ISMS

ISB extern oder intern? Vor- und Nachteile für den Mittelstand

14 Min. Lesezeit
TL;DR
  • Ein ISB ist für jedes ISMS unverzichtbar und wird von ISO 27001, NIS2 und vielen branchenspezifischen Regelwerken gefordert.
  • Ein interner ISB bringt Nähe zum Unternehmen, tiefes Verständnis der Prozesse und ständige Verfügbarkeit, muss aber qualifiziert werden und darf keine Interessenkonflikte haben.
  • Ein externer ISB bringt breite Erfahrung, Unabhängigkeit und sofortige Expertise, ist aber weniger verfügbar und kennt das Unternehmen nicht von innen.
  • Das Hybridmodell, ein interner Ansprechpartner plus externer ISB, kombiniert die Vorteile beider Varianten und ist für viele mittelständische Unternehmen der pragmatischste Weg.
  • Die Kosten für einen externen ISB liegen typischerweise bei 1.500 bis 4.000 Euro pro Monat, ein interner ISB kostet anteilige Personalkosten plus Qualifizierung.

Warum du einen ISB brauchst

Der Informationssicherheitsbeauftragte, kurz ISB, ist die Person, die dein ISMS am Laufen hält. Die Bezeichnung variiert: Manche Unternehmen sprechen vom CISO (Chief Information Security Officer), andere vom IT-Sicherheitsbeauftragten. ISO 27001 verlangt keine bestimmte Jobtitel-Bezeichnung, sondern fordert, dass die Verantwortlichkeiten für Informationssicherheit klar zugewiesen sind und dass jemand die operative Steuerung des ISMS übernimmt.

In der Praxis läuft das auf eine zentrale Person hinaus, die folgende Aufgaben verantwortet:

  • Aufbau, Betrieb und Weiterentwicklung des ISMS
  • Durchführung und Aktualisierung der Risikobewertung
  • Koordination der Maßnahmenumsetzung
  • Vorbereitung und Begleitung von Audits (intern und extern)
  • Schulung und Sensibilisierung der Mitarbeiter
  • Berichterstattung an die Geschäftsführung
  • Beratung bei sicherheitsrelevanten Entscheidungen
  • Ansprechpartner bei Sicherheitsvorfällen

Das ist eine Rolle, die Fachwissen, Organisationstalent und Durchsetzungsvermögen erfordert. Die entscheidende Frage für viele mittelständische Unternehmen lautet: Soll diese Rolle von einem eigenen Mitarbeiter ausgefüllt werden oder von einem externen Dienstleister?

Wann wird ein ISB zur Pflicht?

Die Frage, ob du einen ISB haben musst, ist in vielen Fällen bereits beantwortet, bevor du sie stellst:

ISO 27001: Die Norm fordert die Zuweisung von Rollen und Verantwortlichkeiten für Informationssicherheit. Ein zertifizierungsfähiges ISMS ohne benannten ISB ist praktisch nicht denkbar.

NIS2: Das NIS2-Umsetzungsgesetz verpflichtet betroffene Unternehmen zu einem systematischen Risikomanagement. Auch wenn die Norm keinen „ISB" im Wortlaut fordert, ist eine verantwortliche Person für die Umsetzung de facto erforderlich.

TISAX: Im Automotive-Bereich ist ein benannter Informationssicherheitsbeauftragter explizite Anforderung.

KRITIS und regulierte Branchen: Betreiber kritischer Infrastrukturen müssen einen Ansprechpartner für IT-Sicherheit gegenüber dem BSI benennen.

Selbst wenn du keiner expliziten Pflicht unterliegst, ist ein ISMS ohne ISB wie ein Projektmanagement ohne Projektleiter: theoretisch denkbar, praktisch zum Scheitern verurteilt.

Interner ISB: Vorteile und Herausforderungen

Ein interner ISB ist ein Mitarbeiter deines Unternehmens, der die Rolle des Informationssicherheitsbeauftragten hauptberuflich oder in Teilzeit übernimmt. In vielen mittelständischen Unternehmen ist es der IT-Leiter, ein erfahrener Systemadministrator oder eine Person aus dem Qualitätsmanagement, die das Thema zusätzlich zu ihren bisherigen Aufgaben übernimmt.

Vorteile eines internen ISB

Tiefes Verständnis des Unternehmens. Ein interner Mitarbeiter kennt die Geschäftsprozesse, die IT-Landschaft, die Unternehmenskultur und die informellen Strukturen. Er weiß, welche Abteilungen kooperativ sind und welche Überzeugungsarbeit brauchen. Er kennt die Systeme nicht nur aus der Dokumentation, sondern aus dem täglichen Umgang. Dieses implizite Wissen lässt sich durch externe Berater nur schwer und nur über lange Zeit aufbauen.

Ständige Verfügbarkeit. Der interne ISB ist vor Ort, ansprechbar und in den Alltag eingebunden. Wenn ein Mitarbeiter eine Frage zur Klassifizierung eines Dokuments hat, wenn die IT ein neues System einführen will oder wenn ein verdächtiger Vorfall gemeldet wird, ist der interne ISB erreichbar, ohne dass ein Termin vereinbart oder ein Ticket erstellt werden muss.

Kontinuität. Ein interner Mitarbeiter begleitet das ISMS über Jahre und baut dabei ein kumulatives Verständnis der Sicherheitslage auf. Er kennt die Geschichte: warum bestimmte Entscheidungen getroffen wurden, welche Risiken in der Vergangenheit akzeptiert wurden und welche Maßnahmen sich bewährt haben. Diese Kontinuität ist für die Weiterentwicklung des ISMS wertvoll.

Integration in die Organisation. Als Mitarbeiter nimmt der ISB an Besprechungen teil, bekommt organisatorische Veränderungen frühzeitig mit und kann Informationssicherheit proaktiv in Entscheidungsprozesse einbringen, statt erst nachträglich informiert zu werden.

Stärkere Identifikation. Ein interner ISB hat ein persönliches Interesse am Erfolg des ISMS, weil es sein Verantwortungsbereich ist. Die Motivation, das System wirklich zum Leben zu bringen, ist in der Regel höher als bei jemandem, der mehrere Kunden parallel betreut.

Herausforderungen eines internen ISB

Qualifizierung. Informationssicherheitsmanagement erfordert spezialisiertes Wissen, das die meisten IT-Mitarbeiter nicht von Haus aus mitbringen. ISO 27001, Risikomanagement, Auditierung, regulatorische Anforderungen und technische Sicherheitsmaßnahmen sind eigene Disziplinen, die erlernt werden müssen. Die Qualifizierung eines internen ISB umfasst typischerweise eine Grundlagenschulung (3 bis 5 Tage), Praxiserfahrung durch den ISMS-Aufbau, fortlaufende Weiterbildung und gegebenenfalls eine Zertifizierung (ISO 27001 Lead Implementer oder Lead Auditor).

Die Investition in die Qualifizierung zahlt sich langfristig aus, bedeutet aber im ersten Jahr einen erheblichen Aufwand von 5.000 bis 10.000 Euro für Schulungen plus die Zeit, die der Mitarbeiter dafür aufwendet.

Interessenkonflikte. Hier liegt einer der kritischsten Punkte. Wenn der IT-Leiter gleichzeitig ISB ist, bewertet er seine eigene Arbeit. Er soll Risiken identifizieren, die möglicherweise auf Versäumnisse in seiner Abteilung zurückgehen. Er soll Maßnahmen fordern, die sein eigenes Team belasten. Und er soll im internen Audit Defizite aufdecken, die unter seiner Verantwortung entstanden sind.

Dieser Interessenkonflikt ist kein theoretisches Problem, sondern ein Punkt, den Auditoren regelmäßig ansprechen. ISO 27001 fordert, dass die Unabhängigkeit des internen Audits gewährleistet ist. Wenn der ISB gleichzeitig für die IT verantwortlich ist, muss zumindest das interne Audit von einer anderen Person durchgeführt werden.

Die sauberste Lösung ist, den ISB organisatorisch nicht in der IT-Abteilung anzusiedeln, sondern als Stabsstelle direkt der Geschäftsführung zu unterstellen. In mittelständischen Unternehmen ist das allerdings nicht immer realisierbar, weil schlicht nicht genügend Personen zur Verfügung stehen.

Kapazitätskonflikte. In den meisten mittelständischen Unternehmen übernimmt der ISB die Rolle neben seinen regulären Aufgaben. Das funktioniert, solange die ISMS-Arbeit einen überschaubaren Umfang hat. Sobald aber ein Zertifizierungsaudit vorbereitet werden muss, ein Sicherheitsvorfall eintritt oder die regulatorischen Anforderungen steigen, gerät der ISB in einen Zielkonflikt zwischen seinen operativen Aufgaben und dem ISMS.

Die Geschäftsführung muss realistisch einschätzen, wie viel Zeit der ISB für seine Rolle braucht, und diese Zeit auch tatsächlich freigeben. Wenn der ISB offiziell 20 Prozent seiner Arbeitszeit für das ISMS hat, praktisch aber immer wieder operative Aufgaben Vorrang bekommen, wird das ISMS darunter leiden.

Abhängigkeit von einer Person. Wenn der einzige interne ISB das Unternehmen verlässt, nimmt er sein gesamtes ISMS-Wissen mit. Eine ordentliche Dokumentation mildert das Problem, aber die implizite Kenntnis über Zusammenhänge, Hintergründe und Kontexte geht dennoch verloren. Eine Stellvertreterregelung, also eine zweite Person, die zumindest die Grundzüge des ISMS kennt, ist deshalb dringend empfehlenswert.

Externer ISB: Vorteile und Herausforderungen

Ein externer ISB ist ein Dienstleister, der die Rolle des Informationssicherheitsbeauftragten für dein Unternehmen übernimmt. Er arbeitet typischerweise auf Basis eines Dienstleistungsvertrags, besucht das Unternehmen regelmäßig (monatlich oder quartalsweise) und ist zwischendurch per E-Mail oder Telefon erreichbar.

Vorteile eines externen ISB

Sofort verfügbare Expertise. Ein externer ISB bringt Erfahrung mit, die in mittelständischen Unternehmen intern selten vorhanden ist. Er hat bereits ISMS-Systeme aufgebaut, Zertifizierungen begleitet, Risikobewertungen durchgeführt und kennt die typischen Stolperfallen. Anstatt Monate in die Qualifizierung eines internen Mitarbeiters zu investieren, bekommst du mit einem externen ISB vom ersten Tag an einen erfahrenen Fachmann.

Breite Erfahrung aus verschiedenen Unternehmen. Ein externer ISB arbeitet in der Regel mit mehreren Kunden aus verschiedenen Branchen. Dadurch kennt er Best Practices, die über den Tellerrand deines Unternehmens hinausgehen. Er weiß, welche Ansätze bei vergleichbaren Unternehmen funktioniert haben und welche nicht. Diese Querschnittserfahrung ist für einen internen Mitarbeiter, der nur ein einziges ISMS kennt, schwer zu erreichen.

Unabhängigkeit. Ein externer ISB hat keine internen Loyalitäten und keine Angst, unbequeme Wahrheiten auszusprechen. Er wird eher bereit sein, der Geschäftsführung zu sagen, dass bestimmte Risiken inakzeptabel sind, oder der IT-Abteilung, dass ihre Backup-Strategie unzureichend ist. Diese Unabhängigkeit ist besonders wertvoll bei der Risikobewertung und beim internen Audit.

Keine langfristige Personalbindung. Du musst keine Stelle schaffen und besetzen, keinen Mitarbeiter schulen und kein Risiko eingehen, dass der ISB das Unternehmen verlässt. Der Dienstleistungsvertrag regelt den Umfang und kann bei Bedarf angepasst oder beendet werden.

Zugang zu einem breiteren Netzwerk. Externe ISB-Dienstleister haben in der Regel ein Netzwerk aus Fachkollegen, Auditoren und Spezialisten, auf das sie bei Bedarf zurückgreifen können. Wenn du eine spezifische Fachfrage hast, etwa zu NIS2 in einer bestimmten Branche oder zu technischen Sicherheitsmaßnahmen, kann ein externer ISB oft schneller eine qualifizierte Antwort liefern.

Herausforderungen eines externen ISB

Begrenzte Verfügbarkeit. Ein externer ISB ist nicht täglich im Unternehmen. Typischerweise umfasst das Engagement 2 bis 5 Tage pro Monat, je nach Vertrag und Unternehmensgröße. Zwischen den Vor-Ort-Terminen ist er per E-Mail oder Telefon erreichbar, aber nicht in Echtzeit. Wenn ein Sicherheitsvorfall eintritt, der sofortiges Handeln erfordert, kann die Reaktionszeit eines externen ISB ein Problem sein.

Deshalb braucht jedes Unternehmen, das mit einem externen ISB arbeitet, intern einen Ansprechpartner, der im Alltag Fragen beantworten und im Notfall erste Maßnahmen einleiten kann. Der externe ISB ersetzt nicht die interne Zuständigkeit, er ergänzt sie.

Weniger Unternehmenskenntnis. Ein externer ISB lernt dein Unternehmen kennen, aber er wird nie das gleiche intuitive Verständnis entwickeln wie ein langjähriger Mitarbeiter. Informelle Strukturen, unausgesprochene Regeln und die Feinheiten der Unternehmenskultur erschließen sich einem Externen nur begrenzt. Das kann dazu führen, dass Maßnahmen vorgeschlagen werden, die zwar fachlich korrekt, aber in der konkreten Unternehmensrealität schwer umsetzbar sind.

Abhängigkeit vom Dienstleister. Wenn der externe ISB den Vertrag kündigt oder der Dienstleister seinen Betrieb einstellt, musst du kurzfristig Ersatz finden. Die Umstellung auf einen neuen externen ISB oder den Aufbau eines internen ISB kostet Zeit und kann das ISMS vorübergehend beeinträchtigen.

Achte deshalb darauf, dass die ISMS-Dokumentation nicht nur im Kopf des externen ISB existiert, sondern vollständig und nachvollziehbar im ISMS-Tool oder in der Dokumentation deines Unternehmens abgelegt ist. Ein guter externer ISB dokumentiert seine Arbeit so, dass ein Nachfolger nahtlos anknüpfen kann.

Kosten bei steigendem Bedarf. Wenn der Umfang der ISB-Tätigkeit wächst, etwa weil neue regulatorische Anforderungen hinzukommen oder weil die Unternehmensstruktur komplexer wird, steigen die Kosten für den externen ISB proportional. Ab einem bestimmten Punkt kann ein interner ISB wirtschaftlicher sein.

Akzeptanz im Unternehmen. Manche Mitarbeiter tun sich schwer damit, Anweisungen oder Empfehlungen von jemandem anzunehmen, der „nur" ein externer Berater ist. Der externe ISB hat keine Weisungsbefugnis und muss sich seine Autorität durch Kompetenz und Überzeugungskraft erarbeiten. Die Geschäftsführung kann hier unterstützen, indem sie die Rolle des externen ISB klar kommuniziert und ihn mit den notwendigen Befugnissen ausstattet.

Das Hybridmodell

In der Praxis hat sich für viele mittelständische Unternehmen ein Hybridmodell bewährt, das die Stärken beider Ansätze kombiniert: Ein interner Mitarbeiter fungiert als operative Ansprechperson und Koordinator, während ein externer Dienstleister die fachliche Verantwortung und strategische Steuerung des ISMS übernimmt.

Wie das Hybridmodell funktioniert

Interner Koordinator. Ein Mitarbeiter, oft aus der IT oder dem Qualitätsmanagement, übernimmt die Rolle des internen Ansprechpartners für Informationssicherheit. Er sammelt Informationen, koordiniert die Umsetzung von Maßnahmen, bearbeitet Anfragen im Alltag und ist der erste Kontaktpunkt bei Sicherheitsvorfällen. Er muss kein zertifizierter Experte sein, aber ein solides Grundverständnis für Informationssicherheit mitbringen.

Externer ISB. Der externe Dienstleister übernimmt die strategische Steuerung: Risikobewertung, Richtlinienerstellung, Auditvorbereitung, Management-Reporting und die fachliche Beratung bei komplexen Fragen. Er besucht das Unternehmen regelmäßig, arbeitet eng mit dem internen Koordinator zusammen und stellt sicher, dass das ISMS den Anforderungen entspricht.

Vorteile des Hybridmodells

Geringere Qualifikationsanforderungen intern. Der interne Koordinator braucht keine vollständige ISB-Ausbildung, sondern ein gutes Prozessverständnis und Kommunikationsfähigkeit. Die fachliche Tiefe liefert der externe ISB.

Bessere Verfügbarkeit als rein extern. Der interne Koordinator ist täglich ansprechbar und kann im Notfall sofort reagieren, auch wenn der externe ISB gerade nicht verfügbar ist.

Wissenstransfer. Im Laufe der Zusammenarbeit baut der interne Koordinator zunehmend eigene Kompetenz auf. Das Hybridmodell wird damit auch zum Qualifizierungspfad: Wenn der interne Koordinator genug Erfahrung gesammelt hat, kann er die Rolle des ISB vollständig übernehmen und die externe Unterstützung auf punktuelle Beratung reduzieren.

Kostenkontrolle. Du zahlst nur für die fachliche Expertise, die du tatsächlich brauchst, statt für die ständige Verfügbarkeit eines hochqualifizierten Spezialisten.

Wann das Hybridmodell passt

Das Hybridmodell eignet sich besonders für Unternehmen, die kein Budget für eine dedizierte ISB-Vollzeitstelle haben, aber trotzdem ein professionelles ISMS betreiben wollen. Es passt gut zu Unternehmen mit 50 bis 300 Mitarbeitern, in denen die Informationssicherheit eine wichtige, aber nicht dominante Funktion ist. Und es bietet einen natürlichen Übergang: Du startest mit externer Unterstützung und baust interne Kompetenz auf, bis du die externe Komponente nicht mehr oder nur noch punktuell brauchst.

Realistische Kosten beider Varianten

Die Kostenfrage ist oft der ausschlaggebende Faktor bei der Entscheidung. Hier eine realistische Einordnung für ein mittelständisches Unternehmen mit 80 bis 150 Mitarbeitern.

Interner ISB: Kostenkalkulation

Anteilige Personalkosten. Wenn ein bestehender Mitarbeiter 30 bis 50 Prozent seiner Arbeitszeit als ISB aufwendet, entspricht das bei einem Brutto-Gesamtaufwand von 70.000 bis 90.000 Euro pro Jahr (inklusive Arbeitgeberanteile) einem Kostenanteil von 21.000 bis 45.000 Euro pro Jahr.

Qualifizierung (Erstjahr). ISO-27001-Schulung (3 bis 5 Tage): 2.000 bis 5.000 Euro. Lead Implementer oder Lead Auditor Zertifizierung: 3.000 bis 5.000 Euro. Gesamtkosten Qualifizierung: 5.000 bis 10.000 Euro im ersten Jahr.

Laufende Weiterbildung. Jährliche Konferenzen, Fachseminare, Online-Kurse: 1.000 bis 3.000 Euro pro Jahr.

Zusammenfassung interner ISB:

  • Erstjahr: 26.000 bis 55.000 Euro (anteilige Personalkosten + Qualifizierung)
  • Ab Jahr 2: 22.000 bis 48.000 Euro pro Jahr (anteilige Personalkosten + Weiterbildung)

Externer ISB: Kostenkalkulation

Monatliche Pauschale. Die meisten externen ISB-Dienstleister arbeiten mit monatlichen Pauschalen, die sich nach dem Unternehmensumfang und dem vereinbarten Leistungsumfang richten.

  • Basispaket (2 Tage pro Monat, Remote-Beratung): 1.500 bis 2.500 Euro pro Monat
  • Standardpaket (3 bis 4 Tage pro Monat, inkl. Vor-Ort-Termine): 2.500 bis 4.000 Euro pro Monat
  • Umfassendes Paket (5+ Tage pro Monat, enge Begleitung): 4.000 bis 6.000 Euro pro Monat

Zusatzkosten. Initiale Bestandsaufnahme und Gap-Analyse (einmalig): 3.000 bis 8.000 Euro. Zertifizierungsvorbereitung (einmalig): 2.000 bis 5.000 Euro. Reisekosten bei Vor-Ort-Terminen: variabel.

Zusammenfassung externer ISB:

  • Erstjahr: 23.000 bis 61.000 Euro (Monatspauschale + Initialaufwand)
  • Ab Jahr 2: 18.000 bis 48.000 Euro pro Jahr (Monatspauschale)

Hybridmodell: Kostenkalkulation

Interner Koordinator (10 bis 20 Prozent Zeitanteil). Bei einem Brutto-Gesamtaufwand von 60.000 bis 80.000 Euro: 6.000 bis 16.000 Euro pro Jahr.

Externer ISB (Basispaket). 1.500 bis 2.500 Euro pro Monat: 18.000 bis 30.000 Euro pro Jahr.

Zusammenfassung Hybridmodell:

  • Jährliche Kosten: 24.000 bis 46.000 Euro
  • Inklusive Initialaufwand im ersten Jahr: 29.000 bis 59.000 Euro

Kostenvergleich auf einen Blick

Modell Erstjahr Ab Jahr 2
Interner ISB 26.000 - 55.000 EUR 22.000 - 48.000 EUR
Externer ISB 23.000 - 61.000 EUR 18.000 - 48.000 EUR
Hybridmodell 29.000 - 59.000 EUR 24.000 - 46.000 EUR

Die Kosten liegen in einer ähnlichen Größenordnung, was zeigt, dass die Entscheidung nicht primär eine Kostenfrage ist, sondern eine Frage der Passform. Die Gesamtkosten eines ISMS werden ohnehin von anderen Faktoren dominiert, wie dem Artikel zu ISMS-Kosten im Detail ausführt. Wer die Tool-Kosten im Rahmen halten will: ISMS Lite bietet den kompletten Funktionsumfang ab 500 Euro pro Jahr oder als Einmalkauf für 2.500 Euro und unterstützt sowohl interne als auch externe ISBs mit einer gemeinsamen, nachvollziehbaren Dokumentationsbasis.

Qualifikationsanforderungen

Unabhängig davon, ob der ISB intern oder extern bestellt wird, muss er bestimmte Qualifikationen mitbringen. Hier gibt es keine Einheitslösung, aber einige Mindestanforderungen haben sich in der Praxis etabliert.

Fachliche Qualifikation

Fundierte Kenntnisse der relevanten Standards. ISO 27001, ISO 27002 und gegebenenfalls branchenspezifische Standards (TISAX, BSI IT-Grundschutz, NIS2) sollten bekannt sein. Das bedeutet nicht, jeden Satz auswendig zu kennen, aber die Struktur, die Anforderungen und die Zusammenhänge zu verstehen.

Risikomanagement. Die Fähigkeit, Risiken systematisch zu identifizieren, zu bewerten und zu behandeln, ist die Kernkompetenz eines ISB. Das erfordert sowohl methodisches Wissen (Risikoframeworks, Bewertungsmethoden) als auch praktische Erfahrung.

Technisches Grundverständnis. Der ISB muss kein Systemadministrator sein, aber er sollte IT-Infrastrukturen, Netzwerktopologien, Cloud-Dienste und gängige Sicherheitstechnologien verstehen. Ohne dieses Grundverständnis kann er Risiken nicht angemessen bewerten und Maßnahmen nicht sinnvoll priorisieren.

Kenntnisse im Datenschutz und in relevanten Regularien. Die Schnittstellen zwischen Informationssicherheit und Datenschutz sind zahlreich. Ein ISB sollte die Grundzüge der DSGVO kennen und wissen, welche regulatorischen Anforderungen für sein Unternehmen gelten.

Persönliche Eignung

Kommunikationsfähigkeit. Der ISB muss mit der Geschäftsführung ebenso kommunizieren können wie mit der IT-Abteilung und den Fachabteilungen. Er muss technische Sachverhalte verständlich erklären und Sicherheitsanforderungen durchsetzen können, ohne als Blockierer wahrgenommen zu werden.

Durchsetzungsvermögen. Informationssicherheit ist nicht immer bequem. Der ISB muss in der Lage sein, auch unangenehme Empfehlungen auszusprechen und gegenüber Widerständen zu vertreten. Das erfordert ein gewisses Standing in der Organisation, das entweder durch die Person selbst oder durch die explizite Rückendeckung der Geschäftsführung geschaffen werden muss.

Organisationstalent. Ein ISMS besteht aus vielen parallel laufenden Aktivitäten: Risikobewertungen, Maßnahmenumsetzung, Dokumentation, Schulungen, Audits. Der ISB muss den Überblick behalten und Prioritäten setzen können.

Formale Zertifizierungen

Formale Zertifizierungen sind kein Muss, aber ein nützlicher Qualitätsnachweis. Die gängigsten sind:

  • ISO 27001 Lead Implementer: Zeigt die Fähigkeit, ein ISMS aufzubauen und zu betreiben
  • ISO 27001 Lead Auditor: Zeigt die Fähigkeit, ISMS-Audits durchzuführen
  • CISM (Certified Information Security Manager): International anerkannte Zertifizierung für Informationssicherheitsmanager
  • CISSP (Certified Information Systems Security Professional): Breit angelegte Zertifizierung mit Fokus auf technische Sicherheit
  • BSI IT-Grundschutz-Praktiker / -Berater: Relevant bei Anwendung des BSI IT-Grundschutzes

Für einen internen ISB in einem mittelständischen Unternehmen ist eine ISO 27001 Lead Implementer Zertifizierung ein guter Startpunkt. Für einen externen ISB sollte mindestens eine dieser Zertifizierungen vorliegen, idealerweise ergänzt durch nachweisbare Projekterfahrung.

Entscheidungshilfe: Welches Modell passt zu dir?

Die Wahl des richtigen Modells hängt von mehreren Faktoren ab. Hier eine strukturierte Entscheidungshilfe.

Interner ISB empfiehlt sich, wenn...

  • Dein Unternehmen mehr als 200 Mitarbeiter hat und der Aufwand für das ISMS eine signifikante Teilzeitstelle oder sogar eine Vollzeitstelle rechtfertigt.
  • Du bereits einen Mitarbeiter hast, der die fachliche Eignung mitbringt oder mit überschaubarem Aufwand qualifiziert werden kann.
  • Informationssicherheit ein strategisch wichtiges Thema für dein Unternehmen ist und du die Kompetenz dauerhaft im Haus haben willst.
  • Du in einer regulierten Branche arbeitest, in der ein interner ISB von Kunden oder Aufsichtsbehörden erwartet wird.

Externer ISB empfiehlt sich, wenn...

  • Dein Unternehmen weniger als 100 Mitarbeiter hat und eine dedizierte ISB-Stelle nicht wirtschaftlich ist.
  • Du schnell starten musst und keine Zeit für die Qualifizierung eines internen Mitarbeiters hast.
  • Intern keine Person vorhanden ist, die die fachliche Eignung mitbringt und Interesse an der Rolle hat.
  • Du Wert auf Unabhängigkeit legst und Interessenkonflikte vermeiden willst.

Das Hybridmodell empfiehlt sich, wenn...

  • Dein Unternehmen 50 bis 300 Mitarbeiter hat und die ISB-Rolle als Teilzeitaufgabe angelegt ist.
  • Du einen internen Mitarbeiter hast, der als Koordinator fungieren kann, aber fachliche Unterstützung braucht.
  • Du langfristig interne Kompetenz aufbauen willst, aber kurzfristig externe Expertise benötigst.
  • Du ein pragmatisches Modell suchst, das sich an veränderte Anforderungen anpassen lässt.

Häufige Fehler bei der ISB-Bestellung

Zum Abschluss noch einige Fehler, die in der Praxis regelmäßig vorkommen und die du vermeiden solltest.

Den ISB ohne Befugnisse bestellen. Ein ISB, der formal benannt ist, aber keine Befugnisse hat, Informationen einzufordern, Maßnahmen anzustoßen oder der Geschäftsführung zu berichten, kann seine Rolle nicht effektiv ausfüllen. Die Bestellung muss mit konkreten Befugnissen und einem klaren Mandat der Geschäftsführung einhergehen.

Den ISB allein lassen. Informationssicherheit ist kein Ein-Personen-Projekt. Der ISB braucht die aktive Unterstützung der Geschäftsführung, die Kooperation der IT-Abteilung und die Mitwirkung der Fachabteilungen. Wenn der ISB als Einzelkämpfer agieren muss, wird das ISMS nicht die gewünschte Wirkung entfalten.

Informationssicherheit dem IT-Leiter aufdrücken. Der IT-Leiter ist eine naheliegende Wahl für die ISB-Rolle, birgt aber den oben beschriebenen Interessenkonflikt. Wenn keine andere Option besteht, muss der Interessenkonflikt zumindest dokumentiert und durch Ausgleichsmaßnahmen (etwa ein unabhängiges internes Audit) adressiert werden.

Bei externem ISB den internen Part vergessen. Ein externer ISB kann nur so gut arbeiten, wie die interne Zuarbeit funktioniert. Ohne einen internen Ansprechpartner, der Informationen sammelt, Termine koordiniert und als Brücke zur Organisation dient, wird die Zusammenarbeit ineffizient und frustrierend für beide Seiten.

Zu wenig Budget einplanen. Ob intern oder extern: Die ISB-Rolle erfordert Zeit und Ressourcen. Ein ISB, der offiziell 10 Prozent seiner Arbeitszeit für Informationssicherheit hat, wird kein wirksames ISMS betreiben können. Plane realistisch und passe das Budget an, wenn die Anforderungen steigen.

Weiterführende Artikel

ISB Informationssicherheitsbeauftragter ISMS Mittelstand ISO 27001

ISMS effizient managen, ob mit internem oder externem ISB?

ISMS Lite unterstützt beide Modelle: Ob dein ISB intern sitzt oder extern zuarbeitet, die Plattform gibt die Struktur vor und macht die Zusammenarbeit nachvollziehbar.

Jetzt installieren