Der vCISO für den Mittelstand — was wirklich dahintersteckt

Cybervorfälle treffen den Mittelstand härter als Konzerne — weniger Ressourcen, weniger Expertise, mehr existenzielle Folgen. Ein eigener CISO ist für die meisten KMU schlicht unbezahlbar. Die Lösung, die sich in der Praxis bewährt hat: ein externer Sicherheitschef im Teilzeit-Modell. Was steckt dahinter, was bringt es wirklich, und wann lohnt es sich? Dieser Leitfaden gibt ehrliche Antworten.

Was ist ein CISO überhaupt?

CISO steht für Chief Information Security Officer — der strategische Sicherheitschef eines Unternehmens. Wichtig: Das ist kein "IT-Admin, der nebenbei Sicherheit macht". Der CISO ist die Brücke zwischen Geschäftsleitung (Risikobewertung, Budget, Haftung) und IT (technische Umsetzung). Er ist verantwortlich für Sicherheitsstrategie, Compliance, Risikomanagement und regelmäßiges Reporting an die Unternehmensführung.

Im KMU werden diese Rollen oft auf eine Person gebündelt: Der IT-Leiter "macht das mit". Das Ergebnis ist vorhersehbar — keine echte Strategie, reaktives Handeln statt Prävention, Lücken bei Compliance-Anforderungen wie NIS2 oder TISAX. Nicht weil der IT-Leiter schlecht ist — sondern weil strategische Sicherheitsführung eine andere Disziplin ist als IT-Operations.

Das vCISO-Modell erklärt

vCISO steht für "virtual CISO" oder "fractional CISO" — ein externer Berater, der die CISO-Funktion im Teilzeit-Modell übernimmt, typischerweise 1–3 Tage pro Woche auf Monatspauschale. Das Modell bietet vier entscheidende Vorteile gegenüber dem internen CISO:

• Sofort einsatzfähig: Kein monatelanger Recruiting-Prozess, kein langwieriges Onboarding.
• Erfahrung aus mehreren Unternehmen: Ein vCISO, der gleichzeitig fünf Unternehmen betreut, hat ein breiteres Erfahrungsspektrum als ein interner CISO, der nur ein Unternehmen kennt.
• Skalierbar: In Hochphasen (Zertifizierungen, Audits, Vorfälle) mehr Tage, im Regelbetrieb weniger.
• Bezahlbar: Kein 200.000-€-Vollzeitgehalt, sondern ein planbares, flexibles Budget.

Die ehrliche Kostenrechnung

Zahlen statt Versprechen — hier ist der direkte Vergleich:

Interner CISO (Vollzeit)

• Gehalt Senior CISO im Mittelstand: 120.000–200.000 €/Jahr
• Lohnnebenkosten (+25%): weitere 30.000–50.000 €
• Recruiting-Kosten (einmalig): 15.000–30.000 €
• Einarbeitungszeit bis zur vollen Produktivität: 3–6 Monate
• Gesamtkosten erstes Jahr: 165.000–280.000 €

vCISO (extern)

• Tagessatz qualifizierter deutscher CISO-Berater: 1.000–1.500 €
• Aufbauphase (6 Monate, intensiver): ca. 5.000–8.000 €/Monat
• Regelbetrieb (ab Monat 7): ca. 2.500–4.000 €/Monat
• Gesamtkosten erstes Jahr: 50.000–90.000 €
• Folgejahre: 30.000–50.000 €

Fazit: Der vCISO ist bis zu 70% günstiger als ein interner CISO — und ist deutlich schneller produktiv. Für die meisten KMU mit 50–500 Mitarbeitern ist das der einzige sinnvolle Weg zu professioneller Sicherheitsführung.

Die ersten 90 Tage: Was wirklich passiert

Ein strukturierter vCISO-Einsatz folgt einem bewährten Muster in drei Phasen:

Tag 1–14: Bestandsaufnahme

In den ersten zwei Wochen geht es um Verstehen, nicht um Handeln. Gespräche mit Geschäftsleitung, IT-Leitung, Datenschutzbeauftragtem und ggf. Betriebsrat. Dokumentenreview: bestehende Policies, Auftragsverarbeitungsverträge (AVV), Lieferantenverträge, letzte Pentests, frühere Auditberichte. Tool-Inventur: Was ist im Einsatz, was ist lizenziert, was läuft im Schatten? Quick-Wins identifizieren — Maßnahmen mit hohem Wirkungsgrad und niedrigem Aufwand, die sofort umgesetzt werden können.

Tag 15–30: Risikobewertung

Strukturierte Risikoanalyse auf Basis der Bestandsaufnahme. Reifegradbestimmung, oft orientiert an den CIS Controls (einem praxisorientierten Sicherheitsrahmenwerk) oder TISAX-Anforderungen. Erste Sofortmaßnahmen werden umgesetzt — typischerweise MFA-Einführung, Patch-Rückstände beheben, kritische Zugänge sichern.

Tag 31–60: Strategie und Roadmap

Die Sicherheitsstrategie wird schriftlich fixiert — klar formuliert, auf 5–10 Seiten. Eine 12-Monats-Roadmap mit Meilensteinen entsteht. Der vCISO erstellt einen Budget-Vorschlag für die Geschäftsleitung. Erste kritische Policies werden geschrieben: Passwort-Policy, Mobile-Device-Policy, KI-Nutzungsrichtlinie.

Tag 61–90: Aufbauarbeit

Das ISMS (Informationssicherheits-Managementsystem) bekommt seine Grundstruktur. Reporting-Format für die Geschäftsleitung wird etabliert — maximal 5 Folien, quartalsweise. Notfallprozesse werden definiert: Was tun bei einem Ransomware-Angriff? Wer entscheidet was? Erste Mitarbeiterschulungen werden durchgeführt.

Wann der vCISO wirklich Wert bringt

Das Modell funktioniert am besten unter diesen Voraussetzungen:

• KMU mit 50–500 Mitarbeitern
• Kein Vollzeit-CISO geplant oder finanzierbar
• Wachsender Compliance-Druck durch NIS2, TISAX, ISO 27001 oder Kundenanforderungen
• IT-Leiter ist überlastet und übernimmt notgedrungen Sicherheitsaufgaben
• Geschäftsleitung will endlich Klarheit über das eigene Risikoniveau

Wann eher ein interner CISO sinnvoll ist: KRITIS-Betreiber (KRITIS = Kritische Infrastruktur, Unternehmen in Sektoren wie Energie, Wasser, Gesundheit mit erhöhten gesetzlichen Anforderungen), Konzerne mit mehr als 1.000 Mitarbeitern, und stark regulierte Branchen, bei denen täglicher operativer Sicherheitsbetrieb nötig ist.

Drei hartnäckige Mythen über den vCISO

Mythos: "Ein Externer kennt unser Geschäft nicht."

Realität: Genau das ist oft der Vorteil. Ein vCISO, der zehn verschiedene Unternehmen betreut hat, sieht Muster und Risiken, die intern nie aufgefallen wären. Guter Onboarding-Prozess löst das Wissensdefizit innerhalb weniger Wochen — während der interne CISO nach Jahren "betriebsblind" wird.

Mythos: "Externe haben keine echte Verantwortung."

Realität: Im Rahmen eines klar definierten Mandats — vertraglich fixiert mit AVV und NDA — hat der vCISO klare Verantwortlichkeiten. Regelmäßiges Reporting an die Geschäftsleitung macht diese Verantwortung explizit und nachweisbar sichtbar.

Mythos: "Wir haben doch unseren IT-Leiter."

Realität: Strategische Sicherheitsführung und IT-Operations sind zwei grundverschiedene Disziplinen. Der IT-Leiter betreibt die Systeme. Der CISO bewertet Risiken, entwickelt Strategien, berichtet an die Geschäftsleitung und verantwortet Compliance. Beide Rollen werden gebraucht — und ein vCISO entlastet den IT-Leiter, statt mit ihm zu konkurrieren.

Was Sie als Geschäftsführer erwarten dürfen

• Vierteljährliches Risiko-Reporting — maximal 5 Folien, klar und entscheidungsrelevant
• Klare Empfehlungen, keine schwammigen Berichte
• Einen direkten Ansprechpartner — kein Callcenter, keine wechselnden Berater
• Compliance-Nachweise auf Anfrage (für Kunden, Auditoren, Versicherer)
• Vertraulichkeit durch NDA und AVV

Was Sie als IT-Leiter erwarten dürfen

• Entlastung statt Konkurrenz — der vCISO übernimmt Strategiearbeit, Sie bleiben für Operations verantwortlich
• Klare Schnittstellen und Zuständigkeiten
• Einen strategischen Sparringspartner für schwierige Entscheidungen
• Argumentationshilfe gegenüber der Geschäftsleitung — wenn Sie Ressourcen oder Budget brauchen
• Unterstützung bei Compliance-Fragen, die über reinen IT-Betrieb hinausgehen

Fazit

Der vCISO ist kein "CISO-Light" — er ist eine andere Liefermethode für dieselbe Leistung. Für die meisten Mittelständler ist er der einzige realistische Weg zu professioneller Sicherheitsführung. Die wichtigste Frage bei der Auswahl: Hat der vCISO nachweisbare Praxiserfahrung mit Unternehmen Ihrer Größe und Branche? Zertifikate allein reichen nicht — entscheidend ist, was tatsächlich umgesetzt wurde.