Beratung

Was ist ein ISB und wofür wird dieser im Unternehmen benötigt?

Aktualisiert am

Haben Sie schon einmal den Begriff ISB gehört? Für die Gewährleistung der Informationssicherheit in einem Unternehmen ist der ISB von entscheidender Bedeutung und dementsprechend wichtig.

Zeit, sich dem Thema einmal anzunehmen. Heute möchten wir Ihnen daher aufzeigen, wofür die Abkürzung ISB eigentlich steht, welche Aufgaben dieser einem Unternehmen hat und warum es oft Sinn ergibt, einen externen ISB zu beauftragen, statt eine Festanstellung zu vergeben.

Wofür steht die Abkürzung eigentlich?

ISB ist die Abkürzung für Informationssicherheitsbeauftragter. Der ISB steht dabei in enger Verbindung mit dem ISMS (Information Security Management System).

Um Informationssicherheitsbeauftragter werden zu können, ist die hinreichende Qualifikation erforderlich. Diese sollte vorhanden sein um die Rechte und Pflichten zu kennen und durchzusetzen. Hier empfiehlt sich die Absolvierung einschlägiger Seminare wie z. B.:

  • Information Security Officer – TÜV von TÜV Süd
  • Information Security Officer Schulung der DEKRA Akademie
  • Schulung zum Informations-Sicherheitsbeauftragten auf Basis ISO 27001 bei m-und-h

muss ein entsprechendes Seminar besucht werden. Ein ISB benötigt viele Kenntnisse, Fortbildungen und sollte bei allen Themen bezüglich der IT-Sicherheit stets auf dem neusten Stand bleiben. Erst mit den entsprechenden Fortbildungen, die sich z. B. an der ISO 27001 oder dem IT-Grundschutz des BSI orientieren, kann er sich als ISB zertifizieren lassen.

Der ISB ist also im besten Falle ein Informationssicherheitsbeauftragter, der nicht nur ausgebildet ist, sondern auch über eine entsprechende Praxiserfahrung verfügt. Zum Teil kann es auch erforderlich sein, sich in bestehenden Branchenstandards auszukennen (B3S). Er weiß, worauf es ankommt, worauf zu achten ist und welche gesetzlichen Vorgaben derzeit herrschen. Außerdem kennt er verschiedene IT-Systeme und unterschiedliche Maßnahmen, um die Informationssicherheit gewährleisten zu können.

Warum brauchen Unternehmen einen ISB?

Ein ISB wird von faktisch allen Informationssicherheitsstandards gefordert und das aus gutem Grund. Für gewöhnlich ist es der Geschäftsleitung nicht möglich, die IT-Sicherheit selbst im Blick zu behalten oder sich allgegenwärtig um eine hohe Informationssicherheit zu kümmern. Die Aufgaben wachsen ziemlich schnell und sind nebenbei daher auch kaum noch zu bewältigen, selbst wenn das notwendige Fachwissen vorhanden sein sollte.

In Verbindung mit dem ISMS ist der ISB daher notwendig, um Selbiges dauerhaft zu betreuen und weiter auszubauen. Selbst dann, wenn Sie bereits Mitarbeiter:innen in Ihrem Unternehmen haben, die sich um die Informationssicherheit kümmern, bedarf es in der Regel noch einem ISB, der diese Mitarbeiter:innen als Führungskraft anleitet, betreut und notwendige Schritte vorgibt. Er wird damit zum zentralen Kontaktpunkt im Unternehmen, wenn es um die Informationssicherheit geht.

Der ISB bring umfangreiches Fach- und Branchenwissen mit und kann daher veranlassen, steuern und messen wie die internen Systeme auf Vordermann gebracht werden können. Dazu müssen Mitarbeiter:innen koordiniert und die Aufgaben unter ihnen entsprechend klar verteilt werden. Er wird damit auch zur Kommunikationsebene zwischen Mitarbeitenden in der Informationssicherheit und der Geschäftsführung selbst.

Welche Vorteile hat ein externer ISB?

Weil der Informationssicherheitsbeauftragte viel Fachwissen benötigt, sich weiterbilden sollte und stets auf dem aktuellsten Wissensstand bleiben muss, hat es sich etabliert, externe ISBs zu beauftragen. Unternehmen stellen selbst also niemanden mehr ein, der diese Aufgabe übernimmt, sondern lassen sich den ISB durch einen entsprechenden Dienstleister zur Verfügung stellen.

In den Umsetzungshinweisen zum Sicherheitsmanagement empfiehlt das BSI, mindestens eine halbe Stelle für den Informationssicherheitsbeauftragten einzuplanen, was den Anspruch an diese Position unterstreicht. Durch einen externen Beauftragten kann eine qualifizierte Person schnell und einfach erreicht und beauftragt werden, ohne eigene Beschäftigte fortbilden zu müssen.

Wir von der AWARE7 GmbH stellen Ihnen gerne ein Angebot für die Bereitstellung eines externen ISBs aus. Nehmen Sie dazu einfach Kontakt auf. Damit ist die Position nicht nur skalierbar, sondern auch finanziell hervorragend kalkulierbar. Sie vermeiden die Festanstellung und nutzen den ISB von uns als reinen Dienstleister, der sich um ihr ISMS und die Informationssicherheit im Allgemeinen kümmert.

Zusammenfassung des ISBs und seinen Aufgaben

In einem Unternehmen braucht es den ISB fast schon zwingend, da er sensible Bereiche entsprechend professionell betreut, sich um die Wartung kümmert, Maßnahmen plant, koordiniert und vergleicht.

Je umfangreicher die Geschäftsprozesse dabei werden und je wichtiger die Rolle des ISMS wird, desto notwendiger wird auch der Informationssicherheitsbeauftragte. Er bearbeitet Sicherheitskonzepte, beantwortet Fragen zur Informationssicherheit, sorgt für die Erfüllung aller gesetzlicher Vorschriften, führt (interne) Audits durch, berät Mitarbeitende und dient schlichtweg als Ansprechpartner:in und Expert:in im Unternehmen, wenn es um das Thema der Informationssicherheit geht. Das ist im Umfeld der Digitalisierung wichtiger als jemals zuvor geworden und kann daher kaum noch als Nebenrolle gemanagt werden.

Meist ergibt es daher Sinn, einen externen ISB zu beauftragen. Er kennt viele unterschiedliche Situationen und Prozesse gleichermaßen und kann daher immer entscheiden, welche Schritte für das jeweilige Unternehmen am sinnvollsten erscheinen. Die Erfahrung macht hier den Unterschied zum internen Beauftragten.

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.