Offensive Security
Red Team vs. Penetrationstest: Was ist der Unterschied?
Vincent Heinen9 Min.
DORA Art. 26-27 | Finanzsektor
TIBER-EU & TLPT:
Threat-Led Penetration Testing
nach DORA.
DORA verpflichtet systemrelevante Finanzinstitute zu Threat-Led Penetration Tests alle drei Jahre — auf Live-Produktionssystemen, aufsichtlich begleitet, Threat-Intelligence-basiert.
Zuletzt aktualisiert: März 2026 · Referenziert: DORA Art. 26-27, TIBER-EU
Rechtsgrundlage
DORA
Art. 26-27, Threat-Led Penetration Testing
Testzyklus
Alle 3 Jahre
Pflicht für systemrelevante Institute
TIBER-Phasen
3 Phasen
Preparation, Testing, Closure
Provider-Rollen
TCT+TI+RT
Drei unabhängige Rollen erforderlich
- TLPT-Pflicht für systemrelevante Institute
- Alle 3 Jahre
- Tests auf Produktionsumgebung vorgeschrieben
- Live-Systeme
- DORA in Kraft seit 17.01.2025
- Jan. 2025
- Preparation · Testing · Closure
-
Grundlagen
Was ist Threat-Led Penetration Testing?
TLPT (Threat-Led Penetration Testing) ist eine hochspezialisierte Form des Red Team Tests, bei der ein akkreditiertes Red Team auf Basis echter Threat Intelligence realistische Angriffe auf ein Finanzinstitut simuliert — direkt auf den Live-Produktionssystemen.
Der entscheidende Unterschied zu einem klassischen Penetrationstest: TLPT ist Threat-Intelligence-basiert. Bevor das Red Team loslegt, analysiert ein Threat Intelligence Provider, welche APT-Gruppen, Angriffsmuster und Taktiken realistischerweise gegen dieses spezifische Institut eingesetzt würden. Dieser Targeted Threat Intelligence Report (TTIR) wird zur Blaupause für den Angriff.
DORA Art. 26-27 macht TLPT für systemrelevante Finanzinstitute zur Pflicht und verankert damit das TIBER-EU-Framework der Europäischen Zentralbank als europäischen Standard. In Deutschland setzt die Bundesbank zusammen mit der BaFin dieses Framework als TIBER-DE um.
| Kriterium | TLPT | Red Teaming | Pentest |
|---|---|---|---|
| Grundlage | Threat Intelligence (TTIR) | Zieldefinition | Scope-Dokument |
| Testsysteme | Live-Produktion | Prod. oder Test | Meist Testumgebung |
| Aufsicht | Behördlich begleitet | Intern | Intern |
| Dauer | 6–12 Monate | 4–8 Wochen | 1–4 Wochen |
| Attestat | EU-weit anerkannt | Intern | Intern |
TLPT / TIBER-EU auf einen Blick
- Rechtsgrundlage
- DORA Art. 26-27 (EU 2022/2554)
- DORA gilt seit
- 17. Januar 2025
- Framework
- TIBER-EU (EZB) / TIBER-DE (Bundesbank)
- Intervall
- Mindestens alle 3 Jahre
- Testsysteme
- Live-Produktionssysteme Pflicht
- Zuständig DE
- Deutsche Bundesbank & BaFin
DORA gilt seit Januar 2025
Systemrelevante Institute müssen ihre TLPT-Planung jetzt aufsetzen. Akkreditierte Provider sind begrenzt verfügbar — Vorlaufzeiten einplanen.
TIBER-EU Framework
Die drei Phasen eines TIBER-DE Tests
TIBER-EU definiert einen strukturierten, dreiphasigen Prozess. Jede Phase hat klare Deliverables, Rollen und behördliche Kontrollpunkte. Gesamtprojektlaufzeit: typischerweise 6 bis 12 Monate je nach Institutsgröße.
White Team
Internes Koordinationsteam
Kleine Gruppe interner Experten, die den Test kennen und koordinieren. Schnittstelle zur Aufsichtsbehörde. Kann Test unterbrechen.
Red Team
Externer Angreifer-Provider
Akkreditierter externer Dienstleister, der basierend auf dem TTIR realistische Angriffe simuliert. Vollständig unabhängig vom Institut.
Blue Team
Interne Verteidigung (SOC)
Security Operations Center und Incident Response — kennen den Test NICHT. Werden erst in der Closure Phase eingeweiht (Purple Teaming).
01
Vorbereitung & Scoping
Preparation Phase 4–8 WochenDefinition des Testumfangs gemeinsam mit der Aufsichtsbehörde (Bundesbank/BaFin). Beauftragung eines akkreditierten Threat Intelligence Providers. Erstellung eines Generic Threat Landscape Reports (GTLR) für den Finanzsektor und anschließend eines Targeted Threat Intelligence Reports (TTIR) spezifisch für das Institut. Das White Team wird etabliert.
02
Red Team Execution
Testing Phase 3–6 MonateDurchführung des Red Team Tests auf Live-Produktionssystemen basierend auf dem Targeted Threat Intelligence Report. Das Red Team simuliert realistische Advanced Persistent Threat (APT)-Szenarien. Die Angriffsvektoren orientieren sich an tatsächlichen Bedrohungen für Finanzinstitute (SWIFT-Attacken, Insider-Threats, Supply-Chain-Angriffe). Vollständige Dokumentation aller Aktivitäten.
Red Teaming-Leistungen 03
Purple Teaming & Abschlussbericht
Closure Phase 4–8 WochenGemeinsame Purple Teaming-Session: Red Team und Blue Team (Verteidiger) analysieren gemeinsam die Angriffspfade und Erkennungslücken. Erstellung des Abschlussberichts mit Remediation-Plan. Der behördliche Validierungsbericht wird von der Aufsichtsbehörde geprüft und genehmigt. Attestierungszertifikat ermöglicht gegenseitige Anerkennung in anderen EU-Mitgliedstaaten.
DORA Art. 26
Wer muss TLPT nach DORA durchführen?
DORA Art. 26 verpflichtet "bedeutende" Finanzeinrichtungen zu TLPT. Die Aufsichtsbehörde benennt auf Basis systemischer Relevanz, welche Institute getestet werden müssen. Die Einstufung erfolgt nach Größe, Vernetzung und Bedeutung für die Finanzstabilität.
TLPT-Pflicht — Systemrelevante Institute
Aufsichtlich benannt · Mindestens alle 3 Jahre Pflicht
- Bedeutende Kreditinstitute Systemrelevante Banken (SREP-Einstufung)
- Zentrale Gegenparteien (CCPs) Clearing-Häuser nach EMIR
- Zentralverwahrer (CSDs) Wertpapierabwicklung nach CSDR
- Zentrale Wertpapierregister Kerninfrastruktur der Kapitalmärkte
- Zahlungsinstitute Systemrelevante Zahlungsdienstleister
- E-Geld-Institute Große E-Money-Emittenten
- Versicherungsunternehmen Versicherungen mit systemischer Relevanz
- Rückversicherungsunternehmen Systemrelevante Rückversicherer
- Wertpapierfirmen Bedeutende Investmentfirmen nach MiFID II
- Kritische IKT-Drittanbieter Technologiedienstleister für Finanzsektor
Kriterien für systemische Relevanz
- Größe und Bilanzsumme des Instituts
- Vernetzung mit anderen Finanzinstituten
- Bedeutung für die Finanzmarktinfrastruktur
- IKT-Risikoexposition und Drittanbieterabhängigkeiten
Gegenseitige Anerkennung in der EU
Ein nach TIBER-EU durchgeführter TLPT wird EU-weit gegenseitig anerkannt (Art. 26 Abs. 7 DORA). Institute mit grenzüberschreitendem Betrieb müssen den Test damit nur einmal durchführen — das Attestierungszertifikat gilt für alle EU-Niederlassungen.
Freiwillige TLPT — kleinere Institute
Auch nicht-systemrelevante Institute können TLPT freiwillig durchführen. Dies empfiehlt sich insbesondere, wenn das Institut IKT-Dienstleister für systemrelevante Häuser ist oder eine TIBER-DE-Akkreditierung anstrebt.
Sind Sie von DORA TLPT betroffen?
In einem kostenlosen Erstgespräch klären wir, ob Ihr Institut TLPT-pflichtig ist, wie Sie einen akkreditierten Provider auswählen und wie ein typisches Projekt abläuft.
DORA Art. 27
Anforderungen an Red Team Provider
DORA Art. 27 definiert strenge Anforderungen an externe Threat Intelligence und Red Team Provider. Nicht jeder Penetrationstest-Anbieter qualifiziert sich für TLPT — die Hürden sind erheblich.
01
Nachgewiesene Erfahrung
Mindestens drei abgeschlossene Red Team Tests in vergleichbaren Finanzinstituten oder kritischen Infrastrukturen. Referenzen müssen auf Anfrage vorgelegt werden können. Die Bundesbank kann Referenzprojekte direkt verifizieren.
02
Anerkannte Zertifizierungen
CREST-Zertifizierung (Council of Registered Ethical Security Testers) oder gleichwertige anerkannte Zertifizierung. Teamleitung sollte CREST Registered Tester (CRT) oder höher besitzen. CBEST-Akkreditierung (für UK/EBA-übergreifende Tests) von Vorteil.
03
Vollständige Unabhängigkeit
Keine Interessenkonflikte mit dem getesteten Institut: keine Beteiligung am laufenden IT-Betrieb, keine wirtschaftliche Verflechtung, keine Kenntnis interner Systeme aus parallelen Mandaten. Unabhängigkeit muss schriftlich erklärt werden.
04
Ausreichende Haftpflichtversicherung
Mindestens 5 Mio. EUR Haftpflichtversicherung, die explizit Red Team Tests und Penetrationstests auf Produktionssystemen abdeckt. Die Versicherungspolice muss dem Institut vor Auftragserteilung vorgelegt werden.
05
Strukturiertes Threat Intelligence Team
Dediziertes Threat Intelligence-Team mit belegbarer Erfahrung in der Analyse von APT-Gruppen, die Finanzinstitute angreifen. Zugang zu aktuellen Threat Intelligence Feeds und Quellen für den TIBER-EU TTIR erforderlich.
06
Geheimhaltung & Datenschutz
Strenge Vertraulichkeitsanforderungen: Alle Testergebnisse, Schwachstellen und Systeminformationen unterliegen strengster Geheimhaltung. Sichere Kommunikationskanäle und Datenverschlüsselung sind Pflicht. DSGVO-konforme Datenverarbeitung ist nachzuweisen.
Praxistipp: Die Bundesbank führt eine Liste akkreditierter TIBER-DE-Provider. Bei der Auswahl sollten Institute neben der formalen Akkreditierung auch Branchenerfahrung im Finanzsektor, kulturelle Passung und Projektmanagement-Kapazitäten bewerten. AWARE7 unterstützt Sie bei der Providerauswahl und der gesamten TLPT-Koordination.
Reale Bedrohungslage
Warum TLPT für Finanzinstitute unerlässlich ist
Finanzinstitute sind die am stärksten angegriffene Branche weltweit. Die folgenden Vorfälle zeigen, welche Angriffsmuster TLPT-Tests simulieren und warum regulatorisch vorgeschriebene Tests auf Produktionssystemen zwingend notwendig sind.
2016 Bangladesh Bank · SWIFT
Bangladesh Bank SWIFT-Hack
Angreifer kompromittierten das SWIFT-Terminalsystem der Zentralbank Bangladesh und transferierten 81 Mio. USD auf Konten auf den Philippinen. Der Angriff nutzte legitime SWIFT-Credentials und lief über Wochen unbemerkt. Ein TLPT hätte die schwachen Zugangskontrollen und das fehlende Monitoring aufgedeckt.
2016 Tesco Bank · Online Banking
Tesco Bank Online-Betrug
2,5 Mio. GBP wurden innerhalb eines Wochenendes von ca. 9.000 Kundenkonten abgebucht. Angreifer nutzten Schwachstellen in der Zahlungsautorisierung und dem Betrugserkennungssystem. Die britische FCA verhängte eine Strafe von 16,4 Mio. GBP — mangelhaftes IKT-Risikomanagement als Hauptkritikpunkt.
2018 Banco de Chile · SWIFT
Banco de Chile SWIFT-Attacke
Während die IT-Sicherheit mit einem Ablenkungsangriff (Malware auf Workstations) beschäftigt war, initiierte die Lazarus-Gruppe betrügerische SWIFT-Transaktionen über 10 Mio. USD. Die zweistufige Angriffsstrategie zeigt, warum TLPT realistische Multi-Stage-Szenarien simuliert.
2023 MOVEit · Supply Chain
MOVEit Supply-Chain-Angriff
Die Cl0p-Gruppe nutzte eine Zero-Day-Schwachstelle in MOVEit Transfer und kompromittierte Hunderte Finanzdienstleister weltweit. Viele Institute wussten wochenlang nicht, dass Kundendaten exfiltriert wurden. TLPT-Tests prüfen explizit Drittanbieter-Angriffsvektoren.
Laufend BaFin · IT-Prüfungen
BaFin-Prüfungen: Mängelfeststellungen
Die BaFin stellt bei IT-Sonderprüfungen regelmäßig erhebliche Mängel in Zugangskontrollen, Patch-Management und Incident Response fest. Betroffene Institute erhalten Mängelberichte (MaRisk AT 7.2) mit verbindlichen Umsetzungsfristen. TLPT dient als proaktiver Nachweis der Widerstandsfähigkeit.
Kontinuierlich APT-Gruppen
Staatliche APT-Gruppen
Lazarus (Nordkorea), APT28/Fancy Bear (Russland) und weitere staatlich geförderte Gruppen greifen kontinuierlich europäische Finanzinstitute an. Diese Bedrohungen bilden die Grundlage des Targeted Threat Intelligence Reports im TIBER-Prozess — realistisch, spezifisch, aktuell.
Beratungsleistungen
Wie AWARE7 bei TLPT & TIBER-DE hilft
Wir begleiten Finanzinstitute vom ersten Betroffenheitscheck über die Providerauswahl bis zur behördlichen Attestierung — mit nachgewiesener Red Team-Expertise und Erfahrung aus regulierten Finanzumgebungen.
Red Teaming & TLPT-Vorbereitung
Vollumfängliches Red Teaming auf Basis echter Threat Intelligence. Vorbereitung auf TIBER-DE-konforme TLPT-Tests mit aufsichtlicher Begleitung.
Red Teaming anfragenPenetrationstest Finanzsektor
Spezialisierte Penetrationstests für Banken, Versicherungen und Zahlungsinstitute — als Vorstufe zu TLPT oder eigenständige DORA-Compliance-Maßnahme.
Pentest anfragenDORA Compliance-Beratung
Vollständige DORA-Beratung über TLPT hinaus: IKT-Risikomanagement, Drittanbieter-Management, Incident Reporting und Resilienz-Tests.
DORA-Beratung starten„TLPT nach TIBER-EU ist die anspruchsvollste Form des Sicherheitstests, die es gibt. Wer als Finanzinstitut ernsthaft Resilienz aufbauen will, kommt um regulatorisch begleitete Red Team Tests auf Produktionssystemen nicht herum. Wir bereiten Institute auf genau dieses Niveau vor.“
Chris Wojzechowski
Penetration Testing & Red Teaming Experte · AWARE7 GmbH
FAQ
Häufige Fragen zu TLPT & TIBER-EU
Die wichtigsten Fragen zu TLPT, TIBER-DE und DORA Art. 26-27 — fachlich fundiert und praxisnah beantwortet.
Was ist TLPT und was unterscheidet es von einem normalen Penetrationstest?
TLPT (Threat-Led Penetration Testing) ist ein hochwertiger, regulatorisch vorgeschriebener Red Team Test für systemrelevante Finanzinstitute. Im Unterschied zu einem klassischen Penetrationstest: (1) TLPT basiert auf echten, institutsspezifischen Threat Intelligence Reports — der Angreifer simuliert reale APT-Gruppen, die das Institut tatsächlich angreifen würden. (2) TLPT wird auf den Live-Produktionssystemen durchgeführt, nicht in Testumgebungen. (3) TLPT ist aufsichtlich begleitet — die Bundesbank oder BaFin begleitet den Test und validiert die Ergebnisse. (4) TLPT dauert typischerweise 6–12 Monate und ist erheblich umfangreicher als ein typischer Penetrationstest.
Wer muss TLPT nach DORA durchführen?
DORA Art. 26 verpflichtet "bedeutende" Finanzeinrichtungen zu TLPT. Die Aufsichtsbehörde (BaFin/Bundesbank) legt fest, welche Institute als systemrelevant eingestuft werden. Grundsätzlich betroffen sind: systemrelevante Kreditinstitute (bedeutende Institute nach SSM-Verordnung), zentrale Gegenparteien (CCPs), Zentralverwahrer (CSDs), bedeutende Zahlungsinstitute und E-Geld-Institute, systemrelevante Versicherungsunternehmen sowie kritische IKT-Drittanbieter. Kleinere Institute können freiwillig TLPT durchführen oder werden durch Aufsicht dazu aufgefordert.
Wie oft muss TLPT durchgeführt werden?
DORA Art. 26 Abs. 1 schreibt mindestens alle drei Jahre einen TLPT vor. Die Aufsichtsbehörde kann kürzere Intervalle anordnen, wenn erhebliche Sicherheitsvorfälle eingetreten sind, wesentliche Systemänderungen stattgefunden haben oder Erkenntnisse aus anderen Aufsichtsmaßnahmen dies erfordern. Nach einem erfolgreichen TLPT-Abschluss erhält das Institut ein Attestierungszertifikat, das in anderen EU-Mitgliedstaaten gegenseitig anerkannt wird (Prinzip der gegenseitigen Anerkennung nach Art. 26 Abs. 7 DORA).
Was ist TIBER-DE und wie verhält es sich zu TIBER-EU und DORA TLPT?
TIBER-EU ist das übergeordnete europäische Framework der EZB für Threat Intelligence-Based Ethical Red Teaming. TIBER-DE ist die deutsche Umsetzung dieses Frameworks durch die Deutsche Bundesbank und BaFin. DORA Art. 26-27 verweist ausdrücklich auf TIBER-EU-kompatible Tests als den etablierten Standard. Ein nach TIBER-DE durchgeführter Test erfüllt die DORA TLPT-Anforderungen vollständig. TIBER-DE-Tests sind "cross-jurisdictional" anerkannt — ein in Deutschland nach TIBER-DE durchgeführter Test gilt auch für Niederlassungen in anderen EU-Ländern.
Was kostet ein TLPT nach TIBER-DE?
TLPT-Tests sind erheblich aufwändiger als Standard-Penetrationstests. Typische Kostenbereiche: Threat Intelligence Report (GTLR + TTIR): 30.000–80.000 EUR, Red Team Execution (3–6 Monate): 150.000–500.000 EUR, Purple Teaming und Abschlussbericht: 30.000–80.000 EUR. Gesamtprojekt: typischerweise 200.000–650.000 EUR. Die Kosten variieren erheblich je nach Institutsgröße, Komplexität der IT-Landschaft und Testumfang. Für kleinere Institute, die freiwillig TLPT durchführen, gibt es vereinfachte Varianten.
Darf ein TLPT die Produktionssysteme beschädigen?
TLPT wird explizit auf Produktionssystemen durchgeführt — das ist eine regulatorische Anforderung. Um Produktionsausfälle zu vermeiden, gibt es jedoch strenge Protokolle: Das White Team (interne Koordinatoren) kann jederzeit den Test unterbrechen, wenn kritische Systeme gefährdet sind. Destruktive Angriffe (Datenlöschung, Ransomware-Deployment, dauerhafte Systemkompromittierung) sind explizit verboten. Alle Aktivitäten werden umfassend protokolliert. Der Test wird koordiniert — das Red Team kennt die Eskalationswege. Nach dem Test wird ein vollständiger Remediation-Plan erstellt.
Muss die Aufsichtsbehörde bei einem TLPT anwesend sein?
Nein, die Aufsichtsbehörde (BaFin/Bundesbank) muss nicht physisch anwesend sein. Ihre Rolle ist: (1) Genehmigung des Testumfangs und des TTIR in der Preparation Phase, (2) Laufende Unterrichtung durch das White Team über wesentliche Erkenntnisse, (3) Prüfung und Validierung des Abschlussberichts, (4) Ausstellung des behördlichen Attestierungszertifikats. Das Institut bleibt während des Tests in engem Kontakt mit der Aufsichtsbehörde über das White Team.
Kann ein internes Red Team einen TLPT durchführen?
Nach DORA Art. 27 Abs. 1 dürfen interne Red Teams unter strengen Bedingungen eingesetzt werden: vollständige organisatorische Trennung vom IKT-Betrieb, Genehmigung durch die Aufsichtsbehörde, zusätzliche externe Kontrolle des Threat Intelligence Reports und des Abschlussberichts, und mindestens alle drei Tests muss ein externer Provider eingebunden werden. In der Praxis empfehlen Aufsichtsbehörden externe Provider, da die Unabhängigkeit und Objektivität besser gewährleistet werden kann.
Was passiert nach dem TLPT — welche Remediation-Pflichten gibt es?
DORA Art. 26 Abs. 6 verlangt nach jedem TLPT einen Remediation-Plan, der alle identifizierten Schwachstellen adressiert. Der Plan muss: alle kritischen Findings priorisieren (nach CVSS oder TIBER-Klassifizierung), konkrete Maßnahmen mit Verantwortlichen und Zeitplänen enthalten, von der Geschäftsleitung genehmigt werden und der Aufsichtsbehörde vorgelegt werden. Die Umsetzung des Remediation-Plans wird bei der nächsten Aufsichtshandlung überprüft. Nicht umgesetzte kritische Findings können Aufsichtsmaßnahmen nach sich ziehen.
Wie unterscheidet sich TLPT von Red Teaming?
Red Teaming ist der übergeordnete Begriff für feindliche Angriffsimulationen. TLPT ist eine spezifische Form des Red Teamings mit regulatorischen Besonderheiten: Pflicht zur Threat Intelligence-Grundlage (TTIR), Aufsichtsbehördliche Begleitung und Validierung, Pflicht zur Durchführung auf Produktionssystemen, Formales Closure-Verfahren mit behördlichem Attestat und gegenseitiger EU-weiter Anerkennung. Klassisches Red Teaming ohne TIBER-EU-Framework erfüllt die DORA TLPT-Anforderungen nicht.
TLPT-Erstberatung für Finanzinstitute vereinbaren
In einem kostenlosen 30-minütigen Gespräch klären wir Ihre TLPT-Pflicht nach DORA, erläutern den TIBER-DE-Prozess und skizzieren, wie ein Projekt in Ihrem Institut abläuft — mit Zeitplan und konkretem nächsten Schritt.
Kostenlos · 30 Minuten · Unverbindlich
