Informationssicherheit


Informationssicherheit im Unternehmen:

Wann ein externer ISB die richtige Wahl ist 

Luca Roth · Updated on: 03.07.2025
Bild eines externen informationssicherheitsbeauftragten

Inhalt

  1. Wer trägt die Verantwortung für Informationssicherheit in einem Unternehmen?
  2. Ist ein ISB gesetzlich vorgeschrieben?
  3. Aufgaben eines Informationssicherheitsbeauftragten
  4. Unterschiedliche Rollen – gleiche Verantwortung?
  5. Welche Fähigkeiten benötigt ein ISB?
  6. Intern oder extern? Wann ein externer ISB sinnvoll ist
  7. Vorteile eines externen ISB
  8. Wie läuft die Zusammenarbeit mit einem externen ISB ab?
  9. Das Wichtigste in Kürze
  10. Darum HvS
  11. Fazit 

Wer trägt die Verantwortung für Informationssicherheit in einem Unternehmen?

Wer kümmert sich eigentlich darum, ob Ihr Unternehmen auch morgen noch cyberresilient ist – und den steigenden Anforderungen von Kunden, Versicherern oder Behörden gerecht wird? 
In vielen kleinen und mittleren Unternehmen (KMU) lautet die Antwort: niemand – oder jemand, dem schlicht die Zeit oder das Fachwissen fehlt.

Genau hier kommt der Informationssicherheitsbeauftragte (ISB) ins Spiel. 

Ist ein ISB gesetzlich vorgeschrieben?

Grundsätzlich besteht keine allgemeine gesetzliche Pflicht, einen ISB zu bestellen. Allerdings gibt es zahlreiche gesetzliche, vertragliche und regulatorische Anforderungen, die die Rolle indirekt oder direkt erforderlich machen.

Einige Beispiele: 

Norm / Gesetz                                                       
Relevanz für die ISB-Pflicht      
 
ISO 27001 Keine explizite Pflicht, aber Kap. 5.3 fordert eine verantwortliche Person für das ISMS. Anhang A.5.2 
verlangt Funktionstrennung – meist nur über eine ISB-Rolle realisierbar. 
TISAX / VDA ISA  Keine explizite Pflicht, verlangt aber definierte und zugewiesene Verantwortlichkeiten sowie bei hohem Schutzbedarf die Funktionstrennung (Control 1.2.2), was meist nur durch einen ISB erfüllt werden kann.
NIS-2 RichtlinieNennt den ISB nicht direkt, er ist aber häufig notwendig zur Umsetzung sowie Überwachung der geforderten Risikomanagementmaßnahmen. 
BSI-Gesetz (Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.KRITIS) Explizite ISB-Zuweisung für Betreiber kritischer Infrastrukturen.
EASA Part-IS Explizite Forderung nach einer Rolle zur Sicherstellung der ISMS-Compliance – analog zur ISB-Funktion

 

Fazit: In vielen Branchen und Konstellationen ist ein ISB faktisch notwendig. Aber auch bei Unternehmen ohne gesetzliche, vertragliche oder regulatorische Verpflichtung ist es unserer Erfahrung nach essentiell, die Verantwortung für Informationssicherheit klar zuzuweisen, um einen reibungslosen Geschäftsbetrieb sicherzustellen. Warum also nicht gleich einen ISB bestellen?  

Aufgaben eines Informationssicherheitsbeauftragten

Ein ISB setzt die Informationssicherheitsstrategie operativ um, basierend auf den Zielen der Geschäftsführung. Die Gesamtverantwortung bleibt jedoch stets bei der Unternehmensleitung.

Typische Aufgaben eines ISB:

  • Aufbau und Pflege des Informationssicherheitsmanagementsystems (ISMS)
  • Identifikation und Bewertung von Risiken und Schwachstellen
  • Erstellung und Pflege von Richtlinien und Prozessen
  • Ansprechpartner für Geschäftsführung und Mitarbeitende
  • Organisation und Begleitung von Audits
  • Regelmäßiges Reporting an die Unternehmensleitung

Diese Aufgaben sind zentral, um Compliance, Cyber-Resilienz und Vertrauen gegenüber Kunden und Partnern sicherzustellen.

Unterschiedliche Rollen – gleiche Verantwortung?

Begriffe wie ISB, ISO, CISO oder IT-Sicherheitsbeauftragter werden oft synonym verwendet – sollten aber unterschieden werden:

RolleBeschreibung
InformationssicherheitsbeauftragterISBZuständig für operative Umsetzung der Informationssicherheitsstrategie 
Information Security OfficerISOEnglischer Begriff, oft identisch mit ISB verwendet
Chief Information Security OfficerCISOStrategisch verantwortliche Führungskraft auf C-Level 
IT-SicherheitsbeauftragterIT-SiBeKonzentriert sich auf IT-bezogene Sicherheitsmaßnahmen – also eine Teilmenge der Informationssicherheit

 

Die Rollenwahl hängt meist von der Unternehmensgröße ab. In KMU übernimmt meist ein ISB (intern oder extern) alle Aufgaben, während größere Unternehmen auf ganze Teams unter Führung eines CISO setzen.

Welche Fähigkeiten benötigt ein ISB?

Neben fundierten Fachkenntnissen sollte der ISB über methodische Kompetenz und kommunikatives Geschick verfügen. Wichtig ist insbesondere:

  • ein sicherer Umgang mit gängigen Standards, Normen und Gesetzen (ISO 27001, NIS-2, DSGVO, …)
  • grundlegendes IT-Fachwissen (Netzwerktechnik, Softwareentwicklung, …)
  • Erfahrung im Projektmanagement
  • die Fähigkeit auf Augenhöhe klar und verständlich sowohl mit einzelnen Fachbereichen als auch mit dem Management kommunizieren zu können
  • Durchsetzungsvermögen

Im Idealfall hat der ISB zudem gute Kenntnisse über das Unternehmen und dessen Abläufe und verfügt außerdem über technisches Grundwissen zur besseren Einstufung und Behandlung von Informationssicherheitsrisiken.

Intern oder extern? Wann ein externer ISB sinnvoll ist

Die interne Besetzung des ISB ist unserer Erfahrung nach grundsätzlich sinnvoll, wenn dieser die erforderlichen Fähigkeiten mit sich bringt und das notwendige Budget vorhanden ist.  

Viele KMU versuchen allerdings, die Aufgaben eines ISB nebenbei durch IT-Leiter oder andere Fachkräfte abzudecken. Das führt häufig zu Interessenskonflikten (z. B. eigene Prozesse prüfen) bzw. fehlender Unabhängigkeit oder Ressourcenengpässen (Zeit, Personal, Priorisierung, Fachwissen)

Ein externer Informationssicherheitsbeauftragter bietet hier eine effektive Alternative.

Vorteile eines externen ISB

  • Schnelle Verfügbarkeit ohne langwieriges Recruiting
  • Objektivität und neutraler Blick von außen
  • Hohe fachliche Qualifikation und Erfahrung
  • Planbare, skalierbare Kostenstruktur
  • Klare methodische Vorgehensweise
  • Reibungslose Zusammenarbeit mit interner IT und Management

Wie läuft die Zusammenarbeit mit einem externen ISB ab?

  • Fester Ansprechpartner
  • Regelmäßige Abstimmungen – vor Ort oder remote
  • Transparente Berichte, angepasst an Reifegrad und Branche
  • Fokus auf wirksame Umsetzung, nicht auf Formalismus

Ein externer ISB ist kein Ersatz für interne Verantwortlichkeit – sondern eine professionelle Verstärkung, die Unternehmen gezielt entlastet und absichert.

Das Wichtigste in Kürze

Ist ein ISB Pflicht? 
Nicht pauschal – aber in vielen Fällen durch Regularien faktisch notwendig.

Kann der IT-Leiter auch ISB sein? 
Nicht empfehlenswert. Es drohen Interessenskonflikte.

Muss der ISB in Vollzeit arbeiten? 
Nicht zwingend. Teilzeitlösungen oder externe Unterstützung sind oft sinnvoll.

Was kostet ein externer ISB? 
Das hängt von Unternehmensgröße, Reifegrad und Leistungsumfang ab – sprechen Sie uns an, wir erstellen ein passendes Angebot.

Warum sollten Sie einen externen ISB über die HvS Consulting GmbH bestellen?  

Weil Informationssicherheit unser Handwerk ist. 
Unsere Consultants verfügen über langjährige Erfahrung in den Bereichen Information Security und Cyber Security - aus der Praxis, für die Praxis. Wir wissen, worauf es ankommt, wenn Informationssicherheit im Unternehmen nicht nur dokumentiert, sondern gelebt werden soll.

Wir kennen die Höhe der Messlatte. 
Unsere Berater sind zertifizierte Lead-Auditoren, u. a. für ISO 27001, TISAX und weitere Standards. Das bedeutet: wir denken nicht nur in Anforderungen - wir wissen auch, wie Auditoren prüfen und was Sie wirklich weiterbringt. Compliance, die wirkt.

Schneller Zugriff auf spezialisiertes Know-how. 
Als Teil der HvS Consulting GmbH greifen unsere ISBs bei Bedarf agil und unkompliziert auf ein breites Expertennetzwerk zurück – von Spezialisten für OT-Security bis hin zu Juristen für Informationssicherheitsrecht. Ohne Umwege, ohne externe Eskalation.

Das Ergebnis: 
Ein externer ISB, der nicht nur Prozesse kennt – sondern sie auch zum Laufen bringt. 
Praxiserprobt, effizient und anschlussfähig an Ihre Unternehmenskultur.

Fazit

Informationssicherheit ist kein Nebenthema mehr – auch nicht für KMU. 
Ob intern oder extern besetzt: Die Rolle des ISB ist entscheidend für Compliance, Resilienz und Vertrauen. Und sie sollte klar definiert, professionell besetzt und wirksam umgesetzt werden.

Sie möchten wissen, wie ein externer ISB konkret in Ihrem Unternehmen aussehen könnte? 


Finden Sie es heraus

Über den Autor

Luca Roth

Information Security Consultant

Er unterstützt Unternehmen beim Aufbau und der Weiterentwicklung von ISMS – praxisnah, regelkonform und risikobasiert.
Seine Schwerpunkte: Sicherheitsprozesse, Richtlinien, Risikomanagement, ISMS-Audits, Gap-Analysen und Schwachstellenmanagement.
Mit über zwei Jahren Erfahrung in der Informations- und IT-Sicherheit sorgt er für klare Strukturen und nachhaltige Sicherheitsniveaus.

Zum LinkedIn-Profil

Luca Roth Cyber Security Consultant HvS Consulting GmbH