Informationssicherheitsbeauftragter (ISB)
Der Informationssicherheitsbeauftragte (ISB) ist die zentrale Verantwortungsperson für den Schutz aller Informationswerte eines Unternehmens. Er steuert das ISMS, koordiniert Risikomanagement und Compliance und berichtet direkt an die Geschäftsführung.
Der Informationssicherheitsbeauftragte (ISB) - auch IT-Sicherheitsbeauftragter (ITSiBe) genannt - ist die Person in einer Organisation, die für den Aufbau, Betrieb und die kontinuierliche Verbesserung der Informationssicherheit verantwortlich ist. Der ISB ist die Schnittstelle zwischen Geschäftsführung, IT-Abteilung und Fachabteilungen in allen Fragen der Informationssicherheit.
Aufgaben des Informationssicherheitsbeauftragten
Der Aufgabenbereich eines ISB ist breit gefächert und umfasst sowohl strategische als auch operative Tätigkeiten:
ISMS-Management: Aufbau, Betrieb und Weiterentwicklung des Informationssicherheitsmanagementsystems nach ISO 27001 oder BSI IT-Grundschutz. Der ISB steuert den gesamten PDCA-Zyklus (Plan-Do-Check-Act) und stellt sicher, dass das ISMS den Anforderungen des Unternehmens entspricht.
Risikomanagement: Systematische Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Der ISB führt regelmäßige Risikoanalysen durch, pflegt das Risikoregister und überwacht die Umsetzung von Maßnahmen zur Risikominderung.
Compliance & Regulatorik: Sicherstellung der Einhaltung gesetzlicher und regulatorischer Anforderungen - darunter NIS-2, DSGVO, BSI-Gesetz und branchenspezifische Standards wie TISAX, BAIT oder B3S.
Incident Response: Koordination der Reaktion auf Sicherheitsvorfälle, Sicherstellung der Meldepflichten (z.B. 24-Stunden-Erstmeldung nach NIS-2) und Durchführung von Post-Mortem-Analysen.
Awareness & Schulung: Sensibilisierung der Mitarbeitenden für Informationssicherheit durch Schulungsprogramme, Phishing-Simulationen und regelmäßige Kommunikation zu aktuellen Bedrohungen.
Audit & Reporting: Planung und Begleitung interner und externer Audits, regelmäßige Berichterstattung an die Geschäftsführung über den Stand der Informationssicherheit.
Qualifikation und Voraussetzungen
Ein qualifizierter ISB verfügt typischerweise über:
- Fundierte Kenntnisse in Informationssicherheit und IT-Infrastruktur
- Zertifizierungen wie ISO 27001 Lead Auditor, T.I.S.P., BSI IT-Grundschutz-Praktiker oder CISM
- Erfahrung im Risikomanagement und in der Prozesssteuerung
- Kommunikationsfähigkeit für die Vermittlung zwischen Technik und Management
Das BSI empfiehlt, mindestens 0,5 Vollzeitäquivalente (FTE) für die ISB-Rolle einzuplanen. Bei größeren Organisationen ist eine Vollzeitstelle oder ein Team erforderlich.
Wann ist ein ISB Pflicht?
Die Benennung eines Informationssicherheitsbeauftragten ist in mehreren Szenarien gesetzlich vorgeschrieben oder regulatorisch gefordert:
| Regelwerk | Anforderung |
|---|---|
| NIS-2-Richtlinie | Betroffene Unternehmen müssen einen Verantwortlichen für Cybersicherheit benennen. Bußgelder bis 10 Mio. EUR bei Pflichtverletzung. |
| ISO 27001 | Abschnitt 5.3 fordert die Zuweisung von Rollen und Verantwortlichkeiten - ohne ISB keine Zertifizierung. |
| BSI-Gesetz (KRITIS) | KRITIS-Betreiber müssen dem BSI nachweisen, dass ein ISMS betrieben wird - praktisch ohne ISB nicht erfüllbar. |
| TISAX (Automotive) | VDA ISA fordert einen benannten Verantwortlichen für Informationssicherheit als Voraussetzung für das Assessment. |
| BaFin (BAIT/VAIT/DORA) | Finanzinstitute müssen einen Informationssicherheitsbeauftragten benennen und dessen Qualifikation nachweisen. |
| §75c SGB V | Krankenhäuser ab 30.000 stationären Fällen müssen angemessene IT-Sicherheitsmaßnahmen umsetzen. |
Interner vs. externer Informationssicherheitsbeauftragter
Unternehmen können die ISB-Rolle intern besetzen oder an einen externen Informationssicherheitsbeauftragten vergeben. Beide Modelle sind regulatorisch gleichwertig.
| Kriterium | Interner ISB | Externer ISB |
|---|---|---|
| Kosten pro Jahr | 80.000-120.000 EUR (Vollkosten) | 18.000-30.000 EUR |
| Verfügbarkeit | Nach Recruiting (3-6 Monate) | Innerhalb weniger Tage |
| Branchenerfahrung | Nur eigenes Unternehmen | Aus Dutzenden Mandaten |
| Unabhängigkeit | Interne Hierarchie, Betriebsblindheit | Objektiv und unabhängig |
| Vertretung | Einzelperson-Risiko | Im Team garantiert |
| Weiterbildung | Zusätzliche Kosten | Inklusive |
Für KMU und mittelständische Unternehmen ist ein externer ISB in der Regel die wirtschaftlichere und qualitativ hochwertigere Lösung. Die externe Besetzung bietet sofortige Verfügbarkeit, branchenübergreifende Erfahrung und kalkulierbare Fixkosten.
Abgrenzung: ISB vs. CISO vs. DSB
Die Begriffe werden in der Praxis häufig verwechselt:
ISB (Informationssicherheitsbeauftragter): Operativer Fokus auf Informationssicherheit im Unternehmen. Steuert das ISMS, koordiniert Maßnahmen, berichtet an die Geschäftsführung. Typisch für den deutschen Mittelstand.
CISO (Chief Information Security Officer): Strategische C-Level-Rolle mit Budgetverantwortung und Sicherheitsstrategie auf Vorstandsebene. In größeren Unternehmen und international verbreitet. Der CISO hat typischerweise ein Team, das ihm zuarbeitet.
DSB (Datenschutzbeauftragter): Verantwortlich für den Schutz personenbezogener Daten nach DSGVO. Der DSB hat eine gesetzlich geschützte Stellung und darf nicht in Interessenkonflikte geraten. Eine Personalunion von ISB und DSB wird vom BSI ausdrücklich nicht empfohlen.
Der ISB im Kontext von ISO 27001
ISO 27001 schreibt in Kapitel 5.3 die Zuweisung von Rollen und Verantwortlichkeiten für die Informationssicherheit vor. Ohne einen benannten ISB ist eine ISO-27001-Zertifizierung formal nicht möglich. Der ISB ist verantwortlich für:
- Sicherstellung der Konformität des ISMS mit den Anforderungen der Norm
- Berichterstattung über die Leistung des ISMS an die oberste Leitung
- Planung und Durchführung interner Audits
- Vorbereitung des Management-Reviews
- Kontinuierliche Verbesserung des ISMS (Korrekturmaßnahmen, Lessons Learned)
Der ISB im Kontext von NIS-2
Die NIS-2-Richtlinie verschärft die Anforderungen an die Informationssicherheit erheblich. Betroffene Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz in 18 Sektoren) müssen unter anderem:
- Einen Verantwortlichen für Cybersicherheitsmaßnahmen benennen
- Risikomanagementmaßnahmen nach Art. 21 umsetzen
- Sicherheitsvorfälle innerhalb von 24 Stunden melden
- Die persönliche Haftung der Geschäftsführung bei Pflichtverletzungen tragen
Ein qualifizierter ISB ist der Schlüssel zur Erfüllung dieser Anforderungen. Die Geschäftsführung kann die operative Umsetzung an den ISB delegieren - die Gesamtverantwortung bleibt jedoch bei der Unternehmensleitung.
