blog

DORA Threat Led Penetration Testing (TLPT) 2026: Strategische Resilienz für den Finanzsektor

Written by Johannes Schoenborn | Jul 15, 2026 10:41:59 AM

Ein Standard-Pentest ist 2026 kein Schutzschild, sondern eine gefährliche Illusion von Sicherheit. Die Ära der bloßen Checklisten-Compliance endet spätestens mit den ersten offiziellen TLPT-Benachrichtigungen der Aufsichtsbehörden. Wer jetzt noch glaubt, dass punktuelle Scans ausreichen, riskiert die operative Existenz. Das DORA Threat Led Penetration Testing markiert den radikalen Wechsel von statischen Tests hin zur präzisen Adversary Simulation unter realen Bedingungen.

Wir verstehen Ihre Bedenken hinsichtlich der methodischen Unschärfen zwischen TIBER-DE und DORA sowie die Angst vor kritischen Betriebsunterbrechungen während der Tests. Dieser Artikel zeigt Ihnen, wie Sie die komplexen Anforderungen durch spezialisierte Threat Intelligence und technisches Handwerk rechtssicher erfüllen. Wir analysieren die notwendigen Schritte zur Minimierung des Management-Haftungsrisikos und erklären, wie Sie Ihre Detektions- und Reaktionsfähigkeit messbar steigern, ohne die Stabilität Ihrer Systeme zu gefährden.

Wichtigste Erkenntnisse

  • Verstehen Sie den regulatorischen Unterschied zwischen jährlichen Pentests und dem dreijährigen Zyklus für DORA Threat Led Penetration Testing, um Compliance-Lücken proaktiv zu schließen.
  • Erfahren Sie, wie die methodische Kombination aus fundierter Threat Intelligence und präziser Adversary Simulation reale Angriffsszenarien auf Ihre Produktionssysteme abbildet.
  • Nutzen Sie Synergien zwischen TIBER-DE und DORA, um bestehende Assessments effizient anzurechnen und doppelte regulatorische Aufwände zu vermeiden.
  • Identifizieren Sie kritische Angriffsvektoren in hochspezialisierten Infrastrukturen wie SAP-Systemen, Cloud-Native-Umgebungen und KI-Modellen.
  • Sichern Sie sich durch die Auswahl zertifizierter Elite-Partner gegen Management-Haftungsrisiken ab und steigern Sie nachhaltig Ihre operative Detektionsrate.

DORA TLPT vs. Standard-Pentest: Definition und regulatorische Abgrenzung

Die regulatorische Landschaft für Finanzinstitute hat sich grundlegend gewandelt. Mit dem Digital Operational Resilience Act (DORA) rückt die operative Belastbarkeit ins Zentrum der Aufsicht. Ein zentrales Instrument ist hierbei das DORA Threat Led Penetration Testing. TLPT ist kein gewöhnlicher Sicherheitstest. Es ist eine kontrollierte, bedrohungsgesteuerte Simulation, die reale Taktiken, Techniken und Prozeduren (TTPs) aktueller Angreifer nutzt. Während Standard-Pentests oft isolierte Schwachstellen suchen, prüft TLPT die Widerstandsfähigkeit kritischer Geschäftsfunktionen über die gesamte Organisation hinweg.

DORA unterscheidet strikt zwischen grundlegenden Tests und fortgeschrittenen Prüfungen. Gemäß Artikel 24 müssen nahezu alle Finanzunternehmen jährlich IKT-Sicherheitstests durchführen. Das DORA Threat Led Penetration Testing nach Artikel 26 betrifft hingegen nur Institutionen mit hohem Risikoprofil. Diese müssen mindestens alle drei Jahre einen Full-Scope-Test absolvieren. BaFin und Bundesbank agieren hierbei als zentrale Überwachungsinstanzen. Sie legen fest, welche Unternehmen aufgrund ihrer Marktbedeutung zur Durchführung verpflichtet sind. Der Scope umfasst dabei nicht nur IT-Systeme, sondern die gesamte Kette kritischer Geschäftsfunktionen. Es ist kein Entweder-oder; Standard-Pentests und TLPT existieren parallel und ergänzen sich in einer ganzheitlichen Resilienz-Strategie.

Warum klassische Penetrationstests für DORA nicht ausreichen

Klassische Pentests sind oft technozentrisch. Sie identifizieren offene Ports oder fehlende Patches. Das reicht 2026 nicht mehr aus. Ein TLPT geht tiefer. Es ist eine echte Adversary Simulation. Hierbei wird nicht nur die Prävention geprüft. Vielmehr steht die Detection & Response Fähigkeit Ihres SOCs (Security Operations Center) auf dem Prüfstand. Erkennt Ihre Verteidigung den Angreifer, wenn er sich lateral durch das Netzwerk bewegt? Wie schnell reagiert das Team auf exfiltrierte Daten? In unserem Beitrag Pentest 2026: Mythos vs. Realität analysieren wir, warum punktuelle Prüfungen heute versagen.

Die rechtliche Basis: Artikel 26 und 27 der DORA-Verordnung

Die Artikel 26 und 27 definieren die Spielregeln. Betroffen sind Banken, Versicherungen und Krypto-Dienstleister. Die Auswahlkriterien der Aufsicht sind streng. Marktrelevanz und systemische Bedeutung spielen die Hauptrolle. Ein kritischer Punkt ist die Unabhängigkeit der Prüfer. Externe Tester müssen über nachgewiesene Expertise in technischer Forensik und Threat Intelligence verfügen. Interessenkonflikte sind strikt zu vermeiden. Wer Ihre Systeme verwaltet oder implementiert hat, darf sie im Rahmen eines TLPT nicht testen. Diese strikte Trennung sichert die Objektivität und die Qualität der Ergebnisse gegenüber der Aufsicht ab.

Der TLPT-Prozess: Von Threat Intelligence zur Adversary Simulation

Ein DORA Threat Led Penetration Testing ist kein unkontrollierter Angriff auf Ihre Infrastruktur. Es ist ein hochgradig strukturierter Prozess, der chirurgische Präzision erfordert. Die Methodik stellt sicher, dass die Simulation realistische Ergebnisse liefert, ohne die Stabilität Ihrer Systeme zu gefährden. Der gesamte Ablauf gliedert sich in vier entscheidende Phasen, die eng miteinander verzahnt sind und aufeinander aufbauen.

  • Phase 1: Preparation. In dieser Phase legen wir den exakten Scope fest. Es wird bestimmt, welche kritischen Geschäftsfunktionen und unterstützenden IKT-Systeme geprüft werden. Ein kleines, internes "Control Team" steuert den Prozess diskret. Der Rest der Organisation, insbesondere das Blue Team, bleibt im Unklaren, um die Reaktion unter Realbedingungen zu testen.
  • Phase 2: Threat Intelligence. Wir identifizieren die Akteure, die eine reale Gefahr für Ihr Institut darstellen. Es entstehen Szenarien, die auf tatsächlichen Bedrohungen basieren. Diese Phase liefert die notwendige Evidenz für die Angriffsplanung.
  • Phase 3: Execution. Das Red Team simuliert den Angriff. Es nutzt die in Phase 2 definierten TTPs, um tief in die Infrastruktur einzudringen. Ziel ist das Erreichen der gesetzten Flaggen (Flags), die den Erfolg einer Kompromittierung markieren.
  • Phase 4: Closure. Nach dem Test erfolgt die detaillierte Aufarbeitung. Im Purple Teaming Workshop bringen wir Angreifer und Verteidiger an einen Tisch. Wir analysieren jede Phase des Angriffs, um Detektionslücken sofort zu schließen und die Reaktionsketten zu optimieren.

Die rechtlichen Rahmenbedingungen für diesen Prozess sind präzise im Dokument des European Parliament on DORA verankert. Es bildet die verbindliche Basis für jede regulatorische Prüfung und definiert die Erwartungen der Aufsichtsbehörden an die methodische Tiefe der Tests.

Threat Intelligence als Fundament der Test-Szenarien

Ohne präzise Threat Intelligence bleibt jede Simulation oberflächlich und beliebig. Wir sammeln TTPs (Tactics, Techniques, Procedures) von Akteuren, die aktiv den europäischen Finanzsektor angreifen. Es geht nicht um theoretische Risiken aus Lehrbüchern. Es geht um reale Bedrohungslagen, die wir durch OSINT und Darknet-Analysen verifizieren. Der TI-Anbieter erstellt daraus den Targeted Threat Report. Dieser Bericht ist die operative Blaupause für das Red Team. Er definiert exakt, wie ein Angreifer vorgehen würde, um beispielsweise SWIFT-Schnittstellen zu manipulieren oder Kernbanksysteme zu infiltrieren. Nur durch diesen Fokus wird das DORA Threat Led Penetration Testing zu einem echten Belastungstest für Ihre Cyber-Resilienz.

Durchführung durch das Red Team: Maximale Realität bei minimalem Risiko

Das Red Team agiert mit absoluter Diskretion und technischer Exzellenz. Es nutzt fortschrittliche Stealth-Techniken, um moderne EDR-Systeme und das SOC zu umgehen. Das Ziel ist die unentdeckte Seitwärtsbewegung im Netzwerk. Trotz der hohen Intensität hat die Betriebsstabilität oberste Priorität. Wir führen diese Simulationen auf Live-Systemen durch, da nur so die tatsächliche Widerstandsfähigkeit geprüft werden kann. Wie das technisch auf Elite-Niveau gelingt, beschreiben wir in unserem Guide zum Red Teaming 2026. Wenn Sie die Sicherheit Ihrer kritischen Infrastrukturen methodisch absichern wollen, bieten unsere spezialisierten TIBER-DE & DORA Assessments die notwendige Expertise für eine rechtssichere Umsetzung.

TIBER-DE vs. DORA TLPT: Synergien und methodische Unterschiede

TIBER-DE war kein isoliertes Experiment, sondern die methodische Generalprobe. Das deutsche Framework für bedrohungsgesteuerte Penetrationstests diente als wesentliche Blaupause für das heutige DORA Threat Led Penetration Testing. Beide Ansätze verfolgen das Ziel, die Widerstandsfähigkeit durch realistische Angriffsszenarien zu validieren. Die Grundlage hierfür bildet die Official DORA Regulation (EU) 2022/2554, welche die regulatorischen Anforderungen auf eine europäische Ebene hebt. Wer bereits TIBER-Erfahrung besitzt, findet sich in der DORA-Welt schnell zurecht. Die strukturellen Ähnlichkeiten sind kein Zufall; sie sichern die Kontinuität der Sicherheitsbemühungen im Finanzsektor.

Die operative Steuerung bleibt in beiden Modellen identisch. Das "Control Team" agiert als interne Schaltzentrale. Es kennt den Testplan und stellt sicher, dass die Simulation die Stabilität der Systeme nicht gefährdet. Der "Test Manager" fungiert als diplomatischer und technischer Vermittler zwischen dem Institut, den Testern und der Aufsicht. Ein entscheidender Punkt für das Management: TIBER-Assessments, die unter dem aktualisierten Framework ab 2024 durchgeführt wurden, können oft für den ersten DORA-Zyklus angerechnet werden. Das spart Zeit und schont Ressourcen, sofern die methodische Deckungsgleichheit gegenüber der BaFin nachgewiesen wird.

Trotz der Synergien gibt es markante Unterschiede in der Berichterstattung. Während TIBER-DE primär national ausgerichtet war, verlangt DORA eine stärkere Harmonisierung auf EU-Ebene. Die Ergebnisse müssen nicht nur nationalen Behörden, sondern im Zweifelsfall auch den europäischen Aufsichtsbehörden (ESAs) in aggregierter Form zugänglich gemacht werden. Der Detailgrad der Dokumentation steigt. Jede Phase der Simulation muss lückenlos belegbar sein, um den Anforderungen an die regulatorische Transparenz gerecht zu werden.

Vorteile einer kombinierten Compliance-Strategie

Effizienz entsteht durch Methodik. Institute sollten DORA nicht als völlig neues Projekt betrachten. Durch die Nutzung bestehender TIBER-Prozesse lassen sich Redundanzen bei der Bedrohungsanalyse vermeiden. Ein Targeted Threat Report kann oft für beide regulatorischen Anforderungen als Basis dienen. Das reduziert die Kosten für externe Threat Intelligence Anbieter erheblich. Wie Sie diese Synergien technisch voll ausschöpfen, erläutert unser TIBER-DE Assessments 2026 Guide im Detail. Eine integrierte Strategie sichert nicht nur die Compliance, sondern schärft das Sicherheitsprofil nachhaltig.

Herausforderungen bei der Harmonisierung nationaler Standards

Die Komplexität steigt bei grenzüberschreitend tätigen Finanzgruppen. EU-weite Institute müssen unterschiedliche nationale Ausprägungen und Aufsichtsbehörden koordinieren. Ein DORA Threat Led Penetration Testing in Deutschland muss die spezifischen Erwartungen von BaFin und Bundesbank erfüllen, während gleichzeitig die Anforderungen anderer EU-Mitgliedstaaten berücksichtigt werden. Besonders kritisch ist die Einbindung von ICT Third-Party Providers. Cloud-Hyperscaler oder spezialisierte Software-Dienstleister sind nun direkt in den Scope der Tests integriert. Das erfordert eine präzise vertragliche Gestaltung und eine enge Abstimmung der Angriffsszenarien, um Haftungsfragen bei potenziellen Ausfällen vorab zu klären.

Spezialisierte Scopes im TLPT: SAP, Cloud und KI-Infrastrukturen

Ein DORA Threat Led Penetration Testing entfaltet seine volle Wirkung erst, wenn es die technologische Realität moderner Finanzinstitute präzise abbildet. Es reicht nicht, die äußere Firewall zu prüfen. Wir müssen dorthin schauen, wo die tatsächlichen Werte liegen. SAP-Systeme, hybride Cloud-Strukturen und zunehmend KI-gestützte Modelle bilden heute das operative Rückgrat der Branche. Diese Systeme sind keine isolierten Inseln. Sie sind tief vernetzt und bieten komplexe Angriffsflächen, die im Rahmen eines TLPT chirurgisch seziert werden müssen.

SAP Security steht oft im Zentrum der Wirtschaftsspionage. Hier lagern Bilanzen, Kundendaten und sensible Transaktionslogs. Ein Angreifer, der Zugriff auf das ERP-System erlangt, kontrolliert effektiv das Herz des Unternehmens. Parallel dazu bleibt das Identitätsmanagement der kritischste Hebel in der Angriffskette. Active Directory (AD) und ADFS sind die primären Ziele für laterale Bewegungen. Wer die Identität beherrscht, beherrscht das gesamte Netzwerk. Ein realistisches TLPT-Szenario muss daher zwingend die Kompromittierung von Identitätsprovidern beinhalten, um den Weg von einem einfachen Benutzerkonto bis hin zur vollständigen Domänen- oder Cloud-Kontrolle nachzuzeichnen.

Angriffsszenarien auf hybride Cloud-Umgebungen

Finanzinstitute bewegen sich in einer hybriden Welt. Das größte Risiko liegt oft im Übergang zwischen den Welten. Wir simulieren gezielt das Lateral Movement von On-Premise-Infrastrukturen in die Cloud und umgekehrt. Credential Theft und Privilege Escalation in Azure oder AWS sind keine theoretischen Konstrukte. Sie sind tägliche Realität für unsere Red Teams. Ein effektiver Azure Penetration Test 2026 muss zeigen, ob Ihre Sicherheitskonfigurationen einem gezielten Angriff auf Cloud-Native-Ressourcen standhalten. Wir prüfen, ob Angreifer über Fehlkonfigurationen im Identity and Access Management (IAM) Rollen übernehmen und sensible Datenbestände erreichen können.

Offensive Security für KI-Anwendungen im Finanzwesen

Künstliche Intelligenz ist der neue Standard für Risikoanalysen und automatisierten Kundenservice. Doch Large Language Models (LLMs) bringen völlig neue Schwachstellen mit sich. Prompt Injection ist kein theoretisches Gimmick, sondern ein direkter Angriffspfad auf Ihre Geschäftslogik. Wir testen methodisch, ob interne Wissensdatenbanken durch manipulierte Anfragen zur Preisgabe vertraulicher Informationen gezwungen werden können. Ein spezialisierter AI LLM Penetration Test 2026 validiert die Integrität Ihrer Modelle. Wir simulieren die Extraktion von Trainingsdaten und die Manipulation von Output-Filtern, um sicherzustellen, dass Ihre KI-Schnittstellen nicht zum Einfallstor für Datenexfiltration werden.

Die Absicherung dieser hochspezialisierten Umgebungen erfordert mehr als bloße Standard-Methodik. Unsere Experten führen tiefgreifende SAP Penetration Testing Assessments durch, um Ihre kritischsten Geschäftsprozesse gegen reale Bedrohungsakteure abzusichern.

Anbieterauswahl für TLPT: Qualitätsmerkmale und operative Exzellenz

Die Auswahl des richtigen Partners für ein DORA Threat Led Penetration Testing ist eine strategische Entscheidung mit direkter Auswirkung auf Ihr Haftungsrisiko. Es geht hier nicht um einen weiteren Dienstleister auf der Liste. Es geht um einen diskreten Elite-Partner, der die Sprache der Angreifer spricht und gleichzeitig die regulatorische Tiefe versteht. Externe Tester müssen höchste technische Zertifizierungen wie OSCP, OSCE oder spezialisierte Red Teaming Zertifikate vorweisen. Doch Zertifikate sind nur die Eintrittskarte. Entscheidend ist die nachgewiesene Erfahrung in der Durchführung komplexer Assessments unter Aufsicht der BaFin oder Bundesbank.

Methodische Transparenz ist dabei unverzichtbar. Ein reiner "Blackbox"-Ansatz, bei dem der Kunde keine Einsicht in die Vorgehensweise hat, ist für TLPT unzureichend. Wir setzen auf einen kollaborativen Prozess mit dem Control Team des Kunden. Das Ziel ist nicht der bloße Einbruch in ein System. Es geht um die Qualität des Feedbacks. Ein exzellentes Reporting übersetzt technische Exploits in geschäftliche Risiken. Es liefert dem Management klare Entscheidungsgrundlagen statt kryptischer CVSS-Scores. Exploit Labs positioniert sich hier als spezialisierter Partner für hochkomplexe TLPT-Projekte, die technische Brillanz mit strategischer Beratung verknüpfen.

Vermeidung von Interessenkonflikten gemäß DORA Art. 26

DORA Artikel 26 stellt klare Anforderungen an die Unabhängigkeit der Prüfer. Der Anbieter für das DORA Threat Led Penetration Testing darf nicht gleichzeitig Ihr Managed Security Service Provider (MSSP) sein. Wer die Verteidigung implementiert hat, kann sie nicht objektiv testen. Diese Regelung verhindert die "Selbstprüfung" und sichert die Integrität der Ergebnisse. Wir agieren als spezialisierter "Pure Play" Offensive Security Anbieter. Das bedeutet: Wir verkaufen keine Hardware und betreiben keine SOC-Infrastrukturen für unsere Kunden. Diese Unabhängigkeit garantiert Ihnen eine unvoreingenommene Analyse, die vor jeder Aufsichtsbehörde standhält. Zudem fordern die Regulierer eine regelmäßige Rotation der Tester-Teams, um Betriebsblindheit zu vermeiden und neue Perspektiven in die Simulation einzubringen.

Vom Befund zur Resilienz: Der Wert des Wissens-Transfers

Ein TLPT darf niemals als isoliertes Compliance-Event enden. Der wahre Mehrwert entsteht nach dem eigentlichen Angriff. Purple Teaming ist hier der entscheidende Hebel. In gemeinsamen Workshops analysieren unsere Red Teams zusammen mit Ihrem Blue Team die Log-Files und Detektionsketten. Wir zeigen exakt auf, an welcher Stelle der Angriffspfad hätte unterbrochen werden können. Das schult Ihr internes Team effektiver als jedes theoretische Training. Es verwandelt regulatorische Anforderungen in eine echte Steigerung der Detektionsrate. Wenn Sie tiefer in die Welt der professionellen Angreifer eintauchen wollen, bietet unser Guide Was ist OffSec? eine fundierte Grundlage für das Verständnis moderner Sicherheitsstrategien. So wird aus einem Prüfbericht ein nachhaltiger Fahrplan für Ihre Cyber-Resilienz.

Strategische Cyber-Resilienz: Vom regulatorischen Zwang zum Wettbewerbsvorteil

Die regulatorische Frist für die volle operative Belastbarkeit rückt unaufhaltsam näher. Ein DORA Threat Led Penetration Testing ist kein optionales Projekt; es ist das Fundament für das Vertrauen Ihrer Kunden und der Aufsichtsbehörden. Echte Resilienz entsteht nur durch die präzise Simulation realer Bedrohungen in hochspezialisierten Umgebungen wie SAP-Systemen und Cloud-Infrastrukturen. Wer die methodischen Synergien zu TIBER-DE nutzt und konsequent auf technologische Exzellenz setzt, minimiert nicht nur sein Haftungsrisiko; er stärkt seine Verteidigung nachhaltig gegen die Akteure von morgen.

Parallel zur technischen Absicherung ist die Performance Ihrer digitalen Kanäle entscheidend für den Geschäftserfolg. Unternehmen, die ihre digitale Präsenz nicht nur sichern, sondern umsatzoptimiert skalieren möchten, finden in The Palm Group den passenden Partner für moderne Kommunikationssysteme.

Als Spezialist für TIBER-DE und DORA Assessments bietet Exploit Labs Ihnen die notwendige methodische Tiefe für diese hochkomplexe Herausforderung. Unsere tiefgehende Expertise in SAP- und AI-Security macht uns zum diskreten Partner der deutschen Finanzwirtschaft. Vertrauen Sie auf 100% deutsche Offensive Security Elite für Ihre strategische Sicherheit. Sichern Sie Ihre DORA-Compliance mit den TLPT-Experten von Exploit Labs und vereinbaren Sie jetzt Ihr Erstgespräch.

Gehen Sie den Weg von der bloßen Compliance zur echten operativen Überlegenheit. Wir begleiten Sie mit Präzision und Souveränität durch den gesamten Prozess.

Häufig gestellte Fragen zu DORA TLPT

Was ist der Hauptunterschied zwischen einem normalen Pentest und TLPT unter DORA?

Ein Standard-Pentest konzentriert sich primär auf die Identifikation technischer Schwachstellen in isolierten Systemen. Im Gegensatz dazu ist das DORA Threat Led Penetration Testing eine ganzheitliche Adversary Simulation, die auf realen Bedrohungsszenarien basiert und zwingend auf Live-Produktionsumgebungen durchgeführt wird. Es testet nicht nur die technische Absicherung, sondern validiert die gesamte Detection- und Response-Fähigkeit Ihrer Verteidigungsorganisation unter Realbedingungen.

Wie oft muss ein Finanzunternehmen ein Threat Led Penetration Testing durchführen?

Finanzunternehmen, die von der Aufsicht als bedeutend eingestuft wurden, müssen mindestens alle drei Jahre ein TLPT absolvieren. Die zuständigen Behörden können diesen Zeitraum je nach Risikoprofil des Instituts verkürzen oder anpassen. Die erste Frist für den Abschluss des ersten TLPT-Zyklus für benannte Unternehmen ist der Januar 2028, wobei die ersten offiziellen Benachrichtigungen durch die BaFin bereits für Ende 2026 erwartet werden.

Welche Unternehmen sind unter DORA verpflichtet, TLPT durchzuführen?

Nicht jedes der über 22.000 unter DORA fallenden Unternehmen muss TLPT durchführen. Die Pflicht trifft primär Institute, die eine systemische Bedeutung für den Finanzsektor haben oder ein hohes IKT-Risikoprofil aufweisen. Hierzu zählen große Kreditinstitute, bedeutende Versicherungsunternehmen und kritische IKT-Drittdienstleister. Die Einstufung erfolgt individuell durch die nationalen Aufsichtsbehörden wie die BaFin und die Deutsche Bundesbank auf Basis spezifischer Kriterien zur Marktpräsenz.

Kann ich mein internes Red Team für DORA TLPT einsetzen?

DORA erlaubt den Einsatz interner Red Teams unter sehr strengen Auflagen. Mindestens jeder dritte Testzyklus muss zwingend durch einen externen, unabhängigen Anbieter durchgeführt werden. Zudem muss die Qualität der internen Tester sowie der genutzten Threat Intelligence durch eine externe Instanz oder die Aufsicht verifiziert werden. Um Interessenkonflikte vollständig auszuschließen und die geforderte Objektivität zu gewährleisten, setzen viele Institute bereits heute auf spezialisierte externe Elite-Partner.

Welche Rolle spielt die Threat Intelligence beim TLPT?

Threat Intelligence bildet das strategische Fundament für jede Simulation. Sie liefert die notwendigen Daten über reale Angreifer, deren Taktiken, Techniken und Prozeduren (TTPs), die spezifisch für den Finanzsektor oder Ihr Institut relevant sind. Ohne fundierte TI wäre das DORA Threat Led Penetration Testing lediglich ein generischer Angriff ohne Realitätsbezug. Der TI-Anbieter erstellt den Targeted Threat Report, der dem Red Team als operative Blaupause für die gesamte Execution-Phase dient.

Wie lange dauert ein typisches DORA TLPT Assessment?

Der gesamte Prozess eines TLPT-Assessments ist zeitintensiv und umfasst in der Regel sechs bis zwölf Monate. Diese Zeitspanne gliedert sich in die Vorbereitungsphase (Scope-Definition), die mehrwöchige Threat-Intelligence-Phase, die aktive Simulation durch das Red Team (Execution) und die abschließende Analyse- und Purple-Teaming-Phase. Die reine aktive Testphase dauert dabei oft mehrere Monate, um eine realistische, langsame Infiltration (Low and Slow) abzubilden.

Sind TIBER-DE Tests mit den Anforderungen von DORA TLPT kompatibel?

Ja, TIBER-DE dient als methodische Grundlage für die Ausgestaltung von TLPT in Deutschland. DORA strebt eine weitgehende Harmonisierung mit dem TIBER-EU Framework an. Assessments, die nach dem aktualisierten TIBER-DE Standard ab 2024 durchgeführt wurden, können unter bestimmten Bedingungen für den ersten DORA-TLPT-Zyklus angerechnet werden. Dies erfordert jedoch eine frühzeitige Abstimmung mit der Aufsicht, um die methodische Deckungsgleichheit sicherzustellen.

Was passiert, wenn kritische Schwachstellen während des TLPT gefunden werden?

Das Control Team steuert die Reaktion auf kritische Befunde während des laufenden Tests. Werden Schwachstellen entdeckt, die ein unmittelbares, existenzbedrohendes Risiko für den laufenden Betrieb darstellen, kann der Test unterbrochen oder die Schwachstelle sofort behoben werden. Ziel des TLPT ist jedoch primär die Prüfung der Detektionsfähigkeit. Daher werden Befunde oft erst nach Abschluss der Simulation im detaillierten Abschlussbericht und im Purple Teaming Workshop aufgearbeitet, um nachhaltige Resilienz zu schaffen.