Ein Chief Information Security Officer (CISO) ist die ranghöchste Führungsperson für Informationssicherheit in einem Unternehmen. Er oder sie verantwortet Strategie, Risikomanagement, Compliance und die operative Sicherheitslage — und berichtet direkt an die Geschäftsführung oder den Vorstand. Das Problem: Ein erfahrener, vollzeitangestellter CISO kostet im DACH-Raum zwischen 90.000 und 160.000 Euro Jahresgehalt — zuzüglich Sozialabgaben, Recruiting-Aufwand und einer monatelangen Einarbeitungszeit.
Genau hier setzt das Modell des Virtual CISO (vCISO) an.
Was macht ein Virtual CISO?
Ein vCISO übernimmt dieselben strategischen Aufgaben wie ein interner CISO — jedoch als externer Dienstleister auf Stunden- oder Pauschalbasis. Das Modell ist flexibel: manche Unternehmen engagieren einen vCISO für ein fixes Kontingent pro Monat, andere auf Projektbasis für eine ISO-27001-Implementierung oder eine NIS2-Gap-Analyse.
Zu den typischen Aufgaben eines vCISO gehören:
- Entwicklung der Informationssicherheitsstrategie — mehrjährige Roadmap, abgestimmt auf Geschäftsziele und Risikolage
- Risikomanagement — Aufbau und Pflege des Risikoregisters, regelmäßige Risikobewertungen nach ISO 27005
- Regulatorische Compliance — Koordination von NIS2, DORA, ISO 27001 und DSGVO aus einer Hand
- Board Reporting — Aufbereitung der Sicherheitslage für die Geschäftsführung in verständlicher Form
- Incident Response Governance — Aufbau von IR-Plänen, Leitung von Tabletop-Übungen, Krisenkoordination
- Vendor- und Lieferkettenmanagement — Sicherheitsanforderungen an Dienstleister, Prüfung von Verträgen
- ISMS-Betrieb — laufende Steuerung des Informationssicherheits-Managementsystems nach ISO 27001
Wann braucht ein Unternehmen einen vCISO?
Die Nachfrage nach vCISO-Diensten ist in den letzten Jahren stark gestiegen — getrieben durch regulatorischen Druck (NIS2, DORA) und eine verschärfte Bedrohungslage. Typische Szenarien, in denen ein vCISO Sinn ergibt:
1. Wachsende Unternehmen ohne dedizierte Sicherheitsfunktion
Unternehmen mit 50 bis 300 Mitarbeitern haben oft einen IT-Leiter, aber keine eigenständige CISO-Funktion. Mit NIS2 und wachsenden Kundenanforderungen reicht das nicht mehr aus. Ein vCISO schließt diese Lücke ohne den Aufwand einer Vollzeit-Einstellung.
2. Nach der ISO-27001-Zertifizierung
Viele Unternehmen implementieren ein ISMS im Rahmen eines Projekts — danach fehlt die strategische Kapazität, es laufend zu betreiben. Der vCISO übernimmt Management-Review, KPI-Monitoring und die kontinuierliche Verbesserung des Systems.
3. Regulierte Branchen unter Zeitdruck
Finanzunternehmen unter DORA-Pflicht oder Betreiber kritischer Infrastrukturen unter NIS2 brauchen rasch eine verantwortliche Sicherheitsfunktion — oft bevor ein geeigneter interner Kandidat gefunden ist. Ein vCISO kann innerhalb weniger Wochen operativ werden.
4. Überbrückung bei Vakanz
Scheidet ein interner CISO aus, entsteht eine kritische Lücke. Ein vCISO überbrückt diese Zeit und stellt sicher, dass laufende Projekte, Audits und Compliance-Verpflichtungen nicht ins Stocken geraten.
Was kostet ein Virtual CISO?
Die Kosten eines vCISO-Engagements hängen vom Umfang ab. Typische Modelle im österreichischen und deutschen Markt:
- Basis-Paket (ca. 4–8 Stunden/Monat): monatliche Reviews, KPI-Reporting, Erreichbarkeit für Anfragen — geeignet für Unternehmen mit bereits aufgebautem ISMS
- Standard-Paket (ca. 12–20 Stunden/Monat): zusätzlich aktive Steuerung laufender Projekte, Board-Präsentation, Vendor-Management
- Full-Service (20+ Stunden/Monat): entspricht einem Teilzeit-CISO, sinnvoll bei komplexen regulatorischen Anforderungen oder laufenden Implementierungsprojekten
Im Vergleich zu einem Vollzeit-CISO ist das vCISO-Modell in nahezu allen Fällen kostengünstiger — und bietet durch die breite Erfahrung externer Spezialisten oft einen Mehrwert, den ein einzelner interner Mitarbeiter nicht leisten kann.
