Teil 7
Wer glaubt, ISO 27001 Abschnitt 5.3 sei eine weitere bürokratische Hürde, übersieht das Wesentliche: Die strategische Definition von Rollen und Befugnissen entscheidet darüber, ob ein ISMS zum lebendigen Schutzschild oder zum teuren Papiertiger wird. Während Unternehmen Millionen in Technologie investieren, scheitern sie oft an einer banalen Frage: Wer ist eigentlich wofür zuständig, wenn es brennt?
Die ISO 27001 fordert unter Punkt 5.3 klar und unmissverständlich, dass Organisationen sicherheitsrelevante Rollen definieren, zuweisen und mit ausreichenden Befugnissen ausstatten. Was zunächst wie Normprosa klingt, erweist sich als strategischer Hebel – besonders für IT-Dienstleister, die in regulierten Kundenumgebungen navigieren müssen.
Die ISO-Norm verzichtet bewusst auf starre Rollenvorgaben und fokussiert stattdessen auf das Ergebnis:
Relevante Rollen müssen identifiziert werden – nicht irgendwelche, sondern die, die tatsächlich sicherheitskritische Entscheidungen treffen.
Diesen Rollen müssen Verantwortlichkeiten und Befugnisse zugewiesen sein – und zwar so, dass sie auch durchsetzbar sind.
Diese Zuweisung muss bekannt gemacht werden – eine Rolle, die niemand kennt, ist wertlos.
Ds Top-Management trägt hierfür die Verantwortung – Delegation ja, Verantwortungsflucht nein.
Diese Flexibilität ist Fluch und Segen zugleich: Sie ermöglicht maßgeschneiderte Lösungen, verlangt aber strategisches Denken statt Copy-Paste-Mentalität.
Ein wirksames Rollenkonzept ist Architektur, nicht Dekoration. Die Umsetzung folgt einer klaren Dramaturgie, die in vier entscheidenden Phasen abläuft.
Bevor Sie neue Rollen erfinden, durchleuchten Sie die bestehende Landschaft. Dabei geht es um fundamentale Fragen: Welche Rollen existieren bereits in Ihrem Unternehmen und welche davon sind tatsächlich sicherheitsrelevant? Oft zeigt sich, dass Menschen bereits heute sicherheitskritische Entscheidungen treffen – mit oder ohne offizielle Berechtigung. Diese informellen Machtstrukturen aufzudecken ist ebenso wichtig wie die Identifikation der Lücken zwischen offiziellen Titeln und tatsächlicher Verantwortung.
Sicherheit lebt von konkreten Handlungen, nicht von abstrakten Begriffen. Deshalb müssen Sie die harten Fragen stellen: Wer entwickelt und aktualisiert Ihre Sicherheitsrichtlinien wirklich? Wer führt Risikobewertungen durch und – noch wichtiger – wer entscheidet über die daraus resultierenden Konsequenzen? Wenn um 2 Uhr nachts das System kompromittiert wird, wer behandelt dann den Vorfall? Und wer steuert das Berechtigungsmanagement so, dass im Ernstfall auch tatsächlich Zugriffe entzogen werden können? Jede kritische Aufgabe ohne zugewiesene Rolle ist ein Risiko, das auf Detonation wartet.
Jetzt kommen die härtesten Fragen: Gibt es kritische Aufgaben ohne Verantwortliche? Haben die nominell Verantwortlichen auch die nötigen Ressourcen und Befugnisse, um ihrer Rolle gerecht zu werden? Und wer darf im Ernstfall wirklich Prozesse stoppen oder verbindliche Anweisungen geben? Diese Analyse deckt oft schmerzhafte Wahrheiten auf – aber nur wer die Schwachstellen kennt, kann sie beheben.
Ein vollständiges Rollenmodell funktioniert wie ein gut geöltes Uhrwerk und umfasst alle kritischen Elemente: Bezeichnung und Beschreibung jeder Rolle müssen unmissverständlich und präzise formuliert sein. Aufgaben und Verantwortlichkeiten brauchen konkrete, messbare und umsetzbare Definitionen. Befugnisse – inklusive Weisungsrecht und Zugriffsbefugnisse – müssen klar abgegrenzt sein. Vertretungsregelungen sorgen dafür, dass Urlaub und Krankheit keine Sicherheitspause bedeuten. Kommunikationswege definieren, wer wem wann und wie berichtet. Und regulatorische Verbindungen stellen die Brücke von NIS2 bis DSGVO her.
Diese zentrale Koordinationsrolle orchestriert das gesamte ISMS. Der ISB ist nicht nur Verwalter, sondern strategischer Denker, der direkt an die Geschäftsleitung berichtet und das System kontinuierlich weiterentwickelt.
Sie übersetzen zwischen Management-Visionen und technischer Realität. Als strategische oder operative Kraft für technische Sicherheitsmaßnahmen fungieren sie als unverzichtbares Bindeglied.
Sie setzen Sicherheitsvorgaben in den jeweiligen Fachdomänen um und verkörpern das Prinzip der "verteilten Verantwortung" – Sicherheit funktioniert nur, wenn alle Bereiche mitziehen, nicht nur die IT-Abteilung.
Sie tragen die Gesamtverantwortung und entscheiden über Ressourcen, Freigaben und Prioritäten. Ohne ihr Commitment bleibt jedes ISMS ein zahnloser Tiger.
Von Datenschutzbeauftragten über IT-Administratoren bis hin zu Notfall- und Compliance-Verantwortlichen – jede Rolle hat ihre spezifische Funktion in der Sicherheitsorganisation.
Auditor und Aufsichtsbehörden interessiert nicht Ihre Absicht, sondern Ihr Nachweis. Bewährt haben sich verschiedene Dokumentationsformen, die sich in der Praxis als auditfest erwiesen haben.
Ein ISMS-Rollenhandbuch oder eine Matrix schafft die zentrale Übersicht aller Zuständigkeiten und funktioniert als Nachschlagewerk für alle Beteiligten.
Das Organigramm mit Sicherheitsbezug zeigt auf einen Blick, wer wo steht und warum – eine visuelle Landkarte der Verantwortlichkeiten.
Funktionsbeschreibungen mit explizit ausgewiesenen Sicherheitsaufgaben sorgen für klare Definitionen statt vager Formulierungen.
Ein durchdachter Kommunikationsplan regelt, wie Rollen bekannt gemacht werden und stellt sicher, dass die Information auch bei den richtigen Personen ankommt.
Regelmäßige Reviews der Rollenzuordnung berücksichtigen, dass sich Organisationen entwickeln und neue Anforderungen entstehen.
Die ISO 27001 verlangt, dass Rollen "bekannt gemacht" werden – eine Anforderung, die viele Unternehmen sträflich unterschätzen:
Ein wirksames Rollenkonzept steht und fällt mit der Rückendeckung des Top-Managements. Rollen ohne Ressourcen und Management-Support sind Seifenblasen – schön anzusehen, aber wirkungslos. Gleichzeitig müssen die definierten Befugnisse auch operationalisiert werden: Verantwortliche brauchen echte Entscheidungs-, Anweisungs- und Kontrollmacht. Ein Informationssicherheitsbeauftragter ohne Durchsetzungsmöglichkeiten kann im Ernstfall nur zuschauen, statt zu handeln.
Die strukturellen Herausforderungen beginnen oft bei scheinbar pragmatischen Lösungen. Besonders in kleineren Unternehmen übernimmt der IT-Leiter häufig auch die ISB-Rolle – solche Doppelfunktionen erfordern klare Konfliktregelungen, um Interessenskollisionen zu vermeiden.
Gleichzeitig gilt der Grundsatz: Einfachheit schlägt Komplexität. Ein überkompliziertes Rollenkonstrukt lähmt die Organisation und erschwert die Kommunikation. Eleganz liegt in der Reduktion auf das Wesentliche, nicht in der Anhäufung von Titeln und Zuständigkeiten.
Anpassungsfähigkeit entscheidet letztendlich über den langfristigen Erfolg. Neue regulatorische Anforderungen wie NIS2 machen kontinuierliche Aktualisierung unabdingbar. Statische Systeme sind tote Systeme – wer sein Rollenkonzept nicht regelmäßig hinterfragt und weiterentwickelt, verliert den Anschluss an die Realität.
Gerne unterstützen wir Sie dabei, Rollen und Verantwortlichkeiten in Ihrem ISMS rechtskonform und auditfest zu definieren.
Gemeinsam können wir Ihre bestehenden ISMS-Strukturen auf ISO 27001- und NIS2-Konformität prüfen und konkrete Maßnahmen entwickeln, um die Wirksamkeit und interne Sichtbarkeit Ihrer sicherheitsrelevanten Zuständigkeiten zu stärken.
So schaffen Sie nicht nur Compliance, sondern echte organisatorische Klarheit.
[Jetzt Beratungstermin vereinbaren]
Lesen Sie Teil 8 unserer Serie – warum ISO 27001 Abschnitt 6.1.1 der Schlüssel zu einem robusten ISMS für KMU ist.