Neue Anforderungen für Pentests und TLPT (2025)

Neue Anforderungen für Pentests und TLPT (1)

Was Sie über TLPT-Pentests nach DORA wissen müssen

Ein Überblick

Mit dem 17.01.2025 wird DORA für den Finanzsektor verpflichtend. Im Gegensatz zu anderen Richtlinien wie NIS2, ISO27001 oder TISAX stellt DORA klare Anforderungen an Pentests und Sicherheitstests. Diese Anforderungen sind genau festgelegt und müssen eingehalten werden.

Die Durchführung eines TLPT, wie von DORA verlangt, unterliegt strengen Vorgaben. Es ist deutlich komplexer als normale Pentests. Neben der DORA-Richtlinie gibt es daher für TLPT einen eigenen technischen Regulierungsstandard (im folgenden RTS):

In diesem Blogeintrag werden wir daher die häufigsten Fragen zum Thema „Digital Operational Resilience Testing“ nach DORA beantworten.

Welche Arten von Sicherheitstests schreibt DORA vor?

Mit dem 17.01.2025 wird DORA für den Finanzsektor verpflichtend. Im Gegensatz zu anderen Richtlinien wie NIS2, ISO27001 oder TISAX stellt DORA klare Anforderungen an Pentests und Sicherheitstests. Diese Anforderungen sind genau festgelegt und müssen eingehalten werden.

Die Durchführung eines TLPT, wie von DORA verlangt, unterliegt strengen Vorgaben. Es ist deutlich komplexer als normale Pentests. Neben der DORA-Richtlinie gibt es daher für TLPT einen eigenen technischen Regulierungsstandard (im folgenden RTS):

In diesem Blogeintrag werden wir daher die häufigsten Fragen zum Thema „Digital Operational Resilience Testing“ nach DORA beantworten.

Neue Anforderungen für Pentests und TLPT (2)

Vulnerability Assessments

Das sind primär automatisierte Scans mit Schwachstellenscanner wie Nessus, Rapid7 und OpenVAS

Neue Anforderungen für Pentests und TLPT (3)

Penetration Testing

Dabei handelt es sich vor allem um aktive Tests einzelner Systeme oder Infrastrukturen. Das Ziel ist es, so viele Schwachstellen wie möglich zu finden, indem verschiedene Angriffstechniken angewendet werden.

Neue Anforderungen für Pentests und TLPT (5)

Network Security Assessments und GAP-Analysen

Das sind primär Konfigurationsaudits von einzelnen Netzwerksystemen (wie z.B. Active Directory, Windows Client, Exchange-Server, Firewalls, etc.)

Neue Anforderungen für Pentests und TLPT (6)

Physical Security Reviews

Das kann eine technische Analyse von Schwachstellen in Zutrittskontrollsystemen wie RFID-, Bluetooth- oder NFC-Schnittstellen sein. Es kann auch eine aktive Angriffssimulation sein. Dabei wird versucht, mithilfe von Social Engineering in das Firmengebäude zu gelangen.

Neue Anforderungen für Pentests und TLPT (7)

Source Code Reviews

Das sind passive Analysen des Quellcodes einer Anwendung. Sie können zusätzlich oder als Alternative zu einem Anwendungspenetrationstest genutzt werden, wenn es sinnvoll ist.

Neue Anforderungen für Pentests und TLPT (8)

Source Code Reviews

Das sind passive Analysen des Quellcodes einer Anwendung. Sie können zusätzlich oder als Alternative zu einem Anwendungspenetrationstest genutzt werden, wenn es sinnvoll ist.

Zusätzlich erwähnt das DORA-Framework unter anderem den Einsatz von Open Source Analysen, Fragebögen und Applikationsscannern.

Für welche Unternehmen gilt die DORA-Richtlinie?

DORA gilt für alle beaufsichtigten Institute und Unternehmen des Finanzsektors (sog. Finanzunternehmen) in der EU sowie darüber hinaus für Unternehmen, die IKT-Dienstleistungen für Unternehmen des Finanzsektors erbringen (sog. IKT-Drittdienstleister).

Dazu gehören Kreditinstitute, Zahlungsinstitute sowie Versicherungs- und Rückversicherungsunternehmen. Auch E-Geld-Institute, zentrale Depotverwalter und Handelsplätze mit elektronischen Handelssystemen sind betroffen.

Welche DORA-pflichtigen Unternehmen sind verpflichtet, Sicherheitstests durchzuführen?

Unter der DORA-Richtlinie sind alle Finanzunternehmen verpflichtet, grundlegende Sicherheitstests durchzuführen. Kleinstunternehmen mit weniger als 10 Mitarbeitenden oder einem Jahresumsatz von unter 2 Millionen Euro müssen diese Tests ebenfalls umsetzen, jedoch nach einem eigenen risikobasierten Ansatz. Sie haben mehr Spielraum und unterliegen nicht den strikten Vorgaben wie grössere Unternehmen. Die Durchführung eines TLPT (Threat-Led Penetration Test) ist hingegen nur für Unternehmen verpflichtend, die eine besondere Relevanz für den Finanzsektor haben und bestimmte Umsatz- oder Einnahmekriterien erfüllen.

Welche Kriterien müssen erfüllt sein, damit ein TLPT verpflichtend ist?

Grundsätzlich beschränkt sich die Pflicht für TLPT auf Unternehmen, die eine wichtige Schlüsselposition im Finanzsektor einnehmen. Folgende Unternehmen sind explizit von der TLPT Pflicht ausgenommen (DORA Art 26 (1) und Art 16 (1)):

  • Kleinstunternehmen
  • Kleine und nicht verflochtene Wertpapierfirmen
  • Zahlungsinstitute, die gemäss der Richtlinie (EU) 2015/2366 ausgeschlossen sind
  • E-Geld-Institute, die gemäss der Richtlinie 2009/110/EG ausgeschlossen sind
  • Kleine Einrichtungen der betrieblichen Altersversorgung.

Für alle anderen Finanzunternehmen gilt, dass die zuständige Aufsichtsbehörde (BaFin, EZB oder Börsenaufsichtsbehörden) Unternehmen ermittelt, die einen TLPT durchzuführen haben und diese rechtzeitig kontaktiert, um sie a) über die Verpflichtung zu informieren und b) zu gegebener Zeit den Testprozess anzustossen. Bei dieser Entscheidung werden sowohl quantitative Kriterien als auch qualitative Kriterien zugrunde gelegt, die im Folgenden kurz zusammengefasst werden:

Neue Anforderungen für Pentests und TLPT (9)

Quantitative Kriterien

Der RTS zu TLPT definiert folgende Schwellenwerte von unterschiedlichen Unternehmenstypen, die erreicht werden müssen, um TLPT pflichtig zu sein (RTS Art 26 (1)).

UnternehmenKriterien
Kreditinstitute
  1. Global systemrelevante Institute (G-SIIs) oder
  2. andere systemrelevante Institute (O-SIIs).
ZahlungsinstituteGesamtwert der Zahlungstransaktionen > 150 Milliarden Euro.
E-Geld-Institute
  1. Gesamtwert der Zahlungstransaktionen > 150 Milliarden Euro oder
  2. Gesamtwert des ausstehenden E-Geldes > 40 Milliarden Euro.
ZentralverwalterAlle zentralen Depotverwalter.
ZentralgegenparteienAlle zentralen Gegenparteien.
Handelsplätze
  1. Höchster Marktanteil bei bestimmten Wertpapieren (nationaler Ebene) oder
  2. Marktanteil bei bestimmten Wertpapieren > 5% (Unionsebene)
Versicherungs- und Rückversicherungsunternehmen

Wenn alle 3 Kriterien erfüllt sind:

  1. Bruttobeitragseinnahmen (GWP) > 1,5 Milliarden Euro,
  2. Technische Rückstellungen > 10 Milliarden Euro,
  3. Lebensversicherer mit Gesamtaktiva > 3,5% der Gesamtaktiva aller Versicherungs- und Rückversicherungsunternehmen im Mitgliedstaat.

Oder wenn eines der folgenden Kriterien erfüllt ist

  1. Bruttobeitragseinnahmen (GWP) > 3 Milliarden Euro,
  2. Technische Rückstellungen > 30 Milliarden Euro,
  3. Gesamtaktiva > 10% der Gesamtaktiva aller Versicherungs- und Rückversicherungsunternehmen im Mitgliedstaat.

Qualitative Kriterien

Zusätzlich zu den qualitativen Kriterien bewerten die Behörden auch die Systemrelevanz und das ICT-Risiko der einzelnen Finanzunternehmen, wodurch die Behörden mehr Handlungsspielraum und Flexibilität erlangen (RTS Art 26 (2,3)):

Grösse und Systemrelevanz:

  • Grösse des Unternehmens:
    Berücksichtigung der Marktposition auf nationaler und EU-Ebene, der angebotenen Dienstleistungen und des Marktanteils.
  • Vernetzung:
    Ausmass und Art der Vernetzung mit anderen Finanzunternehmen auf nationaler und EU-Ebene.
  • Kritikalität der Dienstleistungen:
    Bedeutung der angebotenen Dienstleistungen für den Finanzsektor.
  • Substituierbarkeit:
    Möglichkeit, die Dienstleistungen durch andere Anbieter zu ersetzen.
  • Komplexität des Geschäftsmodells:
    Anzahl der Geschäftsmodelle und die Vernetzung der Geschäftsprozesse.

ICT-Risiko:

  • Risikoprofil:
    Allgemeines Risikoprofil des Unternehmens.
  • Bedrohungslandschaft:
    Aktuelle Bedrohungslage für das Unternehmen.
  • Abhängigkeit von ICT-Systemen:
    Grad der Abhängigkeit kritischer Funktionen von ICT-Systemen.
  • Komplexität der ICT-Architektur:
    Komplexität der ICT-Infrastruktur des Unternehmens.
  • ICT-Drittanbieter:
    Anzahl und Art der Verträge mit ICT-Drittanbietern.
  • Ergebnisse von Aufsichtsprüfungen:
    Ergebnisse relevanter Aufsichtsprüfungen zur Bewertung der ICT-Reife.
  • Reifegrad der ICT-Business-Continuity-Pläne:
    Reifegrad der Pläne zur ICT-Business-Continuity und zur Reaktion und Wiederherstellung.
  • Sicherheitsmassnahmen:
    Fähigkeit, die ICT-Infrastruktur kontinuierlich zu überwachen und auf Ereignisse in Echtzeit zu reagieren.

Wie oft und wann müssen die Tests durchgeführt werden?

Für die grundlegenden Sicherheitstests betrachtet DORA ICT-Systeme und Applikationen, die laut Risikomanagement kritische oder wichtige Funktionen unterstützen, gesondert. Diese kritischen oder wichtigen Systeme müssen

  • Mindestens 1x im Jahr angemessen getestet werden (DORA Art 24 (6))
  • Bei jedem (Re-)Deployment muss mind. ein Vulnerability Assessment erfolgen (Art 25 (2))

Für nicht kritische ICT-Systeme und Anwendungen gilt: Die Anzahl und Intensität der Tests müssen immer an die Grösse, die Aktivitäten und das Risikoprofil des Unternehmens angepasst sein (DORA Art 4 (2)).

Ein TLPT muss mindestens alle 3 Jahre durchgeführt werden. Die Deutsche Bundesbank bzw. die zuständige Behörde kann dabei die Häufigkeit je nach Risikoprofil erhöhen oder reduzieren (DORA Art 26 (1)).

Wer darf bzw. muss die Durchführung der Tests übernehmen?

Die grundlegenden Sicherheitstests müssen von einer unabhängigen Partei durchgeführt werden. Laut DORA kann das ein externer Dienstleister oder eine interne Abteilung sein, solange

  • genügend Ressourcen vorhanden sind und
  • keine Interessenskonflikte bestehen (DORA Art 24 (5)).

Für TLPT gelten strengere Auflagen. Interne Mitarbeiter dürfen hier nur unter bestimmten Umständen eingesetzt werden. Spätestens jeder dritte TLPT muss komplett von einem externen Dienstleister durchgeführt werden (DORA Art 26 (8)). Finanzunternehmen, die gemäss DORA Art 6 (4) als bedeutend eingestuft werden, dürfen TLPT ausschliesslich durch externe Dienstleister durchführen.

Wenn interne Mitarbeiter in einem TLPT eingesetzt werden sollen, ist dies nur in der Red Team Phase möglich. Für die Threat Intelligence Phase eines TLPTs müssen immer externe Dienstleister herangezogen werden (DORA Art 27 (2c)). Bei der Auswahl eines externen Dienstleisters gelten strenge Anforderungen, z.B. müssen

  • Geeignete Zertifizierungen
  • Mehrjährige Berufserfahrung im Bereich Red Teaming (5 Jahre beim Red Team Test Manager, 2 Jahre bei weiteren Red Team Mitglieder) sowie
  • 5 Referenzprojekte existieren.

Detaillierte Anforderungen können dem RTS Art 5 (2 e, f) entnommen werden sowie DORA Art 27 (1). Beim Einsatz von internen Testern müssen die internen Tester von der Bundesbank genehmigt werden. Interne Tester dürfen nur in der Red-Team-Phase eingesetzt werden. In der Threat-Intelligence-Phase sind sie nicht erlaubt (DORA Art 27 (2c)). Zudem müssen bei internen Mitarbeitern unter anderem folgende Anforderungen sichergestellt sein

  • Red Team muss aus mind. 1x Red Team Test Lead und 2x weiteren Red Team Mitglieder bestehen
  • Mitarbeiter müssen in den letzten 12 Monaten in dem Unternehmen angestellt gewesen sein
  • Mitarbeiter müssen nachweislich durch Fortbildungen geschult sein, wie man derartige Red Team Tests durchführt
  • Der Einsatz interner Mitarbeiter im TLPT darf die Verteidigungsfähigkeiten des Unternehmens nicht beeinträchtigen. Falls ein echter Sicherheitsvorfall gleichzeitig auftritt, muss das Unternehmen trotzdem handlungsfähig bleiben.

Detaillierte Anforderungen zu internen Testern sind dem RTS Art 13 zu entnehmen. Bei der Durchführung von TLPT müssen die Teams für Threat Intelligence, Red Team und Blue Team streng voneinander getrennt sein. So dürfen beim Einsatz von internen oder externen Mitarbeitern keine Verbindung zu internen Blue-Team-Aktivitäten bestehen.

Wie lange dauert ein TLPT im Vergleich zu einem grundlegenden Pentest?

Ein grundlegender Pentest eines spezifischen Systems oder Anwendung dauert in der Regel zwischen 4 und 10 Tagen. Die Red-Team-Phase in einem TLPT muss mindestens 12 Wochen dauern (RTS Art 10 (5)). Zusammen mit der Threat-Intelligence-Phase kann ein TLPT daher 5 bis 6 Monate in Anspruch nehmen.

Zusätzlich gibt es interne Vorbereitungen, wie das Erstellen des Scope Specification Documents. Auch die Nachbereitung, wie der Blue Team Report, gehört dazu.

Was muss ein Unternehmen bis 17.01.2025 tun, um den Anforderungen gerecht zu werden?

Finanzunternehmen, die als Kleinstunternehmen einzustufen sind, sind grundsätzlich davon ausgenommen, einen ausführlichen Testplan nach DORA Art 24 (1) zu erstellen. Diese müssen vielmehr einen risikobasierten Ansatz nach DORA Art 26 (3) verfolgen, um punktuell angemessene Sicherheitstests durchzuführen.

Alle anderen Finanzunternehmen müssen folgende Punkte bis 17.01.2025 umgesetzt haben:

  • Identifikation von allen Systemen, Prozessen und Technologien, die kritische oder wichtige Funktionen und IKT-Dienstleistungen unterstützen. Dies betrifft auch an Dritte ausgelagerte Systeme und Prozesse (DORA Art 26 (2) ). Dies ist nicht nur notwendig für die Vorbereitung eines TLPT, sondern auch zur Erstellung eines Testplans hinsichtlich der grundlegenden Sicherheitstests.
  • Erstellung eines Testplans für grundlegende Sicherheitstests, der die Testarten, Tools und Methoden beschreibt (DORA Art 24 (1,2) )
  • Erstellung von Richtlinien zur Priorisierung und Behebung von Schwachstellen. Dazu gehört ein etabliertes Modell zur Risikobewertung (z.B. CVSS oder Risikomatrix), Behebungsfristen und ein zentrales Tracking von Schwachstellen sowie Überführung in das Risikomanagement (DORA Art 24 (5))
  • Prüfung der Pflicht zur Durchführung von TLPT. Wenn in den letzten 2 Jahren ein freiwilliger TIBER-Test durchgeführt wurde, kann dieser angerechnet werden und befreit von der Pflicht, zeitnah einen erneuten TLPT durchzuführen.

Wie kann die fernao security force unterstützen?

Durchführung der grundlegenden Tests

Mit unseren 50 Security-Experten decken wir eine breite Palette an Pentest-Typen ab. Zudem haben wir Erfahrung im Bereich Finanzen und Versicherungen und unterstützen hier bereits viele DAX-Konzerne aus der DACH-Region. Weitere Informationen zu unseren Pentest-Leistungen finden Sie hier: Pentests

Durchführung von TLPT

Wir übernehmen für Sie sowohl die Threat Intelligence- als auch die Red-Team-Phase. So bieten wir TLPT aus einer Hand, basierend auf den Vorgaben der Deutschen Bundesbank. Mit unserer jahrelangen Erfahrung in TIBER und TLPT sind wir seit 20 Jahren ein zuverlässiger Partner für Banken und Versicherungen.

Managed Pentest und Schwachstellentracking

Neben der Durchführung von Pentests unterstützen wir auch bei der Planung und Vorbereitung und entlasten Ihre internen Ressourcen. Wir erstellen für Sie nicht nur den Testplan, sondern übernehmen mit einer eigens entwickelten Plattform auch das Schwachstellentracking für Sie. So haben Sie stets einen zentralen Blick auf den aktuellen Stand der Befunde und deren Behebung.

DORA-Beratung

Unser eigenes Security Consulting Team berät unsere Kunde im Bereich Governance und Compliance und ist mit allen gängigen Sicherheitsnormen wie ISO27001, TISAX, NIS2, VAIT, BAIT und DORA vertraut.

Risikomanagement

Unser eigenes Security Consulting Team unterstützt Sie bei der Identifizierung Ihrer kritischen Systeme und Funktionen und erstellt mit Ihnen ggf. das “Scope Specification Document”.

TLPT-Beratung Control Team (TIBER: White Team)

Als etablierter Experte und Dienstleiser für TLPT beraten wir Sie gerne vorbereitend und nachgelagert zu einem TLPT und bringen unsere Erfahrungen aus dem TIBER- / TLPT-Umfeld bei Ihnen ein.
Kontakt aufnehmen

Quellen:

1 DORA Richtlinie (DE)

2 DORA Richtlinie (EN)

3 RTS für TLPT (EN) - (Zum Zeitpunkt des Blog-Eintrag handelte sich dabei um den am 17.07.24 erstellten finalen Entwurf des RTS)

< Zurück zur Übersicht
Home | Insights | Blog | DORA ab 2025: Alle Infos zu den neuen Anforderungen für Pentests und TLPT
Neue Anforderungen für Pentests und TLPT (2025)
Top Articles
Latest Posts
Recommended Articles
Article information

Author: Moshe Kshlerin

Last Updated:

Views: 5364

Rating: 4.7 / 5 (77 voted)

Reviews: 92% of readers found this page helpful

Author information

Name: Moshe Kshlerin

Birthday: 1994-01-25

Address: Suite 609 315 Lupita Unions, Ronnieburgh, MI 62697

Phone: +2424755286529

Job: District Education Designer

Hobby: Yoga, Gunsmithing, Singing, 3D printing, Nordic skating, Soapmaking, Juggling

Introduction: My name is Moshe Kshlerin, I am a gleaming, attractive, outstanding, pleasant, delightful, outstanding, famous person who loves writing and wants to share my knowledge and understanding with you.