ISBaaS — Information Security as a Service

Externer Informationssicherheitsbeauftragter (ISB) für den Mittelstand

SECURAM übernimmt die Rolle des Informationssicherheitsbeauftragten als laufende Funktion: Fachkompetenz, organisatorische Unabhängigkeit und strukturierter ISMS-Betrieb.

Erstgespräch vereinbaren Tiers vergleichen ↓

ISB

as a Service

Ausgangslage

Warum ein externer Informationssicherheitsbeauftragter?

Regulatorischer Druck steigt. Qualifiziertes Personal fehlt.

NIS-2 verpflichtet Geschäftsführungen zur persönlichen Haftung für Informationssicherheit. DORA fordert IKT-Risikomanagement im Finanzsektor. Gleichzeitig fehlen qualifizierte ISBs auf dem Arbeitsmarkt. Eine interne Besetzung bindet eine Vollzeitstelle, die in KMU schwer darstellbar ist.

Als externer Informationssicherheitsbeauftragter übernimmt SECURAM die operative Verantwortung für Ihr ISMS: quartalsweise Reviews, laufende Dokumentationspflege, Risikomanagement und Audit-Vorbereitung. Die Fixkosten einer internen Stelle entfallen.

Unser Modell: ISBaaS

Drei Service-Stufen im Vergleich

Wählen Sie den Umfang, der zu Ihrer Organisation passt. Jede Stufe ist jederzeit skalierbar.

Leistung	CoreQuartalsweise	AdvancedMonatlich	CompleteWöchentlich
ISMS-Review	Quartalsweise	Monatlich	Wöchentlich
Risikobewertung	Halbjährlich	Quartalsweise	Laufend
Management Review	Jährlich	Quartalsweise	Monatlich
Dokumentationspflege	✓	✓	✓
Awareness-Programm	—	2×/Jahr	4×/Jahr
Lieferantensteuerung	—	✓	✓
Incident-Response ad hoc	—	—	✓
Board-Reporting (CISO-Level)	—	—	✓
Audit-Vorbereitung	Jährlich	+ Begleitung	+ Begleitung
	Core anfragen	Advanced anfragen	Complete anfragen

Core

Quartalsweise Reviews

Basis-Betrieb für KMU mit geringem Regulierungsdruck

Quartalsweises ISMS-Review
Risikobewertung (halbjährlich)
Dokumentationspflege
Jährliches Management Review
Jährliche Audit-Vorbereitung
Awareness-Programm
Lieferantensteuerung
Incident-Response ad hoc

Core anfragen

Advanced

Monatliche Reviews

Laufender Betrieb für NIS-2- und DORA-betroffene Unternehmen

Monatliches ISMS-Review
Risikobewertung (quartalsweise)
Dokumentationspflege
Quartalsweises Management Review
Audit-Vorbereitung + Begleitung
Awareness (2×/Jahr)
Lieferantensteuerung
Incident-Response ad hoc

Advanced anfragen

Complete

Wöchentlicher Kontakt

Vollständige ISB-Funktion inkl. Board-Reporting und Incident-Response

Wöchentlicher Kontakt
Risikobewertung (laufend)
Dokumentationspflege
Monatliches Management Review
Awareness (4×/Jahr)
Lieferantensteuerung
Incident-Response ad hoc
Board-Reporting (CISO-Level)

Complete anfragen

Leistungsumfang

Was der externe ISB konkret übernimmt

Acht Leistungsmodule für den laufenden ISMS-Betrieb.

ISMS-Betrieb und -Pflege

Laufende Weiterentwicklung: Dokumentation, Prozesse und Controls aktuell halten.

Risikomanagement

Identifikation, Bewertung und Behandlung nach ISO 27005 oder BSI 200-3.

Incident Management

Erkennung, Eskalation, Nachbereitung. Prozess aufbauen und betreiben.

Awareness und Schulung

Zielgruppengerechte Schulungen, Phishing-Simulationen, E-Learnings.

Lieferantensteuerung

Bewertung und Überwachung gemäß ISO 27001 Annex A.

Richtlinien und Dokumentation

Erstellung und Pflege aller sicherheitsrelevanten Dokumente.

KPIs und Reporting

Regelmäßige Berichterstattung an die Geschäftsführung.

Audit-Vorbereitung

Interne Audits, Management Reviews, Zertifizierungsbegleitung.

So starten wir

Der Einstieg in vier Schritten

Erstgespräch und Scope-Klärung

45 Minuten · Kostenfrei

Wir klären Reifegrad, Regulierungsdruck und den passenden Tier. Am Ende wissen Sie, ob ISBaaS der richtige Ansatz ist.

GAP-Analyse und Tier-Empfehlung

3–5 Werktage

Wir bewerten den IST-Zustand Ihres ISMS und leiten die passende Service-Stufe ab.

Onboarding

2–4 Wochen

Dokumentation übernehmen, Stakeholder kennenlernen, Zugänge einrichten, Kommunikationsrhythmus etablieren.

Laufender Betrieb

Fortlaufend

Ab dem ersten Review-Termin läuft der Service. Regelmäßige Berichte, Risikoupdates und kontinuierliche Verbesserung.

Typische Ausgangssituationen

Wann Unternehmen einen externen ISB beauftragen

Vier Szenarien aus der Praxis, die den Bedarf verdeutlichen.

NIS-2 trifft das Unternehmen unvorbereitet

Ein produzierendes Unternehmen stellt fest, dass es als wichtige Einrichtung unter NIS-2 fällt. Die BSI-Registrierungsfrist läuft, intern fehlt jede ISMS-Erfahrung. Ein externer ISB startet innerhalb von zwei Wochen und baut das ISMS parallel zur Registrierung auf.

Der interne ISB kündigt

Das Überwachungsaudit steht in drei Monaten an, aber der einzige interne ISB hat gekündigt. Ein externer ISB übernimmt als Übergangslösung, sichert die Zertifizierung und überbrückt, bis ein Nachfolger eingearbeitet ist.

Kundenanforderung erzwingt Handeln

Ein Großkunde fordert den Nachweis eines ISB und eines ISMS. Die Personalsuche würde Monate dauern, der Auftrag duldet keinen Aufschub. Ein externer ISB kann sofort starten und den Nachweis erbringen.

Fachkräftemangel macht interne Besetzung unmöglich

Das Unternehmen sucht seit Monaten erfolglos einen ISB. Der Markt für qualifizierte IT-Security-Fachkräfte ist leergefegt. Ein externer ISB schließt die Lücke planbar und sofort, ohne langwierige Rekrutierung.

Häufige Fragen

FAQ — Externer Informationssicherheitsbeauftragter

Was kostet ein externer Informationssicherheitsbeauftragter?

Die Kosten richten sich nach dem gewählten Tier (Core, Advanced, Complete) und der Größe Ihrer Organisation. Ein Erstgespräch klärt den Scope, kostenfrei und unverbindlich.

Ist ein Informationssicherheitsbeauftragter Pflicht?

Es gibt keine generelle gesetzliche Pflicht. Aber KRITIS-Betreiber (BSIG), NIS-2-betroffene Unternehmen und branchenspezifische Regulierungen (MaRisk, DORA, EnWG) machen einen ISB faktisch verpflichtend. Auch ISO 27001 fordert die Rolle als zentrale Funktion im ISMS.

Brauche ich einen ISB für NIS-2?

§38 BSIG verpflichtet Geschäftsführungen zur persönlichen Haftung für Informationssicherheit. Ein ISB ist nicht explizit vorgeschrieben, aber faktisch nötig für nachweisbare Compliance. Ohne ISB fehlt die operative Umsetzungsinstanz für die NIS-2-Anforderungen.

Was ist der Unterschied zwischen ISB und Datenschutzbeauftragtem (DSB)?

Der DSB schützt personenbezogene Daten auf Basis der DSGVO. Der ISB schützt alle Informationswerte des Unternehmens auf Basis von ISO 27001, BSI-Grundschutz oder branchenspezifischen Vorgaben. Unterschiedliche Rechtsgrundlagen, unterschiedliche Schutzobjekte. Die Rollen sollten nicht in Personalunion besetzt werden.

Externer ISB vs. interner ISB — was sind die Vor- und Nachteile?

Ein interner ISB ist näher am Tagesgeschäft, kann aber betriebsblind werden und verursacht hohe Fixkosten. Ein externer ISB bringt Branchenerfahrung aus vielen Mandaten, arbeitet unabhängig und ist flexibel skalierbar. Wissensverlust durch Kündigung entfällt.

Wie unterscheidet sich ISBaaS von einer Beratung?

ISBaaS ist eine laufende Funktion im Retainer-Modell. Eine Beratung ist ein einmaliges Projekt mit definiertem Ende. Der ISB bleibt, die Beratung endet. ISBaaS umfasst den dauerhaften ISMS-Betrieb, nicht nur die Konzeptphase.

Welche Aufgaben übernimmt der externe ISB konkret?

ISMS-Aufbau und -Betrieb, Erstellung und Pflege von Sicherheitsrichtlinien, Risikomanagement, Mitarbeiterschulungen, interne Audits, Zertifizierungsvorbereitung, Reporting an die Geschäftsführung und Ansprechpartner bei Sicherheitsvorfällen.

Wie schnell kann ein externer ISB starten?

In der Regel innerhalb von zwei Wochen. Ein externer ISB ist es gewohnt, sich schnell in neue Umgebungen einzuarbeiten. Die vollständige Übernahme aller Aufgaben dauert je nach ISMS-Reifegrad zwei bis vier Wochen.

Wer haftet — der externe ISB oder die Geschäftsführung?

Die Gesamtverantwortung für Informationssicherheit liegt immer bei der Geschäftsführung. Der externe ISB berät, setzt um und dokumentiert, trägt aber nicht die Organisationsverantwortung. Geschäftsführer können nach NIS-2 persönlich haftbar gemacht werden.

Welche Qualifikationen sollte ein externer ISB haben?

Zertifizierungen nach ISO 27001 (Lead Auditor oder Lead Implementer), ergänzt durch CISM, CISSP oder BSI IT-Grundschutz-Kompetenz. Entscheidend sind Branchenerfahrung, nachweisbare Mandatshistorie und kommunikative Fähigkeit, die Geschäftsführung zu erreichen.

Kann ich später vom externen auf einen internen ISB wechseln?

Ja, ein verbreitetes Modell. Der externe ISB baut das ISMS auf und übergibt nach 12 bis 18 Monaten an einen intern aufgebauten Mitarbeiter. Alternativ bleibt die externe Betreuung als Dauerloesung bestehen.

Kann ein externer ISB für KRITIS-Betreiber eingesetzt werden?

Grundsätzlich ja. Die Betreiberpflichten und die BSI-Kommunikation verbleiben jedoch beim Unternehmen. Der externe ISB übernimmt die operative ISMS-Steuerung, aber die formale Verantwortung gegenüber dem BSI liegt beim Betreiber selbst.

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ihre Ansprechpartnerin

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg

040 298 4553-0

contact@securam-consulting.com

Direkter Kontakt

Vertrieb: sales@securam-consulting.com
Bewerbung: karriere@securam-consulting.com

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen