Senior-Sicherheitsführung im Mandat für Unternehmen mit 50 bis 500 Mitarbeitenden. Eingebettet im Team, festpreisig, vendor-neutral. ODCUS bleibt, bis das Sicherheitsprogramm steht.
Drei Lücken, die in fast jedem KMU auftauchen, sobald man hinschaut. Compliance ist das Symptom. Eigentümerschaft ist das Problem.
IT hält den Laden am Laufen. Die Geschäftsleitung steuert das Geschäft. Audits werden ad hoc bewältigt. Sicherheit fällt in die Lücke und auf den Tisch dessen, der gerade da ist.
Standardrichtlinien aus dem Internet. Berater, die nicht wissen, wie deine Lieferkette aussieht. Frameworks generisch durchgepaust. Papier ohne Substanz.
Jedes Audit, jeder Sales-Pitch endet mit einem neuen Tool. Lizenzen wachsen, das Risiko bleibt. ODCUS startet jedes Mandat mit der Frage: Was kann weg?
In jedem Mandat enthalten. Tiefe und Zeitanteil werden im Scoping festgelegt, aber das Muster bleibt gleich.
Geschäftsleitung, Verwaltungsrat, Kundenfragebögen, Audit-Walkthroughs. Eine Ansprechperson, die alles im Griff hat.
Bevor neue Tools dazukommen, wird die bestehende Sicherheitslandschaft auf Wirksamkeit geprüft. Doppelte Lizenzen fliegen raus.
Massnahmen werden mit der IT umgesetzt, nicht auf 80 Seiten dokumentiert. ODCUS bleibt, bis das System läuft.
Vier Seiten Steuerkreis pro Monat. Quartalsbericht für den VR. Risiken, Massnahmen, Trends. Kein 60-Seiten-Deck.
Welcher Standard dich verpflichtet, und welcher dir wirklich hilft, hängt am Geschäftsmodell. Womit ODCUS in den letzten Jahren operativ gearbeitet hat:
Strukturierter ISMS-Aufbau, geeignet für Zertifizierung und für anspruchsvolle Kundenaudits.
Identify–Protect–Detect–Respond–Recover. Schnell zum Lagebild, ohne Zertifizierungsballast.
Informationssicherheitsgesetz für Bundesnähe, revidiertes Datenschutzgesetz für alle. Ab Ende 2026 wird durchgesetzt.
Wer in EU-Konzerne liefert, bekommt die Anforderungen vertraglich weitergereicht. Vorbereitung statt Reaktion.
Operationelle Risiken und Resilienz. Schnittstelle zur Aufsicht, zum internen Audit und zum Risk-Komitee.
SOC 2 Typ I/II für SaaS-Anbieter, TISAX für Automotive-Zulieferer. Wenn Kunden danach fragen, machen wir es.
Ein Mandat erreicht den Vollbetrieb nicht am Vertragstag. Bewährt hat sich dieser Rhythmus: erst sehen, dann handeln, dann skalieren.
Erstgespräch, zweistündiges Scoping, Festpreis-Offerte innert fünf Arbeitstagen. Wenn die Konstellation nicht passt, sagt ODCUS das, bevor du unterschreibst.
Stakeholder-Map (GL, IT, Compliance, Audit). Asset- und Risikoregister. Sichtung bestehender Tools, Lizenzen und Richtlinien. Top-3-Prioritäten festgelegt.
Quick Wins umgesetzt (oft Conditional Access, MFA-Lücken, Backup-Coverage, Lieferantenübersicht). Steuerkreis-Rhythmus läuft. Erstes Reporting an Geschäftsleitung.
Sicherheitsprogramm steht. ISMS gepflegt, Audits begleitet, Quartalsbericht für VR. Lieferanten- und Kundenfragebögen laufend, kontinuierliche Verbesserung.
Die meisten Mandate starten mit dem Cyber Assessment. Wer die Lage schon kennt, steigt direkt mit ISMS-Aufbau oder Retainer ein.
Keine Shelf Reports. Bewertung mit priorisiertem Plan und konkreten Massnahmen.
Sicherheitsverantwortung ohne Vollzeitstelle. Eingebettet im Team, gegenüber GL und VR.
Informationssicherheit, die im Alltag funktioniert. Bereit für ISO 27001, ISG oder Kundenaudits.
Alle Preise in CHF, exkl. MwSt. Festpreise gelten nach gemeinsamem Scoping (kostenlos, max. 2 Stunden). Mindestlaufzeit Retainer: 6 Monate.
Fractional CISO ist ein Service der ODCUS AG. Schweizer Boutique für Cybersicherheit, ISMS und Compliance. Fokus auf KMU mit 50 bis 500 Mitarbeitenden.
Die These hinter ODCUS: Die meisten Unternehmen haben kein Sicherheitsproblem. Sie haben ein Dimensionierungsproblem. Zu viele Tools, zu wenig Überblick, zu hohe Kosten für zu wenig echten Schutz. Jedes Mandat startet mit der Frage, was bleibt und was weg kann, bevor etwas Neues dazukommt.
Die Praxis: 15 Jahre an der Schnittstelle Sicherheit, Betrieb und Geschäftsleitung. Aktives CISO-Mandat seit über zwei Jahren bei einem Industrieunternehmen mit 1'600 Mitarbeitenden. Ransomware-Recovery geleitet. M365-Sicherheitsreviews bei über zehn Unternehmen. Zero-Trust-Trainer bei heise, haufe, golem, ComConsult und isits.
Mehr über ODCUS erfahren →Hintergrund in Design Engineering und Implementierung, nicht in PowerPoint. Bleibt, bis es steht.
Doppelte Lizenzen fliegen raus, bevor neue dazukommen. Die meisten Mandate senken Kosten und erhöhen Schutz gleichzeitig.
Keine Provisionen von Tool-Anbietern. Empfehlung folgt der Eignung, nicht der Marge. Wenn ein bestehendes Tool den Job macht, bleibt es.
Der Senior, den du im Gespräch triffst, ist auch der, der die Arbeit macht. Kein Junior-Handoff nach Vertragsabschluss.
Beratung schreibt Empfehlungen. Ein Fractional CISO trägt Verantwortung, dass sie umgesetzt werden. Im Mandat steuert ODCUS das Sicherheitsprogramm wie ein angestellter CISO. Definierter Zeitanteil, keine Fixkosten, kein Junior-Handoff.
Meistens nicht. Erster Schritt in jedem Mandat: Was habt ihr schon, was davon funktioniert, was kann weg. In den meisten Mandaten sinken die Lizenzkosten, während die Abdeckung steigt. Cost-Optimierung gehört zum Mandat, nicht als Zusatzleistung.
Für einen Vollzeit-CISO oft ja. Für eine fractionale Sicherheitsführung ist genau das die Zielgruppe. ODCUS arbeitet mit Unternehmen ab 50 Mitarbeitenden, typisch 1 bis 4 Tage pro Woche, 3 bis 12 Monate.
Häufiger Fall, gute Konstellation. ODCUS ergänzt die Linienfunktion mit Methodik und Reporting und nimmt die Schnittstelle zu Geschäftsleitung und Audits ab. Dein Team behält die Tagesgeschäftsverantwortung, gewinnt aber Zeit und Tiefe.
Der häufigste Fall. ODCUS produziert kein neues Papier, sondern reaktiviert das bestehende: Was ist noch aktuell, was muss raus, wo fehlen Prozesse, wer ist Owner. Oft reduziert sich die Dokumentation um die Hälfte und der Rest wird tragfähig.
ISO 27001, NIST CSF, CIS Controls, ISG, nDSG, NIS2 (Lieferketten-Anforderungen), DORA (Zulieferer EU-Finanzinstitute), FINMA Rundschreiben 2023/01. Ergänzend SOC 2 und TISAX nach Bedarf.
Erstgespräch innert einer Woche. Scoping plus Festpreis-Offerte innert weiterer fünf Arbeitstagen. Kickoff je nach Vertragsumfang innerhalb von zwei Wochen nach Auftragserteilung.
Bei passender Grösse und Reifegrad, ja. ODCUS arbeitet vendor-neutral und nimmt keine Provisionen von Anbietern entgegen. Welches Tool empfohlen wird, entscheidet der Kontext, nicht eine Verkaufsmarge. Wenn ein bestehendes Tool den Job macht, bleibt es.
Retainer nach 6 Monaten monatlich kündbar. Cyber Assessment und ISMS-Aufbau sind Festpreis-Projekte mit definiertem Ende. Wenn nach dem ersten Monat klar wird, dass die Konstellation nicht funktioniert, sagt ODCUS das offen und beendet sauber.
30 Minuten am Telefon. Du erzählst, wie es bei dir aussieht. ODCUS sagt ehrlich, ob das Mandat passt. Wenn nicht, kommt eine Empfehlung. Kostenlos, ohne Verkaufsfolien.