Die Frage, ob ein Unternehmen einen internen CISO einstellen oder auf das vCISO-Modell setzen soll, wird immer häufiger gestellt — und die Antwort ist selten pauschal. Sie hängt von Unternehmensgröße, Regulierungsumfeld, Budget und dem Reifegrad der Sicherheitsorganisation ab. Dieser Artikel beleuchtet beide Modelle sachlich und hilft Ihnen bei der Entscheidung.

Der interne CISO: Stärken und Grenzen

Ein vollzeitangestellter CISO ist die traditionelle Lösung — und in bestimmten Kontexten die richtige. Er kennt das Unternehmen in- und auswendig, ist täglich präsent und kann unmittelbar in Entscheidungen eingreifen. Bei Unternehmen ab etwa 500 Mitarbeitern, mit komplexer IT-Landschaft oder als Betreiber kritischer Infrastruktur ist ein interner CISO oft unumgänglich.

Die Grenzen zeigen sich jedoch schnell:

  • Kosten: Erfahrene CISOs kosten im DACH-Raum 90.000–160.000 € Jahresgehalt — plus Sozialabgaben, Benefits und Recruiting (typisch 15–25 % des Jahresgehalts)
  • Verfügbarkeit: Der Markt für qualifizierte CISOs ist leergefegt. Stellenbesetzungen dauern 4–9 Monate
  • Expertise-Breite: Ein einzelner CISO kann nicht in allen relevanten Bereichen (Cloud, OT, DSGVO, NIS2, DORA, Forensik) gleich tief sein
  • Kontinuitätsrisiko: Kündigt der CISO, entsteht sofort eine kritische Lücke

Der Virtual CISO: Flexibilität mit Tiefe

Ein vCISO bringt dieselbe strategische Kompetenz — aber als Dienstleistung. Das Modell hat in den letzten Jahren erheblich an Reife gewonnen. Moderne vCISO-Anbieter arbeiten mit strukturierten Governance-Frameworks, definierten Eskalationspfaden und regelmäßigen Reporting-Zyklen.

Die wesentlichen Vorteile:

  • Sofortige Einsatzbereitschaft: Ein vCISO ist in Wochen, nicht Monaten operativ
  • Breitere Expertise: Externe Spezialisten arbeiten mit vielen Unternehmen und kennen aktuelle Bedrohungen, Regulierungen und Best Practices aus erster Hand
  • Skalierbarkeit: Das Engagement wächst mit den Anforderungen — von monatlichen Reviews bis zum Vollzeit-Einsatz bei Audits oder Incidents
  • Planbare Kosten: Fixe Monatspauschale statt variablem Personalaufwand
  • Keine Kontinuitätslücke: Beim vCISO-Anbieter gibt es Vertretungen und institutionelles Wissen
Regulatorische Klarstellung: NIS2 und DORA fordern eine verantwortliche Sicherheitsfunktion auf Managementebene — schreiben aber keine Vollzeitanstellung vor. Ein vCISO mit klar definiertem Mandat und dokumentierter Governance erfüllt diese Anforderungen.

Direkter Vergleich: Wann welches Modell?

Interner CISO empfohlen bei:

  • Mehr als 500 Mitarbeitern mit komplexer, heterogener IT-Landschaft
  • Betreibern kritischer Infrastruktur mit täglichem operativem Sicherheitsbedarf
  • Unternehmen, die ein großes internes Sicherheitsteam führen müssen
  • Konzernstrukturen mit eigenem SOC und mehreren Sicherheitsdisziplinen

vCISO empfohlen bei:

  • KMUs von 20 bis 500 Mitarbeitern ohne bestehende CISO-Funktion
  • Unternehmen, die ISO 27001 implementieren oder aufrechterhalten müssen
  • Regulierten Unternehmen (NIS2, DORA) mit Compliance-Deadline
  • Unternehmen in der CISO-Vakanz-Überbrückung
  • Organisationen, die Sicherheitsführung brauchen, aber noch kein 24/7-SOC
Hybridmodell: Manche Unternehmen kombinieren beide Ansätze: ein Junior Security Manager intern, der operative Aufgaben übernimmt, ergänzt durch einen vCISO für Strategie, Governance und Behördenkommunikation. Das ist oft die kosteneffizienteste Lösung für wachsende Unternehmen.

Fazit

Für die Mehrheit der österreichischen KMUs ist das vCISO-Modell heute die rationalere Wahl. Es bietet CISO-Level-Kompetenz ohne die Kosten und Risiken einer Vollzeiteinstellung — und erfüllt dabei alle wesentlichen regulatorischen Anforderungen. Der interne CISO bleibt die richtige Wahl für große, komplexe Organisationen — aber die Schwelle liegt höher, als viele annehmen.