Die Position des Chief Information Security Officer (CISO) in Theorie und Praxis

Karola Kolsdorf

Die aufsichtsrechtlichen Anforderungen an Banken wurden in den letzten Jahren deutlich intensiviert. Erhöhte Anforderungen gibt es dabei u. a. bezüglich der Wirksamkeit interner Kontrollsysteme, der internen Revision, des Risikomanagements sowie der Einhaltung der Compliance. Zur Adressierung dieser Anforderungen bietet sich das sogenannte Three Lines of Defense-Modell an. Das Modell sieht drei Verteidigungslinien vor, in welchen Aufgaben und Positionen eingeordnet werden. Darüber hinaus stellt die Informationssicherheit im Zeitalter der Digitalisierung und der Cyber-Bedrohungen ein wesentliches Thema dar. Digitale Informationen und Wissen erlangen zunehmend an Bedeutung. Je höher der Wert der Information angesehen wird, desto schützenswerter sind diese Informationen. Die Aufgabe des Chief Information Security Officer (CISO) ist die Gewährleistung von Informationssicherheit innerhalb eines Unternehmens. Derzeit führt die Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers GmbH (PwC) eine Befragung von CISOs zu aktuellen Fragestellungen durch, die auch die Positionierung im Rahmen des Three Lines of Defense-Modells beinhalten, um die Vereinbarkeit und Abweichungen von Theorie und Praxis zu erheben. Im Fokus der Befragung liegen die Motivationen für die Einführung der CISO-Position innerhalb der Banken, die aufbauorganisatorische Ansiedlung, seine Ressourcenausstattung und Tätigkeitsfelder. Mittels des Vortrags werden die wesentlichen Ergebnisse der Studie vorgestellt.