Interner vs. Externer Informationssicherheitsbeauftragte
Interner vs. Externer Informationssicherheitsbeauftragte
Der Informationssicherheitsbeauftragte kann entweder intern im eigenen Unternehmen ernannt werden oder auch als externer Berater und Dienstleister zur Seite stehen. Es gibt inzwischen unzählige Anbieter, die Unternehmen einen externen ISB als Service bereitstellen und den Einsatz eines solchen somit deutlich einfacher werden lassen.
Sowohl der interne als auch der externe Informationssicherheitsbeauftragte besitzt dabei gewisse Vor- aber natürlich ebenso ein paar Nachteile. Um diese Vor- und Nachteile soll es im Folgenden nun noch einmal genauer gehen. Schließlich beeinflussen Sie maßgeblich die Entscheidung, ob ein interner oder externer ISB im Unternehmen ernannt wird. Was davon ist besser und was ergibt in Ihrem Fall vielleicht mehr Sinn? Genau das möchten wir gemeinsam mit Ihnen herausfinden, indem wir Ihnen hier alles Wissenswerte zu den beiden Modellen des ISB erläutern werden.
Hauptunterschiede eines internen und externen ISB
Während der interne ISB direkt im Unternehmen angestellt ist, die Strukturen und Prozesse also bestmöglich kennt und jederzeit erreichbar ist, sieht die Sache bei einem externen ISB natürlich schon ganz anders aus. Der externe ISB agiert weitestgehend unabhängig, verfügt dafür aber über ein hohes Maß an Fachwissen, ist dabei jedoch weniger in die internen Abläufe eines Unternehmens eingeweiht als ein interner ISB. Das kann Vor- und Nachteil zugleich sein.
Der interne ISB besitzt allgemein also mehr Vertrauen im Unternehmen, ist hinlänglich bekannt und jederzeit sofort erreichbar. Seine Loyalität und sein Engagement sollten besonders groß sein, denn er ist fest angestellt und hat tagtäglich mit den Mitarbeitern und der Führungsebene zu tun. Während der externe ISB häufig über viel Erfahrung aus verschiedenen Bereichen verfügt und flexibel eingesetzt werden kann. Somit sprengt dieser auch keine Budgets, sondern lässt sich agil einbinden, wann immer Bedarf besteht.
Doch schauen wir uns die Vor- und Nachteile des internen und auch des externen Informationssicherheitsbeauftragten noch einmal genauer an. Stellen wir sie doch einfach einmal gegenüber, um herauszufinden, wo die Stärken und Schwächen der jeweiligen Arbeitsweisen zu finden sind. Denn beides kann, je nach Unternehmensart und Unternehmensgröße, durchaus Sinn ergeben. Pauschal zu sagen, dass der externe ISB besser oder schlechter als der interne ISB ist, wäre demnach ein Trugschluss.
Vorteile und Nachteile eines INTERNEN Informationssicherheitsbeauftragten
- Durch direkteren Zugang zum Unternehmen selbst und vertraulichen Informationen ist der interne ISB besser darin, sehr spezifische und zum Unternehmen passende Strategien zu entwickeln. Er kennt das Unternehmen und ist Teil der Firmenkultur.
- Langfristig ergibt ein interner Informationssicherheitsbeauftragter daher häufig eine Menge Sinn, da sich dieser uneingeschränkt auf das jeweilige Unternehmen und seine Anforderungen konzentrieren kann.
- Ein interner ISB kennt die Unternehmenskultur besonders gut und weiß daher auch, wo es potenzielle Schwachstellen oder Probleme geben könnte und worauf er gesondert achten muss. Auch das ist ein klarer Vorteil.
- Durch die tiefe Integration und das hohe Verständnis kann der interne ISB die Geschäftsführung sehr genau auf dem Laufenden halten und kurzfristig Maßnahmen umsetzen oder Probleme kommunizieren, die sonst erst eine Rücksprache mit dem externen ISB verlangen würden.
- Potenziell fehlt dem internen ISB allerdings oft die Sicht von Außen oder die breitere Perspektive auf das große Ganze, weshalb eine Art Betriebsblindheit herrschen kann. Seine Kenntnis des Unternehmens wird dann zum Nachteil, da er nicht mehr objektiv genug agiert oder sich gegenüber Führungskräften und Mitarbeitern verpflichtet fühlt.
- Ein interner ISB muss dauerhaft weitergebildet und geschult werden, um stets auf dem neuesten Stand der Dinge zu sein. Das kostet mitunter viel Geld und ist eine entsprechend größere Investition, als es bei einem externen ISB der Fall wäre, der sich dieses Wissen selbstständig aneignet. Die Fixkosten sind natürlich ebenfalls deutlich höher.
Vorteile und Nachteile eines EXTERNEN Informationssicherheitsbeauftragten
- Der externe Informationssicherheitsbeauftragte hat meist besonders viel Erfahrung, da er dauerhaft in vielen verschiedenen Unternehmen arbeitet und entsprechend stark involviert ist. Somit kennt er mehr als nur einen Bereich, hat mit unzähligen Problemen zu tun und kann das Wissen aus seiner Arbeit mit allen Unternehmen gleichermaßen teilen.
- Dem externen ISB fehlen im Akutfall oft Informationen, die er sich im Unternehmen dann erst einmal beschaffen muss, was bei einem internen ISB nicht der Fall wäre. Dieser hätte sofort Zugriff und auch das Wissen darüber, was im Unternehmen vor sich geht, wäre bereits vorhanden. Der externe ISB hingegen ist weniger stark involviert und hat dadurch dann auch weniger Verständnis für die Unternehmenspolitik und die Reaktionen einzelner Mitarbeiter.
- Die Kosten für einen externen ISB lassen sich wesentlich besser einplanen und es handelt sich nicht um eine Festanstellung, weshalb der Wechsel entsprechend leicht fällt. Meist arbeitet ein externer ISB entweder projekt- oder zeitbasiert im jeweiligen Unternehmen. Das macht die Zusammenarbeit unglaublich flexibel.
- Das Engagement eines externen ISB ist natürlich anders als das eines internen ISB, der als Kollege agiert und inhouse arbeitet, also auch täglich gesehen wird und sich unter Umständen persönlich rechtfertigen muss. Bei einem externen ISB wird ein Service gebucht und Sie bekommen, wofür Sie bezahlen. Alles ganz objektiv, ohne persönliche Bindung.
- Die Sichtweise eines externen ISB ist besonders nüchtern, weil er im Unternehmen nicht gesondert involviert ist. Sein Bericht ist daher unabhängig und objektiv, was ebenfalls sehr wertvoll sein kann. Die unvoreingenommene Perspektive und der Blick von Außen sind definitiv vorteilhaft im Bereich der Informationssicherheit, wo oft eine Art Betriebsblindheit herrschen kann.
- Auf lange Sicht verursacht ein externer ISB natürlich deutlich höhere Kosten als ein interner ISB, ist gleichzeitig aber flexibler, sodass Verträge und Umfang seiner Arbeit frei gewählt werden können.
- Kommt es kurzfristig zu einem Problem, kann es sein, dass der externe ISB nicht direkt verfügbar ist. Jedenfalls nicht so schnell, wie es bei einem internen ISB der Fall wäre.
- Ein externer ISB bildet sich eigenständig fort, besitzt Zertifikate oder weiteres Wissen, welches er sich selbstständig aneignet. Seine Kenntnis und seine Arbeit sind zugleich auch seine Referenz. Dementsprechend bestrebt ist er, immer wieder auch neueste Trends und Änderungen zu verstehen. Das ist bei einem internen ISB anders, denn der muss vom Unternehmen fortgebildet werden, was mitunter auch wieder Geld kostet und dazu führt, dass neue Technologien erst deutlich später eingesetzt werden.
Entscheidungskriterien für einen internen oder externen ISB
Wir haben Ihnen oben nun jede Menge Vor- aber auch viele Nachteile bezüglich des internen vs. externen Informationssicherheitsbeauftragten genannt. Wie die Entscheidung ausfällt, hängt stark von den eigenen Voraussetzungen im jeweiligen Unternehmen ab, aber auch vom akuten Bedarf und dem gewünschten Umfang der Leistung.
Ein interner ISB ist besonders nah dran und kennt alle Abläufe und Eigenheiten eines Unternehmens. Das kann ein Vor- wie auch Nachteil sein. Der externe ISB hingegen besitzt die objektive Sicht von außen, blickt also mit etwas Abstand auf ein Unternehmen. Zudem mangelt es ihm nicht an Fachwissen und Erfahrung, da er für gewöhnlich bereits in vielen unterschiedlichen Arten von Unternehmen aktiv war. Auch das kann ein entscheidender Vorteil sein, wenn es um die nüchterne Bewertung und Umsetzung der Informationssicherheit geht.
Am Ende sind die finanziellen Ressourcen im eigenen Unternehmen ebenso wichtig für die Entscheidungsfindung wie die Tiefe der Integration. Es lässt sich nur schwer eine Empfehlung aussprechen, da beides seine absolute Daseinsberechtigung hat und, je nach Anwendungsfall, eben Sinn ergibt. Für den Anfang scheint ein externer ISB aber definitiv flexibler zu sein. Dieser muss weder eingearbeitet noch fortgebildet werden und hilft Ihnen dabei, Ihre Ziele im Bereich der Informationssicherheit schnell und professionell zu erreichen.
Marktplatz IT-Sicherheit: weitere Angebote
Beiträge IT-Sicherheit
News
IT-Sicherheit-News
Artikel
IT-Sicherheit-Artikel
Blog
IT-Sicherheit-Blogeinträge
Whitepaper
IT-Sicherheit-Whitepaper
Videos
ITS-Couch: IT-Sicherheit-Videos
Podcasts
ITS-Couch: IT-Sicherheit-Podcasts
Ratgeber IT-Sicherheit
Cyber-Risk-Check
Hilfestellungen IT-Sicherheit
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar
Glossar Cyber-Sicherheit
Buch Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”
Datenschutz
Diskussionsforum
Penetrationstests
Diskussionsforum
NIS2
Diskussionsforum
Stand der Technik
Diskussionsforum
It-Supply Chain Security
Diskussionsforum
IT-Sicherheitstools
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
Interaktive Listen
IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
Informationssicherheitsbeauftragter
Kontaktdaten von IT-Sicherheitsanbietern
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern
Der Datenschutzbeauftragte (DSB)
Kontaktdaten von IT-Sicherheitsanbietern
Zertifikate IT-Sicherheit
Personenzertifikate
Interaktive Liste
