TLPT (Bedrohungsgeleitete Penetrationstests)

Bedrohungsgeleitete Penetrationstests (TLPT) stellen die fortschrittlichste und rigoroseste Form von Sicherheitstests dar, die unter dem Digital Operational Resilience Act (DORA) vorgeschrieben sind. In den Artikeln 26 und 27 verankert, geht TLPT weit über konventionelle Penetrationstests hinaus, indem Finanzunternehmen verpflichtet werden, realistische, nachrichtendienstlich gesteuerte Angriffsszenarien gegen ihre produktiven Systeme zu simulieren. Das Grundprinzip hinter TLPT ist, dass die Verteidigungsfähigkeiten einer Organisation nur dann wirklich validiert werden können, wenn sie gegen die tatsächlichen Taktiken, Techniken und Verfahren (TTPs) getestet werden, die reale Bedrohungsakteure gegen dieses spezifische Unternehmen einsetzen würden.

DORAs TLPT-Framework ist explizit mit dem TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming) der Europäischen Zentralbank abgestimmt. TIBER-EU wurde ursprünglich 2018 als freiwilliges Framework für die Prüfung der Cyber-Resilienz von Finanzinstituten in Europa eingeführt. Mehrere EU-Mitgliedstaaten hatten bereits nationale Implementierungen eingeführt -- TIBER-DE in Deutschland, TIBER-NL in den Niederlanden, TIBER-BE in Belgien -- bevor DORA bedrohungsgeleitete Tests zu einer gesetzlichen Anforderung machte. DORA Artikel 26(11) legt ausdrücklich fest, dass TLPT im Einklang mit dem TIBER-EU-Framework durchzuführen ist.

Der Geltungsbereich von TLPT unter DORA betrifft speziell Finanzunternehmen, die von ihren zuständigen Behörden als bedeutend identifiziert werden. Nicht jedes Finanzinstitut muss TLPT durchführen -- die Anforderung zielt auf Unternehmen ab, deren Ausfall oder operative Störung systemische Auswirkungen haben könnte. Zuständige Behörden wie die BaFin in Deutschland identifizieren auf Basis von Faktoren wie systemischer Bedeutung, Art und Komplexität der IKT-gestützten Dienste, dem IKT-Risikoprofil und der Vernetzung mit anderen Finanzunternehmen, welche Institute in den Anwendungsbereich fallen.

Der TLPT-Prozess ist in drei unterschiedliche Phasen gegliedert, jede mit spezifischen Ergebnissen und Governance-Anforderungen. Die erste Phase ist die Threat-Intelligence-Phase. Ein qualifizierter Threat-Intelligence-Anbieter führt eine detaillierte Analyse der spezifischen Bedrohungslandschaft des Finanzunternehmens durch. Dies umfasst die Identifikation der relevantesten Bedrohungsakteure, die Analyse ihrer bekannten TTPs, die Kartierung der externen Angriffsfläche und die Entwicklung gezielter Angriffsszenarien. Der Threat-Intelligence-Bericht muss von der zuständigen Behörde geprüft und validiert werden, bevor die Tests beginnen.

Die zweite Phase ist die Red-Team-Testing-Phase, die den Kern der TLPT-Übung darstellt. Basierend auf den in der Threat-Intelligence-Phase entwickelten Szenarien versucht ein qualifiziertes Red Team, die kritischen oder wichtigen Funktionen des Unternehmens mit Techniken zu kompromittieren, die reale Angriffe widerspiegeln. Diese Tests müssen auf produktiven Systemen durchgeführt werden, um sicherzustellen, dass die Ergebnisse die tatsächliche Sicherheitslage widerspiegeln. Das Red Team operiert verdeckt, wobei das Wissen über die Übung auf ein kleines Kontrollteam beschränkt ist. Das Blue Team wird bewusst nicht informiert, damit seine Erkennungs- und Reaktionsfähigkeiten echt getestet werden können. Die Red-Team-Phase umfasst typischerweise 8 bis 12 Wochen.

Die dritte Phase ist die Abschlussphase, die umfassende Analyse, Behebungsplanung und regulatorische Berichterstattung umfasst. Nach Abschluss der Tests erstellt das Red Team einen detaillierten Bericht über alle versuchten Angriffspfade, welche erfolgreich waren und welche erkannt wurden, die ausgenutzten Schwachstellen und die Gesamtbewertung der Verteidigungsfähigkeiten. Eine Purple-Team-Übung wird dann durchgeführt, bei der Red Team und Blue Team gemeinsam jedes Szenario durchgehen. Das Unternehmen muss einen Behebungsplan entwickeln, der der zuständigen Behörde vorgelegt werden muss.

DORA schreibt vor, dass betroffene Unternehmen TLPT mindestens alle drei Jahre durchführen. Die zuständige Behörde kann diese Frequenz jedoch anpassen -- häufigere Tests für hochsystemische Institute oder längere Intervalle für Unternehmen mit nachweislich starker Resilienz. Jeder neue TLPT-Zyklus muss alle von der zuständigen Behörde identifizierten kritischen oder wichtigen Funktionen abdecken.

Die Anforderungen an qualifizierte TLPT-Tester sind bewusst streng. DORA Artikel 27 verlangt, dass externe Tester die Red-Team-Tests durchführen, mit begrenzten Ausnahmen für interne Tests unter strengen Auflagen. Externe Tester müssen anerkannte Zertifizierungen im Bereich Penetrationstests und Red Teaming besitzen, eine angemessene Berufshaftpflichtversicherung haben und relevante Erfahrung in bedrohungsgeleiteten Tests von Finanzsektor-Unternehmen nachweisen. Wichtig ist, dass dieselbe Testfirma nicht für mehr als drei aufeinanderfolgende TLPT-Engagements eingesetzt werden sollte.

Der Unterschied zwischen TLPT und regulären Penetrationstests ist grundlegend. Standard-Penetrationstests konzentrieren sich auf die Identifikation technischer Schwachstellen in bestimmten Systemen. TLPT ist hingegen zielgetrieben statt schwachstellengetrieben. Das Ziel des Red Teams ist nicht, jede Schwachstelle zu finden, sondern spezifische strategische Ziele zu erreichen, die ein echter Angreifer verfolgen würde. TLPT testet die gesamte Verteidigungskette -- von der Perimetersicherheit über Erkennung und Überwachung bis hin zur Incident Response und Entscheidungsfindung unter Druck.

Die praktische Implementierung von TLPT erfordert sorgfältige Planung und erhebliches organisatorisches Engagement. Finanzunternehmen sollten 6 bis 12 Monate für einen vollständigen TLPT-Zyklus einplanen, von der initialen Scope-Definition bis zur Verifizierung der Behebungsmaßnahmen. Die Kosten eines typischen TLPT-Engagements für ein mittelgroßes Finanzinstitut liegen zwischen 200.000 und 500.000 Euro, abhängig von Umfang und Komplexität. Dies umfasst die Threat-Intelligence-Bewertung, das Red-Team-Engagement, den Purple-Team-Workshop und die umfassende Berichterstattung. Diese Kosten müssen gegen die potenziellen Auswirkungen eines erfolgreichen Cyberangriffs abgewogen werden, die leicht zweistellige Millionenbeträge an direkten Verlusten, regulatorischen Strafen und Reputationsschäden erreichen können.