DORA: Threat-Led Penetration Tests im Finanzsektor

Der Digital Operational Resilience Act (DORA)¹ ist seit Januar 2025 in der gesamten EU unmittelbar anwendbar. Als EU-Verordnung gilt DORA direkt in allen Mitgliedsstaaten, ohne dass eine nationale Umsetzung erforderlich ist. Die Verordnung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzsektors zu stärken und einheitliche Anforderungen an die Sicherheit von IKT-Systemen zu schaffen.

Eine zentrale Besonderheit von DORA: Die Verordnung schreibt für bedeutende Finanzinstitute explizit Threat-Led Penetration Tests (TLPT) nach dem TIBER-EU-Framework vor. Damit macht DORA als erste EU-Verordnung Red Teaming zu einer regulatorischen Pflicht.

Was ist DORA?

DORA ist eine EU-Verordnung, die speziell auf den Finanzsektor abzielt. Sie legt einheitliche Anforderungen an die Sicherheit von Netz- und Informationssystemen fest, die in Geschäftsprozessen von Finanzunternehmen eingesetzt werden. Im Gegensatz zu Richtlinien wie NIS2 ist DORA eine Verordnung und damit ohne nationale Umsetzung direkt gültig.

Das Ziel: Finanzunternehmen sollen IKT-bezogene Störungen und Cyberangriffe nicht nur überstehen, sondern ihren Betrieb auch während und nach einem Vorfall aufrechterhalten können, also echte digitale operationale Resilienz erreichen.

Wer ist betroffen?

DORA betrifft nahezu den gesamten Finanzsektor. Die Verordnung gilt unter anderem für:

• Kreditinstitute (Banken)
• Versicherungs- und Rückversicherungsunternehmen
• Wertpapierfirmen und Investmentgesellschaften
• Zahlungsinstitute
• Zentralverwahrer und zentrale Gegenparteien
• Handelsplätze und Transaktionsregister
• Verwalter alternativer Investmentfonds (AIFMs)
• Ratingagenturen
• Anbieter von Kryptodienstleistungen
• Kritische IKT-Drittdienstleister (z. B. Cloud-Anbieter, Rechenzentren, Softwareanbieter)

Besonders der letzte Punkt ist relevant: Auch IKT-Dienstleister, die für Finanzunternehmen tätig sind, können unter die DORA-Anforderungen fallen und unterstehen somit direkt den europäischen Aufsichtsbehörden.

Was fordert DORA konkret?

Die Verordnung definiert fünf zentrale Säulen, die Finanzunternehmen umsetzen müssen:

IKT-Risikomanagement

Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Framework etablieren. Dazu gehören die Identifikation aller IKT-Ressourcen, regelmäßige Risikobewertungen, Schutzmaßnahmen und die kontinuierliche Überwachung von IKT-Systemen. Das Framework muss von der Geschäftsleitung genehmigt und regelmäßig überprüft werden.

Meldung von IKT-bezogenen Vorfällen

DORA schreibt eine strukturierte Meldepflicht für schwerwiegende IKT-bezogene Vorfälle vor:

• Erste Meldung: Unverzüglich nach Klassifizierung des Vorfalls
• Zwischenbericht: Mit detaillierten Informationen zum Vorfall und den ergriffenen Maßnahmen
• Abschlussbericht: Vollständige Analyse inklusive Ursachen und Lessons Learned

Die Klassifizierung erfolgt anhand von Kriterien wie betroffenen Kunden, Dauer, geografischer Ausbreitung und wirtschaftlichen Auswirkungen.

Tests der digitalen operationalen Resilienz

DORA fordert regelmäßige Tests der IKT-Systeme und -Prozesse. Für alle betroffenen Unternehmen umfasst das unter anderem:

• Gap-Analysen
• Überprüfungen der physischen Sicherheit
• Penetration Tests

Für bedeutende Finanzinstitute geht DORA noch deutlich weiter und schreibt Threat-Led Penetration Tests (TLPT) nach dem TIBER-EU-Framework vor. Diese müssen mindestens alle drei Jahre durchgeführt werden. TLPT sind damit die anspruchsvollste Testanforderung, die eine EU-Verordnung je an Unternehmen gestellt hat.

Was sind Threat-Led Penetration Tests (TLPT)?

TLPT sind keine gewöhnlichen Penetration Tests. Während klassische Pentests technische Schwachstellen in definierten Systemen identifizieren, simulieren TLPT reale Angriffsszenarien auf die kritischsten Geschäftsprozesse eines Finanzunternehmens.

Der Ablauf folgt dem TIBER-EU-Framework² und umfasst drei Phasen:

• Threat Intelligence Phase: Auf Basis aktueller Bedrohungsinformationen werden realistische Angriffsszenarien entwickelt, die spezifisch auf das Zielunternehmen und den Finanzsektor zugeschnitten sind.
• Red Team Phase: Ein externes Red Team führt die Angriffsszenarien gegen die produktiven Systeme des Unternehmens durch, ohne dass das Verteidigungsteam (Blue Team) vorab informiert ist. Dabei werden die Taktiken, Techniken und Prozeduren (TTPs) realer Angreifer eingesetzt.
• Purple Team und Abschluss: In einer gemeinsamen Übung werden die Ergebnisse mit dem Blue Team aufgearbeitet. Das Ziel: Erkennungslücken schließen und die Reaktionsfähigkeit verbessern.

Der entscheidende Unterschied zu herkömmlichen Tests: TLPT prüfen nicht nur, ob Schwachstellen existieren, sondern ob ein Angreifer sie ausnutzen kann, um kritische Geschäftsprozesse zu kompromittieren. Genau das ist es, was DORA unter digitaler operationaler Resilienz versteht.

Red Teaming vs. TLPT: Was ist der Unterschied?

Red Teaming ist eine flexible Methode zur realitätsnahen Angriffs­simulation. TLPT hingegen ist ein formalisiertes, regulatorisch vorgegebenes Framework, das Red Teaming nutzt, aber durch klare Vorgaben strukturiert und ergänzt. Konkret bedeutet das: Jedes TLPT beinhaltet ein Red Team Engagement, aber nicht jedes Red Team Engagement ist ein TLPT. TLPT folgt dem TIBER-EU-Framework mit definierten Phasen, Rollen und Berichtspflichten, während Red Teaming auch außerhalb dieses regulatorischen Rahmens eingesetzt werden kann.

Warum DORA auf Red Teaming setzt

Die Logik hinter der TLPT-Anforderung ist klar: Automatisierte Scans und herkömmliche Pentests können technische Schwachstellen finden, aber sie können nicht beantworten, wie widerstandsfähig ein Unternehmen gegen einen gezielten, motivierten Angreifer ist. Im Finanzsektor, wo die Auswirkungen eines erfolgreichen Angriffs systemisch sein können, reicht das nicht aus.

Red Teaming schließt diese Lücke, indem es die gesamte Angriffskette testet: von Initial Access über Lateral Movement und Privilege Escalation bis hin zum Zugriff auf kritische Systeme und Daten. Nur so lässt sich feststellen, ob die Summe aller Sicherheitsmaßnahmen im Zusammenspiel tatsächlich wirkt.

Wie wir Sie bei der DORA-Compliance unterstützen

Die Anforderungen von DORA an Resilienztests machen Penetration Tests und Red Team Engagements nicht zu optionalen Extras, sondern zu regulatorisch geforderten Pflichtmaßnahmen. So setzen wir das um:

TIBER-EU-konforme Threat-Led Penetration Tests

Für bedeutende Finanzinstitute fordert DORA explizit TLPT nach dem TIBER-EU-Framework. Unsere Red Team Engagements decken genau diesen Bedarf ab:

• Threat Intelligence: Wir entwickeln Angriffsszenarien auf Basis aktueller Bedrohungsinformationen, die spezifisch auf Ihr Unternehmen zugeschnitten sind.
• Red Team Execution: Wir simulieren realistische Angriffe gegen Ihre produktiven Systeme und kritischen Geschäftsprozesse, mit den TTPs realer Angreifer.
• Purple Teaming: Gemeinsam mit Ihrem Blue Team arbeiten wir die Ergebnisse auf, schließen Erkennungslücken und verbessern Ihre Reaktionsfähigkeiten.
• Regulatorisches Reporting: Unsere Berichte sind so aufgebaut, dass sie den Dokumentationsanforderungen der Aufsichtsbehörden entsprechen und direkt als TLPT-Nachweis dienen.

Penetration Tests als Basis der Resilienztests

Auch für Finanzunternehmen, die nicht unter die TLPT-Pflicht fallen, fordert DORA regelmäßige Sicherheitstests. Unsere Penetration Tests decken genau diesen Bedarf ab: Wir identifizieren reale Angriffspfade, testen die Wirksamkeit Ihrer Sicherheitsmaßnahmen und dokumentieren alle Findings mit konkreten Behebungsempfehlungen. Die Berichte dienen direkt als Compliance-Nachweis für die von DORA geforderten Resilienztests.

Verbesserung der Erkennungs- und Reaktionsfähigkeit

DORA stellt hohe Anforderungen an die Erkennung und Meldung von IKT-Vorfällen. Unsere Purple Team Exercises testen gezielt, ob Ihre Sicherheitssysteme (SIEM, EDR, SOC) reale Angriffstechniken erkennen. Die Ergebnisse zeigen konkret, wo Lücken in der Erkennungskette bestehen und wie die Meldeprozesse verbessert werden können. Im Kontext von TLPT ist die Purple-Team-Phase ohnehin ein integraler Bestandteil des Engagements.

IKT-Drittparteienrisiko bewerten

Da DORA auch die Sicherheit von IKT-Drittanbietern adressiert, können gezielte Penetration Tests von Schnittstellen, APIs und extern gehosteten Systemen dabei helfen, Sicherheitsrisiken in der Lieferkette zu identifizieren und zu dokumentieren.

Audit- und Aufsichtsvorbereitung

Die Finanzaufsichtsbehörden können jederzeit Nachweise über durchgeführte Resilienztests anfordern. Professionelle Pentest- und Red-Team-Berichte erfüllen diese Anforderung, insbesondere wenn sie regelmäßig durchgeführt und umfänglich dokumentiert sind.

DORA und NIS2: Wie hängen sie zusammen?

DORA und NIS2 überschneiden sich inhaltlich, da beide auf eine Stärkung der Cyber- und Betriebsresilienz abzielen. DORA gilt jedoch als lex specialis für den Finanzsektor: Wo DORA spezifischere Vorgaben macht, haben diese Vorrang vor NIS2. Für klassische Finanzunternehmen ersetzt DORA damit die NIS2‑Anforderungen vollständig.

Unsere Empfehlung: Jetzt handeln

DORA ist seit Januar 2025 in Kraft, die Übergangsphase ist vorbei. Finanzunternehmen müssen jetzt nachweisen können, dass sie die Anforderungen erfüllen. Wer TLPT-pflichtig ist, sollte sich frühzeitig vorbereiten, da die Planung und Durchführung eines vollständigen TIBER-EU-konformen Red Team Engagements mehrere Monate in Anspruch nimmt.

Auf Basis unserer Erfahrung empfehlen wir folgenden strukturierten Ansatz:

• Initialer Penetration Test: Um den aktuellen Sicherheitsstatus Ihrer IKT-Systeme zu bewerten und priorisierte Maßnahmen abzuleiten.
• Behebung der kritischen Findings: Mit Unterstützung durch unsere Security Advisory beheben wir gemeinsam die identifizierten Schwachstellen.
• Red Team Engagement / TLPT: Um die Resilienz gegen realistische, Threat-Intelligence-basierte Angriffsszenarien zu testen und die TIBER-EU-Anforderungen zu erfüllen.
• Regelmäßige Retests und Follow-up-Engagements: Um den kontinuierlichen Verbesserungsprozess nachzuweisen und für Aufsichtsprüfungen vorbereitet zu sein.

Dieser Zyklus entspricht genau dem, was DORA von Finanzunternehmen erwartet: nachweisbare, kontinuierliche Verbesserung der digitalen operationalen Resilienz.

Fazit

DORA setzt einen neuen Standard für die Cybersecurity im Finanzsektor. Die Verordnung geht über klassische Compliance hinaus und fordert echte, testbare Widerstandsfähigkeit gegen Cyberangriffe. Wer die Anforderungen ernst nimmt und mit einem pragmatischen Ansatz umsetzt, stärkt nicht nur die eigene Sicherheit, sondern ist auch gegenüber den Aufsichtsbehörden bestens aufgestellt.

Als Spezialisten für Offensive Security helfen wir Ihnen, die technischen DORA-Anforderungen nicht nur zu erfüllen, sondern zu verstehen und daraus nachhaltige Sicherheitsverbesserungen abzuleiten.

Jetzt unverbindlich anfragen