Virtual-CISO-Services
Unternehmen zwischen 50 und 500 Personen brauchen eine CISO-Funktion, stellen aber selten eine Vollzeitkraft ein. Unser vCISO-Retainer gibt Ihnen strategische Sicherheitsführung, Compliance-Roadmap-Eigentümerschaft und board-ready Berichterstattung — ohne die €200k+ Gehaltszeile.
Die CISO-Rolle, als Retainer geliefert
Seniore Sicherheitsführung ohne die Vollzeitkosten. Wir agieren als Ihr CISO — in Board-Meetings, in Lieferanten-Reviews, in Incident-Eskalationen, in Compliance-Audits.
Sicherheits-Roadmap
Jährliche Sicherheitsstrategie ausgerichtet auf Ihre Geschäftsziele. Quartalsreviews, monatliche Anpassungen. Eine Roadmap, die Auditor-Prüfung standhält.
Risikoregister-Eigentümerschaft
Lebendes Risikoregister wird in Ihrem Namen gepflegt. Schweregrad-gerankt, Mitigation-getrackt, Behandlung-begründet. Bereit für jeden ISO 27001- oder SOC 2-Audit.
Incident-Response-Führung
Wenn etwas passiert, rufen Sie uns an. Vierteljährliche Tabletop-Übungen. Echte Incident-Playbooks. Koordinierte Reaktion, wenn es darauf ankommt.
Richtlinien & Compliance
Informationssicherheits-Policy-Suite, akzeptable Nutzung, Vendor-Management, Datenklassifizierung — erstellt und auf einem dokumentierten Review-Rhythmus gepflegt.
Board-ready Berichterstattung
Monatlicher Sicherheitsbericht für das Führungsteam und vierteljährliches Briefing für den Vorstand. Board-ready Zusammenfassungen in klarer Sprache jeden Monat.
Lieferanten- & Beschaffungs-Review
Sicherheitsreview neuer Lieferantenverträge, DPAs, Datenaustauschvereinbarungen. Wir zeichnen auch die Sicherheitsfragebögen ab, die Ihre Verkaufsprospekte Ihnen schicken.
Wie der vCISO-Retainer funktioniert
Sicherheitslage-Assessment
Wir beginnen mit einem strukturierten Assessment Ihrer aktuellen Sicherheitslage: Policies, Kontrollen, Lieferantenlandschaft, Compliance-Verpflichtungen und frühere Vorfälle. Output ist eine priorisierte Gap-Liste und eine Entwurfs-Sicherheits-Roadmap.
Laufender Retainer
Monatlich: Risikoregister-Review, Policy-Wartung, Lieferanten-Sicherheits-Reviews und ein schriftlicher Bericht für Ihr Führungsteam. Quartalsweise: Board-Briefing und Roadmap-Checkpoint. On-Call: Incident-Response-Führung bei Bedarf.
Audit & Compliance-Support
Wenn Ihr ISO 27001- oder SOC 2-Audit ansteht, vertreten wir Ihr Unternehmen vor dem Auditor, koordinieren die Nachweissammlung und managen die Befunde-Remediation. Die meisten vCISO-Kunden verbinden diesen Retainer mit unseren Penetration-Testing- und ISO/SOC 2-Compliance-Services.
Pen-Testing ohne Strategie ist nur Befunde auf einem PDF
Der vCISO-Retainer passt natürlich zu unserem Penetration-Testing-Service: Pen-Testing identifiziert die technischen Schwachstellen, der vCISO-Retainer besitzt die Umwandlung in ein priorisiertes Remediation-Programm, Governance und Audit-Nachweise. Die meisten Kunden führen beides als ein Engagement.
Gebündelte Preisgestaltung: vCISO + monatliche Pen-Testing-Scans ab einem kombinierten Retainer — deutlich günstiger als die €15k+/Monat All-in-One-MDR-Services, die dieselben Fähigkeiten mit einer 24-monatigen Bindung bündeln.
Häufig gestellte Fragen
Was macht ein Virtual CISO?
Ein Virtual CISO (vCISO) erfüllt dieselbe Funktion wie ein Vollzeit-Chief-Information-Security-Officer, aber auf Retainer-Basis statt als Mitarbeiter. Dazu gehört: Eigentümerschaft der Informationssicherheitsstrategie und -roadmap; Pflege des Risikoregisters und der Sicherheits-Policies; Führung der Incident Response bei Sicherheitsvorfällen; Vertretung der Sicherheit in Board-Meetings; Überwachung von Compliance-Programmen (ISO 27001, SOC 2, GDPR, NIS2); und Review von Lieferanten- und Auftragnehmer-Sicherheitsvereinbarungen.
Wie viel kosten vCISO-Services?
Unser vCISO-Retainer beginnt ab €5,000 / month für Unternehmen mit bis zu ~150 Personen. Größere Organisationen mit komplexeren Compliance-Verpflichtungen oder Multi-Jurisdiktions-Betrieb werden individuell kalkuliert. Zum Vergleich: Ein Vollzeit-CISO in Westeuropa verdient €180,000–€350,000 in der Gesamtvergütung. Ein vCISO liefert die strategische Funktion zu 10–20% dieser Kosten.
Was ist der Unterschied zwischen einem vCISO und einem Managed Security Service (MSSP)?
Ein vCISO ist eine strategische Führungsfunktion: Er besitzt das Sicherheitsprogramm, trifft Entscheidungen und vertritt die Sicherheit auf Führungsebene. Ein MSSP ist ein operativer Service: Er überwacht Ihre Umgebung und reagiert auf Alerts. Die beiden ergänzen sich. Die meisten reifen Sicherheitsprogramme brauchen beides — einen vCISO, der die Richtung vorgibt und Governance besitzt, und operatives Tooling (SIEM, EDR, SOC), um es auszuführen.
Brauchen Startups einen vCISO?
Ja, wenn eines der folgenden zutrifft: Sie verkaufen an Enterprise-Käufer, die Sicherheitsfragebögen schicken; Sie verarbeiten personenbezogene Daten, die der GDPR unterliegen; Sie streben ISO 27001- oder SOC 2-Zertifizierung an; Sie sind in einer regulierten Branche tätig (Fintech, Healthtech, Legaltech); oder Sie haben institutionelle Finanzierung erhalten und Investoren erwarten eine Sicherheitslage. Startups sind überproportional häufig Ziel von Phishing- und Supply-Chain-Angriffen, weil sie typischerweise schwache Kontrollen haben.
Was ist im vCISO-Retainer enthalten?
Unser Standard-Retainer umfasst: initiales Sicherheitslage-Assessment; jährliche Sicherheitsstrategie und -roadmap; monatliche Risikoregister-Wartung; monatlicher Führungs-Sicherheitsbericht; vierteljährliches Board-Briefing; laufende Policy-Erstellung und -review; Lieferanten-Sicherheits-Reviews; Sicherheitsfragebogen-Ausfüllung für Ihr Vertriebsteam; und On-Call-Incident-Response-Führung. Penetration Testing und ISO/SOC 2-Vorbereitung sind als gebündelte Add-ons verfügbar.
Wie schnell können Sie beginnen?
Wir können innerhalb von zwei Wochen nach einem unterzeichneten Engagement-Brief mit einem Sicherheitslage-Assessment beginnen. Das initiale Assessment dauert 2–3 Wochen; der vollständige Retainer beginnt unmittelbar danach. Wenn Sie eine dringende Compliance-Deadline oder einen aktiven Vorfall haben, kontaktieren Sie uns direkt und wir beschleunigen den Prozess.
CISO-Niveau-Beratung, Retainer-bepreist
Erzählen Sie uns von Ihrem Unternehmen und Ihren Compliance-Zielen — wir kommen zurück mit einem maßgeschneiderten Scope.
Kontakt aufnehmen → Penetration Testing →