Bedrohungsorientierte Penetrationstests (TLPT)

Umfassende Angriffssimulation zur Überprüfung der digitalen Resilienz

Neben regulären Sicherheitstests müssen bestimmte Finanzunternehmen übergreifende, bedrohungsorientierte Penetrationstests (TLPT) durchführen, um gezielt Schwachstellen aufzudecken. TLPTs sind simulieren gezielte Angriffe, um die Belastbarkeit der IKT-Sicherheitsmaßnahmen zu prüfen und Schwachstellen zu identifizieren.

Die Domäne „Bedrohungsorientierte Penetrationstests“

Die inhaltlichen Anforderungen zu TLPT sind im DORA-Puzzle der Domäne „Bedrohungsorientierte Penetrationstests“ zugeordnet. Hier einige Beispiele:

  • Erstellung einer TLPT-Richtlinie: Unternehmen müssen definieren, wie TLPTs geplant, durchgeführt und nachbereitet werden.
  • Festlegung kritischer Funktionen: Es ist festzulegen, welche IKT-Systeme und Prozesse im Rahmen der Tests überprüft werden.
  • Verpflichtung zur Teilnahme: Relevante Unternehmen werden durch die Aufsichtsbehörden bestimmt und müssen die Tests regelmäßig durchführen​​.

Wissenswertes

Die Finanzunternehmen, die für TLPT relevant sind, werden auf Basis festgelegter Kriterien von den Aufsichtsbehörden bestimmt und über ihren Status informiert.

Alle Anforderungen zu diesem Thema finden sich im Schulungsfoliensatz „Operative IKT-Sicherheit“