IT-Sicherheit braucht Führung. Doch was, wenn Ihr Unternehmen zu klein ist für einen Chief Information Security Officer in Vollzeit, aber die Anforderungen — NIS2, TISAX®, ISO 27001, Lieferkettensicherheit — längst nicht mehr ignoriert werden können? Dann ist das vCISO-Modell eine ernstzunehmende Alternative. Aber wie viel kostet es wirklich? Und wann ist intern doch besser?
Kostenvergleich: Intern vs. Extern
Die Zahlen sprechen eine deutliche Sprache. Laut Daten des ING ISM Magazins und der Analyse von Odcus sieht der Vergleich so aus:
| Modell | Kosten pro Jahr | Details |
|---|---|---|
| Interner CISO | 150.000 – 250.000 € | Gehalt 120.000–200.000 € + 20–25% Nebenkosten + Recruiting 15.000–30.000 € + 3–6 Monate Einarbeitung |
| Externer CISO (vCISO) | 30.000 – 80.000 € | 1–3 Tage pro Woche, sofort einsatzbereit, skalierbar nach Bedarf |
| Ersparnis | bis zu 70 % | Keine Rekrutierungskosten, kein Leerstand, keine Sozialleistungen |
Dabei ist zu beachten: Ein vCISO ist kein Billigangebot. Die Stundensätze liegen typischerweise bei 150–250 Euro. Die Gesamtkosten bleiben dennoch deutlich unter einem internen CISO, weil Sie nur für die tatsächlich benötigte Zeit zahlen — und weil kein sechsmonatiges Onboarding anfällt.
Das vCISO-Modell: Was Sie konkret bekommen
Ein externer CISO arbeitet typischerweise 1 bis 3 Tage pro Woche für Ihr Unternehmen. Die genaue Aufteilung hängt vom Projektstatus ab: In der Aufbauphase ist mehr Präsenz nötig, in der laufenden Betreuung weniger. Laut Cybervize kalkuliert ein typisches NIS2-Mandat so:
- Aufbauphase (4–6 Monate): 5.000–8.000 €/Monat (4–6 Tage/Monat)
- Laufende Betreuung: 2.500–4.000 €/Monat (2–3 Tage/Monat)
- Erstes Jahr gesamt: ca. 60.000–96.000 €
- Folgjahre: 30.000–48.000 €/Jahr
Was ein vCISO liefert, ist nicht nur operative Arbeit. Es geht um strategische Führung: Sicherheitsrichtlinien und -konzepte entwickeln, Risikomanagement aufbauen, Audits vorbereiten und Geschäftsführung beraten. Gleichzeitig bleibt der vCISO durch sein Netzwerk und seine Erfahrung aus vielen Mandaten stets auf dem neuesten Stand der Bedrohungslage — ein interner CISO in einem KMU kämpft hier oft gegen die Isolation.
Typische erste 90 Tage mit einem vCISO
Wer einen vCISO engagiert, erwartet schnell sichtbare Ergebnisse. Ein bewährtes Vorgehen:
Woche 1–2: Bestandsaufnahme
Stakeholder-Gespräche mit Geschäftsführung, IT-Leitung und Fachabteilungen. Sichtung vorhandener Dokumentation, Richtlinien und technischer Konfigurationen. Schnelles Assessment der kritischen Risiken — was brennt sofort?
Monat 1–2: Analyse und Roadmap
Strukturierte Gap-Analyse gegen den relevanten Standard (NIS2, ISO 27001 oder TISAX®). Risikobewertung mit Priorisierung nach Eintrittswahrscheinlichkeit und Schadenspotenzial. Ergebnis ist eine priorisierte Security-Roadmap mit klaren Meilensteinen und realistischen Budgetschätzungen.
Monat 3–4: Erste Maßnahmen
Umsetzung der priorisierten Quick Wins (MFA, Admin-Account-Trennung, Backup-Überprüfung). Entwicklung fehlender Richtlinien und Prozesse. Erste Schulungen für Mitarbeiter zu Phishing und sicherem Verhalten. Aufbau der Governance-Strukturen für das laufende Sicherheitsmanagement.
NIS2-Compliance mit einem vCISO
Das NIS2-Umsetzungsgesetz, das seit Dezember 2025 in Kraft ist, stellt an betroffene Unternehmen konkrete Anforderungen an die Sicherheitsorganisation: Risikomanagement muss dokumentiert sein, Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, und die Geschäftsführung haftet persönlich für Pflichtverletzungen.
Genau hier entfaltet das vCISO-Modell seinen größten Mehrwert. Ein erfahrener vCISO kennt die NIS2-Anforderungen in der Praxis, weiß welche Dokumentation der BSI-Prüfer erwartet, und hat bereits andere Unternehmen durch genau diesen Prozess geführt. Die Kombination aus strategischer Führung und operativer Erfahrung ist intern kaum zu replizieren — es sei denn, man investiert erheblich in Ausbildung und Zeit.
Wann ein interner CISO besser ist
Das vCISO-Modell ist nicht für jeden geeignet. In folgenden Situationen ist ein eigener CISO die bessere Wahl:
- Unternehmen mit mehr als ~500 Mitarbeitern: Ab dieser Größe ist das Sicherheitsvolumen hoch genug, um eine Vollzeitstelle zu rechtfertigen. Die Steuerung vieler interner Projekte und die ständige Verfügbarkeit übersteigen das, was ein vCISO leisten kann.
- Hochregulierte Branchen mit täglichem Sicherheitsbetrieb: Finanzinstitute, Krankenhäuser oder Rüstungsunternehmen mit KRITIS-Status brauchen jemanden, der täglich vor Ort entscheidet.
- Unternehmenskultur erfordert vollständige Integration: Wenn Sicherheitsfragen in jede operative Entscheidung einfließen müssen, braucht es jemanden der vollständig Teil der Führungsebene ist.
- Bereits ein reifes Sicherheitsprogramm vorhanden: Wer ein umfassendes ISMS betreibt und den CISO hauptsächlich zur Koordination eines großen Security-Teams braucht, ist intern besser aufgestellt.
Für die meisten KMU mit 50 bis 500 Mitarbeitern trifft keines dieser Kriterien zu. Das vCISO-Modell ist hier die effizientere und oft auch qualitativ bessere Lösung — weil spezialisierte Berater breite Erfahrung aus verschiedenen Mandaten mitbringen, die ein interner CISO in einem einzelnen Unternehmen kaum aufbauen kann.
Was Sie bei der Auswahl beachten sollten
Nicht jeder der sich "vCISO" nennt, bringt dieselbe Qualifikation mit. Achten Sie auf:
- Nachgewiesene Zertifizierungen (CISO, ISO 27001 Lead Auditor, CISSP oder vergleichbar)
- Referenzen aus ähnlichen Branchen oder ähnlicher Unternehmensgröße
- Klare Leistungsbeschreibung und messbarer Erfolg — nicht nur Stundensätze
- Verfügbarkeit und Erreichbarkeit im Krisenfall
- Verständnis der deutschen Regulatorik (BSI, DSGVO, NIS2, branchenspezifische Anforderungen)
Interesse an einem vCISO-Mandat?
Als zertifizierter CISO (TÜV), ISO 27001 Lead Auditor und NIS2-Experte übernehme ich die strategische IT-Sicherheitsführung für Ihr Unternehmen — flexibel, transparent und ohne Konzern-Overhead. Starten Sie mit einem kostenlosen Erstgespräch.
Jetzt Kontakt aufnehmen