Die Einschätzung der Cyber Academy
TLPT ist die von der Aufsichtsbehörde beaufsichtigte Red-Team-Übung, die DORA für bedeutende Finanzunternehmen vorschreibt. Sie basiert auf dem TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming). Die Übung erstreckt sich über mehrere Monate, ist geheimdienstlich gesteuert und wird von der nationalen Behörde überwacht. Es ist der anspruchsvollste Test, dem ein CISO sich stellen muss, und derjenige, der das SOC so zeigt, wie es wirklich ist.
Was ein bedrohungsgeführter Penetrationstest tatsächlich ist
Der bedrohungsgeführte Penetrationstest ist eine kontrollierte Red-Team-Übung gegen eine Organisation im laufenden Produktivbetrieb, gesteuert durch reale Bedrohungsaufklärung und beaufsichtigt durch eine Finanzbehörde.
Der Digital Operational Resilience Act, DORA, macht ihn zu einer periodischen Pflicht für die Finanzunternehmen, die eine Aufsichtsbehörde für bedeutend genug hält, um dies zu rechtfertigen, und die Übung baut auf TIBER-EU auf, dem Rahmenwerk, das die Europäische Zentralbank für das Threat Intelligence-Based Ethical Red Teaming veröffentlicht hat. Das entscheidende Wort ist geführt: Der Test ist keine generische Liste von Schwachstellen, sondern eine Kampagne, geformt davon, wer dieses Unternehmen realistisch angreifen würde und wie.
Ein Anbieter von Bedrohungsaufklärung erstellt ein Profil des Unternehmens, identifiziert plausible Angreifer und ihre Methoden und übergibt dem Red Team eine Reihe von Szenarien. Das Red Team versucht dann, kritische Funktionen im Produktivbetrieb mithilfe dieser Szenarien zu kompromittieren, genau so, wie es ein echter Angreifer täte.
Zwei Eigenschaften trennen den TLPT vom gewöhnlichen Penetrationstest. Erstens zielt er auf den produktiven Bestand sowie die ihn umgebenden Menschen und Prozesse ab, nicht auf eine Kopie oder einen abgegrenzten Ausschnitt, weshalb er unter strengen Regeln und mit einem kleinen, vertrauenswürdigen Kontrollteam durchgeführt wird. Zweitens wird er beaufsichtigt. Die zuständige nationale Behörde und, wo relevant, ein dediziertes TIBER-Team sind in den Auftrag eingebunden, validieren den Geltungsbereich, akkreditieren die Tester und überwachen, wie die Übung durchgeführt wird. Diese Aufsicht ist es, die das Ergebnis für eine Aufsichtsbehörde glaubwürdig macht und nicht nur für das Unternehmen, das es in Auftrag gegeben hat.
Wie ein TLPT-Auftrag abläuft
Ein TLPT ist ein über mehrere Monate laufendes Programm, keine einwöchige Bewertung, und es entfaltet sich in definierten Phasen, die das TIBER-EU-Rahmenwerk vorgibt. In der Vorbereitungsphase einigen sich das Unternehmen, das Kontrollteam und die Behörde auf den Geltungsbereich, bestätigen, welche kritischen Funktionen betroffen sind, und beauftragen akkreditierte Anbieter von Bedrohungsaufklärung und Red Team.
In der Testphase erstellt der Aufklärungsanbieter einen Targeting-Bericht über das Unternehmen, und das Red Team nutzt ihn, um realistische Angriffsszenarien gegen die produktiven Funktionen durchzuführen, häufig über viele Wochen, mit dem Ziel, definierte Vorgaben zu erreichen, ohne gestoppt zu werden. In der Abschlussphase treffen sich Red Team, Blue Team und Kontrollteam, um zu rekonstruieren, was geschehen ist, die Feststellungen abzustimmen und einen Behebungsplan zu erstellen.
Das entscheidende Detail ist, dass fast niemand innerhalb der Organisation weiß, dass der Test stattfindet. Die Verteidiger, das Security Operations Centre und die Incident Responder werden nicht informiert, denn der ganze Sinn besteht darin, zu sehen, wie sie sich gegen eine echte Eindringung verhalten und nicht gegen eine geplante Übung. Nur ein winziges Kontrollteam ist eingeweiht. Das macht den TLPT zur ehrlichsten Messung operativer Resilienz, die ein CISO in Auftrag geben wird, und zu derjenigen, die am zuverlässigsten die Lücke offenlegt zwischen dem, was das SOC vermeintlich leistet, und dem, was es unter Druck tatsächlich erkennt.
TLPT, TIBER-EU und gewöhnlicher Penetrationstest
| Dimension | Standard-Penetrationstest | Bedrohungsgeführter Penetrationstest (TLPT) |
|---|---|---|
| Treiber | Vordefinierter Geltungsbereich und eine Tester-Checkliste | Maßgeschneiderte Bedrohungsaufklärung zum konkreten Unternehmen |
| Ziel | Häufig eine Staging-Kopie oder eine abgegrenzte Anwendung | Kritische Funktionen im Produktivbetrieb und die Menschen darum herum |
| Kenntnis der Verteidiger | Üblicherweise informiert, manchmal unterstützend | Nicht informiert, nur ein kleines Kontrollteam weiß Bescheid |
| Dauer | Tage bis wenige Wochen | Mehrere Monate über definierte Phasen hinweg |
| Aufsicht | Intern, vom Unternehmen beauftragt | Beaufsichtigt durch die nationale Behörde nach TIBER-EU |
| Auslöser | Ermessensabhängig oder vertraglich | Eine DORA-Pflicht für benannte bedeutende Unternehmen |
Es hilft, das Verhältnis zwischen den Begriffen klar zu halten. TIBER-EU ist das Rahmenwerk, die Methodik und die Phasen. Der TLPT ist die regulatorische Pflicht nach DORA, die dieses Rahmenwerk für die in den Anwendungsbereich fallenden Finanzunternehmen übernimmt und referenziert. Ein Standard-Penetrationstest bleibt eine wertvolle und weit häufigere Tätigkeit, aber er beantwortet eine engere Frage: Gibt es ausnutzbare Schwächen in diesem System?
Ein TLPT beantwortet eine schwierigere: Wenn ein realistischer Angreifer heute auf unsere wichtigsten Funktionen losginge, würden wir es überhaupt bemerken, und könnten wir reagieren? Beide ergänzen einander, und eine Organisation, die einen TLPT erwartet, hört nicht auf, gewöhnliche Tests durchzuführen: Sie nutzt sie, um die offensichtlichen Lücken zu schließen, damit die bedrohungsgeführte Übung die subtilen aufspüren kann.
Was Praktiker zur Vorbereitung tatsächlich tun, geht selten um den Kauf eines weiteren Werkzeugs. Sie erstellen ein genaues Inventar der kritischen Funktionen und der sie stützenden Systeme, damit der Geltungsbereich ehrlich vereinbart werden kann. Sie stellen sicher, dass die Erkennungs-Use-Cases justiert sind und dass das SOC die Eskalation gegen realistische Szenarien statt gegen Tabletop-Übungen geprobt hat.
Sie bestätigen die Struktur des Kontrollteams sowie die rechtlichen und Risiko-Freigaben, die nötig sind, um eine Eindringung gegen die Produktion sicher durchzuführen. Und sie behandeln die Feststellungen als Eingabe für operative Resilienz und Kontinuitätsplanung, denn nach DORA ist die Behebung kein privater Bericht: Sie ist ein Nachweis, von dem die Aufsichtsbehörde erwartet, dass auf ihn hin gehandelt wird.
Frequently asked questions
01Was ist der Unterschied zwischen einem TLPT und einem normalen Penetrationstest?
Ein Standard-Penetrationstest arbeitet zu einem vordefinierten Geltungsbereich, häufig gegen ein Staging-System, wobei die Verteidiger meist eingeweiht sind. Ein TLPT wird durch maßgeschneiderte Bedrohungsaufklärung gesteuert, läuft über Monate gegen kritische Funktionen im Produktivbetrieb, hält die Verteidiger im Unklaren und wird durch eine Finanzbehörde beaufsichtigt. Er prüft Erkennung und Reaktion, nicht nur Schwachstellen.
02Wer muss einen TLPT nach DORA durchführen?
DORA verlangt ihn von den Finanzunternehmen, die eine nationale Behörde als bedeutend genug einstuft, um fortgeschrittene Tests zu rechtfertigen, auf Grundlage ihres Risikoprofils und ihrer systemischen Bedeutung. Kleinere Unternehmen unterliegen weiterhin verhältnismäßigen Tests der digitalen operationalen Resilienz, doch die vollständige bedrohungsgeführte Übung bleibt jenen vorbehalten, die die Aufsichtsbehörde benennt.
03Wie ist das Verhältnis zwischen dem TLPT und TIBER-EU?
TIBER-EU ist das Rahmenwerk der Europäischen Zentralbank, das die Methodik, die Phasen und die Rollen für aufklärungsbasiertes Red Teaming definiert. Der TLPT ist die DORA-Pflicht, die dieses Rahmenwerk übernimmt. In der Praxis wird ein DORA-TLPT nach den Grundsätzen von TIBER-EU durchgeführt und von der zuständigen Behörde beaufsichtigt.
04Warum wird den Verteidigern nicht mitgeteilt, dass ein TLPT stattfindet?
Das Ziel ist, echte Erkennung und Reaktion zu messen, keine geplante Übung. Wüsste das SOC Bescheid, würde es nach dem Test Ausschau halten und das Ergebnis wäre bedeutungslos. Nur ein kleines, vertrauenswürdiges Kontrollteam ist eingeweiht, sodass die Übung widerspiegelt, wie die Organisation sich bei einer echten Eindringung tatsächlich verhält.
05Wie lange dauert ein TLPT?
Es ist ein über mehrere Monate laufendes Programm und keine kurze Bewertung, das die Phasen Vorbereitung, Test und Abschluss von TIBER-EU umspannt. Die Arbeit der Bedrohungsaufklärung, die Red-Team-Kampagne gegen die produktiven Funktionen und die gemeinsame Rekonstruktion mit dem Blue Team beanspruchen jeweils reale Zeit und summieren sich häufig auf mehrere Monate von Anfang bis Ende.