DORA: Alle Anforderungen für Pentests und TLPT

Was Sie über TLPT-Pentests nach DORA wissen müssen

Ein Überblick

Mit dem 17.01.2025 wird DORA für den Finanzsektor verpflichtend. Im Gegensatz zu anderen Richtlinien wie NIS2, ISO27001 oder TISAX stellt DORA klare Anforderungen an Pentests und Sicherheitstests. Vor allem die Durchführung eines von DORA geforderten TLPT unterliegt strengen Auflagen und ist deutlicher komplexer als übliche Pentests. Neben der DORA Richtlinie gibt es daher für TLPT einen eigenen technischen Regulierungsstandard (im folgenden RTS): In diesem Blogeintrag werden wir daher die häufigsten Fragen zum Thema „Digital Operational Resilience Testing“ nach DORA beantworten. 

Welche Arten von Pentests schreibt DORA vor?

Alle Finanzunternehmen, die DORA unterliegen, sind verpflichtet, grundlegende Sicherheitstests durchzuführen. 

Zusätzlich zu den grundlegenden Sicherheitstests fordert DORA von bestimmten Finanzunternehmen die Durchführung von sogenannten Threat-Led Penetration Test (TLPT). Ein TLPT ist ein offiziell von der Deutschen Bundesbank betreuter weitreichender Pentest, der über mehrere Monate durchgeführt wird und strengen Auflagen unterliegt. Dieser TLPT ist sehr ähnlich zu einem TIBER-Test, ist jedoch mit DORA nun verpflichtend.
Neben TLPT listet DORA folgende Beispiele für grundlegende Sicherheitstests (DORA Art 25 (1)).

Vulnerability Assessments

 Das sind primär automatisierte Scans mit Schwachstellenscanner wie Nessus, Rapid7 und OpenVAS

Penetration Testing

Dabei handelt es sich vor allem um aktive Tests einzelner Systeme oder Infrastrukturen. Das Ziel ist es, so viele Schwachstellen wie möglich zu finden, indem verschiedene Angriffstechniken angewendet werden.

Scenario-Based Tests

Diese Tests sind vor allem Red Team Assessments. Das Ziel ist es, Schwachstellen aktiv auszunutzen, um eine komplette Angriffskette nachzustellen. So soll zum Beispiel die Kompromittierung eines Servers erreicht werden.

Network Security Assessments und GAP-Analysen

Das sind primär Konfigurationsaudits von einzelnen Netzwerksystemen (wie z.B. Active Directory, Windows Client, Exchange-Server, Firewalls, etc.) 

Physical Security Reviews

Das kann eine technische Analyse von Schwachstellen in Zutrittskontrollsystemen wie RFID-, Bluetooth- oder NFC-Schnittstellen sein. Es kann auch eine aktive Angriffssimulation sein. Dabei wird versucht, mithilfe von Social Engineering in das Firmengebäude zu gelangen. 
 

Source Code Reviews 

Das sind passive Analysen des Quellcodes einer Anwendung. Sie können zusätzlich oder als Alternative zu einem Anwendungspenetrationstest genutzt werden, wenn es sinnvoll ist.

Zusätzlich erwähnt das DORA-Framework unter anderem den Einsatz von Open Source Analysen, Fragebögen und Applikationsscannern.

Welche DORA-pflichtigen Unternehmen sind verpflichtet, Sicherheitstests durchzuführen?

Unter der DORA-Richtlinie sind alle Finanzunternehmen verpflichtet, die oben genannten grundlegenden Sicherheitstests durchzuführen. Kleinstunternehmen mit weniger als 10 Mitarbeitenden oder einem Jahresumsatz von unter 2 Millionen Euro müssen diese Tests ebenfalls umsetzen, jedoch nach einem eigenen risikobasierten Ansatz (DORA Art 24 und Art 25 (3)). Sie haben mehr Spielraum und unterliegen nicht den strikten Vorgaben wie größere Unternehmen. Die Durchführung eines TLPT (Threat-Led Penetration Test) ist hingegen nur für Unternehmen verpflichtend, die eine besondere Relevanz für den Finanzsektor haben und bestimmte Umsatz- oder Einnahmekriterien erfüllen.

Wie oft müssen Pentests bei DORA durchgeführt werden?

Für die grundlegenden Sicherheitstests betrachtet DORA ICT-Systeme und Applikationen, die laut Risikomanagement kritische oder wichtige Funktionen unterstützen, gesondert. Diese kritischen oder wichtigen Systeme müssen 

  • Mindestens 1x im Jahr angemessen getestet werden (DORA Art 24 (6))
  • Bei jedem (Re-)Deployment muss mind. ein Vulnerability Assessment erfolgen (Art 25 (2)) 

Für nicht kritische ICT-Systeme und Anwendungen gilt: Die Anzahl und Intensität der Tests müssen immer an die Größe, die Aktivitäten und das Risikoprofil des Unternehmens angepasst sein (DORA Art 4 (2)). 

Ein TLPT muss mindestens alle 3 Jahre durchgeführt werden. Die Deutsche Bundesbank bzw. die zuständige Behörde kann dabei die Häufigkeit je nach Risikoprofil erhöhen oder reduzieren (DORA Art 26 (1)). 

Was muss ein Unternehmen bis 17.01.2025 tun, um den DORA-Anforderungen gerecht zu werden?

Finanzunternehmen, die als Kleinstunternehmen einzustufen sind, sind grundsätzlich davon ausgenommen, einen ausführlichen Testplan nach DORA Art 24 (1) zu erstellen. Diese müssen vielmehr einen risikobasierten Ansatz nach DORA Art 26 (3) verfolgen, um punktuell angemessene Sicherheitstests durchzuführen.  

Alle anderen Finanzunternehmen müssen folgende Punkte bis 17.01.2025 umgesetzt haben:

  • Identifikation von allen Systemen, Prozessen und Technologien, die kritische oder wichtige Funktionen und IKT-Dienstleistungen unterstützen. Dies betrifft auch an Dritte ausgelagerte Systeme und Prozesse (DORA Art 26 (2) ). Dies ist nicht nur notwendig für die Vorbereitung eines TLPT, sondern auch zur Erstellung eines Testplans hinsichtlich der grundlegenden Sicherheitstests.
  • Erstellung eines Testplans für grundlegende Sicherheitstests, der die Testarten, Tools und Methoden beschreibt (DORA Art 24 (1,2) )
  • Erstellung von Richtlinien zur Priorisierung und Behebung von Schwachstellen. Dazu gehört ein etabliertes Modell zur Risikobewertung (z.B. CVSS oder Risikomatrix), Behebungsfristen und ein zentrales Tracking von Schwachstellen sowie Überführung in das Risikomanagement (DORA Art 24 (5))
  • Prüfung der Pflicht zur Durchführung von TLPT. Wenn in den letzten 2 Jahren ein freiwilliger TIBER-Test durchgeführt wurde, kann dieser angerechnet werden und befreit von der Pflicht, zeitnah einen erneuten TLPT durchzuführen. 

 

Wer darf bzw. muss die Durchführung von DORA-konformen Pentests übernehmen?

Die grundlegenden Sicherheitstests müssen von einer unabhängigen Partei durchgeführt werden. Laut DORA kann das ein externer Dienstleister oder eine interne Abteilung sein, solange  

  • genügend Ressourcen vorhanden sind und  
  • keine Interessenskonflikte bestehen (DORA Art 24 (5)). 

Für TLPT gelten strengere Auflagen. Interne Mitarbeiter dürfen hier nur unter bestimmten Umständen eingesetzt werden. Spätestens jeder dritte TLPT muss komplett von einem externen Dienstleister durchgeführt werden (DORA Art 26 (8)). Finanzunternehmen, die gemäß DORA Art 6 (4) als bedeutend eingestuft werden, dürfen TLPT ausschließlich durch externe Dienstleister durchführen. 

Wenn interne Mitarbeiter in einem TLPT eingesetzt werden sollen, ist dies nur in der Red Team Phase möglich. Für die Threat Intelligence Phase eines TLPTs müssen immer externe Dienstleister herangezogen werden (DORA Art 27 (2c)). Bei der Auswahl eines externen Dienstleisters gelten strenge Anforderungen, z.B. müssen 

  • Geeignete Zertifizierungen
  • Mehrjährige Berufserfahrung im Bereich Red Teaming (5 Jahre beim Red Team Test Manager, 2 Jahre bei weiteren Red Team Mitglieder) sowie
  • 5 Referenzprojekte existieren. 

Detaillierte Anforderungen können dem RTS Art 5 (2 e, f) entnommen werden sowie DORA Art 27 (1). Beim Einsatz von internen Testern müssen die internen Tester von der Bundesbank genehmigt werden. Interne Tester dürfen nur in der Red-Team-Phase eingesetzt werden. In der Threat-Intelligence-Phase sind sie nicht erlaubt (DORA Art 27 (2c)). Zudem müssen bei internen Mitarbeitern unter anderem folgende Anforderungen sichergestellt sein 

  • Red Team muss aus mind. 1x Red Team Test Lead und 2x weiteren Red Team Mitglieder bestehen
  • Mitarbeiter müssen in den letzten 12 Monaten in dem Unternehmen angestellt gewesen sein
  • Mitarbeiter müssen nachweislich durch Fortbildungen geschult sein, wie man derartige Red Team Tests durchführt
  • Der Einsatz interner Mitarbeiter im TLPT darf die Verteidigungsfähigkeiten des Unternehmens nicht beeinträchtigen. Falls ein echter Sicherheitsvorfall gleichzeitig auftritt, muss das Unternehmen trotzdem handlungsfähig bleiben. 

Detaillierte Anforderungen zu internen Testern sind dem RTS Art 13 zu entnehmen. Bei der Durchführung von TLPT müssen die Teams für Threat Intelligence, Red Team und Blue Team streng voneinander getrennt sein. So dürfen beim Einsatz von internen oder externen Mitarbeitern keine Verbindung zu internen Blue-Team-Aktivitäten bestehen. 

Wie lange dauert ein TLPT im Vergleich zu einem grundlegenden Pentest?

Ein grundlegender Pentest eines spezifischen Systems oder Anwendung dauert in der Regel zwischen 4 und 10 Tagen. Die Red-Team-Phase in einem TLPT muss mindestens 12 Wochen dauern (RTS Art 10 (5)). Zusammen mit der Threat-Intelligence-Phase kann ein TLPT daher 5 bis 6 Monate in Anspruch nehmen.  

Zusätzlich gibt es interne Vorbereitungen, wie das Erstellen des Scope Specification Documents. Auch die Nachbereitung, wie der Blue Team Report, gehört dazu. 

Welche Kriterien müssen erfüllt sein, damit ein TLPT verpflichtend ist?

Grundsätzlich beschränkt sich die Pflicht für TLPT auf Unternehmen, die eine wichtige Schlüsselposition im Finanzsektor einnehmen. Folgende Unternehmen sind explizit von der TLPT Pflicht ausgenommen (DORA Art 26 (1) und Art 16 (1)): 

  • Kleinstunternehmen

  • Kleine und nicht verflochtene Wertpapierfirmen

  • Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 ausgeschlossen sind

  • E-Geld-Institute, die gemäß der Richtlinie 2009/110/EG ausgeschlossen sind

  • Kleine Einrichtungen der betrieblichen Altersversorgung.


Für alle anderen Finanzunternehmen gilt, dass die zuständige Aufsichtsbehörde (BaFin, EZB oder Börsenaufsichtsbehörden) Unternehmen ermittelt, die einen TLPT durchzuführen haben und diese rechtzeitig kontaktiert, um sie a) über die Verpflichtung zu informieren und b) zu gegebener Zeit den Testprozess anzustoßen. Bei dieser Entscheidung werden sowohl quantitative Kriterien als auch qualitative Kriterien zugrunde gelegt, die im Folgenden kurz zusammengefasst werden: 

Quantitative Kriterien

Qualitative Kriterien

Wie kann die fernao security force unterstützen?

Durchführung der grundlegenden Tests 

Mit unseren 50 Security-Experten decken wir eine breite Palette an Pentest-Typen ab. Zudem haben wir Erfahrung im Bereich Finanzen und Versicherungen und unterstützen hier bereits viele DAX-Konzerne aus der DACH-Region. Weitere Informationen zu unseren Pentest-Leistungen finden Sie hier: Pentests

Durchführung von TLPT 

Wir übernehmen für Sie sowohl die Threat Intelligence- als auch die Red-Team-Phase. So bieten wir TLPT aus einer Hand, basierend auf den Vorgaben der Deutschen Bundesbank. Mit unserer jahrelangen Erfahrung in TIBER und TLPT sind wir seit 20 Jahren ein zuverlässiger Partner für Banken und Versicherungen. 

Managed Pentest und Schwachstellentracking 

Neben der Durchführung von Pentests unterstützen wir auch bei der Planung und Vorbereitung und entlasten Ihre internen Ressourcen. Wir erstellen für Sie nicht nur den Testplan, sondern übernehmen mit einer eigens entwickelten Plattform auch das Schwachstellentracking für Sie. So haben Sie stets einen zentralen Blick auf den aktuellen Stand der Befunde und deren Behebung. 

DORA-Beratung 

Unser eigenes Security Consulting Team berät unsere Kunde im Bereich Governance und Compliance und ist mit allen gängigen Sicherheitsnormen wie ISO27001, TISAX, NIS2, VAIT, BAIT und DORA vertraut. 

Risikomanagement 

Unser eigenes Security Consulting Team unterstützt Sie bei der Identifizierung Ihrer kritischen Systeme und Funktionen und erstellt mit Ihnen ggf. das “Scope Specification Document”. 

TLPT-Beratung Control Team (TIBER: White Team) 

Als etablierter Experte und Dienstleiser für TLPT beraten wir Sie gerne vorbereitend und nachgelagert zu einem TLPT und bringen unsere Erfahrungen aus dem TIBER- / TLPT-Umfeld bei Ihnen ein. 
Kontakt aufnehmen

Quellen:

1 DORA Richtlinie (DE)

2 DORA Richtlinie (EN)

3 RTS für TLPT (EN) -  (Zum Zeitpunkt des Blog-Eintrag handelte sich dabei um den am 17.07.24 erstellten finalen Entwurf des RTS)

< Zurück zur Übersicht
Home | Insights | Blog | DORA: Alle Anforderungen für Pentests und TLPT