ISO 27001 verlangt eine verantwortliche Person für das ISMS — den Informationssicherheitsbeauftragten (ISB). Die Frage ist: Besetzen Sie die Rolle intern oder engagieren Sie einen externen Dienstleister? Diese Entscheidung beeinflusst Kosten, Fachwissen, Haftung und Ihre Flexibilität als Unternehmen. Dieser Artikel liefert eine klare Entscheidungsmatrix für Mittelständler.

Was ein ISB macht (und was nicht)

Bevor wir zur Entscheidung kommen: Was sind die Aufgaben eines ISB?

Kernaufgaben

• ISMS-Pflege: Richtlinien aktuell halten, Prozesse anpassen
• Risikomanagement: Jährliche Risikoanalysen, bei wesentlichen Änderungen
• Incident-Management: Vorfälle analysieren, Maßnahmen einleiten
• Audit-Vorbereitung: Internes Audit, externes Audit, Management-Review
• Schulungen: Mitarbeiter-Awareness, Führungskräfte-Briefings
• Reporting: Regelmäßig an Geschäftsführung
• Ansprechpartner: Intern für Mitarbeiter, extern für Auditor/Kunden

Was der ISB NICHT macht

• IT-Administration (das bleibt bei der IT-Abteilung)
• Security-Operations (SOC, SIEM)
• Alle technischen Entscheidungen
• Umsetzung aller Maßnahmen (nur Steuerung, nicht alleine Durchführung)

Der ISB ist Managementfunktion, nicht Technik-Operator.

Option 1: Interner ISB

Ein Mitarbeiter des Unternehmens übernimmt die ISB-Rolle — entweder als eigene Stelle oder als Zusatzaufgabe.

Typische Konstellationen

• Dedizierter ISB (Vollzeit): Nur bei Unternehmen ab ca. 300 Mitarbeitern wirtschaftlich sinnvoll
• Teilzeit-ISB: 20-50% Stelle, typisch für 100-300 MA
• ISB als Nebenaufgabe: IT-Leiter, Compliance-Officer, Qualitätsbeauftragter übernimmt zusätzlich

Vorteile intern

• Kennt das Unternehmen, Prozesse und Personen
• Ist vor Ort verfügbar
• Integriert in Unternehmenskultur
• Direkter Draht zu Geschäftsführung und Abteilungen
• Keine Externe-Integrationsprobleme

Nachteile intern

• Expertise variiert stark: Ein ISB bearbeitet 1 ISMS — sammelt also langsam Erfahrung
• Urlaub / Krankheit: Vertretung muss organisiert werden
• Weiterbildung: Regelmäßige Schulungen nötig, kostet 2.000-5.000 € pro Jahr
• Interessenkonflikte: ISB ist an Unternehmen gebunden — nicht immer unabhängig
• Aufwand-Schwankungen: Manchmal viel Arbeit (Audit-Zeit), manchmal wenig — Personal fix
• Full Cost: Gehalt + Sozialabgaben + Overhead = typisch 1,4x Gehalt

Konkrete Kosten intern

• 100% Stelle (Senior-Level): 75.000-95.000 € Brutto + 30-40% Nebenkosten = 97.000-133.000 € Jahreskosten
• 50% Stelle: ca. 50.000-65.000 € Jahreskosten
• ISB als Nebenaufgabe: Kosten „versteckt“ — Mitarbeiter kann weniger für Hauptaufgabe arbeiten

Option 2: Externer ISB

Ein spezialisierter Dienstleister übernimmt die ISB-Rolle von außen. Typischerweise als Retainer-Modell mit festem Monatspreis.

Vorteile extern

• Hochgradige Expertise: Arbeitet mit vielen Unternehmen, sieht alle Stolpersteine
• Ständige Weiterbildung: Automatisch up-to-date mit Normänderungen
• Keine Urlaub-/Krankheitslücken: Dienstleister hat Teams
• Flexibel skalierbar: Mehr Stunden bei Bedarf, weniger bei Ruhephasen
• Unabhängigkeit: Keine interne Hierarchie-Konflikte
• Vorhersagbare Kosten: Festpreis
• Sofort einsatzbereit: Keine Einarbeitungszeit

Nachteile extern

• Kennt Unternehmen anfangs nicht im Detail (3-6 Monate Einarbeitung)
• Nicht permanent vor Ort
• Braucht interne Schnittstelle (Koordinator)
• Kundenbeziehungen zu Geschäftsführung weniger eng als bei Vollzeit-Mitarbeiter

Konkrete Kosten extern

Typische Preismodelle:

• Basis (kleine Unternehmen, < 50 MA): 399 €/Monat = 4.788 €/Jahr
• Standard (50-200 MA): 500-900 €/Monat = 6.000-10.800 €/Jahr
• Premium (200-500 MA): 900-1.800 €/Monat = 10.800-21.600 €/Jahr
• Enterprise (500+ MA): 1.800-3.500 €/Monat = 21.600-42.000 €/Jahr

Die Entscheidungsmatrix

Vier Faktoren bestimmen die richtige Wahl:

Kriterium	Spricht für intern	Spricht für extern
Unternehmensgröße	Über 300 MA	Unter 300 MA
Fachexpertise im Haus	Compliance-Team vorhanden	Keine / wenig Expertise
Compliance-Komplexität	Reguliert (Finanz, KRITIS)	Standard-Branche
Budget	Personalbudget vorhanden	OpEx-Budget bevorzugt
Wachstumsphase	Stabil	Starkes Wachstum
Normen-Umfang	Viele (ISO 27001, 42001, NIS-2…)	Fokus auf 1-2 Normen
Unabhängigkeit	Nicht kritisch	Wichtig (z.B. Konflikt-Potential)

Praxisbeispiele: Welche Lösung für welches Unternehmen?

Beispiel 1: SaaS-Startup, 35 MA

Schnelles Wachstum, B2B-Software-as-a-Service, ISO 27001-Zertifizierung als Verkaufsbedingung. Kein Compliance-Mitarbeiter, IT-Team überlastet.

Empfehlung: Externer ISB ab 399 €/Monat. Spart Personalkosten, sofort einsetzbar, professionell.

Beispiel 2: Mittelständischer Hersteller, 120 MA

Produzierendes Gewerbe, plant ISO 27001 plus NIS-2, Qualitätsbeauftragter schon da. Geschäftsführer möchte Compliance sichtbar im Unternehmen.

Empfehlung: Hybrid-Modell. Interner ISB (Qualitätsbeauftragter erweitert Rolle, 20% Zeit), externer Retainer für Expertise und Audit-Vorbereitung. Gesamt ca. 800-1.000 €/Monat extern + anteilige interne Kosten.

Beispiel 3: Konzern-Tochter, 400 MA

Finanzdienstleister, stark regulatorisch (BAIT, DORA). Compliance-Team im Haus, eigener CISO.

Empfehlung: Intern. Konzern-Strukturen + Regulierungs-Tiefe erfordern tägliche Präsenz. Ein externer Retainer wäre unzureichend.

Beispiel 4: Tech-Unternehmen, 80 MA

Produktentwicklung, plant ISO 27001 und ISO 42001. Kein Compliance-Mitarbeiter, kein ISB-Know-how.

Empfehlung: Extern (~800 €/Monat). Zu klein für Vollzeit-ISB, zu viel Compliance für Nebenaufgabe. Externer Dienstleister bringt Expertise für beide Normen mit.

Beispiel 5: Agentur, 15 MA

Dienstleister, will ISO 27001 wegen Kundenanforderung. Sehr klein.

Empfehlung: Extern (Basis-Retainer ab 399 €/Monat). Vollzeit-ISB wäre absurd für diese Größe. Externer ISB ist hier die einzig wirtschaftliche Option.

Das Hybrid-Modell: Das Beste aus beiden Welten

Ein Modell, das sich in der Praxis etabliert hat:

Interner Ansprechpartner

Ein Mitarbeiter (Compliance-Officer, IT-Leiter, Qualitätsbeauftragter) ist „Chief Steward“ für Informationssicherheit mit 10-20% Zeitaufteilung.

Aufgaben: Koordination mit Abteilungen, tägliche Mikro-Entscheidungen, Führungskräfte-Kontakt, Incident-Erst-Aufnahme.

Externer ISB als Spezialist

Der externe Dienstleister übernimmt:

• Strategische ISMS-Entwicklung
• Risikoanalysen (jährlich)
• Audit-Vorbereitung
• Normänderungen tracken und integrieren
• Monatliche Steering-Calls
• Schulungsmaterialien
• Review kritischer Dokumente

Kombinierte Kosten

Für 100-150 MA: ca. 500-800 €/Monat extern + 15% Zeit eines internen Mitarbeiters (ca. 10.000 €/Jahr) = 16.000-19.600 €/Jahr.

Vergleich: Reine Internal-50%-Stelle = 50.000-65.000 €/Jahr.

Das Hybrid-Modell ist für viele KMU die wirtschaftlich optimale Lösung.

Die 5 häufigsten Fehler bei der ISB-Wahl

1. ISB als reine Dokumentations-Rolle degradiert

Manche Unternehmen sehen den ISB als Dokumentations-Mitarbeiter. Falsch. Der ISB steuert strategische Compliance-Entscheidungen. Wer ihn nur schreiben lässt, hat kein funktionierendes ISMS.

2. IT-Leiter = automatisch ISB

Der IT-Leiter ist oft der „nächste Kandidat“, aber nicht immer die beste Wahl. Interessenkonflikte: Er entwickelt und bewertet die IT zugleich. Trennung ist aus Audit-Sicht vorteilhaft.

3. Externer ISB ohne Briefing ins kalte Wasser geworfen

Ein externer ISB braucht initiale Einarbeitung (3-6 Monate), um das Unternehmen zu verstehen. Wer ihn am ersten Tag „mach mal“ lässt, bekommt generische Lösungen.

4. Internen ISB ohne Weiterbildung laufen lassen

Das ISMS-Feld ändert sich. Ein interner ISB ohne kontinuierliche Weiterbildung ist nach 2 Jahren veraltet. Budget für Schulungen einplanen: 2-5.000 €/Jahr.

5. Hybrid ohne klare Rollenabgrenzung

Wenn intern und extern parallel arbeiten, muss klar sein, wer was macht. Sonst entstehen Reibungsverluste.

Rechtliche Aspekte: Kann ein externer ISB die Pflicht erfüllen?

Ja. ISO 27001 verlangt eine benannte verantwortliche Person — die Rolle kann intern oder extern besetzt werden. Die Zertifizierungsstelle akzeptiert beide Modelle.

Wichtig: Der externe ISB darf nicht gleichzeitig die Organisation auditieren. Das wäre Interessenkonflikt. Trennung zwischen Beratung/Umsetzung (ISB) und Prüfung (Auditor) ist zwingend.

Wie Sie den richtigen externen ISB finden

Prüfen Sie bei Auswahl:

1. Referenzen: Hat der Dienstleister Unternehmen Ihrer Größe bereits betreut?
2. Branchenerfahrung: Kennt er Ihre Branche (B2B, regulierte Branche)?
3. Normen-Spektrum: Nur ISO 27001, oder auch NIS-2, DORA, TISAX, ISO 42001?
4. Skalierbarkeit: Kann er mit Ihrem Wachstum mitgehen?
5. Vertragsmodell: Kurze Kündigungsfrist (3-6 Monate)? Keine Mindestlaufzeit unter 12 Monaten.
6. Preisstruktur: Festpreis? Stunden-Cap? Was ist inklusive, was Zusatz?
7. Kommunikation: Feste Ansprechpartner oder rotierendes Team?

Zum Thema Fernarbeit und Hybrid

Post-Covid ist Remote-Arbeit Standard. Auch der ISB kann meist remote arbeiten. Nur wenige Aufgaben erfordern physische Präsenz:

• Stage-2-Audit (gelegentlich remote möglich, sonst Präsenz)
• Management-Review (hybrid möglich)
• Größere Workshops und Schulungen

Alle anderen Aufgaben (Reviews, Dokumentation, Analyse, Reporting) sind 100% remote möglich. Ein externer ISB ist damit quasi gleich einsatzfähig wie ein interner Mitarbeiter.

Fazit: Ihre Entscheidung in 3 Fragen

Beantworten Sie diese drei Fragen:

1. Unternehmensgröße: Haben Sie mehr oder weniger als 300 Mitarbeiter?
2. Compliance-Komplexität: Sind Sie in einer stark regulierten Branche?
3. Expertise intern: Haben Sie Mitarbeiter mit fundierter ISMS-Erfahrung?

Wenn Sie mindestens 2 von 3 Fragen mit „Ja“ beantworten: Intern oder Hybrid.

Wenn mindestens 2 von 3 „Nein“: Extern oder Hybrid.

Nächste Schritte

Drei konkrete Schritte:

1. Externer ISB prüfen: Unser externer ISB-Service ab 399 €/Monat — inkl. ISMS-Pflege, GF-Reporting, Audit-Vorbereitung.
2. Readiness-Check: Der ISO 27001 Readiness-Check (3 Min) zeigt Ihnen, wie weit Sie sind und wo Sie Unterstützung brauchen.
3. Erstgespräch: In 30 Minuten klären wir, ob ein externer ISB für Sie passt — unverbindlich und gratis.

Ein guter ISB — intern, extern oder hybrid — ist kein Kostenfaktor, sondern ein Risiko-Reduzierer. Wer strategisch entscheidet, spart mittelfristig mehr, als das Modell kostet.