Wenn du anfängst, nach externer Security-Leadership zu suchen, begegnest du drei Begriffen: vCISO, Fractional CISO, CISOaaS.

Sie meinen ungefähr dasselbe. Aber nur ungefähr.

Die Unterschiede sind im Alltag spürbar, besonders wenn es darauf ankommt.

Die drei Modelle

vCISO (Virtual CISO)

Dieser Begriff kommt vor allem von Managed Service Providern. Du buchst eine Funktion, keine Person. Hinter dem "vCISO" steht oft ein Team, das Aufgaben verteilt. Ein benannter Ansprechpartner ist manchmal dabei, manchmal nicht.

Das Modell passt, wenn du eine strukturierte Security-Dienstleistung für ein zeitlich begrenztes Projekt willst, zum Beispiel die Vorbereitung auf ein Audit oder die Einführung eines Frameworks. Die Qualität hängt davon ab, wer im Hintergrund die Arbeit macht.

Fractional CISO

Hier buchst du eine Person. Einen erfahrenen Security-Experten, der einen definierten Teil seiner Zeit für dein Unternehmen aufwendet, typisch ein bis zwei Tage pro Woche.

Du weisst, mit wem du arbeitest. Die Person kennt dein Unternehmen, baut über Zeit Vertrauen auf und ist bei einem Incident nicht austauschbar.

Die Kehrseite: Du bist von einer Einzelperson abhängig. Wenn diese Person das Mandat beendet, geht institutionelles Wissen verloren.

CISOaaS (CISO as a Service)

Das ist die Mischform. Ein benannter Senior-CISO übernimmt die Verantwortung, hat aber Zugang zu einem Team im Hintergrund. Du bekommst die persönliche Kontinuität eines Fractional CISO und die Tiefe, die ein Einzelkämpfer nicht liefern kann.

Das macht Sinn, wenn die Security-Anforderungen komplex sind: reguliertes Umfeld, mehrere Compliance-Frameworks, ein Enterprise-Kundenstamm mit eigenen Sicherheitsanforderungen.

Welches Modell passt wann?

Drei Faktoren bestimmen das: Komplexität der Anforderungen, Bedeutung persönlicher Kontinuität und Budget.

Für ein abgegrenztes Projekt ohne laufende Governance-Anforderung kann ein vCISO-Modell ausreichen.

Wenn du eine langfristige Security-Leadership brauchst, die dein Unternehmen kennt, im Ernstfall handlungsfähig ist und auch nach aussen als Ansprechperson auftreten kann, dann brauchst du ein Fractional CISO oder CISOaaS-Modell.

Wenn dazu regulatorische Anforderungen kommen, FINMA, NIS2, ISO 27001, oder du Kunden hast, die deine Sicherheitslage prüfen, dann braucht es die Tiefe eines CISOaaS-Modells.

Worauf du bei der Auswahl achtest

Branchenerfahrung

Allgemeines Security-Wissen ist gut. Jemand mit Erfahrung in deiner Branche sieht die relevanten Risiken von Anfang an, statt sie erst zu lernen. Frag nach konkreten Mandaten in ähnlichen Unternehmen.

Erfahrung aus dem operativen Betrieb

Ein häufig übersehener Punkt. Hat die Person mal als interner CISO gearbeitet? Externe Berater bringen Breite, aber oft nicht die Tiefe, die aus dem Betrieb entsteht. Inhouse-Erfahrung macht den Unterschied bei schwierigen Entscheidungen unter Druck.

Wie sie Krisen beschreiben

Frag direkt: "Beschreib mir einen Incident, den du koordiniert hast." Eine gute Antwort ist konkret und ruhig. Wer ausweicht oder theoretisch bleibt, hat wahrscheinlich wenig Praxiserfahrung mit echten Krisen.

Referenzen

Kein Provider sollte dich damit abwimmeln, dass alles unter NDA steht. Anonymisierte Referenzen oder ein Gespräch mit einem früheren Kunden sind möglich. Wenn das nicht geht, ist das ein Signal.

Die ersten 90 Tage

Das ist der häufigste Schwachpunkt beim Onboarding externer CISOs: zu wenig Struktur in der Einarbeitungsphase. Frag, was konkret in den ersten drei Monaten passiert. Wer keine klare Antwort hat, ist nicht vorbereitet.

Was kein Modell ersetzen kann

Alle drei Modelle haben eine gemeinsame Grenze: Sie sind extern.

Das bedeutet weniger institutionelles Wissen als ein interner CISO, eingeschränkte Präsenz im Tagesgeschäft und eine Abhängigkeit, die du aktiv managen musst. Das ist kein Grund, auf externe Security-Leadership zu verzichten. Es ist ein Grund, offen damit umzugehen.

Ein guter Anbieter spricht das selbst an. Wer das nicht tut, will entweder zu schnell verkaufen oder hat keine Selbstreflexion.

Zusammengefasst

vCISO, Fractional CISO und CISOaaS sind keine Synonyme. Der richtige Begriff zeigt dir, was du buchst: eine Funktion, eine Person oder eine Person mit Team dahinter.

Die Entscheidung zwischen den Modellen folgt der Frage, was du brauchst. Die eigentliche Arbeit liegt dann in der Auswahl der Person oder des Teams.

Wenn du an diesem Punkt bist und einen Gesprächspartner brauchst, der alle drei Modelle aus der Praxis kennt: Wir sind erreichbar.