Cybervize - Cybersecurity Beratung
Alle Artikel

Virtual CISO: Der komplette Guide fuer den Mittelstand 2026

Alexander Busse·6. März 2026

Der Fachkraeftemangel in der Cybersicherheit trifft den deutschen Mittelstand mit voller Wucht: Zehntausende IT-Sicherheitsstellen bleiben unbesetzt, waehrend regulatorische Anforderungen wie NIS2 und DORA die Messlatte hoeher legen. Gleichzeitig steigen die Kosten fuer einen Vollzeit-CISO auf 150.000 bis 250.000 Euro jaehrlich. Fuer viele Unternehmen ist das weder finanzierbar noch notwendig.

Die Loesung: Ein Virtual CISO (vCISO) liefert strategische Cybersecurity-Fuehrung auf C-Level, ohne die Fixkosten einer Vollzeitstelle. Dieser Guide fasst alles zusammen, was Geschaeftsfuehrer und IT-Verantwortliche im Mittelstand ueber das vCISO-Modell wissen muessen.

Was genau macht ein Virtual CISO?

Ein Virtual CISO ist ein erfahrener Cybersecurity-Experte, der die strategische Sicherheitsverantwortung eines Unternehmens uebernimmt, ohne fest angestellt zu sein. Er arbeitet typischerweise remote und auf Teilzeitbasis, bringt aber dieselbe Expertise mit wie ein interner CISO in einem Konzern.

Die Kernaufgaben umfassen:

Entwicklung und Steuerung der Cybersicherheitsstrategie als uebergeordneter Rahmen fuer alle Sicherheitsmassnahmen. Der vCISO uebersetzt Geschaeftsziele in Sicherheitsanforderungen und priorisiert Investitionen basierend auf der tatsaechlichen Risikolage.

Aufbau und Pflege eines Informationssicherheits-Managementsystems (ISMS) nach etablierten Frameworks wie ISO 27001 oder BSI IT-Grundschutz. Dabei geht es nicht um Papierberge, sondern um praktikable Prozesse, die zum Unternehmen passen.

Risikomanagement und Risikoregister als lebendiges Steuerungsinstrument. Jedes identifizierte Risiko erhaelt einen Verantwortlichen, eine Priorisierung und realistische Fristen fuer Gegenmassnahmen.

Compliance-Steuerung fuer regulatorische Anforderungen wie NIS2, ISO 27001, DORA oder branchenspezifische Vorgaben. Der vCISO stellt sicher, dass Compliance nicht zur reinen Papieruebung verkommt, sondern echten Schutz bietet.

Management-Reporting in Geschaeftssprache: Welche Risiken bedrohen welche Geschaeftsziele? Was kostet Sicherheit, was kosten potenzielle Vorfaelle? Klarheit statt Technobabble.

Ein guter vCISO ist kein externer Berater, der einen Report schreibt und verschwindet. Er ist ein strategischer Partner, der regelmaessig und strukturiert mit dem Unternehmen arbeitet.

Warum der Mittelstand jetzt einen vCISO braucht

Drei Entwicklungen machen das vCISO-Modell fuer mittelstaendische Unternehmen aktuell besonders relevant:

NIS2 ist in Kraft. Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz. Betroffene Unternehmen muessen nachweisen, dass sie Cybersicherheit als Managementaufgabe ernst nehmen. Die Geschaeftsfuehrung haftet persoenlich. Ein vCISO liefert genau die Strukturen und Nachweise, die Aufsichtsbehoerden erwarten.

Cybersicherheit ist Fuehrungsaufgabe, kein Tool-Problem. Viele Unternehmen investieren Jahr fuer Jahr mehr in Security-Tools, doch die Risiken steigen trotzdem. Der Grund: Angreifer greifen nicht die Tools an, sondern die Luecken zwischen ihnen. Ohne klare Verantwortlichkeiten, messbare Prozesse und strategische Steuerung entsteht ein Flickenteppich aus Einzelloesungen, der mehr Sicherheitsillusionen als echten Schutz bietet.

Der CISO-Markt ist leer. Qualifizierte CISOs mit 10+ Jahren Erfahrung sind rar und teuer. Die Gehaltsforderungen liegen bei 120.000 bis 180.000 Euro Grundgehalt, dazu kommen Nebenkosten, Recruiting-Aufwand und das Risiko einer Fehlbesetzung. Ein vCISO ab 3.600 Euro pro Monat bietet dieselbe Expertise bei einem Bruchteil der Kosten.

vCISO vs. Interim CISO vs. Vollzeit-CISO: Welches Modell passt?

Die Begriffe werden oft vermischt, aber die Modelle unterscheiden sich grundlegend:

Der Virtual CISO arbeitet remote und auf Teilzeitbasis als langfristiger strategischer Partner. Er eignet sich fuer Unternehmen, die eine kontinuierliche CISO-Funktion benoetigen, aber keine Vollzeitstelle finanzieren koennen oder wollen. Typisch: 2 bis 8 Tage pro Monat, ab 3.600 Euro monatlich.

Der Interim CISO uebernimmt die Rolle vollstaendig und ist oft vor Ort taetig. Er kommt bei akuten Vakanzen, nach Cyberangriffen oder fuer regulatorische Projekte zum Einsatz. Die Einsatzdauer ist typischerweise auf 3 bis 12 Monate begrenzt, der Aufwand liegt bei 40+ Stunden pro Monat.

Der Vollzeit-CISO ist fest angestellt und Teil der Fuehrungsmannschaft. Dieses Modell lohnt sich erst ab einer Unternehmensgroesse, die eine permanente Vollzeitrolle rechtfertigt, typischerweise ab 500+ Mitarbeitenden oder in stark regulierten Branchen.

Die Entscheidung haengt von drei Faktoren ab: der Unternehmensgroesse, der regulatorischen Betroffenheit und der aktuellen Sicherheitsreife. Fuer die Mehrheit der mittelstaendischen Unternehmen mit 50 bis 500 Mitarbeitenden ist der vCISO das wirtschaftlichste und flexibelste Modell.

Wie ein vCISO-Engagement in der Praxis aussieht

Ein professionelles vCISO-Engagement folgt einem strukturierten Ablauf. Die ersten 90 Tage sind dabei entscheidend.

Phase 1: Bestandsaufnahme (Woche 1 bis 3)

Der vCISO verschafft sich einen vollstaendigen Ueberblick: Asset-Inventar konsolidieren, bestehende Sicherheitsmassnahmen bewerten, regulatorische Anforderungen erfassen. Das Ergebnis ist eine ehrliche Standortbestimmung, die zeigt, wo das Unternehmen steht und wo die groessten Luecken liegen.

Phase 2: Risikoregister und Governance (Woche 4 bis 6)

Workshops mit IT, Geschaeftsfuehrung und Schluesselbereichen identifizieren die groessten Risiken fuer Geschaeftsprozesse. Der vCISO baut ein Risikoregister auf und definiert klare Verantwortlichkeiten mit einer RACI-Matrix: Wer ist verantwortlich, wer entscheidet, wer wird konsultiert, wer informiert.

Phase 3: Massnahmenplan und Quick Wins (Woche 7 bis 9)

Aus dem Risikoregister leitet der vCISO einen priorisierten Massnahmenplan ab, nach dem Pareto-Prinzip: Welche 20 Prozent der Massnahmen reduzieren 80 Prozent der Risiken? Sofortmassnahmen werden direkt umgesetzt, Kurzfristmassnahmen fuer die naechsten 1 bis 3 Monate geplant, Strategieprojekte fuer 3 bis 12 Monate aufgesetzt.

Phase 4: KPIs und Reporting (Woche 10 bis 12)

Messbare Kennzahlen machen den Fortschritt sichtbar: Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), Patch-SLA-Einhaltung, Backup-Restore-Rate, Phishing-Quote. Ein monatliches Dashboard und ein quartalsweiser Management-Report schaffen Transparenz auf C-Level.

Nach den ersten 90 Tagen geht das Engagement in den Regelbetrieb ueber: monatliche Security Boards, kontinuierliche Risikobewertung, Compliance-Monitoring und regelmaessige Wirksamkeitskontrollen.

vCISO und NIS2: Warum das zusammengehoert

NIS2 verlangt von betroffenen Unternehmen nicht nur technische Massnahmen, sondern explizit eine Verankerung der Cybersicherheit auf Managementebene. Geschaeftsfuehrer muessen nachweisen, dass sie Risiken kennen, bewerten und steuern. Genau das ist die Kernkompetenz eines vCISO.

Konkret liefert der vCISO fuer NIS2:

Gap-Analyse und Betroffenheitspruefung: Faellt Ihr Unternehmen unter NIS2? Welche Anforderungen gelten spezifisch? Wo stehen Sie heute? Diese Fragen klaert der vCISO systematisch und dokumentiert die Ergebnisse nachweisbar.

Risikomanagement nach Artikel 21: NIS2 fordert ein risikobasiertes Sicherheitskonzept. Der vCISO baut genau diese Strukturen auf, mit Risikoregister, Massnahmenplan und regelmaessiger Ueberprüfung.

Meldepflichten und Incident Response: Sicherheitsvorfaelle muessen innerhalb von 24 Stunden gemeldet werden. Der vCISO etabliert die nötigen Prozesse und sorgt dafuer, dass das Unternehmen im Ernstfall handlungsfaehig ist.

Schulung der Geschaeftsfuehrung: NIS2 verlangt, dass die Geschaeftsleitung ausreichend geschult ist. Der vCISO uebernimmt diese Schulungen und stellt sicher, dass Fuehrungskraefte ihre Pflichten kennen.

Worauf bei der Auswahl eines vCISO achten?

Nicht jeder, der sich vCISO nennt, bringt die noetige Tiefe mit. Fuenf Kriterien helfen bei der Auswahl:

Nachweisbare Fuehrungserfahrung: Ein vCISO muss auf C-Level kommunizieren koennen. Achten Sie auf Erfahrung in vergleichbaren Unternehmen, nicht nur auf technische Zertifikate. CISSP, CISM oder ISO 27001 Lead Auditor sind Baseline, aber kein Ersatz fuer strategische Kompetenz.

Branchenverstaendnis: Finanzdienstleister haben andere Anforderungen als Fertigungsunternehmen. Ein guter vCISO kennt Ihre branchenspezifischen Risiken und regulatorischen Rahmenbedingungen.

Klarer Leistungsumfang: Was genau ist im Retainer enthalten? Wie werden Zusatzleistungen abgerechnet? Transparenz hier schuetzt vor boesen Ueberraschungen.

Verfuegbarkeit und Backup: Wie schnell ist der vCISO in einer Krise erreichbar? Gibt es ein Backup-Team? Ein einzelner Berater ohne Hintergrundteam ist ein Risiko.

Strategischer Ansatz statt Tool-Fokus: Wenn ein vCISO-Anbieter im ersten Gespraech Produkte verkaufen will statt nach Ihren Geschaeftszielen zu fragen, ist das ein Warnsignal. Gute vCISOs verstehen, dass Cybersicherheit eine Fuehrungsaufgabe ist.

Kosten und ROI: Was ein vCISO wirklich kostet

Die gaengigsten Preismodelle im deutschen Markt sind Retainer-basiert. Typische Kostenrahmen:

Basis (bis 20 Stunden/Monat): 3.600 bis 4.500 Euro monatlich. Grundlegende CISO-Funktion mit Risikoanalyse, monatlichem C-Level-Meeting und Beratung im Kontingent.

Standard (bis 40 Stunden/Monat): 4.900 bis 6.500 Euro monatlich. Erweiterte Betreuung mit Compliance-Steuerung, woechentlichen Abstimmungen und Ad-hoc-Beratung.

Premium (40+ Stunden/Monat): Individuell. Vollumfaengliche CISO-Funktion mit taeglichen Updates, Krisenreaktion und individualisiertem Reporting.

Gegenueber einem Vollzeit-CISO mit Gesamtkosten von 150.000 bis 250.000 Euro jaehrlich spart ein vCISO typischerweise 50 bis 75 Prozent. Dazu kommt: kein Recruiting-Aufwand, kein Einarbeitungsrisiko, sofortiger Zugriff auf breite Expertise.

Fazit: Strategische Sicherheit muss nicht teuer sein

Der Virtual CISO ist fuer den Mittelstand das, was der externe Steuerberater fuer die Finanzen ist: ein erfahrener Spezialist, der strategische Verantwortung uebernimmt, ohne auf der Gehaltsliste zu stehen.

Mit NIS2, steigenden Cyberrisiken und dem anhaltenden Fachkraeftemangel ist das vCISO-Modell nicht nur die wirtschaftlichere, sondern oft auch die bessere Loesung. Wer heute die richtigen Strukturen schafft, ist morgen nicht nur besser geschuetzt, sondern auch compliance-ready fuer kommende regulatorische Anforderungen.

Cybersicherheit ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Prozess. Ein vCISO stellt sicher, dass dieser Prozess professionell gesteuert wird.

Sie moechten wissen, wo Ihr Unternehmen steht? Ein kompakter 45-Minuten-Check gibt Ihnen eine erste Standortbestimmung und zeigt konkrete naechste Schritte auf.

Zurück zur Übersicht

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren
Jahresrückblick

Cybervize Jahresrückblick | 2021 | Teil 1

41 minAnhoeren
Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

Interim CISO

Sofortige Sicherheitsexpertise für Übergangsphasen und kritische Projekte.

Mehr erfahren

Weitere Artikel

Was kostet ein Virtual CISO wirklich? Deep Dive in vCISO-Preise und ROI

Retainer, Projekt-basiert, Stundensatz oder hybrid? Konkrete Preis-Ranges im DACH-Markt (EUR 2.500-15.000/Monat), versteckte Kosten, ROI-Berechnung und ein Leitfaden zur Budgetierung von Virtual CISO Lösungen.

6. März 2026

Virtual CISO und NIS2: Wie ein vCISO bei der Compliance hilft

NIS2 ist Pflicht. Erfahren Sie, wie ein Virtual CISO Mittelstandsunternehmen systematisch zu NIS2-Compliance bringt: in 12 Monaten, mit realistischen Kosten, ohne Vollzeit-Einstellung.

6. März 2026

vCISO vs. CISO: Welches Modell passt zu Ihrem Unternehmen?

Virtual CISO, Interim CISO oder Vollzeit-CISO? Detaillierter Vergleich mit Kosten, Verfuegbarkeit, Faehigkeiten und einer klaren Entscheidungsmatrix fuer jedes Unternehmen.

6. März 2026