· ISB · 2 min read
Externer vs. interner ISB: Ein ehrlicher Vergleich
Wann lohnt sich ein externer Informationssicherheitsbeauftragter? Ein Kostenvergleich mit allen Faktoren, die oft vergessen werden.
Die Ausgangsfrage
Braucht mein Unternehmen einen Informationssicherheitsbeauftragten? Und wenn ja: intern oder extern?
Diese Frage höre ich in nahezu jedem Erstgespräch. Die Antwort ist nicht pauschal möglich, aber die Entscheidungsgrundlagen lassen sich klar darstellen.
Wann ist ein ISB Pflicht?
Gesetzliche Anforderungen
- NIS-2: Betroffene Unternehmen müssen Verantwortlichkeiten für Informationssicherheit definieren
- KRITIS: Betreiber kritischer Infrastrukturen benötigen einen Sicherheitsbeauftragten
- Banken/Versicherungen: Aufsichtsrechtliche Anforderungen (MaRisk, VAIT, BAIT)
Vertragliche Anforderungen
- Kundenanforderungen in Ausschreibungen
- Lieferantenaudits großer Konzerne
- Cyber-Versicherungen mit Auflagen
Zertifizierungsanforderungen
- ISO 27001 erfordert definierte Verantwortlichkeiten
- BSI IT-Grundschutz setzt einen ISB voraus
Der Kostenvergleich: Interner ISB
Direkte Kosten pro Jahr
- Gehalt: 65.000 bis 95.000 Euro brutto
- Arbeitgeberanteil: ca. 20% = 13.000 bis 19.000 Euro
- Weiterbildung: 5.000 bis 10.000 Euro
- Tools und Lizenzen: 2.000 bis 5.000 Euro
Gesamtkosten: 85.000 bis 130.000 Euro pro Jahr
Versteckte Kosten
- Einarbeitung: 3 bis 6 Monate reduzierte Produktivität
- Recruiting: 15.000 bis 30.000 Euro (Headhunter, Anzeigen, Prozess)
- Fluktuation: Durchschnittlich alle 3 bis 4 Jahre Neubesetzung
- Vertretung: Urlaub, Krankheit, Kündigung
Risiken
- Fachkräftemangel: Gute ISBs sind schwer zu finden
- Betriebsblindheit nach einigen Jahren
- Interessenkonflikte bei internen Abhängigkeiten
Der Kostenvergleich: Externer ISB
Typische Modelle
Basispaket (kleines Unternehmen)
- 2 bis 4 Tage pro Monat
- 2.000 bis 4.000 Euro monatlich
- Jahreskosten: 24.000 bis 48.000 Euro
Standardpaket (Mittelstand)
- 4 bis 8 Tage pro Monat
- 4.000 bis 8.000 Euro monatlich
- Jahreskosten: 48.000 bis 96.000 Euro
Intensivpaket (Zertifizierungsprojekt)
- 8+ Tage pro Monat
- 8.000 bis 15.000 Euro monatlich
- Jahreskosten: 96.000 bis 180.000 Euro
Was im Paket enthalten ist
- Keine Sozialabgaben
- Keine Weiterbildungskosten
- Keine Recruiting-Kosten
- Vertretung inklusive
- Sofort einsatzbereit
- Breite Projekterfahrung
Wann extern, wann intern?
Extern sinnvoll bei:
- Unternehmen bis ca. 500 Mitarbeiter
- Schwankendem Aufwand (Audits, Projekte)
- Bedarf an unabhängiger Perspektive
- Überbrückung bis zur internen Besetzung
- Speziellen Compliance-Anforderungen
Intern sinnvoll bei:
- Großunternehmen mit konstantem Bedarf
- Sehr sensiblen oder geheimhaltungspflichtigen Bereichen
- Bedarf an täglicher Präsenz vor Ort
- Stark integrierten IT-Sicherheitsfunktionen
Hybridmodelle
Viele Unternehmen kombinieren:
- Intern: Koordination, tägliche Aufgaben
- Extern: Strategische Beratung, Audits, Spezialthemen
Der Elefant im Raum: Qualität
Ein preiswerter externer ISB, der nur Dokumente liefert, ist nicht günstiger als ein teurer, der echte Sicherheit schafft. Entscheidend ist:
- Verfügbarkeit bei Fragen und Vorfällen
- Pragmatische, umsetzbare Empfehlungen
- Verständnis für Ihr Geschäft
- Erfahrung in Ihrer Branche
Meine Empfehlung
Für die meisten mittelständischen Unternehmen ist der externe ISB die wirtschaftlichere Lösung. Sie erhalten:
- Sofortige Verfügbarkeit ohne Recruiting
- Flexible Skalierung nach Bedarf
- Breite Erfahrung aus vielen Projekten
- Unabhängige, externe Perspektive
- Kalkulierbare Kosten ohne Überraschungen
Lassen Sie uns Ihren Bedarf analysieren. In einer kostenfreien Erstberatung ermittle ich, welches Modell für Sie wirtschaftlich und organisatorisch am sinnvollsten ist.