Drei Verteidigungslinien

Das Drei-Verteidigungslinien-Modell (oft als Drei-Linien-Modell seit dem IIA-Update 2020 bezeichnet) ist das dominierende Governance-Framework fuer Risikomanagement in europaeischen und internationalen Unternehmen. Es trennt Risikoverantwortung, Risikoaufsicht und unabhaengige Pruefung in drei organisatorische Rollen — und verhindert so den strukturellen Konflikt, bei dem dieselbe Einheit, die Risiken eingeht, sie auch bewertet.

Erste Verteidigungslinie: Operatives Management — Geschaeftseinheiten, Fachverantwortliche und operative Mitarbeitende, die Risiken als Teil des Tagesgeschaefts besitzen und steuern. Sie erkennen, bewerten, mitigieren und ueberwachen Risiken in ihrem Bereich. Beispiele: Engineering-Teams mit sicherer Softwareentwicklung, Finanzteams mit Kontrollen bei Kontenabgleich, HR mit Hintergrundpruefungen. Risikoverantwortung in der ersten Linie ist fundamental — ohne sie werden alle weiteren Linien zur Fassade.

Zweite Verteidigungslinie: Risikomanagement-, Compliance- und spezialisierte Aufsichtsfunktionen. Dazu zaehlen Chief Risk Officer, Compliance-Beauftragter, Datenschutzbeauftragter, Informationssicherheitsfunktion (CISO), Rechtsabteilung falls anwendbar. Die zweite Linie setzt Rahmenwerke und Richtlinien, stellt Werkzeuge bereit, schult die erste Linie, hinterfragt deren Risikobewertungen und berichtet an die Geschaeftsleitung. Unter DORA (Art. 6) muessen Finanzunternehmen eine klar getrennte IKT-Risikomanagementfunktion als zweite Linie betreiben. NIS2 Art. 21 erwartet implizit dieselbe Trennung.

Dritte Verteidigungslinie: Interne Revision — unabhaengige Pruefung fuer Vorstand und Pruefungsausschuss ueber die Wirksamkeit der ersten und zweiten Linie. Interne Revision bewertet Kontroll-Design, prueft operative Wirksamkeit, berichtet Feststellungen und hat uneingeschraenkten Zugang zu Systemen und Personal. Ihre Unabhaengigkeit ist strukturell ueber die direkte Berichtslinie zum Pruefungsausschuss statt zur Geschaeftsleitung geschuetzt.

Jenseits der drei Linien: (a) Externe Revision — Abschlusspruefer, Zertifizierungsstellen (ISO 27001, SOC 2), aufsichtsrechtliche Pruefer — liefern externe Zusicherung. Das IIA-Update 2020 hat die Zaehlung als 'vierte Linie' entfallen lassen, um Verwechslung mit echter organisatorischer Accountability zu vermeiden. (b) Vorstand und Pruefungsausschuss — letzte Governance-Verantwortung. Sie erhalten Zusicherung aus allen drei Linien und der externen Pruefung.

Haeufige Implementierungsfehler: Ueberschneidungen zwischen erster und zweiter Linie (CISO, der operative Sicherheit betreibt statt Policy zu setzen), unterbesetzte interne Revision (besonders im Mittelstand), 'Schatten-erste-Linie' in der zweiten Linie, wenn Compliance faktisch Kontrollen ausfuehrt statt sie zu ueberwachen, und Blind Spots auf Vorstandsebene, wenn Ausschussmitglieder keine technische Lesefaehigkeit fuer Berichte haben. DORA fordert fuer Finanzunternehmen explizit ausreichende Ressourcen, Unabhaengigkeit von operativen Einheiten und direkten Berichtszugang zum Vorstand fuer die zweite IKT-Linie.

Das Drei-Linien-Modell interagiert mit den meisten europaeischen Rahmenwerken: DORA Art. 5-6 (IKT-Risikomanagement mit klaren Rollen), NIS2 Art. 20-21 (Governance und Verantwortung), ISO 27001 Annex A 5.2 (Rollen der Informationssicherheit), DSGVO Art. 37-39 (DSB-Position und Aufgaben). Matproof strukturiert Nutzerrollen, Freigabe-Workflows und Reporting entlang der Drei Linien — sodass dieselbe Plattform Risikoeigner, Aufsichtsfunktionen und interne Revision mit rollenspezifischen Views und Funktionstrennungskontrollen bedient.