DORA Kapitel IV

Threat-Led Penetration Testing als Kernbestandteil der Resilienzprüfung.

TLPT ergänzt standardisierte Tests durch Bedrohungssimulation auf Basis realer Bedrohungslagen. Art. 26 DORA verpflichtet bestimmte Finanzinstitute zu regelmäßigen TLPT-Programmen.

Disclaimer: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA Threat-Led Penetration Testing dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

TLPT-Programm nach Art. 26 DORA ist dokumentiert, vom Management genehmigt und an die EBA-Rahmenbedingungen angeglichen.
Bedrohungsinformationen (Threat Intelligence) fließen in die Testplanung ein; Tests simulieren realistische Angreifer (Advanced Persistent Threats).
Scope umfasst kritische ICT-Dienste, wichtige Geschäftsfunktionen und relevante Drittdienstleister (mit Zustimmung).
Testergebnisse werden in Management-Reporting, Kontrollverbesserung und Resilienzplanung überführt; Lessons Learned sind nachweisbar umgesetzt.

Sollzustand

TLPT-Rahmenwerk (Art. 26): Dokumentierte Strategie, Ziele, Scope, Methodik, Rollen, Verantwortlichkeiten und Berichtslinien; Abstimmung mit EBA TLPT-Rahmenbedingungen.
Threat Intelligence Integration (Art. 26 Abs. 2): Tests basieren auf aktuellen, relevanter Bedrohungsinformationen (z. B. FI-ISAC, BSI, MITRE ATT&CK); Angreiferprofil und Szenarien sind dokumentiert.
Scope-Definition (Art. 26 Abs. 3): Kritische ICT-Dienste und wichtige Geschäftsfunktionen sind im Scope enthalten; Drittdienstleister können einbezogen werden (mit vertraglicher Zustimmung).
Testdurchführung: Externe oder interne Tester mit angemessenem Skill-Level; regelmäßige Tests (mindestens alle 3 Jahre nach EBA-Framework); Testberichte mit Findings, Risikobewertung und Empfehlungen.
Ergebnisverarbeitung: Findings werden priorisiert, in Remediation-Plan überführt, mit Fristen und Verantwortlichen versehen; Status wird quartalsweise an Management berichtet.

Umsetzungsschritte

1. TLPT-Rahmenwerk erstellen: Strategie, Ziele, Scope-Kriterien, Methodik (Threat-Led, Red Team, Purple Team), Rollen, Verantwortlichkeiten, Freigabeprozess.
2. Threat-Intelligence-Quellen etablieren: Abonnement von FI-ISAC, BSI-Lagebild, MITRE ATT&CK; regelmäßige Abstimmung mit SOC und Threat-Intelligence-Team.
3. Scope definieren: Identifikation kritischer ICT-Dienste und wichtiger Geschäftsfunktionen; Abstimmung mit Asset-Register und kwF-Prozessen; Einbezug von Drittdienstleistern prüfen.
4. Testanbieter auswählen: Ausschreibung oder Rahmenvertrag mit geprüften Penetration-Testing-Anbietern; Anforderungen an Zertifizierungen (z. B. CREST, OSCP), Referenzen und Versicherungsschutz.
5. Testplanung und -durchführung: Testplan mit Szenarien, Zeiträumen, Rules of Engagement; Durchführung unter Einhaltung rechtlicher und regulatorischer Rahmenbedingungen; Dokumentation aller Aktivitäten.
6. Ergebnisanalyse und Reporting: Findings nach Risiko priorisieren; Testbericht mit Management Summary, technischen Details, Empfehlungen; Abstimmung mit CISO und Risikomanagement.
7. Remediation und Nachverfolgung: Remediation-Plan mit Fristen und Verantwortlichen; monatliche Status-Updates; Re-Test nach Abschluss; Lessons-Learned-Workshop.
8. Governance und Review: Jährliche Review des TLPT-Rahmenwerks; Anpassung an neue Bedrohungen, regulatorische Änderungen und technologische Entwicklungen; Management-Bericht.

Typische Lücken & ISO/IEC 27001-Verbindung

Kein dokumentiertes TLPT-Rahmenwerk: ad-hoc-Tests ohne Strategie; Abhilfe: formelles Rahmenwerk mit Management-Genehmigung.
Threat Intelligence nicht in Tests integriert: Tests basieren auf generischen Szenarien, nicht auf aktuellen Bedrohungen; Abhilfe: regelmäßige Threat-Intelligence-Abstimmung vor Testplanung.
Scope zu eng: nur einzelne Systeme getestet, nicht End-to-End-Geschäftsprozesse; Abhilfe: Scope-Definition an kwF und kritischen ICT-Diensten ausrichten.
Ergebnisse nicht nachverfolgt: Findings bleiben offen; Abhilfe: Remediation-Plan mit Fristen, Verantwortlichen und monatlichem Status-Reporting.
ISO/IEC 27001:2022: A.5.7 Threat Intelligence, A.5.8 Information Security in Project Management, A.5.24 Planung und Vorbereitung auf Informationssicherheitsvorfälle, A.5.26 Reaktion auf Informationssicherheitsvorfälle, A.8.8 Management of Technical Vulnerabilities, A.8.16 Überwachung von Aktivitäten.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen für Bedrohungsinformation, Projektmanagement, Vorbereitung auf Vorfälle und Schwachstellenmanagement — essenziell für wirksames TLPT.

A.5.7 Threat Intelligence
A.5.8 Information Security in Project Management
A.5.24 Planung und Vorbereitung auf Informationssicherheitsvorfälle
A.5.26 Reaktion auf Informationssicherheitsvorfälle
A.8.8 Management of Technical Vulnerabilities
A.8.16 Überwachung von Aktivitäten

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA — TLPT Stand: Abruf 2026-05-04
EBA: TLPT Framework Guidelines Stand: Abruf 2026-05-04
DORA Verordnung (EU) 2022/2554 — Art. 26 Stand: Abruf 2026-05-04

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.