Wissensraum · Deep Dive 1 von 27
Warum die EU auf Threat-Led Penetration Testing setzt – und was heute nicht mehr ausreicht
Was dieser Deep Dive Ihnen zeigt
Warum klassische Penetrationstests unter DORA nicht mehr ausreichen – und was Threat-Led Penetration Testing (TLPT) anders macht.
Digitale Resilienz ist kein einheitliches Konzept. Unternehmen nutzen unterschiedliche Methoden, um die Belastbarkeit ihrer Systeme, Prozesse und Entscheidungsstrukturen zu überprüfen.
Mit DORA hat sich die EU bewusst für einen klar definierten, realitätsnahen Testansatz entschieden – und grenzt diesen explizit von traditionellen Verfahren wie klassischen Penetrationstests ab.
Simuliert bekannte Angriffsmuster
Technisch fokussiert, meist auf einzelne Systeme begrenzt
Prüft das Vorhandensein konkreter Schwachstellen
Einordnung
Penetrationstests sind sinnvoll zur Identifikation technischer Schwächen. Sie bilden jedoch nur eingeschränkt das Verhalten realer Angreifer ab und liefern kein Gesamtbild über Reaktionsfähigkeit, Eskalation oder Entscheidungsprozesse.
Simulationsbasierte Angriffe durch ein dediziertes Angreiferteam
Nutzung realistischer Angriffsketten
Fokus auf Erkennung, Reaktion und Abwehr
Einordnung
Red Teaming ist umfassender als klassische Penetrationstests. Der Ansatz ist jedoch nicht zwingend systematisch threat- oder intelligence-basiert und variiert stark in Tiefe und Methodik.
Strukturierte Diskussion hypothetischer Szenarien
Fokus auf Rollen, Verantwortlichkeiten und Eskalationswege
Einordnung
Tabletop Exercises sind wertvoll für Governance und Entscheidungslogik. Sie liefern jedoch keine technische Evidenz und testen keine realen Systeme oder Datenflüsse.
Basiert auf realen Bedrohungsdaten und Angreifermodellen
Kombiniert Threat Intelligence mit Red-Team-Ansätzen
Testet End-to-End-Angriffsketten einschließlich Erkennung und Reaktion
Einordnung
TLPT kommt realen Angriffsmustern deutlich näher als andere Verfahren und erlaubt eine ganzheitliche Bewertung der operativen Resilienz.
DORA sieht Threat-Led Penetration Testing (TLPT) als zentrales Instrument für bestimmte Finanzunternehmen mit erhöhter Kritikalität vor. Der Ansatz orientiert sich am europäischen TIBER-EU-Rahmen.
TLPT basiert auf realen Angreiferprofilen, simuliert vollständige Angriffsketten, berücksichtigt technische, organisatorische und menschliche Faktoren, macht Schwächen sichtbar bevor ein realer Vorfall eintritt – und liefert belastbare Evidenz für Aufsicht, Management und Governance.
| Methode | Was wird getestet? | Tiefe | Einschränkungen |
|---|---|---|---|
| Penetrationstest | Einzelne Systeme, bekannte Schwachstellen | gering–mittel | Kein Gesamtbild, keine Angriffsketten |
| Red Teaming | Realistische Angriffe | hoch | Nicht immer systematisch threat-led |
| Tabletop Exercise | Rollen, Prozesse, Entscheidungen | gering | Keine technische Evidenz |
| TLPT (DORA) | End-to-End-Angriff + Reaktion | sehr hoch | Aufwändiger, aber deutlich wirksamer |
Penetrationstests prüfen Systeme. TLPT prüft das Unternehmen als Gesamtsystem.
Penetrationstests als alleinige Methode sind heute nicht mehr ausreichend, weil reale Angreifer komplexe Angriffsketten nutzen (Pivoting, Privilege Escalation, Evasion). Monitoring, Detection und Incident Response werden selten mitgetestet. Es wird geprüft, ob eine Schwachstelle existiert – nicht, wie das System darauf reagiert.
Tabletop Exercises ohne technische Tests liefern keine Validierung realer Datenflüsse, keine Prüfung technischer Kontrollen und keine belastbare Evidenz für Prüfer. DORA fordert deshalb realistische, datenbasierte Tests, die Reaktion und Widerstandsfähigkeit messbar machen.
Ausgangssituation
Ein mittelgroßer Finanzdienstleister führte jährlich klassische Penetrationstests durch. Alle Systeme wurden als unauffällig bewertet.
Was der reale Angriff offenbarte
Einstieg über einen privilegierten Third-Party-Zugang
Fehlende Erkennung im SIEM
Veraltete Datenflussdokumentation
Unklare Zuständigkeiten zwischen IT, Security und Management
Ergebnis
48 Stunden Betriebsunterbrechung und erheblicher Vertrauensverlust gegenüber Kunden und Aufsicht.
Was TLPT sichtbar gemacht hätte
Unzureichende Überwachung privilegierter Zugänge
Fehlende Detection-Use-Cases im SIEM
Nicht geübte Incident-Response-Kette
Unterschätzte End-to-End-Abhängigkeiten
Fehlende Entscheidungslogik für Eskalationen
Zentrale Erkenntnisse
Operative Resilienz ist keine einzelne Maßnahme, sondern eine Systemeigenschaft
Klassische Tests zeigen Schwächen – TLPT macht Risiken in ihrer Dynamik sichtbar
DORA zwingt Unternehmen, Resilienz als operatives Steuerungs- und Entscheidungsinstrument zu verstehen
Praxis-Impuls
Prüfen Sie: Welche Ihrer Resilienztests liefern technische Evidenz – und welche nur Dokumentation? Ein jährlicher Penetrationstest ohne TLPT-Perspektive testet Systeme, nicht Reaktionsfähigkeit. Das reicht unter DORA für kritische Unternehmen nicht aus. Erster Schritt: Gap-Analyse der aktuellen Testmethoden gegen DORA Art. 24–27.