Informationssicherheit ist Chefsache — das ist keine Floskel, sondern eine regulatorische Anforderung. ISO 27001 und NIS2 fordern explizit das Engagement der obersten Leitungsebene. In der Praxis scheitern viele ISMS-Projekte daran, dass Verantwortlichkeiten unklar sind oder die Geschäftsführung das Thema an die IT-Abteilung delegiert. Dieser Artikel klärt, wer welche Verantwortung trägt.
Die Rolle der Geschäftsführung
ISO 27001 Abschnitt 5 (Leadership) ist eindeutig: Die oberste Leitungsebene muss Verantwortung übernehmen. Konkret bedeutet das: IS-Politik verabschieden, Ressourcen bereitstellen, Informationssicherheitsziele festlegen, Wirksamkeit des ISMS sicherstellen und beim Management Review aktiv teilnehmen.
NIS2-Anforderung: Unter NIS2 haftet die Geschäftsführung persönlich für Cybersicherheitsmaßnahmen. Schulungen für Führungskräfte sind Pflicht.
Der Informationssicherheitsbeauftragte (ISB)
Der ISB (oder CISO in größeren Organisationen) koordiniert das ISMS operativ. Aufgaben: ISMS aufbauen und pflegen, Risikoanalysen koordinieren, interne Audits planen, Sicherheitsvorfälle managen, Schulungen organisieren und Geschäftsführung berichten. Der ISB muss ausreichend Kompetenz, Zeit und Autorität haben.
Fachabteilungen und Mitarbeiter
Jede Abteilung und jeder Mitarbeiter ist Teil des ISMS. Konkret: Assets benennen, Richtlinien einhalten, Sicherheitsvorfälle melden, an Schulungen teilnehmen. Asset-Owner sind für den Schutz ihrer Informationen verantwortlich und müssen regelmäßig mit dem ISB zusammenarbeiten.
Externer ISB als Alternative
Für KMU ohne interne Kapazität ist ein externer ISB eine effektive Alternative. Vorteile: sofortige Kompetenz, keine Einarbeitungszeit, oft günstiger als Festanstellung, unabhängig. APASEC bietet externen ISB-Service mit definierten Leistungsumfängen an.
✓ Checkliste: Wer ist für ein ISMS verantwortlich?
- Geschäftsführung hat IS-Politik verabschiedet
- ISB oder CISO formal benannt
- Vertretungsregelung für ISB definiert
- Asset-Owner für alle kritischen Informationen benannt
- Verantwortlichkeitsmatrix (RACI) für ISMS erstellt
- Eskalationswege für Sicherheitsvorfälle definiert
- Schulungsplan für alle Rollen existiert
- Management Review jährlich geplant
Fazit
Klare Verantwortlichkeiten sind das Fundament jedes ISMS. Die Geschäftsführung trägt die Gesamtverantwortung, der ISB koordiniert operativ, und alle Mitarbeiter sind Teil des Systems. Ohne diese Rollenklarheit kann kein ISMS dauerhaft funktionieren.
APASEC unterstützt Sie bei der professionellen Umsetzung — von der Gap-Analyse bis zur Zertifizierungsvorbereitung. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Ja — ISO 27001 Section 5 fordert das explizit. Geschäftsführung muss IS-Politik verabschieden, Ressourcen bereitstellen und am Management Review teilnehmen. Reine Delegation an IT reicht nicht.
ISB (Informationssicherheitsbeauftragter) ist der deutsche Begriff, CISO (Chief Information Security Officer) der internationale. ISB ist oft ein Koordinator, CISO typischerweise eine Führungskraft in größeren Organisationen mit mehr Budget- und Personalverantwortung.
Das ist möglich, aber nicht ideal — es entsteht ein Interessenkonflikt, da die IT oft auditierende und auditierte Instanz zugleich wäre. ISO 27001 fordert Unabhängigkeit bei internen Audits.
Das hängt von der Unternehmensgröße ab. In einem KMU mit 50 Mitarbeitern: 20–40% einer Vollzeitstelle. In einem Unternehmen mit 500 Mitarbeitern: eine Vollzeitstelle oder mehr.
ISO 27001 fordert nachgewiesene Kompetenz. In der Praxis bewähren sich: ISO 27001 Lead Implementer Zertifizierung, CISM, CISSP oder vergleichbare Qualifikationen. Erfahrung aus der Praxis ist wichtiger als einzelne Zertifikate.