IT-Sicherheitsbeauftragter: Pflicht, Aufgaben und Qualifikation

Geschäftsführer fragen mich häufig „Warum sollten diese Gesetzestexte für mich als Geschäftsführer wichtig sein?“ oder "Wann genau ist ein IT-Sicherheitsbeauftragter Pflicht?". Die Antwort darauf ist relativ simpel: weil sie sich sonst schnell in der persönlichen Haftung befinden. Dies gilt besonders dann, wenn sie sich nicht auf ein etwaiges Schadensrisiko vorbereitet haben, also zum Beispiel die IT Sicherheit in Ihrem Unternehmen nicht ausreichend implementiert worden ist. In diesem Beitrag erfahren Sie, welche gesetzliche Vorgaben gelten, welche Unternehmen betroffen sind und warum ein IT-Sicherheitsbeauftragter nicht nur eine rechtliche, sondern auch eine wirtschaftliche Notwendigkeit ist.

Was ist ein IT-Sicherheitsbeauftragter?

Ein IT-Sicherheitsbeauftragter, kurz ISB, ist die zentrale Verantwortungsperson für Informationssicherheit in einem Unternehmen. Er ist das Bindeglied zwischen Geschäftsführung, IT-Abteilung und Datenschutz. Während die IT-Abteilung den Betrieb der Systeme verantwortet, stellt der ISB sicher dass Sicherheit nicht nur technisch sondern auch strategisch und organisatorisch im Unternehmen verankert ist.

Zu seinen Kernaufgaben gehören der Aufbau und die Pflege eines Informationssicherheitsmanagementsystems (ISMS), die Durchführung von Risikoanalysen, die Vorbereitung und Begleitung von Audits wie ISO 27001 oder TISAX sowie das Reporting an die Geschäftsführung. Der ISB ist damit keine rein technische Rolle, sondern eine strategische Führungsaufgabe.

Gesetzliche Anforderungen zur IT Sicherheit im Allgemeinen

Grundsätzlich gibt es eine Vielzahl an Vorschriften und Gesetzesanforderungen an die IT. Dazu gehört beispielsweise das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Aktiengesetz, das GmbH-Gesetz oder das Handelsgesetzbuch, dort insbesondere § 317 Abs. 4. Basierend auf diesen Gesetzen ergeben sich für den Geschäftsführer entsprechende Pflichten in Sachen IT Sicherheit.

Diese Vorschriften verlangen, dass Geschäftsleitungen angemessene technische und organisatorische Maßnahmen zur Risikovermeidung treffen. Dazu gehört auch die Einführung eines Informationssicherheitsmanagementsystems (ISMS).

Eine Pflicht, einen IT-Sicherheitsbeauftragten im Unternehmen zu installieren, ist allerdings aus den zuvor genannten gesetzlichen Grundlagen nicht ganz so einfach abzuleiten, wie das zum Beispiel bei einem Datenschutzbeauftragten der Fall ist. Denn dieser wird vom Gesetzgeber in § 4f des Bundesdatenschutzgesetzes direkt gefordert.

Eine solche explizite gesetzliche Anforderung für einen IT-Sicherheitsbeauftragten ist hingegen nicht zu finden. Jedenfalls nicht für alle Unternehmen, worauf ich inhaltlich gleich noch näher eingehen werde.

Was sich allerdings aus den gesetzlichen Grundlagen ableiten lässt, ist eine direkte Verantwortung der Geschäftsführung für die IT Sicherheit im Unternehmen, die bis hin zu einer persönlichen Haftung Ihrerseits führen kann. Wenn man sich diesbezüglich professionell aufstellen will, kommt schnell der IT-Sicherheitsbeauftragte ins Spiel.

Wann ist ein IT-Sicherheitsbeauftragter Pflicht?

Eine gesetzliche Pflicht, einen IT-Sicherheitsbeauftragten zu benennen, besteht nicht für jedes Unternehmen. Dennoch gibt es klare Fälle, in denen die Rolle verpflichtend oder faktisch notwendig ist:

Welche Qualifikationen braucht ein IT-Sicherheitsbeauftragter?

Es gibt keine einheitlich vorgeschriebene Ausbildung für die Rolle. In der Praxis werden jedoch folgende Kenntnisse und Eigenschaften erwartet:

Fachlich sollte ein ISB fundiertes Wissen in IT-Sicherheit und Informationssicherheitsmanagement mitbringen, vertraut sein mit relevanten Normen wie ISO 27001, BSI IT-Grundschutz oder TISAX, und die aktuelle Bedrohungslage kennen. Rechtliche Grundkenntnisse zu DSGVO, NIS2 und branchenspezifischen Regularien sind ebenfalls wichtig.

Persönlich braucht es Kommunikationsstärke um zwischen technischer IT-Abteilung und Geschäftsführung vermitteln zu können, Unabhängigkeit von der IT-Abteilung um Interessenkonflikte zu vermeiden, und Durchsetzungsvermögen gegenüber allen Hierarchieebenen.

Anerkannte Zertifizierungen wie CISM, CISSP, ISO 27001 Lead Implementer oder BSI IT-Grundschutz-Praktiker belegen die fachliche Eignung, sind aber keine formale Voraussetzung.

Interner vs externer IT-Sicherheitsbeauftragter: Was ist der Unterschied?

Ein interner ISB ist Mitarbeiter des Unternehmens und kennt die internen Prozesse, Strukturen und die gewachsene IT-Landschaft gut. Das ist ein Vorteil bei der Umsetzung von Maßnahmen. Der Nachteil: Er steht häufig in einem Interessenkonflikt wenn er gleichzeitig operative IT-Verantwortung trägt, etwa als IT-Leiter oder Administrator. BSI und ISO 27001 empfehlen ausdrücklich eine klare Trennung dieser Rollen.

Ein externer ISB bringt Erfahrung aus verschiedenen Branchen mit, hat keinen Interessenkonflikt und kann sofort eingesetzt werden ohne dass das Unternehmen intern Kapazitäten aufbauen muss. Gerade für KMU ohne eigene Sicherheitsabteilung ist das oft die pragmatischere Lösung. BRANDMAUER IT übernimmt diese Rolle als externer Informationssicherheitsbeauftragter und bringt über 25 Jahre Praxiserfahrung im Mittelstand mit.

Welche Aufgaben hat ein IT-Sicherheitsbeauftragter?

Ein IT-Sicherheitsbeauftragter (ISB) ist Bindeglied zwischen Geschäftsführung, IT-Abteilung und Datenschutz. Zu seinen Aufgaben gehören u. a.:

• Aufbau und Pflege eines Informationssicherheitsmanagementsystems (ISMS)
• Risikoanalyse und Schwachstellenmanagement
• Definition und Umsetzung von Sicherheitsrichtlinien
• Sensibilisierung und Schulung der Mitarbeiter
• Vorbereitung und Begleitung von Audits (z.B. ISO 27001, TISAX)
• Reporting und Beratung der Geschäftsführung zu Sicherheitsmaßnahmen

Dadurch stellt der IT-Sicherheitsbeauftragte sicher, dass IT-Sicherheit nicht nur technisch, sondern auch strategisch und organisatorisch im Unternehmen verankert wird.

Fazit: Pflicht oder Verantwortung?

Ein IT-Sicherheitsbeauftragter ist nicht für alle Unternehmen gesetzlich vorgeschrieben, wird aber in immer mehr Branchen faktisch erforderlich. Gerade Geschäftsführer und IT-Leiter von KMU sollten die Position ernsthaft in Betracht ziehen. Nicht zuletzt, um Haftungsrisiken zu minimieren und das Vertrauen von Kunden, Partnern und Behörden zu stärken.

Normen wie die ISO 27001 oder VdS 3473 empfehlen ausdrücklich die Benennung eines ISB. Damit wird deutlich: Auch wenn keine explizite Pflicht besteht, gehört der IT-Sicherheitsbeauftragte zu den zentralen Pfeilern einer nachhaltigen und rechtssicheren IT-Strategie.

Nicht jedes Unternehmen verfügt intern über die notwendige Expertise oder Ressourcen. BRANDMAUER IT stellt erfahrene externe IT-Sicherheitsbeauftragte zur Verfügung, die Sie bei der Einführung und Umsetzung eines ISMS unterstützen können.