ISMS

Die wichtigsten ISMS-Rollen: ISB, CISO, Risikoeigner – wer macht was?

8 Min. Lesezeit
TL;DR
  • Ein ISMS braucht mindestens fünf klar definierte Rollen: Geschäftsführung, ISB/CISO, Risikoeigner, Asset-Owner und Maßnahmenverantwortliche.
  • Der ISB koordiniert das ISMS, trägt aber nicht die Gesamtverantwortung – die bleibt bei der Geschäftsführung.
  • IT-Leiter und ISB in Personalunion sind ein Interessenkonflikt, den Auditoren regelmäßig beanstanden.
  • Auch ein 100-Mitarbeiter-Unternehmen kann alle Rollen sinnvoll besetzen – mit klarer Abgrenzung und ohne Vollzeitstellen für jede Rolle.
  • Eine RACI-Matrix macht transparent, wer bei welcher ISMS-Aufgabe verantwortlich, zuständig, konsultiert oder informiert wird.

Ein ISMS ist kein Software-Tool und kein Aktenordner. Es ist ein Managementsystem – und Managementsysteme funktionieren nur, wenn klar ist, wer welche Aufgaben übernimmt. Die ISO 27001 fordert das in mehreren Abschnitten ganz explizit: Rollen, Verantwortlichkeiten und Befugnisse müssen definiert und kommuniziert sein.

In der Praxis scheitert genau das erstaunlich oft. Der Informationssicherheitsbeauftragte soll irgendwie alles machen, die Geschäftsführung nickt Dokumente ab, ohne sie gelesen zu haben, und bei Risikobewertungen fühlt sich niemand zuständig. Das Ergebnis: ein ISMS, das auf dem Papier existiert, aber im Alltag nicht lebt.

Dieser Artikel zeigt dir, welche Rollen ein ISMS wirklich braucht, was jede Rolle konkret tut und wie du sie auch in einem mittelständischen Unternehmen mit begrenzten Ressourcen sinnvoll besetzt.

Die fünf zentralen ISMS-Rollen im Überblick

Bevor wir in die Details gehen, hier die fünf Rollen, die in jedem ISMS vorkommen – unabhängig von Unternehmensgröße und Branche:

  1. Geschäftsführung (Top-Management)
  2. Informationssicherheitsbeauftragter (ISB) / CISO
  3. Risikoeigner
  4. Asset-Owner
  5. Maßnahmenverantwortliche

Je nach Unternehmensgröße können weitere Rollen dazukommen – etwa ein dedizierter Datenschutzbeauftragter, ein IT-Sicherheitsarchitekt oder ein Audit-Verantwortlicher. Aber diese fünf bilden das Fundament.

Geschäftsführung: Mehr als nur Unterschrift

Die Geschäftsführung trägt die Gesamtverantwortung für die Informationssicherheit. Das ist keine Floskel, sondern eine zentrale Anforderung der ISO 27001 (Abschnitt 5.1). Konkret bedeutet das:

  • Strategische Ausrichtung festlegen: Die Geschäftsführung definiert die Informationssicherheitspolitik und stellt sicher, dass die Sicherheitsziele zur Unternehmensstrategie passen.
  • Ressourcen bereitstellen: Budget für Tools, Schulungen, externe Beratung und – ganz wichtig – ausreichend Arbeitszeit für den ISB und andere ISMS-Beteiligte.
  • Vorbildfunktion übernehmen: Wenn die Geschäftsführung Sicherheitsrichtlinien ignoriert, tut das der Rest des Unternehmens auch. Kultur entsteht von oben.
  • Managementbewertung durchführen: Mindestens einmal jährlich muss das Top-Management im Management Review die Wirksamkeit des ISMS bewerten und dokumentierte Entscheidungen treffen.
  • Risiken akzeptieren: Restrisiken, die nach der Behandlung verbleiben, müssen von der Geschäftsführung formal akzeptiert werden. Diese Entscheidung lässt sich nicht delegieren.

Ein häufiger Fehler in der Praxis: Die Geschäftsführung delegiert alles an den ISB und hält sich komplett raus. Spätestens im Audit fällt das auf, weil die geforderte Managementbewertung dann entweder fehlt oder offensichtlich nur pro forma durchgeführt wurde.

Der Informationssicherheitsbeauftragte (ISB) / CISO

Der ISB ist die zentrale operative Figur im ISMS. Er koordiniert, berät, überwacht und berichtet. Aber – und das ist ein weit verbreitetes Missverständnis – er trägt nicht die Gesamtverantwortung. Die liegt bei der Geschäftsführung. Der ISB ist der Motor, nicht der Fahrzeughalter.

Kernaufgaben des ISB

  • ISMS aufbauen und weiterentwickeln: Der ISB erstellt und pflegt die Dokumentation, koordiniert Risikoanalysen und sorgt dafür, dass das System lebt und nicht nur existiert.
  • Risikoanalysen koordinieren: Er moderiert den Prozess, stellt Methoden bereit und sorgt dafür, dass alle relevanten Bereiche einbezogen werden. Die eigentliche Risikobewertung liegt bei den Risikoeignern.
  • Sicherheitsvorfälle managen: Der ISB ist die erste Anlaufstelle bei Vorfällen, koordiniert die Reaktion und sorgt für die Nachbereitung.
  • Schulungen und Awareness: Mitarbeitersensibilisierung planen, durchführen und deren Wirksamkeit messen.
  • Interne Audits koordinieren: Auch wenn er die Audits nicht selbst durchführen sollte (Unabhängigkeit), sorgt er für Planung, Durchführung und Nachverfolgung der Ergebnisse.
  • Reporting an die Geschäftsführung: Regelmäßige Berichte über den ISMS-Status, offene Risiken, Vorfälle und den Fortschritt bei Maßnahmen.

ISB vs. CISO: Gibt es einen Unterschied?

Im deutschen Mittelstand ist die Rolle meist als ISB (Informationssicherheitsbeauftragter) benannt. Der CISO (Chief Information Security Officer) kommt eher in größeren Unternehmen vor und sitzt typischerweise auf C-Level. Funktional sind die Rollen sehr ähnlich, aber der CISO hat in der Regel mehr Entscheidungsbefugnisse und ein eigenes Budget.

Für die meisten mittelständischen Unternehmen reicht der ISB als Rollenbezeichnung völlig aus. Entscheidend ist nicht der Titel, sondern dass die Person ausreichend Kompetenz, Befugnisse und Ressourcen hat.

ISB intern vs. extern: Vor- und Nachteile

Eine der häufigsten Fragen beim ISMS-Aufbau: Soll der ISB ein interner Mitarbeiter sein oder beauftragen wir einen externen Dienstleister? Beides hat klare Vor- und Nachteile.

Interner ISB

Vorteile:

  • Kennt das Unternehmen, die Prozesse und die Mitarbeiter.
  • Ist jederzeit vor Ort und ansprechbar.
  • Kann Sicherheitskultur aktiv im Alltag prägen.
  • Baut internes Know-how auf, das im Unternehmen bleibt.

Nachteile:

  • Braucht fundierte Ausbildung und kontinuierliche Weiterbildung.
  • Ist oft in Teilzeit-Rolle neben anderen Aufgaben – das ISMS kommt dann schnell zu kurz.
  • Mögliche Betriebsblindheit nach einigen Jahren.
  • Schwieriger, unbequeme Wahrheiten gegenüber Kollegen und Vorgesetzten auszusprechen.

Externer ISB

Vorteile:

  • Bringt breite Erfahrung aus verschiedenen Unternehmen und Branchen mit.
  • Objektiver Blick von außen, keine Betriebsblindheit.
  • Kann unpopuläre Maßnahmen leichter durchsetzen, weil er nicht Teil der internen Hierarchie ist.
  • Sofort einsatzbereit, ohne lange Einarbeitungszeit in ISMS-Themen.

Nachteile:

  • Höhere laufende Kosten als eine interne Teilzeit-Lösung.
  • Nicht immer sofort erreichbar bei akuten Vorfällen.
  • Kennt das Unternehmen anfangs nicht so gut wie ein interner Mitarbeiter.
  • Know-how bleibt beim Dienstleister, nicht im Unternehmen.

Praxis-Empfehlung: Für den Einstieg in ein ISMS ist ein externer ISB oft die pragmatischere Wahl – besonders wenn intern noch kein Sicherheits-Know-how vorhanden ist. Mittelfristig lohnt sich aber der Aufbau einer internen Rolle, die der externe ISB dann als Sparringspartner begleiten kann.

Kann der IT-Leiter gleichzeitig ISB sein?

Die kurze Antwort: Es ist nicht verboten, aber es ist problematisch.

Die ausführliche Antwort: Der IT-Leiter ist verantwortlich für den Betrieb der IT-Infrastruktur. Der ISB soll unter anderem prüfen, ob diese Infrastruktur sicher betrieben wird. Wenn beide Rollen in einer Person vereint sind, kontrolliert sich diese Person selbst. Das ist ein klassischer Interessenkonflikt.

Warum das in der Praxis schief geht

Nehmen wir ein konkretes Beispiel: Die Risikoanalyse ergibt, dass der Mailserver dringend aktualisiert werden muss. Als IT-Leiter weißt du aber, dass das Migration-Projekt drei Monate dauern wird und du gerade keine Kapazität hast. Als ISB müsstest du genau dieses Risiko eskalieren und Druck machen. In der Doppelrolle fällt diese Eskalation aus – das Risiko wird heruntergespielt oder vertagt.

Was Auditoren dazu sagen

ISO 27001 fordert in Abschnitt 5.3, dass Rollen und Verantwortlichkeiten so zugewiesen werden, dass die Unparteilichkeit gewährleistet ist. Viele Auditoren betrachten die Kombination IT-Leiter/ISB als Abweichung oder zumindest als Beobachtung. Bei NIS2-relevanten Unternehmen wird das noch kritischer, weil dort die Nachweispflichten strenger sind.

Pragmatische Lösung für kleine Unternehmen

Wenn eine Trennung personell nicht möglich ist, gibt es Kompensationsmaßnahmen:

  • Externe Überprüfung: Ein externer Berater führt regelmäßige Reviews der IT-Sicherheitsmaßnahmen durch.
  • Berichtslinie trennen: Der ISB berichtet in dieser Rolle direkt an die Geschäftsführung, nicht an sich selbst als IT-Leiter.
  • Dokumentierte Interessenkonflikt-Regelung: Schriftlich festhalten, wie mit Konflikten umgegangen wird.
  • Regelmäßige Audits: Häufigere interne oder externe Audits gleichen die fehlende Kontrollfunktion teilweise aus.

Ideal ist das nicht. Aber für ein Unternehmen mit 30 Mitarbeitern ist es eine akzeptable Übergangslösung, wenn die Kompensationsmaßnahmen tatsächlich gelebt werden.

Risikoeigner: Die oft vergessene Schlüsselrolle

Der Risikoeigner ist für die Behandlung eines konkreten Risikos verantwortlich. Das klingt simpel, wird in der Praxis aber erstaunlich oft falsch verstanden oder komplett ignoriert.

Was der Risikoeigner konkret tut

  • Risiken bewerten: Er kennt den Geschäftsprozess am besten und kann Eintrittswahrscheinlichkeit und Auswirkung realistisch einschätzen.
  • Behandlungsoption wählen: Vermeiden, vermindern, übertragen oder akzeptieren – diese Entscheidung trifft der Risikoeigner, nicht der ISB.
  • Maßnahmenumsetzung überwachen: Er stellt sicher, dass beschlossene Maßnahmen tatsächlich umgesetzt werden.
  • Restrisiko akzeptieren: Wenn nach der Behandlung ein Restrisiko verbleibt, akzeptiert der Risikoeigner es formal.

Wer wird Risikoeigner?

In der Regel die Person, die den betroffenen Geschäftsprozess oder Bereich verantwortet. Der Leiter der Buchhaltung ist Risikoeigner für Risiken, die das Finanzsystem betreffen. Der Vertriebsleiter für Risiken rund um das CRM. Der IT-Leiter für Risiken der IT-Infrastruktur.

Der ISB ist ausdrücklich nicht der Risikoeigner für alle Risiken – auch wenn das in der Praxis oft so gehandhabt wird. Wenn der ISB alle Risiken "besitzt", fehlt die Verankerung im Fachbereich. Die Risikobewertung wird dann abstrakt und realitätsfern.

Asset-Owner: Wer besitzt was?

Jedes Informations-Asset braucht einen Eigentümer. Das fordert die ISO 27001 im Anhang A (Kontrolle A.5.9). Der Asset-Owner ist dafür verantwortlich, dass das Asset angemessen geschützt wird.

Typische Aufgaben

  • Klassifizierung: Der Asset-Owner bestimmt den Schutzbedarf (z.B. vertraulich, intern, öffentlich).
  • Zugriffsrechte definieren: Wer darf auf das Asset zugreifen? Der Asset-Owner gibt die Vorgaben im Rahmen des Berechtigungskonzepts, die IT setzt sie technisch um.
  • Lebenszykus verwalten: Von der Erstellung über die Nutzung bis zur sicheren Entsorgung oder Archivierung.

Beispiel

Der Leiter Personal ist Asset-Owner der Personalakten. Er bestimmt, dass diese als "vertraulich" klassifiziert werden, nur HR und die direkte Führungskraft Zugriff haben und die Akten nach Ausscheiden des Mitarbeiters gemäß gesetzlicher Fristen aufbewahrt werden.

Der Asset-Owner ist oft identisch mit dem Risikoeigner für das jeweilige Asset – muss es aber nicht sein.

Maßnahmenverantwortliche: Die Umsetzer

Maßnahmenverantwortliche setzen die konkreten Sicherheitsmaßnahmen um, die aus der Risikobehandlung resultieren. Sie sind die operativen Kräfte im ISMS.

Was sie tun

  • Maßnahmen implementieren: Technische Maßnahmen (Firewall-Regel, Verschlüsselung, Backup-Konzept) oder organisatorische Maßnahmen (Richtlinien, Schulungen, Prozessänderungen).
  • Wirksamkeit nachweisen: Dokumentieren, dass die Maßnahme implementiert wurde und funktioniert.
  • Termine einhalten: Jede Maßnahme hat eine Frist. Der Maßnahmenverantwortliche sorgt dafür, dass sie eingehalten wird.
  • Abweichungen melden: Wenn die Umsetzung stockt oder nicht wie geplant funktioniert, gibt er Feedback an den Risikoeigner und den ISB.

In vielen Fällen sind Maßnahmenverantwortliche IT-Mitarbeiter, Systemadministratoren oder Teamleiter. Die Rolle wird pro Maßnahme zugewiesen – eine Person kann für mehrere Maßnahmen verantwortlich sein.

RACI-Matrix für typische ISMS-Aufgaben

Eine RACI-Matrix macht Verantwortlichkeiten auf einen Blick transparent. Die Buchstaben stehen für:

  • R = Responsible (führt die Aufgabe operativ durch)
  • A = Accountable (trägt die Gesamtverantwortung, genehmigt das Ergebnis)
  • C = Consulted (wird vor der Entscheidung befragt)
  • I = Informed (wird über das Ergebnis informiert)
ISMS-Aufgabe Geschäftsführung ISB/CISO Risikoeigner Asset-Owner Maßnahmenverantw.
Sicherheitspolitik definieren A R I I I
Risikoanalyse durchführen I R A C I
Risiken bewerten I C A/R C I
Risikobehandlung entscheiden A C R C I
Maßnahmen umsetzen I C A C R
Asset-Klassifizierung I C I A/R I
Internes Audit planen A R I I I
Sicherheitsvorfall managen I A/R C C R
Awareness-Schulung durchführen A R I I I
Managementbewertung A/R R C I I
Restrisiko akzeptieren A C R I I
Kennzahlen reporten I R C C I

Diese Matrix ist ein Ausgangspunkt. In deinem Unternehmen können einzelne Zuweisungen abweichen, je nach Organisationsstruktur und Unternehmensgröße. Wichtig ist, dass jede Aufgabe genau ein "A" hat – es darf nie unklar sein, wer letztlich die Verantwortung trägt. In ISMS Lite lassen sich Rollen direkt den ISMS-Prozessen zuweisen, sodass für jede Aufgabe transparent ist, wer verantwortlich, zuständig und informiert wird.

Praxisbeispiel: Rollenbesetzung in einem 100-Mitarbeiter-Unternehmen

Wie sieht eine realistische Rollenbesetzung in einem mittelständischen Unternehmen mit rund 100 Mitarbeitern aus? Hier ein Beispiel:

Geschäftsführung (CEO/Geschäftsführer)

  • Genehmigt die Sicherheitspolitik und das Risikobudget.
  • Führt die jährliche Managementbewertung durch.
  • Akzeptiert Restrisiken oberhalb einer definierten Schwelle.
  • Zeitaufwand: ca. 2-4 Stunden pro Monat.

ISB (Qualitätsmanager oder IT-affiner Mitarbeiter, 30-50% der Arbeitszeit)

  • Koordiniert alle ISMS-Aktivitäten.
  • Pflegt die Dokumentation und das Risikoregister.
  • Führt Awareness-Schulungen durch.
  • Berichtet quartalsweise an die Geschäftsführung.
  • Idealerweise nicht der IT-Leiter (siehe oben).

Risikoeigner (Abteilungsleiter, jeweils in ihrer Rolle)

  • Vertriebsleiter: Risiken rund um CRM, Kundendaten, Vertriebsprozesse.
  • Leiter Finanzen: Risiken des ERP-Systems, Zahlungsverkehr, Finanzdaten.
  • Leiter Personal: Risiken der Personalverwaltung, Bewerberdaten, Onboarding.
  • IT-Leiter: Risiken der IT-Infrastruktur, Server, Netzwerk, Cloud-Dienste.
  • Zeitaufwand pro Person: ca. 2-4 Stunden pro Monat.

Asset-Owner (oft identisch mit Risikoeignern)

  • Vertriebsleiter besitzt das CRM und die Kundendatenbank.
  • IT-Leiter besitzt die Server, Netzwerkinfrastruktur und Backup-Systeme.
  • Leiter Personal besitzt die Personalakten und das HR-System.
  • Zusätzlicher Aufwand: gering, da die Klassifizierung einmalig erfolgt und nur bei Änderungen aktualisiert wird.

Maßnahmenverantwortliche (IT-Team, Teamleiter)

  • Systemadministrator: Technische Maßnahmen wie Patch-Management, Firewall-Konfiguration, Backup-Tests.
  • IT-Support: Endpoint-Security, Benutzerkonten-Management.
  • Teamleiter: Organisatorische Maßnahmen wie Clean-Desk-Policy, Besucherregelungen.
  • Zeitaufwand: variiert je nach Maßnahme, typischerweise 2-8 Stunden pro Maßnahme.

Das klingt nach viel Aufwand, verteilt sich aber auf viele Schultern. Kein einzelner Mitarbeiter wird durch das ISMS überlastet, und die Verantwortung liegt dort, wo auch das Fachwissen sitzt.

Häufige Fehler bei der Rollenverteilung

Zum Abschluss die fünf häufigsten Fehler, die du bei der Rollenbesetzung vermeiden solltest:

1. Der ISB macht alles allein. Das ISMS wird zum Ein-Personen-Projekt. Wenn der ISB krank wird oder das Unternehmen verlässt, bricht alles zusammen. Verteile Verantwortung aktiv auf mehrere Schultern.

2. Risikoeigner werden nicht benannt. Risiken existieren im Risikoregister, aber niemand fühlt sich verantwortlich. Jedes Risiko braucht einen namentlich benannten Eigentümer – nicht eine Abteilung, sondern eine konkrete Person.

3. Die Geschäftsführung ist nicht eingebunden. Das Top-Management unterschreibt die Sicherheitspolitik und hält sich dann komplett raus. Ohne echtes Engagement von oben fehlt dem ISMS die Durchsetzungskraft.

4. Rollen werden zugewiesen, aber nicht kommuniziert. Es reicht nicht, Rollen in einem Dokument festzuhalten. Jede Person muss wissen, welche Rolle sie hat und was konkret von ihr erwartet wird. Dazu gehört eine kurze Schulung oder zumindest ein persönliches Gespräch.

5. IT-Leiter und ISB in Personalunion ohne Kompensation. Der Interessenkonflikt wird ignoriert. Wenn die Trennung nicht möglich ist, müssen kompensatorische Maßnahmen dokumentiert und gelebt werden.

So gehst du es an

Die Rollenverteilung muss nicht kompliziert sein. Starte mit diesen drei Schritten:

  1. Rollen definieren: Nutze die fünf Rollen aus diesem Artikel als Ausgangspunkt und passe sie an deine Organisationsstruktur an.
  2. Personen zuordnen: Benenne für jede Rolle eine konkrete Person. Dokumentiere die Zuordnung und lass sie von der Geschäftsführung freigeben.
  3. RACI-Matrix erstellen: Erstelle eine Matrix für die wichtigsten ISMS-Aufgaben und bespreche sie mit allen Beteiligten. So stellst du sicher, dass jeder weiß, was von ihm erwartet wird.

Weiterführende Artikel

Klar definierte Rollen sind kein bürokratischer Overhead – sie sind das Fundament, auf dem jedes funktionierende ISMS aufbaut. Ohne sie bleibt Informationssicherheit ein vages Ziel ohne klare Zuständigkeiten. Mit ihnen wird aus einem Papiertiger ein echtes Managementsystem.

ISMS Rollen Verantwortlichkeiten ISB CISO Risikomanagement ISO 27001

Rollen im ISMS sauber aufsetzen?

ISMS Lite hilft dir, Verantwortlichkeiten klar zu definieren, Rollen zuzuweisen und den Überblick zu behalten – ohne Excel-Chaos.

Kostenlos testen