CISO-as-a-Service: Wie mittelständische Unternehmen von externer Sicherheitsexpertise profitieren

Das CISO-Dilemma im Mittelstand

Kennst du das? Dein CFO fragt nach dem Security-Budget, der Verwaltungsrat will wissen, wie ihr gegen Ransomware geschützt seid, und dein IT-Leiter jongliert zwischen Tagesgeschäft und "irgendwie auch noch Security".

Willkommen im Club.

Wir sehen das bei fast jedem mittelständischen Unternehmen, das wir beraten. Die Herausforderung ist real: Du brauchst jemanden, der Cybersecurity strategisch denkt, mit dem Board kommunizieren kann und deine Sicherheitsinvestitionen priorisiert. Aber ein Vollzeit-CISO?

Das Gehalt allein liegt bei CHF 200'000 bis 300'000. Plus Sozialleistungen. Plus Rekrutierung, die 4-6 Monate dauert. Plus das Risiko, dass die Person nach zwei Jahren wieder geht.

Für ein Unternehmen mit 150 Mitarbeitenden ist das... schwer zu rechtfertigen.

(Und ehrlich gesagt: Viele Vollzeit-CISOs langweilen sich in mittelständischen Firmen. Die spannenden Projekte fehlen, die Budgets sind limitiert, und nach einem Jahr ist die Grundlagenarbeit erledigt.)

Figure: Das CISO-Dilemma – hoher Bedarf an Security-Expertise bei begrenzten Ressourcen

Was CISO-as-a-Service wirklich bedeutet

Lass uns kurz aufräumen mit einem Missverständnis: CISO-as-a-Service ist nicht "jemand, der ab und zu vorbeischaut und Ratschläge gibt".

Es ist strategische Security-Führung auf Abruf.

Das heisst konkret:

Strategische Ebene:

• Entwicklung einer Security-Strategie, die zu deinem Business passt

• Jährliche Security-Roadmap mit klaren Prioritäten

• Budgetplanung und ROI-Argumentation für Security-Investitionen

• Risiko-basierte Entscheidungen statt Feature-Checklisten

Governance-Ebene:

• Security-Policies, die Menschen tatsächlich lesen (und befolgen)

• Klare Verantwortlichkeiten für Security im Unternehmen

• Incident-Response-Prozesse, bevor der Ernstfall eintritt

• Vendor-Management für Security-Anbieter

Kommunikations-Ebene:

• Board-Präsentationen in Business-Sprache (nicht Tech-Jargon)

• Quartals-Updates mit verständlichen Risiko-Metriken

• Übersetzung zwischen IT-Team und Geschäftsleitung

• Krisenkommunkation bei Incidents

Operative Begleitung:

• Review von Security-Projekten und Architektur-Entscheidungen

• Begleitung bei Audits (ISO 27001, FINMA, NIS2)

• Incident-Response-Führung im Ernstfall

• Vendor-Evaluationen und Vertragsverhandlungen

Wie sieht das in der Praxis aus?

Vergiss das Bild vom Berater, der einmal im Monat auftaucht und PowerPoints präsentiert.

Ein typisches CISO-as-a-Service-Engagement bei uns sieht so aus:

Wöchentlicher Rhythmus

Ein bis zwei Tage pro Woche – das ist der Sweet Spot für die meisten mittelständischen Unternehmen.

Das klingt wenig, aber denk mal drüber nach: Ein Vollzeit-CISO verbringt vielleicht 20% seiner Zeit mit strategischen Aufgaben. Der Rest geht für Meetings, Admin und Tagesgeschäft drauf.

Mit fokussierter Expertise pro Woche bekommst du mehr strategischen Output als mit einem Vollzeit-CISO, der im Alltagsstress untergeht.

Typische Tätigkeiten könnten folgende sein:

• Call mit IT-Leitung – aktuelle Themen, offene Fragen, Priorisierung der Woche

• Deep-Dive in ein Fokusthema – zum Beispiel Review des Backup-Konzepts, Vorbereitung der GL-Präsentation, oder Bewertung einer neuen Security-Lösung

• Bei Bedarf: Sofortige Verfügbarkeit bei kritischen Fragen oder Incidents

Monatlicher Rhythmus

• Ein Strategy-Meeting (90 Minuten) zur Roadmap-Überprüfung

• Security-Dashboard-Update für die Geschäftsleitung

• Review laufender Security-Projekte

Quartals-Rhythmus

• GL-Präsentation zum Security-Status

• Risiko-Assessment-Update

• Budget-Review und Planung nächstes Quartal

Wann macht CISO-as-a-Service Sinn?

Nicht jedes Unternehmen braucht einen externen CISO. Hier die Szenarien, wo das Modell am meisten Wert bringt:

Szenario 1: "Wir wachsen schnell und Security hält nicht mit"

Du hast in drei Jahren von 50 auf 200 Mitarbeitende skaliert. Die IT ist gewachsen, aber Security war immer "das machen wir später".

Jetzt kommen die ersten Enterprise-Kunden mit Security-Fragebögen. Dein IT-Leiter kann das nicht nebenbei stemmen. Ein Vollzeit-CISO ist aber noch überdimensioniert.

CISO-as-a-Service hilft hier, weil: Du schnell eine Grundstruktur aufbaust, die mit dem Unternehmen wächst. Wir etablieren die Basics, entwickeln eine Roadmap und skalieren das Engagement, wenn ihr grösser werdet.

Szenario 2: "Regulatorik zwingt uns zu handeln"

NIS2. ISO 27001. FINMA-Rundschreiben. Datenschutz-Revision.

Plötzlich brauchst du jemanden, der versteht, was das alles für dich bedeutet – und was nicht. Jemand, der mit Auditoren auf Augenhöhe spricht.

CISO-as-a-Service hilft hier, weil: Du keine 6 Monate auf einen neuen CISO warten kannst, wenn die Compliance-Deadline in 9 Monaten ist. Wir kennen die Anforderungen und wissen, was wirklich geprüft wird.

Szenario 3: "Wir hatten einen Incident und wollen das nicht nochmal erleben"

Nach einem Ransomware-Angriff oder Daten-Leak wird Security plötzlich zum Chefsache-Thema. Die Geschäftsleitung will Sicherheit – aber was genau?

CISO-as-a-Service hilft hier, weil: Wir Incident-Erfahrung mitbringen und wissen, welche Massnahmen wirklich Schutz bieten. Kein Aktionismus, sondern strukturierte Verbesserung.

Szenario 4: "Wir sind PE-Portfolio-Unternehmen und müssen liefern"

Private Equity erwartet Security-Governance, klare Risiko-Berichte und Exit-Readiness. Das ist kein Nice-to-have, sondern Teil der Value Creation.

CISO-as-a-Service hilft hier, weil: Wir die PE-Sprache sprechen und wissen, was Due-Diligence-Teams sehen wollen. Security-Maturität steigert den Exit-Multiple.

Was du realistisch erwarten kannst

Innerhalb von 3 Monaten:

• Klare Security-Strategie dokumentiert

• Risiko-Register mit Business-Impact-Bewertung

• Erste Quick Wins umgesetzt (meistens Identity & Access Management)

• Board versteht Security-Risiken in Business-Sprache

Innerhalb von 6 Monaten:

• Security-Governance etabliert (Policies, Verantwortlichkeiten)

• Incident-Response-Plan getestet

• Vendor-Landschaft optimiert (oft 20-30% Kosteneinsparung)

• Mitarbeitende sensibilisiert (nicht nur durch langweilige E-Learnings)

Innerhalb von 12 Monaten:

• Security-Incidents um 40-60% reduziert

• Audit-Findings um 50%+ reduziert

• Security-Budget effizienter eingesetzt (25-35% mehr Wirkung pro Franken)

• Unternehmen bereit für Zertifizierungen oder M&A-Prüfungen

Die Kosten-Realität

Lass uns über Geld reden. Transparent.

Vollzeit-CISO (interner Mitarbeiter):

• Gehalt: CHF 220'000-280'000

• Nebenkosten (Sozialleistungen, Infrastruktur): ~30%

• Rekrutierung: CHF 40'000-60'000 (Headhunter)

• Einarbeitung: 3-6 Monate bis volle Produktivität

• Total Year 1: CHF 350'000-400'000

CISO-as-a-Service (1-2 Tage/Woche):

• Monatliche Pauschale: CHF 8'000-10'000

• Keine Rekrutierungskosten

• Produktiv ab Tag 1

• Skalierbar nach Bedarf

• Total Year 1: CHF 96'000-120'000

Das ist mehr als 50% weniger als ein interner CISO. Und du bekommst sofort loslegen.

(Die Rechnung geht natürlich nur auf, wenn 4 Stunden pro Woche ausreichen. Für Unternehmen ab 500 Mitarbeitenden oder in stark regulierten Branchen kann ein interner CISO die bessere Wahl sein.)

Wann CISO-as-a-Service NICHT passt

Wir sind ehrlich: Das Modell ist nicht für jedes Unternehmen geeignet.

Nicht geeignet, wenn:

• Du mehr als 2-3 pro Woche Security-Führung brauchst (dann lieber Vollzeit)

• Deine Security-Anforderungen sehr spezialisiert sind (z.B. OT-Security in kritischer Infrastruktur)

• Du jemanden brauchst, der täglich vor Ort ist

• Deine Unternehmenskultur externe Berater grundsätzlich ablehnt

Gut geeignet, wenn:

• Du 50-500 Mitarbeitende hast

• Security wichtig ist, aber nicht dein Kerngeschäft

• Du schnell starten willst ohne Rekrutierungsaufwand

• Du Flexibilität brauchst (mal mehr, mal weniger Engagement)

• Du Wert auf objektive, vendor-neutrale Beratung legst

Wie wir arbeiten

Ein paar Worte dazu, wie wir bei ODCUS CISO-as-a-Service angehen – weil nicht alle Anbieter gleich arbeiten.

Business-First

Wir starten nicht mit einer 200-Punkte-Checkliste, sondern mit einer Frage: Was sind deine Business-Risiken?

Dann schauen wir, welche davon IT-Security-relevant sind. Das Ergebnis: Du investierst dort, wo es für dein Business wirklich zählt.

Pragmatische Lösungen

Perfekte Security existiert nicht. Und wenn doch, könntest du sie nicht bezahlen.

Wir suchen die 80/20-Lösungen: Massnahmen, die mit überschaubarem Aufwand maximalen Schutz bieten. Keine Security-Theater-Projekte, die gut aussehen, aber wenig bringen.

Wissenstransfer

Unser Ziel ist nicht, dich abhängig zu machen. Wir bauen interne Kompetenz auf und befähigen dein Team. Idealerweise brauchst du uns irgendwann weniger – nicht mehr.

Die ersten 90 Tage: Was passiert konkret?

Falls du überlegst, ob CISO-as-a-Service für dein Unternehmen passt, hier ein Blick auf die typischen ersten drei Monate:

Figure: Die ersten 90 Tage – von der Analyse zur etablierten Security-Governance

Woche 1-2: Verstehen

• Gespräche mit Geschäftsleitung, IT-Leitung, relevanten Stakeholdern

• Dokumentenanalyse (bestehende Policies, Netzwerkdiagramme, Verträge)

• Risiko-Profil des Unternehmens verstehen

• Quick Assessment der grössten Lücken

Woche 3-4: Priorisieren

• Business-orientiertes Risiko-Assessment

• Identifikation der "Crown Jewels" (was darf auf keinen Fall passieren?)

• Erste Security-Roadmap mit 30-60-90-Tage-Zielen

• Präsentation an Geschäftsleitung

Monat 2: Fundament legen

• Quick Wins umsetzen (oft: MFA überall, Backup-Konzept prüfen, Notfallkontakte definieren)

• Security-Governance-Framework aufsetzen

• Incident-Response-Plan erstellen

• Erste Awareness-Massnahmen

Monat 3: Stabilisieren

• Regelmässiger Rhythmus etabliert

• Erstes Board-Reporting

• Vendor-Review gestartet

• Roadmap für die nächsten 12 Monate

Die Fragen, die wir oft hören

"Wie schnell könnt ihr starten?"

In der Regel innerhalb von 2 Wochen. Keine Kündigungsfristen, keine Rekrutierung.

"Was, wenn es einen Incident gibt – seid ihr dann erreichbar?"

Ja. Bei kritischen Incidents sind wir sofort verfügbar, auch ausserhalb der regulären Stunden. Das ist Teil des Service.

"Können wir das Engagement anpassen?"

Absolut. Mehr Stunden vor einem Audit, weniger in ruhigeren Phasen. Wir skalieren mit deinem Bedarf.

"Wie funktioniert das mit unserem IT-Team?"

Wir ersetzen dein IT-Team nicht – wir ergänzen es. Dein IT-Leiter bleibt operativ verantwortlich, wir bringen die strategische Security-Expertise.

"Brauchen wir trotzdem interne Security-Ressourcen?"

Kommt drauf an. Bis ca. 200 Mitarbeitende reicht oft ein IT-Leiter plus CISO-as-a-Service. Darüber hinaus macht ein interner Security-Analyst Sinn, den wir anleiten.

Der nächste Schritt

Wenn du bis hierhin gelesen hast, beschäftigt dich das Thema offensichtlich.

Hier ist, was wir vorschlagen: Ein unverbindliches Gespräch. 30-45 Minuten.

Wir hören zu, stellen ein paar Fragen, und geben dir eine ehrliche Einschätzung, ob CISO-as-a-Service für dein Unternehmen Sinn macht – oder nicht. Kein Sales-Pitch, kein Druck.

Manchmal empfehlen wir auch: "Stellt lieber intern jemanden ein." Oder: "Fangt erstmal mit einem Security-Assessment an." Was auch immer am meisten hilft.

Zusammenfassung

Das Wichtigste auf einen Blick:

• Mittelständische Unternehmen brauchen Security-Führung, können aber oft keinen Vollzeit-CISO rechtfertigen

• CISO-as-a-Service bietet strategische Security-Expertise zu 50% der Kosten

• 1-2 Tage fokussierte Expertise pro Woche können mehr Impact haben als ein Vollzeit-CISO im Alltagsstress

• Das Modell passt besonders gut für wachsende Unternehmen, Compliance-Herausforderungen und KMUs

• Nicht jedes Unternehmen braucht einen externen CISO – bei hohem Bedarf ist intern besser

Der erste Schritt: Ein Gespräch, das klärt, was für dein Unternehmen passt. Kein Commitment, keine Verkaufsgespräche – nur eine ehrliche Einschätzung.