vCISO vs. CISO: Welches Modell passt zu Ihrem Unternehmen?

Wer braucht einen CISO? Diese Frage stellen sich Geschäftsführer und IT-Leiter immer öfter. Die Antwort ist klar: Jedes Unternehmen mit signifikantem Cybersecurity-Risiko. Aber in welcher Form? Die Wahl zwischen Virtual CISO, Interim CISO und Vollzeit-CISO ist eine strategische Entscheidung, die Ihre Sicherheit und Ihre Bilanz beeinflusst. Dieser Vergleich zeigt, welches Modell zu welchem Unternehmen passt.

Die drei CISO-Modelle im Überblick

Es gibt drei grundlegend unterschiedliche Wege, CISO-Verantwortung in ein Unternehmen zu bringen. Alle drei liefern strategische Cybersecurity-Führung auf C-Level, aber mit sehr unterschiedlichen Implikationen für Kosten, Verfügbarkeit und Eigenständigkeit.

Das Virtual CISO Modell

Arbeitsweise: Remote, Teilzeit, langfristig als strategischer Partner.

Idealfall: Mittelständische Unternehmen mit 50 bis 500 Mitarbeitenden, die eine kontinuierliche CISO-Funktion benötigen, aber keine Vollzeitstelle finanzieren können oder wollen.

Aufwand: Typischerweise 2 bis 8 Tage pro Monat im Standard-Setup, flexible Skalierung auf bis zu 4 bis 5 Tage pro Woche bei Bedarf.

Kosten pro Monat: 3.600 bis 8.000 Euro, je nach Umfang und Seniorität.

Das Interim CISO Modell

Arbeitsweise: Vollständig integriert in die Unternehmensstruktur, oft vor Ort, definierte Projektdauer.

Idealfall: Unternehmen mit akuten Vakanzen, nach Sicherheitsvorfällen, bei Compliance-Projekten oder wenn die Besetzung einer Vollzeitstelle Zeit braucht.

Aufwand: 40+ Stunden pro Woche, typisch für 3 bis 12 Monate mit möglichen Verlängerungen.

Kosten pro Monat: 8.000 bis 15.000 Euro, je nach Erfahrung und Einsatzdauer (oft mit Mengenrabatt bei längeren Projekten).

Das Vollzeit-CISO Modell

Arbeitsweise: Fest angestellt, vor Ort oder hybrid, permanente Rolle in der Geschäftsführung.

Idealfall: Größere mittelständische Unternehmen (ab ca. 500 Mitarbeitern) oder Unternehmen in hochregulierten Branchen (Finanzdienstleistungen, Kritische Infrastruktur, Gesundheitswesen).

Aufwand: 40 bis 50 Stunden pro Woche, kontinuierlich, unbegrenzte Dauer (bis zur eigenen Kündigung oder Entlassung).

Kosten pro Jahr: 150.000 bis 250.000 Euro all-in (Gehalt, Sozialkosten, Benefits), plus Recruiting-Aufwand und Einarbeitungszeit.

Detailvergleich: Kosten und Finanzierung

Die finanzielle Dimension ist oft der Entscheidungsanker. Hier die genauen Zahlen für ein typisches Unternehmen mit 100 bis 200 Mitarbeitenden:

Kosten im ersten Jahr

Virtual CISO (Standard 40 Stunden/Monat): 60.000 bis 72.000 Euro pro Jahr. Keine versteckten Kosten, sofort einsatzbereit, breite Expertise ohne Einarbeitungszeit.

Interim CISO (6-Monate-Projekt): 48.000 bis 90.000 Euro für die 6 Monate. Mit Onboarding und laufendem Support deutlich unter einem Vollzeit-CISO, aber zeitlich limitiert.

Vollzeit-CISO: 180.000 bis 320.000 Euro im ersten Jahr (Gehalt 120.000-180.000 Euro + Arbeitgeberabgaben ca. 35-42 Prozent + Recruiting-Agentur 15-25 Prozent des ersten Jahresgehalts = 20.000-45.000 Euro, + Onboarding, Hardware, Konten). Langfristiger Betrag sinkt danach auf 180.000-250.000 Euro/Jahr, bleibt aber deutlich höher als vCISO.

3-Jahres-Szenario

Über drei Jahre gerechnet zeigen sich die Unterschiede deutlicher:

vCISO: 180.000 bis 216.000 Euro (konsistent, skalierbar, bei Bedarf einfach senken oder erhöhen).

Interim CISO: 48.000 bis 180.000 Euro (je nach Projektdauer; ab 12+ Monaten wirtschaftlich weniger sinnvoll, da Kosten gegen Vollzeit-CISO konvergieren).

Vollzeit-CISO: 480.000 bis 750.000 Euro (180.000-250.000 Euro pro Jahr, dazu kommen Vergütungsanpassungen, Bonusse, potenzielle Fluktuation und Neubesetzungskosten).

Vergleich: Verfügbarkeit und Flexibilität

Virtual CISO: Flexibel skalierbar von 2 bis 40+ Stunden pro Monat. In Krisenzeiten ist kurzfristige Mehrkapazität möglich (weitere Tage oder Wochen mit Priorität). Kein Einstellungsprozess, direkt operational. Risiko: Ein einzelner vCISO ist ein Single Point of Failure; etablierte vCISO-Anbieter haben typischerweise Teams im Rücken.

Interim CISO: Nach Einsatzstart vollständig verfügbar, für die vereinbarte Dauer. Gut planbar, wenn das genaue Projekt und die Dauer klar sind. Nachteil: Nach Ende des Interim-Einsatzes ist die Expertenkapazität weg. Wissensverlust und Kontinuität sind zu managen.

Vollzeit-CISO: Permanent verfügbar, aber mit klassischen HR-Risiken: Urlaub, Krankheit, Kündigung, Motivationsphasen. Recruiting und Onboarding (typisch 2 bis 4 Monate) verursachen zeitliche Lücken. Ist die Person dann weg, entsteht eine teure und längliche Neubesetzung.

Fähigkeiten und Expertise: Was jedes Modell leistet

Virtual CISO

Stärken: Breite Erfahrung über viele Unternehmen und Branchen. Typischerweise 15+ Jahre Cybersecurity, davon 10+ in CISO-Rollen. Kann schnell Lücken identifizieren, bewiesene Prozesse anwenden, Best Practices aus anderen Kontexten transferieren. Weniger konfrontativ mit internen Politiken, aussen stehende Perspektive.

Schwächen: Weniger intensive tagesgesteuerte Präsenz. Bei sehr technischen Details oder operativen Krisenreaktionen (z.B. bei laufender Incident Response) braucht es interne IT-Unterstützung. Remote-Zusammenarbeit erfordert Disziplin und klare Kommunikation. Nicht Part-time lösbar bei kontinuierlichen Compliance-Audits mit harten Deadlines.

Interim CISO

Stärken: Volle Präsenzkompetenz, überblickt schnell Organisationskultur und politische Strukturen. Bringt typischerweise 10+ Jahre CISO-Erfahrung mit. Kann kurzfristig Stabilität bringen nach Krisenfall oder in Vakanzsituationen. Intensive Hands-on-Arbeit, schnelle Ergebnisse in definierten Projektlaufzeiten.

Schwächen: Projekt-Mentalität versus kontinuierliche Governance. Nach dem Interim-Einsatz ist die Expertise weg. Wissensverlust und Kontinuitätsbruch. Teurer als vCISO pro Stunde. Nicht ideal für langfristige Strategiearbeit. Öfters Interessenskonflikte, wenn Interim-CISO auch als externe Berater Projekte abrechnen möchte.

Vollzeit-CISO

Stärken: Permanente Verfügbarkeit und tiefe Kenntnis der Unternehmensorganisation. Teil des Leadership Teams, direkte Einflusslinie. Kann langfristige Transformationen vorantreiben. Unternehmenskulturell verankert, nicht Außenstehende. Bei größeren Teams unter sich (bei größeren Unternehmen) kann eine CISO-Abteilung aufgebaut werden.

Schwächen: Hohe Fixkosten unabhängig vom tatsächlichen Bedarf. HR-Risiken: Fluktuation, Krankheit, Motivationsverlust verursachen Lücken. Onboarding-Zeit von 2 bis 4 Monaten vor erster Produktivität. Schwieriger, über Markttrends up-to-date zu bleiben ohne äußere Perspektive. Personalentwicklung und Gehaltfestlegung kompliziert.

Entscheidungsmatrix: Welches Modell für welche Situation?

Wähle Virtual CISO, wenn:

Unternehmengrösse 50 bis 400 Mitarbeiter und kontinuierliche CISO-Funktion gebraucht, aber kein Vollzeit-Budget.

NIS2 oder ISO 27001 Compliance ansteht, aber kein akuter Krisenfall vorliegt.

Branche mit moderater Regulierung (z.B. Mittelstands-Logistik, Produktion, E-Commerce ohne Zahlungsverkehr).

Strategische Cybersecurity-Reifung nötig, ohne sofort große interne Teams aufbauen zu wollen.

Budget-Flexibilität wichtig (schnell hoch- oder runterfahren nach Bedarf).

Wähle Interim CISO, wenn:

Akute Vakanz aufgrund Kündigung oder Fluktuation; Neubesetzung dauert noch 2 bis 3 Monate.

Nach Cyberangriff oder Sicherheitsvorfalls Krisenbewaltigung nötig und interne CISO-Kapazität belastet.

Größeres Compliance-Projekt mit klarem Enddatum (z.B. Zertifizierung nach ISO 27001 oder NIS2 Initial Assessment).

Überbrückung bis zur Vollzeit-Besetzung oder als Trainingsstelle für potenzielle interne Nachfolgekraft.

Sehr intensive vor-Ort-Arbeit nötig für 2 bis 6 Monate; dann wieder Rückkehr zu leichterer CISO-Betreuung.

Wähle Vollzeit-CISO, wenn:

Unternehmensgrösse ab 500 Mitarbeiter oder stärkeres internes Security-Team aufbauen geplant.

Hochregulierte Branche (Finanzdienstleistungen, Versicherungen, Kritische Infrastruktur, Gesundheitswesen mit HIPAA-Anforderungen).

C-Suite-Hierarchie und Governance erfordern permanente Präsenz im Vorstand.

Langfristige Transformation und Kulturwandel über 3+ Jahre geplant; vCISO zu episodisch.

Größeres internes Security-Team zu managen (10+ Personen), das interne Führung braucht.

Praktische Hybrid-Ansätze

Die Realität ist oft hybrider. Einige Unternehmen kombinieren Modelle, um Stärken zu nutzen und Schwächen zu kompensieren:

vCISO plus Interim CISO für Projektphase: Langfristiger vCISO liefert kontinuierliche Strategie. Für eine 3-Monats-Compliance-Initiative kommt ein Interim CISO hinzu mit intensiver Projektarbeit. Kostet insgesamt ca. 80.000 bis 100.000 Euro/Jahr, ist aber strukturierter als nur Interim.

vCISO plus interne IT Security Manager: vCISO steuert Strategie, interne Person managt tagesoperativ (Compliance-Checklisten, Vendor-Management, User-Training). Guter Mix für 150 bis 300 Mitarbeiter Unternehmen. Interne Person kostet ca. 60.000 bis 80.000 Euro/Jahr, vCISO 60.000 bis 72.000 Euro.

Vollzeit-CISO plus vCISO als Sparring Partner: Größere Unternehmen mit eigener CISO-Abteilung nutzen externe vCISO zum strategischen Sparring, für Trend-Monitoring, oder als Backup bei Abwesenheit (Urlaub, Krankheit). Kostet 20.000 bis 30.000 Euro/Jahr, ist aber Versicherung gegen Lücken.

Zeitleiste und Onboarding-Speed

Virtual CISO

Start: typisch 1 bis 2 Wochen Vertragsabschluss bis zum ersten Planning Meeting. Erste Aktivitäten (Gap-Analyse) innerhalb von 2 Wochen moglich. Erste Erkenntnisse nach 4 bis 6 Wochen. Braucht stabiles internes IT-Team als Ansprechpartner.

Interim CISO

Start: 2 bis 4 Wochen für Vertragsabschluss und Background-Check. Intensive Onboarding-Phase Woche 1 bis 2 (Organisation, Systeme, Briefings). Produktiv ab Woche 3. Verlässt die Rolle nach vereinbarter Dauer mit Wissenstransfer-Phase (typisch 2 bis 4 Wochen überlappend mit Nachfolger, falls intern).

Vollzeit-CISO

Start: 4 bis 12 Wochen Recruiting und Verhandlung. Eintritt typisch 2 bis 4 Wochen nach Zusage. Onboarding-Phase 2 bis 4 Monate, erst danach volle Produktivität. Kurz: vom Entschluss zur Besetzung sind es minimal 3 bis 4 Monate, realistisch 4 bis 6 Monate.

Rechtliche und organisatorische Aspekte

Virtual CISO

Vertragstyp: Service Agreement mit Retainer-Modell, klare Leistungsbeschreibung, SLAs (z.B. Reaktionszeit 24 Stunden, Verfügbarkeit 95 Prozent).

Versicherung: Der vCISO-Anbieter sollte Berufshaftpflichtversicherung haben.

Vertraulichkeit: NDA ist standard, aber vCISO ist nicht angestellt und sieht vertrauliche Daten; klare Datenschutz-Vereinbarung nötig (GDPR, falls Mitarbeiter-Daten involviert).

Vertragsflexibilität: Typisch 3 bis 12 Monate Mindestvertragslaufzeit mit Kündigungsmöglichkeit zum Ende, monatliche Verlängerung nach Ablauf.

Interim CISO

Vertragstyp: Freiberufler oder B2B-Service-Agreement mit klarem Projektumfang und Dauer (z.B. 6 Monate ab Startdatum). Oft kombiniert mit Stundensätzen für Mehrstunden.

Versicherung: Berufshaftpflichtversicherung des Interim-CISO oder der Staffing-Agentur nötig.

Vertragsflexibilität: Begrenzte Flexibilität, definiertes Projektende; Verlängerung ist neue Vertragsverhandlung.

Vollzeit-CISO

Vertragstyp: Unbefristeter Arbeitsvertrag mit Probierzeit (typisch 6 Monate), Gehalt, Bonusregelungen, Zielvereinbarungen (SMART-Goals).

Versicherung: Standard-Betriebshaftpflicht des Arbeitgebers deckt ab; Direktors & Officers Liability ratsam für C-Suite.

Vertragsflexibilität: Längliche Kündigungsfristen (typisch 4 bis 6 Wochen). Trennung braucht saubere Dokumentation (Leistungsbeurteilung, ggf. Abmahnung).

Häufige Fehlerqüllen bei der Auswahl

vCISO unterschätzt, weil Remote: Remote heißt nicht weniger Expertise. Ein erfahrener vCISO liefert oft schnellere, bessere Erkenntnisse als eine less-erfahrene Vollzeitkraft. Die Frage ist nicht Ort, sondern Kompetenz.

Interim CISO zu lange behalten: Viele Unternehmen halten Interim-CISOs 12 bis 18 Monate, während sie versuchen, eine Vollzeitkraft zu finden. Dann ist der Interim selbst fast so teuer wie Vollzeit, fehlt aber die Kontinuität. Besser: vCISO als Dauerlösungh oder aggressives Vollzeit-Recruiting parallel.

Vollzeit-CISO ohne richtige Vorbereitung: Viele Unternehmen stellen einen CISO ein, haben aber keine funktionierende IT-Governance, keine definierten Prozesse, keine Compliance-Baseline. Der neue CISO erbt ein Chaos und braucht dann selbst 6 bis 12 Monate, um die Basis zu schaffen. vCISO vorab wäre often gescheiter gewesen.

Zu lax bei der Vendor-Auswahl: Nicht alle, die sich vCISO oder Interim CISO nennen, haben 10+ Jahre CISO-Erfahrung. Einige sind Cloud Security Consultants oder IT-Projektmanager. References und Fallstudien checked? Track Record bewertbar?

Die richtige Kombination finden: Checkliste

Unternehmensgrose: Unter 200 MA: vCISO oder Interim für Projekte. 200-500 MA: vCISO oder Hybrid (vCISO plus interner IT Security Manager). Über 500 MA oder hochreguliert: ernsthaft Vollzeit-CISO erwägen.

Budget: Unter 100.000 Euro/Jahr verfügbar: vCISO ist einzig realistische Lösung. 100.000-150.000 Euro: vCISO plus interner Tech Lead ist optimal. Über 150.000 Euro: Vollzeit-CISO ist Option, aber nicht zwingend besser als guter vCISO.

Urgenz: Akuter Krisenfall oder Vakanz: Interim CISO innerhalb 2 bis 4 Wochen. Strategische Aufrüstung: vCISO within 2 weeks. Größere Transformation: Vollzeit-CISO mit 3 bis 6 Monaten Leadtime realistisch.

Regulierung: Moderat (NIS2, ISO 27001): vCISO ist vollständig ausreichend. Hoch (Banking, Versicherung, PII-Daten): Vollzeit-CISO oder intensive Hybrid-Lösung ratsam.

Existierende IT-Governance: Starke interne IT: vCISO kann direkt operational werden. Schwache oder fehlende Governance: Interim CISO oder vCISO mit intensiverem Onboarding nötig, um Strukturen zu schaffen.

Fazit: Die richtige Wahl ist strategisch

Es gibt keine universelle Lösung. Ein Virtual CISO ist nicht immer die günstige Option und nicht immer ausreichend. Ein Vollzeit-CISO ist nicht zwingend besser nur weil teurer. Und ein Interim CISO ist kein Wundermittel für Leidenschaft-Situationen.

Die Entscheidung hängt von drei Faktoren ab: Unternehmensgrösse und -komplexität, Budget-Flexibilität, und wie lange die CISO-Funktion permanent nötig ist. Für den typischen Mittelständler mit 100 bis 300 Mitarbeitenden ist der Virtual CISO oft die intelligenteste Wahl: hohe Expertise ohne die HR-Last und die Fixkosten einer Vollzeitstelle.

Der wichtigste Faktor ist nicht die Vertragsform, sondern die Kompetenz und der kulturelle Fit der Person. Ein exzellenter vCISO liefert mehr Wert als ein mittelmäßiger Vollzeit-CISO. Hier gilt: sorgfältig auswählen, egal welches Modell.

Sie schwänken noch, welches Modell passt? Ein kostenloses 30-Minuten-Gespräch klärt, welche Lösung für Ihr Unternehmen strategisch sinnvoll ist.