In vielen KMU ist Sicherheit niemandes Job. Die IT hält den Betrieb am Laufen, die Geschäftsleitung entscheidet über Budgets, und irgendwo dazwischen liegen Fragen, die keiner beantwortet: Wer prüft, ob unsere Massnahmen wirken? Wer redet mit dem Auditor? Wer sagt nein, wenn schon wieder ein Tool gekauft werden soll? Genau diese Lücke füllt ein Fractional CISO.
Ein Fractional CISO ist eine erfahrene Sicherheitsführungskraft, die ein Unternehmen im Teilzeit-Mandat übernimmt, statt fest angestellt zu sein. Die Rolle trägt Verantwortung für das Sicherheitsprogramm, arbeitet eingebettet im Team und berichtet an Geschäftsleitung und Verwaltungsrat. Für KMU, die keine Vollzeitstelle rechtfertigen, aber trotzdem jemanden brauchen, der den Hut aufhat.
Im Markt werden dafür verschiedene Begriffe verwendet: Fractional CISO, vCISO (virtueller CISO), CISO as a Service oder externer CISO. Die Betonung variiert, gemeint ist dieselbe Idee: Sicherheitsführung im Mandat statt als feste Stelle. Wir nutzen hier den Begriff Fractional CISO, weil er den Kern am besten trifft, einen Teil einer echten Führungsrolle, dauerhaft und mit Verantwortung.
Ein Fractional CISO führt die Informationssicherheit eines Unternehmens im Teilzeit-Mandat: Security Management und Operations, Governance, Risk und Compliance, ISMS-Aufbau. Der Unterschied zur Beratung ist die Umsetzungsverantwortung. Für Schweizer KMU mit 50 bis 500 Mitarbeitenden ist das Modell oft die richtige Grösse, weil ein Vollzeit-CISO (CHF 150'000 bis 250'000 pro Jahr) zu teuer und ein reiner Berater zu unverbindlich ist.
Was macht ein Fractional CISO konkret?
Ein Fractional CISO deckt dieselben Aufgaben ab wie eine feste Sicherheitsleitung, nur in der Dosis, die zum Unternehmen passt. Die Arbeit hat drei Bereiche:
Security Management und Operations
Die Führung des Tagesgeschäfts der Sicherheit. Dazu gehört, eine Roadmap von der Bestandsaufnahme über Quick Wins bis zum Vollbetrieb zu erstellen und zu steuern, die bestehende Sicherheitslandschaft auf Wirksamkeit zu prüfen, doppelte Lizenzen zu eliminieren, einen Steuerkreis zu leiten und für den Ernstfall eine Vorfallsbereitschaft aufzubauen. Der Fokus liegt auf der Priorisierung, welche Themen zuerst zählen.
Governance, Risk und Compliance
Der Überblick über Risiken und Pflichten. Ein Risikoregister mit den Top-Themen, ein verständliches Reporting für Geschäftsleitung und Verwaltungsrat, das Beantworten von Kundenfragebögen und Lieferantenaudits, und die Einordnung von Regulierung wie dem Schweizer Informationssicherheitsgesetz, dem revidierten Datenschutzgesetz oder EU-Anforderungen wie NIS2 und DORA, die über Lieferketten auch Schweizer KMU erreichen.
ISMS und Nachweise
Der Aufbau und die Pflege eines Managementsystems für Informationssicherheit, etwa nach ISO 27001. Scope, Richtlinien, Asset- und Risikoregister, Awareness-Training und Auditvorbereitung. Ziel ist ein gelebtes ISMS, das im Alltag funktioniert, nicht ein Ordner mit 80 Seiten, den niemand öffnet.
Fractional CISO, Berater oder Interim: Was ist der Unterschied?
Der wichtigste Unterschied ist die Verantwortung. Ein Berater empfiehlt und geht wieder, ein Interim CISO springt Vollzeit für eine Vakanz oder Krise ein, und ein Fractional CISO bleibt dauerhaft im Teilzeit-Mandat und trägt die Umsetzung mit. Die Wahl hängt von Grösse, Dringlichkeit und Dauer ab.
| Modell | Rolle | Typisch für |
|---|---|---|
| Fractional CISO | Umsetzungsverantwortung, 1 bis 4 Tage pro Woche, dauerhaft | KMU mit 50 bis 500 Mitarbeitenden |
| Security-Beratung | Empfiehlt, projektweise, keine Linienverantwortung | Einzelne Fragestellungen, Gutachten |
| Interim CISO | Vollzeit auf Zeit, überbrückt | Vakanz oder akute Krise |
| Festanstellung | Vollzeit, dauerhaft | Grossunternehmen ab rund 1'000 Mitarbeitenden |
Wann lohnt sich ein Fractional CISO für ein KMU?
Ein Fractional CISO lohnt sich, sobald Sicherheit regelmässig Führungsaufmerksamkeit braucht, aber nicht genug, um eine Vollzeitstelle zu füllen. Das trifft auf die meisten Unternehmen mit 50 bis 500 Mitarbeitenden zu. Konkrete Auslöser sehen wir immer wieder dieselben:
- Ein Grosskunde oder Auditor verlangt einen Sicherheitsnachweis, bevor er kauft oder verlängert.
- Die Cyberversicherung fragt nach Massnahmen, die niemand belegen kann.
- Eine Regulierung wie das ISG greift, und es fehlt ein funktionierendes ISMS.
- Die IT-Kosten für Security steigen, aber niemand weiss, ob der Schutz mitwächst.
- Der Verwaltungsrat fragt, wer eigentlich auf die Informationssicherheit schaut, und bekommt keine klare Antwort.
Wenn du unsicher bist, ob dein Unternehmen so weit ist, hilft ein Blick auf den typischen Ablauf eines Mandats: Er beginnt mit einer Bestandsaufnahme, nicht mit einem Vertrag über Jahre.
Was kostet ein Fractional CISO in der Schweiz?
Ein Fractional CISO kostet deutlich weniger als eine feste Sicherheitsleitung. Ein Vollzeit-CISO liegt in der Schweiz bei CHF 150'000 bis 250'000 pro Jahr (Quelle: jobs.ch Lohndaten), plus Sozialleistungen und mehrere Monate Rekrutierung. Ein Mandat startet dort, wo der tatsächliche Bedarf liegt.
Zur Einordnung, ohne Vollständigkeitsanspruch: Ein Cyber Assessment als Zwei-Wochen-Sprint gibt es zum Festpreis, ein CISO-Retainer beginnt bei rund CHF 4'900 pro Monat, also etwa CHF 58'800 pro Jahr, und wer bereits eine IT- oder Sicherheitsleitung hat, steigt mit einem schlankeren Sparring-Mandat ein. Die aktuellen Zahlen und was jeweils enthalten ist, stehen bei den Paketen und Preisen.
Der häufigste Denkfehler: Die meisten Unternehmen haben kein Sicherheitsproblem, sondern ein Dimensionierungsproblem. Zu viele Tools, zu wenig Überblick, zu hohe Kosten für zu wenig echten Schutz. Deshalb startet ein gutes Mandat mit der Frage, was bleibt und was weg kann, bevor etwas Neues dazukommt. Mehr Schutz entsteht oft, ohne mehr auszugeben.
Häufige Fragen
Übernimmt ein Fractional CISO auch die operative IT-Sicherheit?
Ein Fractional CISO führt und steuert, er ersetzt nicht die IT. Die Umsetzung von Massnahmen passiert mit dem bestehenden Team oder den Dienstleistern. Die Rolle sorgt dafür, dass die richtigen Dinge passieren, priorisiert und dokumentiert werden, und dass am Ende jemand Rechenschaft ablegen kann. Das Tagesgeschäft am Gerät bleibt bei der IT.
Wie viele Tage pro Monat braucht ein KMU?
Das hängt von Grösse, Reifegrad und aktuellen Auslösern ab. Ein reines Sparring für ein Unternehmen mit eigener Sicherheitsleitung kann mit zwei Tagen pro Monat auskommen, ein aktiver ISMS-Aufbau braucht mehr. Sinnvoll ist, mit einer klaren Bestandsaufnahme zu starten und die Dosis danach festzulegen, statt umgekehrt.
Bleibt Wissen im Unternehmen, wenn das Mandat endet?
Ja, wenn das Mandat richtig aufgesetzt ist. Weil ein Fractional CISO im Team arbeitet und nicht per PDF übergibt, bleiben Richtlinien, Register und Prozesse im Unternehmen. Ziel ist ein Sicherheitsprogramm, das auch ohne externe Begleitung weiterläuft, nicht eine dauerhafte Abhängigkeit.