Wissen/Was bedeutet TLPT unter DORA?

Was bedeutet TLPT unter DORA?

DORA verpflichtet bestimmte Finanzunternehmen zu Threat-Led Penetration Testing (TLPT) nach TIBER-EU. Schwellwerte, Ablauf, Pflichten — Stand: 2026-05-16.

ComplyCheck-Redaktion · Stand: 2026-06-24

doratlpttiber-eupenetration-testingfinanzaufsicht

Was bedeutet TLPT unter DORA?

Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Was TLPT eigentlich ist

Threat-Led Penetration Testing ist eine bewusst realistische Sicherheitsübung: Ein externes Red-Team simuliert konkrete, gegen das eigene Unternehmen plausible Angriffsszenarien. Die Szenarien werden aus aktueller Threat Intelligence abgeleitet — also aus dokumentierten Vorgehensweisen realer Angreifergruppen, die im jeweiligen Sektor aktiv sind.

Der zentrale Unterschied zum klassischen Penetration-Test: Der Test läuft gegen produktive kritische Geschäftsfunktionen, nicht gegen Testumgebungen. Auf der Verteidigerseite wissen nur wenige Personen ("White Team"), dass der Angriff läuft. Das Security-Operations-Team (Blue Team) erfährt davon nichts — sonst würde der Test seine Aussagekraft verlieren.

Das Verfahren ist EU-weit standardisiert durch das TIBER-EU-Framework der Europäischen Zentralbank. DORA macht aus dem ursprünglich freiwilligen TIBER-Verfahren eine Pflicht für die erfassten Institute.

Hinweis

TLPT ist kein klassischer Pentest

Der Unterschied liegt in vier Dimensionen: (1) Test läuft gegen produktive kritische Systeme, nicht gegen Test-Umgebungen, (2) Szenarien stammen aus realer Threat Intelligence — also dokumentierten Vorgehensweisen aktiver Angreifergruppen, (3) Blue Team wird zu keinem Zeitpunkt informiert (nur ein kleines „White Team" weiß Bescheid), (4) die BaFin und die Bundesbank begleiten das Verfahren fachlich. Das ursprünglich freiwillige TIBER-EU-Framework der EZB wird durch DORA für signifikante Institute verpflichtend.

Wer ist TLPT-pflichtig?

Art. 26 Abs. 8 DORA verlangt die Festlegung der Auswahlkriterien durch die Joint Committee Regulatory Technical Standards. Maßgeblich sind unter anderem:

  • die Größe und das Risikoprofil des Finanzunternehmens
  • die Bedeutung für die Stabilität des Finanzsystems

Detail

  • der Sektor (Kreditinstitute, zentrale Gegenparteien, zentrale Wertpapierverwahrer haben höhere Wahrscheinlichkeit)
  • die Komplexität und Vernetzung der IKT-Systeme

In Deutschland trifft die endgültige Einstufung die BaFin durch direkte Mitteilung an die betroffenen Institute. Wer kein BaFin-Anschreiben erhalten hat, ist nicht TLPT-pflichtig. Eine pauschale Schwelle wie "Bilanzsumme > X Mrd. €" gibt es bewusst nicht — die Auswahl ist diskretionär.

Faustregel aus der Aufsichtspraxis: Die geschätzte Zahl TLPT-pflichtiger Institute in Deutschland liegt unter 100. Sparkassen, Volksbanken und kleinere Versicherer fallen in der Regel nicht darunter.

Ablauf eines TLPT-Tests

Ein vollständiger TLPT-Test dauert nach TIBER-EU-Methodik 6 bis 12 Monate und gliedert sich in drei Phasen:

1. Vorbereitungsphase (2-4 Monate)

  • Auswahl und Onboarding eines TLPT-Service-Providers nach den Anforderungen aus Art. 27 DORA
  • Festlegung der "kritischen Funktionen" durch das White Team
  • Beauftragung eines Threat-Intelligence-Providers zur Erstellung des Targeted Threat Intelligence Reports (TTI-Report)
  • Scoping-Workshop mit BaFin/Bundesbank

2. Test-Phase (3-6 Monate)

  • Red Team operiert unter Black-Box-Bedingungen
  • Reconnaissance, Initial Access, Lateral Movement, Privilege Escalation, Mission Objective
  • Mehrere Angriffsszenarien werden parallel oder seriell durchgespielt
  • Blue Team wird zu keinem Zeitpunkt informiert
  • White Team koordiniert und stoppt den Test bei akuten produktiven Risiken (Leg-Up-Mechanismus)

3. Closure-Phase (1-3 Monate)

  • Red-Team-Report mit detaillierten Findings und Reproduktionsschritten
  • Blue-Team-Replay: gemeinsame Auswertung mit dem operativen Sicherheitsteam
  • Remediation-Plan mit zeitlichen Maßnahmen
  • Abschlussbericht an die BaFin

TIBER-EU als verbindlicher Rahmen

Die RTS zu Threat-Led Penetration Testing verweisen explizit auf TIBER-EU als anerkannten Rahmen. Konkret bedeutet das:

  • TI-Provider und Red-Team-Provider müssen die EZB-Mindestanforderungen erfüllen (TIBER-EU Service Provider Procurement Guidelines)
  • Personalqualifikation: Red-Team-Mitglieder müssen anerkannte Zertifizierungen vorweisen (z. B. CREST CRTM, OSEP, GXPN — die genaue Liste ergibt sich aus den nationalen TIBER-Cyber-Team-Anforderungen)
  • Methodik: Reconnaissance- und Exploitation-Phasen müssen dem in TIBER-EU dokumentierten Vorgehen folgen
  • Dokumentation: Der finale Report folgt einem TIBER-EU-Template

Die BaFin und die Bundesbank haben ein gemeinsames TIBER-DE-Team als nationale TIBER-Cyber-Authority eingerichtet, das für die deutschen TLPT-Tests die fachliche Begleitung übernimmt.

Welche Pflichten ergeben sich konkret?

Für die erfassten Institute heißt das in der Praxis:

  • Mindestens alle drei Jahre einen vollständigen TLPT-Zyklus durchlaufen (Art. 26 Abs. 1 DORA)
  • Externe Provider beauftragen, deren Qualifikation den Vorgaben aus Art. 27 DORA entspricht

Detail

  • Test-Ergebnisse der BaFin vorlegen und an einem Pooled-Test teilnehmen, falls mehrere Institute dieselbe IKT-Infrastruktur teilen (Art. 26 Abs. 4)
  • Identifizierte Schwachstellen mit einem dokumentierten Remediation-Plan behandeln

Budgetrahmen aus Marktstandards: Ein vollständiger TLPT-Zyklus kostet üblicherweise €350.000 bis €1.200.000 — abhängig von Scope-Größe, TI-Anforderungen und Red-Team-Dauer.

Wer ist nicht TLPT-pflichtig?

Nicht-signifikante Finanzunternehmen müssen den regulären Resilience-Test-Katalog nach Art. 24-25 DORA durchführen — typischerweise jährlich. Der Katalog umfasst:

  • Vulnerability Assessments
  • Open-Source-Tests

Detail

  • Netzwerksicherheits-Bewertungen
  • Performance-Tests
  • End-to-End-Tests
  • Penetration Testing (klassisch, nicht TLPT)

Die Tiefe orientiert sich am Risikoprofil. Wer kein BaFin-Mitteilungsanschreiben zu TLPT erhalten hat, kann den klassischen Pentest weiterhin als Erfüllungs-Vehikel nutzen.

Achtung

TLPT ohne Pentest-Reife scheitert

Wer noch nie einen klassischen Pentest gemacht hat, sollte nicht direkt mit TLPT starten — das ist ein Sprung in die Tiefe, der ohne vorausgegangene Pentest-Reife meist scheitert. Plus: TLPT-Provider müssen die Art. 27 DORA-Qualifikationen und die TIBER-EU-Service-Provider-Anforderungen erfüllen (CREST CRTM, OSEP, GXPN). Klassische Pentest-Firmen erfüllen das selten — wer auf den Bestands-Anbieter setzt, verliert oft Monate. Sinnvolle Reihenfolge: Schwachstellen-Scans → klassischer Pentest → internes Red-Team → TLPT.

Abgrenzung zu klassischen Pentests

Klassische Penetration-Tests fokussieren auf technische Schwachstellen in einer abgegrenzten Test-Umgebung. Tester wissen typischerweise, welche Systeme im Scope sind; Verteidiger sind oft informiert. Ergebnis ist eine Liste technischer Findings mit Schwere-Klassifizierung.

TLPT erweitert das in mehreren Dimensionen:

  • Realitäts-Treue: produktive Systeme, nicht Test-Umgebungen
  • Threat-Intelligence-Basis: Szenarien aus realer Bedrohungs-Lage, nicht generische Pentest-Methoden
  • Verteidiger-Blindheit: Blue Team weiß nichts vom Test
  • Geschäfts-Sicht: nicht "Schwachstelle X gefunden", sondern "kritische Geschäftsfunktion Y wäre kompromittierbar"
  • Behörden-Begleitung: BaFin und Bundesbank sind Teil des Verfahrens

Wer noch nie einen klassischen Pentest gemacht hat, sollte nicht direkt mit TLPT starten — das ist ein Sprung in die Tiefe, der ohne vorausgegangene Pentest-Reife meist scheitert. Sinnvolle Reihenfolge: Schwachstellen-Scans → klassischer Pentest → Red-Team-Übung intern → TLPT.

Vorbereitung — was im Vorfeld stehen muss

Praxis-Tipp

Sechs Voraussetzungen vor dem TLPT-Start

Bevor der Test extern beauftragt wird, müssen diese Bausteine intern stehen: (1) Asset-Inventar der kritischen Geschäftsfunktionen mit dahinter liegenden Systemen, (2) dokumentierter Incident-Response-Prozess mit Eskalations-Pfaden, (3) Logging und Monitoring auf einem Reife-Grad, der Blue-Team-Erkennung überhaupt ermöglicht, (4) White-Team-Charta mit Test-Stopp-Recht, (5) Cyber-Versicherungs-Klausel und Anbieter vorab informieren, (6) Kommunikations-Plan für unbeabsichtigte Kunden-Auswirkungen.

Auch wenn der Test extern durchgeführt wird, muss das Institut vor TLPT-Start eine Reihe an Voraussetzungen erfüllen:

  • Asset-Inventar der kritischen Geschäftsfunktionen und der dahinter liegenden Systeme
  • Incident-Response-Prozess mit klaren Rollen und Eskalations-Pfaden
  • Logging und Monitoring auf einem Reife-Grad, der Blue-Team-Erkennung überhaupt ermöglicht
  • White-Team-Charta mit klaren Befugnissen, inklusive Test-Stopp-Recht
  • Versicherungs-Klausel zu Cyber-Vorfällen: viele Cyber-Versicherer wollen vorab informiert werden
  • Kommunikations-Plan für den Fall, dass der Test (von Blue Team unbemerkt) reale Kunden-Auswirkungen verursacht

FAQ

Ist TLPT für alle Banken in Deutschland Pflicht?

Nein. TLPT-pflichtig sind nur Finanzunternehmen, die von der BaFin nach den Joint-Committee-RTS als signifikant eingestuft werden. Die endgültige Auswahl erfolgt durch direkte Mitteilung der Aufsicht. Sparkassen und kleinere Privatbanken fallen in der Regel nicht darunter, müssen aber den regulären Resilience-Test-Katalog nach Art. 24-25 DORA erfüllen.

Wie oft muss TLPT durchgeführt werden?

Nach Art. 26 Abs. 1 DORA mindestens alle drei Jahre. Der Zeitraum kann durch die BaFin verkürzt werden, wenn das Risikoprofil oder nach einem signifikanten Vorfall eine kürzere Kadenz angezeigt ist.

Was kostet ein TLPT-Test?

Marktübliche Bandbreite liegt zwischen €350.000 und €1.200.000 für einen vollständigen Zyklus. Maßgeblich sind Scope, Anzahl der getesteten kritischen Funktionen, Threat-Intelligence-Tiefe und Red-Team-Wochen. Hinzu kommen interne Aufwände im White Team und Remediation-Budget.

Darf ich meinen eigenen Pentest-Anbieter weiter nutzen?

Nur wenn er die in Art. 27 DORA und den TIBER-EU-Service-Provider-Anforderungen genannten Qualifikationen erfüllt — TI-Capabilities, Red-Team-Zertifizierungen, dokumentierte Haftung. In der Praxis erfüllen das nur spezialisierte TLPT-Provider, klassische Pentest-Firmen kommen für TLPT meist nicht in Frage.

Wer im Unternehmen muss vom Test wissen?

So wenige wie möglich. Das "White Team" — typischerweise CIO, CISO und ein kleiner Kreis aus Risk und Recht — koordiniert den Test. Das operative Security-Operations-Team (Blue Team) erfährt erst im Closure-Replay davon. Diese Trennung ist Teil des TIBER-EU-Designs und schützt die Validität der Ergebnisse.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 24. Juni 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.