Die ersten 100 Tage als ISB: Prioritäten, Quick Wins und Fettnäpfchen

Der erste Tag: Alles und nichts gleichzeitig

Du hast die Rolle übernommen, ob als interner Aufstieg, als Neueinstellung oder als extern bestellter ISB. Vielleicht hast du einen Vorgänger, der eine Übergabe gemacht hat. Vielleicht nicht. Vielleicht gibt es ein bestehendes ISMS, das du weiterführen sollst. Vielleicht startest du bei null.

Unabhängig von der Ausgangslage stehst du vor derselben Herausforderung: Du musst gleichzeitig verstehen, wo das Unternehmen steht, Vertrauen bei den Stakeholdern aufbauen, schnelle Ergebnisse liefern und eine langfristige Strategie entwickeln. Und das alles, während du noch lernst, wie der Laden läuft, wer die Entscheidungsträger sind und wo die informellen Machtstrukturen verlaufen.

Dieser Fahrplan teilt die ersten 100 Tage in vier Phasen auf. Er ist bewusst realistisch gehalten, kein theoretisches Idealmodell, sondern ein Praxisleitfaden, der Rücksicht darauf nimmt, dass du nebenbei noch eine Lernkurve hast und nicht ab Tag eins alle Antworten kennen kannst.

Phase 1: Zuhören und verstehen (Tag 1 bis 30)

Woche 1 und 2: Bestandsaufnahme

Dein erster Impuls wird sein, Dinge zu ändern. Widerstehe ihm. Die ersten zwei Wochen gehören dem Zuhören, Lesen und Verstehen. Du sammelst Informationen, bewertest sie aber noch nicht öffentlich. Warum? Weil voreilige Urteile in einer neuen Rolle Gift für die Zusammenarbeit sind. Die Menschen, mit denen du arbeiten wirst, haben das Unternehmen vor deiner Ankunft am Laufen gehalten, und sie verdienen es, gehört zu werden, bevor du Verbesserungsvorschläge machst.

Beginne mit der Dokumentation. Sichte alles, was es gibt: Informationssicherheitsleitlinie, Richtlinien, Risikoanalyse, SoA, Maßnahmenplan, Audit-Berichte, Vorfallsdokumentation. Lies die Dokumente nicht nur quer, sondern notiere dir für jedes Dokument: Wann zuletzt aktualisiert? Von wem? Wird es gelebt? Gibt es offensichtliche Lücken?

Parallel dazu brauchst du einen Überblick über die Systemlandschaft. Welche Systeme werden eingesetzt? Wo stehen sie (On-Premise, Cloud, Hybrid)? Wie ist das Netzwerk aufgebaut? Welche externen Dienstleister gibt es? Die IT-Abteilung kann dir das meiste davon zeigen, und dieses gemeinsame Durchgehen ist gleichzeitig eine gute Gelegenheit, die Kolleginnen und Kollegen kennenzulernen.

Woche 3 und 4: Stakeholder kennenlernen

In den Wochen drei und vier führst du Einzelgespräche mit den wichtigsten Stakeholdern. Nicht als formale Interviews, sondern als offene Gespräche. Dein Ziel ist es, drei Dinge zu erfahren:

1. Was ist aus Sicht der Person der aktuelle Stand der Informationssicherheit?
2. Wo sieht die Person die größten Risiken?
3. Was erwartet die Person von dir als ISB?

Die Liste der Gesprächspartner umfasst mindestens:

• Geschäftsführung: Dein wichtigster Stakeholder. Verstehe, welche Sicherheitsziele die Geschäftsführung hat, welche regulatorischen Anforderungen sie sieht und wie viel Budget und Aufmerksamkeit sie für Informationssicherheit bereitstellt.

• IT-Leitung: Dein engster operativer Partner. Verstehe die technische Infrastruktur, laufende Projekte, bekannte Schwachstellen und die Ressourcensituation der IT.

• Datenschutzbeauftragter: Die Schnittstelle zwischen ISMS und DSGVO. Kläre die Abgrenzung und Zusammenarbeit, und nutze die Synergien.

• HR-Leitung: Zuständig für Schulungen, Onboarding/Offboarding und arbeitsrechtliche Aspekte von Sicherheitsrichtlinien.

• Fachbereichsleiter: Die Menschen, die deine Richtlinien umsetzen müssen. Verstehe ihre Arbeitsprozesse und ihre Schmerzpunkte.

• Betriebsrat (falls vorhanden): Frühzeitige Einbindung bei Themen wie Monitoring, Protokollierung und Richtlinien, die das Arbeitnehmerverhalten betreffen.

Dokumentiere die Ergebnisse dieser Gespräche. Nicht als formales Protokoll, aber als persönliche Notizen, die du für deinen Maßnahmenplan brauchst.

Ergebnis nach 30 Tagen

Am Ende von Phase 1 solltest du folgendes haben:

• Einen Überblick über den aktuellen ISMS-Reifegrad (auch informell: "Wir haben grundlegende Richtlinien, aber kein strukturiertes Risikomanagement")
• Eine Stakeholder-Landkarte: Wer unterstützt dich, wer ist neutral, wer ist skeptisch?
• Eine erste Liste von offensichtlichen Lücken und Handlungsfeldern
• Ein gutes Gefühl für die Unternehmenskultur und die Bereitschaft, sich auf Informationssicherheit einzulassen

Phase 2: Quick Wins liefern (Tag 31 bis 60)

Warum Quick Wins entscheidend sind

In den nächsten 30 Tagen geht es darum, sichtbare Ergebnisse zu produzieren. Nicht, weil du unter Erfolgsdruck stehst, sondern weil Quick Wins drei Funktionen erfüllen: Sie zeigen der Geschäftsführung, dass die Investition in deine Rolle sich lohnt. Sie zeigen den Mitarbeitern, dass Informationssicherheit konkret und nützlich ist, nicht nur ein abstraktes Compliance-Thema. Und sie geben dir selbst das Gefühl, voranzukommen.

Die besten Quick Wins für neue ISBs

MFA für alle privilegierten Accounts aktivieren. Wenn das noch nicht geschehen ist, ist das der Quick Win mit dem besten Aufwand-Wirkungs-Verhältnis. Admin-Accounts, VPN-Zugänge und Cloud-Dienste sollten MFA nutzen. Die technische Umsetzung dauert in der Regel wenige Tage.

Passwortrichtlinie aktualisieren und kommunizieren. Wenn die bestehende Richtlinie veraltet ist (z. B. noch Passwortwechsel alle 90 Tage fordert), aktualisiere sie auf den aktuellen Stand (längere Passphrasen, kein erzwungener Wechselzyklus außer bei Kompromittierung). Das zeigt, dass du aktuelle Best Practices kennst und Richtlinien nicht um der Bürokratie willen erstellst.

IT-Notfallkarte veröffentlichen. Eine einseitige Karte mit den wichtigsten Telefonnummern und Schritten bei einem IT-Sicherheitsvorfall. Einfach zu erstellen, sofort nützlich und für alle sichtbar.

Erste Phishing-Sensibilisierung durchführen. Keine aufwendige Schulung, sondern eine kurze E-Mail oder ein Intranet-Beitrag mit aktuellen Phishing-Beispielen und einer klaren Anleitung, wie verdächtige E-Mails gemeldet werden sollen.

Meldeprozess für Sicherheitsvorfälle etablieren. Ein einfacher, niedrigschwelliger Weg, über den Mitarbeiter verdächtige Aktivitäten melden können. Das kann eine dedizierte E-Mail-Adresse, ein Formular im Intranet oder ein Kanal im Messenger sein.

Quick Wins richtig kommunizieren

Ein Quick Win, den niemand mitbekommt, ist kein Quick Win. Kommuniziere jede umgesetzte Maßnahme:

• An die Geschäftsführung: kurzer Status per E-Mail oder im nächsten Jour fixe
• An die IT-Abteilung: im Teammeeting oder per Ticket
• An alle Mitarbeiter: per Intranet, E-Mail oder Aushang (wenn die Maßnahme sie betrifft)

Phase 3: Strategie entwickeln (Tag 61 bis 90)

Risiken systematisch bewerten

Jetzt, mit zwei Monaten Unternehmenskenntnis, bist du bereit für die systematische Arbeit. Wenn es noch keine formale Risikobewertung gibt, ist jetzt der Zeitpunkt, damit zu beginnen. Wenn eine Risikobewertung existiert, prüfe ihre Aktualität und Vollständigkeit.

Die Risikobewertung muss kein monatelanges Projekt sein. Nutze Workshop-Formate, in denen du mit den Asset-Eignern gemeinsam Bedrohungen, Schwachstellen und Risiken identifizierst und bewertest. Drei bis vier Halbtages-Workshops, thematisch gruppiert (Infrastruktur, Anwendungen, Organisation, physische Sicherheit), liefern eine solide Grundlage.

Maßnahmenplan priorisieren

Aus der Risikobewertung, den Lücken aus der Bestandsaufnahme und den Stakeholder-Gesprächen ergibt sich eine Liste von Maßnahmen. Priorisiere sie nach zwei Dimensionen:

Risikoreduktion: Welche Maßnahme reduziert das größte Risiko am stärksten?

Umsetzbarkeit: Welche Maßnahme lässt sich mit den vorhandenen Ressourcen in einem realistischen Zeitrahmen umsetzen?

Ordne jede Maßnahme in eine von vier Kategorien ein:

• Sofort (nächste 30 Tage): Hohes Risiko, geringe Komplexität
• Kurzfristig (1-3 Monate): Hohes Risiko, mittlere Komplexität
• Mittelfristig (3-6 Monate): Mittleres Risiko oder hohe Komplexität
• Langfristig (6-12 Monate): Strategische Maßnahmen, Investitionsprojekte

ISMS-Roadmap erstellen

Fasse die Ergebnisse in einer ISMS-Roadmap zusammen, die du der Geschäftsführung präsentierst. Ein Tool wie ISMS Lite gibt dir dabei eine fertige Struktur für Risikobewertung, Maßnahmenverfolgung und Reporting, sodass du nicht bei null anfangen musst. Die Roadmap sollte auf einer Seite passen und folgende Elemente enthalten:

• Aktueller Reifegrad (z. B. als Spinnennetzdiagramm über die Bereiche des ISMS)
• Zielzustand in 12 Monaten
• Die wichtigsten Maßnahmen, gruppiert nach Zeitrahmen
• Benötigte Ressourcen (Budget, Personal, externe Unterstützung)
• Nächste Schritte

Diese Roadmap ist dein zentrales Steuerungsinstrument. Sie gibt dir eine Richtung, der Geschäftsführung Transparenz und den Mitarbeitern das Signal, dass es einen Plan gibt.

Phase 4: Fundament festigen (Tag 91 bis 100)

Richtlinien priorisieren

Du wirst nicht alle Richtlinien in den ersten 100 Tagen erstellen können und sollst es auch nicht. Konzentriere dich auf die drei bis fünf wichtigsten:

1. Informationssicherheitsleitlinie (falls nicht vorhanden oder veraltet)
2. Acceptable Use Policy (Nutzung von IT-Systemen und Daten)
3. Passwort- und Authentifizierungsrichtlinie
4. Incident-Response-Richtlinie (Erkennung, Meldung und Behandlung von Vorfällen)
5. Zugriffssteuerungsrichtlinie (Berechtigungskonzept)

Jede weitere Richtlinie kommt auf die Roadmap und wird im geplanten Zeitrahmen erstellt.

Erste Schulung durchführen

Plane für das Ende der 100 Tage eine Awareness-Schulung für alle Mitarbeiter. Kein trockener Pflichttermin, sondern eine interaktive Session, die Neugier weckt. Gute Elemente:

• Live-Demo einer Phishing-Attacke oder eines Social-Engineering-Angriffs
• Echte Beispiele aus der eigenen Branche (anonymisiert)
• Klare, einfache Regeln, die ab sofort gelten
• Offene Fragerunde
• Vorstellung des Meldewegs für Sicherheitsvorfälle

Regelmäßige Berichterstattung etablieren

Richte von Anfang an einen festen Rhythmus für die Berichterstattung ein:

• Monatlich an die Geschäftsführung: Kompakter Statusbericht (eine Seite), Risikosituation, offene Maßnahmen, Vorfälle, nächste Schritte
• Quartalsweise im Management Review: Ausführlicherer Bericht mit Kennzahlen und Trend
• Wöchentlich an die IT-Abteilung: Kurzer Abgleich zu laufenden Maßnahmen und aktuellen Themen

Dieser Rhythmus sorgt dafür, dass Informationssicherheit regelmäßig auf der Agenda steht und nicht nur dann Aufmerksamkeit bekommt, wenn etwas schiefgeht.

Die klassischen Fettnäpfchen und wie du sie vermeidest

Fettnäpfchen 1: Zu schnell zu viel ändern

Du siehst die Lücken, du weißt, was zu tun ist, und du willst loslegen. Verständlich, aber gefährlich. Wenn du in den ersten Wochen fünf neue Richtlinien veröffentlichst, zwei Systeme abschalten lässt und eine Reihe von Verboten aussprichst, wirst du auf massiven Widerstand stoßen. Die Mitarbeiter empfinden dich als Bremse, die Fachabteilungen beschweren sich bei der Geschäftsführung, und du verlierst die Unterstützung, die du dringend brauchst.

Der bessere Weg: Priorisiere rigoros, kommuniziere transparent und führe Änderungen schrittweise ein. Erkläre bei jeder Maßnahme das Warum, nicht nur das Was. Menschen akzeptieren Veränderungen deutlich leichter, wenn sie den Grund verstehen.

Fettnäpfchen 2: Die IT-Abteilung übergehen

Die IT-Abteilung ist dein wichtigster operativer Partner. Wenn du Maßnahmen forderst, ohne vorher mit der IT gesprochen zu haben, erzeugst du Reibung. Die IT kennt die Systeme besser als du und hat oft gute Gründe, warum bestimmte Dinge so sind, wie sie sind. Das heißt nicht, dass du alles akzeptieren musst, aber du solltest die Perspektive der IT verstehen und einbeziehen.

Ein konkretes Beispiel: Du stellst fest, dass es keine Netzwerksegmentierung gibt. Statt eine Maßnahme zu formulieren und einen Termin zu setzen, sprich zuerst mit dem Netzwerkadministrator. Frage, warum das Netzwerk flach ist, welche Abhängigkeiten bestehen und wie eine Segmentierung aus technischer Sicht umgesetzt werden könnte. So entsteht ein realistischer Plan statt einer Forderung, die im Sande verläuft.

Fettnäpfchen 3: ISMS als Compliance-Übung verkaufen

Wenn dein Hauptargument für Informationssicherheit ist, dass es der Auditor verlangt oder dass NIS2 es vorschreibt, hast du schon verloren. Compliance ist ein Nebeneffekt guter Informationssicherheit, aber nicht das Ziel. Das Ziel ist, die Informationen des Unternehmens zu schützen und damit Geschäftsprozesse, Kundenvertrauen und Wettbewerbsfähigkeit zu sichern.

Sprich mit der Geschäftsführung über Geschäftsrisiken, nicht über Kontrollkataloge. Sprich mit den Fachabteilungen über den Schutz ihrer Arbeitsergebnisse, nicht über ISO-Nummern. Sprich mit den Mitarbeitern über den Schutz vor realen Bedrohungen, nicht über abstrakte Normen.

Fettnäpfchen 4: Alles alleine machen wollen

Du bist der ISB, aber du bist nicht allein verantwortlich für Informationssicherheit. Informationssicherheit ist eine Gemeinschaftsaufgabe, und dein Job ist es, sie zu koordinieren, nicht sie im Alleingang umzusetzen. Delegiere, wo es geht. Benenne Risikoeigner. Weise Maßnahmen den Fachverantwortlichen zu. Baue ein Netzwerk von Ansprechpartnern in den Abteilungen auf.

Fettnäpfchen 5: Keine Verbündeten suchen

In jedem Unternehmen gibt es Personen, die Informationssicherheit aus eigener Überzeugung wichtig finden. Finde diese Verbündeten und nutze ihre Unterstützung. Das kann der Administrator sein, der schon lange bessere Passwortregeln fordert. Die Qualitätsmanagerin, die den Audit-Gedanken verinnerlicht hat. Der Teamleiter, der nach dem letzten Phishing-Vorfall sensibilisiert ist. Diese Verbündeten helfen dir, Maßnahmen in ihren Bereichen durchzusetzen und eine Sicherheitskultur aufzubauen.

Checkliste: 100-Tage-Plan auf einen Blick

Tag 1-14: Ankommen und orientieren

• Vorhandene ISMS-Dokumentation sichten und bewerten
• Systemlandschaft und Netzwerkarchitektur verstehen
• Organisationsstruktur und Verantwortlichkeiten klären
• Zugänge zu allen relevanten Systemen und Dokumenten einrichten

Tag 15-30: Stakeholder und Risikolage verstehen

• Einzelgespräche mit allen Schlüssel-Stakeholdern führen
• Beziehung zur Geschäftsführung aufbauen
• Erste informelle Risikoeinschätzung erstellen
• Quick Wins identifizieren

Tag 31-60: Quick Wins umsetzen und kommunizieren

• 3-5 Quick Wins umsetzen (MFA, Passwortrichtlinie, IT-Notfallkarte, Meldeweg)
• Jede Maßnahme aktiv kommunizieren
• Regelmäßigen Berichtsrhythmus zur Geschäftsführung starten

Tag 61-90: Strategie und Fahrplan

• Formale Risikobewertung starten (Workshops)
• Maßnahmenplan priorisieren
• ISMS-Roadmap für die nächsten 12 Monate erstellen
• Roadmap der Geschäftsführung präsentieren

Tag 91-100: Fundament festigen

• Wichtigste Richtlinien finalisieren
• Erste Awareness-Schulung für alle Mitarbeiter
• Maßnahmenverfolgung systematisch aufsetzen
• Persönliche Bilanz ziehen: Was habe ich erreicht, was steht an?

Die ersten 100 Tage sind dein Fundament. In dieser Zeit baust du kein fertiges ISMS auf, aber du legst die Grundlage für alles, was danach kommt: das Vertrauen der Stakeholder, ein realistisches Bild der Risikosituation, einen Plan für die nächsten Schritte und die ersten sichtbaren Ergebnisse. Wenn du dieses Fundament solide baust, wird alles Weitere darauf aufbauen können.

Weiterführende Artikel

• ISB extern oder intern? Vor- und Nachteile beider Modelle
• Die wichtigsten ISMS-Rollen: ISB, CISO, Risikoeigner
• Informationssicherheit der Geschäftsführung erklären
• Security Awareness Programm aufbauen und verstetigen
• ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern