Monatlicher vCISO · Sicherheitsleitung ohne festen CISO | OCIRIA
Ein erfahrener Ingenieur bringt Ordnung in Ihre Sicherheit. Ohne Vollzeitkosten, mit Mindestlaufzeit von einem Quartal.
Monatlicher vCISO
Erfahrene Sicherheitsleitung, ohne einen internen CISO einzustellen
Die meisten mittelständischen Unternehmen brauchen keinen Vollzeit-CISO. Sie brauchen jemanden, der Sicherheitsentscheidungen mit Urteilsvermögen trifft, der einem Anbieter, der Heißluft verkauft, ein Nein entgegensetzen kann, und der sich in einer Vorstandssitzung positionieren kann, ohne dass sich der Raum technisch leerschüttelt, sobald er zu sprechen beginnt.
---
Was es ist
Der vCISO (virtueller Chief Information Security Officer) ist ein erfahrener Ingenieur, der die Sicherheitsleitung Ihrer Organisation für eine vereinbarte Anzahl Stunden pro Monat übernimmt. Kein Berater, der reinschaut, vier Sätze sagt und wieder geht. Kein Junior mit aufgeblähtem Titel. Eine Fachkraft mit über zehn Jahren operativer Sicherheitserfahrung, mit Vorerfahrung als interner CISO oder als Berater auf Geschäftsleitungsebene, die Verantwortung für Ihr Sicherheitsprogramm übernimmt und monatlich Rechenschaft ablegt.
Sie sparen zweierlei: die Kosten eines Senior-Profils im Personalkostenbudget (zwischen Gehalt, Nebenleistungen und Rekrutierungsaufwand kommt man in den meisten europäischen Märkten nicht unter einen sechsstelligen Jahresbetrag) und den Aufwand, eine Fluktuation zu managen, die in diesem Sektor hoch ist. Im Gegenzug erhalten Sie Kontinuität, unabhängige Beurteilung und die Flexibilität, Stunden je nach Phase nach oben oder unten anzupassen.
Was einen gut gemachten vCISO von einem schlecht gemachten unterscheidet, ist, dass der gut gemachte sich die Hände schmutzig macht: Er liest Lieferantenverträge, drängt das Technikteam, offene Tickets zu schließen, bereitet Antworten für Auditoren vor und setzt sich mit einer lebenden Risiko-Excel vor den Vorstand, nicht mit einer PowerPoint guter Absichten.
---
Wann Sie ihn brauchen
Drei typische Signale deuten darauf hin, dass es an der Zeit ist, einen vCISO einzubinden:
Man verlangt von Ihnen Dinge, die Sie nicht wissen, wo Sie anfangen sollen. Ein Konzernkunde schickt Ihnen einen fünfzigseitigen Sicherheitsfragebogen. Ein Versicherer fragt, ob Sie einen Vorfallsreaktionsplan haben. Ein Fonds will in der Due Diligence Ihre Zugriffsmanagement-Richtlinie sehen. Ihr internes Team kann operative Fragen beantworten, aber jemand fehlt, der sortiert, priorisiert und unterschreibt.
Sie hatten einen Vorfall oder waren knapp davor. Eine Ransomware in einem Partnerunternehmen, ein Datenleck bei einem gemeinsamen Lieferanten, eine Phishing-Mail, die fast durchgekommen wäre. Der Vorstand will wissen, ob Sie vorbereitet sind. Sie brauchen jemanden, der diagnostiziert und den Plan entwirft, nicht jemanden, der einfach sagt „alles gut" oder „alles schlecht".
Sie wachsen schneller als Ihre Sicherheitsorganisation. Von fünfzig auf zweihundert Mitarbeitende in zwei Jahren. Neue Büros in einem anderen Land. Ihr Produkt beginnt, sensible Daten zu verarbeiten. Sicherheit, die für vierzig Personen funktionierte, funktioniert nicht für zweihundert, und spät zu reagieren ist teuer.
---
So arbeiten wir
Phase 1 · Erstdiagnose (Woche 1-2). Gespräche mit der Geschäftsleitung, dem Technikteam und, wo relevant, mit Business-Verantwortlichen, die sensible Daten anfassen. Überprüfung des Asset-Inventars, der bestehenden Dokumentation, der aktuellen Verträge mit Technologielieferanten und der Aufzeichnungen vergangener Vorfälle. Wir schließen mit einem Lagebericht, einer priorisierten Risikomatrix und einem Vorschlag für den Quartalsplan mit drei bis fünf messbaren Zielen.
Phase 2 · Planumsetzung (Monat 1-3). Der vCISO führt die Ausführung. Er koordiniert das interne Technikteam oder externe Anbieter, validiert Lieferergebnisse, eskaliert Blockaden und hält den Vorstand informiert. Ein monatliches Treffen mit dem Vorstand, ein wöchentliches mit dem Technikteam, asynchrone Kommunikation den Rest der Zeit.
Phase 3 · Überprüfung und Anpassung (Ende jedes Quartals). Fortschrittsbericht gegen Plan, gewonnene Erkenntnisse, Anpassung des Plans für das nächste Quartal. Sind neue Risiken aufgetaucht, werden sie aufgenommen. Bringt etwas keinen Mehrwert, fliegt es ohne Zeremoniell raus.
Phase 4 · Laufende Begleitung. Sobald sich die Routine eingespielt hat, ist der vCISO verfügbar, um die Organisation gegenüber externen Auditoren zu vertreten, Kundenfragebögen zur Sicherheit zu bearbeiten, Verhandlungen mit Technologieanbietern zu begleiten und Einzelfragen des Führungsteams zu klären.
---
Was wir liefern
- Monatliches Protokoll getroffener und ausstehender Entscheidungen für den Vorstand.
- Lebende Risikomatrix, mindestens quartalsweise aktualisiert, mit Verantwortlichem und Frist pro Risiko.
- Jahressicherheitsplan, quartalsweise überarbeitet, mit Geschäftszielen abgestimmt.
- Quartalsbericht mit Kennzahlen (mittlere Erkennungszeit, geschlossene kritische Tickets, ausgeführtes versus geplantes Budget, regulatorische Konformität).
- Validierte Antworten auf Kunden- und Versichererfragebögen.
- Begleitung bei externen Audits und technische Vertretung vor dem Vorstand.
- Zentrales Dokumentenrepository, Eigentum der Organisation (wir behalten es nicht, wenn die Beziehung endet).
---
Für wen es ist
KMU und Mittelstand mit 30 bis 500 Mitarbeitenden mit sensiblen Daten, anspruchsvollen Unternehmenskunden oder regulatorischer Exposition. Typisches Profil umfasst:
- B2B-SaaS-Unternehmen mit kürzlich abgeschlossener Serie A/B, Enterprise-Verträgen, die Konformität verlangen (ISO 27001, SOC 2, NIS2), und einem Technikteam, das bauen, aber nicht nachweisen kann.
- Industrieller Hersteller oder Distributor mit internationaler Präsenz, OT (Betriebstechnik) in der Produktion und wachsender Pflicht, Resilienz gegenüber Kunden und Versicherern nachzuweisen.
- Professionelle Dienstleister (Beratung, Anwaltskanzlei, Steuerberatung), die Informationen Dritter handhaben und ihre Verantwortung abdecken müssen, ohne überzudimensionieren.
---
Häufige Fragen
Wie viele Stunden im Monat sollte ich buchen?
Hängt von Größe und Reifegrad ab. Die übliche Bandbreite für den Mittelstand liegt zwischen zwanzig und sechzig Monatsstunden. Die Erstdiagnose definiert die richtige Bandbreite. Sie kann quartalsweise angepasst werden.
Gibt es eine Mindestlaufzeit?
Ja, ein Quartal. Wir ersparen Ihnen die Unsicherheit eines unbefristeten Vertrags und sichern uns den Mindesthorizont, um Ergebnisse zu erzielen. Nach dem ersten Quartal können Sie mit einem Monat Vorlauf ohne Strafe aussteigen.
Remote oder vor Ort?
Standardmäßig remote, mit Vor-Ort-Besuchen, wo sie Mehrwert bringen (Kick-off, wichtige Vorstandssitzung, Bearbeitung eines schweren Vorfalls). Wir verlangen keine verpflichtende Büropräsenz und stellen Reisen ohne vorherige Vereinbarung nicht in Rechnung.
Was passiert, wenn ich jemanden außerhalb der gebuchten Stunden brauche?
Bei einem echten Vorfall reagieren wir. Bei zusätzlicher planbarer Arbeit wird sie vereinbart und ohne Überraschungen separat berechnet. Wir verwenden nicht die Methode des „verdunstenden Stundenkontingents" und stellen nicht verbrauchte Stunden nicht in Rechnung.
Können Sie mehrere Regelwerke abdecken oder nur eines?
Wir decken die für Ihren Sektor relevanten ab: NIS2, DSGVO, ISO 27001, ISO 42001, DORA falls anwendbar, und vertragliche Anforderungen von Unternehmenskunden. Der vCISO wird spezifisch in das für Sie relevante Regelwerk eingearbeitet.
Wie wird Vertraulichkeit gehandhabt?
Geheimhaltungsvereinbarung vor der Diagnose unterzeichnet. Der vCISO teilt keine Informationen über Ihr Unternehmen mit anderen Kunden, auch nicht anonymisiert in öffentlichen Berichten. Bei Interessenkonflikten (direkter Wettbewerber) sagen wir es Ihnen, bevor wir den Auftrag annehmen.
---
Typische Anwendungsfälle
Fall 1 · Die SaaS, die ihre erste Zertifizierung vorbereitet. Softwareunternehmen mit siebzig Personen, kürzlich abgeschlossene Serie B, zwei Enterprise-Kunden verlangen SOC 2 Type II als Verlängerungsbedingung. Die Erstdiagnose offenbart das Fehlen einer formellen Zugriffsmanagement-Richtlinie, lückenhafte Auditprotokolle und einen fehlenden Kontinuitätsplan. Der vCISO leitet das Programm sechs Monate, koordiniert das interne Technikteam zur Implementierung von Kontrollen und Vorbereitung des externen Audits. Ergebnis: Zertifizierung im ersten Anlauf erlangt, Enterprise-Vertrag verlängert.
Fall 2 · Der Industriehersteller nach dem Vorfall. Familienunternehmen, einhundertzwanzig Mitarbeitende, zwei Produktionsstandorte. Nach einem von einem alten internen System knapp eingedämmten Ransomware-Versuch beschließt der Vorstand, die Funktion zu professionalisieren. Der vCISO tritt als Sicherheitsleitung ohne formelle Ernennung ein, definiert einen Zwölfmonatsplan, segmentiert OT/IT-Netz, formalisiert die Vorfallsreaktion und vertritt das Unternehmen gegenüber dem Versicherer bei der Neuverhandlung der Cyber-Risiko-Police (mit effektiver Prämiensenkung dank verbesserter Kontrollen).
Fall 3 · Die Kanzlei mit überschneidenden Pflichten. Anwaltskanzlei mit vierzig Profis, Mandantendaten mit hochwertigem Profil, Exposition sowohl gegenüber DSGVO als auch sektorspezifischer Regulierung. Der vCISO leitet ein auf Vertraulichkeit und Nachvollziehbarkeit fokussiertes Sicherheitsprogramm, formalisiert Protokolle für Kooperationen mit ausländischen Kanzleien und bereitet Antworten für Fragebögen von Banken und börsennotierten Unternehmen vor, die jährliche Due Diligence verlangen.
---
Wie anfangen?
Der erste Schritt ist immer eine einwöchige Erstdiagnose. Ohne Verpflichtung. Wenn wir nach der Diagnose beschließen, nicht zusammenzuarbeiten, gibt es keine Kosten.
Wir nennen Ihnen Vor- und Nachname des Ingenieurs, der sich darum kümmern würde, vor jeder Unterschrift. Wenn es nicht passt, gibt es keine Beziehung. So einfach ist es.
Schreiben Sie uns an [[email protected]](mailto:[email protected])
---
Andere Leistungen
- [ISO/IEC 42001 · Pilot für verantwortungsvolles KI-Management](/de/leistungen/iso-42001-detalle)
- [Unternehmens-OSINT-Audit](/de/leistungen/osint-detalle)