DORA TLPT erklärt - Anforderungen, Ablauf & TIBER

Was ist TLPT?

Threat-Led Penetration Testing (TLPT) ist die anspruchsvollste Teststufe, die der Digital Operational Resilience Act (DORA) für den europäischen Finanzsektor vorsieht: ein verdecktes, Threat-Intelligence-basiertes Red Teaming Assessment gegen die produktiven Live-Systeme eines Finanzunternehmens.

DORA (Verordnung (EU) 2022/2554) gilt seit 17. Jänner 2025 unmittelbar in der gesamten EU. Während alle regulierten Finanzunternehmen ein laufendes Programm zum Testen der digitalen operationalen Resilienz betreiben müssen (Artikel 24/25), verlangt Artikel 26 von ausgewählten Unternehmen zusätzlich TLPT - also einen realen Angriffstest unter Aufsicht der Behörden.

Der Unterschied zu einem klassischen Penetrationstest: TLPT prüft nicht einzelne Systeme auf Schwachstellen, sondern die gesamte Verteidigungskette - Prävention, Detection und Response - gegen das Vorgehen realer Bedrohungsakteure.

Wer ist betroffen?

Nicht jedes DORA-regulierte Unternehmen muss TLPT durchführen. Die zuständigen Behörden benennen jene Finanzunternehmen, deren Ausfall das Finanzsystem gefährden würde. Kriterien sind unter anderem Systemrelevanz, Risikoprofil und die Bedeutung der erbrachten Dienstleistungen. Typischerweise betroffen:

  • Banken und Kreditinstitute mit signifikanter Marktposition
  • Versicherungen und Rückversicherungen
  • Zahlungs- und E-Geld-Institute mit hohem Transaktionsvolumen
  • Finanzmarktinfrastrukturen (Börsen, Zentralverwahrer, Clearing)

Benannte Unternehmen müssen mindestens alle drei Jahre ein TLPT durchführen; die Behörde kann den Rhythmus risikobasiert anpassen.

Was fordern Artikel 26 und 27?

Artikel 26 (Durchführung):

  • TLPT auf Live-Produktionssystemen, die kritische oder wichtige Funktionen unterstützen
  • Abdeckung mehrerer oder aller kritischen Funktionen des Unternehmens
  • Einbindung relevanter IKT-Drittdienstleister in den Test, sofern sie kritische Funktionen unterstützen
  • Threat-Intelligence-basiertes Vorgehen und behördliche Begleitung des Tests
  • Abschlussbericht, Gegenmaßnahmenplan und Bestätigung (Attestation) durch die Behörde

Artikel 27 (Anforderungen an Tester):

  • Höchste Eignung und Reputation, nachweisbare technische und organisatorische Fähigkeiten
  • Spezifische Expertise in Threat Intelligence, Penetration Testing und Red Teaming
  • Zertifizierungen bzw. die Einhaltung formaler Standards und Methodiken
  • Berufshaftpflichtversicherung und sauberes Risikomanagement
  • Der Threat Intelligence Provider muss extern sein; interne Red Teams sind nur unter engen Voraussetzungen zulässig - externe Spezialisten sind der Regelfall

TLPT und TIBER: Wie hängt das zusammen?

DORA definiert die Pflicht, TIBER liefert die Methodik. Das von der EZB entwickelte TIBER-EU-Framework wurde 2025 an DORA angepasst und ist der etablierte Weg, ein TLPT konform durchzuführen:

  • TIBER-EU - der europäische Rahmenstandard für Threat Intelligence-based Ethical Red Teaming
  • TIBER-AT - die österreichische Umsetzung unter Federführung der OeNB
  • TIBER-DE - die deutsche Umsetzung von Bundesbank und BaFin

Ein TIBER-konform durchgeführter Test erfüllt die TLPT-Anforderungen aus DORA. Die Details des Ablaufs - Phasen, Rollen, Dokumente - beschreibt unser TIBER-AT Guide.

Ablauf eines TLPT

  1. Preparation: Scoping der kritischen Funktionen, Benennung von White Team und Control Team, Auswahl der Provider.
  2. Threat Intelligence: Ein externer TI-Provider erstellt ein unternehmensspezifisches Bedrohungsbild und realistische Angriffsszenarien (ca. 4-6 Wochen).
  3. Red Teaming: Das Red Team führt die Szenarien verdeckt gegen die Produktivumgebung aus - Initial Access, Lateral Movement, Zielerreichung (aktive Phase: mindestens 12 Wochen gemäß TLPT-RTS).
  4. Closure & Replay: Gemeinsame Nachstellung der Angriffspfade mit dem Blue Team, Abschlussbericht, Maßnahmenplan und behördliche Attestation.

Wie slashsec bei DORA TLPT unterstützt

slashsec ist ein spezialisiertes Red Team aus Wien mit Fokus auf Adversary Simulations im DACH-Raum. Wir agieren in TLPT-Engagements als Red Team Provider: von der Szenarioentwicklung auf Basis der Threat Intelligence über die verdeckte Durchführung bis zu Replay-Workshop und Maßnahmenplan - TIBER-AT-konform und in enger Abstimmung mit White Team und Behörde.

Häufige Fragen zu DORA TLPT

Was ist DORA TLPT?
Die anspruchsvollste Teststufe von DORA: ein Threat-Intelligence-basiertes Red Teaming Assessment gegen die produktiven Live-Systeme eines Finanzunternehmens. DORA gilt seit 17. Jänner 2025 EU-weit.

Wer muss ein TLPT durchführen?
Nur von den Behörden benannte Finanzunternehmen - typischerweise größere Banken, Versicherungen, Zahlungsdienstleister und Finanzmarktinfrastrukturen. Benannte Unternehmen testen mindestens alle drei Jahre.

Was ist der Unterschied zwischen TLPT und TIBER?
DORA Artikel 26/27 definieren die rechtliche Pflicht, TIBER ist das operative Framework für die Durchführung. Ein TIBER-konformer Test erfüllt die TLPT-Anforderungen.

Wer darf das Red Team stellen?
Artikel 27 verlangt nachweisbare Eignung, Erfahrung, Methodik und Versicherung. Der Threat-Intelligence-Provider muss extern sein; das Red Team kann theoretisch intern sein, in der Praxis sind spezialisierte externe Red Teams der Regelfall.

Wie lange dauert ein TLPT und was kostet es?
Ein vollständiger Zyklus erstreckt sich über sechs bis neun Monate. Realistische Budgets beginnen bei etwa 150.000 EUR und steigen mit Scope und Komplexität.

TIBER-AT - Der Guide für Österreich
Red Teaming Anbieter im DACH-Raum
Red Teaming Services von slashsec

Red Teaming, Pentest oder Physical Security anfragen

slashsec ist ein spezialisiertes Red Team aus Wien - Einsätze in ganz DACH, TIBER-AT/DORA-konforme Assessments und höchste Zertifizierungsdichte im Team (OSCP, OSEP, OSWE, CRTO).

Kostenloses Erstgespräch vereinbaren

Alle Services im Überblick · Red Teaming Services · Kontakt