vCISO vs. Full-Time CISO: Der ehrliche Kostenvergleich
Ein interner CISO kostet im DACH-Mittelstand zwischen 150.000 und 220.000 € pro Jahr – inklusive aller Nebenkosten. Das vCISO-Modell liefert gleichwertige strategische Abdeckung ab 4.500 €/Monat. Was der Vergleich wirklich zeigt.
Die Entscheidung zwischen einem internen CISO und einem vCISO-Mandat wird häufig als Frage der Kontrolle oder des Vertrauens gerahmt. Das ist die falsche Frage. Die richtige lautet: Was kostet strategische Sicherheitsführung – und was bekommen Sie dafür?
Die tatsächlichen Kosten eines Full-Time CISO
Geschäftsführer, die erstmals einen CISO einstellen, kalkulieren meist mit dem Bruttogehalt. Das ist nur ein Teil der Gleichung.
Gehalt und variabler Anteil: Ein erfahrener CISO im deutschsprachigen Mittelstand – mit nachweisbarer Expertise in Regulatorik, Governance und technischer Sicherheit – kostet 130.000 bis 180.000 € Bruttojahresgehalt. In regulierten Branchen oder bei internationaler Ausrichtung liegt die Obergrenze höher.
Arbeitgeberanteil Sozialversicherung: Rund 20 % des Bruttogehalts. Bei 150.000 € Gehalt sind das weitere 30.000 €.
Overhead: Büro, Hardware, Tools, Fortbildungen, Reisekosten, HR-Aufwand. Erfahrungswert: 15–25 % des Gehalts, abhängig von Infrastruktur und Unternehmensgröße.
Recruiting: Executive Search für einen CISO kostet typischerweise 20–30 % des Jahresgehalts. Einmalig, aber nicht vernachlässigbar.
Onboarding und Ramp-up: Ein neuer CISO ist selten ab Tag eins vollständig operativ. Realistische Ramp-up-Zeit: drei bis sechs Monate.
Addiert ergibt sich ein Bild, das in vielen Mittelstandsgesprächen überrascht: Die Gesamtkosten eines Full-Time CISO liegen im ersten Jahr regelmäßig zwischen 150.000 und 220.000 €. Im zweiten Jahr ohne Recruiting-Kosten zwischen 120.000 und 170.000 €.
Was das vCISO-Modell kostet
Das vCISO-Mandat von Woodlands Advisory ist in drei Tiers strukturiert:
| Tier | Monatliche Rate | Jahreskosten | |---|---|---| | Foundation | 4.500 € | 54.000 € | | Professional | 6.500 € | 78.000 € | | Enterprise | 8.000 € | 96.000 € |
Keine Recruiting-Kosten. Kein Overhead. Keine Nebenleistungen. Kein Ramp-up. Der vCISO ist ab dem ersten Arbeitstag des Mandats vollständig operativ.
Was der Vergleich wirklich bedeutet
Die Zahlendifferenz ist erheblich. Aber sie ist nicht das einzige Argument für das vCISO-Modell.
Verfügbarkeit von Spezialisierung: Ein interner CISO ist eine Person. Ein vCISO-Mandat bindet ein Team mit Expertise in Governance, technischer Sicherheit, Regulatorik und Lieferkettenrisiken. Kein Einzelner kann alle Disziplinen auf demselben Niveau abdecken.
Flexibilität: Ein Angestelltenverhältnis ist schwer zu beenden. Ein vCISO-Mandat ist nach der initialen Mindestlaufzeit monatlich kündbar. Das ist relevant, wenn sich Unternehmensanforderungen ändern – nach einer Akquisition, einem Regulierungswandel oder einer Konsolidierungsphase.
Risiko der Abhängigkeit: Wenn ein interner CISO das Unternehmen verlässt, entsteht eine kritische Lücke. Prozesse, Dokumentation und institutionelles Wissen gehen mit. Ein vCISO-Mandat ist strukturell unabhängig von einzelnen Personen.
Kein Netzwerkeffekt beim Angestellten: Ein vCISO, der gleichzeitig für mehrere Unternehmen tätig ist, sieht Muster über Branchen, Bedrohungslagen und Regulierungsanforderungen hinweg. Ein interner CISO sieht nur ein Unternehmen.
Wann ein Full-Time CISO die richtige Entscheidung ist
Das vCISO-Modell ist nicht für jedes Unternehmen und jede Situation die richtige Wahl.
Ein interner CISO macht Sinn, wenn:
- Das Unternehmen eine eigene Security-Organisation aufbaut, die täglich operative Führung braucht
- Regulatorische Anforderungen explizit einen Vollzeit-CISO verlangen (z. B. in bestimmten KRITIS-Sektoren)
- Das Unternehmen eine Größe erreicht hat, bei der ein vCISO-Mandat kapazitiv nicht mehr ausreicht (typischerweise ab 500–1.000 Mitarbeitern mit eigenem Security-Team)
In diesen Fällen ist die Investition gerechtfertigt. Für den Großteil des deutschen Mittelstands – Unternehmen zwischen 50 und 500 Mitarbeitern, die strategische Sicherheitsführung ohne eigenes Security-Team benötigen – liefert das vCISO-Modell die gleiche strategische Abdeckung bei deutlich geringeren Kosten und höherer Flexibilität.
Der oft vergessene Faktor: Zeit bis zur Wirksamkeit
Ein Full-Time CISO, der heute ausgeschrieben wird, ist in neun bis zwölf Monaten operativ – wenn der Prozess reibungslos verläuft. Executive Search, Auswahlprozess, Kündigungsfristen, Onboarding.
Ein vCISO-Mandat beginnt innerhalb von zwei Wochen nach Vertragsabschluss.
Für Unternehmen unter regulatorischem Druck, mit einem laufenden Audit oder einer bevorstehenden Transaktion ist das kein theoretischer Unterschied.
Woodlands Advisory bietet das vCISO Mandat als Festpreis-Modell in drei Tiers an – mit monatlicher Kündbarkeit nach der initialen Laufzeit und voller strategischer Abdeckung ab dem ersten Arbeitstag.
Sprechen wir über Ihr konkretes Thema.
30 Minuten. Vertraulich. Unverbindlich.
Erstgespräch vereinbaren →← Zurück zu allen Artikeln