TLPT: Threat-Led Penetration Testing nach DORA für Banken

Einleitung

Threat-Led Penetration Testing (TLPT) ist eine der innovativsten Anforderungen von DORA. Anders als klassische Penetrationstests simuliert TLPT realistische Angriffe von Advanced Persistent Threats (APTs) und testet nicht nur technische Schwachstellen, sondern die gesamte Cyber-Resilienz einer Organisation. Für systemrelevante Institute ist TLPT ab 2025 verpflichtend.

TLPT nach DORA

Artikel 26 - Erweiterte Tests

Anwendungsbereich:

TLPT ist verpflichtend für:

Global systemrelevante Institute (G-SIIs)
Andere systemrelevante Institute (O-SIIs) nach nationalem Ermessen
Kritische Finanzmarktinfrastrukturen (CCPs, CSDs)

In Deutschland betrifft dies:

Deutsche Bank, DZ Bank, Commerzbank (G-SIIs)
Weitere große Privatbanken und Landesbanken (O-SIIs nach BaFin-Einstufung)
Potentiell große Sparkassen und Genossenschaftsbanken

Frequenz: Mindestens alle 3 Jahre

Aufsichtsbehörden können häufigere Tests anordnen bei:

Signifikanten Änderungen in der IT-Infrastruktur
Nach schwerwiegenden Cyber-Vorfällen
Bei Fusionen/Übernahmen

Unterschied zu traditionellen Pentests

Aspekt	Traditioneller Pentest	TLPT
Zielsetzung	Schwachstellen identifizieren	Realistische Angriffssimulation
Scope	Technische Systeme	Technisch + Organisatorisch + Physisch
Threat Model	Generische Angriffe	APT-basiert, intelligence-driven
Methodik	White/Gray/Black Box	Red Team vs. Blue Team
Vorabinformation	Teams informiert	Blind/Double-Blind (keine Vorwarnung)
Dauer	Tage bis Wochen	Wochen bis Monate
Kosten	€10k-€50k	€100k-€500k+

TIBER-EU Framework

Grundlage für DORA-TLPT

DORA referenziert auf TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), ein vom ECB entwickeltes Framework.

TIBER-EU Principles:

Threat Intelligence-Led: Basiert auf realen Bedrohungen für das spezifische Institut
Red Team Expertise: Hochqualifizierte externe Tester
Controlled Environment: Governance und Aufsicht während des Tests
Collaboration: Enge Zusammenarbeit zwischen Institut, Testern, Aufsicht

TIBER-EU Phasen

Phase 1: Preparation

1.1 Scope Definition:

Festlegung der zu testenden Systeme und Prozesse (Crown Jewels)
Definition Out-of-Scope-Bereiche
Zieldefinition (z.B. "Zugriff auf Produktionsdatenbank Kernbankensystem")

Typische In-Scope Systeme:

Core Banking System
Zahlungsverkehrssysteme (SEPA, SWIFT)
Online/Mobile Banking
Treasury-Systeme
Kritische Cloud-Infrastrukturen

1.2 Team Assembly:

White Team: Projektmanagement, Koordination (internes Team + externe Moderation)
Blue Team: IT-Security und IT-Ops des Instituts (ohne Kenntnis des genauen Timings)
Red Team: Externe zertifizierte Pentester

1.3 Regulatorische Abstimmung:

Information der BaFin über geplantes TLPT
Abstimmung des Scopes
Festlegung von Reporting-Mechanismen

1.4 Rules of Engagement (RoE): Dokumentiert:

Erlaubte Angriffsvektoren
Verbotene Aktionen (z.B. physische Schäden, Datenexfiltration produktiver Kundendaten)
Eskalationspfade bei unvorhergesehenen Ereignissen
Kommunikationswege zwischen Red/White Team
Abbruchkriterien

Phase 2: Threat Intelligence (TI)

2.1 Bedrohungslandschaft analysieren:

Identifikation relevanter Threat Actors (z.B. Cybercrime-Gruppen, Nation-State-APTs)
Motive der Angreifer (finanziell, Spionage, Sabotage)
Typische TTPs (Tactics, Techniques, Procedures) gemäß MITRE ATT&CK Framework

2.2 Institutsspezifische TI:

Historische Angriffe auf das Institut
Branchenspezifische Trends (Banking-Trojaner, BEC-Angriffe)
Technologie-Stack-spezifische Schwachstellen
Lieferketten-Risiken (Third Parties)

2.3 TI-Report: Erstellt von externen TI-Providern (z.B. Mandiant, CrowdStrike, PwC Cyber Threat Intelligence):

Top-5-Bedrohungsszenarien
Detaillierte Attack Scenarios
Indicators of Compromise (IoCs)
Empfohlene Detektionsmechanismen

Phase 3: Red Team Test

3.1 Reconnaissance: Red Team sammelt Informationen (OSINT):

Öffentlich verfügbare Daten (Website, Social Media, Job-Postings)
Technische Infrastruktur (DNS, öffentliche IPs, exposed Services)
Mitarbeiter-Informationen (LinkedIn, XING)
Drittanbieter und Partner

3.2 Initial Access: Typische Vektoren:

Phishing: Spear-Phishing gegen ausgewählte Mitarbeiter (C-Level, IT-Admins)
Watering Hole: Kompromittierung häufig besuchter Websites
Supply Chain: Angriff über Drittanbieter-Zugriffe
Physischer Zugang: Tailgating, USB-Drop
Exploitation: Ausnutzung öffentlicher Schwachstellen (0-Days optional)

3.3 Lateral Movement: Nach initialem Zugriff:

Privilege Escalation (Erlangung Admin-Rechte)
Bewegung durch Netzwerk (Pivot zwischen Segmenten)
Credential Harvesting (Sammlung weiterer Zugangsdaten)
Persistenz etablieren (Backdoors)

3.4 Objective Execution: Erreichen des definierten Ziels:

Zugriff auf Crown Jewels (z.B. Kundendatenbank)
Simulierte Datenexfiltration (ohne tatsächlichen Datentransfer produktiver Daten)
Demonstration von Impact (z.B. Fähigkeit, Transaktionen zu manipulieren)

3.5 Dokumentation: Während des gesamten Tests:

Detailliertes Logging aller Aktionen
Screenshots als Beweismittel
Timing aller Schritte
Identifizierte Schwachstellen

Dauer: Typischerweise 4-12 Wochen

Phase 4: Closure

4.1 Replays:

Red Team demonstriert erfolgreiche Angriffspfade dem Blue Team
Technische Tiefenanalyse
Validierung der Findings

4.2 Red Team Report: Umfasst:

Executive Summary (für Geschäftsleitung)
Detaillierte Attack Chain
Alle identifizierten Schwachstellen (technisch + organisatorisch)
Detektionslücken (was hätte Blue Team sehen müssen?)
Empfehlungen zur Remediation (priorisiert nach Kritikalität)

4.3 Purple Teaming Session:

Gemeinsame Workshop Red + Blue Team
Analyse: Warum wurden Angriffe nicht detektiert?
Verbesserung der Detection/Response-Capabilities

4.4 Remediation Plan:

Maßnahmenkatalog (Quick Wins + strategische Maßnahmen)
Verantwortlichkeiten und Zeitpläne
Budgetierung

4.5 Regulatory Reporting:

Bericht an BaFin mit Findings und Remediation Plan
Ggf. Präsentation gegenüber Aufsicht

Phase 5: Re-Test (Optional)

Nach Remediation (6-12 Monate später):

Replay der erfolgreichen Angriffspfade
Validierung: Wurden Schwachstellen geschlossen?
Ggf. neue Angriffsvektoren testen

Anforderungen an Red Teams

DORA-Zertifizierung

Artikel 26(11) - Tester-Qualifikationen:

Red Teams müssen nachweisen:

Technische Expertise: Zertifizierungen (OSCP, OSCE, GXPN, CREST)
Threat Intelligence Capabilities: Zugang zu aktuellen TI-Feeds
Finanzsektor-Expertise: Erfahrung mit Banking-Infrastrukturen
Reputation: Track Record, Referenzen
Cyber-Versicherung: Haftpflichtversicherung für Schäden

Typische Anbieter:

Big 4 Cyber-Security-Practices (Deloitte, PwC, EY, KPMG)
Spezialisierte Boutiquen (NCC Group, Mandiant/Google, CrowdStrike Services)
Nationale Player (SySS, Mogwai Labs in Deutschland)

Kosten:

Mittelgroße Institute: €150k-€300k
Große Institute/G-SIIs: €300k-€500k+
Zusatzkosten: TI-Provider, externe Moderation

Vertraulichkeit und Integrität

Non-Disclosure Agreements (NDAs):

Strikte Vertraulichkeit über Findings
Löschung aller Daten nach Projektende
Keine Wiederverwendung von IoCs oder TTPs für andere Kunden

Ethische Grenzen:

Keine echten Schäden (Produktionssysteme schützen)
Keine echte Datenexfiltration produktiver Kundendaten (nur Proof-of-Concept)
Compliance mit geltendem Recht (Hack-Paragraph)

Vorbereitung auf TLPT

Organisatorische Maßnahmen

Monate 1-3: Planung

Projektbudget sichern (€200k-€500k)
White Team etablieren (Projektleiter, Security, Risk, Compliance, Legal)
Scope definieren (welche Crown Jewels?)
RFP für Red Team und TI-Provider

Monate 4-6: Vorbereitung

Red Team Selection und Beauftragung
BaFin informieren
Rules of Engagement finalisieren
Blue Team sensibilisieren (ohne Details zu verraten)

Monate 7-9: Threat Intelligence

TI-Provider liefert Bedrohungsszenarien
Anpassung Detection/Response-Capabilities (Baseline)
Technische Vorbereitungen (Logging, Monitoring)

Monate 10-12: Red Team Test

Durchführung des Tests
Laufende Koordination White Team
Incident-Response bei unvorhergesehenen Ereignissen

Monate 13-15: Closure

Replay-Sessions
Remediation Planning
BaFin-Reporting

Monate 16-24: Remediation

Umsetzung der Maßnahmen
ggf. Re-Test nach 18 Monaten

Technische Vorbereitung

Vor TLPT sicherstellen:

Logging und Monitoring:

Umfassendes Logging aller sicherheitsrelevanten Events
SIEM mit aktuellen Use Cases
EDR auf allen Endpoints
Network Traffic Analysis (East-West-Traffic)
Centralized Log Management (min. 6 Monate Retention)

Detection Capabilities:

SOC etabliert oder ausgelagert
Incident Response Playbooks aktuell
UEBA (User and Entity Behavior Analytics)
Threat Intelligence Feeds integriert

Baseline:

Asset Inventory vollständig
Netzwerk-Segmentierung dokumentiert
Privileged Access Management implementiert
Vulnerability Management etabliert

Ziel: TLPT soll realistische Angriffe testen, nicht grundlegende Hygiene-Mängel aufdecken.

Erwartete Findings

Typische Schwachstellen in TLPTs

Technisch:

Unzureichende Netzwerksegmentierung (flaches Netzwerk)
Schwache Credential Management (Passwörter, MFA-Lücken)
Veraltete Systeme (ungepatchte Schwachstellen)
Schwache Konfiguration (Default-Credentials, zu offene Firewall-Regeln)
Fehlende Endpoint-Protection auf Legacy-Systemen

Organisatorisch:

Erfolgreiche Social-Engineering-Angriffe (Phishing-Klickraten > 20%)
Unzureichende Security Awareness
Fehlende Funktionstrennung (Entwickler haben Produktionszugriff)
Schwache Physical Security (Tailgating, ungesicherte Serverräume)

Prozessual:

Langsame Incident Detection (MTTD > 48h für kritische Angriffe)
Ineffektive Incident Response (fehlende Eskalation, unklare Verantwortlichkeiten)
Unzureichende Log-Analyse (zu viele False Positives, echte Angriffe übersehen)
Fehlende Coordination mit Drittanbietern

Lessons Learned

Aus bisherigen TLPTs (TIBER-NL, TIBER-DE Piloten):

Detection Gap: Durchschnittlich 30-60% der Red-Team-Aktivitäten werden nicht detektiert
Response Gap: Auch detektierte Angriffe werden oft nicht adäquat eskaliert
Third Party Blind Spot: Angriffe über Drittanbieter-Zugänge sind besonders erfolgreich
Social Engineering: Bleibt effektivster Einstiegsvektor (trotz Awareness-Trainings)

Remediation Best Practices

Priorisierung

Kritisch (sofort):

Crown Jewels direkter Zugriff ohne weitere Hürden
0-Day-Exploits auf kritischen Systemen
Fehlende MFA auf privilegierten Accounts

Hoch (3 Monate):

Netzwerksegmentierung-Schwächen
EDR-Lücken auf wichtigen Systemen
Schwache Phishing-Resilienz

Mittel (6 Monate):

Legacy-Systeme-Modernisierung
Prozessverbesserungen (Incident Response)
Awareness-Trainings

Niedrig (12 Monate):

Nice-to-have Security-Enhancements
Strategische Architektur-Änderungen

Quick Wins

In 30 Tagen umsetzbar:

MFA für alle privilegierten Accounts aktivieren
Schwache Credentials zurücksetzen
Kritische Patches einspielen
Firewall-Regeln verschärfen (Least Privilege)
SOC-Use-Cases für Red-Team-TTPs ergänzen

Aufsichtserwartungen

BaFin-Perspektive

Vor TLPT:

Frühzeitige Information (6 Monate Vorlauf)
Plausibilität des Scopes
Qualifikation des Red Teams

Während TLPT:

Ggf. Teilnahme an Kick-off und Replay-Sessions
Keine operative Einmischung (Unabhängigkeit wahren)

Nach TLPT:

Detaillierter Report (Findings, Remediation Plan)
Angemessenheit der Maßnahmen
Ambitionierte, aber realistische Timelines
Follow-up: Nachweis der Umsetzung

Sanktionen bei Nichtdurchführung:

Bußgelder möglich
Anordnungen zur Durchführung
Reputationsschäden (Veröffentlichung)

Kosten-Nutzen-Betrachtung

Kosten

Direkte Kosten:

Red Team: €100k-€300k
TI-Provider: €30k-€80k
White Team Moderation (extern): €20k-€50k
Interne Ressourcen (FTEs): 1-2 Jahre, 3-5 Mitarbeiter
Remediation: €200k-€1M+ (je nach Findings)

Gesamtkosten: €500k-€2M pro TLPT-Zyklus

Nutzen

Quantifizierbar:

Vermeidung von Cyber-Incident-Kosten (Ø €3M pro schwerem Vorfall)
Reduktion Cyber-Versicherungsprämien (Nachweis guter Resilienz)
Compliance-Konformität (Vermeidung Bußgelder)

Strategisch:

Realer Test der Cyber-Abwehrfähigkeiten
Identifikation blinder Flecken
Verbesserung der Sicherheitskultur
Stärkung des Vertrauens (Kunden, Investoren, Aufsicht)
Wettbewerbsvorteil (Resilienz als USP)

Alternativen für nicht-TLPT-pflichtige Institute

Für Institute ohne TLPT-Pflicht:

Lightweight TLPT:

Reduzierter Scope (nur kritischste Systeme)
Kürzere Dauer (2-4 Wochen)
Kosten: €50k-€100k

Purple Teaming:

Kooperatives Testing (Red + Blue Team gemeinsam)
Fokus auf Detection-Verbesserung
Kosten: €30k-€70k

Scenario-Based Testing:

Tabletop-Übungen mit realistischen APT-Szenarien
Ohne tatsächliche technische Angriffe
Kosten: €10k-€30k

Continuous Security Validation:

Automatisierte Angriffssimulation (Tools wie SafeBreach, Cymulate)
Laufende Validierung statt punktueller Test
Kosten: €50k-€150k p.a. (Lizenz + Services)

Fazit

TLPT nach DORA ist eine der anspruchsvollsten, aber auch wertvollsten Cyber-Security-Maßnahmen. Durch die Simulation realistischer APT-Angriffe erhalten Institute ein ehrliches Bild ihrer Cyber-Resilienz - jenseits von Compliance-Checkboxen. Die Investition ist erheblich, aber angesichts der steigenden Cyber-Bedrohungen und potentieller Schadenskosten gut begründet. Institute sollten TLPT als strategische Chance zur Verbesserung ihrer Security Posture begreifen und nicht nur als regulatorische Pflicht.