Durch das NIS-2 Gesetz und die zunehmenden Unternehmensrisiken aus der Cyberwelt sehen sich nicht nur die Einrichtungen unserer Kritischen Infrastruktur oder Konzerne, sondern auch viele Betriebe des Mittelstands den Herausforderungen der Informationssicherheit ausgesetzt. Die Praxis zeigt: Das Einsetzen einer zentralen Verantwortlichkeit für den Entwicklungs- und Betriebsprozess des notwendigen Informationssicherheitsmanagementsystems (ISMS) ist hier einer der wichtigsten Erfolgsfaktoren.
Aufgaben und Pflichten eines Informationssicherheitsbeauftragten (ISB)
Ein Informationssicherheitsbeauftragter (ISB) baut ein ISMS nach ISO 27001 oder BSI-Standards auf, führt Risikoanalysen durch, leitet Sicherheitsmaßnahmen ein und berichtet regelmäßig an die Geschäftsleitung. Typische Aufgaben sind zum Beispiel:
- Erstellung von Sicherheitsrichtlinien und Dokumentationen
- Vorbereitung von Audits und Zertifizierungen
- Sensibilisierung der Mitarbeitenden durch Schulungen und Awareness-Kampagnen
- Schnittstellenfunktion zwischen IT, anderen Managementsystemen (Umwelt, Energie) und Aufsichtsbehörden (z.B. Datenschutz)
- Sicherstellung des Kontinuierlichen Verbesserungsprozesses (KVP)
Doch gerade für den Mittelstand ist das Aufbauen der benötigten Fachlichkeit und das Bereitstellen von Ressourcen oft die größte Hürde. Daher stellen sich viele Unternehmen die Frage, ob das Beauftragen eines externen ISBs hier die Lösung für das genannte Problem darstellt. Dieser Fragestellung wollen wir uns im Folgenden widmen.
Interner vs. externer ISB – Vor- und Nachteile
Welche Strategie sinnvoller ist, hängt von den Anforderungen und der Struktur des Unternehmens ab. Beide Modelle haben viele Vor- und Nachteile. Kurz und knapp zusammengefasst läuft es auf folgende Unterschiede hinaus:
Vorteile interner ISB
Ein interner ISB kennt unternehmensspezifische Abläufe, Risiken und Schutzbedarfe aus erster Hand. Er ist ständig im Haus, kann bei Sicherheitsvorfällen direkt reagieren und trägt durch seine Präsenz zu einer stärkeren Sicherheitskultur bei. Durch die enge Einbindung in die Firmenstruktur lassen sich Maßnahmen meist schneller anpassen und in Einklang mit den strategischen Zielen umsetzen.
Nachteile Interner ISB
Ein Nachteil ist die Gefahr der Betriebsblindheit: Interne Mitarbeitende können leicht betriebsinternen Routinen verhaftet sein. Zudem verursacht eine Vollzeitstelle hohe Personalkosten und ständige Weiterbildungsaufwände. Der Ausfall oder Wechsel des Mitarbeitenden kann zu kritischen Wissenslücken führen, wenn kein weiterer Experte im Team ist. Intern fehlt oft der Blick auf Standards und Trends außerhalb des eigenen Unternehmens.
Vorteile externer ISB
Externe ISBs bringen häufig umfassende Erfahrung aus vielen Branchen mit und kennen Best Practices aus zahllosen Projekten. Sie arbeiten objektiv und unabhängig und sind sofort mit den neuesten Bedrohungen und Regularien vertraut. Ihr Einsatz ist flexibel skalierbar: Unternehmen zahlen meist Tagessätze oder Pauschalen statt ein fixes Gehalt. Das ist besonders für kleine und mittelständische Firmen oft deutlich günstiger, da sie ihn nur bei Bedarf hinzuziehen können bzw. die fixen Kosten einer Vollzeitstelle umgehen. Darüber hinaus haben wir die Erfahrung gemacht, dass der Onboarding-Prozess eines externen ISBs oft sehr viel schneller abläuft, da er es gewohnt ist, sich in neuen Umgebunden zurechtzufinden.
Nachteile externer ISB
Externe ISBs müssen sich erst in die interne Organisation einarbeiten und sind nicht permanent vor Ort. Dies kann den Aufbau einer unternehmensweiten Sicherheitskultur erschweren und kurzfristige Reaktionen verzögern. Für reaktionsschnelles Incident Management wäre ein aufwändiger Vertrag mit SLAs notwendig, der wiederum ins Geld geht. Für diese Art von Aufgaben muss oft noch ein sogenannter Informationssicherheitsmanagement-Koordinator (ISMK) im Unternehmen aufgebaut werden. Dies ist meist nur eine kleine Teilstelle, z.B. von einem IT-Mitarbeiter, der dann vom externen ISB eingewiesen wird. Dennoch gilt: Für sehr komplexe Strukturen oder ein hohes Tagesgeschäft im Cybersecurity-Bereich genügt eine rein externe Betreuung oft nicht. In solchen Fällen ist mindestens ein interner Ansprechpartner ratsam.
Es wird also klar: Es geht viel um das Thema Kostenaufwand. Doch was bedeutet das in Zahlen? Wenn man davon ausgeht, dass der externe ISB an 2 Tagen pro Monat beim ISMS-Aufbau und Betrieb unterstützt, entstehen Kosten von etwa 32.400 € pro Jahr, was nur rund einem Viertel einer internen Vollzeitstelle entspricht. Gerade für kleine und mittlere Unternehmen (bis ca. 250 Mitarbeitende) ist dieses Modell oft wirtschaftlich vorteilhaft.
Die wichtigsten Unterschiede im Überblick
Integration
ISB intern: Kennt interne Abläufe und Entscheidungen, fördert Sicherheitskultur
ISB extern: Muss erst eingearbeitet werden, nicht täglich vor Ort
Fachliche Expertise
ISB intern: Branchenspezifisch, kann Betriebsblindheit entwickeln
ISB extern: Branchenübergreifend, bringt Best Practices ein
Kosten
ISB intern: Fixe Vollzeitstelle (Gehalt, Sozialabgaben, Schulungen), ca. 120.000€ im Jahr
ISB extern: Flexibel, bei 2 Tagen im Monat ca. 32.400€ im Jahr
Verfügbarkeit
ISB intern: 100 % Präsenz im Unternehmen, schnelle Reaktion
ISB extern: Nach Bedarf (z.B. 2–4 Tage/Monat); nicht permanent im Haus
Unabhängigkeit
ISB intern: Geringer – ggf. Anbindung an interne IT, evtl. Interessenskonflikte
ISB extern: Hoch – neutraler Blick, objektive Einschätzung, keine Betriebsblindheit
Flexibilität
ISB intern: Begrenzt – Stelle ist fix, auf eine Position festgelegt
ISB extern: Hoch – Einsatzmodell und Umfang passen sich wechselndem Bedarf an
Eignung für Regulierung
ISB intern: Bei KRITIS oft Pflicht; geeignet für große, regulierte Organisationen
ISB extern: Ideal für schnelle NIS2/ISO-Compliance-Aufbau, KMU und projektbezogenen Einsatz
Branchen- und Einsatzbeispiele
Branchen mit hohen Sicherheitsanforderungen setzen häufig auf einen Informationssicherheitsbeauftragten. KRITIS-Betreiber (z.B. Energieversorger, Gesundheit) müssen gesetzlich einen ISB benennen – hier ist meist eine interne Besetzung erforderlich. In der Automobilzulieferindustrie verlangt der TISAX-Standard oft einen ISB; auch Zulieferer anderer Branchen müssen vielfach Informationssicherheit nachweisen. Interessant ist der Mittelstand: Kleine und mittlere Unternehmen (bis ca. 30–250 MA) beauftragen oft lieber externe ISB, da diese nachweislich günstiger und schneller einsatzbereit sind. Für krankenhausnahe Einrichtungen oder kleinere Firmen ohne eigene Security-Experten ist ein externer ISB ebenfalls oft sinnvoll.
Generell gilt: Liegen nur geringe Mittel vor und steht Compliance-Aufbau im Vordergrund (z.B. erste ISO-27001-Zertifizierung, NIS2-Umsetzung), ist ein externer ISB meist passender. Bei sehr großen Organisationen (über 500 MA) oder dauerhaft hoher IT-Sicherheitskomplexität zahlt sich dagegen häufig eine interne Stelle aus – gegebenenfalls ergänzt um einen externen Strategieberater oder vCISO.
Häufige Fehlansätze
Ein häufiger Fehler ist, dem IT-Leiter die Rolle des ISB zu übertragen. Hier liegt ein klassischer Interessenkonflikt vor: Der IT-Leiter müsste seine eigenen Systeme prüfen, was vom BSI ausdrücklich nicht empfohlen wird. Zudem bringt der IT-Leiter meist nicht das spezialisierte ISMS-Know-how mit, das ein ausgebildeter ISB hat. Dasselbe gilt, wenn die Geschäftsführung selbst einspringt: Auch hier fehlt oft das tiefgehende technische Know-how.
Eine sehr gängige Lösung ist das Berufen des ISBs aus dem bestehenden Personalbestand als Teilstelle. In der Theorie kann das Konzept von Erfolg gekrönt sein. Bei unseren Kunden sehen wir allerdings, dass die Personen zwar nominell den Titel ISB tragen, das Aufgabenpensum aus ihrer Hauptanstellung jedoch nie real reduziert wurde und dadurch der ISB nach dem Minimalprinzip arbeiten muss und keine Ressourcen für Konzepterstellung bzw. Weiterbildung hat.
Ebenso problematisch ist es, endlos auf eine “perfekte” interne Lösung zu warten. Während man auf Personalentscheidungen wartet, bleiben wichtige Sicherheitsprozesse offen. NIS2- oder Audit-Fristen können verpasst werden – eine externe Lösung könnte dagegen innerhalb weniger Wochen starten. Weitere Fehltritte sind, aus Budgetgründen das günstigste Modell zu wählen (statt eines bedarfsgerechten Pakets) oder ISB und Datenschutzbeauftragten auf eine Person zu legen, ohne klare Rollentrennung. Das führt zu Konflikten.
Fazit
Die Entscheidung zwischen internem und externem Informationssicherheitsbeauftragtem ist keine Frage von besser oder schlechter, sondern eine Frage der Passung zu den Rahmenbedingungen. Unternehmensgröße, vorhandene IT/Security-Kompetenz, regulatorischer Druck und Budget spielen eine Rolle. Für viele Mittelständler (ca. 30–250 Mitarbeitende) ist ein externer ISB oft wirtschaftlicher: Er spart 50–75 % der Kosten gegenüber einer Vollzeitstelle und steht in wenigen Wochen startklar zur Verfügung. Demgegenüber sind große, stark regulierte oder sicherheitskritische Unternehmen mit einem internen ISB (ggf. ergänzt um externe Strategieberater/vCISO) meist besser aufgehoben. Wichtig ist immer eine klare Rollenbeschreibung und Unabhängigkeit des ISB – nur so lassen sich Informationssicherheits- und Compliance-Ziele effektiv erreichen.
Autor: Paul Schleifenbaum
Bildquellen: Shutterstock, Freepik