Threat-Led Penetration Test (TLPT) nach DORA

Sicherheit dort prüfen, wo sie geschäftskritisch wird

Regulatorik erfolgreich meistern

Ihr Weg zum attestierten TLPT

Axians unterstützt Finanzunternehmen dabei, Threat-Led Penetration Tests regulatorisch anerkannt, attestierungsfähig und operativ nutzbar umzusetzen. Unser Ansatz verbindet regulatorische Klarheit, technische Tiefe und operative Umsetzbarkeit. Der TLPT ist dabei eingebettet in das übergreifende ICT-Risikomanagement und Testprogramm nach DORA.

TLPT-Pflichten, die sich aus DORA ergeben

Für betroffene Institute bedeutet das konkret:

Ein Threat-Led Penetration Test (TLPT) ist für viele Finanzunternehmen keine Option, sondern eine konkrete regulatorische Verpflichtung. Der Digital Operational Resilience Act (DORA) gilt seit dem 17.01.2025. Die konkreten Anforderungen an TLPTs werden durch die zugehörigen Regulatory Technical Standards (RTS) der europäischen Aufsichtsbehörden präzisiert.

Ein TLPT muss durchgeführt werden. Er erfolgt in definierten Abständen – in der Regel mindestens alle drei Jahre, sofern die Aufsicht nichts anderes vorgibt. Gleichzeitig muss er formell korrekt, technisch belastbar und regulatorisch nachvollziehbar umgesetzt werden.

Ein TLPT wird dabei nicht isoliert durchgeführt. Er erfolgt unter Einbindung und Validierung der zuständigen Aufsichtsbehörde, etwa bei der Festlegung des Scopes, der Freigabe von Angriffsszenarien oder der abschließenden Anerkennung der Ergebnisse. Genau an diesen Schnittstellen entstehen in der Praxis die größten Risiken.

Vom ersten Scope bis zur letzten Maßnahme – wir begleiten Sie.

TLPT Dora mit Axians: Ganzheitliche Begleitung Ihres TLPT-Projektes

TLPT mit Axians

Klarer Rahmen statt regulatorischer Unsicherheit

In der Praxis stehen viele Finanzunternehmen vor ähnlichen Fragestellungen. Was erwartet die Aufsicht konkret?

Wie tief muss der Test gehen? Welche Systeme und Funktionen gehören tatsächlich in den Scope? Und wann gilt ein Threat-Led Penetration Test als ordnungsgemäß durchgeführt und attestierungsfähig?

Axians bringt hier Struktur, Erfahrung und regulatorische Sicherheit ein. Durch die regelmäßige Durchführung von TIBER-Tests seit 2021 verfügen wir über die nötige Routine in der Steuerung komplexer Szenarien. Unsere TLPT-Projekte folgen einem klar definierten Vorgehen. Es orientiert sich an den DORA-RTS zu TLPT, am TIBER-EU-Framework sowie an realen, behördlich begleiteten Projekterfahrungen.

Ziel ist kein spektakulärer Angriff. Ziel ist ein regulatorisch sauberer, technisch aussagekräftiger und operativ nutzbarer Test. Der TLPT soll vom Blue Team, vom Management und von der Aufsicht gleichermaßen nachvollzogen werden können. Dazu gehört auch eine strukturierte Ableitung von Maßnahmen und – wo sinnvoll – der gezielte Einsatz von Purple-Team-Übungen.

Benjamin Bleichert

Manager IT-Security

Alexander Adlmüller

TLPT Threat Intelligence Manager

Marco Eberl

Head of Enterprise Pentesting

DORA verlangt Resilienz. Wir machen sie attestierbar.

Qualifikation, die eine belastbare TLPT Attestierung ermöglicht

DORA verlangt für TLPTs den Einsatz von Testern mit sehr hoher Eignung, Integrität, Unabhängigkeit und Marktanerkennung. Die Regulierung schreibt keine konkreten Zertifikate vor. Sie fordert jedoch nachweisbare Kompetenz, Erfahrung und Reputation der beteiligten Personen und Organisationen.

Axians setzt deshalb ausschließlich erfahrene Spezialist:innen ein, die regelmäßig geschult werden und über anerkannte Red-Team- und Pentest-Zertifizierungen verfügen.

Herausragende Qualifikation für höchste Prüfstandards

Certified Active Directory Pentesting Expert (CAPE)

Certified Azure Red Team Expert (CARTE)

Certified Azure Red Team Professional (CARTP)

Certified Enterprise Security Specialist (PACES)

Certified Red Team Expert (CRTE)

Certified Red Team Lead (CRTL)

Certified Red Team Master (CRTM)

Certified Red Team Operator (CRTO)

Certified Red Team Professional (CRTP)

Mainframe Offensive Security Tester (MOST)

Offensive Security Certified Professional (OSCP)

Offsec Defense Analyst (OSDA)

OffSec Experienced Penetration Tester (OSEP)

Ablauf eines TLPTs mit Axians

Ein Threat-Led Penetration Test folgt einem klar definierten, regulatorisch vorgegebenen Ablauf. Axians begleitet diesen Prozess strukturiert und in enger Abstimmung mit dem Institut und der zuständigen Aufsichtsbehörde.

Ablauf eines TLPTs nach DORA mit Axians

Formeller Start durch die Aufsichtsbehörde

Formelle Benachrichtigung des Instituts durch die zuständige Behörde
Abstimmung des grundsätzlichen Vorgehens
Bestätigung des Control Teams und relevanter Ansprechpartner
Prüfung, ob bereits durchgeführte Tests anerkannt werden können

Vorbereitung und Scoping

Auswahl der Threat-Intelligence- und Red-Team-Provider
Identifikation kritischer und wichtiger Geschäftsfunktionen
Definition von Scope, Flags und Testzielen
Aufbau und Einbindung des Control Teams
Abstimmung und Freigabe des Testkonzepts durch die Aufsicht

Threat-Intelligence-Phase

Analyse realer Angreifergruppen und Bedrohungslagen
Untersuchung relevanter Angriffsflächen
Ableitung institutsspezifischer Taktiken, Techniken und Verfahren (TTPs)
Ausarbeitung und behördliche Freigabe der Angriffsszenarien

Red-Teaming-Phase

Verdeckte Simulation realistischer Angriffe auf kritische Systeme und Prozesse
Durchführung über mindestens zwölf Wochen
Tägliche Abstimmung und Koordination mit dem Control Team
Sicherstellung der Betriebsstabilität während des Tests

Reporting, Purple-Team-Workshops und Follow-up

Detaillierter technischer Bericht mit Management‑Summary sowie spezifischen Abschnitten für alle relevanten Stakeholder
Nachvollziehbare Darstellung der Angriffspfade
Strukturierte Ableitung von Verbesserungsmaßnahmen
Replay & Purple Team Workshops

Häufige Fragen zu TLPT nach DORA (FAQ)

Was ist ein TLPT?

Ein TLPT (Threat-Led Penetration Test) ist ein hochgradig spezialisiertes Prüfverfahren, das reale, gezielte Angriffe auf die kritischen Funktionen eines Finanzunternehmens simuliert. Im Gegensatz zu herkömmlichen Tests basiert ein TLPT auf konkreter Threat Intelligence: Er nutzt die tatsächlichen Taktiken, Techniken und Verfahren (TTPs) realer Bedrohungsakteure, um die Widerstandsfähigkeit der gesamten Organisation unter Realbedingungen zu testen.

Der Fokus liegt dabei weniger auf einer bloßen Liste von Schwachstellen, sondern auf der Frage, ob geschäftskritische Prozesse unentdeckt kompromittiert werden können. Als erfahrener TLPT Anbieter führen wir diese Tests über mehrere Monate hinweg durch, um nicht nur die Technik, sondern auch die Detektions- und Reaktionsfähigkeit Ihres Blue Teams zu bewerten. Für viele Institute ist der TLPT unter DORA mittlerweile eine verpflichtende regulatorische Anforderung, die ein offizielles Attest über die operative digitale Resilienz erfordert.

Worin unterscheidet sich ein Threat-Led Penetration Test von einem TIBER-Test?

Ein TLPT ist die regulatorisch verpflichtende Testform nach DORA. TIBER-EU beschreibt das zugrundeliegende Framework für Threat Intelligence Based Ethical Red Teaming. Methodisch verfolgen beide denselben Kernansatz, unterscheiden sich jedoch im rechtlichen Rahmen. Die DORA-RTS zu TLPT sind verbindlich und wurden in Einklang mit dem TIBER-EU-Framework entwickelt.

Ersetzt ein TLPT die klassischen Penetrationstests gemäß DORA?

Nein, ein TLPT (Threat-Led Penetration Test) ersetzt keinen klassischen Pentest, sondern ergänzt ihn als Advanced Testing. Während herkömmliche Penetrationstests, Vulnerability Assessments und Konfigurationsanalysen die notwendige Basis Ihres ICT-Testprogramms bilden und einzelne Systeme prüfen, betrachtet ein TLPT komplette Ende-zu-Ende-Angriffsketten über mehrere Monate hinweg. Ein TLPT konzentriert sich auf kritische Geschäftsprozesse und basiert auf realer Threat Intelligence sowie genehmigten Angriffsszenarien. Da Fehler bei der Abgrenzung oder der Wahl des TLPT Dienstleisters zu Projektverzögerungen oder einer verweigerten Attestierung durch die Aufsicht führen können, ist die Einbettung in ein gereiftes Test- und Risikomanagement essenziell.

Wie oft muss ein TLPT durchgeführt werden?

Ein TLPT ist mindestens alle drei Jahre durchzuführen.

Die zuständige Aufsichtsbehörde kann den Turnus jedoch verkürzen oder verlängern, abhängig vom individuellen Risikoprofil des Instituts, der Bedrohungslage und den Ergebnissen vorheriger Tests.

Der Drei-Jahres-Rhythmus ist daher als Mindestanforderung, nicht als starre Vorgabe zu verstehen.

Dürfen interne Mitarbeiter an einem TLPT beteiligt sein?

Ja, unter engen Voraussetzungen.

Interne Mitarbeiter dürfen ausschließlich in der Red-Team-Phase eingesetzt werden und niemals in der Threat-Intelligence-Phase.

Zusätzlich gelten strenge Anforderungen an Unabhängigkeit, Qualifikation, Ressourcennachweis und eine explizite Genehmigung durch die zuständige Aufsichtsbehörde. In der Praxis ist der Einsatz externer, unabhängiger TLPT-Dienstleister der Regelfall.

Ist Social Engineering Bestandteil eines TLPT?

Ja, sofern dies im Scope vorgesehen und mit der Aufsicht abgestimmt ist.

Typische Szenarien sind gezielte Phishing-Angriffe, Vishing oder die Ansprache ausgewählter Rollen.

Ziel ist es zu prüfen, ob technische und organisatorische Schutzmaßnahmen auch gegen menschliche Angriffsvektoren greifen – und wie Prozesse und Verantwortlichkeiten im Ernstfall funktionieren.

Wie lange dauert ein TLPT in der Praxis?

Die Red-Team-Phase dauert mindestens zwölf Wochen.

Gemeinsam mit Vorbereitungs-, Threat-Intelligence-, Reporting- und Follow-up-Phase erstreckt sich ein TLPT in der Praxis meist über fünf bis sechs Monate.

Hinzu kommen interne Aufwände, etwa für Scoping, Abstimmungen und die Umsetzung abgeleiteter Maßnahmen.

Wie wird der Scope des TLPTs definiert?

Der Scope wird in enger Abstimmung mit dem Unternehmen, der Bundesbank und dem TI-Team unter Berücksichtigung regulatorischer Anforderungen festgelegt. Grundlage sind geschäftskritische Funktionen, Bedrohungsanalysen sowie die Ergebnisse vorangegangener Risiko- und Impact-Assessments.

Erfolgt der TLPT in produktiven Systemen?

Ja. TLPT-Red-Teaming findet grundsätzlich in produktiven Umgebungen statt, da nur so realistische Aussagen zur tatsächlichen Widerstandsfähigkeit getroffen werden können. Dabei werden klare Rahmenbedingungen und Kontrollmechanismen definiert, um Stabilität, Verfügbarkeit und Integrität der Systeme jederzeit sicherzustellen.

Wie wird das Risiko während des TLPTs gesteuert?

Die Risikosteuerung erfolgt über ein Control-Team, klar definierte Abbruchkriterien, Eskalationsprozesse und kontinuierliches Monitoring. Kritische Aktivitäten werden vorab bewertet und abgestimmt, sodass realistische Angriffssimulationen möglich sind, ohne unkontrollierte Auswirkungen auf den Geschäftsbetrieb zu verursachen.

Wie erfolgt die Abstimmung zum TLPT mit der Aufsicht?

Die Abstimmung mit der zuständigen Aufsichtsbehörde (BaFin/EZB) erfolgt gemäß DORA/TLPT-Vorgaben. Testdesign, Scope, Zeitplan und Berichte werden frühzeitig, transparent und fristgerecht abgestimmt und eingereicht, um eine prüfungssichere und nachvollziehbare Durchführung sicherzustellen.

Sicherheit mit Substanz

Kontaktieren Sie uns jetzt!

Axians begleitet Finanzunternehmen seit vielen Jahren als erfahrener TLPT-Dienstleister bei TIBER- und TLPT-Projekten unter Aufsicht der zuständigen Behörden. Unsere Erfahrung reicht von vorbereitenden Red-Team-Tests bis hin zu offiziell attestierten TLPT-Durchführungen nach DORA und TIBER-EU.

Wir verbinden Threat Intelligence, Threat-Led Penetration Testing, Ethical Red Teaming und Purple-Team-Ansätze in einer klar strukturierten Vorgehensweise. Unser Anspruch ist es, regulatorische Sicherheit zu schaffen und gleichzeitig technische Aussagekraft zu liefern.

Gerne prüfen wir gemeinsam mit Ihnen, ob ein TLPT nach DORA für Ihr Unternehmen relevant ist und wie eine regelkonforme, belastbare Durchführung in Ihrem konkreten Kontext aussehen kann.

axians-secure.de | Cyber Security | Identify | Threat-Led Penetration Test (TLPT)