ISB, IKT-Kontrollfunktion und Three Lines

Governance by Oxymoron

Die IKT-Kontrollfunktion erlebt seit einigen Wochen ein bemerkenswertes Revival, seit die Aufsicht erste Erkenntnisse aus DORA-Prüfungen kommuniziert.

Eine gewisse Modellferne muss man attestieren. Aufsichtsfolien zitieren im Herbst 2025 noch den BSI-Standard 100-4 (wir mochten ihn auch sehr), und selbst das Three-Lines-of-Defense-Modell wurde in DORA fortgeschrieben – obwohl es seit Jahren konzeptionell weiterentwickelt ist (keine „Defense“ mehr). Darüber ließe sich hinwegsehen, wäre es nicht gerade die Aufsicht, die von Instituten Aktualität, Präzision in Begriff, Auslegung und Umsetzung einfordert. Umso irritierender ist es, wenn sie selbst mit veralteten Modellen, unscharfen Begrifflichkeiten und widersprüchlichen Rollenkonzepten operiert.

Ein spannungsgeladener Normwortlaut

Bereits der Wortlaut von Art. 6 Abs. 4 Satz 1 DORA ist in sich widersprüchlich angelegt. Die sogenannte IKT-Kontrollfunktion wird ausdrücklich als Kontrollfunktion bezeichnet, zugleich jedoch mit der Zuständigkeit für das Management und die Überwachung der IKT-Risiken betraut.

Art. 6 Abs. 4 DORA – IKT-Kontrollfunktion

Diese begriffliche Kombination ist kein redaktionelles Detail, sondern berührt den Kern der Linienlogik. Denn im Three-Lines-Model ist das Management von Risiken eindeutig der ersten Linie zugeordnet, während Governance, methodisches Risikomanagement und Oversight der zweiten Linie obliegen. Management und Überwachung sind gerade keine austauschbaren Tätigkeiten, sondern bewusst getrennte Verantwortungsbereiche.

Die Aufsicht verschärft diesen inneren Widerspruch durch ihre eigene Auslegung. Sie liest den Verordnungstext von links nach rechts und ordnet entsprechend dieser Reihenfolge die IKT-Risikomanagementfunktionen der ersten Linie, die Kontrollfunktionen der zweiten Linie und die internen Revisionen* der dritten Linie zu.

BaFin, Fachsitzung 12 DORA – Erste Eindrücke aus aufsichtlichen Prüfungen, DIIR-Kongress 2025

Diese Lesart ist jedoch nur unter einer Annahme konsistent: nämlich dann, wenn die sogenannten IKT-Risikomanagementfunktionen als operative Risiko- und Kontrollverantwortliche verstanden werden. Nur unter dieser Voraussetzung lässt sich das „Management der IKT-Risiken“ der ersten Linie zurechnen und die IKT-Kontrollfunktion als davon getrennte Kontrollinstanz konstruieren.

Der Kernwiderspruch: Normtext gegen Auslegung

Unabhängig von dieser Annahme bleibt jedoch bestehen, dass die IKT-Kontrollfunktion nach dem Verordnungstext selbst für das Management der IKT-Risiken verantwortlich sein soll. Sprachlich und inhaltlich entsteht damit ein Konstrukt, das zugleich First-Line-Verantwortung trägt und Second-Line-Charakter haben soll. Genau hier kollidiert die aufsichtsrechtliche Auslegung frontal mit der Logik des Three-Lines-Model.

Dieses Modell trennt aus funktionaler Notwendigkeit zwischen operativem Risikomanagement im Tagesgeschäft und methodischem Risikomanagement sowie Oversight. Die erste Linie managt Risiken, weil sie Prozesse betreibt, Entscheidungen trifft und Risiken eingeht. Die zweite Linie überwacht, definiert Methoden, setzt Rahmenwerke und hinterfragt. Management und Oversight sind daher nicht nur unterschiedlich, sondern kategorial getrennt.

Indem die IKT-Kontrollfunktion nach der aufsichtsrechtlichen Lesart sowohl das Management als auch die Überwachung der IKT-Risiken verantworten soll, werden genau diese Kategorien wieder zusammengeführt. Das Ergebnis ist eine hybride Funktion, die modelllogisch weder sauber der ersten noch der zweiten Linie zugeordnet werden kann. Der Widerspruch liegt damit nicht primär in der Umsetzung durch die Institute, sondern bereits in der begrifflichen Konstruktion selbst.

Selbstwiderspruch der Aufsicht in der Prüfungspraxis

Dieser Befund ließe sich möglicherweise noch als begriffliche Unschärfe oder handwerkliche Schwäche abtun, wenn nicht die spätere Kritik der Aufsicht an den Instituten selbst in offenem Widerspruch zur eigenen Auslegung stünde.

BaFin, Fachsitzung 12 DORA – Erste Eindrücke aus aufsichtlichen Prüfungen, DIIR-Kongress 2025

Wenn beanstandet wird, dass geprüfte Unternehmen ihren Informationssicherheitsbeauftragten oder CISO zur IKT-Kontrollfunktion erklären und dieser in der Praxis häufig eine Mischung aus Tätigkeiten der ersten und zweiten Linie ausübe, beschreibt die Aufsicht exakt das Ergebnis der normativen Konstruktion. Eine Funktion, die nach Verordnungstext und Auslegung Management und Überwachung bündeln soll, kann praktisch kaum anders ausgestaltet werden als hybrid.

BaFin. Q&A zu IKT-Risikomanagement; unter: www.bafin.de/DE/Aufsicht/DORA/IKT_Risikomanagement/FAQ/FAQ_node.html

Der ISB: Normativ eindeutig, praktisch überdehnt

Normativ ist die Lage eindeutig. Nach BSI-Standards und ISO/IEC 27001 koordiniert der Informationssicherheitsbeauftragte (ISB) das ISMS, berät das Management, überwacht die Umsetzung von Sicherheitsmaßnahmen, berichtet an die Leitung und beurteilt deren Angemessenheit. Er setzt keine technischen Kontrollen um, trägt keine operative IT-Verantwortung und akzeptiert keine Risiken. Die zentrale Vorgabe lautet, dass der ISB unabhängig von der operativen IT-Betriebsverantwortung auszugestalten ist. Diese Rolle ist klassischerweise der zweiten Linie zuzuordnen. Ein ISB erfüllt kein einziges Kriterium der ersten Linie.

Operativer ISB: Regelverstoß aus Not, nicht aus Konzept

Zur Ehrenrettung der Aufsicht gehört allerdings die Feststellung, dass ISB in der Praxis tatsächlich operativ tätig sind. Dieser Befund ist unbestreitbar. In vielen kleinen und mittelgroßen Instituten resultiert diese Rollenkombination weniger aus Ignoranz als aus Ressourcenrealität. Fachwissen wächst nicht auf Bäumen, spezialisierte OpSec- oder IT-Security-Rollen sind schwer zu besetzen, und so übernimmt der ISB faktisch Tätigkeiten, die eigentlich im operativen Sicherheitsbetrieb verortet sein müssten. Das ist nicht normenkonform, aber erklärbar – und bleibt ein Umsetzungs-, kein Modellproblem.

Lost in translation, lost in goverance?

Hinzu tritt eine begriffliche Fehlübertragung. Die Verwendung international geprägter Rollenbezeichnungen wie „CISO“ erfolgt häufig aus Gründen der Modernität oder „Sexiness“, ohne deren governance-systemischen Ursprung hinreichend zu reflektieren.

Insbesondere Begriffe aus dem US-amerikanischen One-Board-System sind mit einem anderen Verständnis von Managementverantwortung, Risikoübernahme und Überwachung verbunden. Rollen wie der CISO sind dort originär als exekutive Managementfunktionen konzipiert, nicht als normativ abgegrenzte Second-Line-Funktion mit strikter Trennung von operativer Verantwortung.

Eine Zwickmühle der Auslegung

Folgt man dem Wortlaut von Art. 6 Abs. 4 Satz 1 DORA konsequent, erwartet die Aufsicht, dass die IKT-Kontrollfunktion sowohl das Management als auch die Überwachung der IKT-Risiken übernimmt. Würde diese Lesart stringent angewendet, müssten sich zahlreiche aufsichtsrechtliche Beanstandungen in Luft auflösen, denn dann wäre es folgerichtig, die IKT-Kontrollfunktion mit einem operativ tätigen ISB zusammenzulegen. Wird hingegen die IKT-Kontrollfunktion mit einem modelltheoretisch korrekt etablierten ISB kombiniert, der ausschließlich Second-Line-Aufgaben wahrnimmt, entfällt genau jener Management-Aspekt, den die Aufsicht selbst der ersten Linie zuordnet. Eine solche Ausgestaltung würde streng genommen gegen Art. 6 Abs. 4 Satz 1 DORA verstoßen.

Die eigentliche Stellschraube liegt nicht in neuen Organisationskästen, sondern in der konsequenten Entflechtung operativer Tätigkeiten auf Institutsebene, dort, wo dies personell und strukturell möglich ist. Operative Informationssicherheit gehört in die erste Linie; Governance, methodische Steuerung und Oversight in die zweite.

Gleichzeitig richtet sich der Appell auch an die Aufsicht. Das sprachliche und modelltheoretische Wirrwarr der DORA – insbesondere rund um den Begriff des „Managements“ von IKT-Risiken – lässt sich nicht durch zusätzliche formale Trennungen auflösen, sondern nur durch eine praxisnahe, modellkonforme Auslegung. Wird „Management“ auf Ebene der IKT-Kontrollfunktion als methodische Verantwortung im Sinne von Plan, Check und Act verstanden und nicht als operative Risiko- oder Kontrolleigentümerschaft, löst sich der zentrale Widerspruch auf.

Ergänzend spricht auch der inhaltliche Zuschnitt der Funktionen gegen ein pauschales Trennungsdogma. Die Aufsicht selbst stellt klar, dass die IKT-Kontrollfunktion das gesamte Risikomanagement – wohl zu verstehen als IKT-Risikomanagement – umfasst, während der Informationssicherheitsbeauftragte nach xAIT und etablierten Normen auf die Informationssicherheit fokussiert ist. Informationssicherheitsrisiken stellen jedoch keine eigenständige Risikokategorie dar, sondern sind eine Teilmenge der IKT-Risiken. Vor diesem Hintergrund entsteht durch eine Zusammenlegung von ISB und IKT-Kontrollfunktion kein systemischer Konflikt, sondern eine fachliche Bündelung innerhalb derselben Verteidigungslinie. Überschneidungen in den Verantwortlichkeiten sind nicht Ausdruck mangelnder Trennung, sondern sachlogisch bedingt und eröffnen Synergiepotenziale.

Vor diesem Hintergrund plädiere ich ausdrücklich dafür, auf eine künstliche Verdopplung von Funktionen zu verzichten. Der ISB ist nach allen einschlägigen Normen eine klassische Second-Line-Funktion, ebenso ist die IKT-Kontrollfunktion ihrem Wesen nach eine Kontroll- und Governance-Funktion. Eine Zusammenlegung ist daher nicht nur zulässig, sondern sachgerecht.

Eine solche Klarstellung würde nicht nur die Governance-Logik schärfen, sondern auch einen echten Beitrag zum Bürokratieabbau leisten. Mehr Funktionen und mehr Trennlinien erzeugen nicht automatisch mehr Resilienz – oft erzeugen sie nur mehr Komplexität.

*) Für alle, die Governance-Modelle tatsächlich lesen:

Besonders deutlich wird die funktionale Fehlperspektive in der aufsichtsrechtlichen Verwendung der Begrifflichkeiten dort, wo selbst die Interne Revision im Plural adressiert wird. Das Three-Lines-Modell kennt keine multiple dritte Linie, sondern eine einheitliche Revisionsfunktion mit ungeteilter Unabhängigkeit.

Auch dass die Aufsicht weiterhin am Begriff „Three Lines of Defense“ festhält, ist ein Indikator dafür, dass sie konzeptionell nicht mehr stringent an der aktuellen Modellfassung ausgerichtet ist. Das Modell wurde bereits 2020 in „Three Lines Model“ umbenannt.