Cybervize - Cybersecurity Beratung
Alle Artikel

Was kostet ein Virtual CISO wirklich? Deep Dive in vCISO-Preise und ROI

Alexander Busse·6. März 2026

Was kostet ein Virtual CISO wirklich? Das ist die erste Frage, die Mittelstaendler stellen, wenn sie ihre Cybersecurity auf den naechsten Level bringen wollen. Die ehrliche Antwort: Es kommt darauf an. Aber ein guter vCISO ist fast sicher billiger und flexibler als Sie denken. Dieser Deep Dive zeigt die realen Preismodelle, versteckte Kosten, und vor allem: die echte ROI einer CISO-as-a-Service-Loesung.

Die vier Preis- und Vertragsmodelle im DACH-Markt

Es gibt nicht nur einen vCISO-Tarif. Je nach Anbieter und Umfang funktionieren unterschiedliche Abrechnungsmodelle:

1. Retainer (monatlicher Fixpreis)

Das Modell: Fester monatlicher Betrag fuer vereinbarte Stunden und Verfuegbarkeit. Typisch 3 bis 8 Tage pro Monat je nach Paket.

Ideal fuer: Stabilitaet und Budgetplanbarkeit. Unternehmen kennen ihre monatlichen Cybersecurity-Kosten exakt.

Preisrange DACH-Markt: EUR 2.500 bis 15.000 pro Monat, je nach Senioriaet und Umfang.

Vorteil: Kalkulierbar, kein Schock bei der Rechnung. Verfuegbarkeit fest zugesagt. Idealerweise mit Surge-Capacity-Option (extra Tage in Krisenzeiten).

Nachteil: Zahlst du auch im Monat, wenn wenig zu tun ist. Und wenn der Bedarf ploetzlich um 50 Prozent steigt, braucht es Neuverhandlung oder Zusatzkosten.

2. Projekt-basiert (Pauschalpreis pro Projekt)

Das Modell: Ein definiertes Projekt (z.B. NIS2-Readiness-Check, ISO-27001-Zertifizierungsvorbereitung) wird mit Fixpreis abgerechnet.

Ideal fuer: Zeitlich begrenzte Vorhaben mit klarem Scope.

Preisrange DACH-Markt: EUR 15.000 bis 45.000 pro Projekt, je nach Komplexitaet und Laufzeit.

Vorteil: Kosten sind festgeschrieben. Lieferumfang ist explicit definiert. Keine Ueberraschungen.

Nachteil: Scope-Creep ist ein Risiko. Wenn waehrend des Projekts neue Anforderungen auftauchen (neue Regulierung, Incident Response noetig), entstehen Zusatzkosten oder Verzug.

3. Stundenhonorar (flexible Abrechnung)

Das Modell: Pro Stunde nach Aufwand abgerechnet. Typische Stundensaetze fuer erfahrene vCISOs: EUR 150 bis 350 pro Stunde.

Ideal fuer: Unternehmen mit unplanbar variierendem Bedarf oder fuer Ad-hoc-Consulting.

Vorteil: Zahlst nur fuer tatsaechlich geleistete Zeit. Perfekt fuer gelegentliche Fragen oder Audits.

Nachteil: Budget ist nicht vorhersagbar. Risiko: vCISO erbringt ineffiziente Arbeit und die Rechnung wird ploetzlich gross. Auch: Stundenhonorar zeigt oft geringeres Commitment als Retainer.

4. Hybrid-Modell (Basis + Variabel)

Das Modell: Retainer-Basis (z.B. EUR 4.000/Monat fuer 4 Tage) plus Zusatzstunden zu reduzierten Saetzen (EUR 120 bis 200/Stunde fuer Mehrarbeit).

Ideal fuer: Realistische Szenarien mit Unklarenheiten im Bedarf.

Vorteil: Kalkulierte Basis-Verfuegbarkeit, aber Flexibilitaet fuer Spitzen. Guter vCISO-Anbieter bevorzugt dieses Modell.

Konkreter Kosten-Ueberblick: Einstieg bis Enterprise

Startup / kleines Unternehmen (bis 50 Mitarbeiter)

Modell: Typisch Stundenhonorar oder monatlicher Mini-Retainer.

Umfang: 1 bis 2 Tage pro Monat, fokussiert auf Gründer-Fragen, erste Kompliancestrukturen, Basis-Sicherheit.

Kosten: EUR 1.500 bis 2.500 pro Monat (oder EUR 200-250/Stunde fuer ad-hoc Beratung).

Typische Fragestellungen: Sollen wir Cloud-Tools verwenden? Wie bauen wir erste IT-Security-Policies auf? Ist ISO 27001 fuer uns relevant? Sicherheit beim Kundenonsourcing?

KMU / Mittelstand (50-200 Mitarbeiter)

Modell: Retainer mit 3 bis 4 Tagen pro Monat, oder Projekt-Mix (z.B. Grundlage + Jaehrliche Assessments).

Umfang: Laufende Strategie, Compliance-Governance, Vendor-Assessment, Incident Response Planung, monatliche Security-Reviews mit IT-Leitung.

Kosten: EUR 3.600 bis 5.500 pro Monat im Standard-Setup.

Typische Fragestellungen: NIS2-Readiness aufbauen, ISO 27001-Basis-Compliance, Incident Response Prozesse, Mitarbeiter-Security-Training konzipieren, Bedrohungen in unserer Branche verstehen?

Mittelstaendler plus / Etablierte KMU (200-400 Mitarbeiter)

Modell: Retainer mit 5 bis 7 Tagen pro Monat, inklusive Projektarbeit fuer groessere Initiativen.

Umfang: Tiefe Governance, Sicherheitsarchitektur, Multi-Vendor-Sicherheitskoordination, Regulierungs-Tracking (NIS2, GDPR-Ueberwachung), Penetration-Test-Begleitung, interne CISO-Funktion teilweise ersetzen oder unterstuetzen.

Kosten: EUR 5.500 bis 8.000 pro Monat, oder Hybrid-Modell EUR 4.500 Basis + Zusatzstunden.

Typische Fragestellungen: Wie bauen wir ein Security-Operating-Center (SOC) auf? Ist SIEM fuer unsere Groesse sinnvoll? Wie organisieren wir Penetration Testing richtig? Regulierung in unserer Branche?

Groessere KMU / unteres Enterprise (400+ Mitarbeiter)

Modell: Retainer mit 8 bis 15 Tagen pro Monat, oder vCISO als Sparring-Partner fuer eigenen internen CISO.

Umfang: Strategische Cyber-Transformation, Board-Level Reporting, M&A Sicherheits-Due-Diligence, Grossprojekt-Begleitung (Cloud-Migration, System-Modernisierung), eigenes Security-Team anleiten.

Kosten: EUR 8.000 bis 15.000 pro Monat, oder fuer Sparring mit internem CISO EUR 3.000 bis 6.000 (deutlich reduziert, da nur strategisches Coaching, nicht Betrieb).

Was ist in den Kosten enthalten? Und was kostet extra?

Typisch ENTHALTEN in Retainer-Modellen

Basis: Strategische CISO-Gespraeche, monatliche Lagebesprechungen, Dokumentation von Compliance-Status, Recommendations.

Governance-Support: Policy-Entwicklung, Prozess-Design, Vendor-Auswahl-Beratung, Security-Assessment-Planung.

Consulting: Beantwortung von Security-Fragen, Ad-hoc-Beratung (im Umfang enthalten), Recherche zu Trends und Best Practices.

Dokumentation: Lagebericht, Risiko-Roadmap, Compliance-Status-Updates.

Typisch EXTRA KOSTEN

Reisekosten: Falls vCISO vor Ort kommt (Workshops, Audits, Incident Response). Typisch EUR 50 bis 150 pro Anfahrtskilometer, plus Uebernachtung. Viele vCISO-Anbieter arbeiten remote; Vor-Ort ist optional.

Spezial-Tools: Wenn vCISO Spezial-Software braucht (Penetration-Test-Tools, Compliance-Scan-Software). Oft teilbar mit deinen IT-Ressourcen, aber: EUR 200 bis 1.000 extra pro Projekt.

Incident Response Surge: Bei aktivem Cyberangriff kann der vCISO Vollzeitkapazitaet brauchen. Das wird meist nach Stundenhonorar abgerechnet: EUR 150-300/Stunde, unbegrenzte Stunden bis Krise vorbei. Ein groesserer Vorfall kostet leicht EUR 5.000 bis 20.000 extra.

Audit-Support intensiv: Ein externes Compliance-Audit (ISO 27001, NIS2) braucht oft 20 bis 40 Stunden vCISO-Zeit waehrend des Audits. Je nach Modell ist das in einem Projekt-Paket enthalten, oder kostet EUR 3.000 bis 8.000 extra.

Schulungs-Facilitation: Wenn der vCISO Trainings fuer dein Team haelt (Security-Awareness, Policy-Trainings), wird das oft extra berechnet: EUR 200-300/Stunde fuer Vorbereitung und Durchfuehrung.

Board-Praesentation: Wenn vCISO vor dem Aufsichtsrat oder der Geschaeftsfuehrung praesent sein muss, ist das oft extra Zeit: EUR 500-2.000 pro Termin (Vorbereitung + Praesentz).

ROI und Wirtschaftlichkeit: Warum ein vCISO sich lohnt

Der Kosten-Impact eines Sicherheitsvorfalls

Das ist die wichtigste Zahl: Was kostet ein Datenschutzunfall oder Cyberangriff in der Realitaet?

Durchschnittliche Schadenskosten (DACH-Markt, Mittelstand): EUR 3 bis 5 Millionen fuer ein mittleres Unternehmen mit 100-300 Mitarbeitern.

Das setzt sich zusammen aus: Forensic-Untersuchung EUR 50.000-150.000. Incident Response und System-Neuaufbau EUR 500.000-2.000.000. Haftungen und Regulator-Strafen EUR 500.000-1.500.000 (je nach GDPR-Verstaendigung). Geschaeftsverlust durch Downtime, Kundenabwanderung EUR 1.000.000-2.000.000. Versicherungs-Selbstbeteigung und Praemien-Erhoeht EUR 200.000-500.000.

Real Case (anonym, Mittelstand): Ein Unternehmen mit 150 Mitarbeitern wurde Opfer von Ransomware. Keine funktionierende CISO-Governance, chaotische Backup-Strategie. Forensik EUR 120.000, Wiederherstellung EUR 800.000, Verhandlung mit Kriminellen EUR 150.000 bezahlt (falsch, aber Panik), GDPR-Verstaendigung EUR 200.000, Geschaeftsverlust EUR 600.000. Total: EUR 1.87 Millionen. Ein vCISO haette geschaetzt EUR 60.000 im Jahr gekostet und das haette 95 Prozent verhindert.

Regulatorische Strafen: GDPR und NIS2

GDPR-Bussgeld: Bis zu EUR 20 Millionen oder 4 Prozent des globalen Umsat, je nachdem, was hoeher ist. Realistische Spanne fuer Mittelstand: EUR 100.000 bis 1.000.000 pro Vorfall.

NIS2 (ab 2025 verpflichtend): Verwaltungs-Bussgeld bis EUR 10 Millionen oder 2 Prozent Umsatz fuer kritische Infrastruktur. Fuer andere: bis EUR 5 Millionen oder 1 Prozent Umsatz. Ein vCISO mit NIS2-Expertise waere hier pure Versicherung.

Versicherungs-Impact: Cyber-Versicherungen (Haftung + Kosten) werden deutlich guenstiger mit Nachweis guter Cyber-Governance. Ein zertifizierter CISO oder vCISO mit nachgewiesenen Prozessen kann deine Praemien um 15 bis 25 Prozent senken (EUR 5.000 bis 20.000/Jahr savings).

Konkrete ROI-Rechnung

Szenario: Mittelstaendler mit 200 Mitarbeitern, EUR 50 Millionen Umsatz. Entschliesst sich fuer vCISO mit EUR 5.000/Monat (EUR 60.000/Jahr).

Kosten: EUR 60.000/Jahr fuer vCISO.

Nutzen Jahr 1: Aufdeckung von 3 kritischen Schwachstellen (ohne vCISO haette das zu EUR 500.000-1.000.000 Folgekosten gefuehrt, wenn attackiert). Praemien-Reduktion durch bessere Governance: EUR 8.000 savings. Einhaltung von neuen Compliance-Anforderungen (NIS2 Vorbereitung), spart spaeter EUR 20.000 Consulting-Kosten. Total Nutzen: EUR 500.000+ (Schadensverhuetung) + EUR 8.000 (Versicherung) + EUR 20.000 (Compliance) = EUR 528.000. ROI: (EUR 528.000 - EUR 60.000) / EUR 60.000 = 8,8x.

Nutzen laufend: Praemien-Reduktion verfestigt sich EUR 8.000-15.000/Jahr. Spaetere Compliance-Projekte werden guenstiger wegen established Baseline. Wenn dann doch mal ein kleinerer Vorfall passiert (Phishing-Kampagne, fehlerhaft konfiguriert Cloud-Service), brauchst du keine Panik-Beratung, die EUR 30.000 kostet, sondern nur dein Retainer.

Die versteckte Kostenquelle: Unkoordinierte Tool-Proliferation

Unternehmen ohne CISO oder vCISO kaufen oft dutzende Cybersecurity-Tools, ohne Koordination:

Realistisches Szenario: IT-Leiter kauft EDR (EUR 10.000/Jahr), Netzwerk-Sensor (EUR 5.000/Jahr), Cloud-Security-Tool (EUR 8.000/Jahr), Vulnerability Scanner (EUR 6.000/Jahr), SIEM-Basis (EUR 15.000/Jahr), DLP-Probe (EUR 4.000/Jahr). Total: EUR 48.000/Jahr fuer teils redundante, teils nicht integrierte Tools. Ein guter vCISO sagt nach 2 Wochen: Braucht ihr wirklich alle sechs? Welche sind redundant? Sollten wir eine Integrations-Plattform nehmen statt sechs Einzeltools? Resultat: EUR 20.000 Ersparnis durch Konsolidierung, allein im Year-2. Das bezahlt den vCISO dreifach.

Hidden Costs of NOT having a CISO or vCISO

Governance Chaos

Das Problem: Ohne CISO-Funktion haben mehrere Leute halbe Aufgaben. IT-Leiter macht Policy-Draft. Compliance-Officer koordiniert Audits. HR traegt Datenschutz. Niemand hat die 360-Grad-Sicht. Resultat: Luecken, Redundanzen, Unsicherheiten.

Der Kostenimpact: Doppelarbeit (z.B. zwei Leute arbeiten an aehnlichen Policies), Verzoegerung von Entscheidungen (niemand traegt Verantwortung), Fehlentscheidungen (z.B. Cloud-Tool ohne Sicherheitsanalyse). Geschaetzter Cost: EUR 30.000-80.000/Jahr an verlorener Produktivitaet und falschen Entscheidungen.

Incident Response Improvisation

Das Problem: Ein Sicherheitsvorfalls tritt auf (Malware, Datenleck, Ransomware). Es gibt keinen etablierten Incident Response Plan, keine Eskalationskette, keine Rollen. Das IT-Team steht herum und versucht zu helfen, tut aber teilweise kontraproduktives (loescht Logs, verbreitet Daten). Forensik wird zum Chaos.

Der Kostenimpact: Im Schnitt verlängt sich ein ungemanagtes Incident Response um 50 bis 100 Prozent (statt 24 Stunden Reaktion: 2 bis 3 Tage). Das bedeutet: Downtime, Datenverlust, schlimmere Folgen. Ein EUR 50.000-Vorfall wird EUR 500.000. Ein vCISO haette ein Incident Response Playbook erstellt (kostet EUR 5.000 in Beratung), und gaenstige Wiederherstellung waere moeglich.

Vendor und Compliance Blindness

Das Problem: Unternehmen haben keinen zentralen Ort, wo alle Vendor-Security-Anforderungen dokumentiert sind. Jeder kauft sein eigenes Tool, jeder stellt andere Fragen. Compliance-Anforderungen (NIS2, GDPR) werden nicht systematisch geprueft. Am Ende: Du echtheit nicht, ob du GDPR-konform bist, und der Kundenscanning-Vendor haelt sich an andere Standards als dein ERP.

Der Kostenimpact: Laufen auf EUR 50.000 Compliance-Audit, wo Auditor alles in Frage stellt, weil keine Dokumentation existiert. Braucht Notfall-Consulting, um Anforderungen zu beschreiben. Vielleicht Bussgelder, wenn etwas uebersehen wurde. Ein vCISO haette eine Compliance-Matrix mit Vendor-Anforderungen gepflegt (2 Stunden pro Monat), und du waerst proaktiv vorbereitet.

Evaluation und Due Diligence: Red Flags und Quality Indicators

Red Flags bei der vCISO-Auswahl

Claim: 'Ich bin vCISO seit 2 Jahren' Das ist zu kurz. Erfahrener vCISO sollte mindestens 10+ Jahre Cybersecurity, davon 5+ Jahre in CISO-Rolle haben. Jemand mit nur 2 Jahren CISO-Erfahrung ist zu unerfahren fuer Strategie-Entscheidungen.

Red Flag: Generalisierte vCISO, nicht Specialist vCISO sagt: 'Ich mache alles: Strategie, Technik, Incident Response, Training.' Das ist unrealistisch. Top vCISOs sind Spezialisten auf 2 bis 3 Gebiete (z.B. GRC + Cloud-Security, oder Incident Response + Compliance). Generalist klingt flexibel, ist aber oft oberflächlich.

Red Flag: Keine Cases oder References vCISO sagt: 'Ich kann nicht ueber Kunden sprechen', aber auch keine Fallstudie zeigen. Verstanden, Confidentiality ist wichtig, aber zumindest sollte ein vCISO sagen: 'Ich habe mit 3 Softwareunternehmen in der Groesse 100-300 Mitarbeitern zusammengearbeitet und ich helped zwei davon zur ISO-27001-Zertifizierung.' Konkretheit ist wichtig.

Red Flag: Niedriger Stundensatz, schnelle Verfuegbarkeit vCISO mit EUR 80/Stunde ist vermutlich zu guenstig. Gut ausgebildete vCISOs kosten EUR 150-300/Stunde. Wenn er/sie 'sofort verfuegbar' fuer einen neuen Kunden ist, hat das Team vielleicht keine anderen Engagements (red flag). Ein gutes vCISO-Team hat Wartezeiten.

Red Flag: Vague Service Definition vCISO-Angebot sagt: 'Kostet EUR 5.000/Monat, wir machen Cybersecurity-Consulting.' Was ist drin? 2 Tage? 5 Tage? Welche Tools? Welche Reaktionszeit? Wenn das Angebot schwammig ist, wirst du geleitet und Streit ist vorprogrammiert.

Red Flag: Kein Incident Response Surge-Modell vCISO sagt, bei Krise faehrt er 'wie immer' seine 3 Tage pro Monat. Das reicht nicht. Gut organisierte vCISO-Anbieter haben ein Surge-Modell: Im Krisenfall EUR 200/Stunde unbegrenzt fuer ein bis zwei Wochen. Wer kein Surge-Modell hat, kann dir in echter Krise nicht helfen.

Quality Indicators fuer einen guten vCISO

Indikator: Zertifikationen + tiefe Erfahrung CISM (Certified Information Security Manager), CISSP, oder CCSK ist gut, aber der echte Indikator ist: 10+ Jahre Cybersecurity, davon 5+ Jahre als CISO oder Chief Security Officer. Keine Zertifikat ersetzt reale Erfahrung.

Indikator: Klare Service Level Agreements (SLAs) Guter vCISO-Vertrag definiert: Verfuegbarkeits-Garantie (z.B. 95 Prozent von 9-17 Uhr, 24/48-Stunden-Reaktion fuer P1-Vorfaelle), Leistungskriterien (z.B. monatlicher Governance Review, Compliance-Status, Risikomap), Abrechnung (Retainer EUR X, Surge EUR Y pro Stunde, was ist in Surge enthalten). Klare Definition schafft gegenseitige Klarheit.

Indikator: Spezialisierung in Branchen / Regulierung vCISO sollte sagen koennen: 'Ich habe 6 Jahre in Finanzdienstleistungen gearbeitet und verstehe Banking-Regulierung, oder: Ich bin Focus auf NIS2 bei Energieunternehmen.' Spezialisierung bedeutet schnellere Ramp-up und bessere Recommendations.

Indikator: Transparente Kosten und kein Scope Creep Guter vCISO-Anbieter ist durchsichtig: EUR X fuer Y Tage, Zusatzstunden EUR Z, reist zu deinem Ort wenn noetig (und zeigt Reisekosten-Struktur). Am wichtigsten: Es gibt clear Scope und Grenzen. 'Wir helfen mit Compliance-Audit, aber nicht mit technischer Implementierung' ist besser als vague Versprechungen.

Indikator: Gestaendnisse und Realismus vCISO sagt: 'Das kann ich, das nicht. Dafuer brauchst du einen Spezialisten.' Nicht jeder vCISO ist gut in Incident Response. Nicht jeder versteht Cloud-Security tief. Realistischer vCISO kennt seine Grenzen und holt ggf. Spezialisten rein. Das zeigt Professionalitaet.

Indikator: Zustaendige Versicherung Der vCISO oder das vCISO-Unternehmen sollte Errors & Omissions (E&O) Versicherung tragen, typisch EUR 1-2 Millionen Deckung. Das zeigt: Wir stehen zu unserem Werk und sind versichert, wenn etwas schief geht.

vCISO-Kosten vs. Vollzeit-CISO: Vollstaendiger Kostenvergleich

5-Jahres-Vergleich: Typisches Szenario (Mittelstaendler, 150 Mitarbeiter)

Szenarien: A) vCISO mit EUR 5.000/Monat Standard-Retainer, B) Vollzeit-CISO angestellt.

vCISO Kosten ueber 5 Jahre: EUR 5.000 x 12 x 5 = EUR 300.000 brutto (keine Inflation, keine Erhoehungen). Realistisch mit 3 Prozent jaehrliche Anpassung: EUR 327.000. Kein Auf- und Abbau, sofort flexible Skalierung nach oben (Surge-Modell) oder unten (wenn Bedarf sinkt, vielleicht nur 2 Tage im Jahr 3). Inklusive: Breite Expertise, externe Perspektive, kein HR-Aufwand.

Vollzeit-CISO Kosten ueber 5 Jahre: Jahr 1: EUR 200.000 (Gehalt EUR 130.000 + Sozialkosten 42 Prozent = EUR 184.600 + Recruiting-Agentur 15 Prozent Gehalt = EUR 19.500 + Onboarding/Setup EUR 4.000). Jahr 2-5: EUR 160.000/Jahr durchschnittlich (Gehalt wird erhoet, 5 Prozent jaehrlich durchschnitt). Total 5 Jahre: EUR 200.000 + (EUR 160.000 x 4) = EUR 840.000. Das ist fast 3x so teuer als vCISO. Dazu kommen HR-Risiken: CISO verlaesst Unternehmen nach Jahr 3 (durchschnittliche Tenure in CISO-Rolle ist 3-4 Jahre), Neubesetzung kostet wieder EUR 200.000 im Jahr 4. Wenn Fluktuation, kostet 5-Jahres-Szenario mit Neubesetzung leicht EUR 1.000.000+.

Flexibility Factor

vCISO: Jahr 1-2: EUR 5.000/Monat (Aufbau-Phase). Jahr 3: Reduktion auf EUR 3.500/Monat (Prozesse stabil, weniger Konfigurationsarbeit). Jahr 4: Bei stabiler Compliance und keinem Wachstum nur EUR 2.500/Monat (strategisches Sparring 1 Tag/Monat). Total real: EUR 250.000 statt EUR 327.000 mit Skalierung nach oben und unten. Das ist der Gewinn-Punkt von vCISO.

Vollzeit-CISO: Fixkosten unabhaengig vom Bedarf. Auch wenn die Compliance-Basis stabil ist, zahlst du 100 Prozent Gehalt. Skalierung nach unten? Nur durch Kuendigung, die rechtlich kompliziert und human schlecht ist. Ein 'Teil-Zeit-CISO' ist kaum eine reale Option in der Praxis.

Praktische Entscheidungs-Szenarien

Szenario 1: Startup mit EUR 5M Umsatz, 40 Mitarbeiter

Situation: Founder will Kunden gewinnen, die Enterprise-Security-Anforderungen haben. Kunden fragen: 'Wie ist eure Security?' Budget limitiert.

Empfehlung: Stundenhonorar vCISO, EUR 150-200/Stunde, Ad-hoc Consulting. Ca. EUR 500-1.000/Monat durchschnittlich. Fokus: Security Policy Draft, Cloud-Security-Review, Datenschutz-Baseline. Nach 6 Monaten: Wenn Customer Acquisition gut laeuft, ist EUR 2.500/Monat Retainer sinnvoll (2 Tage/Monat).

Warum nicht Vollzeit-CISO: EUR 200.000 jaehrlich ist gaenzlich unverhaeltnis. Startup braucht diese Person nur zu 50 Prozent, und in 2 Jahren ist die Compliance vielleicht ausreichend, dann brauchst du sie gar nicht mehr.

Szenario 2: KMU mit EUR 30M Umsatz, 180 Mitarbeiter, Banking-Kunden

Situation: Unternehmen ist in hochwertigen B2B-Segmenten, Bankenkunden verlangen jährliche Sicherheits-Audits. IT-Leiter ist frustriert, allein so viel Security-Governance zu managen. GDPR-Busse sind realistisch ohne Struktur.

Empfehlung: Hybrid-Setup: vCISO mit EUR 6.000/Monat (5-6 Tage/Monat) als CISO-Ersatz. Parallel: Interne IT Security Manager (EUR 65.000 Gehalt) fuer tagesoperativ (Compliance-Tickets, Vendor-Management, User-Training). Total: EUR 6.000 x 12 + EUR 65.000 = EUR 137.000/Jahr. Das ist deutlich billiger als Vollzeit-CISO (EUR 180.000+), gibt dir aber Flaechendeckung: vCISO hat strategisches Backup. Interne Manager hat Praesentz und Kontinuitaet.

Warum diese Kombi: KMU mit hohem Komplianzanforderung braucht beides: externe Expertise (vCISO) und interne kontinuierliche Ansprechperson (IT Security Manager). Vollzeit-CISO allein ist teurere Alternative mit gleichem Ergebnis.

Szenario 3: Enterprise mit EUR 300M Umsatz, 600 Mitarbeiter, hochreguliert

Situation: Unternehmen ist in Finanzdienstleistungen oder kritischer Infrastruktur. CISO sitzt im Vorstand, hat ein 8er Team unter sich. CISO ist gut, aber braucht externe Sparring, um Trends zu tracken und nicht in Unternehmen-Tunnelblick zu fallen.

Empfehlung: Vollzeit-CISO (EUR 180.000-220.000 Gehalt) + externe vCISO-Sparring (EUR 3.500/Monat, 2-3 Tage/Monat fuer Board-Reports, Trend-Briefings, Due-Diligence Reviews). Total: ca. EUR 220.000 + EUR 42.000 = EUR 262.000/Jahr. Das ist ideal: Interne CISO hat Macht und Kontinuitaet, externe vCISO bietet Objektivitaet und Trend-Knowledge.

Warum diese Kombi: Bei dieser Groesse und Regulierungsumfang ist ein Vollzeit-CISO richtig. Aber fuer Selbstverbaenderung (externe Perspektive, Benchmark mit Industrie, unabhaengige Meinung), ist vCISO-Sparring schoener als Beratungs-Agentur-Engagements, die jedesmal EUR 20.000 kosten.

Die vCISO-Kosten-Fazit: Realistische Budgetierung

Ein vCISO kostet nicht zu viel. Ein guter vCISO kostet weniger als du denkst, und deutlich weniger als die Alternative (Vollzeit-CISO oder Chaos). Hier die Quick-Budgetleitlinie fuer typische Szenarien:

Bis 100 MA: EUR 1.500-3.000/Monat fuer Grund-Setup oder Ad-hoc-Consulting (1-2 Tage/Monat Retainer oder Stundenhonorar).

100-250 MA: EUR 3.600-5.500/Monat fuer Standard vCISO-Retainer (4-5 Tage/Monat).

250-500 MA: EUR 5.500-9.000/Monat je nach Regulatory Burden (5-8 Tage/Monat).

500+ MA (Enterprise-Light): EUR 8.000-15.000/Monat, oder vCISO-Sparring fuer internen CISO (EUR 3.000-6.000/Monat fuer strategisches Coaching).

Dazu kalkulieren: Spike-Kosten fuer Projekte (Audit-Support, Incident Response Surge), ca. EUR 5.000-20.000/Jahr abhaengig davon, wie viel dein Unternehmen intern absorbieren kann.

Der ROI ist klar: Selbst wenn ein vCISO nur einen Sicherheitsvorfalls verhindert (durchschnittliche Kosten EUR 1-3 Millionen), hat er sich 20 bis 200x bezahlt gemacht. Und die Wahrscheinlichkeit, dass ein professioneller vCISO mehrere Vorfaelle oder Compliance-Probleme ueber mehrere Jahre verhindert, ist sehr hoch.

Du fragst dich, welche vCISO-Struktur zu deinem Budget passt? Lass uns in einem kostenlosen Gespraech deine Optionen durchsprechen.

Zurück zur Übersicht

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren
Jahresrückblick

Cybervize Jahresrückblick | 2021 | Teil 1

41 minAnhoeren
Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

Interim CISO

Sofortige Sicherheitsexpertise für Übergangsphasen und kritische Projekte.

Mehr erfahren

Weitere Artikel

Virtual CISO und NIS2: Wie ein vCISO bei der Compliance hilft

NIS2 ist Pflicht. Erfahren Sie, wie ein Virtual CISO Mittelstandsunternehmen systematisch zu NIS2-Compliance bringt: in 12 Monaten, mit realistischen Kosten, ohne Vollzeit-Einstellung.

6. März 2026

vCISO vs. CISO: Welches Modell passt zu Ihrem Unternehmen?

Virtual CISO, Interim CISO oder Vollzeit-CISO? Detaillierter Vergleich mit Kosten, Verfuegbarkeit, Faehigkeiten und einer klaren Entscheidungsmatrix fuer jedes Unternehmen.

6. März 2026

Virtual CISO: Der komplette Guide fuer den Mittelstand 2026

Was ein vCISO leistet, was er kostet, und warum der Mittelstand jetzt strategische Cybersecurity-Fuehrung braucht. Praxisguide mit 90-Tage-Plan, NIS2-Bezug und Auswahlkriterien.

6. März 2026