Beratung anfragen
Jki-linkedin-light Instagram Youtube Tiktok
BLog

CISO im Mittelstand: Aufgaben, Gehalt und erfolgreiche Besetzung

arstellung: Mann in Anzug mit Tablet und holographischen Sicherheitsdaten.

Eine aktuelle Deloitte-Studie zeigt: Deutsche Mittelständler operieren nicht mehr unter dem Radar von Cyberkriminellen. Ganz im Gegenteil – sie sind bevorzugte Angriffsziele. Gleichzeitig fehlt intern oft die eine Person, die Verantwortung übernimmt, vor allem auf strategischer Ebene.

Ein Chief Information Security Officer (CISO) kann diese Lücke schließen. Doch die Position ist im Mittelstand selten etabliert. Und schwer zu besetzen, wenn man nicht weiß, worauf es ankommt. Der folgende Artikel zeigt, was ein CISO tatsächlich leistet, woran gute Kandidaten erkennbar sind und wie sich die Suche im Mittelstand konkret angehen lässt.

Inhalt

  1. Warum ein Chief Information Security Officer?
  2. Was macht ein CISO im Mittelstand?
  3. Wie einen CISO rekrutieren
  4. Mit diesen Gehältern müssen Sie rechnen
  5. Personalberatung: Warum es oft nicht ohne geht
  6. Fazit
  7. FAQs

Warum ein Chief Information Security Officer?

Die meisten Mittelständler digitalisieren fleißig. IoT-Technologien, Cloud-Dienste, mobiles Arbeiten. Doch die Cyberabwehr hinkt hinterher. Das Ergebnis? Die Unternehmen gelten als schlecht geschützt. Angreifer nutzen genau das. Produktionsanlagen, Leitstellen, Verwaltungsserver – überall entstehen mit jedem neuen Tool potenzielle Einstiegspunkte. Besonders gefährdet: Betriebe mit kritischer Infrastruktur oder hoher Datenabhängigkeit. Mit entsprechenden Folgen!

So groß sind die Folgeschäden von Cyberangriffen im Mittelstand

Balkendiagramm: Folgeschäden von Cyberangriffen im Mittelstand.

Quelle Zahlen: Deloitte
Grafik: WK Personalberatung

91 Prozent der mittelständischen Unternehmen messen Cybersecurity zwar hohe Bedeutung bei. Trotzdem hat laut Deloitte immer noch gut ein Drittel (34 Prozent) keinen Notfallplan für Cyberangriffe. Das ist fahrlässig und kann teuer werden. Denn rechtliche Rahmenbedingungen wie IT-Sicherheitsgesetz 2.0 oder das DSGVO nehmen Führungskräfte in die Pflicht. Fehlen angemessene technische und organisatorische Maßnahmen, können diese unter bestimmten Voraussetzungen haftbar gemacht werden.

Viele Vorfälle entstehen durch menschliches Fehlverhalten. Durch unreflektierte Routinen: E-Mail öffnen, Datei anklicken, Zugangsdaten eintippen. Technik schützt nur begrenzt, wenn Mitarbeitende nicht geschult sind. Aber gerade Phishing-Mails, Social Engineering und unzureichende Awareness-Trainings öffnen Tür und Tor für Cyberkriminelle. Da kann technische Komplexität durch digitale Transformation und menschlicher Leichtsinn schnell zur Achillesferse werden.

Die größten Risiken für Cyberangriffe in KMUs

Balkendiagramm: Größte Risiken für Cyberangriffe in KMUs (Klein- und Mittelunternehmen).

Quelle Zahlen: Deloitte
Grafik: WK Personalberatung

Wenngleich die bereits erwähnte Deloitte-Studie auch zeigt, dass mittelständische Unternehmen mehrheitlich (62 Prozent) Cybersicherheit als strategische Priorität einstufen, bedeutet dies auch, dass fast zwei Fünftel diese immer noch nicht den Managementaufgaben zurechnen. Sie müsste aber längst auf Führungsebene, am besten C-Level, verankert sein. Nur dort kann Cybersicherheit organisatorisch und vor allem strategisch wirken.

Denn mit Technik allein ist das nicht gemacht. Es braucht ein effektives, die gesamte Organisation umfassendes Sicherheitskonzept. Das heißt Sicherheit von Anfang an in Produkte und Prozesse zu integrieren. Das beginnt mit einer umfassenden Risikoanalyse, geht über die Etablierung einer Sicherheitskultur bis hin zu einer klaren Rollenverteilung im Krisenfall.

Was macht ein CISO im Mittelstand?

Der Chief Information Security Officer ist in vielen mittelständischen Unternehmen noch nicht etabliert. Gemäß Deloitte bündeln lediglich 20 Prozent die Cyberverantwortung in der Rolle eines Chief Information Security Officers. Sehr viel häufiger ist die Verantwortung für Cybersecurity in einer der Fachabteilungen (47 Prozent) angesiedelt.

Tabelle: Funktionale Fokuspunkte und mögliche Titel für Informationssicherheit im Mittelstand.
Dennoch wird die Rolle auch im Mittelstand immer wichtiger. Die Aufgaben können je nach Unternehmen etwas unterschiedlich aussehen, folgende Punkte gehören aber in der Regel dazu.

1. Sicherheitsstrategie entwickeln

Was ist zu schützen? Welche Risiken sind realistisch? Welche Prozesse müssen abgesichert werden? Der Chief Information Security Officer entwickelt Richtlinien und Sicherheitskonzepte, die zur Größe und Struktur Ihres Unternehmens passen. Oft geht es auch um den Aufbau eines ISMS (Informationssicherheits-Managementsystems), das aktuell lediglich 40 Prozent der mittelständischen Unternehmen nutzen.

2. IT-Sicherheit mitgestalten

Die IT-Infrastruktur ist heute komplexer geworden: Cloud-Dienste, mobiles Arbeiten und Remote-Zugänge sind Standard. Der CISO sorgt dafür, dass diese Komponenten sicher sind. Dazu gehören Echtzeitanalysen und fortlaufende Optimierung der genutzten technischen Schutzmaßnahmen wie Firewalls, Verschlüsselung, EDR oder Intrusion Detection. Er entscheidet auch, welche Lösungen für Ihr Unternehmen am besten sind und integriert werden sollten.

3. Zugriffe steuern

Wer darf was? Wer braucht wirklich Zugriff? Wer nicht? Der Chief Information Security Officer etabliert klare Regeln, wie Identitäten verwaltet und Zugriffsrechte vergeben werden. Dazu gehört auch, dass aus dem Unternehmen ausscheidende Personen ihren Zugriff verlieren. Ein Punkt, der in der Praxis leider oft vergessen wird, insbesondere bei Mittelständlern.

4. Risiken erkennen und managen

Nicht alles lässt sich absichern. Aber man muss wissen, wo sich Lücken auftun könnten. Der CISO bewertet Risiken, priorisiert Maßnahmen und bereitet das Unternehmen auf Vorfälle vor. In manchen Fällen plant er auch die Einrichtung eines Security Operations Center (SOC) oder bezieht externe Unterstützung ein.

Sicherheitslücken entstehen oft schleichend: durch veraltete Geräte, übersehene Einstellungen oder schlecht gepflegte Systeme. Der Chief Information Security Officer organisiert regelmäßig Penetrationstests, beispielsweise durch Hacker, prüft die Infrastruktur und dokumentiert, was behoben wurde und was nicht.

CISO-Aufgaben auf einem Blick

Infografik: Kernaufgaben und Verantwortlichkeiten eines CISO (Chief Information Security Officer).
Grafik: WK Personalberatung

5. Rechtliche Vorgaben erfüllen

Es reicht nicht, wenn „die IT das macht“. Vorschriften wie die DSGVO, das IT-Sicherheitsgesetz oder NIS2 verlangen Nachweise. Der CISO sorgt dafür, dass diese Anforderungen erfüllt und dokumentiert werden. Er sorgt also auch dafür, dass sich Ihr Unternehmen rechtlich absichert und keine Bußgelder kassiert.

6. Krisenfälle managen

Was passiert, wenn doch mal etwas passiert? Der CISO entwickelt dafür konkrete Ablaufpläne. Von der ersten Alarmmeldung bis zur Kommunikation mit externen Stellen. Er reguliert, wer wann informiert werden muss und sorgt so dafür, dass schnell reagiert werden kann.

7. Sicherheitsbewusstsein fördern

Mitarbeiter sind oft das schwächste Glied (Stichwort: Phishing und Social Engineering). Der Chief Information Security Officer organisiert Schulungen, etabliert klare Regeln und stellt sicher, dass Sicherheit nicht vergessen wird, nur weil es gerade stressig ist.

Wie einen CISO rekrutieren

Kandidaten aus dem Mittelstand nennen sich eher selten „CISO“, da die Rolle dort eben noch nicht wirklich flächendeckend etabliert ist. Personen, die faktisch ähnliche Verantwortung tragen, nennen sich oft anders: IT-Sicherheitsbeauftragter, IT-Security Manager, Leiter Informationssicherheit. Wenn Sie die Rolle besetzen möchten, sollten Sie sich entsprechend nicht auf den Titel im Lebenslauf fokussieren. Suchen Sie nach Kandidaten, deren Profil folgende Punkte im bisherigen Aufgabenspektrum aufweisen:
  • praktischer Erfahrung in IT-Security
  • Erfahrung im Aufbau von Sicherheitsprozessen (ISMS, Awareness, Notfallmanagement)
  • Kenntnis gesetzlicher Anforderungen und operativer Umsetzbarkeit
  • Fähigkeit, zwischen IT, Fachbereichen und Management zu vermitteln
Wer bereits Verantwortung für Sicherheitsstrategie, ISMS, Awareness, Incident Response und Compliance getragen hat, ist ein guter Kandidat für die Funktion. Auch ohne „C-Level“-Titel. Je nach Zielgruppe kann es auch Sinn machen, in der Ansprache den Begriff „CISO“ zu vermeiden und stattdessen die Rolle zu beschreiben („Verantwortung für Sicherheitsstrategie im Unternehmen“, „Sicherheitsorganisation aufbauen und verankern“ etc.).

Mit diesen Gehältern müssen Sie rechnen

CISO-Gehälter zeigen eine ziemlich starke Spannweite: je nach Branche, Standort, Verantwortung und Anbindung an die Geschäftsleitung. Laut Marktvergleich bewegen sich diese in Deutschland teils deutlich über 190.000 Euro im Jahr (siehe z. B. Gehalt.de). Diese Zahlen spiegeln allerdings oft das Niveau in Konzernen wider.

CISO-Jahresgehälter nach Bundesland

Karte von Deutschland: Durchschnittliche CISO-Jahresgehälter nach Bundesland.

Quelle Zahlen: Gehalt.de
Grafik: WK Personalberatung

Im Mittelstand liegen die Gehälter meist niedriger, da Rollenbreite, Budgetverantwortung und strategische Einbindung oft noch im Aufbau sind. Realistisch ist ein Korridor zwischen 110.000 und 150.000 Euro, je nach Verantwortung und Branche. In Versorgungsunternehmen oder bei hoher IT-Komplexität kann das Gehalt noch einmal deutlich höher liegen.

Typische CISO-Gehaltsspannen

Tabelle: Typische CISO-Gehaltsspannen nach Profil und Kontext.
Marktvergleich auf Basis aktueller Gehaltsreports von Robert Half, Gehalt.de, Hays und Kienbaum
Kandidaten mit Konzernhintergrund oder Zertifizierungen (z. B. ISO 27001 Lead Auditor, CISM, CISSP) bringen oft höhere Gehaltsvorstellungen mit, nicht selten ab 140.000 Euro aufwärts. Wer hingegen aus einer operativen IT-Sicherheitsrolle in die Gesamtverantwortung wechselt, startet oft im Bereich um 100.000 bis 120.000 Euro, bei entsprechender Entwicklungsperspektive.
Wichtig ist, dass die Gehaltsstruktur zur Rolle passt. Wer strategische Verantwortung trägt, sollte nicht wie ein technischer Spezialist vergütet werden.

Personalberatung: Warum es oft nicht ohne geht

Viele Mittelständler versuchen, die Besetzung intern zu stemmen: mit klassischen Stellenanzeigen. Das Problem dabei: Die passenden Leute melden sich in der Regel nicht. Wer das nötige Profil mitbringt, ist meist in einer stabilen Position. Und nur wechselbereit, wenn das Angebot wirklich passt. In solchen Fällen hilft eigentlich nur eine gezielte Direktansprache. Und die braucht Erfahrung.
): Infografik: Prozessbeschreibung eines Personalberaters mit Schlüsselaufgaben.
Eine gute Personalberatung kennt die Sicherheitsanforderungen in mittelständischen Unternehmen. Sie weiß, welche Rollenprofile sich für den Aufbau oder die Weiterentwicklung einer Sicherheitsorganisation eignen, auch wenn kein „CISO“ im Lebenslauf steht. Sie filtert nicht nach Titel, sondern nach Erfahrung: Wer hat ein ISMS aufgebaut? Wer kennt interne Kontrollsysteme, Audits, Awareness-Prozesse? Wer kann mit der Geschäftsführung sprechen, aber auch mit Admins?

Gerade wenn der Markt eng ist, spart das Zeit. Ihre HR muss nicht 40 Lebensläufe auswerten, von denen 35 nicht passen. Stattdessen gibt es zwei bis drei Kandidaten, die fachlich und kulturell anschlussfähig sind. Und idealerweise den nötigen Gestaltungswillen mitbringen.

Auch bei Gehalt, Titel und Einbindung in die Organisation hilft die Beratung. Viele Mittelständler wissen anfangs nicht, wie sie die Rolle aufsetzen sollen. Auch hier bringt ein Blick von außen oft sehr viel mehr Klarheit.

Fazit

Die Rolle des Chief Information Security Officers ist im Mittelstand oft noch nicht verankert – obwohl der Bedarf längst da ist. Angriffe nehmen zu, Anforderungen steigen, interne Strukturen stoßen an Grenzen. Wer diese Lücke schließen will, braucht jemanden, der Sicherheitsaufgaben dauerhaft übernimmt – nicht als Zusatz zur IT, sondern als eigenständige Funktion.
Die Suche ist nicht einfach, aber machbar. Vorausgesetzt, das Profil ist klar, die Erwartungen realistisch und der Auswahlprozess gezielt auf das abgestimmt, was im Unternehmen tatsächlich gebraucht wird.

FAQs

Ab wann braucht ein Unternehmen einen CISO?

Sobald IT-Ausfälle spürbare Folgen für Betrieb, Kunden oder Compliance haben, lohnt sich eine feste Sicherheitsverantwortung. Das gilt spätestens dann, wenn sensible Daten verarbeitet oder externe Prüfungen verlangt werden. In KRITIS-nahen Bereichen ist ein klar benannter CISO faktisch Pflicht. Auch kleinere Betriebe profitieren, wenn Verantwortung nicht zwischen Abteilungen verloren geht.

Was ist der Unterschied zwischen CISO und IT-Leitung?

Die IT-Leitung ist für Betrieb, Infrastruktur und Verfügbarkeit zuständig. Der CISO konzentriert sich auf Risiken, Schutzmaßnahmen und den Umgang mit Sicherheitsvorfällen. In vielen mittelständischen Unternehmen überlappen sich die Rollen. Das ist machbar, solange Aufgaben und Zuständigkeiten sauber getrennt sind.

Muss ein CISO zwingend aus der IT kommen?

Technisches Grundverständnis ist wichtig, aber nicht alles. Entscheidend ist, ob jemand Sicherheitsfragen strukturiert angeht, mit verschiedenen Bereichen kommunizieren kann und regulatorische Anforderungen kennt. Viele gute Kandidaten kommen aus Compliance, Datenschutz oder interner Revision. Wichtig ist die Fähigkeit, Risiken zu bewerten und Prozesse aufzubauen.

Welche Aufgaben gehören konkret zum CISO?

Ein CISO analysiert Risiken, baut Sicherheitsprozesse auf und sorgt dafür, dass im Ernstfall klar ist, wer was tut. Er prüft externe Anforderungen, erstellt Richtlinien und schult Mitarbeitende. Dazu kommen meist Dokumentation, Notfallmanagement und Begleitung von Audits. Die konkrete Ausgestaltung hängt stark vom Unternehmen ab.

Wie lange dauert es, einen CISO zu besetzen?

Je nach Anforderung und Region kann das zwei bis sechs Monate dauern. Die meisten Kandidaten sind nicht aktiv auf Jobsuche. Wer passende Profile ansprechen will, braucht Marktkenntnis und einen klaren Suchauftrag. Gerade bei Erstbesetzungen ist die Vorbereitung entscheidend. Der Fokus sollte unbedingt auf Passung und nicht auf Anzahl der Bewerbungen gelegt werden.

Letzte Beiträge

Kostenloses Erstgespräch

Sie benötigen Hilfe bei der Besetzung Ihrer vakanten Stellen oder haben Probleme im Recruiting Prozess?

Erfahren Sie in einem kostenlosen 30-minütigen Gespräch mit einem unserer Experten, wie Sie die Engpässe in Ihrer Mitarbeiter-gewinnung beheben.

Sie benötigen Hilfe bei der Besetzung Ihrer vakanten Stellen oder haben Probleme im Recruiting Prozess? Erfahren Sie in einem kostenlosen 30-minütigen Gespräch mit einem unserer Experten, wie Sie die Engpässe in Ihrer Mitarbeitergewinnung beheben.
Erstgespräch vereinbaren

Weitere Beiträge

Erstgespräch vereinbaren
Kostenlos & unverbindlich, wir melden uns telefonisch innerhalb von 48 Stunden.

Ihr Partner für erfolgreiche Mitarbeitergewinnung mit planbaren Erfolgen durch persönliche 1:1 Betreuung von Unternehmen und Kandidaten.

Info

Kontakt

Social Media

Jki-linkedin-light Instagram Youtube
Tiktok Facebook-f Xing

Copyright © 2025 WK Personalberatung GmbH  |  Created by Designomo

Sie haben Spitzenpositionen zu besetzen oder benötigen Hilfe, bei der Besetzung von Fach- und Führungskräften?

Wir beraten Sie gerne.

  • Beratung zum Anforderungsprofil
  • Persönliche 1:1 Betreuung
  • Bis zu 95% Besetzungswahrscheinlichkeit
  • Besetzung innerhalb 6 - 12 Wochen