des Weiteren ist bei der Durchführung von TLPT darauf zu achten, dass die Teams für Threat Intelligence, Red Team und Blue Team strikt voneinander getrennt sind. So dürfen beim Einsatz von internen oder externen Mitarbeitern keine Verbindung zu internen Blue-Team-Aktivitäten bestehen.

Unter der DORA-Richtlinie sind alle Finanzunternehmen verpflichtet, die oben genannten grundlegenden Sicherheitstests durchzuführen. Kleinstunternehmen mit weniger als 10 Mitarbeitenden oder einem Jahresumsatz von unter 2 Millionen Euro müssen diese Tests ebenfalls umsetzen, jedoch nach einem eigenen risikobasierten Ansatz (DORA Art 24 und Art 25 (3)). Sie haben mehr Spielraum und unterliegen nicht den strikten Vorgaben wie größere Unternehmen. Die Durchführung eines TLPT (Threat-Led Penetration Test) ist hingegen nur für Unternehmen verpflichtend, die eine besondere Relevanz für den Finanzsektor haben und bestimmte Umsatz- oder Einnahmekriterien erfüllen.