DORA Threat-Led-Penetration-Tests Q1 2026: Was die ersten Runs für Mittelstands-Banken und FinTechs offenlegen
FinTech & Financial Services 06.05.2026

Die Stresstests, die deutsche Banken gerade nicht bestehen

8 Min. Lesezeit

Die ersten echten Cyber-Stresstests unter europäischer Aufsicht laufen, und die Ergebnisse sind unbequemer als erwartet. Vorstände und IT-Leiter im Mittelstandsbanking sehen schwarz auf weiß, wo ihre Threat-Intelligence-Kette tatsächlich reißt.

06.05.2026

Das Wichtigste in Kürze

  • TLPT-Pflicht alle drei Jahre: BaFin und Bundesbank benennen die betroffenen Häuser. Wer in der ersten Welle 2026 nominiert wird, hat sechs Monate bis zur Scope-Submission. Das ist kürzer als jede klassische Audit-Vorbereitung.
  • Threat-Intelligence ist der Engpass: Die Tests basieren auf TI eines externen Anbieters, der reale Angreifer-Profile auf das eigene Haus zuschneidet. In den ersten Runs liegt hier die meiste Verzögerung, nicht im Red-Teaming selbst.
  • TIBER-DE-Tests zählen: Wer nach dem 17. Januar 2025 unter dem aktualisierten TIBER-EU-Rahmen getestet hat, kann den Lauf in den Drei-Jahres-Zyklus einrechnen. Das verschafft Häusern mit TIBER-Historie Luft, FinTechs ohne TIBER-Vergangenheit verlieren sie.

Verwandt:RegTech 2026: DORA, AI Act, MiCA  /  PSD3 im Mittelstand: Banking-APIs und Embedded Finance

Was die ersten Q1-Runs wirklich zeigen

Was ist ein DORA-Threat-Led-Penetration-Test? Ein TLPT ist eine intelligenzgesteuerte Angriffssimulation auf produktive Systeme einer Finanzentität, die nach den Artikeln 26 und 27 der EU-Verordnung 2022/2554 (DORA) verpflichtend ist. Externe Threat-Intelligence dient als Grundlage, ein Red Team agiert verdeckt gegen die kritischen oder wichtigen Funktionen des Hauses, das eigene Blue Team kennt den Test nicht. Auswahl und Aufsicht liegen bei BaFin und Bundesbank, der Zyklus beträgt mindestens drei Jahre.

DORA fordert in den Artikeln 26 und 27 ein Threat-Led-Penetration-Test mindestens alle drei Jahre. Die operative Mechanik kennt der deutsche Markt seit 2019 unter dem Namen TIBER-DE. Der Unterschied 2026 liegt darin, dass die Aufsicht jetzt aktiv adressiert. BaFin und Bundesbank bestimmen die Adressaten, sie schreiben sie an, sie überwachen den Ablauf. Das ist nicht mehr die freiwillige Resilienz-Kür von 2022.

In den Häusern, die in der ersten Welle nominiert wurden, kursieren ähnliche Beobachtungen. Der eigentliche Red-Teaming-Anteil läuft technisch sauber. Die Anbieter kennen die DORA-RTS, die Methodik ist bekannt, die Eskalationspfade sind in den meisten Banken schon aus der TIBER-Historie hinterlegt. Was klemmt, sind drei Stellen davor.

Erstens die Scope-Definition. DORA verlangt, dass kritische oder wichtige Funktionen abgedeckt werden, also die Prozesse, deren Ausfall die Geschäftstätigkeit, regulatorische Pflichten oder Kundenversprechen unmittelbar treffen. Klingt klar, ist es nicht. In typischen Mittelstandsbanken hängt eine kritische Funktion an drei bis sieben Anwendungen, davon zwei bei einem ausgelagerten ICT-Drittanbieter. Wer den Scope sauber zeichnen will, muss den Auslagerungsbestand kennen, nicht nur den eigenen Anwendungsstack.

Zweitens die Threat-Intelligence-Beschaffung. DORA verlangt einen externen TI-Anbieter, der konkrete Angreifer-Profile recherchiert. Nicht generische CVE-Listen, sondern Akteure, die Banken in der Größe und im Geschäftsmodell des getesteten Hauses tatsächlich angreifen. Diese TI-Phase ist in den ersten Q1-Runs der häufigste Verzögerer. Die Anbieter sind im DACH-Markt knapp, die Lead-Times liegen bei drei bis vier Monaten, wenn man nicht früh anfragt.

Drittens die interne Steuerung. Ein TLPT bindet drei Rollen: das Control Team intern, das die ganze Übung kennt, das Blue Team operativ, das nichts wissen darf sowie den TLPT Cyber Team Lead bei der Bundesbank. Wer in der COO-Funktion die Kommunikationsmatrix nicht früh schreibt, verliert in Woche fünf zwei Wochen Zeit, weil das Blue Team über Slack-Kanäle Hinweise mitlas, die es nicht sehen sollte.

Wo DORA-Reife im Mittelstand wirklich endet

In Vorstandsvorlagen liest sich DORA-Reife oft wie eine Checkliste mit grünen Häkchen. ICT-Risikomanagement, Vorfall-Meldewesen, Drittanbieter-Register, Resilienz-Tests. Die ersten TLPT-Runs zeigen, an welchen Punkten das Bild trügt.

Der erste Punkt sitzt im Auslagerungs-Inventar. Das Register of Information, das DORA als zentrale Drittanbieter-Übersicht fordert, ist seit dem ersten Quartal 2026 bei den meisten Häusern abgegeben. Sauber gepflegt ist es seltener. Im TLPT fällt sofort auf, wenn ein kritischer Service in einer Region läuft, die im Register als anders dokumentiert geführt ist. Der Test fragt nicht nach Plausibilität, er fragt nach Wahrheit.

Der zweite Punkt sitzt in der Detection-Logik. Viele Mittelstandsbanken haben in den letzten zwei Jahren ein SIEM oder einen MDR-Vertrag eingeführt. Das ersetzt aber keine Use-Cases. Im TLPT zeigt sich, ob das Blue Team einen ungewöhnlichen Login aus einem Backbone-Land tatsächlich sieht oder ob er als Routine-Anomalie unter dem Schwellenwert verschwindet. In drei von vier Q1-Runs, die in den Branchengesprächen genannt werden, lag genau dort die größte Lücke.

Wir haben in der Vorbereitung neun Monate diskutiert, ob wir das eigene Blue Team aufgewertet haben. Im TLPT haben wir in fünf Tagen gelernt, was wir wirklich sehen und was nicht. Die ersten zwei Tage waren ernüchternd, die nächsten drei waren das ehrlichste Audit, das wir je hatten.
CISO einer DACH-Mittelstandsbank, sinngemäß zitiert aus einem Branchen-Roundtable im April 2026.

Der dritte Punkt sitzt in der Geschäftsführungsebene. DORA macht den Vorstand persönlich für die ICT-Resilienz verantwortlich. In TLPT-Abschlussberichten steht nicht nur, wo der Red Team Zugang erlangt hat. Es steht auch, welche Eskalationsentscheidungen das Control Team getroffen hat und wie schnell der Vorstand informiert war. Wer als COO einen TLPT mit der Mentalität eines Pen-Tests aus 2019 begleitet, wird vom Tempo des Berichts überrascht.

Sechs Monate, sechs Phasen: Wie ein TLPT in der Praxis abläuft

Die Abfolge ist in der DORA-RTS und im aktualisierten TIBER-EU-Framework definiert. Was in der Praxis Reibung erzeugt, sind nicht die Phasenübergänge, sondern die Kalenderwochen dazwischen.

TLPT-Fahrplan: 6 Monate Notification bis Closure-Workshop
Monat 1: Notification
BaFin und Bundesbank benennen das Haus. Erste Kick-Off-Sitzung mit dem TLPT Cyber Team Lead. Internes Control Team wird formal etabliert. Geheimhaltung gegenüber dem Blue Team beginnt ab Tag eins.
Monat 2: Scope
Definition der kritischen oder wichtigen Funktionen, Mapping auf Anwendungen, Drittanbieter und Datenflüsse. Submission an die Aufsicht. In den meisten Q1-Runs der eigentliche Engpass, nicht in der Technik.
Monat 3: TI-Briefing
Externer Threat-Intelligence-Anbieter recherchiert reale Angreifer-Profile, baut Szenarien, validiert sie mit dem Control Team. Output ist das Targeted Threat Intelligence Report, das Grundlage für das Red-Teaming wird.
Monat 4 bis 5: Red Team
Aktive Testphase, mindestens zwölf Wochen. Der Anbieter agiert wie ein realer Akteur, das Blue Team weiß nichts. Detections werden in Echtzeit dokumentiert, Eskalationen vom Control Team kontrolliert.
Monat 6: Closure
Replay-Workshop mit Red Team, Blue Team und Control Team. Bericht an die Aufsicht. Remediation-Plan mit verbindlichen Fristen. Vorstandsvorlage mit Maßnahmenkatalog.
danach
Drei-Jahres-Zähler läuft. Zwischen den Tests bleiben Resilience-Übungen, Patch-Programme und Drittanbieter-Audits Pflicht. Der nächste TLPT-Run ist nicht das Audit-Ende.

Wo FinTechs härter getroffen werden als Mittelstandsbanken

FinTechs galten lange als digital-native und insofern als operativ schneller. Im TLPT-Kontext kippt dieses Bild an mehreren Stellen. Drei davon sind aus den ersten Q1-Beobachtungen sichtbar.

Der erste Punkt ist die Cloud-Topologie. Ein typisches FinTech läuft auf einem oder zwei Hyperscalern, mit eigener Container-Plattform, mehreren SaaS-Subdiensten und einer Tiefe an Drittanbietern, die im Mittelstandsbank-Vergleich zwei Größenordnungen über dem Klassiker liegt. Das Auslagerungsregister wird damit zum Vollzeit-Job, nicht zum Quartalsthema.

Der zweite Punkt ist die TIBER-Historie. Wer als FinTech keine Vergangenheit unter TIBER-DE hat, geht in den ersten Run ohne Erfahrungswert. Mittelstandsbanken mit drei oder vier Übungen seit 2020 wissen, wie ein Control Team funktioniert, FinTechs lernen das in Echtzeit. Das frisst zwei bis drei Wochen, die im Plan nicht stehen.

Der dritte Punkt ist die Vorstandsverantwortung. In FinTechs sitzen oft Gründer im Vorstand, die DORA als Compliance-Thema delegiert haben. Im TLPT-Bericht steht der Vorstand namentlich. Wer das Thema operativ ans Sicherheitsteam abgegeben hat, bekommt im Closure-Workshop eine Übergabe, auf die er nicht vorbereitet ist.

3 Jahre
TLPT-Zyklus
Maximalintervall zwischen zwei Threat-Led-Penetration-Tests laut DORA Artikel 26.
6 Monate
Notification bis Scope
Fenster zwischen Bekanntgabe durch BaFin und der formalen Scope-Submission an die Aufsicht.
12 Wochen
Red-Team-Phase
Mindestlaufzeit der aktiven Angriffsphase, in der Regel begleitet von einer dedizierten Threat-Intelligence-Vorbereitung.

Was eine COO-Vorlage in Woche eins enthalten sollte

Ich habe in den letzten Monaten mit ein paar Häusern an der Frage gearbeitet, wie eine erste TLPT-Vorlage für die Geschäftsführung aussehen muss, ohne in die Tiefe der Methodik zu gehen. Drei Felder reichen für die erste Version, der Rest gehört in Anlagen.

Erstens eine ehrliche Karte der eigenen Detection. Nicht der Marketing-Folder des SIEM-Anbieters, sondern eine Tabelle mit zehn realistischen Angriffspfaden und der Antwort, ob das Blue Team sie heute sieht oder nicht. Die Tabelle wird in Woche eins kürzer als sie sein sollte. Das ist Teil der Diagnose.

Zweitens eine Liste der Drittanbieter, deren Ausfall eine kritische Funktion direkt unterbricht. Mit Vertragsstand, Letzter Audit-Datum, ICT-Risikoeinstufung im Register. Wer hier länger als zwei Tage sucht, hat den Engpass gefunden, bevor der Test ihn findet.

Drittens eine Kommunikationsmatrix. Wer im Control Team sitzt, wer im Blue Team, wer beim Vorstand bei welcher Eskalationsstufe informiert wird. Diese Matrix entscheidet im Q1-Erfahrungsbild häufiger über den Ablauf als jede technische Frage.

Eine Beobachtung am Rand: Die TLPT-Diskussion ist in vielen Häusern noch immer unter Cyber gerahmt. Sie ist es nicht. Sie ist eine Übung in Steuerungsklarheit, in Drittanbieter-Hygiene und in Vorstandsverantwortung. Das ist eine COO-Frage, keine reine CISO-Frage. Wer das Programm so aufstellt, gewinnt zwei Sachen. eine sauberere Vorbereitung und einen Bericht, der nach dem Closure nicht in der Schublade landet.

Und ehrlich, ich war anfangs vorsichtig mit dem Aufwand. Sechs Monate gebundene Kapazität in COO und CISO sind kein Nebenprojekt. Nach den Branchengesprächen aus April und den ersten Closure-Berichten ist meine Einschätzung anders. Der Aufwand ist real, der Lerneffekt ist es genauso. Häuser, die den ersten Run ernst genommen haben, kommen mit einem schärferen Bild ihrer Drittanbieterabhängigkeit, ihrer Detection und ihrer eigenen Eskalationskultur heraus, als drei Jahre interne Audits liefern können.

Häufige Fragen

Welche Häuser werden in der ersten Welle 2026 zu einem TLPT verpflichtet?

Die DORA-RTS sieht eine quantitative und qualitative Auswahl vor. Bedeutende Banken, große Zahlungsdienstleister, ausgewählte Versicherer und systemrelevante FinTechs werden über Schwellenwerte und Aufsichtsurteil identifiziert. BaFin und Bundesbank schreiben die betroffenen Häuser direkt an. Wer keine Notification erhält, ist nicht in der ersten Welle, fällt aber unter die regulären Resilienztests nach Artikel 24.

Zählt ein bereits durchgeführter TIBER-DE-Test auf den DORA-Zyklus?

Tests nach dem 17. Januar 2025 unter dem aktualisierten TIBER-EU-Rahmen, der mit der DORA-RTS abgeglichen ist, können in den Drei-Jahres-Zyklus eingerechnet werden. Ältere TIBER-Tests aus 2022 oder 2023 zählen nicht automatisch. Die Bundesbank hat dazu im Frühjahr 2026 ein Mapping-Dokument veröffentlicht, das im Einzelfall geprüft wird.

Wer darf als externer Threat-Intelligence-Anbieter beauftragt werden?

Die DORA-RTS legt fest, dass der TI-Anbieter unabhängig vom Red-Team-Anbieter sein muss und nachweisbare Erfahrung mit Akteuren im Finanzsektor hat. Im DACH-Markt arbeiten mehrere etablierte Häuser, die TIBER-Erfahrung haben. Die Lead-Time bis zur Beauftragung beträgt aktuell drei bis vier Monate. Wer in der Notification-Phase erst startet, gerät in der Scope-Phase in Verzug.

Wie hoch ist der typische Aufwand für ein Mittelstandsinstitut?

Belastbare Branchenwerte aus den ersten Q1-Runs liegen zwischen 600.000 und 1,2 Millionen Euro für externe Leistungen plus etwa 1,5 bis 2 Vollzeitäquivalente intern über sechs Monate. Die Spanne hängt vom Scope, der Anzahl kritischer Anwendungen und der Zahl der einbezogenen Drittanbieter ab. Wer mit weniger plant, plant zu knapp.

Was passiert nach einem TLPT mit auffälligen Ergebnissen?

Die DORA-Mechanik sieht keinen Sanktionsautomatismus vor, der Bericht ist nicht öffentlich. Pflicht ist ein Remediation-Plan mit verbindlichen Fristen, der gegenüber der Aufsicht dokumentiert wird. BaFin kann bei strukturellen Schwächen Maßnahmen anordnen, im Wiederholungsfall greifen aufsichtsrechtliche Konsequenzen. Der Vorstand bleibt persönlich verantwortlich.

Über die Autorin

Angelika Beierlein ist COO der Evernine Media GmbH. Sie schreibt über Steuerung im Detail, über die Stellen an denen Programme stehen oder fallen und über die Kultur in regulierten Häusern, in denen Compliance keine Folie sondern Tagesgeschäft ist.

Quellen und weiterführende Hinweise:

  • BaFin, Fachartikel Simulating attacks to enhance security, BaFin-Journal 11/2024, Aktualisierung Frühjahr 2026.
  • Deutsche Bundesbank, TIBER-DE-Rahmenwerk und TIBER-EU-DORA-Mapping, Stand März 2026.
  • EZB, TIBER-EU Framework updated to align with DORA, Pressemitteilung vom 11.02.2025.
  • EU-Verordnung 2022/2554 (DORA), EZB-Pressemitteilung zur TIBER-EU-DORA-Anpassung, Artikel 26 und 27 sowie zugehörige RTS zum Threat-Led Penetration Testing.
  • Branchenroundtables und Closure-Berichte aus DACH-Mittelstandsbanken, März bis April 2026 (sinngemäß zitiert, nicht namentlich).

Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380603)

Auch verfuegbar inEnglisch  ·  Franzoesisch  ·  Spanisch

Auch verfügbar in

Ein Magazin der evernine media GmbH