Der externe CISO in der Finanzbranche: Zwischen DORA, Cyberrisiken und IKT-Risikomanagement

Informationssicherheit ist in der Finanzbranche kein IT-Thema mehr

Finanzunternehmen leben von Vertrauen. Kundinnen und Kunden, Geschäftspartner, Aufsichtsbehörden und Investoren erwarten, dass sensible Daten geschützt, Zahlungs- und Geschäftsprozesse verfügbar und digitale Risiken beherrschbar sind. Gleichzeitig sind Banken, Versicherer, Zahlungsdienstleister, Kapitalverwaltungsgesellschaften und andere Finanzakteure attraktive Ziele für Cyberangriffe.

Ein erfolgreicher Angriff kann hier weit mehr auslösen als einen technischen Zwischenfall: Betriebsunterbrechungen, Datenabflüsse, Meldepflichten, Reputationsschäden, aufsichtsrechtliche Maßnahmen und erhebliche finanzielle Folgen. Genau deshalb braucht Informationssicherheit in der Finanzbranche eine klare strategische Verantwortung.

Hier kommt der CISO ins Spiel.

Was ist ein CISO – und was macht er?

CISO steht für Chief Information Security Officer. Der CISO ist die zentrale Rolle für Informationssicherheit im Unternehmen. Er sorgt dafür, dass Risiken für Daten, Systeme, Anwendungen und digitale Prozesse erkannt, bewertet und gesteuert werden.

Anders gesagt: Der CISO ist nicht einfach die Person, die Firewalls, Virenscanner oder Sicherheitstools betreut. Er oder sie verantwortet die übergeordnete Sicherheitsstrategie und verbindet technische, organisatorische und regulatorische Anforderungen.

Typische Aufgaben eines CISO sind:

• Entwicklung einer Informationssicherheitsstrategie
• Aufbau und Weiterentwicklung von Sicherheitsrichtlinien
• Bewertung und Priorisierung von Cyber- und IKT-Risiken
• Vorbereitung auf Sicherheitsvorfälle und Krisensituationen
• Steuerung von Maßnahmen in IT, Compliance, Datenschutz und Risikomanagement
• Sensibilisierung von Mitarbeitenden und Führungskräften
• Bericht an Geschäftsleitung, Risikogremien oder Aufsichtsfunktionen
• Unterstützung bei Audits, Prüfungen und Zertifizierungen

Kurz gesagt: Der CISO macht Informationssicherheit steuerbar.

Was ist ein externer CISO?

Ein externer CISO übernimmt diese Rolle nicht als fest angestellte Führungskraft, sondern als spezialisierter externer Experte. Häufig wird auch von einem vCISO, also einem „virtual CISO“, oder von CISO as a Service gesprochen.

Das Modell ist besonders interessant für Unternehmen, die professionelle Security-Governance benötigen, aber keine eigene Vollzeit-CISO-Stelle schaffen wollen oder können. Der externe CISO kann projektbezogen, dauerhaft in Teilzeit oder übergangsweise eingesetzt werden.

Gerade in der Finanzbranche kann ein externer CISO damit eine wichtige Lücke schließen: zwischen regulatorischem Anspruch, knappen internen Ressourcen und dem Bedarf an praxiserprobter Security-Expertise.

Warum ist der CISO in der Finanzbranche besonders wichtig?

In der Finanzbranche treffen mehrere Faktoren aufeinander, die Informationssicherheit besonders anspruchsvoll machen.

Drei Punkte sind dabei besonders entscheidend:

• Hochsensible Daten: Finanzdaten, Vertragsinformationen, Identitätsdaten, Gesundheits- oder Versicherungsdaten und Transaktionsdaten gehören zu den Informationen, deren Verlust oder Manipulation besonders gravierende Folgen haben kann.
• Digitale Geschäftsmodelle: Onlinebanking, Zahlungsdienste, Handelsplattformen, Kundenportale, digitale Versicherungsprozesse oder automatisierte Risikobewertungen funktionieren nur, wenn IT-Systeme verfügbar, belastbar und sicher sind.
• Hohe regulatorische Anforderungen: Finanzunternehmen müssen angemessene Sicherheitsmaßnahmen nicht nur umsetzen, sondern auch nachweisen, regelmäßig überprüfen und in ein wirksames Risikomanagement einbetten.

Für den CISO bedeutet das: Er muss Informationssicherheit so organisieren, dass sie sowohl technisch funktioniert als auch regulatorisch belastbar ist.

DORA verändert den Blick auf Cybersecurity

Mit DORA, dem Digital Operational Resilience Act, wird digitale Widerstandsfähigkeit im Finanzsektor noch stärker in den Mittelpunkt gerückt. Der Fokus liegt nicht allein darauf, Angriffe zu verhindern. Finanzunternehmen müssen auch zeigen, dass sie Störungen erkennen, darauf reagieren, den Betrieb aufrechterhalten und sich schnell wieder erholen können.

Damit verschiebt sich der Blick von klassischer IT-Sicherheit hin zu digitaler operationaler Resilienz.

Das umfasst unter anderem:

• klare Verantwortlichkeiten für IKT-Risiken
• ein dokumentiertes IKT-Risikomanagement
• Schutz-, Erkennungs-, Reaktions- und Wiederherstellungsmaßnahmen
• angemessene Tests der digitalen Widerstandsfähigkeit
• professionelles Management von IKT-Dienstleistern
• strukturierte Prozesse für Sicherheitsvorfälle
• belastbares Reporting an die Geschäftsleitung

Für viele Unternehmen ist genau das die Herausforderung: Die einzelnen Bausteine existieren oft bereits irgendwo im Unternehmen. Was fehlt, ist eine klare Gesamtsteuerung. Ein CISO kann diese Steuerung übernehmen oder wesentlich dabei helfen, sie aufzubauen.

Was ist der IKT-Risikomanager nach DORA?

In der Praxis wird häufig vom IKT-Risikomanager nach DORA gesprochen. Wichtig ist dabei die genaue Einordnung: DORA verlangt nicht zwingend eine Stelle mit genau diesem Titel. DORA verlangt aber ein wirksames IKT-Risikomanagement und klare Verantwortlichkeiten für die Steuerung und Überwachung von IKT-Risiken.

Der IKT-Risikomanager ist deshalb meist die Funktion, die sicherstellt, dass IKT-Risiken systematisch identifiziert, bewertet, überwacht und berichtet werden.

Zu den typischen Aufgaben gehören:

• Aufbau und Pflege des IKT-Risikomanagementrahmens
• Durchführung oder Koordination von IKT-Risikoanalysen
• Bewertung kritischer Systeme, Prozesse und Dienstleister
• Definition von Kontrollen, Kennzahlen und Berichtspflichten
• Überwachung von Maßnahmen zur Risikoreduktion
• Dokumentation von Risiken, Entscheidungen und Restrisiken
• Bericht an Geschäftsleitung, Risikomanagement oder relevante Gremien
• Abstimmung mit Informationssicherheit, Datenschutz, Compliance, IT und Revision

Damit ist der IKT-Risikomanager eine zentrale Rolle für DORA-Compliance – aber auch für die tatsächliche Widerstandsfähigkeit des Unternehmens.

Kann ein externer CISO die Rolle des IKT-Risikomanagers übernehmen?

Ja – und gerade für viele Finanzunternehmen kann das ein sehr sinnvoller Ansatz sein. Denn der externe CISO bringt genau die Perspektive mit, die für ein wirksames IKT-Risikomanagement gebraucht wird: Sicherheitsverständnis, Risikoblick, regulatorisches Know-how und Erfahrung in der praktischen Umsetzung.

Statt IKT-Risikomanagement nur als zusätzliche Compliance-Aufgabe zu behandeln, kann ein externer CISO daraus eine steuerbare Funktion machen. Er hilft dabei, Risiken nicht nur zu dokumentieren, sondern verständlich zu bewerten, zu priorisieren und in konkrete Maßnahmen zu übersetzen.

Dafür sprechen mehrere Gründe:

• Spezialisierte Erfahrung: Ein externer CISO kennt typische Schwachstellen, Prüfungsfragen und Umsetzungsprobleme aus verschiedenen Organisationen. Dadurch kann er schneller einschätzen, wo Risiken wirklich kritisch sind.
• Unabhängiger Blick: Anders als interne Rollen ist ein externer CISO weniger in bestehende Strukturen, Routinen oder Interessenkonflikte eingebunden. Das erleichtert eine objektive Bewertung von IKT-Risiken.
• Verbindung von Security und Risikomanagement: Der CISO versteht sowohl technische Sicherheitsfragen als auch deren geschäftliche Auswirkungen. Genau diese Übersetzungsleistung ist für DORA besonders wichtig.
• Entlastung interner Teams: IT, Compliance und Datenschutz sind in vielen Finanzunternehmen bereits stark ausgelastet. Ein externer CISO kann Struktur schaffen, Aufgaben koordinieren und interne Ressourcen gezielt ergänzen.
• Bessere Entscheidungsgrundlagen für die Geschäftsleitung: IKT-Risiken müssen so aufbereitet werden, dass die Geschäftsleitung fundierte Entscheidungen zu Prioritäten, Budgets und Restrisiken treffen kann. Ein externer CISO kann dieses Reporting fachlich aufbauen und begleiten.
• Prüfungs- und Nachweissicherheit: DORA verlangt nicht nur Maßnahmen, sondern auch nachvollziehbare Prozesse, Dokumentation und Verantwortlichkeiten. Ein externer CISO kann helfen, diese Anforderungen praxisnah und prüfbar umzusetzen.

Wichtig bleibt: Die Geschäftsleitung behält die Gesamtverantwortung für IKT-Risiken. Der externe CISO kann diese Verantwortung nicht vollständig übernehmen, aber er kann sie fachlich absichern, strukturieren und im Unternehmensalltag wirksam unterstützen.

Was Finanzunternehmen jetzt prüfen sollten

Unternehmen der Finanzbranche sollten sich nicht nur fragen, ob sie formell eine Rolle benannt haben. Wichtiger ist, ob die Funktion tatsächlich wirksam ist.

Hilfreiche Leitfragen sind:

• Gibt es eine klare Verantwortung für Informationssicherheit und IKT-Risiken?
• Sind CISO-, IKT-Risikomanagement-, IT-, Compliance- und Revisionsaufgaben abgedeckt?
• Werden IKT-Risiken regelmäßig bewertet und an die Geschäftsleitung berichtet?
• Sind kritische Systeme, Prozesse und Dienstleister vollständig erfasst?
• Gibt es klare Prozesse für Sicherheitsvorfälle und Wiederherstellung?
• Sind Maßnahmen, Restrisiken und Managemententscheidungen nachvollziehbar dokumentiert?
• Reichen interne Ressourcen und Kompetenzen aus?
• Wäre ein externer CISO eine sinnvolle Lösung oder Ergänzung?

Wer diese Fragen ehrlich beantwortet, erkennt meist schnell, ob die bestehende Organisation ausreichend aufgestellt ist – oder ob externe Unterstützung sinnvoll wäre.

Fazit: Der externe CISO verbindet Sicherheit, Regulierung und Praxis

Für Finanzunternehmen ist Informationssicherheit heute ein zentraler Bestandteil der Unternehmenssteuerung. Cyberrisiken, DORA-Anforderungen, Dienstleisterabhängigkeiten und steigende Erwartungen der Aufsicht machen deutlich: Es reicht nicht, Sicherheit rein technisch zu betrachten.

Ein CISO schafft Struktur, Prioritäten und Verantwortlichkeit. Ein externer CISO kann diese Rolle flexibel und mit spezialisierten Erfahrungen übernehmen – gerade dort, wo interne Ressourcen begrenzt sind oder kurzfristig Expertise benötigt wird.

Auch die Funktion des IKT-Risikomanagers kann ein externer CISO übernehmen oder maßgeblich unterstützen, wenn Unabhängigkeit, Governance, Berichtslinien und Verantwortlichkeiten sauber geregelt sind.

Der entscheidende Punkt ist: Finanzunternehmen brauchen keine reine Symbolrolle. Sie brauchen eine wirksame Sicherheits- und Risikofunktion, die Geschäftsleitung, IT, Compliance und Aufsichtsperspektive zusammenbringt.

Genau hier liegt der Wert eines externen CISO.

Wie ISiCO unterstützen kann

ISiCO unterstützt Unternehmen dabei, Informationssicherheit und regulatorische Anforderungen praxistauglich miteinander zu verbinden. Neben juristischer Expertise arbeiten bei ISiCO auch IT-Manager mit technischem Know-how, unter anderem im Bereich Forensik. Das schafft einen entscheidenden Vorteil: Sicherheitsfragen können nicht nur rechtlich bewertet, sondern auch technisch fundiert eingeordnet und operativ begleitet werden.