TLPT: Threat-Led Penetration Testing nach DORA Art. 26 — Anforderungen und Vorbereitung

TLPT (Threat-Led Penetration Testing) ist der neue DORA-Pflichtstandard für systemrelevante Finanzinstitute. Geregelt in DORA Art. 26 und konkretisiert durch die delegierten Verordnung (EU) 2024/1774 (RTS zu TLPT), ersetzt TLPT den bisherigen TIBER-EU-Ansatz als einheitlichen EU-weit geltenden Standard. Im Gegensatz zu klassischen Penetrationstests basiert TLPT auf spezifischer Threat Intelligence über das jeweilige Institut und testet realistische Angriffszenarien gegen die Produktionsumgebung. Dieser Leitfaden erklärt die Pflichten, den Ablauf, die Kosten und wie Sie Ihr Institut mit einem Standard-Pentest optimal vorbereiten.

TLPT-Vorbereitung starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum TLPT mehr ist als ein klassischer Penetrationstest

Ein klassischer Penetrationstest folgt einem vordefinierten, engen Scope und nutzt generische Angriffsmuster (OWASP Top 10, bekannte CVEs). TLPT geht fundamental anders vor: Startpunkt ist immer eine individuelle Threat-Intelligence-Analyse, die spezifisch für das zu prüfende Institut erstellt wird — basierend auf aktuellen Angreifergruppen, die gegen den Finanzsektor und das spezifische Institut aktiv sind, deren TTPs (Taktiken, Techniken, Prozeduren aus dem MITRE ATT&CK-Framework) und geografischen Risikofaktoren. Erst auf Basis dieser Intelligence definiert das akkreditierte Red-Team die Angriffssimulation. TLPT testet nicht nur 'können Angreifer eindringen', sondern 'kann unser SOC einen sophistizierten Angriff detektieren, klassifizieren und eindämmen — bevor kritische Assets kompromittiert sind'. Die delegierte Verordnung (EU) 2024/1774 (Regulatory Technical Standards zu TLPT) legt fest, welche Kriterien CTI-Anbieter und Red-Team-Anbieter erfüllen müssen, welche Phasen verpflichtend sind und wie die Koordination mit der zuständigen Behörde (BaFin/EZB) abläuft.

DORA Art. 26 Abs. 1: TLPT-Pflicht mindestens alle drei Jahre für 'bedeutende' Finanzinstitute (systemrelevante Banken, bedeutende Versicherer, zentrale Infrastrukturdienstleister des Finanzsektors).
RTS (EU) 2024/1774 Artikel 3–8: Präzise Anforderungen an TLPT-Tests — (1) CTI-Phase: individueller Threat-Intelligence-Report durch akkreditierten Provider, (2) Red-Team-Phase: Angriff auf Produktionsumgebung durch akkreditierten Anbieter, (3) Purple-Teaming-Phase: gemeinsame Analyse Blue/Red Team, (4) Abschluss-Report an zuständige Behörde.
Wesentlicher Unterschied TLPT vs. Art. 24 Pentest: Art. 24 gilt für alle Finanzunternehmen, ist risikobasiert skalierbar und kann mit einer KI-Pentest-Plattform wie Matproof Sentinel erfüllt werden. Art. 26 TLPT gilt nur für systemrelevante Institute, erfordert EZB-akkreditierte Anbieter und kostet ein Vielfaches.
Scope TLPT (RTS Art. 4): Mindestens die kritischsten Kernfunktionen des Instituts ('critical functions', gem. DORA Art. 3 Abs. 1 Nr. 22) sowie die wichtigsten IKT-Systeme und Drittanbieter, die diese Funktionen unterstützen.
Keine Ankündigung an operative Teams: Das TLPT-Kontrollteam (TLPT Cyber Team, TCT) besteht aus max. 5 Personen — alle anderen Mitarbeiter des Instituts, inkl. SOC und IT-Operations, wissen nicht, dass ein Red-Team-Test stattfindet. Dies ist zentrales Qualitätsmerkmal.
Behördliche Koordination (RTS Art. 9–11): Die zuständige Behörde (BaFin für national bedeutende Institute, EZB für bedeutende Institute) muss den TLPT-Plan vor Beginn genehmigen und hat das Recht, den Test zu begleiten und zu beobachten.
Gegenseitige Anerkennung (DORA Art. 26 Abs. 6): Ein TLPT in einer EU-Jurisdiktion kann für Zweigniederlassungen in anderen EU-Ländern anerkannt werden — Absprache zwischen den nationalen Aufsichtsbehörden erforderlich.

TLPT-Phasen und Prüfinhalte im Detail

Phase 1 — Scoping und CTI-Beauftragung (RTS Art. 4–5): Definition der kritischen Funktionen, Asset-Inventar der in-scope IKT-Systeme, Auswahl akkreditierter CTI-Provider (TIBER-EU-Anbieter oder EZB-gelistet), Genehmigungsantrag bei BaFin/EZB.
Phase 2 — CTI-Report-Erstellung (4–6 Wochen, RTS Art. 6): Akkreditierter CTI-Anbieter analysiert: aktive Bedrohungsakteure für den Finanzsektor (APT-Gruppen, Ransomware-Operatoren, Insider-Bedrohungen), spezifische TTPs basierend auf MITRE ATT&CK for Financial Services, gezielte OSINT-Analyse des Instituts (Technologie-Footprint, exponierte Assets, öffentliche Informationen). Ergebnis: Custom Threat Intelligence Report.
Phase 3 — Red-Team-Angriff (8–12 Wochen, RTS Art. 7): Akkreditiertes Red Team führt vollständige Angriffssimulation durch: Initial Access (Phishing, Exploitation), Persistence, Privilege Escalation, Lateral Movement, Impact (Zugriff auf kritische Assets) — ausschließlich gegen Produktionsumgebung.
Realistische Angriffsvektoren basierend auf CTI: Spear-Phishing gegen identifizierte C-Level-Mitarbeiter, Exploitation aktiver CVEs in verwendeter Software (z.B. CVE-2024-3400 Palo Alto PAN-OS Command Injection, CVSS 10.0), Supply-Chain-Angriffe über identifizierte Drittanbieter.
Phase 4 — Purple-Teaming (2–4 Wochen, RTS Art. 8): Gemeinsame Review-Session Red Team + SOC/Blue Team + Management: Welche Angriffe wurden detektiert? Welche nicht? Warum? Priorisierte Remediation-Roadmap, Detection-Engineering-Empfehlungen.
Messung von MTTD/MTTR: Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR) für jeden simulierten Angriffsvektor — TLPT liefert damit operative KPIs für die Incident-Response-Qualität.
DORA Art. 26 Abs. 7 Abschluss-Report: Vollständiger TLPT-Report mit Befunden, MTTD/MTTR, Remediation-Status, Purple-Teaming-Erkenntnissen — Übermittlung an zuständige Behörde; nach Behebung kritischer Findings Ausstellung des TLPT-Zertifikats.
Re-Testing nach Remediation (RTS Art. 8 Abs. 3): Nach Behebung kritischer Befunde aus dem TLPT ist ein gezielter Re-Test der adressierten Schwachstellen erforderlich, um das Zertifikat zu erhalten.
Kontinuierliche Tests zwischen TLPT-Zyklen (DORA Art. 24): In den Jahren zwischen TLPT-Tests (also in Jahr 1 und 2 eines 3-Jahres-Zyklus) müssen weiterhin reguläre Art. 24-Penetrationstests durchgeführt werden — hier kommt Matproof Sentinel zum Einsatz.
Drittanbieter-Einbindung (DORA Art. 28): Wenn kritische IKT-Drittdienstleister in-scope sind, können diese in den TLPT einbezogen werden — Koordination mit dem Drittanbieter über DORA Art. 28-Vertragsklauseln.

Beispiel-Befund

Kritisch

Unauthentifizierter Command Injection im VPN-Gateway (CVE-2024-3400, CVSS 10.0) — Live-Exploitation

Im Rahmen der CTI-Analyse wurde identifiziert, dass das Institut Palo Alto Networks PAN-OS als VPN-Gateway einsetzt. CVE-2024-3400 (Command Injection in GlobalProtect Feature, CVSS 10.0, aktiv ausgenutzt seit März 2024 durch UTA0218) erlaubt einem nicht-authentifizierten Angreifer die Ausführung beliebiger Befehle mit Root-Rechten auf der Appliance. Das Red Team exploitete diese Schwachstelle erfolgreich und erlangte Root-Zugriff auf das VPN-Gateway. Von diesem Gateway aus war direktes Routing in das Core-Banking-Netzwerksegment möglich. Der SOC detektierte den Angriff nicht während der gesamten 72-stündigen Angriffsphase — trotz vorhandener SIEM-Infrastruktur. Rückwirkende Log-Analyse ergab: die Angriffs-Requests waren vorhanden, aber kein Alert-Regelwerk war konfiguriert.

Behebung: Sofort-Patch auf PAN-OS 10.2.9-h1, 11.0.4-h1, 11.1.2-h3 oder aktueller (Palo Alto Security Advisory PAN-SA-2024-0006). Factory-Reset der kompromittierten Appliance. SIEM-Regel für PAN-OS GlobalProtect Telemetry-Anomalien implementieren (Palo Alto hat Detection Guidance publiziert). Netzwerk-Segmentierung: VPN-Gateway in DMZ ohne direktes Routing zu Core-Banking. MTTD für diesen Angriffsvektor: >72h — TLPT-Empfehlung: Threat-Hunting-Team aufbauen, das aktiv nach Kompromittierungszeichen sucht, nicht nur auf Alerts reagiert.

Referenz: CVE-2024-3400 (Palo Alto PAN-OS Command Injection, CVSS 10.0) · CISA KEV Catalog (Known Exploited Vulnerabilities) · MITRE ATT&CK T1190 (Exploit Public-Facing Application) · DORA Art. 26 RTS (EU) 2024/1774 Art. 7

TLPT vs. Standard-Pentest: Direktvergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

TLPT-Vorbereitung mit Matproof

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zu TLPT nach DORA Art. 26

Was ist der Unterschied zwischen TLPT und einem klassischen Penetrationstest?

Ein klassischer Penetrationstest folgt einem festen Scope und generischen Methoden (OWASP, bekannte CVEs). TLPT beginnt mit einer individuellen Threat-Intelligence-Analyse, die spezifische Angreifer und TTPs für das jeweilige Institut identifiziert — erst dann wird der Angriffsplan definiert. TLPT testet außerdem explizit die Detektionsfähigkeit des SOC, verwendet nur akkreditierte Anbieter und koordiniert mit der Aufsichtsbehörde. Kosten: TLPT €80.000–€250.000 vs. Standard-Pentest €8.000–€25.000.

Welche Institute sind zu DORA Art. 26 TLPT verpflichtet?

DORA Art. 26 Abs. 1 verpflichtet 'bedeutende' Finanzinstitute — in der Praxis: EZB-direkt beaufsichtigte bedeutende Institute (ca. 115 EU-weit), sowie national systemrelevante Institute, die BaFin und EZB als TLPT-pflichtig einstufen. Die zuständige Behörde benachrichtigt das Institut, wenn es unter TLPT-Pflicht fällt. Kleine Institute mit sehr geringer Systemrelevanz sind typischerweise nicht betroffen.

Was ist die RTS (EU) 2024/1774 zu TLPT?

Die delegierte Verordnung (EU) 2024/1774 (Regulatory Technical Standards zu TLPT) konkretisiert DORA Art. 26 mit technischen Standards für: Akkreditierungsanforderungen für CTI- und Red-Team-Anbieter, Anforderungen an die TLPT-Phasen (Scoping, CTI-Report, Red-Team-Test, Purple-Teaming), Reporting-Formate für den Abschlussbericht, Koordinationsverfahren zwischen Instituten und Behörden, gegenseitige Anerkennungsverfahren. Die RTS ist seit Juli 2024 in Kraft.

Kann ich TLPT und klassischen Pentest kombinieren?

Ja — das ist sogar die empfohlene Strategie: TLPT alle 3 Jahre für die DORA Art. 26-Pflicht + jährlicher DORA Art. 24-Pentest (z.B. mit Matproof Sentinel) für die Baseline-Sicherheit. Zwischen TLPT-Zyklen sorgt der Art. 24-Pentest für kontinuierliche Sicherheit und bereitet das Institut optimal auf den nächsten TLPT vor (bekannte Schwachstellen beheben, SOC trainieren).

Was passiert, wenn ein Institut TLPT nach Art. 26 nicht durchführt?

BaFin und EZB können gemäß DORA Art. 50 Maßnahmen verhängen: Geldbußen bis 1 % des globalen Tagesumsatzes, Aussetzung von Tätigkeiten, persönliche Sanktionen gegen die Geschäftsleitung. In der Praxis werden Erst-Verstöße typischerweise mit einer Nachbesserungsanordnung und Frist behandelt — bei wiederholter Nichterfüllung eskalieren die Maßnahmen.

Wie koordiniert man TLPT bei einer Bankengruppe mit mehreren Niederlassungen?

DORA Art. 26 Abs. 6 ermöglicht 'konsolidierte TLPT-Tests' für Gruppen — ein koordinierter Test auf Gruppenebene kann für alle Niederlassungen in TIBER-EU-Ländern gelten. Voraussetzung: Absprache zwischen den nationalen Aufsichtsbehörden und der EZB, Einbeziehung gruppenweiter kritischer Systeme in den Scope. Dies reduziert die Gesamtkosten erheblich gegenüber separaten nationalen Tests.

Welche Rolle spielt Purple-Teaming im TLPT?

Purple-Teaming ist in RTS Art. 8 verpflichtend und ist das wichtigste Lernelement des TLPT: Im Purple-Teaming erklären Red-Team-Mitglieder dem SOC/Blue-Team jeden Angriffsschritt, zeigen welche Indikatoren sichtbar waren und warum Alerts ausgeblieben sind. Das Ergebnis sind konkrete Detection-Engineering-Empfehlungen (neue SIEM-Regeln, Threat-Hunting-Playbooks), die die Detektionsfähigkeit des Instituts dauerhaft verbessern — weit über den Test hinaus.

Wie bereite ich meinen SOC optimal auf TLPT vor?

Optimale SOC-Vorbereitung: (1) Regelmäßige Threat-Hunting-Übungen mit simulierten Angriffen durchführen (Atomic Red Team, Caldera). (2) SIEM-Alerting für MITRE ATT&CK-Techniken implementieren (Detection Coverage für alle Taktiken T1-T14). (3) MTTD und MTTR als KPIs messen und optimieren. (4) Incident-Response-Playbooks testen. (5) Matproof Sentinel als kontinuierlichen Test für bekannte Angriffsvektoren nutzen. Ein SOC, der regelmäßig gegen simulierte Angriffe trainiert wird, schneidet im TLPT deutlich besser ab.

Vertiefen — verwandte Artikel aus unserem Blog

Für TLPT optimal aufgestellt — mit Matproof

TLPT-Tests kosten €80.000–€250.000. Maximieren Sie den Wert Ihres TLPT-Investments, indem Sie bekannte Schwachstellen vorab mit Matproof Sentinel identifizieren und beheben. Ein solides Sicherheits-Fundament ist Voraussetzung für einen aussagekräftigen TLPT.