Wissensraum · Deep Dive 10 von 27
Warum die EU Threat-Led Testing verlangt
Was dieser Deep Dive Ihnen zeigt
Warum die EU Threat-Led Testing verlangt – und wo klassische Testmethoden an ihre Grenzen stoßen.
Klassische Sicherheitstests haben über Jahre hinweg einen wichtigen Beitrag zur Verbesserung technischer Sicherheit geleistet. Sie erfassen jedoch nur einen begrenzten Ausschnitt der Risiken, denen digital vernetzte Organisationen heute ausgesetzt sind.
DORA reagiert auf diese Lücke. Für bestimmte Finanzunternehmen verlangt die Verordnung den Einsatz von Threat-Led Penetration Testing (TLPT) – eines Testansatzes, der auf dem europäischen TIBER-EU-Rahmen basiert. Ziel ist nicht die Suche nach isolierten Schwachstellen, sondern die Bewertung tatsächlicher operativer Resilienz.
Identifiziert technische Schwachstellen einzelner Systeme
Klar abgegrenzter Umfang
Begrenzter Bezug zu realen Angriffskampagnen
Keine systematische Einbindung organisatorischer Faktoren
Einordnung
Penetrationstests bleiben sinnvoll, erfassen jedoch nur Teilaspekte des Risikoprofils.
Erweiterung um Angriffsketten
Fokus auf technische Durchdringung
Fehlende oder generische Bedrohungsmodelle
Keine regulatorische Einbettung
Einordnung
Solche Ansätze können wertvolle Erkenntnisse liefern, erfüllen jedoch nicht die TLPT-Anforderungen, wenn sie nicht threat-led und intelligence-basiert sind.
Basiert auf aktueller, realer Threat Intelligence
Orientiert sich an kritischen Geschäftsprozessen, nicht nur Systemen
Simuliert realistische Angriffsketten end-to-end
Bezieht Technik, Organisation und menschliche Faktoren ein
Ergebnisse fließen strukturiert in Governance und Risikosteuerung ein
Definition der Ziele auf Basis kritischer Funktionen
Erstellung eines realistischen Bedrohungsmodells
Mehrwöchige Simulation realer Angriffe
Beobachtung von Detektion, Reaktion und Entscheidungswegen
Strukturierte Auswertung und Lessons Learned
Ableitung und Nachverfolgung angemessener Maßnahmen
TLPT ist kein einmaliger Test, sondern Teil eines kontinuierlichen Resilienzzyklus.
| Methode | Bezug zu Bedrohungen | Org. Faktoren | DORA-Relevanz |
|---|---|---|---|
| Penetrationstest | Generische Angriffsmuster | Nein | Grundlage, nicht ausreichend |
| Red Teaming ohne TI | Vordefinierte Szenarien | Teilweise | Nicht TLPT-konform |
| TLPT (TIBER-EU) | Aktuelle, reale Threat Intelligence | Ja, vollständig | DORA-Pflicht für kritische Unternehmen |
Ausgangssituation
Ein Finanzinstitut führte regelmäßig klassische Penetrationstests durch. Die Ergebnisse waren unauffällig, kritische Schwachstellen wurden nicht festgestellt.
Erkenntnisse aus einem TLPT (TIBER-EU)
Einstieg über einen unkritisch eingestuften Drittanbieter
Laterale Bewegung im Netzwerk blieb unentdeckt
SIEM erkannte das Angriffsverhalten nicht
Incident-Team reagierte erst nach rund 48 Stunden
Management wurde verspätet informiert
Ursache
Die bisherigen Tests waren auf einzelne Systeme begrenzt. TLPT betrachtete die Organisation als Ganzes.
Konsequenzen
Anpassung von Monitoring und Detection
Überarbeitung der Governance- und Eskalationsketten
Strukturelle Änderungen in Architektur und Third-Party-Management
Praxis-Impuls
Nicht Schwachstellen stehen im Mittelpunkt von TLPT – sondern die Frage, ob Organisationen reale Angriffe erkennen, bewerten und steuern können. Wenn Ihr Unternehmen unter die TLPT-Pflicht fällt: Bereiten Sie sich nicht mit einem weiteren Pentest vor, sondern mit einer Bestandsaufnahme Ihrer Threat-Intelligence- und Detection-Fähigkeiten.
Was bleibt
TLPT ist keine Standard-Penetration. Threat-Led Penetration Testing folgt einer Hypothese – «wie würde ein realer Angreifer vorgehen» – statt Checklisten abzuarbeiten. Das erfordert andere Expertise.
TLPT braucht Kontext. Klassische Penetrationstests kümmern sich um Schwachstellen. TLPT fragt nach Ursachen, Wirkungsketten und Ausbreitungspfaden. Das ist Threat Intelligence angewendet.
TLPT ist teuer – aber findet echte Risiken. Der höhere Aufwand liegt in der Vorbereitung, der Threat-Modellierung und der Dokumentation, nicht in der technischen Durchführung.
TLPT ist operativ zwingend für kritische Infrastruktur. Wer unter DORA, NIS2 oder ähnlichen Rahmenwerken arbeitet, kann sich «Standard-Tests» kaum noch leisten. TLPT wird zur Baseline.