Kurz vorweg: vCISO ersetzt kein SOC, kein MDR und keine IT-Abteilung. Er ersetzt einen vollangestellten CISO durch ein flexibles Mandat – meist 1–8 Tage pro Monat, ergänzt durch Asynchrones Reporting. Ergebnis: KMU bekommen Senior-Sicherheits-Führung zum Bruchteil der Kosten, mit dem Zusatzvorteil, dass mehrere Mandate dem vCISO einen breiteren Erfahrungshorizont geben als jeder Inhouse-Rolle. Der wichtigste Erfolgsfaktor: klare Aufgaben-Trennung zwischen vCISO (Strategie, Compliance, Risiko) und MSP/IT (Betrieb, Tools, Incident-Handling) – und ein Quartals-Reporting an Geschäftsleitung oder Verwaltungsrat.
Aufgaben eines vCISO im KMU
Risiko- & Reifegrad-Analyse
Initial-Assessment nach CIS Controls v8, NIST CSF 2.0 oder ISO 27001 Annex A. Reifegrad pro Domain, priorisierte Massnahmen-Liste, Risiko-Heatmap für Geschäftsleitung.
ISMS-Aufbau & Policies
Sicherheits-Policies, Richtlinien, Verfahren. Information Security Policy, Acceptable Use, Access Control, Lieferanten-Management, Datenklassifikation, Incident Response.
Compliance-Steuerung
Mapping zu revDSG, FINMA-RS, ISG, NIS2, DORA, ISO 27001, TISAX. Pflichten-Tracking, Audit-Vorbereitung, Lücken-Plan.
Lieferanten-Risikomanagement
TPRM-Prozess, Vendor-Klassifikation, Vertrags-Klauseln, Sub-Outsourcing-Klauseln (DORA Art. 30 / FINMA-RS 2018/3).
Awareness & Kultur
Awareness-Programm (KnowBe4, SoSafe, Hoxhunt) konzipieren, Phishing-Simulationen, Onboarding-Schulung, monatliche Security-News, Top-Risiko-Kommunikation.
Incident Response & Krisenführung
IR-Plan schreiben, Tabletop-Übungen leiten, im Ernstfall Krisenstab führen, Kommunikation mit BACS, EDÖB, Versicherer, Kunden.
Cyber-Versicherung-Begleitung
Versicherungs-Fragebogen ausfüllen, Sub-Limits prüfen, Antworten technisch belegen, Schaden-Anzeige im Ernstfall begleiten.
Reporting an Geschäftsleitung / VR
Monats- oder Quartals-Reporting: Risiko-Status, KPI-Trends, Massnahmen-Backlog, Budget-Empfehlungen, regulatorische Updates.
vCISO-Engagement-Modelle
vCISO Light (0.5–1 Tag / Monat)
Pflege bestehender Policies, Quartals-Reporting, Beantwortung Versicherungs- und Kunden-Fragebögen, Stand-by für akute Fragen. Für KMU 20–50 MA mit etablierter Sicherheit.
Preis
CHF 1'500–2'500/Mo
Empfehlung
KMU mit bestehendem Programm, die nur die formale CISO-Rolle besetzen müssen.
vCISO Standard (2–3 Tage / Monat)
Aktive Programm-Steuerung, monatliches Reporting, Treiber für ISMS-Aufbau, Awareness-Programm, IR-Übung, Cyber-Versicherungs-Reife steigern.
Preis
CHF 3'000–5'000/Mo
Empfehlung
KMU 50–150 MA, die in 12–18 Monaten ein erwachsenes Sicherheitsprogramm aufbauen wollen.
vCISO Heavy (5–8 Tage / Monat)
Vollintegration: ISO 27001 / TISAX Zertifizierung, FINMA-Mandate, DORA-Compliance, M&A-Due-Diligence, intensive Schulungs- und Awareness-Programme.
Preis
CHF 5'000–8'000/Mo
Empfehlung
KMU mit hoher Compliance-Last, Wachstum, Übernahmen oder kritischer Infrastruktur.
Project-vCISO
Befristetes Mandat (6–12 Monate) für definiertes Ziel: ISO-27001-Zertifizierung, NIS2-Compliance, FINMA-Audit-Vorbereitung. Danach Übergang an interne Kraft.
Preis
CHF 4'000–10'000/Mo (intensiver)
Empfehlung
KMU mit konkretem Compliance-Termin und Zielbild.
Fractional CISO Pool (mehrere Spezialisten)
Ein Lead-vCISO koordiniert ein Team: Governance-Spezialist, Cloud-Security, OT/Industrial, Awareness-Coach. KMU bekommt Skill-Breite einer Grosskonzern-Abteilung.
Preis
CHF 6'000–15'000/Mo
Empfehlung
Komplexe KMU mit Schweiz/EU-Operations, OT-Anteil, hoher Compliance-Last.
Die ersten 90 Tage mit einem vCISO
Woche 1–2 – Onboarding & Assessment
Interviews mit Geschäftsleitung, IT-Lead, Fach-Verantwortlichen. Asset-Inventar prüfen, bestehende Policies sammeln, Tooling-Übersicht (M365, Firewall, Backup, MDR, Awareness).
Woche 3 – Quick Wins umsetzen
Schnell-Massnahmen aus Top-Risiken: MFA für Admins, FIDO2-Keys, Conditional Access, Backup-Verifikation, Disaster-Recovery-Plan-Skelett, Mitarbeiter-Briefing.
Woche 4–5 – Policy-Set & Governance
Information Security Policy, Acceptable Use, Access Control, Datenklassifikation, Incident Response, Lieferanten-Klausel-Set finalisieren. Geschäftsleitung beschliesst und kommuniziert.
Woche 6 – Cyber-Versicherung & Compliance
Versicherungs-Fragebogen vollständig beantworten, technische Belege beilegen. Mapping zu revDSG, ISG, ggf. NIS2/DORA/FINMA. Compliance-Backlog.
Woche 7–8 – Awareness-Programm starten
Awareness-Plattform aktivieren (KnowBe4, SoSafe, Hoxhunt), Onboarding-Modul, Phishing-Test-Welle 1, monatliches Update-Format.
Woche 9 – Tabletop-Übung
IR-Tabletop mit Geschäftsleitung, IT und ggf. Kommunikations-Verantwortlichen. Szenario Ransomware oder Datenleck. Lessons Learned als Massnahmen.
Woche 10–11 – Lieferanten-Klausel-Roll-out
TPRM-Klassifizierung Top-Vendoren, Vertrags-Nachverhandlung, DORA-/FINMA-Klausel-Set einführen. Auslagerungs-Register aufsetzen oder konsolidieren.
Woche 12 – Reporting & Roadmap
Erstes vollständiges vCISO-Reporting an Geschäftsleitung: Risiko-Heatmap, Massnahmen-Status, KPIs, Budget-Empfehlung, 12-Monats-Roadmap.
Typische Stolpersteine bei der vCISO-Auswahl
- MSP-eigener vCISO ohne Trennung: Wer Strategie und Operation aus einer Hand kauft, riskiert Selbst-Audits – Pflicht: vCISO und MSP/MDR organisatorisch trennen.
- „vCISO" der reine Tool-Verkäufer ist: Wer monatlich neue Lizenzen statt strategischer Roadmap liefert, ist kein vCISO – Pflicht: feste Leistungs-KPIs.
- Pauschalpreis ohne Leistungsbeschreibung: ohne Stunden-Cap und Deliverables eskaliert der Aufwand – Pflicht: SOW mit Output-Liste.
- Kein Reporting-Format an Geschäftsleitung: ohne formales Reporting versickert die Wirkung – Pflicht: Monats- oder Quartals-Reporting, dokumentiert.
- vCISO ohne Branchen-Erfahrung: FINMA, MedTech, Industrie – jede Branche hat ihre Sprache – Pflicht: Referenzen aus vergleichbarer Branche prüfen.
- Verwechslung mit MSSP: MSSP betreibt Tools, vCISO entscheidet – Pflicht: klare Rollen-Trennung.
- Kein Vertretungs- oder Eskalations-Modell: Wenn der vCISO im Urlaub ist und ein Vorfall kommt – Pflicht: Stellvertreter benannt, SLAs für Notfall-Reaktion.
- Fehlende Geheimhaltungs- und Sicherheits-Klauseln: vCISO hat Tiefen-Einblick – Pflicht: NDA, Hintergrund-Check, Conflict-of-Interest-Erklärung.
- KPI-Vakuum: ohne Mess-Grössen kein Fortschrittsnachweis – Pflicht: 5–10 KPIs (MFA-Quote, Patch-Stand, Awareness-Click-Rate, IR-Übungs-Frequenz, Risiko-Score).
- Vertragsende ohne Übergabe: nach 12–24 Monaten Wechsel ohne Doku-Übergabe – Pflicht: Doku-Set und Sitzungs-Übergabe vertraglich geregelt.
Fazit: vCISO ist Senior-Führung im Abo-Modell
Ein vCISO ist 2026 das schnellste Mittel, um Schweizer KMU von „Cyber-Reife 1" auf „auditfähig" zu bringen – ohne CHF 200\'000-Stellensuche, ohne 12 Monate Rekrutierung, ohne Risiko, dass die Einzelperson kündigt. Die Engagement-Modelle skalieren mit dem Bedarf: Light für etablierte Programme, Heavy für ISO-Zertifizierungen, Project-vCISO für klar definierte Compliance-Ziele.
Wichtig ist die saubere Trennung: vCISO entscheidet, MSP/MDR betreibt. vCISO berichtet an Geschäftsleitung oder Verwaltungsrat, MSP an die IT-Leitung. Wer diese Rollen-Architektur respektiert, bekommt Senior-Sicherheits-Führung mit Quartals-Reporting, das Versicherer und Auditoren überzeugt – zu einem Bruchteil der Kosten einer Vollzeit-Stelle und mit dem Bonus eines Beraters, der bei zehn anderen KMU sieht, was funktioniert und was nicht.
vCISO-Mandat für Ihr KMU
Wir übernehmen Ihre Sicherheitsführung im Abo-Modell – mit Reifegrad-Assessment, Policy-Set, Awareness-Programm und Quartals-Reporting an Geschäftsleitung und Verwaltungsrat.
Beratung anfragen