Unkategorisiert

Der externe Informationssicherheitsbeauftragte und warum die Position für Unternehmen wichtig sein kann

Veröffentlicht am

Sie können Ihren Informationssicherheitsbeauftragten natürlich fest einstellen und in Ihr Team eingliedern. Sie könnten ihn allerdings auch als externen ISB beauftragen und so Kosten und Zeit einsparen. Dann springt er immer nur ein, wenn er gerade notwendig ist und muss auch nicht permanent beschäftigt werden.

Was ein Informationssicherheitsbeauftragter ist, wo seine Kompetenzen liegen und in welcher Art von Unternehmen er auf gar keinen Fall fehlen darf, klären wir im heutigen Beitrag. Außerdem gehen wir auf die Vor- und Nachteile ein, die ein externer ISB im Vergleich mit einem fest angestellten mit sich bringt. Vor allem aber möchten wir das »Was« und »Wann« klären. Also was genau der ISB eigentlich ist und welche Aufgaben im Unternehmen er besitzt. Ebenso wie auch die Frage, wann genau er überhaupt gebraucht wird. 

Lesen Sie also gespannt weiter, um mehr zum ISB zu erfahren und herauszubekommen, ob Sie einen ISB im eigenen Unternehmen benötigen und ob in Ihrem Fall vielleicht ein externer ISB mehr Sinn ergibt als die Vergabe einer festen Stelle.

Was ist ein Informationssicherheitsbeauftragter?

In Unternehmen wird zuweilen ein sogenannter Informationssicherheitsbeauftragter, kurz auch einfach ISB genannt, benötigt. In größeren Unternehmen wird dieser sehr oft als Chief Information Security Officer bezeichnet, was mit CISO abgekürzt wird und ein gängiger Begriff für die Position ist. Kurz gesagt wird es kleinen und mittelständischen Unternehmen also meist ISB genannt und in größeren Firmen ist es dann der CISO.

Die Stelle selbst entspricht einer Art von Berater, genauer gesagt einem Sicherheitsberater. Wobei das nicht ganz zutrifft, da der ISB oder CISO auch tatsächlich aktiv an der Organisation und Sicherstellung der Informationssicherheit mitwirkt. Er ist im Grunde genommen dafür verantwortlich, dass diese jederzeit im Unternehmen gewährleistet wird.

ISB kann nur werden, wer ein entsprechendes Seminar besucht hat. In der Position ist viel Verantwortung und Fachwissen notwendig, weshalb regelmäßige Fortbildungen und der neuste Stand der Technik von Vorteil und auch vorausgesetzt sind, um in dieser Position zu arbeiten.

Was ist ein externer ISB?

Weil der ISB viel Verantwortung trägt, stets über neuste Methoden und Techniken informiert sein muss und daher allgemein eine ganze Menge Fachwissen benötigt, ist die Stelle oft nicht ohne Weiteres zu besetzen. In vielen Unternehmen ergibt es daher Sinn, einen externen ISB zu beauftragen und als festen Externen mit in das bestehende Team einzugliedern.

Hier ist dann von einem sogenannten virtuellen Chief Information Security Officer (vCISO) die Rede. Dieser ist nicht in Vollzeit angestellt und verursacht daher auch nicht die gleichen Kosten, wie sie ein entsprechender Mitarbeiter verursachen würde.

Gleichzeitig kümmert er sich dennoch um alle Belangen, die im Unternehmen in Bezug auf die Informationssicherheit anfallen. Welche Aufgabenbereiche das genau sind und wofür der CISO oder auch vCISO bzw. ISB im Detail verantwortlich ist, erklären wir Ihnen im nächsten Absatz noch einmal genauer.

Was genau macht ein externer ISB?

In erster Linie leitet und bestimmt der ISB immer das jeweilige Programm zur Informationssicherheit in dem entsprechenden Unternehmen. Dazu gehört es auch Sicherheitsziele festzulegen und der Leitung oder dem Vorstand entsprechend zu präsentieren. Die Position ist also nicht unwichtig und sollte mit Sorgfalt vergeben werden.

Ferner ist der ISB dafür verantwortlich, dass die Budgets im Bereich Security entsprechend verwaltet und eingeteilt werden. Er legt das Framework fest, welches der Sicherheitsstruktur im jeweiligen Unternehmen zugrunde liegt und welches es zu befolgen gilt. Und er analysiert, plant, optimiert und verbessert die Prozesse im Betrieb, die der Informationssicherheit dienen.

Berichte liefert der ISB dabei meist direkt an den Chef, also den CEO, nicht an den CIO. Gerade ein externer ISB ergibt somit oft Sinn, da dieser neben der Sicherheit, also Absicherung im Allgemeinen, auch das Risikomanagement übernimmt. Hier kommt es aber ganz auf die jeweilige Unternehmensgröße an.

Welche Vor- und Nachteile bringt ein externer ISB?

Der größte und für die meisten Unternehmen wohl wichtigste Punkt betrifft ganz klar die Kosten für den ISB. Ein externer vCISO oder eben ISB ist schlichtweg günstiger und damit deutlich kosteneffektiver. Sie zahlen hier nur für die Zeit, statt ein volles Gehalt mit einrechnen zu müssen. Letzteres liegt beim CISO gerne mal im sechsstelligen Bereich.

In Bezug auf die Sicherheit ist es immer wichtig, viel Erfahrung und unterschiedliche Perspektiven mitzubringen. Ein externer ISB hat hier oft deutlich mehr praktische Erfahrung und schaut in verschiedene Unternehmen und Strukturen herein, passt sich also der jeweiligen Situation bestmöglich an. Ein fest angestellter ISB hat diese Perspektiven nicht und besitzt somit oft auch weniger echte Erfahrung. Außerdem ist ein externer ISB durch seine Auftragslage überwiegend gut vernetzt und kennt die unterschiedlichen Ansprüche häufig schon von seinen anderen Kunden.

Nachteile gibt es jedoch ebenfalls. Die Verträge sind beispielsweise oft ein Knackpunkt bei einem externen ISB. Hier sollten Sie darauf achten, dass er eine entsprechende Risikoverantwortung trägt und sich nicht jeglicher Verantwortung entbindet. Auch ist ein externer ISB kein Angestellter und somit wenig mit Ihrem Unternehmen oder den Mitarbeitern verbunden. Das kann durchaus eine Rolle spielen. Unter anderem, wenn Sie eine spezielle Unternehmenskultur pflegen. Am Ende ist der externe ISB auch nicht ganz so schnell in seiner Reaktionszeit, also unter Umständen nicht allzu flexibel.

Für wen ist der externe ISB geeignet?

Spannend ist ein externer ISB immer dann, wenn eigentlich gar kein Budget für einen ISB vorhanden ist. Ein externer ISB kann nach Zeit abgerechnet werden, was die Kosten planbar und die Leistung vorhersehbar macht. Gerade kleine und mittelständische Unternehmen können sich auf diese Weise mit der Idee beschäftigen, einen ISB zu beauftragen, ohne ihn fest an sich zu binden. Natürlich auch die, die sonst eben gar nicht darüber nachdenken würden.

Der externe ISB ist für kleine und mittelständische Unternehmen also ideal geeignet. Auch bei Start-ups ist der Gedanke spannend, gar keinen festen ISB mehr einzustellen, sondern auf externe Dienstleister zurückzugreifen, die sich der Aufgabe dann bestmöglich annehmen. Das ist auch deshalb von Vorteil, weil viele Unternehmen inzwischen extrem spezialisiert sind. Nur im Bereich Security eben nicht. Da macht es unter Umständen wirklich Sinn, diesen Bereich an entsprechende Experten auszulagern.

Wir von der AWARE7 GmbH kümmern uns gerne darum und sind zudem ISO27001 zertifiziert. Das ist immer dann wichtig, wenn Anforderungen für bestimmte Bereiche wie bspw. in Bezug auf Krankenkassen erfüllt werden müssen. Sprechen Sie uns gerne an, um mehr zu erfahren. Ansonsten denken wir, dass wir Ihnen einen guten Überblick zum Thema ISB geben konnten.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.