Wer sich mit Informationssicherheit beschäftigt, stößt früher oder später auf die Rolle des Informationssicherheitsbeauftragten – kurz ISB. In vielen Unternehmen ist diese Position gesetzlich oder regulatorisch vorgeschrieben, in anderen wird sie freiwillig geschaffen, um dem Thema einen festen Platz zu geben. Der ISB ist dabei ein merkwürdiges Zwitterwesen: Er ist weder reiner Technikexperte noch bloßer Verwalter von Richtlinien. Er ist ein Übersetzer zwischen Welten, ein Vermittler zwischen Geschäftsleitung und IT, ein Wächter über Regeln – und manchmal auch ein Feuerwehrmann, wenn etwas brennt. Gleichzeitig ist er Architekt, der langfristige Strukturen entwirft, um das Haus der Informationssicherheit stabil und zukunftsfähig zu machen.
Der Vergleich mit der Feuerwehr liegt nahe, weil der ISB oft dann ins Rampenlicht gerät, wenn ein Sicherheitsvorfall eintritt. Ein Hackerangriff, ein Datenleck, eine Phishing-Welle – plötzlich fragen alle nach dem ISB. Er muss in solchen Situationen schnell handeln, die Lage einschätzen, Sofortmaßnahmen einleiten und gleichzeitig nach außen – etwa zu Geschäftsführung, Datenschutzbehörde oder Medien – klare Informationen liefern. Diese Rolle als Krisenmanager erfordert Ruhe, Überblick und die Fähigkeit, in kürzester Zeit Entscheidungen zu treffen, die nicht nur technisch, sondern auch organisatorisch sinnvoll sind. Ein ISB muss im Ernstfall wissen, welche Systeme priorisiert geschützt oder wiederhergestellt werden, wie Kommunikationsketten verlaufen und welche Pflichten zur Meldung bestehen. Er ist derjenige, der im Chaos einen klaren Kopf bewahrt – und dafür sorgt, dass aus einem Vorfall keine existenzbedrohende Krise wird.
Doch wer den ISB nur als Feuerwehrmann sieht, greift zu kurz. Sein eigentlicher Wert für das Unternehmen liegt in der Rolle des Architekten. Ein Architekt plant vorausschauend, entwirft Strukturen, die nicht nur für den Normalbetrieb geeignet sind, sondern auch Belastungen standhalten. Übertragen auf die Informationssicherheit bedeutet das: Der ISB entwickelt Konzepte, Richtlinien und Prozesse, die Sicherheitsrisiken minimieren, bevor sie zu Vorfällen werden. Er baut ein Informationssicherheits-Managementsystem (ISMS) auf, das zu den Geschäftszielen passt, Risiken systematisch erfasst und kontinuierlich verbessert wird. Dabei muss er strategisch denken und die Balance zwischen Sicherheitsanforderungen und wirtschaftlicher Effizienz wahren. Zu viel Sicherheit kann Geschäftsprozesse lähmen, zu wenig Sicherheit kann das Unternehmen gefährden – der ISB bewegt sich täglich auf diesem schmalen Grat.
Diese Doppelfunktion erfordert ein außergewöhnlich breites Kompetenzprofil. Ein ISB muss genug technisches Wissen besitzen, um die Sprache der Administratoren, Netzwerkspezialisten und Entwickler zu sprechen. Gleichzeitig braucht er ein tiefes Verständnis für rechtliche Rahmenbedingungen, Normen und Standards wie ISO 27001 oder den BSI IT-Grundschutz. Er muss Risiken bewerten, Budgets argumentieren, Mitarbeitende sensibilisieren und die Aufmerksamkeit des Managements gewinnen – oft in Konkurrenz zu anderen Projekten, die kurzfristig wichtiger erscheinen. Er ist also auch ein Kommunikator und manchmal ein Diplomat, der zwischen widerstreitenden Interessen vermittelt.
In der Praxis sieht das so aus: Morgens diskutiert der ISB mit der IT-Abteilung über die Einführung einer Multi-Faktor-Authentifizierung, mittags präsentiert er dem Vorstand die Ergebnisse einer Risikoanalyse, und am Nachmittag hält er eine Schulung für Mitarbeitende, um sie für Phishing-Angriffe zu sensibilisieren. Dazwischen beantwortet er Fragen der Personalabteilung zum sicheren Umgang mit Bewerberdaten, prüft die Sicherheitsklauseln in einem neuen Lieferantenvertrag und dokumentiert die Ergebnisse eines internen Audits. Kein Tag ist wie der andere, und oft muss der ISB zwischen operativen Notwendigkeiten und langfristigen Projekten jonglieren.
Besonders heikel ist die Position, weil der ISB zwar Verantwortung trägt, aber oft keine direkte Weisungsbefugnis hat. Er kann Empfehlungen geben, Richtlinien entwerfen, Risiken aufzeigen – doch ob seine Vorschläge umgesetzt werden, hängt vom Rückhalt durch die Geschäftsführung ab. Deshalb ist die Unterstützung von ganz oben entscheidend. Ein ISB, der vom Vorstand ernst genommen wird, kann Veränderungen anstoßen, Ressourcen sichern und Sicherheitskultur entwickeln. Ohne diesen Rückhalt wird er schnell zum „Mahner in der Wüste“, der zwar Probleme benennt, aber keine Wirkung entfalten kann.
Die Feuerwehr-Rolle und die Architekten-Rolle sind keine Gegensätze, sondern ergänzen sich. Die beste Feuerwehr ist die, die selten ausrücken muss – weil der Architekt gute Arbeit geleistet hat. Wenn der ISB seine Aufgabe gut erfüllt, treten Vorfälle seltener auf, und wenn sie eintreten, ist das Unternehmen vorbereitet. Dazu gehören klare Notfallpläne, geübte Kommunikationsketten, redundante Systeme und ein Bewusstsein bei allen Mitarbeitenden, wie sie im Ernstfall handeln müssen. Hier schließt sich der Kreis: Der ISB ist nicht nur für Systeme zuständig, sondern für Menschen, Prozesse und Strukturen. Informationssicherheit ist immer auch eine Frage der Kultur – und der ISB ist einer ihrer wichtigsten Gestalter.
In regulierten Branchen ist die Rolle des ISB besonders klar definiert. Banken, Versicherungen, Energieversorger und Behörden unterliegen strengen Vorgaben, die den Aufgabenbereich des ISB festschreiben. Hier wird genau festgelegt, welche Berichte er erstellen muss, wie oft Risikoanalysen zu aktualisieren sind und welche Meldungen bei Vorfällen abzugeben sind. Doch auch in weniger regulierten Umfeldern wird die Bedeutung des ISB zunehmend erkannt – nicht zuletzt, weil Kunden, Partner und Versicherer immer häufiger Nachweise für ein funktionierendes Sicherheitsmanagement verlangen.
Der ISB ist damit ein Schlüsselspieler in der modernen Unternehmenslandschaft. Er ist derjenige, der die Brücke schlägt zwischen strategischer Unternehmensführung und operativer Sicherheitspraxis. Er sorgt dafür, dass Informationssicherheit nicht nur auf dem Papier existiert, sondern im Alltag funktioniert. Er erkennt neue Bedrohungen, bevor sie zur Krise werden, und entwickelt Strukturen, die das Unternehmen widerstandsfähig machen. Und wenn es doch brennt, ist er zur Stelle, um den Schaden zu begrenzen und die richtigen Schritte einzuleiten.
Am Ende ist der ISB weder reiner Feuerwehrmann noch reiner Architekt. Er ist beides – und genau das macht seine Rolle so anspruchsvoll. Er muss kurzfristig reagieren und langfristig planen, technische Details verstehen und strategische Ziele im Blick behalten, Einzelmaßnahmen umsetzen und gleichzeitig das große Ganze gestalten. Ohne ihn bleibt Informationssicherheit Stückwerk. Mit ihm kann sie zu einem integrierten Bestandteil der Unternehmensstrategie werden – und genau das ist in einer Welt, in der digitale Risiken immer komplexer und vernetzter werden, unverzichtbar.