DORA Kapitel IV / Methodik-Hub

Testprogramm fuer digitale operationale Resilienz.

Ein systematisches Testprogramm prueft Schutzwirksamkeit, Erkennungsfaehigkeit, Reaktionsfaehigkeit und Wiederherstellung im Kontext kritischer IKT-Assets und Geschaeftsprozesse.

Disclaimer: Diese Inhalte sind Umsetzungshilfen fuer Finanzinstitute und ersetzen keine Rechtsberatung. Alle regulatorischen Inhalte basieren auf öffentlich zugaenglichen Quellen (BaFin, EBA) und werden in eigener formulierter Form dargestellt.

Methodik-Hub: Resilienz-Testing

Systematische Methodik fuer risikobasierte Resilienztests

12 Testarten Operative Testmethodik Frequenzmatrix Schutzbedarfsbasierte Zyklen 3-Jahres-Zyklus Rollierende Testabdeckung

Management-Zusammenfassung

12 operative Testarten decken alle IKT-Assets entsprechend ihres Schutzbedarfs ab.
Schutzbedarfsabhaengige Frequenzregeln: Kontinuierlich (kritische Systeme) bis 3-jaerhig (TLPT).
Rollierender 3-Jahres-Zyklus gewaehrleistet vollstaendige Testabdeckung ohne Überlastung.
Findings- und Retest-Management mit nachweisbaren Remediation-Pfaden.
Management Reporting ueber Compliance-Status und Risikolage.

Sollzustand Testprogramm

Testinventar erfasst alle IKT-Assets mit Schutzbedarfsklassifikation (normal, hoch, sehr hoch).
12 Testarten sind den Assets entsprechend kwF-Status und Kritikalitaet zugeordnet.
Testkalender beruecksichtigt Frequenzregeln: wöchentlich/kontinuierlich fuer kritische Systeme, jaerhliche Pflicht fuer kwF, 3-jaerhiger Zyklus fuer TLPT.
Testdurchfuehrungen erzeugen Evidence Packs mit Nachweis der Wirksamkeit.
Findings werden priorisiert, remediiert und per Retest verifiziert.
Management erhaelt regelmaeßiges Reporting ueber Testabdeckung und Risiken.

12 Operative Testarten

1. Vulnerability Assessment: Systematische Schwachstellenidentifikation (automatisiert + manuell).
2. Interner Penetrationstest: Simulierte Angriffe aus interner Perspektive.
3. Externer Penetrationstest: Perimeter- und externe Angriffsflaechenpruefung.
4. Red Team Exercise: Komplexe zielgerichtete Angriffssimulationen ohne Vorabkenntnis.
5. Scenario-Based Resilience Testing: Geschaeftsprozess- und Krisenmanagement-Uebungen.
6. Backup & Recovery Testing: Wiederherstellbarkeit unter Zeitdruck validieren.
7. Failover & High Availability Testing: Pruefung automatischer Ausweichmechanismen.
8. Application Security Testing (SAST/DAST): Code- und Laufzeitanalysen.
9. Configuration & Hardening Review: Konfigurationspruefung gegen Security-Baselines.
10. Log & Monitoring Effectiveness: Wirksamkeit von Detection und Alerting.
11. Third-Party & Supply Chain Testing: Resilienzpruefung kritischer Dienstleister.
12. Threat-Led Penetration Test (TLPT): Bedrohungsgeleitete Tests gemaeß DORA Art. 26.

Frequenzmatrix

Systematische Festlegung von Testzyklen basierend auf Schutzbedarf und Systemkritikalität.

Testart	Normal	Hoch	Sehr hoch	Kritisch
Vulnerability Assessment	Quartalsweise	Monatlich	Wöchentlich	Kontinuierlich
Penetrationstest (intern)	24 Monate	12 Monate	6 Monate	3 Monate
Penetrationstest (extern)	24 Monate	12 Monate	6 Monate	3 Monate
Red Team Exercise	N/A	24 Monate	12 Monate	6 Monate
Backup & Recovery Test	12 Monate	12 Monate	6 Monate	3 Monate
Failover & HA Test	12 Monate	6 Monate	3 Monate	3 Monate
TLPT	N/A	36 Monate	36 Monate	36 Monate

Sehr hoher Schutzbedarf Kritisch (kwF)

Schutzbedarfsmodell

Normal: Standardschutz fuer nicht-kritische Assets, automatisierte Scans ausreichend.
Hoch: Erweiterter Schutz fuer wichtige Funktionen, manuelle Tests und Szenarien erforderlich.
Sehr hoch: Intensivschutz fuer kritische Funktionen (kwF), TLPT, Red Team, kontinuierliches Testing.
kwF (kritisch/wichtige Funktionen): Jaehrliche Testpflicht fuer alle relevanten Testarten.
Kontinuierlich: Technische Kontrollen fuer sehr hohen Schutzbedarf (wöchentlich/continuous).

3-Jahres-Zyklus (Rollierend)

Jahr 1: Infrastruktur & Netzwerk-Fokus (Vulnerability, Pentests, Hardening).
Jahr 2: Anwendungen & Daten-Fokus (AppSec, Backup, Failover, Szenarien).
Jahr 3: Drittparteien & Advanced Testing (TLPT, Red Team, Provider-Tests, Monitoring).
Ueberlappungsregel: Kritische Assets (sehr hoch) durchlaufen alle relevanten Testarten jaehrlich.
Retest-Regel: Findings hoher Kritikalitaet erfordern verbindlichen Retest vor Abschluss.

Findings- & Remediation-Management

Findings werden mit Severity (critical, high, medium, low, info) und Asset-Bezug erfasst.
Remediation-Zeiten: kritisch (7 Tage bei kwF), hoch (14 Tage), medium (30 Tage), low (60 Tage).
Überfaellige Findings triggern Eskalation und erhoehte Management-Aufmerksamkeit.
Retests verifizieren Wirksamkeit von Gegenmassnahmen vor formalem Abschluss.
Evidence Packs dokumentieren Testdurchfuehrung, Befunde und Remediation fuer Auditoren.

Management Reporting

Testabdeckungsquote: Prozent der mandatory Tests durchgefuehrt je Asset/Schutzbedarf.
Compliance-Status: Assets als compliant (>=100%), partial (80-99%), non_compliant (<80%).
Finding-Verteilung: Uebersicht Schweregrade, Altersstruktur, Überfaelligkeit.
Top Risks: Priorisierte Liste der hoechsten Risiken aus offenen Findings.
Zyklus-Fortschritt: Status des rollierenden 3-Jahres-Testprogramms.

ISO/IEC 27001 & DORA-Verbindung

A.5.30: Informationstechnologie ueberpruefen — Vulnerability Assessments und Pentests.
A.5.31: Informationssicherheitsvorfaelle bewerten und entscheiden — Finding-Management.
A.5.35: Sicherheitspruefungen — Unabhaengige Test- und Review-Prozesse.
A.5.37: Dokumentierte Betriebsverfahren — Testpläne und Evidence Packs.
A.8.8: Technische Sicherheitsueberpruefung — Konfigurations- und Hardening-Reviews.
DORA Kapitel IV Art. 26: TLPT und bedrohungsgeleitete Testverpflichtungen.

ISO 27001 Verbindung

DORA-Art. 26 verpflichtet zu bedrohungsgeleiteten Penetrationstests. ISO/IEC 27001:2022 bietet den Steuerungsrahmen fuer systematische Testprogramme und Finding-Management.

A.5.30: Sicherheitspruefung der Informationstechnologie
A.5.31: Bewertung und Entscheidung zu Informationssicherheitsvorfaehlen
A.5.35: Unabhaengige Ueberpruefung der Informationssicherheit
A.8.8: Technische Sicherheitsueberpruefung
DORA Art. 26: Bedrohungsgeleitete Penetrationstests (TLPT)

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-10

BaFin: DORA — Tests der digitalen operationalen Resilienz Stand: Abruf 2026-05-10
EBA: Guidelines on ICT and security risk management Stand: Abruf 2026-05-10
TIBER-EU Framework Stand: Referenz fuer TLPT-Methodik

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.