DORA TLPT

Warum TLPT die anspruchsvollste DORA-Testanforderung ist

TLPT geht weit ueber klassische Penetrationstests hinaus: Es simuliert realistische Angriffe spezifischer, fuer die Organisation relevanter Bedrohungsakteure - basierend auf aktueller Threat Intelligence, durchgefuehrt von akkreditierten externen Testern ueber mehrere Monate, mit dem Ziel, die tatsaechliche Resilienz gegen reale Angriffsmuster zu pruefen, nicht nur technische Schwachstellen aufzulisten.

Wo DORA-TLPT gefordert wird

Framework	Referenz	Anforderung
DORA	Art. 26	Erweiterte Tests fuer IKT-Werkzeuge, -Systeme und -Prozesse: TLPT als hoechste Teststufe.
DORA	Art. 27	Anforderungen an Tester: Akkreditierung, Unabhaengigkeit und technische Qualifikation.
TIBER-EU	vollstaendig	Europaeischer Rahmen der EZB als methodische Grundlage fuer DORA-TLPT.
EBA/ESMA/EIOPA	RTS TLPT	Technische Regulierungsstandards mit detaillierten TLPT-Durchfuehrungsanforderungen.
BaFin	TIBER-DE	Deutsche Umsetzung des TIBER-EU-Rahmens als nationale TLPT-Methodik.

BAM-Objektreferenz

Haeufige Fehler

• Annahme, TLPT betreffe alle Finanzunternehmen gleichermassen (gilt primaer fuer systemrelevante Institute)
• Klassischer Penetrationstest faelschlich als TLPT-Ersatz behandelt
• Keine vorbereitete Threat-Intelligence-Basis fuer realistische Bedrohungsszenarien
• Interne Stakeholder nicht auf den mehrmonatigen, ressourcenintensiven Prozess vorbereitet

Der TLPT-Prozess im Ueberblick

Ein TLPT-Zyklus nach TIBER-EU-Methodik umfasst typischerweise eine Vorbereitungsphase (Scope-Definition, Threat-Intelligence-Erstellung), eine Testphase (Red-Team-Simulation realer Angriffe ueber mehrere Wochen) und eine Abschlussphase (Bericht, Massnahmenplan, Wiederholungstest bei kritischen Befunden). Nicht alle Finanzunternehmen muessen TLPT durchfuehren - die Aufsichtsbehoerde bestimmt, welche Institute aufgrund ihrer Systemrelevanz einbezogen werden.

Verwandte Begriffe