TLPT: Bedrohungsorientierte Test werden Pflicht

Die seit Januar 2025 geltende DORA-Verordnung stellt neue Anforderungen an die digitale Widerstandsfähigkeit von Finanzinstituten. Ein zentrales Element der Regulierung sind die bedrohungsorientierten Penetrationstests (TLPT), die für ausgewählte Unternehmen verpflichtend werden. Was bedeutet dies für den Finanzsektor und wie sind die Tests strukturiert?

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft getreten. Die europäische Verordnung verpflichtet Finanzunternehmen, ihre Informations- und Kommunikationstechnologie (IKT) umfassend zu prüfen und ihre digitale Widerstandsfähigkeit zu stärken. Teil dieser Anforderungen ist die Etablierung eines risikobasierten, proportionalen Testprogramms.

Grundsätzliche Testpflicht für alle Finanzunternehmen

DORA verpflichtet grundsätzlich alle Finanzunternehmen zur Prüfung ihrer IT-Systeme. Ein solches Testprogramm soll beispielsweise Open-Source-Software analysieren, die Netzsicherheit und physische Sicherheit prüfen sowie verschiedene Testformen wie Gap-Analysen, szenario-basierte Tests oder klassische Penetrationstests umfassen. Ausnahmen bezüglich des Testumfangs – nicht jedoch der Testpflicht an sich – bestehen für Kleinstunternehmen und für Finanzunternehmen, die unter Artikel 16 der Verordnung fallen (vereinfachter IKT-Risikomanagementrahmen).

TLPT: Erweiterte Tests für ausgewählte Institute

Neben den allgemeinen Testanforderungen führt DORA mit den Threat-led Penetration Tests (TLPT) erweiterte Tests von IKT-Tools, -Systemen und -Prozessen ein (Artikel 26 und 27 DORA). Im Gegensatz zu den Basisanforderungen gelten diese erweiterten Tests nur für eine begrenzte Anzahl von Finanzunternehmen.

Die Auswahl der betroffenen Institute basiert auf klaren Kriterien, die in Artikel 26 Absatz 8 der DORA-Verordnung definiert sind:

1. Wirkungsbezogene Faktoren, insbesondere inwieweit sich die Dienstleistungen des Finanzunternehmens auf den Finanzsektor auswirken
2. Mögliche Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Unternehmens auf EU- oder nationaler Ebene
3. Das spezifische IKT-Risikoprofil und der IKT-Reifegrad des Finanzunternehmens

Die identifizierten Unternehmen werden von der BaFin als zuständiger Aufsichtsbehörde – oder im Falle signifikanter Kreditinstitute von der EZB – durch einen Identifikationsbescheid über ihre Verpflichtung zur Durchführung eines TLPT informiert.

Technischer Regulierungsstandard zu TLPT

Für die konkrete Umsetzung der TLPT-Anforderungen haben die Europäischen Aufsichtsbehörden (ESAs) in Zusammenarbeit mit der EZB einen technischen Regulierungsstandard (RTS) entwickelt. Dieser RTS wurde am 17. Juli 2024 an die Europäische Kommission übermittelt und wird nach Veröffentlichung im Amtsblatt der EU in Kraft treten.

Der Regulierungsstandard spezifiziert:

• Die genauen Kriterien zur Identifikation von TLPT-pflichtigen Finanzunternehmen
• Anforderungen und Standards für den Einsatz interner Tester
• Vorgaben zu Testumfang, Testmethodik und Testkonzept für jede Phase des Verfahrens
• Anforderungen zu Ergebnisauswertung, Abschluss und Behebungsphasen
• Die Art der aufsichtlichen Zusammenarbeit, insbesondere für Finanzunternehmen, die in mehreren Mitgliedstaaten tätig sind

TLPT-Methodik baut auf TIBER-EU auf

Die Testmethodik für TLPT unter DORA orientiert sich an den wesentlichen Inhalten des bereits bestehenden TIBER-EU-Rahmenwerks (Threat Intelligence-based Ethical Red Teaming). Erfahrungen und Erkenntnisse aus den bisher freiwilligen Tests sind in die Ausgestaltung des RTS zu TLPT eingeflossen.

Entsprechend bauen die Prozesse zur konkreten Durchführung von TLPT auf den TIBER-DE-Prozessen auf. Die BaFin ist dabei die zuständige Aufsichtsbehörde und verantwortet die aufsichtlichen Aufgaben zum Thema TLPT, während die operative Begleitung der Tests der Deutschen Bundesbank obliegt.

Ablauf eines TLPT-Projekts

Ein TLPT-Projekt gliedert sich typischerweise in drei Phasen:

Vorbereitungsphase

Die Aufsichtsbehörde identifiziert betroffene Unternehmen und legt Testumfang und -frequenz fest. Das betroffene Unternehmen wählt geeignete Dienstleister aus – dabei wird eine strikte Trennung zwischen Threat-Intelligence-Provider und Red-Team-Provider empfohlen.

Testphase

Zunächst werden Informationen gesammelt und daraus bedrohungsorientierte Angriffsszenarien abgeleitet. Diese simulieren reale Bedrohungen und aktuelle Angriffsmethoden, die für das spezifische Unternehmen relevant sind. Die Testphase erstreckt sich über mehrere Monate.

Abschlussphase

Nach den Tests erfolgt eine umfassende Dokumentation und Auswertung durch alle Beteiligten. In Workshops werden Erkenntnisse ausgetauscht und „Was wäre wenn“-Szenarien durchgespielt. Alle identifizierten Schwachstellen werden in einem Behebungsplan festgehalten. Die Deutsche Bundesbank attestiert abschließend die konforme Durchführung des TLPT.

Bedeutung für die Praxis

Die TLPT-Anforderungen stellen eine erhebliche Erweiterung bestehender Sicherheitstests dar. Durch den bedrohungsorientierten Ansatz werden realistische Angriffe simuliert, die auf aktuellen Bedrohungsinformationen basieren.

Für betroffene Unternehmen bedeutet dies einen höheren Aufwand, aber auch einen erheblichen Mehrwert: Die Tests decken nicht nur isolierte technische Schwachstellen auf, sondern prüfen die gesamte Sicherheitsarchitektur und -prozesse unter realistischen Bedingungen. Dies ermöglicht die Identifikation systemischer Schwachstellen, die bei herkömmlichen Penetrationstests möglicherweise unentdeckt bleiben würden.

So profitieren alle Branchen von DORA

Auch nicht-verpflichtete Finanzunternehmen können von bedrohungsorientierten Testansätzen profitieren – wenn auch in einem an ihre Größe und Risikoprofil angepassten Umfang. Solche Tests bieten eine gute Möglichkeit, den eigenen Reifegrad in der IT-Sicherheit zu evaluieren und zu verbessern.

Mehr Infos: https://www.bafin.de/DE/Aufsicht/DORA/Digitale_Resilienz_TLPT/Digitale_Resilienz_TLPT_node.html