Cybervize – Cybersecurity Beratung
Alle Artikel

Was kostet ein Virtual CISO? Preise, Modelle und Vergleich 2026

Alexander Busse·16. Februar 2026
Was kostet ein Virtual CISO? Preise, Modelle und Vergleich 2026

Die Bedrohungslage im Cyberraum verschärft sich. Gleichzeitig fehlen in Deutschland zehntausende Fachkräfte für IT-Sicherheit. Viele mittelständische Unternehmen stehen deshalb vor der Frage: Wie bekommen wir strategische Cybersecurity-Kompetenz auf Führungsebene, ohne eine Vollzeitstelle zu besetzen, die wir uns möglicherweise nicht leisten können oder für die wir schlicht keine geeigneten Kandidaten finden?

Die Antwort lautet immer häufiger: Virtual CISO (vCISO). Doch was kostet ein solcher externer Sicherheitsverantwortlicher tatsächlich? Dieser Artikel liefert eine transparente Übersicht der Preismodelle, realistischen Kostenspannen und einen Vergleich mit der internen Alternative.

Was genau ist ein Virtual CISO?

Ein Virtual CISO ist ein erfahrener Cybersecurity-Experte, der die strategische Sicherheitsverantwortung für ein Unternehmen übernimmt, ohne fest angestellt zu sein. Er arbeitet typischerweise remote und auf Teilzeitbasis. Zu seinen Aufgaben gehören unter anderem:

  • Entwicklung und Steuerung der Cybersecurity-Strategie
  • Risikobewertung und Risikomanagement
  • Aufbau und Pflege eines Informationssicherheits-Managementsystems (ISMS)
  • Unterstützung bei Compliance-Anforderungen wie NIS2, ISO 27001 oder DORA
  • Beratung der Geschäftsführung zu Sicherheitsinvestitionen
  • Steuerung von Sicherheitsvorfällen und Incident Response

Die drei gängigen Preismodelle

1. Monatlicher Retainer (am häufigsten)

Das Retainer-Modell ist der Standard bei vCISO-Engagements. Unternehmen buchen ein festes Kontingent an Beratungstagen oder -stunden pro Monat. In Deutschland liegen die Kosten typischerweise bei:

Basis (2 Tage/Monat): 2.400 bis 3.600 EUR monatlich. Umfasst strategische Beratung, vierteljährliche Risikoanalyse und Policy-Reviews.

Standard (3-4 Tage/Monat): 3.600 bis 6.000 EUR monatlich. Alle Basisleistungen plus ISMS-Betreuung, Compliance-Begleitung und Board-Reporting.

Premium (5-8 Tage/Monat): 6.000 bis 12.000 EUR monatlich. Vollumfängliche CISO-Funktion inklusive Vendor-Management, Incident Response und Audit-Begleitung.

2. Stundensatz

Für projektbezogene Einsätze oder punktuelle Beratung wird häufig auf Stundenbasis abgerechnet. In Deutschland bewegen sich die Stundensätze für qualifizierte vCISOs zwischen 150 und 300 EUR pro Stunde, abhängig von Erfahrung, Branchenspezialisierung und Zertifizierungen.

3. Projektbasiert

Für klar abgegrenzte Vorhaben wie eine Gap-Analyse, ein Cybersecurity Assessment oder die Vorbereitung auf eine ISO-27001-Zertifizierung bieten manche Anbieter Festpreise an. Die Spanne reicht von 15.000 EUR für ein kompaktes Assessment bis zu 80.000 EUR für umfassende Transformationsprojekte.

Kostenvergleich: vCISO vs. interner CISO

Der Kostenunterschied zur internen Besetzung ist erheblich. Ein interner CISO in Vollzeit kostet inklusive Grundgehalt (100.000 bis 180.000 EUR), Lohnnebenkosten (ca. 30 Prozent), Weiterbildung und Recruiting-Kosten zwischen 135.000 und 250.000 EUR pro Jahr. Ein Virtual CISO liegt bei 30.000 bis 100.000 EUR jährlich. Die Einsparung beträgt typischerweise 50 bis 75 Prozent.

Dabei ist noch nicht berücksichtigt, dass ein vCISO-Anbieter in der Regel über ein breiteres Team verfügt und bei spezifischen Fragestellungen auf Spezialisten zurückgreifen kann.

Was beeinflusst den Preis?

Nicht jedes vCISO-Engagement kostet gleich viel. Die wichtigsten Preistreiber sind:

  • Branche und Regulierung: Unternehmen in stark regulierten Branchen (Finanzsektor, Gesundheitswesen, kritische Infrastruktur) benötigen mehr Compliance-Arbeit, was den Aufwand erhöht.
  • Unternehmensgröße: Mehr Mitarbeiter, Standorte und IT-Systeme bedeuten einen komplexeren Scope.
  • Reifegrad der IT-Sicherheit: Unternehmen, die bei null anfangen, brauchen initial mehr Aufwand als solche, die ein bestehendes ISMS weiterentwickeln.
  • NIS2-Betroffenheit: Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Betroffene Unternehmen haben zusätzliche Dokumentations- und Meldepflichten zu erfüllen.
  • Erfahrung des vCISO: Ein ehemaliger DAX-CISO mit 20 Jahren Erfahrung hat naturgemäß einen höheren Tagessatz als ein Senior Consultant mit fünf Jahren Berufserfahrung.

Wann lohnt sich ein Virtual CISO besonders?

Ein vCISO ist besonders sinnvoll für:

  • Mittelständische Unternehmen (50-500 Mitarbeiter), die durch NIS2 erstmals regulatorische Cybersecurity-Anforderungen erfüllen müssen
  • Wachstumsunternehmen, die ihre Sicherheitsstrategie professionalisieren möchten, bevor sie in einen Vollzeit-CISO investieren
  • Unternehmen in M&A-Prozessen, die eine Cybersecurity Due Diligence durchführen oder die Sicherheitslage nach einer Akquisition harmonisieren müssen
  • Organisationen mit Compliance-Druck, etwa durch ISO 27001, DORA, den EU AI Act oder branchenspezifische Vorgaben

Worauf sollten Sie bei der Auswahl achten?

  1. Nachweisbare Erfahrung: Zertifizierungen (CISSP, CISM, ISO 27001 Lead Auditor), Referenzen und Branchenerfahrung sind entscheidend.
  2. Klarer Leistungsumfang: Was genau ist im Retainer enthalten? Wie werden Zusatzleistungen abgerechnet?
  3. Strategischer Ansatz: Ein guter vCISO denkt nicht nur an Technik, sondern versteht Ihr Geschäftsmodell und Ihre Risikolandschaft.
  4. Erreichbarkeit: Wie schnell ist der vCISO im Ernstfall verfügbar? Gibt es ein Backup-Team?
  5. Kulturelle Passung: Der vCISO muss mit Ihrer Geschäftsführung und Ihren Teams auf Augenhöhe kommunizieren können.

Fazit: Strategische Sicherheit muss nicht teuer sein

Ein Virtual CISO bietet mittelständischen Unternehmen die Möglichkeit, eine strategische Cybersecurity-Funktion zu etablieren, die sonst Konzernen vorbehalten wäre. Mit Kosten zwischen 30.000 und 100.000 EUR pro Jahr liegt das Investment deutlich unter einer internen Besetzung, bei gleichzeitig hoher Flexibilität und breitem Kompetenzspektrum.

Angesichts der seit Dezember 2025 geltenden NIS2-Anforderungen und der stetig wachsenden Bedrohungslage ist ein vCISO für viele Unternehmen nicht nur die wirtschaftlichere, sondern auch die schneller verfügbare Lösung.

Sie suchen einen erfahrenen Virtual CISO für Ihr Unternehmen? Cybervize bietet maßgeschneiderte vCISO-Services für den deutschen Mittelstand. Mehr erfahren

Zurück zur Übersicht

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren
Jahresrückblick

Cybervize Jahresrückblick | 2021 | Teil 1

41 minAnhoeren
Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

Weitere Artikel

Deepfakes im Boardroom: Warum Governance wichtiger ist als KI

Deepfake-Angriffe bedrohen Unternehmen. Technische Erkennung reicht nicht. Resiliente Prozesse und klare Governance-Strukturen sind der Schlüssel zur Abwehr.

17. Februar 2026

Wenn der Klick verschwindet: Wie KI unsere Informationsvielfalt gefährdet

KI-Snippets und Plattform-Antworten entziehen Content-Erstellern Traffic. Ein strategisches Risiko für die Informationsversorgung im Mittelstand.

15. Februar 2026

Logs im Ransomware-Fall: Warum ein Server-Ausfall Millionen kostet

Ein verschlüsselter Server, verlorene Logs und 400.000 Euro Schaden. Warum die richtige Log-Strategie im Ernstfall über Existenz entscheidet.

8. Februar 2026