Informationssicherheits-beauftragter: CISO und ISB im Überblick

Ein CISO, oder Chief Information Security Officer, ist eine leitende Führungskraft, die in einer Organisation für die Informationssicherheit verantwortlich ist.

Zu den Aufgaben eines CISO gehören die Entwicklung und Umsetzung von Cybersicherheitsstrategien, die Bewertung von Risiken, die Entwicklung und Umsetzung von Sicherheitsmaßnahmen, die Überwachung der Sicherheitslage und die Schulung von Mitarbeitern in Bezug auf Cybersicherheit.

Wer ihn braucht und warum sich das Outsourcen lohnt 

Informationssicherheit ist für viele Unternehmen ein Top-Thema im Wettbewerb. Wer zum Beispiel Teil einer komplexen Lieferkette sein will, muss in den meisten Branchen über ein zertifiziertes Infor-mationssicherheits-Managementsystem (ISMS) verfügen. Für das Audit gilt: Ohne offiziell bestellten ISB wird kein Zertifikat erteilt. 

Weltweit fehlen rund 3 Millionen Cyber-Security-Fachkräfte. Und das Magazin IT-Sicherheit Online ernannteden Fachkräftemangel in der Informationssicherheit sogar zu einem der top vier Trends, auf den Unternehmen sich einstellen müssen. CISO und ISB sind also gefragte Leute mit großartigen Chancen auf dem Arbeitsmarkt.

Überraschend ist das nicht – vereinen Berufe in der Informationssicherheit gleich mehrere Anforderungen, die rar sind auf dem Arbeitsmarkt: Neben fundierten IT-Kenntnissen müssen Bewerber sich mit gängigen Normen und Gesetzen der Informationssicherheit auskennen. Darüber hinaus erfordern die meisten Rollen Kommunikations- und Verhandlungsgeschick. Denn die Umsetzung von Informationssicherheitsprozessen klappt nur, wenn alle Abteilungen kooperieren.

 

Das Wichtigste in Kürze

  • CISO steht für Chief Information Security Officer und ISB bedeutet Informationssicherheitsbeauftragter.
  • Beide sind Experten im Bereich der Informationssicherheit und setzen Maßnahmen im Unternehmen um.
  • Informationssicherheitsexperten sind auf dem Arbeitsmarkt heiß begehrt.
  • Für einen Job in der Informationssicherheit ist kein bestimmtes Studium erforderlich: Informatiker und BWLer sind gleichermaßen geeignet.
  • Entscheidend ist vielmehr die bisherige Arbeitserfahrung und Kenntnisse zur ISO 27001 und Informationssicherheits-Managementsystemen.
  • Mit Jahresgehältern nördlich der 70.000-100.000 EUR sind beide Jobs gut bezahlt, was mit der hohen Verantwortung gegenüber dem Unternehmen zusammenhängt.
  • Viele Unternehmen entscheiden sich dafür, die Rolle des ISB oder CISO auszulagern und beauftragen externe Dienstleister.

 

Was bedeuten die Begriffe CISO und ISB? 

Der Chief Information Security Officer (CISO) und der Informationssicherheitsbeauftragte (ISB) kümmert sich im Unternehmen um den Schutz von Informationen. Dabei stehen sie regelmäßig vor einer Herausforderung: Sie müssen das bestmögliche Maß an Informationssicherheit (InfoSec) gewährleisten, dürfen dabei aber einen reibungslosen Geschäftsablauf nicht negativ beeinflussen.

Beispielweise wäre es aus Sicht der Informationssicherheit definitiv sinnvoll, nur Arbeitsplätze innerhalb eines Bürogebäudes einzurichten und die Verwendung von eigenen Mobilgeräten (also privaten Smartphones) für die Arbeit zu verbieten. Allerdings sind Homeoffice und „Bring your own device“ (BYOD) längst in der Arbeitsrealität angekommen. Also müssen CISO und ISB Kompromisse finden und InfoSec-Maßnahmen ergreifen, die sich nach dem individuellen Risikoappetit des Unternehmens ausrichten.

KEY FACT:

  • Der Chief Information Security Officer (CISO) und der Informationssicherheitsbeauftragte (ISB) haben die Aufgabe, für das bestmögliche Maß an Informationssicherheit im Unternehmen zu sorgen 

 

Gibt es Unterschiede zwischen einem CISO und Informationssicherheitsbeauftragtem? 

CISO und Informationssicherheitsbeauftragte (ISB) sind normalerweise direkt dem Topmanagement unterstellt, arbeiten aber besonders eng mit der IT-Abteilung sowie den Compliance- und Legal-Teams zusammen. Der CISO hat dabei eher eine strategische, übergeordnete Rolle und muss das gesamte Unternehmen im Blick behalten. Der Informationssicherheitsbeauftragte kümmert sich eher um die Umsetzung von Maßnahmen in den Abteilungen, agiert beispielweise als Projektmanager für die Einführung eines Informationssicherheits-Managementsystems.  

Je nach Unternehmen sind die Rollen jedoch unterschiedlich definiert. Viele haben nur entweder einen CISO oder ISB – dann sind die Berufsbezeichnungen als synonym anzusehen.  

KEY FACT:

  • CISO: Chief Information Security Officer, arbeitet strategisch und hat eine übergeordnete Rolle
  • ISB: Informationssicherheitsbeauftragter kümmert sich um die Umsetzung von Maßnahmen
  • Gibt es nur CISO oder ISB im Unternehmen, sind die Bezeichnungen synonym 

 

Ist ein CISO oder ISB vorgeschrieben?

Für Unternehmen und Organisationen gibt es keine allgemeine rechtliche Verpflichtung zum Aufbau eines Informationssicherheits-Managementsystems. Kein Gesetz schreibt dies vor. Daher ist auch die Rolle des CISO sowie des Informationssicherheitsbeauftragten kein Muss.  

KEY FACT:  

  • Es gibt keine gesetzliche Regelung und damit keine rechtliche Pflicht – weder zur Einführung eines ISMS noch zur Bestellung eines ISB.  

AUSNAHMEN:

  • Ein ISMS mit Informationssicherheitsbeauftragtem ist in Deutschland etwa für Unternehmen vorgeschrieben, die unter das IT-Sicherheitsgesetz fallen. Es gilt für Betreiber sogenannter kritischer Infrastrukturen (KRITIS) – dazu zählen unter anderem Telekommunikationsanbieter, Wasserwerke und Energieversorger. Seit 2021 wurde die Liste der KRITIS-Unternehmen deutlich ausgeweitet.

 

Welche Unternehmen brauchen einen ISB?

Unternehmen, die mit Geschäftspartnern sensible Informationen austauschen, wollen sichergehen, dass diese die Informationen auch schützen. Dies betrifft in besonderem Maße digital stark vernetzte Unternehmen. Der Nachweis lässt sich durch ein Zertifikat erbringen. Das Vorlegen eines Zertifikats ist für jedes Unternehmen ein Wettbewerbsvorteil.

Internationaler Standard für die Zertifizierung ist die ISO 27001. Ein nach diesem Standard auditiertes ISMS sollte einen ISB haben, um die Zertifizierung erteilt zu bekommen. An einer Zertifizierung nach ISO 27001 oder daraus abgeleiteten Industriestandards führt in vielen Branchen kein Weg mehr vorbei. Beispiel Automotive: Unternehmen in diesem Segment sollten ein ISMS mit ISB nachweisen.

KEY FACTS:

  • Ein zertifiziertes ISMS nach ISO 27001 dient Unternehmen als Nachweis der Informationssicherheit. Voraussetzung für eine erfolgreiche Auditierung ist der Informationssicherheitsbeauftragte (ISB).
  • Ein zertifiziertes ISMS ist für Unternehmen generell ein Wettbewerbsvorteil und daher zu empfehlen.
  • In bestimmten Branchen sind die Auditierung und der ISB Voraussetzung für die Geschäftstätigkeit zum Beispiel in der Automobilindustrie. Hier gilt der Branchenstandard TISAX® (Trusted Information Security Assessment Exchange). 

 

Welche Aufgaben hat ein CISO / Informationssicherheitsbeauftragter?

Der Aufgabenbereich eines CISO ist nicht gesetzlich vorgeschrieben und hängt sehr vom jeweiligen Unternehmen und der einzuhaltenden Regeln ab. Eine Ausnahme bieten hier z. B. Spezialfälle im öffentlichen Sektor.

Zu seinen Aufgaben gehören:

  • Schutz von Unternehmenswerten vor Angriffen und Datenverlusten (in Zusammenarbeit mit dem Datenschutzbeauftragen und der IT)
  • Zertifizierungen nach ISO 27001/27002 und/oder TISAX® 
  • Einführung eines Informationssicherheits-Managementsystems (ISMS) 
  • Auswahl geeigneter Methoden und Tools  
  • Risikomanagement und Beratung der Geschäftsführung 
  • Abteilungsübergreifende Kommunikation

Oft sind CISOs Informatiker oder Computer Scientists mit Weiterbildungen oder Spezialisierungen im Bereich Security und langjähriger Berufserfahrung. Je nach Anforderungen des Unternehmens kann die Stelle des CISO durch einen internen Mitarbeiter oder einen externen Dienstleister besetzt werden.

 

 

Wer kann die ISB-Rolle übernehmen?

Der ISB ist verantwortlich für die Umsetzung, Überwachung und operative Steuerung des ISMS. Um diese Rolle auszufüllen, benötigt der ISB entsprechende Ressourcen. Er muss weisungsunabhängig und frei von Interessenkonflikten agieren können.

Die fachlichen Anforderungen sind hoch: Der ISB muss über umfassendes technisches und organisatorisches Know-how verfügen. Er muss mit den einschlägigen internationalen und nationalen Normen (ISO 27001, TISAX, ISIS12, BSI 200-1, BSI 200-2, NIST 800-53, SOC1 und 2 etc.) bestens vertraut sein und die aktuellen rechtlichen Grundlagen aus dem Effeff kennen.

Wege in die Informationssicherheit sind zum Beispiel: Schulungen zur ISO 27001 sowie den IT-Grundschutzstandard des Bundesamtes für Sicherheit in der Informationstechnik besuchen. Oder aber Betriebswirte bilden sich im Bereich der IT-Sicherheit fort und lassen sich als Information Security Officer zertifizieren.

Für die erfolgreiche Besetzung der Rolle des Informationssicherheitsbeauftragten kommt es vor allem darauf an,  dass Mitarbeiter Erfahrung in den folgenden Bereichen mitbringen:

  • Implementierung der IT-Sicherheit, inkl. einem Verständnis kritischer Infrastrukturen
  • Aufbau eines ISMS
  • Zertifizierung des ISMS nach ISO 27001 / TISAX®
  • Bearbeitung von und Umgang mit Informationssicherheitsvorfällen
  • Mitarbeiterschulungen und Sensibilisierungsmaßnahmen
  • Verhandlungen und Projektmanagement

KEY FACTS:

  • Organisatorische Anforderungen: Der ISB übt eine unabhängige Funktion aus. Er darf gemäß ISO 27001 daher nicht zugleich Mitglied der Geschäftsführung sein und nicht Parallelverantwortung in der IT-Abteilung tragen.
  • Fachliche Anforderungen: Der ISB muss über umfassendes organisatorisches und fachliches Know-how verfügen und die rechtlichen Anforderungen kennen. Relevante Nachweise sind zum Beispiel aktuelle Zertifikate wie ISMS Security Officer oder Information Security Officer. 

 

Gehalt und Bedeutung von Informationssicherheits-Experten

InfoSec-Fachkräfte sind umkämpfte Mangelware. Die Anforderungen an die Informationssicherheit steigen stetig: Cyber-Attacken verursachten im letzten Jahr beispielsweise Schäden von 223 Milliarden Euro für die deutsche Wirtschaft. Das eigene Unternehmen vor solchen Angriffen zu schützen ist unter anderem die Aufgabe von CISO und ISB.  

Und das lassen Unternehmen sich einiges kosten. Laut Erhebungen von Glassdoor liegen die Verdienstmöglichkeiten im Schnitt… 

  • bei rund 70.000 EUR brutto Jahresgehalt für Informationssicherheitsbeauftragte.
  • bei über 100.000 EUR brutto Jahresgehalt für Chief Information Security Officer.

Das könnte Sie auch interessieren:

 

Die Rolle des CISO und ISB outsourcen – so helfen externe Dienstleister

Nicht jedes Unternehmen kann oder will die Informationssicherheit mit internen Ressourcen umsetzen und managen. Oder aber das interne Team ist überlastet, kommt mit dem Dokumentationsaufwand nicht hinterher, besitzt nicht die nötige Expertise für ein bestimmtes Projekt, fällt durchs Audit … Dann bietet sich ein externer Dienstleister an, der gezielt beraten kann.

Der Vorteil: Externe Services können schnell eingekauft werden und erfordern dank dem Erfahrungsschatz der Dienstleister kein langes Onboarding. Ein guter Anbieter teilt seinen Kunden einen persönlichen Ansprechpartner zu, der sich mit den aktuellen Herausforderungen des Kunden auskennt, und diese schon an anderer Stelle meistern konnte.  

Auch die Kosten für einen externen Dienstleister liegen deutlich unter denen für eine Vollzeitstelle. Bei DataGuard zahlen Kunden zwischen 500 und 2.000 € pro Monat – je nach Komplexität.

KEY FACTS:

  • Vorteile eines externen ISB:
  • Flexibel und bedarfsgerecht abrufbares Know-how
  • Umfassende Expertise und aktuelle Qualifikationen
  • Kalkulierbare, genau planbare Kosten
  • Hoher Return on Security Invest (ROSI)

Streben Sie eine Zertifizierung nach ISO 27001 oder TISAX® an? Unsere Experten aus dem Bereich Informationssicherheit helfen Ihnen gerne Ihre Ziele in der Informationssicherheit zu erreichen. 

Sprechen Sie uns an

 

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über den Autor

DataGuard Informationssicherheits-Experten DataGuard Informationssicherheits-Experten
DataGuard Informationssicherheits-Experten

Tipps und Best Practices zur erfolgreichen Erlangung von Zertifizierungen wie ISO 27001 oder TISAX®, die Bedeutung robuster Sicherheitsprogramme, effiziente Risikominderung... und vieles mehr!

Profitieren Sie von der jahrelangen Erfahrung unserer zertifizierten Informationssicherheitsbeauftragen (oder CISOs) in Deutschland, UK und Österreich, um Ihr Unternehmen auf den nachhaltigen Erfolgspfad zu bringen – indem Sie Ihre Informationswerte und Mitarbeitenden vor gängigen Risiken wie Cyberangriffen schützen.

Diese Qualifizierungen unserer Informationssicherheitsberater stehen für Qualität und Vertrauen: Certified Information Privacy Professional Europe (IAPP), ITIL® 4 Foundation Certificate for IT Service Management, ISO 27001 Lead Implementer/Lead Auditor/Master, Certificate in Information Security Management Principles (CISMP), Certified TickIT+ Lead Auditor, Certified ISO 9001 Lead Auditor, Cyber Essentials

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren