TLPT/TIBER: Threat-Led Penetration Testing / Threat Intelligence-based Ethical Red Teaming

Mit der Digital Operational Resilience Act (DORA)-Verordnung über die digitale operationale Resilienz im Finanzsektor wurden bedrohungsorientierte Penetrationstests (Threat Led Penetrationtests, kurz TLPT) verpflichtend als Element in die Regulatorik aufgenommen. Diese Tests bauen auf dem TIBER-Rahmenwerk auf und beschreiben bedrohungsorientierte Red Teaming Assessments, bei denen Akteure anhand entsprechender Szenarien emuliert werden. Der technische Standard enthält alle relevanten Informationen.

Dabei soll in einem solchen TLPT-Test eine echte Cyberbedrohung in Form eines maßgeschneiderten Tests für die Live-Produktionssyteme des entsprechenden Unternehmens imitiert werden. Das Red Team schlüpft dafür in die Rolle verschiedener Angreifer(-gruppen) und stellt diese mit den entsprechenden Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, kurz TTPs) nach. 
In entsprechenden Red Team Assessments werden dabei alle Verteidigungslinien vom Schutz der Systeme im äußeren Perimeter, über die Angriffserkennung bis hin zu den besonderen Schutzmaßnahmen der entsprechenden Kronjuwelen, den Kernsystemen, getestet.
Somit bieten Red Team Assessments Unternehmen die Möglichkeit, zu prüfen, wie gut sie auf reale Bedrohung eingestellt sind, und zu lernen, an welchen Stellen noch Verbesserungspotenzial ist.

Dafür wurde das TIBER-EU-Rahmenwerk 2025 entsprechend angepasst, um zukünftig auch den DORA-Anforderungen für TLPTs zu genügen – das aktualisierte Rahmenwerk ist bei der EZB ersichtlich. Die SySS hat bereits mehrere TIBER-DE-Tests durchgeführt und entsprechend viel Erfahrung auf diesem Gebiet gesammelt. Damit ist die SySS bestens vorbereitet, um Ihnen bei der Durchführung dieser bedrohungsorientierten Penetrationstests zu unterstützen.

Solche TLPTs werden in Live- und Produktionsumgebungen durchgeführt, weswegen es für die Durchführung wichtig ist, dass das Projektteam mit entsprechenden Netzwerken und Systemen vertraut ist. Auch der Umgang mit schwierigen Voraussetzungen und eine angemessene Kommunikation an das Management spielen eine wichtige Rolle. Daher gelten für die Red Team-Tester und den Red Team-Manager klare Voraussetzungen. Für DORA TLPTs muss diese Qualifikation durch Berufserfahrung und fachrelevante Zertifizierungen nachgewiesen werden. So müssen Red Team-Manager fünf und Red Team-Tester zwei Jahre an Erfahrung vorweisen.
Zudem wird das entsprechende Team so zusammengestellt, dass insgesamt fünf verschiedene Assessments in der Vergangenheit durchgeführt worden sind.
Der technische Standard (Artikel 5, 2f) weist die entsprechenden Voraussetzungen aus.

Grundsätzlich kann das Rahmenwerk auch auf andere Branchen außerhalb der Finanzindustrie adaptiert werden – beispielsweise fördern Tests nach dem Vorbild von TLPT-und TIBER-Rahmenwerk auch für Unternehmen in der kritischen Infrastruktur (KRITIS) entsprechende Ergebnisse zutage.
Auch hier kann die SySS auf viele erfolgreiche Projekte zurückblicken.

Neben den entsprechend von der TLPT Authority ausgesuchten Instituten bietet sich dieses Framework auch für die folgenden Unternehmensgruppen an:

• Finanzinstitute verschiedener Größen
• Große Versicherer
• IT-kritische Finanzdienstleister

Egal, ob Sie sich auf die Durchführung eines TLPTs vorbereiten, einen nicht regulierten TLPT planen oder ein allgemeines Red Team-Assessment durchführen wollen – unsere Experten beraten Sie gerne.

Weitere Informationen haben wir in unserem TLPT-/TIBER-Flyer für Sie zusammengestellt.

1. Vorbereitungsphase

Nach der Identifikation durch die TLPT Authority werden entsprechende Dienstleister beschafft und es werden initiale Kick-off-Meetings sowie der Scope des Projektes bestimmt. Dabei unterstützt sowohl der Red Team- als auch der TI-Provider bereits im Kick-off-Meeting. 
Zusätzlich dazu sorgt der Scoping-Workshop dafür, dass die kritischen Funktionen des Unternehmens analysiert werden (oft auf Basis einer aktuellen Business-Impact-Analyse in Kombination mit einer entsprechenden Schutzbedarfsfeststellung).

Dabei entstehen einige Ziele für das Projekt, welche in den aktiven Phasen betrachtet werden.

2. Testphase

Die Testphase wird unterteilt in die TI-Phase, in der das TI-Team Angriffsszenarien entwickelt, und die Red Teaming-Phase, in der die erarbeiteten Angriffsszenarien durchgeführt werden.

Threat Intelligence:

In dieser Phase werden öffentliche Informationen gesammelt und in Kombination mit einem Bericht zur Bedrohungslage zusammengefasst. Resultierend daraus erstellt der TI-Anbieter ein Profil des Unternehmens sowie verschiedene Bedrohungsszenarien und die dazugehörigen Zielsysteme.
Neben der Szenariendefinition wird in dieser Phase auch eine technische Reconnaissance durchgeführt, welche die öffentliche Angriffsoberfläche darstellt.

Red Teaming:

Auf Basis der vorhergehenden Informationssammlung und der definierten Szenarien erarbeitet das Red Team mögliche Angriffswege für die entsprechenden Szenarien und Ziele. Heraus kommt ein detaillierter Angriffsplan, der mit dem CT des Kunden und dem TCT abgestimmt wird. 
Daraufhin startet die aktive Phase des Red Team-Tests, welche die Durchführung von Angriffen für einen Zeitraum von mindestens zwölf Wochen beinhaltet.

Diese Angriffe enthalten dabei mindestens drei End-to-End-Szenarien, die das Red Team erprobt. Dabei richtet das Red Team die entsprechenden Angriffe nach der Bedrohungslage und der ausgewählten Szenarien aus.
So kann es beispielsweise sein, dass das Red Team die Rolle von Hackergruppen wie Black Basta einnimmt und dabei versucht, genau wie diese Gruppe an entsprechende Daten zur Exfiltration und Verschlüsselung zu gelangen.

Übrigens: Im Rahmen des Projektes gibt es tägliche Statusmeetings, sodass Sie immer darüber informiert sind, was das Red Team als nächstes plant. Während dieser Meetings gibt das Red Team auch eine Risikoabschätzung ab – die Entscheidung schlussendlich liegt beim CT.

3. Abschlussphase

In der Abschlussphase erstellt das Red Team einen Testbericht, der in Kombination mit dem Blue Team-Bericht genutzt werden kann, um einen Maßnahmenplan zu erstellen. Dieser Blue Team-Bericht wird vom Kunden erstellt und beschreibt, welche Aktionen erkannt wurden und wo noch Verbesserungspotenzial besteht. Daher ist im Red Team-Bericht eine detaillierte Zeitleiste der durchgeführten Aktionen enthalten.
Daraufhin werden in Replay- und Purple Team-Workshops entsprechende Angriffe neu erprobt.