Was kostet ein Virtual CISO wirklich? Deep Dive in vCISO-Preise und ROI
Was kostet ein Virtual CISO wirklich? Das ist die erste Frage, die Mittelständler stellen, wenn sie ihre Cybersecurity auf den nächsten Level bringen wollen. Die ehrliche Antwort: Es kommt darauf an. Aber ein guter vCISO ist fast sicher billiger und flexibler als Sie denken. Dieser Deep Dive zeigt die realen Preismodelle, versteckte Kosten, und vor allem: die echte ROI einer CISO-as-a-Service-Lösung.
Die vier Preis- und Vertragsmodelle im DACH-Markt
Es gibt nicht nur einen vCISO-Tarif. Je nach Anbieter und Umfang funktionieren unterschiedliche Abrechnungsmodelle:
1. Retainer (monatlicher Fixpreis)
Das Modell: Fester monatlicher Betrag für vereinbarte Stunden und Verfügbarkeit. Typisch 3 bis 8 Tage pro Monat je nach Paket.
Ideal für: Stabilität und Budgetplanbarkeit. Unternehmen kennen ihre monatlichen Cybersecurity-Kosten exakt.
Preisrange DACH-Markt: EUR 2.500 bis 15.000 pro Monat, je nach Seniorität und Umfang.
Vorteil: Kalkulierbar, kein Schock bei der Rechnung. Verfügbarkeit fest zugesagt. Idealerweise mit Surge-Capacity-Option (extra Tage in Krisenzeiten).
Nachteil: Zahlen Sie auch im Monat, wenn wenig zu tun ist. Und wenn der Bedarf plötzlich um 50 Prozent steigt, braucht es Neuverhandlung oder Zusatzkosten.
2. Projekt-basiert (Pauschalpreis pro Projekt)
Das Modell: Ein definiertes Projekt (z.B. NIS2-Readiness-Check, ISO-27001-Zertifizierungsvorbereitung) wird mit Fixpreis abgerechnet.
Ideal für: Zeitlich begrenzte Vorhaben mit klarem Scope.
Preisrange DACH-Markt: EUR 15.000 bis 45.000 pro Projekt, je nach Komplexität und Laufzeit.
Vorteil: Kosten sind festgeschrieben. Lieferumfang ist explizit definiert. Keine Überraschungen.
Nachteil: Scope-Creep ist ein Risiko. Wenn während des Projekts neue Anforderungen auftauchen (neue Regulierung, Incident Response nötig), entstehen Zusatzkosten oder Verzug.
3. Stundenhonorar (flexible Abrechnung)
Das Modell: Pro Stunde nach Aufwand abgerechnet. Typische Stundensätze für erfahrene vCISOs: EUR 150 bis 350 pro Stunde.
Ideal für: Unternehmen mit unplanbar variierendem Bedarf oder für Ad-hoc-Consulting.
Vorteil: Zahlen Sie nur für tatsächlich geleistete Zeit. Perfekt für gelegentliche Fragen oder Audits.
Nachteil: Budget ist nicht vorhersagbar. Risiko: vCISO erbringt ineffiziente Arbeit und die Rechnung wird plötzlich groß. Auch: Stundenhonorar zeigt oft geringeres Commitment als Retainer.
4. Hybrid-Modell (Basis + Variabel)
Das Modell: Retainer-Basis (z.B. EUR 4.000/Monat für 4 Tage) plus Zusatzstunden zu reduzierten Sätzen (EUR 120 bis 200/Stunde für Mehrarbeit).
Ideal für: Realistische Szenarien mit Unklarenheiten im Bedarf.
Vorteil: Kalkulierte Basis-Verfügbarkeit, aber Flexibilität für Spitzen. Guter vCISO-Anbieter bevorzugt dieses Modell.
Konkreter Kosten-Überblick: Einstieg bis Enterprise
Startup / kleines Unternehmen (bis 50 Mitarbeiter)
Modell: Typisch Stundenhonorar oder monatlicher Mini-Retainer.
Umfang: 1 bis 2 Tage pro Monat, fokussiert auf Gründer-Fragen, erste Kompliancestrukturen, Basis-Sicherheit.
Kosten: EUR 1.500 bis 2.500 pro Monat (oder EUR 200-250/Stunde für ad-hoc Beratung).
Typische Fragestellungen: Sollen wir Cloud-Tools verwenden? Wie bauen wir erste IT-Security-Policies auf? Ist ISO 27001 für uns relevant? Sicherheit beim Kunden-Outsourcing?
KMU / Mittelstand (50-200 Mitarbeiter)
Modell: Retainer mit 3 bis 4 Tagen pro Monat, oder Projekt-Mix (z.B. Grundlage + Jährliche Assessments).
Umfang: Laufende Strategie, Compliance-Governance, Vendor-Assessment, Incident Response Planung, monatliche Security-Reviews mit IT-Leitung.
Kosten: EUR 3.600 bis 5.500 pro Monat im Standard-Setup.
Typische Fragestellungen: NIS2-Readiness aufbauen, ISO 27001-Basis-Compliance, Incident Response Prozesse, Mitarbeiter-Security-Training konzipieren, Bedrohungen in unserer Branche verstehen?
Mittelständler plus / Etablierte KMU (200-400 Mitarbeiter)
Modell: Retainer mit 5 bis 7 Tagen pro Monat, inklusive Projektarbeit für größere Initiativen.
Umfang: Tiefe Governance, Sicherheitsarchitektur, Multi-Vendor-Sicherheitskoordination, Regulierungs-Tracking (NIS2, GDPR-Überwachung), Penetration-Test-Begleitung, interne CISO-Funktion teilweise ersetzen oder unterstützen.
Kosten: EUR 5.500 bis 8.000 pro Monat, oder Hybrid-Modell EUR 4.500 Basis + Zusatzstunden.
Typische Fragestellungen: Wie bauen wir ein Security-Operating-Center (SOC) auf? Ist SIEM für unsere Größe sinnvoll? Wie organisieren wir Penetration Testing richtig? Regulierung in unserer Branche?
Größere KMU / unteres Enterprise (400+ Mitarbeiter)
Modell: Retainer mit 8 bis 15 Tagen pro Monat, oder vCISO als Sparring-Partner für eigenen internen CISO.
Umfang: Strategische Cyber-Transformation, Board-Level Reporting, M&A Sicherheits-Due-Diligence, Großprojekt-Begleitung (Cloud-Migration, System-Modernisierung), eigenes Security-Team anleiten.
Kosten: EUR 8.000 bis 15.000 pro Monat, oder für Sparring mit internem CISO EUR 3.000 bis 6.000 (deutlich reduziert, da nur strategisches Coaching, nicht Betrieb).
Was ist in den Kosten enthalten? Und was kostet extra?
Typisch ENTHALTEN in Retainer-Modellen
Basis: Strategische CISO-Gespräche, monatliche Lagebesprechungen, Dokumentation von Compliance-Status, Recommendations.
Governance-Support: Policy-Entwicklung, Prozess-Design, Vendor-Auswahl-Beratung, Security-Assessment-Planung.
Consulting: Beantwortung von Security-Fragen, Ad-hoc-Beratung (im Umfang enthalten), Recherche zu Trends und Best Practices.
Dokumentation: Lagebericht, Risiko-Roadmap, Compliance-Status-Updates.
Typisch EXTRA KOSTEN
Reisekosten: Falls vCISO vor Ort kommt (Workshops, Audits, Incident Response). Typisch EUR 50 bis 150 pro Anfahrtskilometer, plus Übernachtung. Viele vCISO-Anbieter arbeiten remote; Vor-Ort ist optional.
Spezial-Tools: Wenn vCISO Spezial-Software braucht (Penetration-Test-Tools, Compliance-Scan-Software). Oft teilbar mit Ihren IT-Ressourcen, aber: EUR 200 bis 1.000 extra pro Projekt.
Incident Response Surge: Bei aktivem Cyberangriff kann der vCISO Vollzeitkapazität brauchen. Das wird meist nach Stundenhonorar abgerechnet: EUR 150-300/Stunde, unbegrenzte Stunden bis Krise vorbei. Ein größerer Vorfall kostet leicht EUR 5.000 bis 20.000 extra.
Audit-Support intensiv: Ein externes Compliance-Audit (ISO 27001, NIS2) braucht oft 20 bis 40 Stunden vCISO-Zeit während des Audits. Je nach Modell ist das in einem Projekt-Paket enthalten, oder kostet EUR 3.000 bis 8.000 extra.
Schulungs-Facilitation: Wenn der vCISO Trainings für Ihr Team hält (Security-Awareness, Policy-Trainings), wird das oft extra berechnet: EUR 200-300/Stunde für Vorbereitung und Durchführung.
Board-Präsentation: Wenn vCISO vor dem Aufsichtsrat oder der Geschäftsführung präsent sein muss, ist das oft extra Zeit: EUR 500-2.000 pro Termin (Vorbereitung + Präsenz).
ROI und Wirtschaftlichkeit: Warum ein vCISO sich lohnt
Der Kosten-Impact eines Sicherheitsvorfalls
Das ist die wichtigste Zahl: Was kostet ein Datenschutzunfall oder Cyberangriff in der Realität?
Durchschnittliche Schadenskosten (DACH-Markt, Mittelstand): EUR 3 bis 5 Millionen für ein mittleres Unternehmen mit 100-300 Mitarbeitern.
Das setzt sich zusammen aus: Forensic-Untersuchung EUR 50.000-150.000. Incident Response und System-Neuaufbau EUR 500.000-2.000.000. Haftungen und Regulator-Strafen EUR 500.000-1.500.000 (je nach GDPR-Verletzung). Geschäftsverlust durch Downtime, Kundenabwanderung EUR 1.000.000-2.000.000. Versicherungs-Selbstbeteiligung und Prämien-Erhöht EUR 200.000-500.000.
Praxisbeispiel (anonymisiert, Mittelstand): Ein Unternehmen mit 150 Mitarbeitern wurde Opfer von Ransomware. Keine funktionierende CISO-Governance, chaotische Backup-Strategie. Forensik EUR 120.000, Wiederherstellung EUR 800.000, Verhandlung mit Kriminellen EUR 150.000 bezahlt (falsch, aber Panik), GDPR-Verletzung EUR 200.000, Geschäftsverlust EUR 600.000. Total: EUR 1,87 Millionen. Ein vCISO hätte geschätzt EUR 60.000 im Jahr gekostet und das hätte 95 Prozent verhindert.
Regulatorische Strafen: GDPR und NIS2
GDPR-Bußgeld: Bis zu EUR 20 Millionen oder 4 Prozent des globalen Umsatzes, je nachdem, was höher ist. Realistische Spanne für Mittelstand: EUR 100.000 bis 1.000.000 pro Vorfall.
NIS2 (ab 2025 verpflichtend): Verwaltungs-Bußgeld bis EUR 10 Millionen oder 2 Prozent Umsatz für kritische Infrastruktur. Für andere: bis EUR 5 Millionen oder 1 Prozent Umsatz. Ein vCISO mit NIS2-Expertise wäre hier pure Versicherung.
Versicherungs-Impact: Cyber-Versicherungen (Haftung + Kosten) werden deutlich günstiger mit Nachweis guter Cyber-Governance. Ein zertifizierter CISO oder vCISO mit nachgewiesenen Prozessen kann Ihre Prämien um 15 bis 25 Prozent senken (EUR 5.000 bis 20.000/Jahr Einsparung).
Konkrete ROI-Rechnung
Szenario: Mittelständler mit 200 Mitarbeitern, EUR 50 Millionen Umsatz. Entschließt sich für vCISO mit EUR 5.000/Monat (EUR 60.000/Jahr).
Kosten: EUR 60.000/Jahr für vCISO.
Nutzen Jahr 1: Aufdeckung von 3 kritischen Schwachstellen (ohne vCISO hätte das zu EUR 500.000-1.000.000 Folgekosten geführt, wenn attackiert). Prämien-Reduktion durch bessere Governance: EUR 8.000 Einsparung. Einhaltung von neuen Compliance-Anforderungen (NIS2 Vorbereitung), spart später EUR 20.000 Consulting-Kosten. Total Nutzen: EUR 500.000+ (Schadensverhütung) + EUR 8.000 (Versicherung) + EUR 20.000 (Compliance) = EUR 528.000. ROI: (EUR 528.000 - EUR 60.000) / EUR 60.000 = 8,8x.
Nutzen laufend: Prämien-Reduktion verfestigt sich EUR 8.000-15.000/Jahr. Spätere Compliance-Projekte werden günstiger wegen etablierte Baseline. Wenn dann doch mal ein kleinerer Vorfall passiert (Phishing-Kampagne, fehlerhaft konfiguriert Cloud-Service), brauchen Sie keine Panik-Beratung, die EUR 30.000 kostet, sondern nur Ihr Retainer.
Die versteckte Kostenqülle: Unkoordinierte Tool-Proliferation
Unternehmen ohne CISO oder vCISO kaufen oft dutzende Cybersecurity-Tools, ohne Koordination:
Realistisches Szenario: IT-Leiter kauft EDR (EUR 10.000/Jahr), Netzwerk-Sensor (EUR 5.000/Jahr), Cloud-Security-Tool (EUR 8.000/Jahr), Vulnerability Scanner (EUR 6.000/Jahr), SIEM-Basis (EUR 15.000/Jahr), DLP-Probe (EUR 4.000/Jahr). Total: EUR 48.000/Jahr für teils redundante, teils nicht integrierte Tools. Ein guter vCISO sagt nach 2 Wochen: Brauchen Sie wirklich alle sechs? Welche sind redundant? Sollten wir eine Integrations-Plattform nehmen statt sechs Einzeltools? Resultat: EUR 20.000 Ersparnis durch Konsolidierung, allein im zweiten Jahr. Das bezahlt den vCISO dreifach.
Versteckte Kosten ohne CISO oder vCISO
Governance-Chaos
Das Problem: Ohne CISO-Funktion haben mehrere Leute halbe Aufgaben. IT-Leiter macht Policy-Draft. Compliance-Officer koordiniert Audits. HR trägt Datenschutz. Niemand hat die 360-Grad-Sicht. Resultat: Lücken, Redundanzen, Unsicherheiten.
Der Kostenimpact: Doppelarbeit (z.B. zwei Leute arbeiten an ähnlichen Policies), Verzögerung von Entscheidungen (niemand trägt Verantwortung), Fehlentscheidungen (z.B. Cloud-Tool ohne Sicherheitsanalyse). Geschätzter Kostenfaktor: EUR 30.000-80.000/Jahr an verlorener Produktivität und falschen Entscheidungen.
Incident-Response-Improvisation
Das Problem: Ein Sicherheitsvorfalls tritt auf (Malware, Datenleck, Ransomware). Es gibt keinen etablierten Incident Response Plan, keine Eskalationskette, keine Rollen. Das IT-Team steht herum und versucht zu helfen, tut aber teilweise kontraproduktives (löscht Logs, verbreitet Daten). Forensik wird zum Chaos.
Der Kostenimpact: Im Schnitt verlängert sich ein ungemanagtes Incident Response um 50 bis 100 Prozent (statt 24 Stunden Reaktion: 2 bis 3 Tage). Das bedeutet: Downtime, Datenverlust, schlimmere Folgen. Ein EUR 50.000-Vorfall wird EUR 500.000. Ein vCISO hätte ein Incident Response Playbook erstellt (kostet EUR 5.000 in Beratung), und günstige Wiederherstellung wäre möglich.
Vendor- und Compliance-Blindheit
Das Problem: Unternehmen haben keinen zentralen Ort, wo alle Vendor-Security-Anforderungen dokumentiert sind. Jeder kauft sein eigenes Tool, jeder stellt andere Fragen. Compliance-Anforderungen (NIS2, GDPR) werden nicht systematisch geprüft. Am Ende: Sie wissen nicht, ob Sie GDPR-konform sind, und der Kundenscanning-Vendor hält sich an andere Standards als Ihr ERP.
Der Kostenimpact: Laufen auf EUR 50.000 Compliance-Audit, wo Auditor alles in Frage stellt, weil keine Dokumentation existiert. Braucht Notfall-Consulting, um Anforderungen zu beschreiben. Vielleicht Bußgelder, wenn etwas übersehen wurde. Ein vCISO hätte eine Compliance-Matrix mit Vendor-Anforderungen gepflegt (2 Stunden pro Monat), und Sie wären proaktiv vorbereitet.
Evaluation und Due Diligence: Warnsignale und Qualitätsindikatoren
Warnsignale bei der vCISO-Auswahl
Claim: 'Ich bin vCISO seit 2 Jahren' Das ist zu kurz. Erfahrener vCISO sollte mindestens 10+ Jahre Cybersecurity, davon 5+ Jahre in CISO-Rolle haben. Jemand mit nur 2 Jahren CISO-Erfahrung ist zu unerfahren für Strategie-Entscheidungen.
Warnsignal: Generalisierte vCISO, nicht Specialist vCISO sagt: 'Ich mache alles: Strategie, Technik, Incident Response, Training.' Das ist unrealistisch. Top vCISOs sind Spezialisten auf 2 bis 3 Gebiete (z.B. GRC + Cloud-Security, oder Incident Response + Compliance). Generalist klingt flexibel, ist aber oft oberflächlich.
Warnsignal: Keine Cases oder References vCISO sagt: 'Ich kann nicht über Kunden sprechen', aber auch keine Fallstudie zeigen. Verstanden, Confidentiality ist wichtig, aber zumindest sollte ein vCISO sagen: 'Ich habe mit 3 Softwareunternehmen in der Größe 100-300 Mitarbeitern zusammengearbeitet und ich half zwei davon zur ISO-27001-Zertifizierung.' Konkretheit ist wichtig.
Warnsignal: Niedriger Stundensatz, schnelle Verfügbarkeit vCISO mit EUR 80/Stunde ist vermutlich zu günstig. Gut ausgebildete vCISOs kosten EUR 150-300/Stunde. Wenn er/sie 'sofort verfügbar' für einen neuen Kunden ist, hat das Team vielleicht keine anderen Engagements (Warnsignal). Ein gutes vCISO-Team hat Wartezeiten.
Warnsignal: Vage Service Definition vCISO-Angebot sagt: 'Kostet EUR 5.000/Monat, wir machen Cybersecurity-Consulting.' Was ist drin? 2 Tage? 5 Tage? Welche Tools? Welche Reaktionszeit? Wenn das Angebot schwammig ist, werden Sie geleitet und Streit ist vorprogrammiert.
Warnsignal: Kein Incident Response Surge-Modell vCISO sagt, bei Krise fährt er 'wie immer' seine 3 Tage pro Monat. Das reicht nicht. Gut organisierte vCISO-Anbieter haben ein Surge-Modell: Im Krisenfall EUR 200/Stunde unbegrenzt für ein bis zwei Wochen. Wer kein Surge-Modell hat, kann Ihnen in echter Krise nicht helfen.
Qualitätsindikatoren für einen guten vCISO
Indikator: Zertifikationen + tiefe Erfahrung CISM (Certified Information Security Manager), CISSP, oder CCSK ist gut, aber der echte Indikator ist: 10+ Jahre Cybersecurity, davon 5+ Jahre als CISO oder Chief Security Officer. Keine Zertifikat ersetzt reale Erfahrung.
Indikator: Klare Service Level Agreements (SLAs) Guter vCISO-Vertrag definiert: Verfügbarkeits-Garantie (z.B. 95 Prozent von 9-17 Uhr, 24/48-Stunden-Reaktion für P1-Vorfälle), Leistungskriterien (z.B. monatlicher Governance Review, Compliance-Status, Risikomap), Abrechnung (Retainer EUR X, Surge EUR Y pro Stunde, was ist in Surge enthalten). Klare Definition schafft gegenseitige Klarheit.
Indikator: Spezialisierung in Branchen / Regulierung vCISO sollte sagen können: 'Ich habe 6 Jahre in Finanzdienstleistungen gearbeitet und verstehe Banking-Regulierung, oder: Ich bin Focus auf NIS2 bei Energieunternehmen.' Spezialisierung bedeutet schnellere Ramp-up und bessere Recommendations.
Indikator: Transparente Kosten und kein Scope Creep Guter vCISO-Anbieter ist durchsichtig: EUR X für Y Tage, Zusatzstunden EUR Z, reist zu Ihrem Ort wenn nötig (und zeigt Reisekosten-Struktur). Am wichtigsten: Es gibt klaren Scope und Grenzen. 'Wir helfen mit Compliance-Audit, aber nicht mit technischer Implementierung' ist besser als vage Versprechungen.
Indikator: Zugeständnisse und Realismus vCISO sagt: 'Das kann ich, das nicht. Dafür brauchen Sie einen Spezialisten.' Nicht jeder vCISO ist gut in Incident Response. Nicht jeder versteht Cloud-Security tief. Realistischer vCISO kennt seine Grenzen und holt ggf. Spezialisten rein. Das zeigt Professionalität.
Indikator: Zuständige Versicherung Der vCISO oder das vCISO-Unternehmen sollte Errors & Omissions (E&O) Versicherung tragen, typisch EUR 1-2 Millionen Deckung. Das zeigt: Wir stehen zu unserem Werk und sind versichert, wenn etwas schief geht.
vCISO-Kosten vs. Vollzeit-CISO: Vollständiger Kostenvergleich
5-Jahres-Vergleich: Typisches Szenario (Mittelständler, 150 Mitarbeiter)
Szenarien: A) vCISO mit EUR 5.000/Monat Standard-Retainer, B) Vollzeit-CISO angestellt.
vCISO Kosten über 5 Jahre: EUR 5.000 x 12 x 5 = EUR 300.000 brutto (keine Inflation, keine Erhöhungen). Realistisch mit 3 Prozent jährliche Anpassung: EUR 327.000. Kein Auf- und Abbau, sofort flexible Skalierung nach oben (Surge-Modell) oder unten (wenn Bedarf sinkt, vielleicht nur 2 Tage im Jahr 3). Inklusive: Breite Expertise, externe Perspektive, kein HR-Aufwand.
Vollzeit-CISO Kosten über 5 Jahre: Jahr 1: EUR 200.000 (Gehalt EUR 130.000 + Sozialkosten 42 Prozent = EUR 184.600 + Recruiting-Agentur 15 Prozent Gehalt = EUR 19.500 + Onboarding/Setup EUR 4.000). Jahr 2-5: EUR 160.000/Jahr durchschnittlich (Gehalt wird erhöht, 5 Prozent jährlich Durchschnitt). Total 5 Jahre: EUR 200.000 + (EUR 160.000 x 4) = EUR 840.000. Das ist fast 3x so teuer als vCISO. Dazu kommen HR-Risiken: CISO verlässt Unternehmen nach Jahr 3 (durchschnittliche Tenure in CISO-Rolle ist 3-4 Jahre), Neubesetzung kostet wieder EUR 200.000 im Jahr 4. Wenn Fluktuation, kostet 5-Jahres-Szenario mit Neubesetzung leicht EUR 1.000.000+.
Flexibilitätsfaktor
vCISO: Jahr 1-2: EUR 5.000/Monat (Aufbau-Phase). Jahr 3: Reduktion auf EUR 3.500/Monat (Prozesse stabil, weniger Konfigurationsarbeit). Jahr 4: Bei stabiler Compliance und keinem Wachstum nur EUR 2.500/Monat (strategisches Sparring 1 Tag/Monat). Total real: EUR 250.000 statt EUR 327.000 mit Skalierung nach oben und unten. Das ist der Gewinn-Punkt von vCISO.
Vollzeit-CISO: Fixkosten unabhängig vom Bedarf. Auch wenn die Compliance-Basis stabil ist, zahlen Sie 100 Prozent Gehalt. Skalierung nach unten? Nur durch Kündigung, die rechtlich kompliziert und human schlecht ist. Ein 'Teil-Zeit-CISO' ist kaum eine reale Option in der Praxis.
Praktische Entscheidungs-Szenarien
Szenario 1: Startup mit EUR 5M Umsatz, 40 Mitarbeiter
Situation: Founder will Kunden gewinnen, die Enterprise-Security-Anforderungen haben. Kunden fragen: 'Wie ist eure Security?' Budget limitiert.
Empfehlung: Stundenhonorar vCISO, EUR 150-200/Stunde, Ad-hoc Consulting. Ca. EUR 500-1.000/Monat durchschnittlich. Fokus: Security Policy Draft, Cloud-Security-Review, Datenschutz-Baseline. Nach 6 Monaten: Wenn Customer Acquisition gut läuft, ist EUR 2.500/Monat Retainer sinnvoll (2 Tage/Monat).
Warum nicht Vollzeit-CISO: EUR 200.000 jährlich ist gänzlich unverhältnismäßig. Startup braucht diese Person nur zu 50 Prozent, und in 2 Jahren ist die Compliance vielleicht ausreichend, dann brauchen Sie sie gar nicht mehr.
Szenario 2: KMU mit EUR 30M Umsatz, 180 Mitarbeiter, Banking-Kunden
Situation: Unternehmen ist in hochwertigen B2B-Segmenten, Bankenkunden verlangen jährliche Sicherheits-Audits. IT-Leiter ist frustriert, allein so viel Security-Governance zu managen. GDPR-Bußen sind realistisch ohne Struktur.
Empfehlung: Hybrid-Setup: vCISO mit EUR 6.000/Monat (5-6 Tage/Monat) als CISO-Ersatz. Parallel: Interne IT Security Manager (EUR 65.000 Gehalt) für tagesoperativ (Compliance-Tickets, Vendor-Management, User-Training). Total: EUR 6.000 x 12 + EUR 65.000 = EUR 137.000/Jahr. Das ist deutlich billiger als Vollzeit-CISO (EUR 180.000+), gibt Ihnen aber Flächendeckung: vCISO hat strategisches Backup. Interne Manager hat Präsenz und Kontinuität.
Warum diese Kombi: KMU mit hohem Compliance-Anforderung braucht beides: externe Expertise (vCISO) und interne kontinuierliche Ansprechperson (IT Security Manager). Vollzeit-CISO allein ist teurere Alternative mit gleichem Ergebnis.
Szenario 3: Enterprise mit EUR 300M Umsatz, 600 Mitarbeiter, hochreguliert
Situation: Unternehmen ist in Finanzdienstleistungen oder kritischer Infrastruktur. CISO sitzt im Vorstand, hat ein 8er Team unter sich. CISO ist gut, aber braucht externe Sparring, um Trends zu tracken und nicht in Unternehmen-Tunnelblick zu fallen.
Empfehlung: Vollzeit-CISO (EUR 180.000-220.000 Gehalt) + externe vCISO-Sparring (EUR 3.500/Monat, 2-3 Tage/Monat für Board-Reports, Trend-Briefings, Due-Diligence Reviews). Total: ca. EUR 220.000 + EUR 42.000 = EUR 262.000/Jahr. Das ist ideal: Interne CISO hat Macht und Kontinuität, externe vCISO bietet Objektivität und Trend-Knowledge.
Warum diese Kombi: Bei dieser Größe und Regulierungsumfang ist ein Vollzeit-CISO richtig. Aber für Selbstüberprüfung (externe Perspektive, Benchmark mit Industrie, unabhängige Meinung), ist vCISO-Sparring besser als Beratungs-Agentur-Engagements, die jedes Mal EUR 20.000 kosten.
Die vCISO-Kosten-Fazit: Realistische Budgetierung
Ein vCISO kostet nicht zu viel. Ein guter vCISO kostet weniger als Sie denken, und deutlich weniger als die Alternative (Vollzeit-CISO oder Chaos). Hier die Quick-Budgetleitlinie für typische Szenarien:
Bis 100 MA: EUR 1.500-3.000/Monat für Grund-Setup oder Ad-hoc-Consulting (1-2 Tage/Monat Retainer oder Stundenhonorar).
100-250 MA: EUR 3.600-5.500/Monat für Standard vCISO-Retainer (4-5 Tage/Monat).
250-500 MA: EUR 5.500-9.000/Monat je nach Regulatory Burden (5-8 Tage/Monat).
500+ MA (Enterprise-Light): EUR 8.000-15.000/Monat, oder vCISO-Sparring für internen CISO (EUR 3.000-6.000/Monat für strategisches Coaching).
Dazu kalkulieren: Spike-Kosten für Projekte (Audit-Support, Incident Response Surge), ca. EUR 5.000-20.000/Jahr abhängig davon, wie viel Ihr Unternehmen intern absorbieren kann.
Der ROI ist klar: Selbst wenn ein vCISO nur einen Sicherheitsvorfalls verhindert (durchschnittliche Kosten EUR 1-3 Millionen), hat er sich 20 bis 200x bezahlt gemacht. Und die Wahrscheinlichkeit, dass ein professioneller vCISO mehrere Vorfälle oder Compliance-Probleme über mehrere Jahre verhindert, ist sehr hoch.
Sie fragen sich, welche vCISO-Struktur zu Ihrem Budget passt? Lassen Sie uns in einem kostenlosen Gespräch Ihre Optionen durchsprechen.