Die Geschäftsleitung ist für die Informationssicherheit verantwortlich. Doch diese ist üblicherweise kein IT-Sicherheiheitsexperte. Wenn Sie Aufgaben delegiert, so bleibt immer die Kontrollaufgabe bei der Geschäftsleitung bestehen. Doch wie kann eine Geschäftsleitung, ohne selbst IT-Sicherheiheitsexperte zu sein, wirksam die Umsetzung der IT-Sicherheit kontrollieren? Das primäre Risiko der Geschäftsleitung ist das Organisationsverschulden. Hat sie ggf. an einen nicht kompetenten Menschen delegiert und dies nicht festgestellt, wird sie im Schadenfall angegriffen werden, wird sogar auf das Privatvermögen zugegriffen. Nun könnte sie - theoretisch - auf den ISB zurück greifen. Dies ist auf Grund der Grundsätze der Arbeitnehmerhaftung bei einem internen ISB jedoch reine Theorie. Jede Geschäftsführung weiß: Die Haftung von Mitarbeitern ist in Deutschland so stark eingeschränkt, dass ein Rückgriff praktisch ausgeschlossen ist.

Daher ist die Beauftragung eines externen Informationssicherheitsbeauftragten, eines externen ISOs oder ggf. eines CISOs ("Chief Informationsecurity Officer") sinnvoll. Mit diesem kann eine weitgehende Haftung für Falschberatung vereinbart und über Versicherungen abgesichert werden. Auf fachliche Kompezenz ist natürlich trotzdem zu achten.