Was kostet ein externer ISB? Preismodelle und Kostenfaktoren
Externer ISB Kosten: Von 1.400€ bis 5.000€/Monat – was beeinflusst den Preis? Transparenter Überblick über Preismodelle für den Mittelstand.
Die Frage nach den Kosten für einen externen Informationssicherheitsbeauftragten gehört zu den häufigsten in unseren Erstgesprächen. Wer online recherchiert, findet Angebote von 125 Euro bis 5.000 Euro pro Monat – eine Spanne, die mehr verwirrt als hilft. Dieser Artikel erklärt, warum diese Unterschiede existieren, was Sie für Ihr Geld erwarten können und wo seriöse Betreuung beginnt.
Warum die Preisspanne so groß ist
Der Markt für externe ISB-Dienstleistungen ist unübersichtlich. Anbieter mit 125 Euro Monatspauschale stehen neben Beratungen, die 3.000 Euro oder mehr verlangen. Der Grund: Die Leistungen dahinter unterscheiden sich fundamental.
Die Rechnung ist einfach: Bei einem marktüblichen Stundensatz von 120–180 Euro für qualifizierte Informationssicherheitsberater entspricht ein Angebot von 125 Euro pro Monat weniger als einer Stunde Betreuung. In dieser Zeit lässt sich weder ein ISMS aufbauen noch pflegen, keine Risikoanalyse durchführen und keine Geschäftsführung beraten.
Solche Angebote beinhalten in der Regel:
- Zugang zu einer Software-Plattform
- Vorlagen zum Selbstausfüllen
- Minimale telefonische Erreichbarkeit
Was sie nicht beinhalten: aktive Betreuung, strategische Beratung, Vor-Ort-Termine, Audit-Begleitung oder individuelle Risikoanalysen.
Was seriöse ISB-Betreuung kostet
Für eine professionelle Betreuung, die den Namen „externer Informationssicherheitsbeauftragter" verdient, sollten mittelständische Unternehmen mit folgenden Größenordnungen rechnen:
| Unternehmensprofil | Monatlicher Aufwand | Monatliche Kosten | Jährliche Kosten |
|---|---|---|---|
| Kleinunternehmen (bis 50 MA, einfache IT) | 4–6 Stunden | 800 – 1.200 € | 9.600 – 14.400 € |
| Mittelstand (50–250 MA) | 8–12 Stunden | 1.400 – 2.500 € | 16.800 – 30.000 € |
| Gehobener Mittelstand (250–500 MA) | 12–20 Stunden | 2.500 – 4.000 € | 30.000 – 48.000 € |
| Größere Unternehmen (500+ MA) | 20+ Stunden | ab 4.000 € | ab 48.000 € |
Diese Preise reflektieren den tatsächlichen Zeitaufwand für die Aufgaben eines ISB: strategische Beratung, ISMS-Pflege, Risikomanagement, Dokumentation, Schulungen und laufende Abstimmungen.
Welche Faktoren beeinflussen die Kosten?
1. Unternehmensgröße und Komplexität
Die Anzahl der Mitarbeiter, Standorte und IT-Systeme bestimmt den Betreuungsaufwand maßgeblich. Ein Unternehmen mit 80 Mitarbeitern an einem Standort benötigt weniger ISB-Kapazität als ein Unternehmen mit 200 Mitarbeitern an fünf Standorten mit heterogener IT-Landschaft.
Kostentreiber:
- Anzahl der Mitarbeiter (Schulungsbedarf, Richtlinien)
- Anzahl der Standorte (Vor-Ort-Termine, Koordination)
- Komplexität der IT-Infrastruktur
- Anzahl externer Dienstleister und Cloud-Services
2. Regulatorische Anforderungen
Die Compliance-Anforderungen variieren je nach Branche erheblich. Ein Unternehmen, das unter die NIS-2-Richtlinie fällt oder eine ISO 27001-Zertifizierung anstrebt, benötigt intensivere Betreuung als eines ohne spezifische regulatorische Vorgaben.
Typische Anforderungen und ihr Einfluss:
| Anforderung | Zusatzaufwand | Kosteneinfluss |
|---|---|---|
| Basis-ISMS ohne Zertifizierung | Gering | Standardpreis |
| ISO 27001-Zertifizierung | Hoch | +30–50 % |
| BSI IT-Grundschutz | Hoch | +30–50 % |
| NIS-2-Compliance | Mittel–Hoch | +20–40 % |
| KRITIS-Anforderungen | Sehr hoch | +50–100 % |
| Branchenspezifisch (DORA) | Mittel–Hoch | +20–50 % |
3. Aktueller Reifegrad der Informationssicherheit
Startet ein Unternehmen bei null, ist der anfängliche Aufwand für den Aufbau eines ISMS erheblich höher als bei einem Unternehmen mit bestehenden Strukturen. Viele Anbieter unterscheiden daher zwischen einer Aufbauphase und einer laufenden Betreuung. Wie aufwendig ein solcher Aufbau sein kann, zeigt unser Artikel ISMS implementieren: Warum ISO 27001 Zeit braucht.
4. Gewünschter Leistungsumfang
Die Aufgaben eines ISB sind vielfältig. Je nachdem, welche davon Sie extern vergeben, variieren die Kosten:
Basisleistungen (im Standardpreis enthalten):
- Strategische Beratung der Geschäftsführung
- Aufbau und Pflege des ISMS
- Risikomanagement
- Regelmäßige Jour-fixe-Termine
- Dokumentation und Richtlinien
Zusatzleistungen (oft separat berechnet):
- Mitarbeiterschulungen und Awareness-Kampagnen
- Vorbereitung und Begleitung von Zertifizierungsaudits
- Bearbeitung von Sicherheitsvorfällen
- Penetrationstests und Schwachstellenanalysen
- Unterstützung bei Kundenaudits
5. Vor-Ort-Präsenz vs. Remote-Betreuung
Die Häufigkeit von Vor-Ort-Terminen beeinflusst die Kosten. Eine überwiegend remote durchgeführte Betreuung ist kostengünstiger als regelmäßige Präsenztage. Für den Mittelstand hat sich ein hybrides Modell bewährt: regelmäßige Vor-Ort-Termine für wichtige Besprechungen, kombiniert mit Remote-Betreuung für das Tagesgeschäft.
Preismodelle im Vergleich
Modell 1: Monatliche Pauschale
Das gängigste Modell für die laufende Betreuung. Sie zahlen einen festen monatlichen Betrag, der ein definiertes Leistungspaket umfasst.
Vorteile:
- Planbare Kosten
- Keine Überraschungen
- Anreiz für effizienten Einsatz
Nachteile:
- Weniger Flexibilität bei Sonderanfragen
- Zusatzleistungen oft separat
Typische Preisspanne: 1.400 – 5.000 € pro Monat
Modell 2: Stundenkontingent
Sie buchen ein monatliches Stundenkontingent, das flexibel eingesetzt werden kann.
Vorteile:
- Hohe Flexibilität
- Transparente Abrechnung
- Anpassbar an schwankenden Bedarf
Nachteile:
- Kosten schwerer planbar
- Administrativer Aufwand für Zeiterfassung
Typische Stundensätze: 120 – 200 € pro Stunde
Modell 3: Projektbasierte Abrechnung
Für klar abgegrenzte Vorhaben wie den Aufbau eines ISMS oder die Vorbereitung auf ein Audit wird ein Festpreis vereinbart.
Vorteile:
- Klare Kostendeckelung
- Definiertes Ergebnis
- Gut kalkulierbar
Nachteile:
- Nur für abgegrenzte Projekte geeignet
- Änderungen oft kostenpflichtig
Typische Projektpreise:
- ISMS-Aufbau (Basis): 15.000 – 40.000 €
- ISO 27001-Vorbereitung: 20.000 – 50.000 €
- Gap-Analyse: 3.000 – 8.000 €
Kostenvergleich: Externer vs. interner ISB
Ein häufiges Argument gegen den externen ISB: „Ein interner Mitarbeiter ist günstiger." Diese Rechnung ignoriert versteckte Kosten und geht selten auf. Eine ausführliche Gegenüberstellung aller Vor- und Nachteile finden Sie in unserem Artikel Interner vs. externer ISB: Welches Modell passt?. Hier der reine Kostenvergleich:
Interner ISB (Vollzeit)
| Kostenart | Jährliche Kosten |
|---|---|
| Bruttogehalt (qualifizierter ISB) | 70.000 – 90.000 € |
| Arbeitgeberanteil Sozialversicherung (~21%) | 15.000 – 19.000 € |
| Weiterbildung, Zertifizierungen, Konferenzen | 5.000 – 10.000 € |
| Arbeitsplatz, IT-Ausstattung, Tools | 5.000 – 8.000 € |
| Recruiting (anteilig, bei 3 Jahren Verweildauer) | 5.000 – 10.000 € |
| Gesamtkosten pro Jahr | 100.000 – 137.000 € |
Externer ISB (typisches Mittelstandsunternehmen)
| Kostenart | Jährliche Kosten |
|---|---|
| Monatliche Pauschale (z. B. 1.800 €) | 21.600 € |
| Zusatzleistungen (Schulungen, Audits) | 5.000 – 10.000 € |
| Gesamtkosten pro Jahr | 26.600 – 31.600 € |
Ersparnis mit externem ISB: 70.000 – 105.000 € pro Jahr
Dieser Vergleich zeigt: Für Unternehmen, die keine Vollzeitstelle auslasten können – und das betrifft die meisten mittelständischen Betriebe –, ist der externe ISB die wirtschaftlich sinnvollere Lösung.
Der ROI von Informationssicherheit
Die Frage sollte nicht lauten „Was kostet ein ISB?“, sondern „Was kostet uns ein ISB im Verhältnis zu dem, was er verhindert?”
Schadenspotenziale ohne professionelle Informationssicherheit
| Schadensart | Typische Kosten |
|---|---|
| Ransomware-Angriff (KMU) | 50.000 – 500.000 € |
| Betriebsunterbrechung (pro Tag) | 10.000 – 100.000 € |
| DSGVO-Bußgeld | bis 20 Mio. € oder 4% des Jahresumsatzes |
| NIS-2-Bußgeld | bis 10 Mio. € oder 2% des Jahresumsatzes |
| Reputationsschaden | schwer quantifizierbar, oft existenzbedrohend |
| Verlorene Aufträge (fehlende Zertifizierung) | variabel, oft sechsstellig |
Ein Ransomware-Angriff auf ein mittelständisches Unternehmen verursacht im Durchschnitt Kosten von über 200.000 Euro – durch Lösegeldforderungen, Betriebsausfall, Wiederherstellung und Folgeaufwände. Die Jahreskosten für einen externen ISB entsprechen oft weniger als einem Zehntel dieses Betrags.
Der indirekte ROI
Neben der Schadensvermeidung generiert professionelle Informationssicherheit auch direkten Geschäftsnutzen:
- Wettbewerbsvorteile: Zertifizierungen wie ISO 27001 öffnen Türen bei Ausschreibungen und in regulierten Branchen
- Kundenvertrauen: Nachweisbare Sicherheitsstandards werden zunehmend von Geschäftspartnern gefordert
- Versicherungsprämien: Gut dokumentierte Sicherheitsmaßnahmen können zu günstigeren Cyberversicherungsprämien führen
- Prozesseffizienz: Ein strukturiertes ISMS verbessert oft auch andere Unternehmensprozesse
Versteckte Kosten: Worauf Sie achten sollten
Bei der Anbieterauswahl lohnt sich ein genauer Blick auf das Kleingedruckte:
Fragen Sie nach:
- Sind Anfahrtskosten im Preis enthalten?
- Wie werden Zusatzleistungen abgerechnet?
- Gibt es Mindestvertragslaufzeiten?
- Was passiert bei Personalwechsel beim Anbieter?
- Sind Tools und Software inklusive?
- Wie werden Sicherheitsvorfälle außerhalb der Geschäftszeiten behandelt?
Unsere Preisgestaltung
Transparenz ist uns wichtig. Unsere Leistungen als externer ISB beginnen bei 1.400 € pro Monat für mittelständische Unternehmen. Dieser Preis entspricht einer Betreuung von etwa 8–10 Stunden monatlich und umfasst:
- Strategische Beratung der Geschäftsführung
- Aufbau und Pflege des ISMS
- Durchführung von Risikoanalysen
- Erstellung und Aktualisierung von Richtlinien und Dokumentation
- Regelmäßige Jour-fixe-Termine (Remote oder vor Ort)
- Bearbeitung laufender Anfragen
- Unterstützung bei Kundenaudits und Lieferantenbewertungen
Für Unternehmen mit höheren Anforderungen – etwa durch NIS-2-Pflichten, angestrebte ISO 27001-Zertifizierung oder komplexe IT-Landschaften – passen wir den Betreuungsumfang entsprechend an.
Zusatzleistungen wie umfangreiche Mitarbeiterschulungen, Zertifizierungsvorbereitung, Penetrationstests oder die Bearbeitung von Sicherheitsvorfällen werden projektbezogen vereinbart.
Für eine individuelle Kostenschätzung vereinbaren Sie ein kostenloses Erstgespräch.
Woran Sie seriöse Angebote erkennen
Bei der Anbieterauswahl helfen diese Fragen:
Transparenz:
- Ist klar definiert, welche Leistungen enthalten sind?
- Wie viele Stunden aktive Betreuung sind im Preis enthalten?
- Wie werden Zusatzleistungen abgerechnet?
Qualifikation:
- Welche Zertifizierungen haben die Berater?
- Wie viel praktische Erfahrung bringen sie mit?
Praxistauglichkeit:
- Gibt es regelmäßige Jour-fixe-Termine?
- Sind Vor-Ort-Termine im Preis enthalten?
- Wie ist die Erreichbarkeit bei dringenden Fragen?
Leistungsumfang:
- Wird das ISMS aktiv gepflegt oder nur Software bereitgestellt?
- Wer führt die Risikoanalysen durch?
- Wer erstellt die Dokumentation?
Auch für die Erfüllung von Cyberversicherungs-Obliegenheiten ist die Qualität der ISB-Betreuung entscheidend. Im Schadensfall prüfen Versicherer genau, ob die vereinbarten Sicherheitsmaßnahmen tatsächlich umgesetzt wurden.
Qualität hat ihren Preis – und zahlt sich aus
Die Kosten für einen externen ISB sollten nicht isoliert betrachtet werden. Entscheidend ist das Verhältnis von Investition zu Nutzen:
- Vermiedene Schäden durch Cyberangriffe, Datenverluste und Compliance-Verstöße
- Ersparte Kosten gegenüber einer internen Vollzeitstelle
- Gewonnene Geschäftschancen durch Zertifizierungen und nachweisbare Sicherheitsstandards
Für den gehobenen Mittelstand – unsere Zielgruppe – beginnt seriöse ISB-Betreuung bei etwa 1.400 Euro pro Monat. Angebote, die deutlich darunter liegen, sollten kritisch hinterfragt werden: Was genau ist in dem Preis enthalten? Und reicht das aus, um Informationssicherheit nicht nur zu dokumentieren, sondern tatsächlich zu leben?