Was ist der Unterschied zwischen TLPT und einem normalen Pentest?

Ein klassischer Penetrationstest prüft definierte Systeme oder Anwendungen. TLPT ist bedrohungsgeleitet: Auf Basis realer Threat Intelligence wird ein vollständiges, realistisches Angriffsszenario gegen die kritischen Funktionen eines Unternehmens durchgespielt – über Menschen, Prozesse und Technik hinweg, in der Regel gegen Produktionssysteme.

Für wen ist TLPT verpflichtend?

Unter DORA (Art. 26) müssen bedeutende Finanzunternehmen, die von der zuständigen Behörde dafür bestimmt werden, mindestens alle drei Jahre ein TLPT durchführen. Die genaue Betroffenheit und der Umfang werden risikobasiert von der Aufsicht festgelegt.

TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ist der von der EZB veröffentlichte europäische Rahmen für bedrohungsgeleitete Red-Team-Tests. Die TLPT-Anforderungen aus DORA bauen methodisch auf TIBER-EU auf.

Stört ein TLPT den laufenden Betrieb?

TLPT wird verdeckt und kontrolliert gegen Produktionssysteme durchgeführt. Jeder potenziell impactvolle Schritt wird mit einem kleinen, eingeweihten Kreis (White Team) abgestimmt, um Risiken für den Betrieb auszuschließen.

TLPT-Projekte sind individuell und richten sich nach Umfang, kritischen Funktionen und Szenariotiefe. In der Regel bewegt sich der Aufwand deutlich über einem fokussierten Pentest. Wir erstellen nach einem kostenlosen Scoping-Gespräch ein verbindliches Festpreisangebot.

TLPT · DORA Art. 26-27 · TIBER-EU

TLPT Threat-Led Penetration Testing

Das Threat-Led Penetration Testing (TLPT) ist ein bedrohungsgeleiteter Penetrationstest, der reale Angreifer auf Ihre kritischen Funktionen nachstellt. Unter DORA wird er für bedeutende Finanzunternehmen verpflichtend – wir liefern die technischen Angriffssimulationen.

Kostenlose TLPT-Erstberatung Penetrationstest

Was ist TLPT (Threat-Led Penetration Testing)?

TLPT ist ein bedrohungsorientierter, intelligence-geführter Penetrationstest: Statt einzelne Systeme isoliert zu prüfen, wird auf Basis aktueller Bedrohungsinformationen (Threat Intelligence) ein realistisches Angriffsszenario gegen die kritischen oder wichtigen Funktionen eines Unternehmens durchgespielt – inklusive Menschen, Prozessen und Technik.

Rechtlich verankert ist TLPT in der EU-Verordnung DORA (Art. 26–27). Methodisch baut es auf dem europäischen TIBER-EU-Rahmenwerk auf. Bedeutende Finanzunternehmen müssen TLPT mindestens alle drei Jahre durchführen; der Umfang wird von der Aufsicht risikobasiert festgelegt.

Rechtsgrundlage

DORA Art. 26-27

Rahmenwerk

TIBER-EU

Turnus

mind. alle 3 Jahre

Welche Anforderungen stellt TLPT?

TLPT folgt einem strukturierten, mehrphasigen Ablauf nach TIBER-EU – von der Threat Intelligence über die Angriffsdurchführung (Red Team) bis zur gemeinsamen Auswertung mit dem Verteidigungsteam (Blue Team).

Scoping der kritischen oder wichtigen Funktionen gemeinsam mit der Aufsicht

Threat-Intelligence-Phase: realistische, auf Ihr Institut zugeschnittene Angreiferszenarien

Red-Teaming gegen Produktionssysteme – verdeckt und kontrolliert

Purple-Teaming, Abschlussbericht und Nachweis gegenüber der Aufsicht

Der Weg zum TLPT-Nachweis

Scoping

Kritische Funktionen und Testumfang nach DORA festlegen

Threat Intelligence

Bedrohungsgeleitete, realistische Angriffsszenarien

Red Teaming

Verdeckte Angriffssimulation auf Produktionssysteme

Purple Teaming

Gemeinsame Auswertung mit Ihrem Blue Team

Bericht & Nachweis

Aufsichtskonforme Dokumentation und Remediation

Konsequenzen bei Nichteinhaltung

Was droht ohne TLPT?

TLPT ist für bedeutende Finanzunternehmen kein Kann, sondern ein verbindlicher Bestandteil des DORA-Testprogramms. Versäumnisse werden von der Finanzaufsicht durchgesetzt.

Aufsichtsmaßnahmen

Sanktionen durch BaFin & EZB

Fehlt der geforderte TLPT-Nachweis, drohen aufsichtsrechtliche Maßnahmen, Geldbußen und verbindliche Auflagen bis hin zu Einschränkungen der Geschäftstätigkeit.

Erhöhtes Angriffsrisiko

Unentdeckte Angriffspfade

Ohne realistische Angriffssimulation bleiben zusammenhängende Schwachstellen über Menschen, Prozesse und Technik unentdeckt – genau die Pfade, die echte Angreifer nutzen.

Persönliche Haftung

Verantwortung der Leitung

Das Leitungsorgan trägt die Letztverantwortung für die digitale operationale Resilienz – Versäumnisse können persönlich und reputativ teuer werden.

Wie wir Ihr TLPT durchführen

Wir besetzen die technische Kernrolle des TLPT: realistische, bedrohungsgeleitete Angriffssimulationen mit aufsichtskonformer Dokumentation.

Threat Intelligence

Aufbereitung realistischer Angreiferprofile und Szenarien auf Basis aktueller Bedrohungslage für Ihr Institut.

Red Teaming

Verdeckte, zielgerichtete Angriffssimulation gegen Ihre kritischen Funktionen – realitätsnah und kontrolliert.

Purple Teaming

Gemeinsame Auswertung mit Ihrem Verteidigungsteam, um Erkennungs- und Reaktionsfähigkeit messbar zu verbessern.

Aufsichtskonforme Berichte

Nachvollziehbare Dokumentation entlang TIBER-EU – vorlagefähig gegenüber der Finanzaufsicht.

Wer ist von TLPT betroffen?

TLPT richtet sich an bedeutende Finanzunternehmen, deren Ausfall erhebliche Auswirkungen auf den Finanzsektor hätte – sowie an deren kritische IKT-Dienstleister.

Banken & Kreditinstitute

Bedeutende Institute mit kritischen oder wichtigen Funktionen im Sinne von DORA.

Versicherungen

Große Versicherungs- und Rückversicherungsunternehmen unter DORA-Aufsicht.

Zahlungs- & Wertpapierdienste

Zahlungsinstitute, Wertpapierfirmen und Handelsplätze mit Systemrelevanz.

Kritische IKT-Dienstleister

Anbieter, die kritische Dienste für den Finanzsektor erbringen und in den Testumfang fallen.

Unser Vorgehen

Ein klar strukturierter Prozess – von der ersten Beratung bis zum prüffähigen Nachweis.

Erstgespräch & Scoping

Kostenlos: Wir bestimmen kritische Funktionen und den passenden TLPT-Umfang nach DORA.

Threat Intelligence

Bedrohungsgeleitete Szenarien, zugeschnitten auf Ihr Institut.

Red-Team-Angriffssimulation

Verdeckte, kontrollierte Angriffe gegen Ihre kritischen Funktionen.

Purple Teaming & Bericht

Gemeinsame Auswertung mit Ihrem Blue Team und aufsichtskonforme Dokumentation.

Remediation & Re-Test

Begleitung bei der Behebung und Nachtest der kritischen Findings.

Weitere Standards & Regularien

Wir decken die gängigen Sicherheits- und Compliance-Anforderungen ab. Sehen Sie sich verwandte Themen an.

DORA

Die EU-Verordnung, die TLPT verpflichtend macht.

NIS2

Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen.

ISO 27001

Internationaler Standard für Informationssicherheit.

Häufige Fragen

TLPT betrifft Sie? Sprechen wir darüber.

Kostenlose Erstberatung – wir analysieren Ihre Ausgangslage und zeigen den schnellsten Weg zur Konformität.

Kostenlose Erstberatung anfragen Zum Penetrationstest