Ein Spickzettel für alle, die im Meeting nicken, obwohl sie gerade nichts verstehen.

Montagmorgen, Führungsrunde. Jemand sagt: „Der ISB sagt, wir brauchen ein ISMS, der CISO ist überlastet, und der DSB fragt, ob das auch seine Aufgabe ist.“

Sie nicken. Alle nicken. Aber eigentlich denken viele WTH — What The Heck?!

Hier ist Ihr Spickzettel. Ausdrucken erlaubt.

CIO — Chief Information Officer

Was er tut: Verantwortet die gesamte IT-Strategie eines Unternehmens. Systeme, Infrastruktur, Digitalisierung, Budget.

Wofür er nachts wach liegt: „Läuft die IT? Bringen wir die Digitalisierung voran? Warum kostet alles doppelt so viel wie geplant?“

Haftet er? Nicht direkt für Informationssicherheit — aber wenn die IT brennt, steht er im Feuer.

Vorgeschrieben? Nein. Aber jedes Unternehmen ab einer gewissen Grösse hat de facto jemanden in dieser Rolle — ob mit oder ohne Titel.

CISO — Chief Information Security Officer

Was er tut: Verantwortet die Informationssicherheitsstrategie. Definiert Richtlinien, steuert das ISMS, berichtet an die Geschäftsleitung.

Wofür er nachts wach liegt: „Sind wir sicher? Was passiert bei einem Breach? Hat jemand schon wieder auf den Phishing-Link geklickt?“

Haftet er? Er trägt die operative Verantwortung für die Informationssicherheit. Die Gesamthaftung bleibt bei der Geschäftsleitung.

Vorgeschrieben? Nicht gesetzlich — aber für regulierte Branchen (KRITIS, Finanzsektor) quasi Pflicht. ISO 27001 fordert eine „Leitung der Informationssicherheit“ (Kl. 5.3), nennt aber keinen spezifischen Titel.

Fun Fact: In vielen Mittelständlern ist der CISO gleichzeitig der Typ, der auch den Drucker repariert.

ISB — Informationssicherheitsbeauftragter

Was er tut: Die operative rechte Hand der Geschäftsleitung in Sachen Informationssicherheit. Baut das ISMS auf, pflegt Dokumente, koordiniert Massnahmen, bereitet Audits vor.

Wofür er nachts wach liegt: „Ist die Risikoanalyse aktuell? Haben alle ihre Schulung gemacht? Kommt der Auditor nächste Woche?!“

Haftet er? Persönlich in der Regel nicht — er berät und koordiniert. Die Verantwortung bleibt bei der Geschäftsleitung (§ 43 GmbHG, § 93 AktG).

Vorgeschrieben?

ISO 27001: Ja, indirekt. Klausel 5.3 fordert die Zuweisung von Rollen und Verantwortlichkeiten.

BSI IT-Grundschutz: Ja, explizit gefordert.

NIS2 (ab 2025/2026): Ja, für betroffene Unternehmen.

Der ISB kann intern oder extern sein. Externer ISB = ein Dienstleister übernimmt die Rolle. Vorteil: sofort verfügbar, unabhängig, kein interner Interessenkonflikt. Nachteil: kennt Ihr Unternehmen nicht so gut wie jemand, der täglich im Büro sitzt.

DSB — Datenschutzbeauftragter

Überwacht die Einhaltung der DSGVO. Berät bei Verarbeitungsverzeichnissen, Datenschutz-Folgenabschätzungen und Betroffenenrechten.

Sein grösstes Problem: „Nein, Sie dürfen nicht einfach alle Kundendaten in eine Excel-Tabelle auf dem Desktop speichern.“

Vorgeschrieben? Ja — ab 20 Mitarbeitenden, die regelmässig personenbezogene Daten verarbeiten (§ 38 BDSG).

Wichtig: Der DSB darf aus Gründen des Interessenkonflikts nicht gleichzeitig ISB sein. Und nein — die IT-Abteilung ist auch keins von beiden.

ISMS — Information Security Management System

Kein Mensch, sondern ein System. Das Gesamtpaket aus Richtlinien, Prozessen, Risikomanagement und Controls, das Ihre Informationssicherheit strukturiert.

Ohne ISMS kein ISO 27001-Zertifikat. So einfach ist das.

Wer haftet jetzt eigentlich?

Das ist die Frage, die in jedem Meeting gestellt werden sollte — aber selten wird.

Die kurze Antwort: Die Geschäftsleitung. Immer. Der Geschäftsführer kann Aufgaben delegieren — an CISO, ISB, externe Berater. Aber die Verantwortung kann er nicht delegieren. Nach § 43 GmbHG und § 93 AktG haftet die Geschäftsleitung persönlich für die Sorgfaltspflicht — und dazu gehört seit NIS2 und DSGVO explizit auch die Informationssicherheit. Seit NIS2 drohen bei Pflichtverletzung sogar persönliche Bußgelder.

Welche Rolle brauchen Sie?

• Unter 50 MA: Externer ISB + interne Ansprechperson
• 50–250 MA: ISB (intern oder extern), evtl. CISO in Teilzeit
• Ab 250 MA: Dedizierter CISO + ISB-Team
• Ab 20 MA mit Datenverarbeitung: DSB (gesetzlich vorgeschrieben)
• Alle: Ein ISMS — spätestens wenn Kunden, Partner oder Regularien es fordern

Haben Sie alle notwendigen Rollen besetzt? Kennt jeder seine Rolle? Schreiben Sie mir Ihre Erfahrungen mit WTH.

Hand aufs Herz: Wie viele dieser Rollen landen bei Ihnen auf einer einzigen Person? 
Und falls die Antwort „alle“ ist — wir sollten reden. 😉