Wenn wir heute über Informationssicherheit sprechen, denken wir fast automatisch an digitale Angriffe, Firewalls, Passwörter und Verschlüsselung. Der Begriff wirkt untrennbar mit dem Internet verbunden. Dabei ist Informationssicherheit deutlich älter als die digitale Vernetzung. Sie beginnt nicht mit Computern, sondern mit den ersten Versuchen, Wissen, Daten und strategisch wichtige Fakten vor unbefugtem Zugriff zu schützen. Lange bevor Hacker aus dunklen Kellern und staatliche Cyberoperationen Schlagzeilen machten, mussten Unternehmen, Regierungen und Militärs dafür sorgen, dass Informationen nicht in falsche Hände gerieten. Nur waren die Bedrohungen damals anderer Natur – und die Schutzmaßnahmen sahen ganz anders aus. In einer Welt ohne digitale Kopien existierte jede Information auf einem physischen Medium: handgeschriebene Dokumente, gedruckte Akten, Mikrofilmrollen, Magnetbänder oder sogar in den Köpfen ausgewählter Personen. Wer eine Information stehlen wollte, musste nicht durch eine Firewall, sondern durch eine verschlossene Tür, an einem Pförtner vorbei oder in ein gesichertes Archiv eindringen. Und wer sie schützen wollte, setzte auf Schlösser, Tresore, Wachpersonal und strenge Zugangsprotokolle. Informationssicherheit bedeutete damals, die physische Kontrolle über das Medium zu behalten, auf dem die Information existierte. Diese grundlegende Idee – Kontrolle über das Trägermedium, Kontrolle über die Personen, Kontrolle über die Wege – prägt bis heute jedes moderne Sicherheitskonzept, auch wenn sich die Träger, Personen und Wege massiv verändert haben.

Militärische Kryptographie und staatliche Geheimhaltung

Besonders weit entwickelt war die Informationssicherheit schon früh im militärischen Bereich. Schon im 19. Jahrhundert kannten Armeen die Notwendigkeit, Operationspläne, technische Baupläne oder diplomatische Depeschen vor neugierigen Augen zu verbergen und bei Bedarf zu verschlüsseln. Im Ersten und Zweiten Weltkrieg wurden ganze Abteilungen damit beauftragt, Nachrichten unlesbar zu machen und gleichzeitig feindliche Chiffren zu knacken. Die berühmte Enigma-Maschine der deutschen Wehrmacht ist nur das bekannteste Beispiel, doch sie steht stellvertretend für ein umfassendes System aus Verschlüsselung, Schlüsselverwaltung, Kurierdiensten, Funkdisziplin, Tarnbegriffen, abgestuften Geheimhaltungsgraden und strenger Sanktionskultur. Die Antwort der Alliierten – die Codeknacker in Bletchley Park um Alan Turing – ist legendär und zeigt zugleich, dass Informationssicherheit nie nur Technik ist. Es geht ebenso um Organisation, Geheimhaltung, disziplinierte Arbeitsteilung, Redundanz und die Fähigkeit, Fehlerquellen im eigenen System zu erkennen und zu korrigieren. In diesem Umfeld entstanden Prinzipien, die später in die Managementsysteme der zivilen Wirtschaft gewandert sind: „Need to know“ statt „nice to have“, Schlüsseltausch nach definierten Intervallen, Vier-Augen-Prinzip bei besonders sensiblen Operationen, die klare Trennung von Rollen und Verantwortlichkeiten sowie eine kompromisslose Dokumentation von Veränderungen an Verfahren und Material.

Wenn man sich mit dem Digital Operational Resilience Act – kurz DORA – beschäftigt, stellt sich schnell die Frage, wen diese EU‐Verordnung eigentlich betrifft. Auf den ersten Blick scheint die Antwort einfach: „Die Finanzbranche.“ Doch wer genauer hinschaut, erkennt, dass DORA nicht nur Banken und Versicherungen ins Visier nimmt, sondern einen weitaus größeren Kreis von Unternehmen – und dass manche Akteure überrascht sein könnten, wie direkt sie unter die neuen Vorgaben fallen. Die EU hat den Anwendungsbereich bewusst breit gefasst, um nicht nur die großen, offensichtlichen Player zu erfassen, sondern das gesamte digitale Ökosystem, das den europäischen Finanzmarkt stützt. Die Logik dahinter ist simpel und schlüssig: Digitale Resilienz funktioniert nur dann, wenn nicht nur die sichtbarsten Akteure abgesichert sind, sondern auch alle kritischen Verbindungen dazwischen.

Der Grundgedanke: Resilienz entlang der gesamten Wertschöpfungskette

DORA ist konzipiert als Querschnittsregelwerk über den Finanzsektor hinweg. Statt einzelne Institutionstypen isoliert zu betrachten, verknüpft die Verordnung die betriebliche Widerstandsfähigkeit von Finanzunternehmen mit der ihrer IKT‐Lieferkette (Informations- und Kommunikationstechnologie). Das bedeutet: Ein Institut, das seine Kernprozesse verlässlich betreibt, ist nur dann wirklich resilient, wenn auch die technischen Dienstleister, auf die es sich stützt, robust, transparent und gut gesteuert sind. Genau deshalb erfasst DORA sowohl die „klassischen“ Finanzunternehmen als auch – direkt oder indirekt – die Drittparteien, die deren digitale Grundversorgung sicherstellen, etwa Cloud-, Rechenzentrums-, Software-, Sicherheits- oder Kommunikationsanbieter.

Es gab eine Zeit, in der ein „Hackerangriff“ noch so simpel war, dass er mit wenigen Tastenanschlägen und einem guten Gedächtnis durchgeführt werden konnte. In den 1980er-Jahren bestand ein typischer Angriff häufig darin, das Passwort eines Kollegen zu erraten, einen einfachen Standardzugang zu nutzen oder eine öffentlich zugängliche Systemlücke auszuprobieren. Die ersten digitalen Einbrüche waren oft das Ergebnis von Neugier, technischem Spieltrieb und der Lust am Ausprobieren, nicht von krimineller Energie. Heute dagegen sprechen wir von hochgradig professionell organisierten Cyberoperationen, die sich über Ländergrenzen hinweg koordinieren, ganze Industriezweige lahmlegen, Milliardenverluste verursachen und sogar politische Machtverhältnisse beeinflussen können. Die Entwicklung von diesen Anfängen zu den komplexen, globalen Bedrohungen unserer Zeit ist eine Geschichte von technologischem Fortschritt, wachsendem wirtschaftlichem Interesse und einer stetigen Professionalisierung der Angreifer. Wer diese Entwicklung nachvollzieht, erkennt, warum Informationssicherheit nicht länger als punktuelle Maßnahme verstanden werden kann, sondern als Dauerzustand, als Fähigkeit, trotz Störungen zu funktionieren, schnell zu reagieren, sich anzupassen und gestärkt aus Vorfällen hervorzugehen.

Die frühen Jahre: Sportlicher Wettbewerb und technische Neugier

In den Anfangsjahren der Vernetzung, Ende der 1970er- und in den 1980er-Jahren, war Hacking häufig eher ein sportlicher Wettbewerb. Viele der frühen Computerpioniere wollten beweisen, dass sie Systeme verstehen und austricksen konnten. Wer es schaffte, sich in ein Bulletin Board System oder einen Uni-Mainframe einzuloggen, gehörte zu einem kleinen Kreis von Eingeweihten. Dabei ging es selten um Geld. Stattdessen stand der Reiz im Vordergrund, etwas Verbotenes zu tun, ohne erwischt zu werden, und sich dadurch einen Namen in der Szene zu machen. Ein legendäres Beispiel aus dieser Zeit ist der „Morris Worm“ von 1988. Robert Tappan Morris, ein Student, wollte eigentlich nur herausfinden, wie groß das Internet war. Sein Programm sollte sich kontrolliert von Rechner zu Rechner ausbreiten, um eine Zählung durchzuführen. Doch ein Fehler im Code sorgte dafür, dass der Wurm sich ungebremst vervielfältigte und einen großen Teil des damals noch kleinen Internets lahmlegte. Der Schaden war immens, doch die Motivation dahinter war nicht kriminell – es war ein Experiment, das aus dem Ruder lief. Diese Phase war geprägt von einer informellen Ethik: Wissen teilen, Barrieren überwinden, Systeme verstehen. Die Werkzeuge waren einfach, die Angriffsflächen klein, die Verteidiger oft ahnungslos, aber die Konsequenzen meist überschaubar.

Seit Jahren diskutieren Politik, Wirtschaft und IT-Sicherheits-Expert:innen über die Frage, wie man die digitale Widerstandsfähigkeit (Resilienz) von Finanzunternehmen in Europa einheitlich, verbindlich und zukunftsfähig gestalten kann. Cyberangriffe, Systemausfälle und Abhängigkeiten von kritischen Dienstleistern sind längst nicht mehr theoretische Risiken, sondern harte Realität. Mit dem Digital Operational Resilience Act – kurz DORA – hat die Europäische Union nun ein Regelwerk geschaffen, das genau hier ansetzt: einheitliche, verbindliche und umfassende Anforderungen an den Umgang mit IKT-Risiken in der Finanzbranche. Das Ziel ist klar: Finanzunternehmen sollen in der Lage sein, auch unter extremen digitalen Störungen weiter handlungsfähig zu bleiben. Doch was heißt das konkret? Und warum betrifft es so viele Unternehmen viel direkter, als manche denken?

Dieser Beitrag erklärt DORA verständlich und praxisnah: von Geltungsbereich und Kernanforderungen über Governance und Testkonzepte bis hin zu konkreten Umsetzungsschritten, KPIs und typischen Fallstricken. Er richtet sich an Praktiker:innen, die in kurzer Zeit einen klaren Umsetzungsplan brauchen – und an Führungskräfte, die wissen wollen, wofür sie Verantwortung tragen.

Die EU verschärft ihre Anforderungen an die IT-Sicherheit – und zwar deutlich. Mit der NIS2-Richtlinie tritt ab Ende 2024 ein Regelwerk in Kraft, das für viele Unternehmen zum ersten Mal echte gesetzliche Pflichten im Bereich Cybersicherheit mit sich bringt. Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 war ein erster Schritt in Richtung mehr Resilienz gegen Cyberangriffe, wurde jedoch in vielen Mitgliedstaaten zu zögerlich umgesetzt. Die Unterschiede zwischen den Ländern waren groß, und viele kritische Branchen blieben außen vor. NIS2 will genau das ändern: einheitliche Standards in ganz Europa schaffen, den Anwendungsbereich massiv erweitern und bei Verstößen spürbare Konsequenzen durchsetzen.

Für Unternehmen bedeutet das: Wer bisher dachte, nicht zu den „klassischen“ Betreibern kritischer Infrastrukturen zu gehören, könnte jetzt überraschend feststellen, dass er doch betroffen ist. Der Geltungsbereich wurde so ausgeweitet, dass nicht nur Stromversorger oder Krankenhäuser, sondern auch IT-Dienstleister, Logistikunternehmen, Lebensmittelproduzenten oder Betreiber von Online-Plattformen in den Fokus rücken. Die Umsetzungsfrist läuft am 17. Oktober 2024 ab – wer bis dahin nicht vorbereitet ist, riskiert Bußgelder, Aufsichtsmaßnahmen und Reputationsschäden. Gleichzeitig eröffnet NIS2 die Chance, Sicherheit strukturiert auf ein neues Niveau zu heben – mit messbarem Nutzen für Betrieb, Kundenvertrauen und Krisenfestigkeit.