IAllgemein

IT-Sicherheitsbeauftragter (ISB)

Koordiniert Informationssicherheit, Policies, Risiken und Maßnahmen.

Ein IT-Sicherheitsbeauftragter (ISB) ist die zentrale Koordinationsrolle für Informationssicherheit im Unternehmen. Er sorgt dafür, dass Sicherheitsziele, Richtlinien (Policies), Risiken und Schutzmaßnahmen zusammenpassen – organisatorisch, technisch und rechtlich. Besonders in Unternehmen ohne eigene IT-Abteilung ist der ISB oft die „Klammer“ zwischen Geschäftsführung, externen IT-Dienstleistern und Fachbereichen.

Was bedeutet IT-Sicherheitsbeauftragter (ISB)?

Der Begriff bezeichnet eine verantwortliche Person (intern oder extern), die ein Informationssicherheitsmanagement aufbaut und steuert. Der ISB ist meist nicht derjenige, der Firewalls konfiguriert oder Endgeräte administriert, sondern derjenige, der Anforderungen definiert, Prioritäten setzt, Kontrollen einführt und die Umsetzung nachhält.

Wie arbeitet ein ISB (typischer Ablauf)?

  • 1) Sicherheitsbedarf klären: Welche Daten, Systeme und Prozesse sind kritisch (z. B. Kundendaten, ERP, E-Mail, Produktions-IT)?
  • 2) Risiken bewerten: Bedrohungen und Schwachstellen erfassen, Eintrittswahrscheinlichkeit und Schaden einschätzen (z. B. Ransomware, Phishing, Ausfall von Cloud-Diensten).
  • 3) Policies & Standards definieren: z. B. Passwort-/MFA-Regeln, Backup-Policy, Berechtigungskonzept, Lieferantenanforderungen.
  • 4) Maßnahmen planen & umsetzen lassen: Aufgabenpakete an interne Teams oder Managed-Service-Partner geben (z. B. EDR-Rollout, Patch-Management, Schulungen).
  • 5) Wirksamkeit prüfen: Kontrollen, Audits, Tests und Kennzahlen etablieren; Vorfälle auswerten und verbessern.

Warum ist ein ISB wichtig – gerade ohne eigene IT-Abteilung?

Wenn IT extern eingekauft wird (z. B. Managed Services), entstehen schnell Lücken: Wer definiert Sicherheitsanforderungen? Wer priorisiert Budgets? Wer prüft, ob Backups wirklich wiederherstellbar sind? Der ISB schafft Verbindlichkeit, dokumentiert Entscheidungen und sorgt dafür, dass Sicherheit nicht nur „mitläuft“, sondern aktiv gesteuert wird. Das hilft auch bei Kundenanforderungen, Versicherungen (Cyber) und bei regulatorischen Themen (z. B. DSGVO, NIS2-Relevanz je nach Branche).

Typische Aufgaben & Verantwortlichkeiten

  • Governance: Sicherheitsleitlinie, Rollen & Verantwortlichkeiten, Freigabeprozesse.
  • Risikomanagement: Risiko-Register, Maßnahmen-Tracking, Management-Reporting.
  • Awareness: Schulungen, Phishing-Simulationen, „Do’s & Don’ts“ für Mitarbeitende.
  • Incident Readiness: Meldewege, Notfallpläne, Ansprechpartner, Lessons Learned.
  • Lieferantensteuerung: Sicherheitsanforderungen an IT-Dienstleister, SLAs, Nachweise.

Beispiele aus der Praxis

  • Beispiel 1 (KMU mit MSP): Der ISB fordert MFA für alle Cloud-Konten, definiert ein Backup-Konzept (inkl. Restore-Test) und lässt Patch-Management als festen Service etablieren.
  • Beispiel 2 (Einführung von KI-Tools): Der ISB erstellt Regeln für den Umgang mit ChatGPT/Generative KI (Generative AI), z. B. welche Daten nicht eingegeben werden dürfen, und stimmt das mit Datenschutz ab.

Was kostet ein ISB?

Die Kosten hängen stark von Unternehmensgröße, Reifegrad und Regulierung ab. Häufige Modelle sind: interne Teilzeitrolle (Zeitbudget) oder ein externer ISB als monatliches Retainer-Modell. Treiber sind u. a. Anzahl Standorte/Benutzer, vorhandene Dokumentation, Audit-Anforderungen und ob ein Sicherheitsprogramm neu aufgebaut oder nur betrieben wird.

ISB vs. Datenschutzbeauftragter (DSB) – kurz abgegrenzt

Der DSB fokussiert auf Datenschutzrecht und Verarbeitung personenbezogener Daten; der ISB fokussiert auf Informationssicherheit (Schutz von Verfügbarkeit, Integrität, Vertraulichkeit). In der Praxis arbeiten beide eng zusammen, sollten aber Rollen sauber trennen, um Zielkonflikte und Überlast zu vermeiden.