Es gab eine Zeit, in der ein „Hackerangriff“ noch so simpel war, dass er mit wenigen Tastenanschlägen und einem guten Gedächtnis durchgeführt werden konnte. In den 1980er-Jahren bestand ein typischer Angriff häufig darin, das Passwort eines Kollegen zu erraten, einen einfachen Standardzugang zu nutzen oder eine öffentlich zugängliche Systemlücke auszuprobieren. Die ersten digitalen Einbrüche waren oft das Ergebnis von Neugier, technischem Spieltrieb und der Lust am Ausprobieren, nicht von krimineller Energie. Heute dagegen sprechen wir von hochgradig professionell organisierten Cyberoperationen, die sich über Ländergrenzen hinweg koordinieren, ganze Industriezweige lahmlegen, Milliardenverluste verursachen und sogar politische Machtverhältnisse beeinflussen können. Die Entwicklung von diesen Anfängen zu den komplexen, globalen Bedrohungen unserer Zeit ist eine Geschichte von technologischem Fortschritt, wachsendem wirtschaftlichem Interesse und einer stetigen Professionalisierung der Angreifer. Wer diese Entwicklung nachvollzieht, erkennt, warum Informationssicherheit nicht länger als punktuelle Maßnahme verstanden werden kann, sondern als Dauerzustand, als Fähigkeit, trotz Störungen zu funktionieren, schnell zu reagieren, sich anzupassen und gestärkt aus Vorfällen hervorzugehen.

Die frühen Jahre: Sportlicher Wettbewerb und technische Neugier

In den Anfangsjahren der Vernetzung, Ende der 1970er- und in den 1980er-Jahren, war Hacking häufig eher ein sportlicher Wettbewerb. Viele der frühen Computerpioniere wollten beweisen, dass sie Systeme verstehen und austricksen konnten. Wer es schaffte, sich in ein Bulletin Board System oder einen Uni-Mainframe einzuloggen, gehörte zu einem kleinen Kreis von Eingeweihten. Dabei ging es selten um Geld. Stattdessen stand der Reiz im Vordergrund, etwas Verbotenes zu tun, ohne erwischt zu werden, und sich dadurch einen Namen in der Szene zu machen. Ein legendäres Beispiel aus dieser Zeit ist der „Morris Worm“ von 1988. Robert Tappan Morris, ein Student, wollte eigentlich nur herausfinden, wie groß das Internet war. Sein Programm sollte sich kontrolliert von Rechner zu Rechner ausbreiten, um eine Zählung durchzuführen. Doch ein Fehler im Code sorgte dafür, dass der Wurm sich ungebremst vervielfältigte und einen großen Teil des damals noch kleinen Internets lahmlegte. Der Schaden war immens, doch die Motivation dahinter war nicht kriminell – es war ein Experiment, das aus dem Ruder lief. Diese Phase war geprägt von einer informellen Ethik: Wissen teilen, Barrieren überwinden, Systeme verstehen. Die Werkzeuge waren einfach, die Angriffsflächen klein, die Verteidiger oft ahnungslos, aber die Konsequenzen meist überschaubar.

Wenn wir heute das Wort „Hacker“ hören, schießen den meisten sofort stereotype Bilder in den Kopf: ein dunkler Raum, das fahle Licht eines Monitors, grüne Zeichenketten, die über den Bildschirm laufen, und irgendwo eine Person mit Kapuzenpulli, die blitzschnell tippt. Dieses Bild ist das Produkt von Filmen, Schlagzeilen und Popkultur – und es hat mit der Realität nur am Rande zu tun. Die Wahrheit ist: Hacker gibt es, seit es komplexe Systeme gibt. Lange bevor es Computer und Internet gab, versuchten Menschen, diese Systeme zu verstehen, zu hinterfragen, zu manipulieren oder zu verbessern. Die Geschichte des Hackens beginnt nicht mit Silicon Valley, sondern reicht zurück in eine Zeit, in der Nachrichten über optische Signale übertragen wurden und Telefonnetze noch von mechanischen Wählscheiben beherrscht wurden.

Frühe Systeme: Telegraf, Funk und der Informationsvorsprung

Der erste bekannte „Hack“ fand im Jahr 1834 statt und hatte mit Elektronik noch nichts zu tun. In Frankreich betrieb die Regierung ein hochmodernes optisches Telegrafensystem, bei dem Signale über große Entfernungen mithilfe von mechanischen Armen und Sichtlinien weitergegeben wurden. Zwei findige Geschäftsmänner, François und Joseph Blanc, erkannten, dass dieses Netz ihnen einen entscheidenden Vorteil an der Börse verschaffen konnte. Sie bestachen einen Telegrafenbeamten, der in den offiziellen Übertragungen winzige, kaum wahrnehmbare Veränderungen vornahm – Änderungen, die für Außenstehende bedeutungslos wirkten, für die beiden jedoch verschlüsselte Botschaften darstellten. So erhielten sie Kursinformationen schneller als alle anderen und konnten diese für gewinnbringende Geschäfte nutzen. Es war der erste dokumentierte Fall, bei dem ein bestehendes Kommunikationssystem manipuliert wurde, um einen Informationsvorsprung zu erlangen – der Urtypus des Hackens. Das 19. und frühe 20. Jahrhundert kannte viele solcher Manipulationen, auch wenn niemand sie damals als „Hacks“ bezeichnete. In den USA etwa nutzten Kriminelle schon in den 1860er-Jahren Telegrafenleitungen, um Pferderenn-Ergebnisse zu verzögern oder zu verändern und damit Wetten zu manipulieren; in den 1920er-Jahren traten Funkpiraten auf den Plan, die Radiowellen kaperten, um eigene Botschaften auszustrahlen oder offizielle Übertragungen zu stören. In allen Fällen ging es darum, die Funktionsweise eines Systems zu verstehen, seine Grenzen auszutesten und es dann kreativ – oder kriminell – zu nutzen.

Seit Jahren diskutieren Politik, Wirtschaft und IT-Sicherheits-Expert:innen über die Frage, wie man die digitale Widerstandsfähigkeit (Resilienz) von Finanzunternehmen in Europa einheitlich, verbindlich und zukunftsfähig gestalten kann. Cyberangriffe, Systemausfälle und Abhängigkeiten von kritischen Dienstleistern sind längst nicht mehr theoretische Risiken, sondern harte Realität. Mit dem Digital Operational Resilience Act – kurz DORA – hat die Europäische Union nun ein Regelwerk geschaffen, das genau hier ansetzt: einheitliche, verbindliche und umfassende Anforderungen an den Umgang mit IKT-Risiken in der Finanzbranche. Das Ziel ist klar: Finanzunternehmen sollen in der Lage sein, auch unter extremen digitalen Störungen weiter handlungsfähig zu bleiben. Doch was heißt das konkret? Und warum betrifft es so viele Unternehmen viel direkter, als manche denken?

Dieser Beitrag erklärt DORA verständlich und praxisnah: von Geltungsbereich und Kernanforderungen über Governance und Testkonzepte bis hin zu konkreten Umsetzungsschritten, KPIs und typischen Fallstricken. Er richtet sich an Praktiker:innen, die in kurzer Zeit einen klaren Umsetzungsplan brauchen – und an Führungskräfte, die wissen wollen, wofür sie Verantwortung tragen.

Wenn man sich mit dem Digital Operational Resilience Act – kurz DORA – beschäftigt, stellt sich schnell die Frage, wen diese EU‐Verordnung eigentlich betrifft. Auf den ersten Blick scheint die Antwort einfach: „Die Finanzbranche.“ Doch wer genauer hinschaut, erkennt, dass DORA nicht nur Banken und Versicherungen ins Visier nimmt, sondern einen weitaus größeren Kreis von Unternehmen – und dass manche Akteure überrascht sein könnten, wie direkt sie unter die neuen Vorgaben fallen. Die EU hat den Anwendungsbereich bewusst breit gefasst, um nicht nur die großen, offensichtlichen Player zu erfassen, sondern das gesamte digitale Ökosystem, das den europäischen Finanzmarkt stützt. Die Logik dahinter ist simpel und schlüssig: Digitale Resilienz funktioniert nur dann, wenn nicht nur die sichtbarsten Akteure abgesichert sind, sondern auch alle kritischen Verbindungen dazwischen.

Der Grundgedanke: Resilienz entlang der gesamten Wertschöpfungskette

DORA ist konzipiert als Querschnittsregelwerk über den Finanzsektor hinweg. Statt einzelne Institutionstypen isoliert zu betrachten, verknüpft die Verordnung die betriebliche Widerstandsfähigkeit von Finanzunternehmen mit der ihrer IKT‐Lieferkette (Informations- und Kommunikationstechnologie). Das bedeutet: Ein Institut, das seine Kernprozesse verlässlich betreibt, ist nur dann wirklich resilient, wenn auch die technischen Dienstleister, auf die es sich stützt, robust, transparent und gut gesteuert sind. Genau deshalb erfasst DORA sowohl die „klassischen“ Finanzunternehmen als auch – direkt oder indirekt – die Drittparteien, die deren digitale Grundversorgung sicherstellen, etwa Cloud-, Rechenzentrums-, Software-, Sicherheits- oder Kommunikationsanbieter.

Digitale Resilienz ist in den letzten Jahren zu einem festen Begriff in der Finanzwelt geworden. Unternehmen sprechen darüber in Strategiepapieren, Beratungsfirmen verwenden ihn in Hochglanzpräsentationen, und auch Regulierungsbehörden betonen immer wieder seine Bedeutung. Doch während Resilienz lange Zeit vor allem als gutes Ziel galt – als eine Art Leitlinie, an der man sich orientieren konnte – hat sich die Situation mit dem Digital Operational Resilience Act, kurz DORA, grundlegend verändert. Aus der Theorie ist eine gesetzliche Pflicht geworden, und die EU hat dafür fünf zentrale Säulen definiert, die jedes betroffene Unternehmen umsetzen muss. Diese Säulen sind nicht nur Überschriften in einem Gesetzestext, sondern bilden ein verbindliches Gerüst, das alle relevanten Aspekte abdeckt, um den Betrieb auch unter digitalen Extrembedingungen aufrechtzuerhalten. Wer sie versteht, erkennt schnell: Es geht nicht nur um Technik, sondern um ein Zusammenspiel aus Prozessen, Organisation und Kultur.

Der Gesamtzusammenhang: Warum DORA digitale Resilienz neu definiert

DORA ist keine weitere „IT-Compliance-Checkliste“, sondern ein Rahmenwerk, das das Zusammenspiel von Risikomanagement, operativem Betrieb, Lieferkette, Testkultur und sektorweitem Lernen in den Mittelpunkt stellt. Der Kernunterschied zu älteren Regelwerken: DORA verlangt Wirksamkeit. Es genügt nicht, Policies zu schreiben oder Tools zu beschaffen. Entscheidend ist, ob ein Institut seine kritischen Dienstleistungen auch dann liefern kann, wenn Teile der IT gestört, angegriffen oder extern beeinträchtigt werden. Messbar wird das an Reaktionszeiten, Wiederanlauf, Qualität der Kommunikation, Stabilität der Lieferkette und geübten Notfallabläufen. Die fünf Säulen bilden dafür die Struktur – die Umsetzung wird am Ergebnis gemessen.