Red Teaming · TIBER-DE · DORA TLPT

Red Teaming — Ihr freundlicher Advanced Persistent Threat.

Keine Vorabwarnung. Kein abgesteckter Testpfad. Wir bilden nach, wie echte Angreifer gegen Ihr Institut vorgehen — nachrichtendienstlich gesteuert, nach der TIBER-EU-Methodik, aus einem Team.

TIBER-EU Methodik·DORA TLPT abgeschlossen 2024·Banken & KRITIS·~10 Jahre Offensive Security
Das Problem

Ein Standard-Pentest sagt Ihnen, welche Schwachstellen existieren. Er sagt Ihnen nicht, ob ein motivierter Angreifer sie zu einer Kette verbinden, unentdeckt bleiben und Ihre kritischen Funktionen erreichen kann. Genau diese Frage stellt Ihr Vorstand — und genau diese Frage stellt inzwischen auch die Aufsicht.

Seit dem 17. Januar 2025 ist DORA (Verordnung (EU) 2022/2554) unmittelbar anwendbar, und 2026 sind die Aufsichtsbehörden von der Prüfung der Konzepte zur aktiven Überwachung übergegangen. Bedrohungsgeleitetes Red Teaming ist damit von der Kür zur Pflicht geworden — für als bedeutend eingestufte Institute sogar gesetzlich verankert.

Die eigentliche Frage ist nicht mehr ob Sie testen, sondern ob der Test die Realität abbildet. Und hier scheitern viele Programme: Threat Intelligence und Red Teaming werden auf zwei Dienstleister verteilt, die sich nicht abstimmen. Das Ergebnis sind generische Angriffsszenarien, verlorene Zeit an den Übergabepunkten und eine Operation, die Ihre reale Bedrohungslage nicht trifft.

Was wir tun

Wir agieren als Ihr „freundlicher“ Advanced Persistent Threat: ein Angreifer mit denselben Zielen, denselben Techniken und derselben Geduld wie ein echter Akteur — nur auf Ihrer Seite.

Adversary Simulation

APT, OCG und Initial Access Broker Ihres Sektors, gemappt auf MITRE ATT&CK.

Bedrohungsgeleitetes Red Teaming

Verdeckte, szenariobasierte Operationen — TIBER-EU-Methodik.

Social Engineering & Physisch

Phishing, Pretexting, Tailgating, Zutrittstests.

Purple Teaming

Gemeinsame Übung mit Ihrem Blue Team — Detektion messbar besser.

RTaaS

Kontinuierliche, wiederkehrende Operationen statt Einmal-Snapshot.

Red Teaming vs. Pentest

Der Unterschied in Klartext.

PenetrationstestRed Teaming
FrageWelche Schwachstellen gibt es?Kann ein echter Angreifer sein Ziel erreichen?
UmfangDefiniertes System / ScopeGanzes Institut, realer Angriffspfad
AnkündigungBekannt, abgestimmtVerdeckt — nur White Team weiß Bescheid
ZielAbdeckung & VollständigkeitRealismus & Wirkung
ErgebnisSchwachstellenlisteBewertung Ihrer Erkennungs- und Abwehrfähigkeit

Ein Pentest ist die richtige Wahl, um Systeme in der Breite abzusichern. Red Teaming ist die richtige Wahl, um zu erfahren, ob Ihre Abwehr im Ernstfall standhält.

Aus einem Team

Threat Intelligence und Angriff — kein Übersetzungsverlust.

Die TIBER-EU-Methodik trennt zwei Funktionen: die Threat Intelligence, die das maßgeschneiderte Bedrohungsbild und die Angriffsszenarien erstellt, und das Red Team, das diese Szenarien gegen Ihre Systeme ausführt. Wir bringen beide in einem Mandat zusammen.

  • Kein Übersetzungsverlust. Was die Aufklärung findet, testet das Red Team direkt.
  • Realistischere Szenarien. Wir bilden die Akteure ab, die tatsächlich Ihren Sektor angreifen.
  • Ein Ansprechpartner, eine Verantwortung — von der Aufklärung bis zum Bericht.
Hinweis zur Unabhängigkeit bei regulatorischen Tests: Das TIBER-/DORA-Rahmenwerk verlangt Rollentrennung und Unabhängigkeit. Für bedeutende Kreditinstitute müssen externe Tester eingesetzt werden; spätestens bei jedem dritten Test ist ein externes Red Team zwingend. Wir strukturieren jedes regulatorische Mandat so, dass die aufsichtsrechtlichen Anforderungen nachweislich erfüllt sind.
Herkunft der Bedrohungsanalyse

Wirklich bedrohungsgeleitet — nicht bedrohungslackiert.

„Threat-led“ steht auf vielen Angeboten. Bei uns steht dahinter Feldarbeit: Seit vier Jahren wirken wir in der ENISA Ad-Hoc Working Group zur Cyber Threat Landscape mit — dem Gremium, aus dem der jährliche ENISA Threat Landscape Report entsteht. Wir bringen Sektorbeobachtungen ein und arbeiten mit CERTs, Aufsehern und Peers an einer belastbaren Einordnung dessen, was tatsächlich läuft.

Diese Arbeit zwingt uns, Bedrohungen pro Vertikale und Horizontale sauber herunterzubrechen — Finanzen, Energie, Fertigung, öffentliche Verwaltung, Telekom, Gesundheit. Genau diese Sicht fließt in unsere Angriffspläne ein: keine allgemeinen APT-Namensschilder, sondern die Akteure, Techniken und Vorgehensweisen, die für Ihr Segment aktuell relevant sind.

ENISA-Mitwirkung 2021–2024

Ad-Hoc Working Group Cyber Threat Landscape — jährlicher ENISA Threat Landscape Report.

Vertikale & horizontale Auflösung

Finanzen, Energie, Fertigung, Public Sector, Telekom, Gesundheit — statt „APT allgemein“.

Eigene TI-Kapazität

Aus Notwendigkeit gebaut: verwertbare Intelligence statt Marketing-Folien Dritter.

Der Weg ist einfach zu beschreiben, aber schwer zu gehen: Aus der Sektor-Landschaft leiten wir die relevanten Akteure ab — APTs, OCGs, Initial Access Broker. Aus deren tatsächlichen TTPs entstehen die Angriffsszenarien für Ihren Test. Nicht umgekehrt.

Szenarien, die auch wirklich laufen

Kein „Ups, das Szenario funktioniert doch nicht“ — vor allem nicht mit dem Regulator am Tisch.

Aus Sicht des Red-Team-Anbieters ist einer der wichtigsten Handwerksschritte, Szenarien so zu planen, dass sie in der Realität Ihrer Umgebung tatsächlich durchführbar sind. Der Unterschied zwischen einem regulatorisch begleiteten Red Team und einem klassischen Red Team liegt genau hier: Wenn Bundesbank oder EZB im TLPT-Test-Manager-Meeting sitzen, ist es keine Option, in der Ausführung festzustellen, dass eine kritische Funktion aus der geplanten Netz­segmentierung schlicht nicht erreichbar ist, weil der Zugriff nur aus einer Cloud-Umgebung erfolgt — und damit das gesamte Szenario kippt.

Konsistenzprüfung vor der Ausführung

Erreichbarkeit kritischer Funktionen, Netz- und Identitätspfade, Cloud- vs. On-Prem-Abhängigkeiten, Drittanbieter-Grenzen — wir gehen jedes Szenario technisch durch, bevor es in die Ops-Phase geht.

Leg-ups, die auch tragen

Ein Leg-up scheitert nicht, weil die Idee falsch war, sondern weil der zuständige Stakeholder im Urlaub ist. Und den Kreis der Eingeweihten im TIBER-/TLPT-Test einfach zu vergrößern, ist keine Option. Wir planen Leg-ups mit Vertretungen, Zeitfenstern und Fallbacks — abgestimmt mit dem White Team.

Aufsicht mitgedacht

TLPT-Test-Manager-Meetings sind kein Format für Überraschungen. Wir bereiten Szenarien, Leg-ups und Attestierungspfad so vor, dass sie den Erwartungen von Bundesbank, BaFin und ggf. EZB/SSM standhalten — inhaltlich und dokumentarisch.

Red Team ≠ Pentest — und Regulator-Red-Team ≠ Red Team

Ein Pentest darf Sackgassen finden; ein Red Team darf sie umgehen. Ein regulatorisch begleitetes Red Team darf sie erst gar nicht in den Plan schreiben. Diese drei Disziplinen brauchen unterschiedliche Vorbereitung — wir kennen die Übergänge.

Diese Erfahrung ist nicht aus einem Playbook — sie ist aus Jahren an TIBER-/TLPT-Mandaten, in denen genau diese Details über Bestehen und Nachbesserung entschieden haben. Sie müssen sie nicht selbst durchlaufen.
So läuft eine Operation ab

Drei Phasen.

01

Vorbereitung

Scoping der kritischen und wichtigen Funktionen, Festlegung des White Teams, klare Rules of Engagement (nicht-destruktiv, Vorstandsfreigabe, Kill-Switch). Bei regulatorischen Tests: Abstimmung mit der Bundesbank bzw. der zuständigen Behörde und Validierung des Prüfumfangs.

02

Angriff

Wir erstellen das maßgeschneiderte Threat-Intelligence-Bild und führen die Red-Team-Operation gegen Ihre produktiven Live-Systeme durch — verdeckt, szenariobasiert und über den vollen Angriffspfad hinweg.

03

Abschluss

Detaillierte Auswertung, Replay gemeinsam mit Ihrem Blue Team (Purple Teaming), Maßnahmenkatalog. Bei regulatorischen Tests zusätzlich die geforderte Attestierung nach den technischen Regulierungsstandards (RTS).

Kontinuierliches Red Teaming

Nicht einmalig prüfen — dauerhaft vorbereitet sein.

Ein Einmal-Test zeigt Ihnen, wie es heute aussieht. Aber die Bedrohungslage ändert sich täglich. Unser Continuous-Red-Teaming-Programm beginnt mit einer Baseline und hält Sie im Loop — ohne dass Sie selbst das Internet nach neuen Gefahren durchsuchen müssen.

Baseline Threat Intelligence

Wer sind Sie? Wo operieren Sie? Welche APTs, OCGs und sonstigen motivierten Akteure sind für Sie relevant? Was ist Ihr Technologie-Footprint — FortiGate? Cisco? Wir kartieren Ihre reale Bedrohungslage.

Kontinuierliches Monitoring

Wir beobachten neue Schwachstellen, Chatter auf X und anderen Kanälen sowie Geheimdienstberichte, die für Ihr Profil relevant sind. Sobald etwas Passendes auftaucht, rüsten wir auf.

Echtzeit-Tests

Sind Sie exposed? Können wir eindringen? Und sehen Sie es? Wir führen gezielte Angriffe durch — automatisiert, manuell oder beides — um in Echtzeit zu prüfen, ob die neue Bedrohung Sie betrifft. Kein ‚hätte, könnte, würde’.

Im Loop

Sie bekommen direkt Bescheid, wenn eine neue Bedrohung auftaucht und wie unser Test ausgegangen ist. Bei Emerging Threats werden Sie automatisch geprüft — mit allem, was nötig ist. Sie bleiben informiert, nicht im Unklaren.

Continuous Red Teaming ist das Gegenstück zum klassischen Einmal-Mandat: permanente Prüfbereitschaft statt punktueller Schnappschuss. Wenn Sie wissen wollen, wie das für Ihr Haus aussehen könnte — sprechen Sie uns an.

Regulatorischer Kontext

TIBER-DE und DORA TLPT.

TIBER-DE

Die deutsche Umsetzung des TIBER-EU-Rahmenwerks, administriert durch die Deutsche Bundesbank. Ein freiwilliger, nachrichtendienstlich gesteuerter Red-Team-Test.

DORA TLPT

Die verpflichtende Variante. Für bedeutende Finanzunternehmen schreibt Art. 26 DORA denselben Testtyp gesetzlich vor. Grundlage: Delegierte Verordnung (EU) 2025/1190 mit den RTS, veröffentlicht am 18. Juni 2025.

Der entscheidende Punkt: Beide nutzen dieselbe methodische Grundlage. Das im Januar 2025 aktualisierte TIBER-EU-Rahmenwerk ist heute die operative Basis für sowohl freiwillige TIBER-DE-Tests als auch verpflichtende DORA TLPT. Ein sauber durchgeführter TIBER-DE-Test kann als erster DORA-TLPT-Zyklus anerkannt werden — die Drei-Jahres-Frist läuft ab Abschluss.

Kurz: Wer heute freiwillig nach der TIBER-EU-Methodik testet, erfüllt bereits die Struktur, die DORA morgen verpflichtend fordert.
Sind Sie überhaupt betroffen?
  • DORA gilt seit dem 17. Januar 2025 unmittelbar für Finanzunternehmen in der EU.
  • Nicht Sie entscheiden, ob Sie testen müssen — die zuständige Behörde tut es.
  • EU-weit sind schätzungsweise 200–250 Unternehmen vom verpflichtenden TLPT betroffen.
  • Turnus: mindestens alle drei Jahre, auf Live-Systemen, über kritische und wichtige Funktionen.
  • Erster Pflicht-Zyklus bis 17. Januar 2028 — Programmaufsatz dauert 9–14 Monate.
  • Wer 2026 nicht plant, gerät in Verzug.

Unsicher, ob Ihr Haus betroffen ist? Sprechen Sie uns an — wir ordnen Ihre Situation in einem vertraulichen Erstgespräch ein.

Erfahrung, die Sie nicht neu aufbauen müssen

Wir gehörten zu den ersten Anbietern, die einen DORA TLPT abgeschlossen haben — bereits 2024. Wir arbeiten seit rund zehn Jahren mit regulierten Instituten, Energieversorgern und KRITIS-Betreibern — im DACH-Raum und international — und führen Red-Team-Operationen nach der TIBER-EU-Methodik durch.

Aus Vertraulichkeitsgründen nennen wir keine Testkunden namentlich — die Ergebnisse einer solchen Operation gehören ausschließlich dem geprüften Unternehmen und seiner Aufsicht. Was wir sagen können: Wir kennen die Erwartungshaltung von BaFin, Bundesbank und EZB/SSM aus der Praxis, nicht aus dem Lehrbuch.

Vertrauen von Banken, Energieversorgern und KRITIS-Betreibern.

FAQ
Was ist der Unterschied zwischen Red Teaming und einem Pentest?+
Ein Pentest sucht Schwachstellen in einem definierten Scope. Red Teaming prüft, ob ein realistischer Angreifer entlang des vollen Angriffspfads sein Ziel erreicht — verdeckt und ohne Vorwarnung Ihres Betriebs.
Was ist der Unterschied zwischen TIBER-DE und DORA TLPT?+
TIBER-DE ist freiwillig und wird von der Bundesbank administriert. DORA TLPT ist für bedeutende Finanzunternehmen gesetzlich verpflichtend. Methodisch basieren beide seit Januar 2025 auf demselben aktualisierten TIBER-EU-Rahmenwerk.
Zählt ein bereits durchgeführter TIBER-DE-Test für DORA?+
Ja. Ein nach dem aktuellen TIBER-EU-Rahmenwerk durchgeführter Test kann als erster DORA-TLPT-Zyklus anerkannt werden. Die Drei-Jahres-Frist beginnt mit dem Abschlussdatum.
Können wir Threat Intelligence und Red Teaming von einem Anbieter beziehen?+
Für den überwiegenden Teil des Mandats ja — sofern die Unabhängigkeits- und Trennungsanforderungen gewahrt bleiben. Wir strukturieren das Mandat entsprechend. Für bedeutende Kreditinstitute sind externe Tester ohnehin verpflichtend.
Wie lange dauert ein regulatorischer Test?+
Realistisch 9–14 Monate von Scoping bis Attestierung, abhängig von Umfang und Abstimmung mit der Aufsicht.
Wer ist unser Ansprechpartner bei der Aufsicht?+
Für TIBER-DE und DORA TLPT ist in Deutschland die Deutsche Bundesbank zentraler Ansprechpartner (u. a. tiber@bundesbank.de, tlpt@bundesbank.de), in Abstimmung mit BaFin und ggf. EZB/SSM.
TIBER-EU Methodik·DORA TLPT abgeschlossen 2024·MITRE ATT&CK·~10 Jahre Offensive Security·Frankfurt · Dubai · Reykjavík

Finden Sie es heraus, bevor es ein anderer tut.

Der Aufsatz einer belastbaren Red-Team-Operation dauert Wochen bis Monate — die Aufklärung, die Abstimmung, die eigentliche Operation. Reden wir jetzt.