Informationssicherheitsbeauftragter und seine Aufgaben

Was ist ein Informationssicherheitsbeauftragter?

Ein Informationssicherheitsbeauftragter (ISB) ist eine Person, die von einem Unternehmen oder einer Organisation mit dem Ziel bestellt oder ernannt wird, die Sicherheit von Informationen und Daten nach dem Stand der Technik möglichst umfassend zu gewährleisten. Der ISB ist dabei für die Umsetzung aller Maßnahmen verantwortlich, die unmittelbar oder mittelbar dazu beitragen, dass die Informationen und Daten des Unternehmens oder der Organisation nicht unbefugten zur Kenntnis gelangen.

Der ISB hat damit eine wichtige Rolle in jeder Organisation, denn er ist der Verantwortliche für die Informationssicherheit der Organisation und für die Schaffung eines angemessenen Informationssicherheitsniveaus. Daher berichtet der ISB auch direkt an die Geschäftsleitung.

Es gibt in Deutschland für Informationssicherheitsbeauftragte keine gesetzliche Grundlage zu deren Bestellung/Ernennung, auch nicht bei großen Unternehmen. Aber es gibt gesetzliche Pflichten für viele Unternehmen und Organisationen, so wie bspw. für Betreiber kritischer Infrastrukturen (KRITIS), für Telekommunikationsanbieter oder für Krankenhäuser unter dem IT-Sicherheitsgesetz (ITSiG) und dem Telemediengesetz (TKG). Auch wenn keine gesetzliche Pflicht besteht, fordern Standards wie die NIS2-Richtlinie und ISO 27001 eine zentrale Steuerungsfunktion, wodurch die Ernennung eines ISB oft sehr sinnvoll ist, um Risiken zu managen und gesetzliche Anforderungen (z.B. DSGVO) zu erfüllen, ohne die Geschäftsführung haftbar zu machen.

Bereits mittlere Unternehmen sei an dieser Stelle die Bestellung eines ISB dringend empfohlen, gerade dann, wenn das Unternehmen daten- und technologiegetrieben ist, da hier das Risiko hoher Schäden durch IT-Sicherheitsvorfälle erheblich höher ist.

Der ISB benötigt auch keine bestimmte Zertifizierung (siehe dazu unten mehr zur fachlichen Kompetenz), jedoch sind natürlich gute Kenntnisse in IT, IT-Sicherheit und Sicherheitsmanagement elementar. Denn der ISB ist auch zuständig für die Implementierung eines normkonformen Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 und ISO 27002 sowie nach BSI IT-Grundschutz.

Aufgaben des Informationssicherheitsbeauftragten

Die Aufgaben als Informationssicherheitsbeauftragter sind vielfältig und decken das gesamte Spektrum an Maßnahmen zur Gewährleistung der Sicherheit und Verfügbarkeit der Informationen und Daten im Unternehmen bzw. in der Organisation ab. Dazu gehören u.a. folgende Sicherheitsmaßnahmen:

• Informationssicherheits-Management aufsetzen und steuern (ISMS): Rollen, Prozesse, Regeln, KPIs, Governance und Verantwortlichkeiten definieren und im Betrieb halten.
• Sicherheitsstrategie und -ziele ableiten: Sicherheitsniveau festlegen (z. B. Schutzbedarf), Roadmap planen, Budget-/Ressourcenbedarf anmelden und priorisieren.
• Risikomanagement für Informationssicherheit: Risiken identifizieren, bewerten, Maßnahmen definieren, Restrisiken dokumentieren und an die Geschäftsleitung berichten/eskalieren.
• Informationsklassifikation & Schutzbedarf: Informationen/Assets inventarisieren, klassifizieren (vertraulich, intern, öffentlich etc.) und Schutzmaßnahmen daraus ableiten.
• Sicherheitsrichtlinien und Standards erstellen: Policies (z. B. Passwort, Zugriff, Mobile, Cloud, Lieferanten, Backup, Logging) formulieren, veröffentlichen, pflegen und durchsetzbar machen.
• Technische und organisatorische Maßnahmen koordinieren: Umsetzung mit IT/OT, Fachbereichen und Datenschutz koordinieren (z. B. MFA, Hardening, Patch-Prozess, Backup/Restore, Verschlüsselung, Netzsegmentierung).
• Zugriffs- und Berechtigungsmanagement begleiten: Rollen-/Rechtekonzepte, Joiner-Mover-Leaver-Prozesse, Rezertifizierungen, Privileged Access, Least-Privilege.
• Security-by-Design/Projektbegleitung: Sicherheitsanforderungen in Projekte und Änderungen einbringen (Architekturreviews, Cloud- und Applikationsfreigaben, Change-Management).
• Awareness und Schulungen: Sicherheitskultur entwickeln, Pflichtschulungen organisieren, Phishing-Simulationen/Kommunikation, klare Verhaltensregeln.
• Incident Response organisieren: Meldewege, Verantwortlichkeiten, Playbooks, Forensik-Anlaufstellen, Notfallkontakte; Koordination bei Sicherheitsvorfällen inkl. Lessons Learned.
• Business Continuity / Notfallmanagement (Sicherheitsbezug): Anforderungen an Backups, Wiederanlauf, Krisenkommunikation, Notfalltests und Wiederherstellungsübungen mitgestalten.
• Monitoring & Schwachstellenmanagement steuern: Vulnerability-Scanning, Penetrationstests, Findings-Tracking, Patch-Compliance, Ausnahmen und Risikoakzeptanzen.
• Lieferanten- und Third-Party-Security: Sicherheitsanforderungen an Dienstleister, Cloud-/IT-Provider prüfen (Due Diligence, Verträge/SLAs, Audits, Zugriffskontrollen, Exit-Strategien).
• Compliance und Auditfähigkeit sicherstellen: Relevante Anforderungen umsetzen (z. B. ISO 27001, TISAX, branchenspezifische Vorgaben, interne Policies), Auditplanung und Nachweisführung.
• Dokumentation und Nachweise: Risiko-Register, Maßnahmenpläne, Richtlinien, Protokolle, Freigaben, Trainingsnachweise, Incident-Dokumentation, Asset-Listen.
• Regelmäßiges Reporting an Geschäftsleitung: Sicherheitslage, Top-Risiken, Vorfälle, Reifegrad, Maßnahmenfortschritt, Investitionsbedarf; klare Eskalation bei „nicht akzeptablem“ Risiko.
• Kontinuierliche Verbesserung: Wirksamkeit der Maßnahmen prüfen, interne Reviews, Management-Reviews, Korrektur-/Vorbeugemaßnahmen (CAPA), Reifegradsteigerung.

Besondere Verantwortung kommt dem ISB Informationssicherheitsbeauftragten im Notfall und Incident Management zu, also dann, wenn Sicherheitsvorfälle auftreten. Denn hier ist der ISB verantwortlich für Feststellung, Bearbeitung und Behebung des Vorfalls, einschließlich ggf. erforderlicher Meldung des Vorfalls.

Der ISB gestaltet darüber hinaus für die erforderliche Awareness spezielle Schulungs‑ und Sensibilisierungsprogramme, um das Sicherheitsbewusstsein der Mitarbeitenden zu erhöhen. Dabei berücksichtigt er bestenfalls die besonderen Anforderungen des Unternehmens und der Beschäftigten.

Erforderliche Fachkenntnisse des ISB

Wie der DSB auch, sollte der ISB grundsätzlich über die für das Aufgabengebiet erforderliche Sach- und Fachkunde verfügen. Dazu gehören Kenntnisse über eine Vielzahl an Regulierungen und Fähigkeiten in der Beherrschung von Managementaufgaben haben. Beispiele:

• Grundlagen Informationssicherheit & ISMS: Prinzipien (CIA), Schutzbedarfs-/Klassifizierungslogik, Policies, Kontrollen, Wirksamkeitsnachweise.
• Risikomanagement: Bedrohungsmodell, Risikoanalyse, Priorisierung, Risikoakzeptanz/Residualrisiken, Maßnahmenplanung.
• Relevante Standards/Frameworks: ISO/IEC 27001/27002, BSI IT-Grundschutz (zumindest Grundverständnis), ggf. CIS Controls.
• Regulatorik & Compliance (DE/EU): DSGVO-Schnittstellenverständnis, Vertrags-/Haftungs- und Nachweispflichten; NIS2/KRITIS-Grundverständnis (falls betroffen).
• IT-Grundverständnis breit: Netzwerke (Segmentierung, VPN, DNS), Windows/Linux-Basics, AD/IAM, Virtualisierung, Cloud/SaaS (v. a. M365), typische Unternehmens-IT.
• Identity & Access Management: Rollen-/Rechtekonzepte, MFA, PAM-Grundlagen, Joiner-Mover-Leaver, Rezertifizierung.
• Schwachstellen- & Patchmanagement: CVE/CVSS-Basics, Priorisierung, Scanner-/Report-Interpretation, Remediation-Tracking.
• Security Operations Basics: Logging/SIEM-Light, EDR/AV, Alert-Triage, Hardening-Basics, Konfigurationssicherheit.
• Incident Response: Meldewege, Playbooks (Phishing/Ransomware), Forensik-Grundlagen, Krisenkoordination, Lessons Learned.
• Backup/BCM/Notfallmanagement: RPO/RTO, 3-2-1, Restore-Tests, Notbetriebsprozesse, Übungsplanung.
• Lieferanten- & Cloud-Security: Due Diligence, Sicherheitsfragebögen, Mindestanforderungen, SLA/AVV/TOMs-Grundverständnis, Exit-Strategien.
• Projekt- & Change-Management: Sicherheitsanforderungen formulieren, Abnahmen, Security-by-Design pragmatisch umsetzen.
• Dokumentation & Auditfähigkeit: saubere, belastbare Nachweise, Versionierung, Maßnahmen- und Risikoregister, interne Audits/Reviews.

Daran ist zu erkennen, dass bestimmte Qualifikationen und Zertifizierungen, gerade in den verbreiteten Standards (z. B. ISO 27001, CISM, CISSP), für die die Ausübung der Funktion sinnvoll sind.

Ein ISB sollte dabei neben der fachlichen Expertise auch über eine Reihe von Softskills verfügen, die in Anbetracht des Aufgabengebiets sinnvoll und hilfreich sind. Dazu gehören:

• Kommunikation auf Management-Niveau: Risiken in Business-Sprache übersetzen, klare Entscheidungsunterlagen, Eskalationsfähigkeit.
• Durchsetzungs- und Moderationsfähigkeit: Standards etablieren, Konflikte mit IT/Fachbereichen lösungsorientiert moderieren.
• Pragmatismus & Priorisierung: 80/20, Fokus auf Top-Risiken, „good enough“ ohne Scheinsicherheit.
• Analytisches Denken: Ursachenanalyse, Muster erkennen, Maßnahmenwirksamkeit bewerten.
• Sorgfalt & Verbindlichkeit: Nachverfolgung, Fristen, saubere Dokumentation, Stakeholder-Management.
• Schulungskompetenz: Awareness-Formate entwickeln, verständlich erklären, Verhalten verändern.
• Krisenfestigkeit: Ruhe bewahren, strukturiert führen, Entscheidungen unter Druck.
• Verhandlungs- und Vertragsgespür: insbesondere bei Dienstleistern (Leistungsumfang, Verantwortlichkeiten, Haftung, Auditrechte).

Dazu kann und sollte ein Informationssicherheitsbeauftragter regelmäßig Schulungen besuchen und sich auf dem Stand der Technik halten.

Grundlage der Tätigkeit des Informationssicherheitsbeauftragten

ist dabei die Unterstützung bei der Implementierung und bei der kontinuierlichen Verbesserung eines Informationssicherheits-Managementsystems (ISMS), welches per se die Geschäftsleitung selbst verantwortlich unter sich haben sollte.

Organisatorische Einordnung des ISB

Ein Informationssicherheitsbeauftragter (ISB-Beauftragter) ist in Unternehmen die zentrale Stelle, die Informationssicherheit organisatorisch steuert: Risiken sichtbar machen, Maßnahmen koordinieren, Wirksamkeit prüfen und an die Geschäftsleitung berichten. Entscheidend ist dabei weniger der Jobtitel als die Einordnung: Der ISB muss unabhängig genug sein, um unangenehme Wahrheiten adressieren zu können – und nah genug am Betrieb, um Maßnahmen tatsächlich umzusetzen.

Intern oder extern – was ist üblich?

Der ISB kann intern oder als externer Informationssicherheitsbeauftragter bestellt werden. In größeren Unternehmen oder Organisationen ist ein interner ISB häufig sinnvoll, weil er Prozesse, Systeme und Menschen dauerhaft begleitet. In vielen KMU ist die externe Lösung realistischer: Es fehlt an Fachwissen, Zeit oder organisatorischer Schlagkraft, um die Rolle sauber auszuüben. Eine gesetzliche Informationssicherheitsbeauftragter Pflicht besteht nicht pauschal für jedes Unternehmen – sie ergibt sich typischerweise aus regulatorischen Anforderungen (z. B. NIS2/KRITIS), Kundenanforderungen, Zertifizierungszielen (ISO 27001/TISAX) oder aus dem eigenen Risikoprofil. Wer Informationssicherheit ernsthaft steuern will, kommt faktisch dennoch an einer klar verantwortlichen Rolle nicht vorbei.

Wem ist der ISB unterstellt?

Der ISB sollte direkt an die Geschäftsführung bzw. an ein zuständiges Vorstands-/GF-Mitglied berichten (z. B. COO/CIO) – nicht „irgendwo“ in der IT-Linie verschwinden. Praktisch heißt das: funktional an die Unternehmensleitung angebunden, operativ eng mit IT und Fachbereichen verzahnt. Der ISB ist kein reiner Technik-Admin und nicht die „verlängerte Werkbank“ des IT-Leiters. Genau diese Positionierung ist der Kern: Risiken bewerten, priorisieren, entscheiden lassen – und die Umsetzung koordinieren.

Abgrenzung: ISB vs. IT-Sicherheitsbeauftragter vs. Datenschutzbeauftragter

In der Praxis werden Rollen gerne vermischt. Das rächt sich spätestens im Vorfall oder Audit.

• ISB (Informationssicherheitsbeauftragter): steuert das Management der Informationssicherheit über das gesamte Unternehmen: Regeln, Risiko-Register, Maßnahmenplan, Nachweise, Vorfallsorganisation, Lieferantenanforderungen.
• IT-Sicherheitsbeauftragter: ist häufig stärker technisch/IT-nah ausgerichtet. Er kümmert sich um operative IT-Sicherheitsmaßnahmen und deren Umsetzung in Systemen. Viele IT-Sicherheitsbeauftragter Aufgaben überschneiden sich mit denen des ISB – der Unterschied liegt in der Perspektive: Der ISB steuert und berichtet unternehmensweit; der IT-Sicherheitsbeauftragter setzt in der IT um und betreibt Controls.
• Datenschutzbeauftragter (DSB): fokussiert auf personenbezogene Daten und DSGVO-Compliance. Schnittstellen sind groß (z. B. TOMs, Incident Handling, Lieferanten), aber Ziel und Rechtsrahmen unterscheiden sich. Der ISB verantwortet Informationssicherheit insgesamt (auch Geschäftsgeheimnisse, Produktionsdaten, Verfügbarkeiten), der DSB primär den Schutz personenbezogener Daten.

Wichtig: Der ISB sollte nicht gleichzeitig „Kontrolleur“ und „Haupt-Umsetzer“ derselben Kontrollen sein. Das geht in KMU nicht immer sauber – dann braucht es zumindest klare Rollenabgrenzung und dokumentierte Interessenkonflikte.

Berichtswege und Kommunikation an Vorstand/Geschäftsführung

Damit Informationssicherheit nicht zur PowerPoint-Übung verkommt, braucht der ISB feste Berichtsformate und klare Eskalationsregeln. Bewährt sind:

• Monatliches Kurzreporting (1 Seite): Ampelstatus, Top-5-Risiken, kritische Schwachstellen, Incidents, Maßnahmenfortschritt, offene Entscheidungen.
• Quartalsweises Steering (30–60 Minuten): Prioritäten, Budget, Zielkonflikte (z. B. „Time-to-Market vs. Hardening“), Risikoakzeptanzen mit Management-Entscheid.
• Ad-hoc-Eskalation: bei Ransomware-Indikationen, Datenabfluss, Ausfall kritischer Systeme, gravierenden Audit-Findings oder Lieferantenproblemen.
• Risikoregister und Maßnahmenplan als „Single Source of Truth“: nicht als Ablage, sondern als Steuerungsinstrument mit Verantwortlichen und Fristen.

Wann ist ein externer ISB sinnvoll – und was sind die Vor- und Nachteile?

Ein externer Informationssicherheitsbeauftragter ist besonders sinnvoll, wenn:

• im Unternehmen kein ausreichendes Know-how vorhanden ist oder die Rolle „nebenbei“ laufen würde,
• schnelle Audit-/Zertifizierungsfähigkeit benötigt wird (ISO 27001/TISAX),
• NIS2/Kundenanforderungen kurzfristig Druck machen,
• interne Interessenkonflikte drohen (z. B. IT-Leitung soll sich selbst prüfen),
• nach einem Security-Vorfall Professionalität und Struktur aufgebaut werden müssen.

Vorteile:

• sofort verfügbares Know-how, Best Practices, erprobte Templates/Prozesse,
• unabhängigere Sicht, oft bessere Eskalationsfähigkeit,
• planbare Kosten statt teurer Vollzeit-Stelle.

Nachteile:

• geringere Alltagstiefe: ohne interne Ansprechpartner versandet die Umsetzung,
• Akzeptanzproblem, wenn „der Externe“ nur fordert, aber intern niemand liefert,
• Risiko von Scheinsicherheit, wenn es bei Dokumenten bleibt und keine Umsetzung folgt.

Die beste Praxis im KMU ist oft ein Hybrid: externer ISB als Steuerung/Methodik + interner Security-Koordinator (meist IT) für Umsetzung und Tagesgeschäft.

Welche Ressourcen braucht der ISB?

Ohne Ressourcen ist der ISB eine Alibi-Rolle. Für eine angemessene Erfüllung der Aufgaben braucht es in der Regel:

• Zeit: Regeltermine, Risiko- und Maßnahmensteuerung, Reviews, Incident-Übungen, Lieferantenprüfungen. In KMU ist „ein paar Stunden im Monat“ zu wenig, sobald ernsthafte Anforderungen bestehen.
• Budget: für Basismaßnahmen (MFA, EDR, Backup/Immutable Storage, Awareness, Schwachstellen-Scanning), externe Tests (Penetrationstest), ggf. SIEM/Logging.
• Personal/Ansprechpartner: der ISB arbeitet nicht alleine; er braucht benannte Owners in IT und Fachbereichen (z. B. Systemverantwortliche, Prozessowner) und Entscheidungskraft der Geschäftsleitung.
• Rückendeckung: klare Eskalationswege und Management-Entscheidungen zu Risikoakzeptanzen – sonst bleibt alles unverbindlich.

Zukünftige Herausforderungen des ISB

Die Aufgaben des ISB werden in den nächsten Jahren anspruchsvoller, weil sich Bedrohungslage, Technik und Regulierung gleichzeitig beschleunigen.

In der Informationssicherheit wird weniger das „Ob“ entscheidend, sondern die konsequente Umsetzung im Tagesgeschäft.

Zu den wichtigsten Herausforderungen zählen vor allem: der professionelle Einsatz von KI durch Angreifer (Phishing, Social Engineering, automatisierte Angriffe) und zugleich der sichere KI-Einsatz im Unternehmen (Datenabfluss, Schatten-IT, unklare Verantwortlichkeiten). Hinzu kommen komplexere IT-Landschaften durch Cloud-Services, mobile Arbeitsmodelle und eine wachsende Lieferkette – mit dem Effekt, dass Sicherheitsrisiken häufiger bei Dienstleistern entstehen als im eigenen Rechenzentrum. Parallel steigt der Druck durch neue und verschärfte gesetzliche Anforderungen sowie Kundenanforderungen, die belastbare Nachweise und klare Governance verlangen.

Damit der ISB nicht reaktiv bleibt, muss er sein Lagebild laufend aktualisieren: durch strukturierte Threat-Informationen (z. B. CERT-/BSI-Meldungen), Austausch in Fachnetzwerken, regelmäßige Tests und Audits, sowie durch fortlaufende Weiterbildung und enger Abstimmung mit Rechts-/Compliance-Funktionen zu neuen rechtlichen Vorgaben. Entscheidend ist, dass daraus nicht nur Wissen entsteht, sondern priorisierte Maßnahmen, die messbar umgesetzt werden.