ISB einstellen oder extern vergeben? Besetzungsmodelle im Vergleich

Seit das NIS-2-Umsetzungsgesetz in Kraft ist, stehen viele mittelständische Unternehmen vor einer konkreten Frage: Wer übernimmt die Verantwortung für die Informationssicherheit? Die naheliegende Reaktion – eine Stellenanzeige schalten oder einen Headhunter beauftragen – ist nicht immer die wirtschaftlichste Lösung. Denn zwischen einer internen Vollzeitstelle und einem externen Informationssicherheitsbeauftragten (ISB) liegen nicht nur erhebliche Kostenunterschiede, sondern auch grundlegend verschiedene Betriebsmodelle.

Dieser Artikel stellt beide Optionen neutral gegenüber: mit konkreten Gehaltszahlen, einer Vollkostenrechnung und einer Entscheidungsmatrix, die zeigt, welches Modell für welche Unternehmensgröße sinnvoll ist.

Was ein Informationssicherheitsbeauftragter im Unternehmen leistet

Ein Informationssicherheitsbeauftragter (ISB) ist die zentrale Ansprechperson für alle Fragen der Informationssicherheit in einer Organisation. Die Rolle ist im BSI-Standard 200-2 definiert und umfasst die Steuerung des Informationssicherheitsmanagementsystems (ISMS), Risikoanalysen, Maßnahmenumsetzung, Schulungen und die Berichterstattung an die Geschäftsleitung.

Wichtig ist die Abgrenzung zu verwandten Rollen: Der ISB arbeitet operativ und koordiniert die Umsetzung. Ein CISO (Chief Information Security Officer) agiert dagegen auf strategischer Ebene mit Budgetverantwortung und direktem Zugang zum Vorstand. Ein Datenschutzbeauftragter (DSB) wiederum deckt ausschließlich den personenbezogenen Datenschutz nach DSGVO ab – die Informationssicherheit geht deutlich darüber hinaus.

Gut zu wissen: Eine gesetzliche Pflicht zur Bestellung eines ISB besteht allgemein nicht. Faktisch ist die Rolle jedoch unverzichtbar, sobald ein Unternehmen ein ISMS nach ISO 27001 betreibt, unter NIS-2 fällt oder von Geschäftspartnern Sicherheitsnachweise gefordert werden. Für KRITIS-Betreiber ist die Rolle seit jeher verpflichtend.

Interner ISB: Gehalt, Vollkosten und Herausforderungen

Gehaltsübersicht für Informationssicherheitsbeauftragte in Deutschland

Die Gehälter für ISB-Positionen variieren erheblich nach Erfahrung, Region und Unternehmensgröße. Die folgende Übersicht basiert auf den Daten der großen Gehaltsportale (StepStone, Glassdoor, jobvector; Stand Anfang 2025):

Erfahrungsstufe	Jahresgehalt brutto	Monatlich brutto
Einstieg (0–2 Jahre)	53.000–62.000 €	4.400–5.200 €
Berufserfahren (3–5 Jahre)	62.000–73.000 €	5.200–6.100 €
Senior (5+ Jahre)	73.000–90.000 €	6.100–7.500 €
Mit Personalverantwortung	80.000–115.000 €	6.700–9.600 €

Zum Vergleich: Ein CISO bewegt sich in einer Gehaltsspanne von 100.000 bis 180.000 € brutto pro Jahr – in Konzernen und regulierten Branchen auch deutlich darüber.

Die regionalen Unterschiede sind beträchtlich. In wirtschaftsstarken Regionen wie München, Frankfurt oder Stuttgart liegen die Gehälter 10–15 % über dem Bundesdurchschnitt. In ostdeutschen Bundesländern fallen sie entsprechend niedriger aus.

Vollkosten einer internen ISB-Stelle

Das Bruttogehalt ist nur ein Teil der tatsächlichen Kosten. Für eine realistische Kalkulation müssen sämtliche Nebenkosten berücksichtigt werden:

Kostenposition	Jährliche Kosten
Bruttogehalt (Median)	65.000–80.000 €
Arbeitgeberanteil Sozialversicherung (~21 %)	13.650–16.800 €
Urlaubs- und Weihnachtsgeld (sofern üblich)	5.000–10.000 €
Weiterbildung und Zertifizierungen	3.000–8.000 €
Arbeitsplatzkosten (anteilig)	3.000–6.000 €
Laufende Kosten pro Jahr	89.650–120.800 €

Hinzu kommen einmalige Kosten im ersten Jahr:

Einmalige Kosten	Betrag
Recruiting (intern oder Personalberater)	5.000–24.000 €
Einarbeitung (3–6 Monate reduzierte Produktivität)	15.000–30.000 €
Gesamtkosten im ersten Jahr	109.650–174.800 €

Der Posten „Recruiting" verdient besondere Aufmerksamkeit: Spezialisierte Headhunter für IT-Security-Positionen berechnen in der Regel 20–30 % des Jahresgehalts. Bei einem Gehalt von 80.000 € sind das 16.000–24.000 € – allein für die Vermittlung.

Wann eine interne Besetzung sinnvoll ist

Eine Festanstellung als ISB ist dann die richtige Wahl, wenn die folgenden Voraussetzungen zutreffen: Das Unternehmen hat mehr als 250 Mitarbeiter und entsprechend komplexe IT-Strukturen. Die Informationssicherheit erfordert eine tägliche operative Präsenz. Es besteht eine langfristige regulatorische Verpflichtung (z. B. als KRITIS-Betreiber). Interne IT-Security-Teams sind vorhanden und benötigen eine koordinierende Führungsrolle. Budget und organisatorische Strukturen erlauben eine Vollzeitstelle mit direktem Berichtsweg zur Geschäftsleitung.

Die Realität: Fachkräftemangel und Besetzungsdauer

Der Markt für Informationssicherheitsexperten ist angespannt. Laut aktuellen Stellenauswertungen auf Indeed und StepStone sind in Deutschland permanent mehrere hundert ISB-Positionen offen. Die durchschnittliche Besetzungsdauer liegt bei 3–6 Monaten – bei spezialisierten Headhuntern wie TechMinds werden 90 Tage als Benchmark genannt.

In dieser Zeit hat das Unternehmen keine dedizierte Informationssicherheits-Kompetenz. Für Betriebe, die unter NIS-2 fallen und ihre Registrierungspflicht erfüllen müssen, ist das ein Problem: Die Uhr läuft, aber die Stelle ist unbesetzt.

Externer ISB: Kosten, Vorteile und Grenzen

Kostenvergleich: Intern vs. extern

Ein externer ISB arbeitet in der Regel auf Basis eines monatlichen Retainers. Der Umfang richtet sich nach der Unternehmensgröße und dem Reifegrad der bestehenden Sicherheitsmaßnahmen. Die folgende Tabelle stellt die Modelle für drei typische Unternehmensgrößen gegenüber:

Merkmal	Interner ISB (Vollzeit)	Externer ISB (2 Tage/Monat)	Externer ISB (4 Tage/Monat)
Monatliche Kosten	7.500–10.000 €	2.400 €	4.800 €
Jährliche Kosten	89.650–120.800 €	28.800 €	57.600 €
Kosten Jahr 1 (inkl. Recruiting)	109.650–174.800 €	28.800 €	57.600 €
Verfügbarkeit	Sofort (nach Einarbeitung)	Ab Vertragsstart	Ab Vertragsstart
Einarbeitung	3–6 Monate	2–4 Wochen	2–4 Wochen
Weiterbildungskosten	3.000–8.000 €/Jahr	Inklusive	Inklusive
Vertretung bei Ausfall	Muss organisiert werden	Durch Dienstleister gesichert	Durch Dienstleister gesichert
Branchenexpertise	Wächst über die Zeit	Ab Tag 1 vorhanden	Ab Tag 1 vorhanden

Die Kostenersparnis im ersten Jahr ist besonders deutlich: Ein externer ISB mit zwei Tagen pro Monat kostet bei einem Tagessatz von 1.200 € rund 28.800 € pro Jahr – etwa ein Viertel bis ein Drittel einer internen Vollzeitstelle. Selbst bei vier Tagen pro Monat (57.600 €/Jahr) liegt die Ersparnis bei 50–65 %.

Wann ein externer ISB die bessere Wahl ist

Ein externer Informationssicherheitsbeauftragter ist in folgenden Konstellationen das effizientere Modell:

Das Unternehmen hat weniger als 250 Mitarbeiter und der tatsächliche Arbeitsaufwand für Informationssicherheit füllt keine Vollzeitstelle. Es wird erstmals ein ISMS nach ISO 27001 oder BSI IT-Grundschutz aufgebaut, und das Unternehmen benötigt sofort verfügbare Expertise. Die NIS-2-Mindestmaßnahmen müssen umgesetzt werden und die Zeit drängt. Es fehlt internes Know-how, um eine ISB-Position sinnvoll auszufüllen – eine Schulung des IT-Leiters wäre ein Interessenskonflikt. Das Unternehmen benötigt einen Ansprechpartner für Kunden, Auditoren oder Versicherer, der die geforderten Nachweise liefern kann.

Ein externer ISB bringt zudem einen häufig unterschätzten Vorteil mit: die Erfahrung aus dutzenden Unternehmen verschiedener Branchen. Während ein interner ISB die Prozesse seines eigenen Unternehmens gut kennt, hat ein externer Dienstleister Muster und Best Practices aus einer Vielzahl von ISMS-Projekten gesehen. Das beschleunigt insbesondere die Aufbauphase erheblich.

Wann ein externer ISB nicht ausreicht

Die externe Lösung stößt an Grenzen, wenn das Unternehmen eine tägliche operative Sicherheitskoordination benötigt, wenn eigene Security-Teams geführt und gesteuert werden müssen, wenn die Rolle stark in interne Prozesse und Entscheidungswege eingebunden sein muss oder wenn regulatorische Vorgaben eine ständige physische Präsenz verlangen.

In diesen Fällen ist entweder eine interne Besetzung oder ein kombiniertes Modell (interner Mitarbeiter + externer Berater zur Unterstützung) die bessere Wahl.

vCISO als dritte Option: Strategische Führung ohne Vollzeitstelle

Neben dem klassischen ISB-Modell existiert eine dritte Option, die besonders für Unternehmen mit 100–500 Mitarbeitern relevant ist: der Virtual Chief Information Security Officer (vCISO).

Während ein ISB operativ arbeitet – ISMS aufbauen, Risiken bewerten, Maßnahmen umsetzen –, agiert ein vCISO auf strategischer Ebene. Er übernimmt Board-Reporting, berät die Geschäftsführung bei Investitionsentscheidungen und verantwortet die Sicherheitsstrategie. Die Kosten liegen typischerweise bei 3.600–7.200 € pro Monat (3–6 Einsatztage à 1.200 €) und damit zwischen einem externen ISB und einer internen CISO-Vollzeitstelle (130.000–230.000 € pro Jahr Vollkosten).

Eine ausführliche Gegenüberstellung der beiden externen Modelle finden Sie im Artikel vCISO vs. externer ISB: Welches Modell passt zu Ihrem Unternehmen?.

Entscheidungsmatrix: Welches Modell für welches Unternehmen?

Die Wahl des richtigen Modells hängt von der Unternehmensgröße, dem Reifegrad der Informationssicherheit und dem konkreten Bedarf ab. Die folgende Matrix gibt eine erste Orientierung:

Situation	Empfehlung	Begründung
Unter 50 Mitarbeiter, kein ISMS vorhanden	Externer ISB (1–2 Tage/Monat)	Vollzeitstelle überdimensioniert; externer ISB (ca. 28.800 €/Jahr) baut ISMS effizient auf
50–100 Mitarbeiter, ISMS im Aufbau	Externer ISB (2–3 Tage/Monat)	Aufbauphase erfordert spezialisierte Expertise, aber noch keinen Vollzeit-ISB
100–250 Mitarbeiter, NIS-2-betroffen	Externer ISB (3–4 Tage/Monat)	Umfang rechtfertigt mehr Einsatztage, aber noch keine interne Stelle
100–250 Mitarbeiter, ISMS stabil	vCISO	Operative Arbeit läuft, strategische Führung und Board-Reporting fehlen
250–500 Mitarbeiter, eigene IT-Security	Interner ISB oder vCISO + interner ISB	Komplexität erfordert tägliche Präsenz; vCISO ergänzt strategisch
Über 500 Mitarbeiter, regulierte Branche	Interner ISB/CISO	Regulatorische Anforderungen und Organisationsgröße erfordern Vollzeitkraft
KRITIS-Betreiber	Interner ISB (Pflicht)	Gesetzliche Verpflichtung; externer ISB kann unterstützend hinzukommen
Jede Größe, kurzfristiger NIS-2-Druck	Externer ISB (sofort verfügbar)	Überbrückung bis interne Stelle besetzt oder als Dauerlösung

Diese Empfehlungen sind als Ausgangspunkt zu verstehen. Die individuelle Situation – Branche, vorhandene IT-Kompetenz, Budget und regulatorische Anforderungen – beeinflusst die Entscheidung maßgeblich.

NIS-2 und die ISB-Frage: Was das Gesetz verlangt

Das NIS-2-Umsetzungsgesetz (in Kraft seit Dezember 2025) schreibt keine ISB-Rolle explizit vor. Faktisch wird sie jedoch durch die Anforderungen des § 30 BSIG unverzichtbar: Die dort geforderten zehn Mindestmaßnahmen – von Risikoanalyse über Incident Response bis Lieferkettensicherheit – lassen sich ohne eine dedizierte, fachkundige Person nicht systematisch umsetzen und aufrechterhalten.

Zusätzlich begründet § 38 BSIG eine persönliche Überwachungs- und Schulungspflicht der Geschäftsführung. Ein ISB – ob intern oder extern – entlastet die Geschäftsleitung bei der operativen Erfüllung dieser Pflichten, ohne dass die Gesamtverantwortung übergeht. Diese verbleibt stets bei der Unternehmensleitung.

Ob ein Unternehmen überhaupt unter das NIS-2-Umsetzungsgesetz fällt, lässt sich mit der NIS-2-Betroffenheitsanalyse in wenigen Minuten prüfen.

Häufige Fehler bei der Besetzungsentscheidung

IT-Leiter als ISB benennen: Die am häufigsten gewählte und gleichzeitig problematischste Lösung. Der IT-Leiter prüft seine eigenen Systeme und Entscheidungen – ein klassischer Interessenskonflikt, den das BSI ausdrücklich als nicht empfehlenswert bewertet. Zudem fehlt in der Regel die fachliche Tiefe in ISMS-Methodik, Risikomanagement und regulatorischen Anforderungen.

Auf die perfekte interne Besetzung warten: Der Fachkräftemangel im Bereich Informationssicherheit ist real. Monatelanges Suchen bei gleichzeitig laufenden NIS-2-Fristen oder Kundenanforderungen schafft ein unnötiges Risiko. Eine externe Lösung kann innerhalb von zwei Wochen starten und – falls gewünscht – später durch eine interne Stelle abgelöst werden.

Günstigste Option wählen statt passendste: Ein ISB mit zwei Tagen pro Monat reicht für ein Unternehmen mit 30 Mitarbeitern. Für ein Produktionsunternehmen mit 200 Beschäftigten, OT-Umgebung und NIS-2-Betroffenheit wäre dieses Modell jedoch unzureichend. Die Entscheidung sollte sich am tatsächlichen Bedarf orientieren, nicht am kleinsten verfügbaren Paket.

ISB und DSB in Personalunion: Die Kombination ist grundsätzlich möglich, birgt aber Risiken. Die Schnittstellen zwischen Datenschutz und Informationssicherheit müssen klar definiert sein, um Rollenkonflikte zu vermeiden. Das BSI empfiehlt, die Aufgabentrennung sorgfältig zu dokumentieren.

Häufig gestellte Fragen (FAQ)

Was kostet ein interner ISB wirklich pro Jahr?

Die tatsächlichen Vollkosten einer internen ISB-Stelle liegen bei 89.650–120.800 € pro Jahr. Das umfasst Bruttogehalt (65.000–80.000 €), Arbeitgeberanteil Sozialversicherung (~21 %), Sonderzahlungen, Weiterbildungskosten (3.000–8.000 €) und anteilige Arbeitsplatzkosten. Im ersten Jahr kommen Recruiting-Kosten (5.000–24.000 € bei Headhunter-Beauftragung) und Einarbeitungszeit (3-6 Monate) hinzu, sodass die Gesamtkosten 109.650–174.800 € betragen.

Wie viel kostet ein externer ISB im Vergleich?

Ein externer ISB arbeitet typischerweise auf Retainer-Basis. Bei 2 Tagen pro Monat (Tagessatz ~1.200 €) entstehen Jahreskosten von 28.800 €, bei 4 Tagen/Monat 57.600 €. Das sind 50–75 % weniger als eine interne Vollzeitstelle. Weiterbildung, Vertretung bei Ausfall und Branchenexpertise sind inklusive. Für mittelständische Unternehmen (30-250 Mitarbeiter) ist dies meist die wirtschaftlichere Option.

Wie lange dauert die Besetzung einer internen ISB-Stelle?

Die durchschnittliche Besetzungsdauer liegt bei 3-6 Monaten. Der Fachkräftemangel im Security-Bereich ist erheblich – mehrere hundert ISB-Positionen sind in Deutschland permanent offen. Ein externer ISB steht dagegen ab Vertragsstart (typisch 2-4 Wochen Einarbeitung) zur Verfügung. Für Unternehmen unter NIS-2-Compliance-Druck ist diese Zeitdifferenz entscheidend.

Ab welcher Unternehmensgröße lohnt sich ein interner ISB?

Eine interne Vollzeitstelle ist ab etwa 250 Mitarbeitern oder bei komplexen IT-Strukturen mit täglichem operativem Koordinationsbedarf sinnvoll. Auch KRITIS-Betreiber mit regulatorischen Dauerverpflichtungen profitieren von interner Besetzung. Für Unternehmen mit 30-250 Mitarbeitern ist ein externer ISB meist effizienter, da der tatsächliche Arbeitsaufwand oft keine Vollzeitstelle rechtfertigt.

Was ist der Unterschied zwischen ISB, CISO und vCISO?

Ein ISB (Informationssicherheitsbeauftragter) arbeitet operativ und koordiniert die ISMS-Umsetzung. Ein CISO (Chief Information Security Officer) agiert strategisch auf C-Level mit Budgetverantwortung und Vorstandszugang (Gehalt: 100.000-180.000 €). Ein vCISO (virtual CISO) ist ein externer CISO auf Teilzeitbasis für strategische Führung ohne Vollzeitstelle. Die Rollen können sich ergänzen: interner ISB für operative Themen, vCISO für Strategie.

Kann der IT-Leiter die ISB-Rolle übernehmen?

Aus Governance-Sicht problematisch: Der ISB soll die IT-Abteilung kontrollieren – als IT-Leiter kontrolliert man sich selbst (Interessenkonflikt). Das BSI empfiehlt organisatorische Trennung. In kleinen Unternehmen ohne Alternative kann eine Doppelrolle vorübergehend akzeptabel sein, muss aber klar dokumentiert werden. Besser: ISB extern vergeben, IT-Leiter bleibt Umsetzer der Maßnahmen.

Muss jedes Unternehmen einen ISB bestellen?

Eine allgemeine gesetzliche Pflicht zur ISB-Bestellung besteht nicht. Faktisch wird die Rolle aber unverzichtbar, sobald: das Unternehmen ein ISMS nach ISO 27001 betreibt, es unter NIS-2 fällt, es KRITIS-Betreiber ist (hier verpflichtend) oder Geschäftspartner Sicherheitsnachweise verlangen. Für NIS-2-betroffene Unternehmen ist die Geschäftsführung persönlich haftbar – ein ISB hilft, dieser Verantwortung nachzukommen.

Kann ich ISB und Datenschutzbeauftragten kombinieren?

Grundsätzlich möglich, aber mit Risiken. Informationssicherheit (ISB) geht über personenbezogene Daten (DSB) hinaus und umfasst alle Unternehmensinformationen. Die Aufgabenbereiche überschneiden sich teilweise, sind aber nicht identisch. Das BSI empfiehlt sorgfältige Dokumentation der Aufgabentrennung, um Rollenkonflikte zu vermeiden. In der Praxis funktioniert die Kombination bei kleineren Unternehmen, wenn beide Rollen extern vergeben werden.

Fazit: Kompetenz sichern – nicht zwingend Vollzeitstelle schaffen

Die Entscheidung zwischen internem und externem ISB ist keine Frage von besser oder schlechter. Es ist eine Frage der Passung: Unternehmensgröße, regulatorischer Druck, Budget und vorhandene IT-Kompetenz bestimmen das richtige Modell.

Für die Mehrheit mittelständischer Unternehmen – insbesondere im Bereich 30 bis 250 Mitarbeiter – ist ein externer ISB die wirtschaftlichere und schneller verfügbare Lösung. Die Kostenersparnis gegenüber einer internen Vollzeitstelle liegt bei 50–75 %, die Verfügbarkeit beträgt Wochen statt Monate, und die fachliche Expertise ist vom ersten Tag an vorhanden.

Wer dagegen eine Organisationsgröße erreicht hat, die tägliche operative Sicherheitskoordination erfordert, ist mit einer internen Besetzung – ergänzt durch einen vCISO für die strategische Ebene – besser aufgestellt.