Informationssicherheitsbeauftragter: Rolle und Anforderungen

Der Begriff Informationssicherheitsbeauftragter (kurz: ISB) taucht in vielen Unternehmen irgendwann auf. Spätestens dann, wenn ein ISMS aufgebaut werden soll oder ISO 27001 ins Spiel kommt.

Das Problem ist nur: Viele meinen mit dieser Rolle völlig unterschiedliche Dinge.

Mal ist damit ein technischer Sicherheitsverantwortlicher gemeint, dann die Person, die das ISMS organisiert. Schließlich jemand, der Audits vorbereitet, Risiken nachhält und mit der Geschäftsleitung spricht. Und manchmal soll dieselbe Person bitte alles gleichzeitig abdecken.

Genau deshalb ist die wichtigste Frage nicht:

Brauchen wir einen Informationssicherheitsbeauftragten?

Sondern:

Welche Rolle soll diese Person bei uns konkret übernehmen?

Die kurze Antwort

Ein Informationssicherheitsbeauftragter ist in vielen Unternehmen die Person, die das Thema Informationssicherheit koordiniert, strukturiert und gegenüber der Geschäftsleitung sichtbar macht.

Er muss nicht alles selbst technisch umsetzen. 

Der Kern der Rolle ist deshalb meistens nicht reine Technik, sondern Steuerung, Koordination und Übersicht.

Was ein Informationssicherheitsbeauftragter eigentlich ist

Ein Informationssicherheitsbeauftragter ist keine dekorative Funktionsbezeichnung für die Organigrammfolie. Der ISB sollte dafür sorgen, dass die relevanten Themen sauber durchgeführt werden:

• Die Analyse von Risiken;
• Die Umsetzung Sicherheitsmaßnahmen;
• Das Definieren von Zuständigkeiten;
• Die Durchführung oder Organisation von Mitarbeiterschulungen;
• Die Anfertigung von Nachweisen über die Durchführung sicherheitsrelevanter Aufgaben;
• interne Abstimmungen;
• Die Terminierung und Vorbereitung von Audits;
• Die Nachbereitung von Auditergebnissen, das Abstellen von Nichtkonformitäten (Abweichungen);
• Die Bedrohungsanalyse (nicht zu verwechseln mit der Risikoanalyse);
• Die sachgerechte und normkonformen Vorbereitung und Durchführung des Management-Reviews;
• Die Koordination von Vorfällen (Incidents);
• Allgemein die Weiterentwicklung und Aufrechterhaltung des ISMS.

Er ist also oft weniger derjenige, der jede Einzelmaßnahme selbst baut, sondern eher derjenige, der dafür sorgt, dass das Gesamtsystem funktioniert.

Warum der Begriff besser ist als "IT-Sicherheitsbeauftragter"

Der Ausdruck IT-Sicherheitsbeauftragter lenkt gedanklich schnell zu stark auf Technik.

Dann geht es sofort um Firewalls, Virenschutz, Schwachstellen, Berechtigungen und Infrastruktur. Das alles ist wichtig, aber Informationssicherheit ist breiter.

Ein ISMS umfasst zum Beispiel auch:

• Richtlinien;
• Verantwortlichkeiten;
• Lieferanten;
• Vorfälle;
• Schulungen;
• Managementbewertungen;
• interne Audits;
• Nachweise;
• organisatorische Risiken.

Genau deshalb passt Informationssicherheitsbeauftragter meist besser: es geht um den ganzheitlichen Blick.

Was die Rolle im Unternehmen leisten sollte

Hier entscheidet sich, ob die Stelle sinnvoll besetzt ist oder nur gut klingt.

1. Themen zusammenführen

Informationssicherheit betrifft selten nur einen Bereich. Es geht fast immer um mehrere Beteiligte: Geschäftsleitung, IT, Fachbereiche, Personal, externe Dienstleister, Datenschutz, Projektverantwortliche.

Der Informationssicherheitsbeauftragte muss in der Lage sein, Sicherheitsthemen zusammenzuführen und dafür sorgen, dass daraus kein loses Nebeneinander wird.

2. Risiken sichtbar machen

Die Rolle braucht ein Gefühl dafür, wo echte Risiken liegen und welche davon für das Unternehmen wirklich relevant sind.

Es geht nicht darum, überall Alarm zu schlagen. Es geht darum, die wichtigen Themen von den Nebenthemen zu trennen und daraus handhabbare Entscheidungen zu machen.

Das funktioniert natürlich nur, wenn der ISB in ständigem Austausch mit dem Business ist - und von Änderungen und Weiterentwicklungen im Unternehmen rechtzeitig erfährt. Eingebunden zu sein ist hier die halbe Miete.

3. Maßnahmen nachhalten

Viele Sicherheitsprobleme entstehen nicht, weil niemand etwas weiß. Sie entstehen, weil Dinge liegen bleiben.

Ein guter Informationssicherheitsbeauftragter sorgt dafür, dass Maßnahmen nicht nur beschlossen, sondern auch verfolgt, überprüft und abgeschlossen werden. Maßnahmen können vielfältig sein:

• Risikobehandlungen;
• Schulungen;
• Abstellen von Nichtkonformitäten aus Audits;
• die neue Videoüberwachung;
• die Sicherheitsüberprüfung des Cloud-Lieferanten;
• u.v.m.

4. Das Ohr der Geschäftsführung haben

Das ist einer der wichtigsten Punkte überhaupt - und in der ISO 27001 auch verpflichtend vorgeschrieben.

Die Rolle braucht nicht nur Fachverständnis, sondern auch die Fähigkeit, mit der Geschäftsleitung sauber zu sprechen:

• Was ist kritisch?
• Was ist nur unschön?
• Wo besteht Handlungsbedarf?
• Was kostet Verzögerung?
• Welche Entscheidung ist nötig?

Wer das nicht kann, wird schnell zum Verwalter statt zum wirksamen Verantwortlichen.

5. Das ISMS steuerbar halten

Wenn ISO 27001 im Spiel ist, gehört meist auch dazu:

• Auditvorbereitung;
• Nachweispflege;
• Managementbewertung;
• interne Audits;
• Abweichungen;
• Korrekturmaßnahmen;
• kontinuierliche Verbesserung.

Das heißt nicht, dass er alles allein machen muss. Aber die Fäden sollten an einer Stelle sinnvoll zusammenlaufen.

Was ein Informationssicherheitsbeauftragter nicht sein muss

Das ist fast genauso wichtig wie die Aufgabenbeschreibung.

Ein Informationssicherheitsbeauftragter muss nicht automatisch:

• der beste IT-Administrator im Haus sein;
• jede technische Tiefe selbst beherrschen;
• jede Richtlinie selbst schreiben;
• jede Schulung selbst halten;
• jedes Audit allein stemmen;
• jedes Risiko selbst bewerten.

Die Rolle ist in vielen Unternehmen eher koordiniert verantwortlich als operativ allmächtig.

Der häufigste Fehler ist deshalb, aus der Funktion einen unrealistischen Alleskönnerjob zu machen.

Der wird viel in Stellenausschreibungen gesucht - und wenig gefunden.

Welche Kompetenzen wirklich zählen

Nicht Zertifikatssammlerei entscheidet, sondern Praxistauglichkeit.

Überblick statt Tunnelblick

Die Person sollte verstehen, wie das Unternehmen arbeitet, wovon es abhängt und wo Sicherheitsfragen geschäftlich relevant werden.

Strukturierungsfähigkeit

Informationssicherheit wird schnell diffus. Die Rolle muss Themen ordnen, priorisieren und in eine sinnvolle Reihenfolge bringen können.

Kommunikationsstärke

Ohne klare Kommunikation läuft die Rolle ins Leere. Das gilt nach oben zur Geschäftsleitung genauso wie in Richtung IT, Fachbereiche und externe Partner.

Verbindlichkeit

Ein Informationssicherheitsbeauftragter ist oft nicht disziplinarischer Vorgesetzter. Gerade deshalb braucht er die Fähigkeit, Themen trotzdem verbindlich voranzubringen.

Verständnis für Managementsysteme

Sobald ISO 27001 eine Rolle spielt, sollte die Person verstehen, wie ein ISMS funktioniert und wie Nachweise, Rollen, Controls, Maßnahmen und Reviews zusammenhängen.

Ausreichendes technisches Grundverständnis

Nicht jeder muss alles selbst konfigurieren können. Aber ohne solides technisches Grundverständnis wird die Rolle schnell zu oberflächlich.

Wie man die Rolle sinnvoll aufstellt

Ein guter Informationssicherheitsbeauftragter funktioniert nicht isoliert. Er braucht ein Umfeld, das die Rolle tragfähig macht.

Dazu gehören:

• klare Aufgabenbeschreibung;
• definierte Zuständigkeiten;
• feste Berichtswege;
• Rückendeckung der Geschäftsleitung;
• realistische Zeitressourcen;
• Zugriff auf relevante Informationen;
• Zusammenarbeit mit Technik und Fachbereichen.

Ohne diese Grundlagen bleibt die Rolle schnell zahnlos.

Wo die Rolle organisatorisch aufgehängt sein sollte

Dafür gibt es keine Einheitslösung. Aber zwei Dinge sind wichtig:

Erstens sollte die Rolle sichtbar genug sein, um wirksam zu sein.

Zweitens sollte sie nah genug an Entscheidungen sein, damit Probleme nicht in der Hierarchie versanden.

In kleinen Unternehmen ist das oft eine Person mit mehreren Hüten. In größeren Organisationen kann es eine klarere Trennung zwischen operativer IT-Sicherheit, Governance und ISMS-Steuerung geben.

Wichtig ist nicht die Organigramm-Optik, sondern dass die Rolle praktisch funktioniert - und an die Geschäftsführung berichtet.

Typische Fehler bei der Besetzung

Der Falsche bekommt den Titel

Manchmal wird einfach der technisch stärkste Mitarbeiter benannt, obwohl er weder Lust auf Koordination noch Stärke in Kommunikation oder Managementthemen hat.

Es gibt einen Titel, aber keine Funktion

Dann steht der Begriff im Organigramm, aber niemand weiß, was die Person eigentlich tun, entscheiden oder berichten soll.

Die Rolle bekommt keine Zeit

Informationssicherheit läuft nicht sauber nebenbei, wenn die Person operativ ohnehin schon voll ausgelastet ist.

Die Geschäftsleitung erwartet Wunder ohne Rückendeckung

Dann soll der Informationssicherheitsbeauftragte alles treiben, bekommt aber weder Priorität noch Verbindlichkeit ins System.

Die Rolle wird zu technisch oder zu theoretisch

Beides ist problematisch. Reine Technik reicht für ein ISMS nicht. Reine Normsprache ohne Praxis aber auch nicht.

Die Rolle kann auch extern besetzt werden

Gerade für kleine und mittlere Unternehmen ist es oft sinnvoll, die Rolle des Informationssicherheitsbeauftragten extern zu besetzen. Das ist kein exotischer Sonderfall, sondern für viele Unternehmen ein pragmatischer Weg.

Der Grund ist einfach: Einen guten ISB in Festanstellung zu finden, ist oft nicht leicht. Ihn dann dauerhaft sinnvoll auszulasten, ist die nächste Frage. Dazu kommen laufende Weiterbildung, methodische Weiterentwicklung und die Erfahrung, die man für eine wirksame Rolle in der Praxis wirklich braucht.

Ein externer Informationssicherheitsbeauftragter bringt diese Erfahrung bereits mit und kann die Rolle meist deutlich wirtschaftlicher übernehmen, als intern eine eigene Vollzeitstelle aufzubauen, die am Ende weder voll ausgelastet noch fachlich breit genug aufgestellt ist.

FAQ

Interesse geweckt?

Wenn Sie überlegen, die Rolle des Informationssicherheitsbeauftragten in Ihrem Unternehmen sinnvoll zu besetzen, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!