TLPT unter DORA - Ist Ihr Unternehmen bereit für einen Live-Cyberangriff unter Aufsicht der Regulierungsbehörde?

Die Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 in Anwendung und verschärft die regulatorischen Anforderungen an die digitale Widerstandsfähigkeit von Finanzunternehmen – inklusive ICT-Risikomanagement, Incident Reporting, Resilienztests, Third-Party-Risikosteuerung und Informationsaustausch. Zentral wird dabei, Security-Monitoring- und SIEM-Fähigkeiten gezielt an regulatorische Kontrollziele zu koppeln und ein risikobasiertes Programm für Threat-Led Penetration Testing (TLPT) aufzubauen, das sich eng an der TIBER EU-Methodik orientiert. Wer jetzt Lücken in Logging, Use-Case-Design, Lieferanten-Transparenz oder Testfähigkeit schließt, reduziert nicht nur regulatorisches Risiko, sondern schafft Business-Resilienz als Wettbewerbsfaktor.

Warum DORA für die C Suite Chefsache ist

Digitale Betriebsunterbrechungen sind längst ein systemisches Risiko für den Finanzsektor. DORA reagiert auf die zunehmende Abhängigkeit von ICT-Diensten, Cloud-Providern und komplexen Drittparteiennetzwerken. Ziel ist es, Institute in die Lage zu versetzen, ICT-Störungen – einschließlich Cyberangriffen – nicht nur zu überstehen, sondern kontrolliert darauf zu reagieren und sich schnell zu erholen. Die Regelung gilt für rund 20 Kategorien regulierter Finanzunternehmen und adressiert explizit auch kritische ICT-Drittdienstleister.

Die fünf strategischen DORA-Pfeiler – Management-Übersicht

DORA verdichtet bestehende Anforderungen und führt sie in fünf Kernbereichen zusammen:

Für Vorstände bedeutet das: Governance, Budgets und KPIs müssen entlang dieser Pfeiler ausgerichtet, gesteuert und nachweisbar gemacht werden.

Zeitleiste & Aufsichtsdruck

Die verbindliche Anwendbarkeit von DORA startete am 17. Januar 2025 – ohne großzügige Übergangsfristen. Europäische Aufseher haben mehrfach betont, dass sie einen strikten Durchsetzungsansatz verfolgen; Register of Information zu ICT-Dienstleistern wurden früh als unmittelbare Aufsichtspriorität signalisiert. Mehrere nationale Behörden – u.a. BaFin – erwarten dokumentierte Umsetzungsfahrpläne und zügige Vertragsüberarbeitungen mit kritischen ICT-Providern.

TLPT unter DORA: Von der Kür zur Pflicht

Erweiterte, bedrohungsgeleitete Penetrationstests (Threat-Led Penetration Testing, TLPT) sind für ausgewählte – nach Impact, Systemrelevanz und Risikoprofil bestimmte – Finanzunternehmen verpflichtend. Die Europäischen Aufsichtsbehörden (ESAs) haben gemeinsam mit der EZB einen Technischen Regulierungsstandard (Regulatory Technical Standard - RTS) entwickelt, der Methodik, Scope, Nutzung interner Tester sowie Aufsichtszusammenarbeit konkretisiert. Der RTS spiegelt die TIBER EU-Methodik wider; Finanzunternehmen können nationale TIBER-Umsetzungen heranziehen, sofern sie mit den DORA-Anforderungen konsistent sind.

Wann muss mein Unternehmen TLPT durchführen?

Die Pflicht greift, wenn die zuständige TLPT-Behörde Ihr Institut nach den im RTS verankerten Kriterien (u.a. Systemrelevanz, Risikoprofil, Auswirkungsdimensionen) adressiert und formell zur Durchführung auffordert. Ab Benachrichtigung laufen enge Fristen: Binnen drei Monaten sind Initiierungsinformationen (Projektplan, Control-Team, Kommunikationswege) einzureichen; binnen sechs Monaten folgt ein detailliertes Scoping der kritischen bzw. wichtigen Funktionen und zugehörigen ICT-Assets.

TLPT & TIBER-EU: Praktische Konvergenz

1 | Was ist Threat-Led Penetration Testing (TLPT)?

Threat-Led Penetration Testing (TLPT) ist ein regulatorisch verankertes Red-Team-Verfahren, das einen Rahmen beschreibt, der Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet. Es simuliert realistische Angriffe staatlicher oder krimineller Bedrohungsakteure auf kritische und wichtige Funktionen (CIFs) eines Finanzunternehmens, um dessen Cyber-Resilienz unter Live-Betriebsbedingungen zu überprüfen. Anders als klassische Pen-Tests orientiert sich TLPT strikt an

• aktuellen Angreifer-Taktiken, Techniken und Verfahren (TTPs),
• einer abgestimmten Bedrohungsmodellierung (Threat Intel Report) und
• einem vollständigen End-to-End-Angriffspfad mit festgelegten „Flags“ als Erfolgsnachweis. Damit erfüllt TLPT die Vorgabe aus Art. 26 DORA, alle drei Dimensionen der CIA-Triade (Vertraulichkeit, Integrität, Verfügbarkeit) realitätsnah zu adressieren.

2 | Rollenmodell & Deliverables

Der neue RTS (EU) 2025/1190 definiert ein fein granulareres Rollen- und Dokumentenset, das eng an TIBER-EU 2025 angelehnt ist:

3 | Pflicht-Deliverables und Fristen

4 | Was ist neu im RTS 2025?

• Verbindlichkeit & Reichweite – TLPT ist nicht länger freiwillig (wie TIBER), sondern für Institute, die die im RTS festgelegten quantitativen Impact-Schwellen erfüllen, verpflichtend.
• Offizielle Notifizierung & feste Timelines (3/6-Monats-Meilensteine) ersetzen selbstinitiierte Tests.
• Mutual Recognition – Ergebnisse werden EU-weit anerkannt, sofern sie nach TIBER-EU oder äquivalentem nationalem Framework durchgeführt wurden.
• Purple-Teaming Pflicht – Remediation-Workshops sind nun ausdrücklich vorgeschrieben.
• Interne Red-Teamer zulässig – unter strengen Unabhängigkeitsregeln dürfen bis zu zwei von drei aufeinanderfolgende Tests intern besetzt werden.
• Multi-Party & Supply-Chain Tests – ermöglichen gruppen- oder sektorweite Angriffe, um Shared Services (z. B. Cloud) abzudecken.
• Szenario X – optionaler „Forward-Looking“-Angriff für aufkommende TTPs.

5 | Herausforderungen aus der Praxis

1. Ressourcen & Kosten – Volltests dauern 9-12 Monate, binden Blue-, Red-, Purple- und Control-Teams und sind spätestens alle drei Jahre zu wiederholen.
2. Datenschutz & Geheimhaltung – Live-Angriffe auf Produktionsumgebungen erfordern strenge Logging-, Forensik- und Leak-Vermeidungsmaßnahmen.
3. Lieferanten-Abhängigkeiten – Einbindung kritischer Dritt-/Cloud-Provider steigert Komplexität (rechtliche Vereinbarungen, Zugriffe, Haftung).
4. Marktkapazitäten – Wenige qualifizierte Anbieter (TIPs/RTTs) erfüllen die im RTS geforderten Mindestreferenzen.
5. Aufsichts-Koordination – Bei grenzüberschreitenden Instituten müssen mehrere TLPT-Authorities gemeinsam vorgehen; der RTS skizziert hierfür Kooperationsmechanismen.

6 | Synergien: TIBER-EU als „Fast Track“

Die TIBER-EU-Revision 2025 wurde inhaltlich auf den RTS gespiegelt. Wer bereits TIBER-EU einsetzt, erfüllt damit automatisch die TLPT-Methodenvorgaben, inklusive neuer Terminologie (CIFs, CT, RTT) und verpflichtendem Purple-Team-Remediation. Somit reduziert sich für multinational tätige Institute der Test-Overhead erheblich: ein einziger, sauber vorm Behörden-Pool abgestimmter TIBER-Test ersetzt mehrere länderspezifische TLPTs.

SIEM als DORA-Enabler und TLPT-Katalysator

Die Digital Operational Resilience Act (DORA) verlangt nicht nur die kontinuierliche Überwachung von ICT‑Risiken, sondern ab 2025 auch einen dreijährigen Zyklus für Threat‑Led Penetration Testing (TLPT). Ein SIEM ist dabei das verbindende Nervensystem – es macht TLPT mess‑, steuer‑ und nachweisbar.

Warum gehört SIEM zu TLPT?

Erweiterte SIEM UseCase-Kategorien für DORA und TLPT

1. Kritikalitätsbasierte Asset‑ & Service‑Korrelation: Mapping von Logs auf DORA‑kritische Funktionen und TLPT‑Szenario‑Scopes.
2. Incident‑Klassifikation & ‑Schwellwerte: Verfeinerte Schwellenwerte, um TLPT‑Events von echten Incidents abzugrenzen.
3. Echtzeit‑Metriken „MTTD/MTTReg“: Live‑Anzeige während TLPT zur Lernverstärkung.
4. Third‑Party‑/Supply‑Chain‑Monitoring: Einbindung von Red‑Team‑Impacts auf ausgelagerte Dienste.
5. Use‑Case‑Bibliothek MITREATT&CK: Bereitschaft, TLPT‑TTPs ohne Signaturanpassung abzudecken.
6. Business Continuity Trigger: Validierung, dass TLPT‑induziertes Failover planmäßig erkannt wird.
7. Data‑Integrity & Backup‑Überwachung: Überprüfung der Wiederherstellung nach simulierten Ransomware‑Angriffen.
8. Threat‑Intelligence‑Feeds: Anreicherung von TLPT‑Findings für nachhaltige Detection‑Use‑Cases.

Diese Kategorien sollten risikobasiert priorisiert, mit klaren Kontrollzielen versehen und in einem SIEM‑und‑TLPT‑Backlog verankert werden. Dadurch entsteht eine geschlossene Feedback‑Schleife: TLPT liefert realitätsnahe Angriffsmuster – das SIEM übersetzt sie in permanente Use Cases und Metriken. So wird das SIEM vom passiven Logarchiv zum aktiven Resilienz‑Motor, der DORA‑Konformität kontinuierlich demonstriert.

Governance: Rollen, Verantwortlichkeiten & Reporting an den Vorstand

Ein belastbares Threat-Led Penetration Testing-Programm nach DORA / TIBER-EU funktioniert nur, wenn die Verantwortlichkeiten glasklar verteilt sind:

• CISO behält die Gesamtverantwortung und ernennt einen TLPT-Owner als operative Drehscheibe zwischen Red-Team-Lead, Blue-Team / SOC, Threat-Intelligence und CRO.
• CRO bewertet die aus den Tests abgeleiteten Risiken, priorisiert Findings im ORSA-Prozess und überwacht die Umsetzung.
• CIO stellt isolierte Testumgebungen sowie „white-listed“ Produktionszugänge bereit und koordiniert Change-Freeze-Fenster.
• Rechtsabteilung & Procurement verankern vertragliche Kooperations- sowie „controlled live-fire“-Klauseln für alle beteiligten Drittanbieter (Cloud, MSSP u. a.) - inklusive Exit- und Sub-Outsourcing-Regeln.
• Geschäftsverantwortliche genehmigen Test-Scope und akzeptieren Restrisiken.

Reporting-Linien:

Alle Schlüsselpunkte – Scoping-Freigabe, Go/No-Go-Entscheid, 24-h-Notification kritischer Befunde und Abschlussergebnis – sind als Vorstandsvorlagen aufzubereiten (Heat-Map der Angriffspfade, Maturity Score, Kosten-/Nutzen-Analyse). Die Ergebnisse fließen verpflichtend in das jährliche IKT-Risikoprofil, das Informationsregister und die SIEM-Roadmap ein.

Aktueller Stand TLPT-RTS & wichtige Fristen

Die delegierte Verordnung mit dem RTS zu TLPT wurde im Amtsblatt der EU veröffentlicht und trat am 8. Juli 2025 in Kraft. Damit werden die Anforderungen aus Art. 26 DORA verbindlich präzisiert – einschließlich Kriterien zur Identifikation TLPT-pflichtiger Institute, Scope-Definition, Methodik, Einsatz interner Tester und Kooperationsregeln der Aufsichten. Institute sollten ihre Testprogramme rechtzeitig gegen diese Standards spiegeln.

Fahrplan: 6-Schritte-Aktionsagenda für die nächsten 12 Monate

Fazit

DORA ist kein reines Compliance-Projekt – es ist ein Katalysator für integrierte Cyber-, Betriebs- und Lieferkettenresilienz. Wer Security Monitoring, Vertragssteuerung, Business Continuity und bedrohungsorientierte Tests ganzheitlich verzahnt, reduziert regulatorische Risiken, stärkt Kundenvertrauen und schafft die Basis für skalierbares Wachstum in einer hochdigitalisierten Finanzwelt.

Nächster Schritt: Kostenlose Erstberatung

Sie möchten DORA-Compliance rechtzeitig implementieren? Unsere Experten beraten Sie gerne — unverbindlich und praxisnah. Jetzt Erstberatung vereinbaren →

Nächster Schritt: Kostenlose Erstberatung

Sie möchten DORA-Compliance rechtzeitig implementieren? Unsere Experten beraten Sie gerne — unverbindlich und praxisnah. Jetzt Erstberatung vereinbaren →

Nächster Schritt: Kostenlose Erstberatung

📖 Lesen Sie auch: BaFin-Update zu KI & DORA

📖 Lesen Sie auch: BaFin-Update zu KI & DORA

Sie möchten DORA-Compliance rechtzeitig implementieren? Unsere Experten beraten Sie gerne — unverbindlich und praxisnah. Jetzt Erstberatung vereinbaren →