Plötzlich ohne ISB? So handeln Unternehmen der kritischen Infrastruktur richtig

In Deutschland gibt es viele Unternehmen, die zur sogenannten „kritischen Infrastruktur" gehören. Diese Unternehmen sind besonders wichtig – zum Beispiel Energieversorger, Wasserwerke, Verkehrsunternehmen oder Krankenhäuser. Damit diese sicher arbeiten, müssen sie strenge Vorgaben zum Thema Informationssicherheit einhalten. Ein wichtiger Teil davon ist ein sogenanntes ISMS (Informationssicherheits-Managementsystem) – und dafür gibt es eine zentrale Person: den Informationssicherheitsbeauftragten, kurz ISB.

Doch was passiert, wenn der ISB das Unternehmen verlässt? Das ist keine einfache Situation – denn der ISB ist für viele wichtige Aufgaben verantwortlich. In diesem Blogbeitrag erklären wir in einfacher Sprache, warum der ISB so wichtig ist, was beim Weggang passieren kann und wie Unternehmen richtig handeln.

Was macht ein ISB eigentlich genau?

Der ISB ist dafür zuständig, die Informationssicherheit im Unternehmen zu planen, umzusetzen und zu kontrollieren. Dazu gehören Aufgaben wie:

  • Sicherheitsrichtlinien erstellen
  • Mitarbeitende schulen
  • Sicherheitsvorfälle analysieren
  • Maßnahmen zur Verbesserung umsetzen
  • Ansprechpartner für Geschäftsführung, Behörden und Prüfstellen sein

Der ISB kennt sich mit Technik, Prozessen und gesetzlichen Vorgaben aus. Er ist oft schon viele Jahre im Unternehmen tätig und kennt alle internen Abläufe sehr gut.

Warum ist der ISB so wichtig für KRITIS-Unternehmen?

In Unternehmen der kritischen Infrastruktur spielt Sicherheit eine besonders große Rolle. Ein Angriff auf IT-Systeme, ein Datenleck oder ein Ausfall kann große Schäden anrichten – für das Unternehmen selbst und für die Gesellschaft.

Der ISB sorgt dafür, dass Risiken früh erkannt und behoben werden. Er ist ein zentraler Ansprechpartner für alle Fragen zur Sicherheit und sorgt dafür, dass Vorschriften eingehalten werden.

Ohne einen ISB fehlt diese zentrale Rolle. Es kann passieren, dass Sicherheitslücken übersehen werden oder wichtige Aufgaben liegen bleiben. Das kann gefährlich und teuer werden.

Was passiert, wenn der ISB das Unternehmen verlässt?

Wenn der ISB kündigt oder in Rente geht, steht das Unternehmen oft vor einem großen Problem. Denn es ist nicht einfach, einen passenden Nachfolger zu finden. Die wichtigsten Herausforderungen sind:

  • Fachkräftemangel: Es gibt zu wenig gut ausgebildete Experten für Informationssicherheit.
  • Keine interne Nachfolge: Oft findet sich niemand im Unternehmen, der die nötigen Kenntnisse und Erfahrungen mitbringt.
  • Zeitdruck: Bis ein neuer ISB gefunden oder ausgebildet ist, kann viel Zeit vergehen – in der das Unternehmen ohne Leitung im Bereich Sicherheit dasteht.

In dieser Zeit kann das ISMS leiden – oder sogar stillstehen.

Welche Möglichkeiten gibt es für die Nachbesetzung?

Es gibt verschiedene Wege, wie Unternehmen reagieren können. Hier einige sinnvolle Strategien:

1. Interne Nachfolge aufbauen

Das Unternehmen sucht sich eine geeignete Person im eigenen Haus – zum Beispiel aus der IT, dem Qualitätsmanagement oder dem Risikomanagement. Diese Person wird dann gezielt geschult und übernimmt Schritt für Schritt die Aufgaben des ISB.

Vorteile:

  • Die Person kennt das Unternehmen bereits
  • Loyalität und Motivation oft hoch
  • Wissen bleibt im Unternehmen

Nachteile:

  • Schulung und Einarbeitung brauchen Zeit
  • Anfängliche Unsicherheit möglich

2. Externe Unterstützung durch einen ISB

Es ist möglich, einen externen ISB über Dienstleister einzusetzen. Diese Person ist sofort verfügbar, bringt viel Erfahrung mit und kann die Aufgaben übergangsweise oder dauerhaft übernehmen.

Vorteile:

  • Schnelle Lösung ohne lange Einarbeitung
  • Zugriff auf Fachwissen und Erfahrung

Nachteile:

  • Höhere Kosten
  • Weniger Wissen über interne Abläufe

3. Kombination aus intern und extern (Hybridmodell)

Eine gute Möglichkeit ist auch eine Kombination: Ein interner Kandidat wird ausgebildet, während ein externer ISB das Unternehmen übergangsweise begleitet. So kann Wissen aufgebaut und gleichzeitig Sicherheit gewährleistet werden.

Was muss ein guter ISB können?

Ein ISB braucht mehr als nur technisches Wissen. Die Rolle ist vielseitig und anspruchsvoll. Hier die wichtigsten Fähigkeiten:

  • Technisches Wissen über IT, OT, Netzwerke, Sicherheitsstandards und Bedrohungen
  • Kenntnis von Normen wie ISO 27001 oder NIS-2
  • Organisationstalent, um Prozesse zu steuern
  • Kommunikationsstärke, um mit Mitarbeitenden und der Geschäftsleitung klar zu sprechen
  • Führungsfähigkeiten, um Teams zu leiten und Entscheidungen zu treffen
  • Belastbarkeit, da die Verantwortung groß ist

Ein ISB ist also nicht nur Techniker, sondern auch Manager, Berater und manchmal auch Krisenmanager.

Worauf sollte das Unternehmen achten?

Wenn der ISB geht, sollten Unternehmen einige Punkte beachten:

  1. Frühzeitig planen – schon bei Kündigung oder Vorahnung der Rente über Nachfolge nachdenken
  2. Stellvertreter ernennen – eine Vertretung sollte immer vorbereitet sein
  3. Wissen dokumentieren – Prozesse, Risiken, Zuständigkeiten und Kontakte festhalten
  4. Organisatorische Einbindung klären – der ISB sollte nicht gleichzeitig IT-Leiter oder Datenschutzbeauftragter sein
  5. Regelmäßige Schulung – damit Nachfolger schnell einspringen können

Was sind die Risiken, wenn der ISB fehlt?

Ein fehlender ISB ist nicht nur ein organisatorisches Problem – es kann echte Gefahren mit sich bringen:

  • Sicherheitslücken werden nicht erkannt
  • Rechtliche Vorgaben werden verletzt (zum Beispiel ISO 27001 oder NIS-2)
  • Bußgelder können drohen
  • Zertifizierungen könnten entzogen werden
  • Angriffe oder Ausfälle haben schwerwiegendere Folgen
  • Vertrauen von Partnern und Kunden sinkt

Deshalb ist es sehr wichtig, diese Rolle nicht lange unbesetzt zu lassen.

Best Practices: So gelingt der Übergang

Hier einige bewährte Tipps für Unternehmen:

Maßnahme Nutzen
Interne Schulung potenzieller Nachfolger Langfristige Sicherheit durch Wissen im Haus
Externe Unterstützung bei Personalengpass Sofortige Hilfe und Erfahrung
Aufbau einer Sicherheitskultur Mitarbeitende verstehen und unterstützen Maßnahmen
Nutzung digitaler Tools Erleichtert Aufgaben wie Dokumentation und Kontrolle
Regelmäßige Audits und Tests Frühzeitiges Erkennen von Schwächen


Der Weggang eines ISB ist ein großer Einschnitt – vor allem für Unternehmen der kritischen Infrastruktur. Doch mit guter Planung, rechtzeitiger Vorbereitung und gezieltem Handeln lässt sich die Lücke überbrücken. Die beste Lösung ist oft eine Mischung aus interner Nachfolge und externer Hilfe.

Wichtig ist vor allem: Die Rolle des ISB darf nicht unterschätzt werden. Sie sichert das Unternehmen – technisch, organisatorisch und rechtlich. Daher sollte die Nachbesetzung nicht aufgeschoben werden. Wer hier vorausschauend handelt, schützt sein Unternehmen und bleibt dauerhaft handlungsfähig und sicher.

Jetzt handeln!

Steht in Ihrem Unternehmen ein ISB-Wechsel an? Oder möchten Sie Ihre Sicherheitsorganisation verbessern? Dann nutzen Sie die Chance und lassen Sie sich beraten. Ob interne Schulung, externe Interimslösung oder kompletter Neuaufbau – es gibt passende Wege für jede Situation.

Sicherheit beginnt mit klarer Verantwortung. Sorgen Sie dafür, dass Ihre Strukturen zukunftssicher aufgestellt sind!

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 



×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Veröffentlichung von Mitarbeiterbildern nach der K...
IT-Sicherheitsvorfall – Schwachstellen melden

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.