Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
Externer Informationssicherheitsbeauftragter vs. intern — Vergleich | SECURAM Consulting
Externer Informationssicherheitsbeauftragter vs. interner ISB — Entscheidungshilfe für den Mittelstand

Externer Informationssicherheitsbeauftragter oder eigene Stelle?

Petra Kraft, Information Security Consultant · 1. Oktober 2025

Ein externer Informationssicherheitsbeauftragter ist für viele Mittelständler die pragmatischere Lösung als eine interne Vollzeitstelle. Denn die Pflicht, einen ISB zu benennen, ergibt sich aus ISO 27001:2022 (Abschnitt 5.3), aus der NIS-2-Richtlinie (Art. 21 Abs. 2) und aus branchenspezifischen Standards wie TISAX oder DORA. Die Frage ist nicht ob, sondern wer diese Rolle im Unternehmen ausfüllt.

Was ein Informationssicherheitsbeauftragter leisten muss

Das Aufgabenprofil eines ISB ist regulatorisch definiert und operativ anspruchsvoll. ISO 27001:2022 fordert in Abschnitt 5.3, dass die oberste Leitung Rollen und Verantwortlichkeiten für die Informationssicherheit zuweist. Konkret heißt das: Eine benannte Person muss sicherstellen, dass das ISMS den Anforderungen der Norm entspricht, und darüber regelmäßig an die Geschäftsführung berichten.

Die NIS-2-Richtlinie (EU 2022/2555, Art. 21 Abs. 2) verschärft diese Anforderung. Betroffene Unternehmen müssen technische, operative und organisatorische Maßnahmen zur Cybersicherheit umsetzen. Wer das verantworten soll, muss benannt sein. Für den Finanzsektor legt DORA (Kapitel II) zusätzlich fest, dass ein ICT Risk Manager mit klar definierten Befugnissen bestellt wird. TISAX verlangt einen ISB als Pflichtrolle bereits ab Prüfstufe AL 2.

Operativ umfasst die Rolle weit mehr als Dokumentenpflege. Risikoanalysen nach ISO 27005, interne Audits nach ISO 19011, Awareness-Programme, Vorfallmanagement, Lieferantenbewertung, Management-Reporting: Das ist ein Vollzeitjob. Oder zumindest ein halber. Und genau hier beginnt das Problem im Mittelstand.

Interner ISB: Vorteile, Grenzen und ein häufiger Interessenkonflikt

Die Argumente für eine interne Besetzung liegen auf der Hand. Ein interner ISB kennt die Unternehmenskultur, die informellen Entscheidungswege, die technische Infrastruktur aus dem Tagesgeschäft. Bei Sicherheitsvorfällen ist er sofort erreichbar, die Kommunikationswege sind kurz.

Allerdings stoßen viele Unternehmen zwischen 100 und 500 Mitarbeitenden an eine praktische Grenze: Es gibt schlicht keine Stelle, die ausschließlich für Informationssicherheit vorgesehen ist. In der Praxis übernimmt häufig der IT-Leiter die ISB-Rolle zusätzlich zu seinen bestehenden Aufgaben. Das erzeugt einen Interessenkonflikt, den Auditoren kennen und beanstanden. Wer IT-Systeme betreibt und gleichzeitig deren Sicherheit bewerten soll, kontrolliert sich selbst. ISO 27001 fordert in Abschnitt 5.3 ausdrücklich die Unabhängigkeit der Sicherheitsrolle von der operativen IT.

Dazu kommt die Qualifikationsfrage. Ein ISB braucht aktuelles Wissen zu Normen, Regulatorik und Bedrohungslagen. Fortbildungen, Konferenzbesuche, Fachlektüre: Das kostet Zeit, die im operativen IT-Betrieb fehlt. Wer den ISB nebenher macht, macht ihn durchaus oft nur auf dem Papier.

Und dann gibt es Übergangssituationen. Stellenwechsel, Elternzeit, Umstrukturierungen: Sobald die Person wegfällt, steht das ISMS still. Interne Audits werden verschoben, Risikobewertungen veralten, Maßnahmen bleiben ohne Nachverfolgung. Der nächste Auditor stellt das fest.

Externer Informationssicherheitsbeauftragter: Wann sich Outsourcing rechnet

Ein externer Informationssicherheitsbeauftragter löst mehrere dieser Probleme gleichzeitig. Das Modell ist freilich kein Allheilmittel, aber es hat spezifische Stärken, die gerade im Mittelstand zum Tragen kommen.

Interner ISB vs. externer ISB — Vergleich

Unabhängigkeit

Ein externer ISB ist an keine interne Hierarchie gebunden. Er berichtet direkt an die Geschäftsführung und kann Befunde benennen, ohne Rücksicht auf Kollegenverhältnisse nehmen zu müssen. Auditoren bewerten diese Konstellation positiv.

Kostenvergleich

Eine interne Vollzeitstelle als ISB kostet mit Gehalt, Nebenkosten und laufender Fortbildung erfahrungsgemäß zwischen 90.000 und 140.000 EUR jährlich. Ein externer Dienstleister liegt je nach Umfang bei 2.500 bis 7.000 EUR monatlich (30.000 bis 84.000 EUR pro Jahr). Die Differenz wird größer, wenn man die Opportunitätskosten einer Doppelrolle einrechnet: Was kostet es, wenn der IT-Leiter 20 Prozent seiner Arbeitszeit für ISMS-Aufgaben aufwendet, die er ohnehin nicht vollständig abdeckt?

Sofortige Verfügbarkeit

Ein erfahrener externer ISB braucht keine Einarbeitung in Grundlagen. Er kennt die Normen, die gängigen Frameworks, die typischen Schwachstellen mittelständischer Organisationen. Die operative Wirksamkeit tritt schneller ein als bei einer Neueinstellung, die erst fachlich aufgebaut werden muss.

Skalierbarkeit

Das Stundenbudget lässt sich an den tatsächlichen Bedarf anpassen. Vor Audits mehr Kapazität, im laufenden Betrieb weniger. Das ist flexibler als eine feste Stelle und effizienter als eine Doppelrolle.

Nachteile des externen Modells

  • Geringere Alltagspräsenz im Unternehmen
  • Einarbeitungszeit in unternehmensspezifische Prozesse und Infrastruktur nötig
  • Abhängigkeit vom Dienstleister; Wechsel erfordert Wissenstransfer
  • Weniger kurzfristig verfügbar bei ad-hoc-Vorfällen ohne SLA-Vereinbarung

„Wer die ISB-Rolle zum Nebenjob erklärt, erklärt die Informationssicherheit zur Nebensache. Das fällt spätestens beim Audit auf."

Nadine Eibel, CEO SECURAM Consulting GmbH

Fünf Kriterien für die richtige Entscheidung

Die Frage „intern oder extern?" lässt sich nicht pauschal beantworten. Fünf Faktoren bestimmen, welches Modell für Ihr Unternehmen passt.

  1. Unternehmensgröße und Organisationsstruktur. Ab etwa 500 Mitarbeitenden mit mehreren Standorten und einer gewachsenen IT-Landschaft kann eine interne Vollzeitstelle sinnvoll sein. Darunter übersteigt der Aufwand für Rekrutierung, Einarbeitung und laufende Qualifikation oft den Nutzen. Für Unternehmen zwischen 100 und 500 Mitarbeitenden ist das externe Modell in den meisten Fällen die wirtschaftlichere Lösung.
  2. Regulatorischer Druck. NIS-2 betrifft über 30.000 Unternehmen in Deutschland. Das NIS2UmsuCG sieht in Paragraph 38 eine persönliche Haftung der Geschäftsführung vor, wenn Cybersicherheitsmaßnahmen nicht umgesetzt werden. Wer unter NIS-2 fällt, braucht einen nachweislich qualifizierten ISB. Ob intern oder extern, ist regulatorisch gleichgültig. Dass er existiert und arbeitet, ist entscheidend.
  3. Branchenanforderungen. Automotive-Zulieferer benötigen TISAX (VDA ISA, Prüfstufe AL 2 oder AL 3). Finanzunternehmen unterliegen DORA (Kapitel II). Gesundheitswesen und Energie fallen unter KRITIS. Jede Branche hat eigene Anforderungen an die ISB-Rolle. Ein externer Informationssicherheitsbeauftragter mit Branchenexpertise deckt diese ab, ohne dass das Unternehmen selbst das Spezialwissen vorhalten muss.
  4. Reifegrad des bestehenden ISMS. Unternehmen, die noch kein ISMS aufgebaut haben, profitieren besonders vom externen Modell. Der Aufbau erfordert Methodenwissen, das sich nicht nebenbei aneignen lässt. Ist das ISMS bereits zertifiziert und eingespielt, kann eine interne Übernahme der ISB-Rolle gewiss sinnvoll sein, sofern die Unabhängigkeit gewährleistet ist.
  5. Budget und Ressourcen. Eine ehrliche Kalkulation hilft. Die Frage ist nicht nur: Was kostet der externe ISB? Sondern: Was kostet es, keinen qualifizierten ISB zu haben? Die Haftungsrisiken nach Paragraph 38 NIS2UmsuCG, die Verzögerung einer Zertifizierung, der Reputationsschaden nach einem Vorfall: Diese Kosten übersteigen das Honorar eines externen Dienstleisters um ein Vielfaches.

Make or Buy: Die Kernfrage richtig stellen

Die Entscheidung zwischen internem und externem ISB ist keine Glaubensfrage. Sie ist eine betriebswirtschaftliche Abwägung mit regulatorischen Leitplanken.

Für Unternehmen unter 500 Mitarbeitenden ohne eigene Sicherheitsabteilung ist der externe Informationssicherheitsbeauftragte in der Regel das passendere Modell. Er bringt Unabhängigkeit, Fachwissen und sofortige Einsatzbereitschaft mit. Er kostet weniger als eine Vollzeitstelle und mehr als eine Doppelrolle, die nicht funktioniert.

Die Geschäftsführung haftet persönlich (Paragraph 38 NIS2UmsuCG). Diese Haftung lässt sich nicht delegieren, wohl aber das operative Sicherheitsmanagement. Wer einen qualifizierten ISB bestellt, der tatsächlich arbeitet, reduziert das eigene Risiko. Wer die Rolle unbesetzt lässt oder zum Nebenjob erklärt, erhöht es.

Sie wollen wissen, welches Modell für Ihre Organisation passt? Vereinbaren Sie ein kostenfreies Erstgespräch und lassen Sie uns die Optionen gemeinsam durchgehen.

Quellen

  1. ISO 27001:2022, Abschnitt 5.3 — Rollen, Verantwortlichkeiten und Befugnisse
  2. NIS-2-Richtlinie (EU) 2022/2555, Art. 21 Abs. 2 — Cybersicherheitsmaßnahmen — eur-lex.europa.eu
  3. NIS2UmsuCG, Paragraph 38 — Geschäftsführerhaftung
  4. DORA (EU) 2022/2554, Kapitel II — ICT Risk Manager
  5. TISAX VDA ISA — ISB als Pflichtrolle ab Prüfstufe AL 2
  6. ISO 27005:2022 — Risikomanagement für Informationssicherheit
  7. ISO 19011:2018 — Leitfaden zur Auditierung von Managementsystemen

Weiterführend

ISMS nach ISO 27001
Informationssicherheit systematisch aufbauen — vom Gap bis zur Zertifizierung.
Mehr erfahren →
Externer ISB as a Service
Qualifizierter ISB auf Abruf — unabhängig, normkonform und sofort einsatzbereit.
Zum Angebot →
NIS-2: Betroffenheit prüfen
Über 30.000 Unternehmen in Deutschland sind betroffen. Prüfen Sie Ihre Pflichten.
Zur Betroffenheitsprüfung →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen

Verwandte Artikel

ISMS-Einführung im Mittelstand: Wo Unternehmen wirklich scheitern
ISMS

ISMS-Einführung im Mittelstand: Wo Unternehmen wirklich scheitern

Claudia Schönemann · 05.08.2025 · 6 Min

Internes Audit nach ISO 27001: Vorbereitung, Ablauf und die häufigsten Findings
ISMS

Internes Audit nach ISO 27001: Vorbereitung, Ablauf und die häufigsten Findings

Claudia Schönemann · 05.08.2025 · 6 Min

Agentic AI: Was Unternehmen jetzt wissen müssen
KI-Governance

Agentic AI: Was Unternehmen jetzt wissen müssen

Florian Priegnitz · 04.12.2025 · 8 Min