Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

DORA Art. 26 · TIBER-DE · RTS 2025/1190

Threat-Led Penetration Testing -
DORA TLPT nach TIBER-DE

DORA Art. 26 verpflichtet bedeutende Finanzinstitute zu Threat-Led Penetration Tests gegen Live-Produktionssysteme. Die DORA-TLPT-RTS (EU 2025/1190, in Kraft ab 8. Juli 2025) konkretisiert die Anforderungen an RTT-Provider, TI-Provider und den dreiphasigen Prozess. AWARE7 führt diese regulatorisch anerkannten Engagements als qualifizierter RTT-Provider nach TIBER-DE durch - mit transparenter Methodik und verbindlichem Festpreisangebot.

Erstberatung vereinbaren Red Teaming allgemein
17
RTS-Artikel
Verordnung EU 2025/1190
12+
Wochen Testphase
Mindestdauer (RTS)
5
Jahre Erfahrung
Pflicht für RT-Test-Leader
10
Wochen Purple-Team
Frist ab Testende
TLPT-Zyklus
mind. alle 3 Jahre
500+
Pentests
AWARE7 Referenzen

DORA Art. 26 und die TLPT-RTS 2025/1190

Die EU-Verordnung (EU) 2022/2554 (DORA) ist seit dem 17. Januar 2025 unmittelbar anwendbar. Die Delegierte Verordnung (EU) 2025/1190 - die DORA-TLPT-RTS - konkretisiert Art. 26 mit 17 Artikeln und 8 Anhängen. Sie trat am 8. Juli 2025 in Kraft.

  • Pflicht zur TLPT (Art. 26 DORA): Bedeutende Finanzinstitute werden von BaFin / Bundesbank zur Durchführung von Threat-Led Penetration Tests verpflichtet - mindestens alle drei Jahre. Die Behörde kann den Rhythmus verkürzen.
  • Live-Produktionssysteme (kein Staging): TLPT richtet sich ausschließlich gegen Live-Produktionssysteme, die kritische Funktionen (CIF) des Instituts abbilden. Test-Environments und Staging-Systeme erfüllen die regulatorische Anforderung nicht.
  • RTT- und TI-Provider: Qualifikationspflicht (RTS Art. 5): Der Red Team Test Leader muss mindestens 5 Jahre nachgewiesene Erfahrung im Penetrationstest-/Red-Teaming-Bereich und 5 dokumentierte Referenzengagements vorweisen. Teamgröße: mindestens 3 Personen mit je ≥ 2 Jahren Erfahrung. Anerkannte Zertifizierungen: OSCP+, CREST CCRTS, GIAC GCIH, CompTIA PenTest+.
  • Unabhängigkeit der Provider (Art. 26 Abs. 9 DORA): RTT-Provider und TI-Provider müssen vollständig voneinander unabhängig sein und dürfen keine wirtschaftliche Verbindung zum geprüften Institut haben. Konzernzugehörigkeit schließt die Beauftragung aus.
  • Drittanbieter einbeziehen (Art. 26 Abs. 8 DORA): Sind kritische IKT-Funktionen an externe Anbieter ausgelagert (z.B. Cloud-Provider, Kernbanken-SaaS), müssen diese in die TLPT-Scope-Definition einbezogen werden. Das Finanzinstitut bleibt für den Gesamtprozess verantwortlich.
  • Behördliche Aufsicht und Closure Report: Scope, Methodik und Ergebnisse werden mit der Behörde abgestimmt. Nach Abschluss der Closure Phase ist ein Closure Report einzureichen, der Purple-Team-Erkenntnisse, Remediation-Plan und MITRE ATT&CK-Dokumentation enthält.

RTS 2025/1190: Die Delegierte Verordnung (EU) 2025/1190 wurde am 13. Februar 2025 von der Kommission angenommen und am 18. Juni 2025 im EU-Amtsblatt veröffentlicht und ist seit dem 8. Juli 2025 in Kraft. Sie löst die bisherigen TIBER-EU-Leitlinien als verbindliche Rechtsgrundlage ab. TIBER-DE wurde im Februar 2025 vollständig daran angepasst.

Fristen und Meilensteine nach Behördenbenachrichtigung

Nach der offiziellen Benachrichtigung durch BaFin oder Bundesbank laufen verbindliche Fristen. Typische Gesamtdauer: 5–7 Monate.

  1. Tag 0

    Behördenbenachrichtigung

    BaFin oder Bundesbank (TCT) identifiziert das Institut und initiiert den TLPT-Prozess. Das Institut wählt RTT-Provider (AWARE7) und TI-Provider aus.

  2. 3 Monate

    Control Team benennen

    Das White Team (Control Team) muss der Behörde gemeldet sein. Es besteht typischerweise aus CISO, Vorstand/Geschäftsführung und Legal/Compliance. Kick-off RTT-Provider: Generic Threat Landscape (GTL) startet.

  3. 6 Monate

    Generic Scope Document (GSD) eingereicht

    Scope for Scoping Document (SSD) / Generic Scope Document mit definierten kritischen Funktionen (CIF) wird mit der Behörde abgestimmt und eingereicht. TI-Provider beginnt Threat-Intelligence-Erhebung.

  4. Aktive Phase

    Red Team Test - mindestens 12 Wochen

    TI-Provider liefert den Targeted Threat Intelligence Report (TTI). AWARE7 Red Team startet Angriffssimulation gegen Live-Produktionssysteme. MITRE ATT&CK-Dokumentation aller Techniken, Taktiken und Artefakte.

  5. +10 Wochen

    Purple-Team-Übungen abgeschlossen

    Pflichtfrist: innerhalb von 10 Wochen nach Ende der aktiven Testphase müssen Purple-Team-Übungen durchgeführt und dokumentiert sein. Red Team und SOC erarbeiten gemeinsam Angriffsketten und Erkennungsverbesserungen.

  6. Closure

    Closure Report bei Behörde eingereicht

    Closure Report mit Findings, Remediation-Plan, Purple-Team-Ergebnissen und MITRE ATT&CK-Mapping wird bei BaFin / Bundesbank (TCT) eingereicht. Lesson-Learned-Session mit Vorstand und CISO.

DORA TLPT vs. klassischer Penetrationstest

TLPT ist keine Erweiterung eines Pentests - es ist eine fundamental andere Prüfmethodik.

Merkmal DORA TLPT Klassischer Pentest
Basis Echte Bedrohungsintelligenz (TTI-Report) Standardmethodik (OWASP, PTES)
Systeme Live-Produktion (Pflicht per RTS) Staging / Produktion wählbar
Blue Team Uninformiert (reale Bedingung) Oft informiert
Scope Kritische Funktionen (CIF) Frei definierbar
Regulierung Behörde genehmigt, Closure Report an BaFin Kein regulatorischer Rahmen
Dauer 5–7 Monate (Mindest-Testphase 12 Wochen) 3–10 Tage
TI-Provider Pflichtbestandteil (eigenständig, RTS Art. 5) Nicht erforderlich
Purple Team Pflicht innerhalb 10 Wochen nach Testende Optional
Anerkannt für DORA Art. 26-Nachweis (regulatorisch) ISMS-Audit, ISO 27001, NIS-2
Kosten 140.000–560.000 EUR (Marktschnitt) 5.000–50.000 EUR

Der TIBER-DE-Prozess in drei Phasen

TIBER-DE schreibt einen dreigliedrigen Ablauf vor. AWARE7 übernimmt die RTT-Rolle (Red Team Test Provider).

  1. 01

    Preparation Phase

    4–6 Wochen
    • Scope-Definition gemeinsam mit White Team und Aufsichtsbehörde (BaFin / Bundesbank TCT)
    • CIF-Bewertung: 4-dimensionale Analyse kritischer Funktionen
    • Beauftragung des unabhängigen TI-Providers (Pflicht nach RTS Art. 5)
    • Kick-off RTT: Generic Threat Landscape (GTL) durch AWARE7
    • Rules of Engagement (RoE) unterzeichnen, Generic Scope Document (GSD) erstellen
  2. 02

    Testing Phase

    ≥ 12 Wochen (RTS-Pflicht)
    • TI-Provider liefert Targeted Threat Intelligence Report (TTI) auf Basis von Dark-Web-Quellen, OSINT und Sektorintelligenz
    • AWARE7 Red Team plant Kampagne auf Basis des TTI - Institution-spezifisch, keine generischen Angriffe
    • Aktive Angriffssimulation gegen Live-Produktionssysteme (kritische Funktionen)
    • MITRE ATT&CK-Dokumentation aller Techniken, Taktiken, Procedures (TTPs) mit Zeitstempeln
    • Laufendes Briefing des White Teams (kein Blue Team / SOC uninformiert)
  3. 03

    Closure Phase

    4–6 Wochen
    • Purple-Team-Übungen (Pflicht innerhalb 10 Wochen nach Ende der aktiven Phase): Angriffsketten gemeinsam mit SOC/Blue Team nachspielen
    • Remediation-Planung und priorisierte Maßnahmenempfehlungen
    • Erstellung des Closure Reports nach TIBER-DE / RTS 2025/1190 Anforderungen
    • Einreichung bei BaFin / Bundesbank (TCT) - Nachweis der DORA Art. 26-Erfüllung
    • Lessons-Learned-Session mit Vorstand und CISO

Kritische Funktionen (CIF) - der Scope-Kern jedes TLPT

DORA Art. 2 und RTS Art. 8–12 definieren, welche Funktionen als Critical or Important Functions (CIF) einzustufen sind. Die CIF-Bewertung ist Grundlage der gesamten Scope-Definition und wird in der Preparation Phase gemeinsam mit dem White Team und der Behörde vorgenommen.

1. Finanzielle Stabilität

Funktionen, deren Ausfall die finanzielle Stabilität des Instituts oder des Finanzsektors gefährden würde - z.B. Liquiditätsmanagement, Eigenkapitalberechnung, aufsichtsrechtliches Reporting.

2. Systemische Vernetzung

Funktionen, die bei Kompromittierung systemrelevante Auswirkungen auf andere Marktteilnehmer hätten - z.B. Interbanken-Clearing, TARGET2-Schnittstellen, CCPs.

3. Ersetzbarkeit

Funktionen, die nicht in vertretbarer Zeit durch Ersatzsysteme übernommen werden können - z.B. proprietäre Kernbankensysteme ohne Redundanz, kritische Handelsplattformen.

4. Regulatorische Kontinuität

Funktionen, die für behördliche Berichterstattung und Compliance essenziell sind - z.B. Meldewesen-Systeme, AML/KYC-Infrastruktur, MiFID-Reporting.

Typische CIF-Systeme in der Praxis:

KernbankensystemZahlungsabwicklungTARGET2-AnbindungOnline-Banking-PlattformHandelsplattformAuthentifizierungsinfrastrukturMeldewesen-SystemAML/KYC-EngineClearing & SettlementMobile Banking App

Warum AWARE7 als RTT-Provider nach RTS 2025/1190?

Die DORA-TLPT-RTS stellt klare Anforderungen an Red-Team-Test-Provider. AWARE7 erfüllt alle davon.

OSCP+-zertifiziertes Team

11 Offensive-Security-Consultants, davon 4 × OSCP+ (OffSec). Mehrere CVE-Autoren (Adobe, WooCommerce, Pi-hole). Leitung durch Vincent Heinen, M.Sc. IT-Sicherheit (RUB), Head of Offensive Services. Erfüllt RTS Art. 5: RT-Test-Leader ≥ 5 Jahre, Teamgröße ≥ 3 Personen.

Finanzsektor-Referenzen (BaFin-reguliert)

Engagements bei BaFin-regulierten Instituten - darunter mehrjährige Red-Team-Übungen für Kreditinstitute und Zahlungsdienstleister unter Einhaltung regulatorischer Anforderungen. Mehr als 500 abgeschlossene Penetrationstest-Projekte.

ISO 27001 zertifiziert (seit 2022)

AWARE7 GmbH ist nach ISO/IEC 27001:2022 zertifiziert. Auditoren, Auftraggeber und Behörden akzeptieren unsere ISMS-Zertifizierung als Qualitätsnachweis. Wichtig für die RTT-Provider-Qualifizierung nach TIBER-DE-Beschaffungsrichtlinien.

Hiscox E&O-Versicherung (Pflichtnachweis)

Berufshaftpflichtversicherung (Errors & Omissions) bei Hiscox SA über 3.000.000 EUR nach dem Produkt NET IT by Hiscox. Pflichtnachweis im TIBER-DE-Beschaffungsprozess - von Behörde und White Team prüfbar.

MITRE ATT&CK-Dokumentation

Vollständige Dokumentation aller Angriffstechniken nach MITRE ATT&CK Enterprise: Taktiken, Techniken, Procedures (TTPs) mit Zeitstempeln und Artefakten. RTS-konformer Closure Report inklusive. Purple-Team-Vorbereitung ab erstem Tag.

Daten bleiben in Deutschland

AWARE7 ist ein deutsches Unternehmen mit Sitz in Gelsenkirchen. Alle Testdaten werden ausschließlich auf deutschen Servern verarbeitet. Kein Datentransfer in Drittstaaten - relevant für BSI-KRITIS, regulatorische Datenschutzanforderungen und Bankgeheimnis.

Welche Institute sind von DORA TLPT betroffen?

RTS Art. 2 (EU 2025/1190) legt objektive Schwellenwerte fest. Darüber hinaus benennt die Behörde weitere Institute auf Basis einer Risikoanalyse.

Automatisch einbezogen nach RTS Art. 2:

  • O-SII / G-SIB: Systemrelevante Kreditinstitute und Wertpapierfirmen unter direkter EZB-Aufsicht (SSM) werden automatisch zur TLPT verpflichtet.
  • Versicherungsunternehmen: Erstversicherer und Rückversicherer mit einem Brutto-Prämienvolumen (GWP) über 500 Mio. EUR.
  • Zahlungsdienstleister: Zahlungsinstitute mit einem Transaktionsvolumen über 150 Mrd. EUR bzw. E-Geld-Institute über 120 Mrd. EUR pro Jahr.

Systemrelevante Banken

O-SII/G-SIB automatisch; weitere nach BaFin-Risikoabwägung

Versicherungsunternehmen

BaFin-beaufsichtigte Erst- und Rückversicherer > 500 Mio. EUR GWP

Zahlungsdienstleister

Zahlungsinstitute, E-Geld-Institute > 120 Mrd. EUR Transaktionsvolumen

Wertpapierfirmen

CRR-Wertpapierfirmen und größere Investmenthäuser

Zentrale Gegenparteien

CCPs, Zentralverwahrer (CSDs), Handelsplattformen

Auf Behördenanordnung

Kleinere Institute können auf Anordnung einbezogen werden

Ausgenommen sind laut DORA Art. 16 kleine, nicht-verbundene Finanzinstitute. Die genaue Klassifizierung nimmt BaFin bzw. die Bundesbank vor.

Kosten und Budgetplanung für DORA TLPT

TLPT-Engagements sind erheblich umfangreicher als klassische Penetrationstests - die Kosten spiegeln Dauer, Teamgröße und regulatorischen Aufwand wider.

RTT-Provider (AWARE7)

80.000 – 300.000 EUR

Scope-Komplexität, Anzahl CIF-Systeme, Dauer der aktiven Phase (mind. 12 Wochen), Teamgröße (mind. 3 Personen nach RTS)

TI-Provider (separat)

30.000 – 80.000 EUR

Targeted Threat Intelligence Report (TTI): Dark-Web-Recherche, OSINT, Malware-Analyse, Sektor-Intelligence. Muss unabhängig vom RTT-Provider sein.

Interne Koordinationskosten

30.000 – 180.000 EUR

White Team-Aufwand, Legal/Compliance, externe Rechtsberatung, Behördenabstimmung, CISO-Zeit, Remediation-Umsetzung

Σ

Gesamtkosten TLPT: 140.000 – 560.000 EUR

Marktschnitt für erste TLPT-Engagements großer deutscher Banken: ca. 300.000–450.000 EUR. AWARE7 erstellt ein verbindliches Festpreisangebot - keine Stundensätze, keine Nachforderungen. Angebot innerhalb 48h nach Erstberatung.

TIBER-DE im internationalen Vergleich

TIBER-DE ist Teil eines weltweiten Ökosystems regulatorischer Red-Team-Frameworks. Alle folgen dem dreiphasigen Ansatz und mandatieren echte Bedrohungsintelligenz.

Framework Land / Region Behörde Seit Basis
TIBER-DE Deutschland Deutsche Bundesbank / BaFin 2019 TIBER-EU / DORA
CBEST Vereinigtes Königreich Bank of England 2014 Eigenständig
TIBER-EU EU (übergreifend) EZB 2018 Referenz-Framework
TIBER-NL Niederlande DNB 2016 TIBER-EU
TIBER-SE Schweden Riksbank 2020 TIBER-EU
TIBER-BE Belgien BNB 2019 TIBER-EU
iCAST Hongkong HKMA 2021 CBEST/TIBER-EU
CORIE Australien RBA / APRA 2020 Eigenständig

Ein TIBER-DE-Abschluss kann in bestimmten Konstellationen grenzüberschreitend für mehrere EU-Jurisdiktionen anerkannt werden - insbesondere bei Instituten mit Tochtergesellschaften in mehreren EU-Mitgliedstaaten.

Häufige Fragen zu DORA TLPT und TIBER-DE

Threat-Led Penetration Testing (TLPT) ist eine Pflichtprüfung für bedeutende Finanzinstitute nach DORA-Verordnung (EU) 2022/2554, Art. 26. Anders als ein klassischer Penetrationstest basiert TLPT auf echter Bedrohungsintelligenz (Targeted Threat Intelligence) zu aktuellen Angreifern, die speziell die Institution oder den Sektor im Visier haben. Das Red Team simuliert diese realen Gegner gegen Live-Produktionssysteme - inkl. kritischer Funktionen wie Zahlungsabwicklung oder Kernbankensysteme. Der gesamte Prozess steht unter behördlicher Aufsicht und muss der zuständigen Behörde (BaFin / Bundesbank) gemeldet werden.
Art. 26 DORA verpflichtet jene Finanzinstitute, die von der zuständigen Behörde (in Deutschland: BaFin oder Bundesbank) auf Basis einer Risikoabwägung identifiziert werden. Die DORA-TLPT-RTS (Verordnung EU 2025/1190, in Kraft ab 8. Juli 2025) präzisiert Schwellenwerte: automatisch einbezogen werden Kreditinstitute und Wertpapierfirmen der Kategorie O-SII/G-SIB, Versicherungsunternehmen mit einem GWP über 500 Mio. EUR sowie Zahlungsdienstleister mit einem Transaktionsvolumen über 120 Mrd. EUR. Kleine Nicht-Verbundunternehmen sind ausgenommen. Betroffene Institute müssen TLPT mindestens alle drei Jahre durchführen.
Ein klassischer Penetrationstest prüft definierte Systeme auf bekannte Schwachstellen - der Scope ist eng, das Blue Team meist informiert, die Methodik standardisiert, die Dauer 3-10 Tage. TLPT geht fundamental weiter: (1) Basis ist ein spezifischer Targeted Threat Intelligence Report (TTI) durch einen zertifizierten TI-Provider für genau dieses Institut; (2) getestet wird gegen Live-Produktionssysteme, nicht gegen Staging; (3) das Blue Team (SOC) weiß nicht, dass ein Test stattfindet; (4) der Gesamtprozess dauert 5-7 Monate inkl. Preparation, aktiver Testphase (mindestens 12 Wochen) und Purple-Team-Closure; (5) Scope, Methodik und Ergebnisse werden mit BaFin / Bundesbank abgestimmt.
TIBER-DE (Threat Intelligence-Based Ethical Red-Teaming) ist das Rahmenwerk der Deutschen Bundesbank für regulatorisch anerkannte Red-Team-Tests im deutschen Finanzsektor. Es wurde 2019 eingeführt und im Februar 2025 vollständig an die DORA-TLPT-Anforderungen angepasst. TIBER-DE ist die in Deutschland zugelassene Methodik zur Erfüllung der DORA Art. 26-Pflicht. Engagements nach TIBER-DE werden vom TIBER Cyber Team (TCT) der Bundesbank koordiniert und von der Aufsichtsbehörde anerkannt.
Ein TIBER-DE-Engagement gliedert sich in drei Pflichtphasen: (1) Preparation Phase (4-6 Wochen nach Behördenbenachrichtigung): Scope-Definition mit der Behörde, Control-Team-Benennung (Frist: 3 Monate), White-Team-Setup, TI-Provider-Beauftragung, Generic Scope Document (GSD, Frist: 6 Monate). (2) Testing Phase (Mindestdauer 12 Wochen): TI-Provider liefert den TTI-Report, AWARE7 Red Team plant Kampagne und startet aktive Angriffssimulation gegen Live-Produktionssysteme, MITRE ATT&CK-Dokumentation aller Techniken. (3) Closure Phase: Purple-Team-Übungen (Pflicht, innerhalb von 10 Wochen nach Ende der aktiven Phase), Remediation-Plan, Closure Report und Einreichung bei BaFin / Bundesbank. Gesamtdauer: typischerweise 5-7 Monate.
Es gibt keine formale staatliche Akkreditierung für TIBER-DE RTT-Provider. Die Auswahl liegt beim Finanzinstitut, das den RTT-Provider anhand der TIBER-DE-Beschaffungsrichtlinien und der RTS-Anforderungen qualifiziert. Die Bundesbank (TCT) prüft im Rahmen der Scope-Definition, ob der Provider die Anforderungen erfüllt. Nach RTS Art. 5 muss der Red Team Test Leader mindestens 5 Jahre einschlägige Erfahrung und 5 nachgewiesene Referenzen mitbringen. Weitere Anforderungen: anerkannte offensive Zertifizierungen (z.B. OSCP+, CREST CCRTS), adäquate Berufshaftpflichtversicherung und vollständige Unabhängigkeit vom Prüfobjekt.
AWARE7 erfüllt alle RTS-Anforderungen für RTT-Provider: (1) Offensive-Security-Team mit 11 Consultants, davon 4 × OSCP+ (OffSec), mehrere CVE-Autoren (Adobe, WooCommerce, Pi-hole); (2) ISO/IEC 27001:2022-Zertifizierung; (3) Berufshaftpflichtversicherung bei Hiscox (3 Mio. EUR E&O, NET IT); (4) nachgewiesene Red-Team-Erfahrung bei BaFin-regulierten Finanzinstituten (Kreditinstitute, Versicherungen, Zahlungsdienstleister); (5) Anwendung der TIBER-DE-Methodik bei vergangenen Engagements unter Leitung von Vincent Heinen (Head of Offensive Services, M.Sc. IT-Sicherheit, RUB); (6) MITRE ATT&CK-Dokumentation für jeden Eingriff; (7) Daten bleiben in Deutschland.
Critical or Important Functions (CIF) sind der Scope-Kern eines TLPT. Nach DORA Art. 2 und den RTS werden Funktionen als kritisch eingestuft, wenn: (1) ihr Ausfall die finanzielle Stabilität oder die regulatorische Kontinuität gefährdet; (2) sie systemrelevante Auswirkungen auf andere Marktteilnehmer hätten; (3) sie nicht in vertretbarer Zeit durch Ersatzsysteme übernommen werden könnten; oder (4) sie für die behördliche Berichterstattung essenziell sind. Typische CIF: Kernbankensystem, Zahlungsabwicklung, Authentifizierungsinfrastruktur, operative Handelsplattformen, aufsichtsrechtliches Reporting. Die CIF-Bewertung erfolgt gemeinsam mit dem White Team und der Behörde in der Preparation Phase.
TLPT nach DORA richtet sich gegen die kritischen Funktionen (CIF) des Instituts - also die Systeme, die bei Ausfall oder Kompromittierung systemrelevante Auswirkungen hätten. Der Scope umfasst typischerweise Kernbankensysteme, Zahlungsinfrastruktur, Authentifizierungssysteme und operative Datenbanken. Die genaue Scope-Definition erfolgt in der Preparation Phase gemeinsam mit dem White Team und der Aufsichtsbehörde im Generic Scope Document (GSD). Getestet wird ausschließlich gegen Live-Produktionssysteme - kein Staging, kein Test-Environment.
TIBER-DE-konforme Engagements beginnen bei AWARE7 als RTT-Provider ab ca. 80.000 EUR (netto). Der Marktbereich für RTT-Provider liegt typischerweise zwischen 80.000 EUR und 300.000 EUR - abhängig von Scope-Komplexität, Dauer der aktiven Phase (Mindestlaufzeit 12 Wochen) und Teamgröße. Hinzu kommen die separat zu beauftragenden Kosten des TI-Providers für den TTI-Report (typisch 30.000-80.000 EUR). Ein vollständiges TLPT-Engagement liegt damit im Marktschnitt bei 140.000-560.000 EUR. AWARE7 erstellt ein verbindliches Festpreisangebot - keine Stundensätze, keine Nachforderungen.
Das White Team ist die Koordinationsstelle des Instituts, die als einzige Partei den vollen Überblick über das Engagement hat. Es besteht typischerweise aus Geschäftsführung/Vorstand, CISO und ggf. Legal/Compliance. Das White Team agiert als Bindeglied zwischen RTT-Provider, TI-Provider und Aufsichtsbehörde. Es genehmigt den Scope, kennt den Testzeitraum und trifft Notfallentscheidungen. Das operative IT-/Security-Team (Blue Team/SOC) bleibt bewusst uninformiert, um realistische Detektionsbedingungen zu gewährleisten.
Nach RTS Art. 6 dürfen Institute unter bestimmten Bedingungen interne Tester einsetzen: Das interne Red Team muss vollständig von der Funktion getrennt sein, die es testet. Für signifikante Kreditinstitute unter direkter EZB-Aufsicht (SSM-Institute) gilt: Sie müssen immer externe RTT-Provider beauftragen. Für andere Institute gilt: Maximal zwei aufeinanderfolgende TLPTs dürfen intern durchgeführt werden, das dritte muss extern sein. Die Qualifikationsanforderungen nach RTS Art. 5 gelten für interne Tester identisch wie für externe Provider.
Die Purple-Team-Phase ist nach RTS und TIBER-DE Pflichtbestandteil jedes TLPT und muss innerhalb von 10 Wochen nach Abschluss der aktiven Testphase stattfinden. In der Purple-Team-Übung werden Angriffsketten gemeinsam vom Red Team (AWARE7) und dem Blue Team (SOC des Instituts) nachgespielt: Das Red Team zeigt, wie ein Angriff abgelaufen ist - das Blue Team lernt, wie es hätte erkannt und gestoppt werden sollen. Ziel ist Wissensweitergabe, Detektionsverbesserung und die Vorbereitung des Remediation-Plans. Ohne dokumentierte Purple-Team-Phase ist der TLPT-Abschluss nicht regulatorisch anerkannt.
Ja - TIBER-DE ist Teil eines weltweiten Ökosystems vergleichbarer Rahmenwerke: CBEST (UK, seit 2014, Bank of England), TIBER-NL (Niederlande, DNB), TIBER-SE (Schweden, Riksbank), TIBER-BE (Belgien, BNB), TIBER-DK (Dänemark), iCAST (Hongkong, HKMA), CORIE (Australien, RBA). Alle folgen dem dreiphasigen Ansatz (Preparation / Testing / Closure), mandatieren echte Bedrohungsintelligenz und haben einen 3-Jahres-Zyklus. TIBER-EU (EZB) ist das übergreifende Referenzframework, aus dem DORA Art. 26 methodisch abgeleitet ist. Ein TIBER-DE-Abschluss kann in bestimmten Konstellationen grenzüberschreitend für mehrere Jurisdiktionen anerkannt werden.
Nach der Benachrichtigung durch BaFin / Bundesbank gelten folgende Fristen: (1) 3 Monate: Control Team (White Team) muss benannt und der Behörde gemeldet sein. (2) 6 Monate: Generic Scope Document (GSD) / Scope for Scoping Document (SSD) muss abgestimmt und eingereicht sein. (3) Aktive Testphase: Mindestdauer 12 Wochen (per RTS festgelegt). (4) Purple-Team-Übungen: Pflicht, innerhalb von 10 Wochen nach Ende der aktiven Phase. (5) Closure Report: Einreichung bei der Behörde nach Abschluss der Closure Phase. Gesamtdauer von Benachrichtigung bis Closure: typisch 5-7 Monate.
Die Delegierte Verordnung (EU) 2025/1190 der Kommission (DORA-TLPT-RTS) wurde am 13. Februar 2025 von der Kommission angenommen und am 18. Juni 2025 im EU-Amtsblatt veröffentlicht und trat am 8. Juli 2025 in Kraft. Sie enthält 17 Artikel und 8 Anhänge und konkretisiert die DORA Art. 26-Anforderungen: (1) Artikel 2: Schwellenwerte für betroffene Institute. (2) Artikel 5: Qualifikationsanforderungen für RTT- und TI-Provider (5 Jahre Erfahrung, 5 Referenzen für Test Leader). (3) Artikel 6: Bedingungen für interne Tester. (4) Artikel 8-12: CIF-Bewertungsrahmen und Scope-Prozess. (5) Artikel 13-15: Anforderungen an den TTI-Report. (6) Anhänge 1-8: Vorlagen für GSD, TTI-Report, Closure Report und weitere Pflichtdokumente.

Ihr Ansprechpartner für DORA TLPT

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

E-Mail
PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen

Verwandte Leistungen

Red Teaming

APT-Simulation für alle Branchen - technisch, Social Engineering, physisch.

DORA Compliance Beratung

Gesamte DORA-Umsetzung: IKT-Risikomanagement, Incident Reporting, Art. 30.

Penetrationstest

Technische Sicherheitsprüfungen für Web, Netzwerk, Cloud und Mobile.

Festpreisangebot in 48h

DORA TLPT planen?

Wir besprechen Scope, CIF-Bewertung, Zeitplan und Behördenabstimmung - kostenlos und unverbindlich. Sie erhalten ein verbindliches Festpreisangebot innerhalb von 48 Stunden.

Erstberatung vereinbaren +49 209 8830 6760