vCISO vs. CISO: Welches Modell passt zu Ihrem Unternehmen?

Wer braucht einen CISO? Diese Frage stellen sich Geschaeftsfuehrer und IT-Leiter immer oefter. Die Antwort ist klar: Jedes Unternehmen mit signifikantem Cybersecurity-Risiko. Aber in welcher Form? Die Wahl zwischen Virtual CISO, Interim CISO und Vollzeit-CISO ist eine strategische Entscheidung, die Ihre Sicherheit und Ihre Bilanz beeinflusst. Dieser Vergleich zeigt, welches Modell zu welchem Unternehmen passt.

Die drei CISO-Modelle im Ueberblick

Es gibt drei grundlegend unterschiedliche Wege, CISO-Verantwortung in ein Unternehmen zu bringen. Alle drei liefern strategische Cybersecurity-Fuehrung auf C-Level, aber mit sehr unterschiedlichen Implikationen fuer Kosten, Verfuegbarkeit und Eigenstaendigkeit.

Das Virtual CISO Modell

Arbeitsweise: Remote, Teilzeit, langfristig als strategischer Partner.

Idealfall: Mittelstaendische Unternehmen mit 50 bis 500 Mitarbeitenden, die eine kontinuierliche CISO-Funktion benoetigen, aber keine Vollzeitstelle finanzieren koennen oder wollen.

Aufwand: Typischerweise 2 bis 8 Tage pro Monat im Standard-Setup, flexible Skalierung auf bis zu 4 bis 5 Tage pro Woche bei Bedarf.

Kosten pro Monat: 3.600 bis 8.000 Euro, je nach Umfang und Senioritaet.

Das Interim CISO Modell

Arbeitsweise: Vollstaendig integriert in die Unternehmensstruktur, oft vor Ort, definierte Projektdauer.

Idealfall: Unternehmen mit akuten Vakanzen, nach Sicherheitsvorfaellen, bei Compliance-Projekten oder wenn die Besetzung einer Vollzeitstelle Zeit braucht.

Aufwand: 40+ Stunden pro Woche, typisch fuer 3 bis 12 Monate mit moeglichen Verlaengerungen.

Kosten pro Monat: 8.000 bis 15.000 Euro, je nach Erfahrung und Einsatzdauer (oft mit Mengenrabatt bei laengeren Projekten).

Das Vollzeit-CISO Modell

Arbeitsweise: Fest angestellt, vor Ort oder hybrid, permanente Rolle in der Geschaeftsfuehrung.

Idealfall: Groessere mittelstaendische Unternehmen (ab ca. 500 Mitarbeitern) oder Unternehmen in hochregulierten Branchen (Finanzdienstleistungen, Kritische Infrastruktur, Gesundheitswesen).

Aufwand: 40 bis 50 Stunden pro Woche, kontinuierlich, unbegrenzte Dauer (bis zur eigenen Kuendigung oder Entlassung).

Kosten pro Jahr: 150.000 bis 250.000 Euro all-in (Gehalt, Sozialkosten, Benefits), plus Recruiting-Aufwand und Einarbeitungszeit.

Detailvergleich: Kosten und Finanzierung

Die finanzielle Dimension ist oft der Entscheidungsanker. Hier die genauen Zahlen fuer ein typisches Unternehmen mit 100 bis 200 Mitarbeitenden:

Kosten im ersten Jahr

Virtual CISO (Standard 40 Stunden/Monat): 60.000 bis 72.000 Euro pro Jahr. Keine versteckten Kosten, sofort einsatzbereit, breite Expertise ohne Einarbeitungszeit.

Interim CISO (6-Monate-Projekt): 48.000 bis 90.000 Euro fuer die 6 Monate. Mit Onboarding und laufendem Support deutlich unter einem Vollzeit-CISO, aber zeitlich limitiert.

Vollzeit-CISO: 180.000 bis 320.000 Euro im ersten Jahr (Gehalt 120.000-180.000 Euro + Arbeitgeberabgaben ca. 35-42 Prozent + Recruiting-Agentur 15-25 Prozent des ersten Jahresgehalts = 20.000-45.000 Euro, + Onboarding, Hardware, Konten). Langfristiger Betrag sinkt danach auf 180.000-250.000 Euro/Jahr, bleibt aber deutlich hoeher als vCISO.

3-Jahres-Szenario

Ueber drei Jahre gerechnet zeigen sich die Unterschiede deutlicher:

vCISO: 180.000 bis 216.000 Euro (konsistent, skalierbar, bei Bedarf einfach senken oder erhoehen).

Interim CISO: 48.000 bis 180.000 Euro (je nach Projektdauer; ab 12+ Monaten wirtschaftlich weniger sinnvoll, da Kosten gegen Vollzeit-CISO konvergieren).

Vollzeit-CISO: 480.000 bis 750.000 Euro (180.000-250.000 Euro pro Jahr, dazu kommen Verguetungsanpassungen, Bonusse, potenzielle Fluktuation und Neubesetzungskosten).

Vergleich: Verfuegbarkeit und Flexibilitaet

Virtual CISO: Flexibel skalierbar von 2 bis 40+ Stunden pro Monat. In Krisenzeiten ist kurzfristige Mehrkapazitaet moeglich (weitere Tage oder Wochen mit Prioritaet). Kein Einstellungsprozess, direkt operational. Risiko: Ein einzelner vCISO ist ein Single Point of Failure; etablierte vCISO-Anbieter haben typischerweise Teams im Ruecken.

Interim CISO: Nach Einsatzstart vollstaendig verfuegbar, fuer die vereinbarte Dauer. Gut planbar, wenn das genaue Projekt und die Dauer klar sind. Nachteil: Nach Ende des Interim-Einsatzes ist die Expertenkapazitaet weg. Wissensverlust und Kontinuitaet sind zu managen.

Vollzeit-CISO: Permanent verfuegbar, aber mit klassischen HR-Risiken: Urlaub, Krankheit, Kuendigung, Motivationsphasen. Recruiting und Onboarding (typisch 2 bis 4 Monate) verursachen zeitliche Luecken. Ist die Person dann weg, entsteht eine teure und laengliche Neubesetzung.

Faehigkeiten und Expertise: Was jedes Modell leistet

Virtual CISO

Staerken: Breite Erfahrung ueber viele Unternehmen und Branchen. Typischerweise 15+ Jahre Cybersecurity, davon 10+ in CISO-Rollen. Kann schnell Luecken identifizieren, bewiesene Prozesse anwenden, Best Practices aus anderen Kontexten transferieren. Weniger konfrontativ mit internen Politiken, aussen stehende Perspektive.

Schwaechen: Weniger intensive tagesgesteuerte Praesenz. Bei sehr technischen Details oder operativen Krisenreaktionen (z.B. bei laufender Incident Response) braucht es interne IT-Unterstuetzung. Remote-Zusammenarbeit erfordert Disziplin und klare Kommunikation. Nicht Part-time loesbar bei kontinuierlichen Compliance-Audits mit harten Deadlines.

Interim CISO

Staerken: Volle Praesenzkompetenz, ueberblickt schnell Organisationskultur und politische Strukturen. Bringt typischerweise 10+ Jahre CISO-Erfahrung mit. Kann kurzfristig Stabilitaet bringen nach Krisenfall oder in Vakanzsituationen. Intensive Hands-on-Arbeit, schnelle Ergebnisse in definierten Projektlaufzeiten.

Schwaechen: Projekt-Mentalitaet versus kontinuierliche Governance. Nach dem Interim-Einsatz ist die Expertise weg. Wissensverlust und Kontinuitaetsbruch. Teurer als vCISO pro Stunde. Nicht ideal fuer langfristige Strategiearbeit. Oefters Interessenskonflikte, wenn Interim-CISO auch als externe Berater Projekte abrechnen moechte.

Vollzeit-CISO

Staerken: Permanente Verfuegbarkeit und tiefe Kenntnis der Unternehmensorganisation. Teil des Leadership Teams, direkte Einflusslinie. Kann langfristige Transformationen vorantreiben. Unternehmenskulturell verankert, nicht Auenstehende. Bei grosseren Teams unter sich (bei groesseren Unternehmen) kann eine CISO-Abteilung aufgebaut werden.

Schwaechen: Hohe Fixkosten unabhaengig vom tatsaechlichen Bedarf. HR-Risiken: Fluktuation, Krankheit, Motivationsverlust verursachen Luecken. Onboarding-Zeit von 2 bis 4 Monaten vor erster Produktivitaet. Schwieriger, ueber Markttrends up-to-date zu bleiben ohne aeussere Perspektive. Personalentwicklung und Gehaltfestlegung kompliziert.

Entscheidungsmatrix: Welches Modell fuer welche Situation?

Waehle Virtual CISO, wenn:

Unternehmengroesse 50 bis 400 Mitarbeiter und kontinuierliche CISO-Funktion gebraucht, aber kein Vollzeit-Budget.

NIS2 oder ISO 27001 Compliance ansteht, aber kein akuter Krisenfall vorliegt.

Branche mit moderater Regulierung (z.B. Mittelstands-Logistik, Produktion, E-Commerce ohne Zahlungsverkehr).

Strategische Cybersecurity-Reifung noetig, ohne sofort grosse interne Teams aufbauen zu wollen.

Budget-Flexibilitaet wichtig (schnell hoch- oder runterfahren nach Bedarf).

Waehle Interim CISO, wenn:

Akute Vakanz aufgrund Kuendigung oder Fluktuation; Neubesetzung dauert noch 2 bis 3 Monate.

Nach Cyberangriff oder Sicherheitsvorfalls Krisenbewaltigung noetig und interne CISO-Kapazitaet belastet.

Grosseres Compliance-Projekt mit klarem Enddatum (z.B. Zertifizierung nach ISO 27001 oder NIS2 Initial Assessment).

Ueberbrueckung bis zur Vollzeit-Besetzung oder als Trainingsstelle fuer potenzielle interne Nachfolgekraft.

Sehr intensive vor-Ort-Arbeit noetig fuer 2 bis 6 Monate; dann wieder Rueckkehr zu leichterer CISO-Betreuung.

Waehle Vollzeit-CISO, wenn:

Unternehmensgroesse ab 500 Mitarbeiter oder staerkeres internes Security-Team aufbauen geplant.

Hochregulierte Branche (Finanzdienstleistungen, Versicherungen, Kritische Infrastruktur, Gesundheitswesen mit HIPAA-Anforderungen).

C-Suite-Hierarchie und Governance erfordern permanente Praesenztroepfchen im Vorstand.

Langfristige Transformation und Kulturwandel ueber 3+ Jahre geplant; vCISO zu episodisch.

Groesseres internes Security-Team zu managen (10+ Personen), das interne Fuehrung braucht.

Praktische Hybrid-Ansaetze

Die Realitaet ist oft hybrider. Einige Unternehmen kombinieren Modelle, um Stärken zu nutzen und Schwächen zu kompensieren:

vCISO plus Interim CISO fuer Projektphase: Langfristiger vCISO liefert kontinuierliche Strategie. Fuer eine 3-Monats-Compliance-Initiative kommt ein Interim CISO hinzu mit intensiver Projektarbeit. Kostet insgesamt ca. 80.000 bis 100.000 Euro/Jahr, ist aber strukturierter als nur Interim.

vCISO plus interne IT Security Manager: vCISO steuert Strategie, interne Person managt tagesoperativ (Compliance-Checklisten, Vendor-Management, User-Training). Guter Mix fuer 150 bis 300 Mitarbeiter Unternehmen. Interne Person kostet ca. 60.000 bis 80.000 Euro/Jahr, vCISO 60.000 bis 72.000 Euro.

Vollzeit-CISO plus vCISO als Sparring Partner: Groessere Unternehmen mit eigener CISO-Abteilung nutzen externe vCISO zum strategischen Sparring, fuer Trend-Monitoring, oder als Backup bei Abwesenheit (Urlaub, Krankheit). Kostet 20.000 bis 30.000 Euro/Jahr, ist aber Versicherung gegen Luecken.

Zeitleiste und Onboarding-Speed

Virtual CISO

Start: typisch 1 bis 2 Wochen Vertragsabschluss bis zum ersten Planning Meeting. Erste Aktivitaeten (Gap-Analyse) innerhalb von 2 Wochen moglich. Erste Erkenntnisse nach 4 bis 6 Wochen. Braucht stabiles internes IT-Team als Ansprechpartner.

Interim CISO

Start: 2 bis 4 Wochen fuer Vertragsabschluss und Background-Check. Intensive Onboarding-Phase Woche 1 bis 2 (Organisation, Systeme, Briefings). Produktiv ab Woche 3. Verlaesst die Rolle nach vereinbarter Dauer mit Wissenstransfer-Phase (typisch 2 bis 4 Wochen ueberlappend mit Nachfolger, falls intern).

Vollzeit-CISO

Start: 4 bis 12 Wochen Recruiting und Verhandlung. Eintritt typisch 2 bis 4 Wochen nach Zusage. Onboarding-Phase 2 bis 4 Monate, erst danach volle Produktivitaet. Kurz: vom Entschluss zur Besetzung sind es minimal 3 bis 4 Monate, realistisch 4 bis 6 Monate.

Rechtliche und organisatorische Aspekte

Virtual CISO

Vertragstyp: Service Agreement mit Retainer-Modell, klare Leistungsbeschreibung, SLAs (z.B. Reaktionszeit 24 Stunden, Verfuegbarkeit 95 Prozent).

Versicherung: Der vCISO-Anbieter sollte Berufshaftpflichtversicherung haben.

Vertraulichkeit: NDA ist standard, aber vCISO ist nicht angestellt und sieht vertrauliche Daten; klare Datenschutz-Vereinbarung noetig (GDPR, falls Mitarbeiter-Daten involviert).

Vertragsflexibilitaet: Typisch 3 bis 12 Monate Mindestvertragslaufzeit mit Kuendigungsmoeglichkeit zum Ende, monatliche Verlaengerung nach Ablauf.

Interim CISO

Vertragstyp: Freiberufler oder B2B-Service-Agreement mit klarem Projektumfang und Dauer (z.B. 6 Monate ab Startdatum). Oft kombiniert mit Stundensaetzen fuer Mehrstunden.

Versicherung: Berufshaftpflichtversicherung des Interim-CISO oder der Staffing-Agentur noetig.

Vertragsflexibilitaet: Begrenzte Flexibilitaet, definiertes Projektende; Verlaengerung ist neue Vertragsverhandlung.

Vollzeit-CISO

Vertragstyp: Unbefristeter Arbeitsvertrag mit Probierzeit (typisch 6 Monate), Gehalt, Bonusregelungen, Zielvereinbarungen (SMART-Goals).

Versicherung: Standard-Betriebshaftpflicht des Arbeitgebers deckt ab; Direktors & Officers Liability ratsam fuer C-Suite.

Vertragsflexibilitaet: Laengliche Kuendigungsfristen (typisch 4 bis 6 Wochen). Trennung braucht saubere Dokumentation (Leistungsbeurteilung, ggf. Abmahnung).

Haeufige Fehlerquellen bei der Auswahl

vCISO unterschaetzt, weil Remote: Remote heisst nicht weniger Expertise. Ein erfahrener vCISO liefert oft schnellere, bessere Erkenntnisse als eine less-erfahrene Vollzeitkraft. Die Frage ist nicht Ort, sondern Kompetenz.

Interim CISO zu lange behalten: Viele Unternehmen halten Interim-CISOs 12 bis 18 Monate, waehrend sie versuchen, eine Vollzeitkraft zu finden. Dann ist der Interim selbst fast so teuer wie Vollzeit, fehlt aber die Kontinuitaet. Besser: vCISO als Dauerloesungh oder aggressives Vollzeit-Recruiting parallel.

Vollzeit-CISO ohne richtige Vorbereitung: Viele Unternehmen stellen einen CISO ein, haben aber keine funktionierende IT-Governance, keine definierten Prozesse, keine Compliance-Baseline. Der neue CISO erbt ein Chaos und braucht dann selbst 6 bis 12 Monate, um die Basis zu schaffen. vCISO vorab waere often gescheiter gewesen.

Zu lax bei der Vendor-Auswahl: Nicht alle, die sich vCISO oder Interim CISO nennen, haben 10+ Jahre CISO-Erfahrung. Einige sind Cloud Security Consultants oder IT-Projektmanager. References und Fallstudien checked? Track Record bewertbar?

Die richtige Kombination finden: Checkliste

Unternehmensgrose: Unter 200 MA: vCISO oder Interim fuer Projekte. 200-500 MA: vCISO oder Hybrid (vCISO plus interner IT Security Manager). Ueber 500 MA oder hochreguliert: ernsthaft Vollzeit-CISO erwaegen.

Budget: Unter 100.000 Euro/Jahr verfuegbar: vCISO ist einzig realistische Loesung. 100.000-150.000 Euro: vCISO plus interner Tech Lead ist optimal. Ueber 150.000 Euro: Vollzeit-CISO ist Option, aber nicht zwingend besser als guter vCISO.

Urgenz: Akuter Krisenfall oder Vakanz: Interim CISO innerhalb 2 bis 4 Wochen. Strategische Aufruestung: vCISO within 2 weeks. Groessere Transformation: Vollzeit-CISO mit 3 bis 6 Monaten Leadtime realistisch.

Regulierung: Moderat (NIS2, ISO 27001): vCISO ist vollstaendig ausreichend. Hoch (Banking, Versicherung, PII-Daten): Vollzeit-CISO oder intensive Hybrid-Loesung ratsam.

Existierende IT-Governance: Starke interne IT: vCISO kann direkt operational werden. Schwache oder fehlende Governance: Interim CISO oder vCISO mit intensiverem Onboarding noetig, um Strukturen zu schaffen.

Fazit: Die richtige Wahl ist strategisch

Es gibt keine universelle Loesung. Ein Virtual CISO ist nicht immer die guenstige Option und nicht immer ausreichend. Ein Vollzeit-CISO ist nicht zwingend besser nur weil teurer. Und ein Interim CISO ist kein Wundermittel fuer Leidenschaft-Situationen.

Die Entscheidung haengt von drei Faktoren ab: Unternehmensgroesse und -komplexitaet, Budget-Flexibilitaet, und wie lange die CISO-Funktion permanent noetig ist. Fuer den typischen Mittelstaendler mit 100 bis 300 Mitarbeitenden ist der Virtual CISO oft die intelligenteste Wahl: hohe Expertise ohne die HR-Last und die Fixkosten einer Vollzeitstelle.

Der wichtigste Faktor ist nicht die Vertragsform, sondern die Kompetenz und der kulturelle Fit der Person. Ein exzellenter vCISO liefert mehr Wert als ein mittelmäßiger Vollzeit-CISO. Hier gilt: sorgfältig auswählen, egal welches Modell.

Du schwaenkst noch, welches Modell passt? Ein kostenloses 30-Minuten-Gespräch klärt, welche Lösung für dein Unternehmen strategisch sinnvoll ist.