Externer CISO oder eigener CISO? Eine Entscheidungsmatrix für österreichische Mittelständler

„Brauchen wir einen CISO — und wenn ja, in welcher Form?” Diese Frage stellt sich aktuell jede zweite Geschäftsführung eines mittelständischen Unternehmens, häufig getrieben durch eine NIS2-Betroffenheit, eine Lieferanten-Anforderung von einem Großkunden oder einen unangenehm konkret gewordenen Vorfall. Die Antwort fällt nicht immer leicht — vor allem, weil zwei sehr unterschiedliche Modelle zur Auswahl stehen: die eigene CISO-Stelle oder die externe Sicherheitsführung (vCISO) als Dienstleistung.

Beide Modelle haben ihre Berechtigung. Welches passt, hängt von vier Faktoren ab — und die kennt man nicht immer ehrlich.

Wer braucht überhaupt einen CISO?

Vor der Modellfrage steht die Frage, ob die Funktion überhaupt nötig ist. Eine grobe Faustregel, die wir in der Beratung anwenden: Ab etwa 80 bis 100 Mitarbeitenden, ab einer NIS2-Betroffenheit oder ab dem Moment, in dem ein Großkunde Sicherheitsnachweise einfordert, wird Cybersecurity zu einer Funktion, die nicht mehr nebenbei erledigt werden kann.

Drei typische Auslöser:

• Regulatorisch — NIS2 oder branchenspezifische Anforderungen (DORA, KRITIS-Anlehnungen in AT) verlangen eine klar benannte Person mit Verantwortung und Auditfähigkeit.
• Vertraglich — Großkunden, vor allem Tier-1-Lieferanten im Automotive-, Maschinen- und Anlagenbau, machen Cybersecurity-Standards zur Lieferantenpflicht. Ohne benannte Funktion gibt es keinen Ansprechpartner.
• Operativ — Nach einem Vorfall oder Beinahe-Vorfall wird der GF bewusst, dass die IT-Abteilung die Sicherheitsverantwortung nicht alleine tragen kann — und auch nicht soll.

Wer keinen dieser drei Auslöser hat und unter 80 Mitarbeitenden bleibt, kann die Funktion oft durch strukturierte Cyber-Governance ohne eigene CISO-Rolle abdecken — verteilte Verantwortung mit klaren Zuständigkeiten reicht für diese Größe in der Regel.

Das Vollzeit-CISO-Modell

Eine festangestellte CISO-Position klingt zunächst nach der „richtigen” Lösung. In der Praxis bringt sie aber drei Herausforderungen mit sich, die viele Unternehmen unterschätzen.

Erstens: Die Kosten sind höher, als sie auf den ersten Blick wirken. Ein qualifizierter CISO mit einigen Jahren Berufserfahrung und einschlägigen Zertifizierungen (CISM, CISSP, ISO 27001 Lead Auditor) kostet in Österreich aktuell zwischen 120.000 und 200.000 Euro Jahresbruttogehalt — abhängig von Berufserfahrung, Branche und Größenordnung der Verantwortung. Dazu kommen Lohnnebenkosten von rund 30 Prozent, Weiterbildungsbudget (3.000–8.000 Euro pro Jahr für Zertifizierungs-Erhaltung), Equipment und in vielen Fällen ein eigenes kleines Team. Realistische Gesamtkosten: 200.000 bis 300.000 Euro pro Jahr.

Zweitens: Der Recruiting-Markt ist eng. Qualifizierte CISO-Profile sind in Österreich rar. Die Suchzeit beträgt typischerweise sechs bis zwölf Monate — und das ist die Zeit, in der die Position bereits gebraucht wird, etwa wegen einer regulatorischen Frist oder einer Vertragsanforderung.

Drittens: Die Erfahrungsbreite ist auf ein Unternehmen begrenzt. Ein interner CISO sieht jeden Tag die gleichen Strukturen, die gleichen Lieferanten, die gleichen Tools. Das ist gut für Tiefe, aber problematisch für Vergleich und Außenperspektive. Wer als CISO durch nur ein Unternehmen geht, verliert nach ein paar Jahren den Marktblick.

Wann sich der Vollzeit-CISO trotzdem rechnet: ab etwa 500 Mitarbeitenden, in stark regulierten Branchen mit hoher operativer Risikodichte (Energie, Finanzdienstleister, Großkliniken) oder wenn das Unternehmen selbst Sicherheitsdienstleistungen anbietet und der CISO eine repräsentative Außenwirkung hat.

Das externe Modell — vCISO oder Externer CISO

Das externe Modell — je nach Anbieter „vCISO” (virtual CISO) oder schlicht „externer CISO” genannt — funktioniert nach einer einfachen Logik: Die strategische Sicherheitsführung wird als Dienstleistung eingekauft, typischerweise mit einem definierten Stundenkontingent pro Monat.

Kostenrahmen in Österreich: zwischen 12.000 und 40.000 Euro pro Jahr, abhängig vom Stundenumfang (üblich sind 4 bis 16 Stunden pro Monat) und der Komplexität des Unternehmens.

Das Modell hat drei strukturelle Vorteile gegenüber der Vollzeit-Stelle:

• Sofortige Verfügbarkeit — Ein externer CISO ist innerhalb von Tagen bis Wochen einsetzbar, nicht in Monaten. Das ist relevant, wenn eine NIS2-Frist näher rückt oder ein Kunde einen Nachweis bis zum Quartalsende verlangt.
• Breite Erfahrung — Externe arbeiten parallel mit mehreren Mandanten in verschiedenen Branchen. Was bei Kunde A funktioniert hat, fließt — anonymisiert — in die Beratung bei Kunde B ein. Diese Quervernetzung ist intern schwer abbildbar.
• Skalierbarkeit nach Bedarf — Das Stundenkontingent kann erhöht werden (etwa während eines Audit-Vorbereitungsmonats oder nach einem Vorfall) oder reduziert, wenn weniger Steuerung nötig ist. Anders als bei einer Festanstellung entstehen keine Kündigungs- oder Restrukturierungskosten.

Die Grenzen des Modells: Wer einen CISO braucht, der 40 Stunden pro Woche operativ in die IT eingebunden ist, kommt mit dem externen Modell nicht aus. Auch repräsentative Aufgaben (Pressetermine, Aufsichtsratsteilnahmen mit reservierten Sitzen, Compliance-Vorstands-Roles) brauchen interne Personen. Das externe Modell ist auf strategische Steuerung zugeschnitten, nicht auf operative Vertretung.

Die Entscheidungsmatrix

Die folgende Matrix bildet die typischen Konstellationen ab, mit denen wir in der Beratungspraxis konfrontiert sind. Sie ist kein Ersatz für eine sorgfältige Einzelfall-Analyse — sie zeigt die Richtungs-Empfehlung.

Mitarbeitende	NIS2 betroffen?	Reifegrad	Empfehlung
< 50	Nein	beliebig	Keine eigene CISO-Funktion. Verteilte Verantwortung, externer Berater bei Bedarf.
50–80	Nein	gering–mittel	Externer CISO mit 4–8 Stunden/Monat ausreichend.
50–80	Ja (wichtige Einrichtung)	gering	Externer CISO mit 8–16 Stunden/Monat, intensives erstes Jahr.
80–250	Nein	mittel–hoch	Externer CISO mit 8–16 Stunden/Monat, optional plus interner IT-Security-Officer.
80–250	Ja	mittel	Externer CISO mit 16 Stunden/Monat, parallel interner IT-Security-Officer als Tandem.
250–500	Ja (wesentliche Einrichtung)	hoch	Vollzeit-CISO, externer Berater nur punktuell für Spezialfragen.
> 500	beliebig	beliebig	Vollzeit-CISO mit kleinem Team.

Die wichtigste Zahl in dieser Tabelle ist die NIS2-Spalte; die Mitarbeiterzahl ist nachrangig. Eine Einstufung als wesentliche oder wichtige Einrichtung verschiebt den Aufwand systematisch nach oben — unabhängig von der Größe.

Häufige Stolpersteine beim externen CISO

Drei Muster sehen wir regelmäßig in Erstgesprächen, die von einem unbefriedigenden externen CISO-Engagement berichten:

Stolperstein 1: Der externe CISO wird wie ein Auditor behandelt. Wer einmal pro Quartal eine Statusbesprechung führt und sonst nichts kommuniziert, bekommt eine quartalsweise Standortbestimmung — aber keine Steuerung. Das externe Modell funktioniert nur, wenn es laufenden Austausch mit der IT-Leitung und ein definiertes Reporting an die Geschäftsführung gibt.

Stolperstein 2: Die Verantwortung wird zu vollständig ausgelagert. Die Haftung der Geschäftsführung lässt sich nicht delegieren — auch nicht an einen externen Dienstleister. Der externe CISO bringt Methodik, Erfahrung und Außenblick, aber die Entscheidungen über Risikoakzeptanz, Budgetfreigaben und Priorisierungen bleiben beim Auftraggeber.

Stolperstein 3: Reisezeiten und Vor-Ort-Anteile werden unterschätzt. Strategische Workshops und Krisenstabsübungen funktionieren physisch besser als remote. Wer einen externen CISO im Ennstal oder in Hartberg sitzt und ein Steiermark-orientiertes Unternehmen berät, muss Reisezeiten realistisch im Stundenkontingent kalkulieren — sonst wird das vereinbarte Budget durch Fahrt-Anteile aufgezehrt.

Steiermark-Kontext — die Lieferketten-Dynamik

In der Steiermark gibt es einen spezifischen Treiber für die externe CISO-Frage: die starke Tier-1-Lieferantenstruktur der hier ansässigen Industriegrößen. Voestalpine in Donawitz und Linz, Magna Steyr in Graz, AVL List, AT&S, Andritz AG, Pankl Racing Systems — sie alle haben in den letzten zwei Jahren ihre Sicherheitsanforderungen an Lieferanten verschärft. Aus Maschinenbau-, Anlagenbau- und IT-Dienstleister-Kreisen kommen aktuell die meisten Erstgespräche zum Thema Sicherheitsführung.

Die Anforderungen variieren — TISAX im Automotive-Umfeld, sektor-spezifische Frameworks bei Energie, schlicht „NIS2-Mindeststandards” bei Mittelständlern, die selbst nicht NIS2-pflichtig sind. Ohne benannte Sicherheitsverantwortung wird die Lieferantenqualifizierung in diesen Fällen schwierig.

Für viele Unternehmen, die nicht groß genug sind für eine eigene CISO-Stelle, aber zu wichtig im Liefer-Netzwerk, um die Anforderung zu ignorieren, ist das externe Modell genau die richtige Größenordnung — vor allem in den ersten 12 bis 24 Monaten, in denen die Strukturen aufgebaut werden und die operative Steuerung nicht permanent in voller Auslastung gebraucht wird.

Fazit

Die Wahl zwischen Vollzeit-CISO und externem CISO ist pragmatisch. Sie hängt an vier Faktoren: Größe, regulatorischer Lage, Reifegrad und Lieferantenrolle. Wer unter 250 Mitarbeitenden bleibt und keine wesentliche Einrichtung nach NIS2 ist, kommt mit dem externen Modell in 90 Prozent der Fälle besser zurecht — und behält die Flexibilität, später bei Bedarf zur Festanstellung zu wechseln.

Wer sich für das externe Modell entscheidet, sollte zwei Punkte vor Vertragsabschluss klären: Wie sieht das Reporting an die Geschäftsführung aus? Und wie verhält sich der Anbieter im Vorfall? Beides lässt sich vorab nicht in einer Stundenmatrix abbilden — aber im Erstgespräch wird sichtbar, ob die Erwartungen zueinander passen.

Wer sich überlegt, das externe CISO-Modell als Leistung zu evaluieren, beginnt typischerweise mit einer 30-minütigen Standortbestimmung. Was danach kommt, hängt vom Ergebnis ab — nicht von einer fixen Roadmap.