Die Grenzen des vCISO-Modells
Vor drei Jahren lautete die Frage für Managed Service Provider (MSP), die ihren Cybersecurity-Bereich aufbauten, noch recht simpel: Welche vCISO-Plattform soll ich kaufen? Der Begriff war ein nützlicher Platzhalter für Assessments, Beratung und Reporting. Doch die Realität von 2026 hat diesen Rahmen gesprengt. Die Arbeit ist über den Deskriptor hinausgewachsen.
Der Grund dafür ist rein marktwirtschaftlich: SMBs (Small and Medium Businesses) geben 2026 schätzungsweise 109 Milliarden US-Dollar für Cybersicherheit aus – etwa 60 Prozent der globalen Ausgaben in diesem Bereich, wie Analysys Mason ermittelt hat. Der Großteil davon fließt über Dienstleister. Diese SMBs haben keine interne CISO-Funktion. Der MSP ist die Sicherheitsfunktion. Und was diese Funktion leisten muss, sprengt die Grenzen von Tools, die für einzelne vCISO-Engagements gebaut wurden.
Die drei strukturellen Lücken
Dass ein neuer Begriff – die „Security Growth Platform“ – notwendig wird, liegt nicht an fehlenden Features in bestehenden Tools, sondern an strukturellen Defiziten der aktuellen Software-Kategorien:
GRC-Plattformen sind nicht für MSPs gebaut: Enterprise-Lösungen automatisieren Compliance für Unternehmen mit internen Security-Teams. Die Architektur ist auf einen einzelnen Kunden, eine Controls-Bibliothek und einen Audit-Zyklus optimiert. Das lässt sich nicht ohne Weiteres auf einen Service Provider übertragen, der Security-Programme für 30 oder 100 SMB-Kunden gleichzeitig managt. Die Prämisse muss auf Multi-Tenant-Fähigkeit umgestellt werden.
vCISO-Tools fehlen Tiefe und Automatisierung: Der vCISO-Markt wächst (projiziert 1,2 Milliarden US-Dollar 2026), doch die Tools fokussieren sich auf den einzelnen Berater: Assessment-Templates, Frameworks und Präsentationen. Das reicht nicht für einen MSP, der Security als kontinuierliches Programm über alle Kunden hinweg betreiben muss. Zudem fordern 85 Prozent der Organisationen laut PwC zunehmend komplexere Compliance. Viele MSPs mussten bisher ein vCISO-Tool für die Beratung und ein separates GRC-Tool für den Audit bauen – ein ungesunder Dual-Source-of-Truth-Zustand.
Enterprise-Compliance-Plattformen konkurrieren mit dem Channel: Diese Plattformen verkaufen direkt an Endkunden. Der MSP wird oft nur als Referenzkanal genutzt, wenn ein Kunde wegen SOC-2-Anforderungen darauf gedrängt wird. Die Ökonomie fließt an den Plattformhersteller, nicht an den Dienstleister.
Die Security Growth Platform als neue Kategorie
Die Lücke, die entstanden ist, weil Enterprise-Plattformen auf Direktvertrieb setzen und Channel-Tools bei der Compliance flach bleiben, wird durch eine neue Kategorie gefüllt: die Security Growth Platform. Vertreter wie Cynomi zeigen, was diese Kategorie ausmacht. Es geht nicht mehr nur um Beratung, sondern um ein System, das den gesamten Lebenszyklus abdeckt und Compliance als Ergebnis des Security-Programms betrachtet, nicht als Ausgangspunkt.
Fünf Kernfähigkeiten definieren diese neue Kategorie:
- CISO Intelligence: Die Entscheidungslogik eines erfahrenen CISOs, in KI und Workflows integriert. Das ermöglicht jedem Teammitglied, Beratung auf Senior-Niveau zu lieisten, anstatt das Wissen eines Einzelnen zu skalieren.
- Unified Security, Risk und Compliance: Ein Assessment mappt Controls über 40+ Frameworks (NIST, ISO 27001, SOC 2, DORA etc.).
- Complete Security Lifecycle Management: Vom Onboarding über Risikopriorisierung, Remediation-Roadmaps bis hin zu Third-Party-Risk-Management – alles in einem System.
- Portfolio-level Revenue Intelligence: Ein Multi-Tenant-Blick, der Security-Lücken direkt auf das Service-Katalog des MSPs mappt und Upselling-Potenziale aufzeigt. Genau hier liegt der wirtschaftliche Hebel.
- Built for MSP/MSSP Scale: 100 Prozent Partner-only, Multi-Tenant-Architektur, White-Label-Fähigkeit und strikte Vermeidung von Channel-Konflikten.
Eigene Einordnung: Vom Berater zum Business-Modell
Der entscheidende Punkt, den die Debatte um vCISO versus Security Growth Platform offenbart, ist der Wechsel von der Methodik zum System. CompTIA und Service Leadership zeigen regelmäßig: MSPs investieren schneller in Cybersecurity-Tools, als sie diese als Dienstleistung verpacken, bepreisen und verkaufen. Die Fähigkeit zur Delivery ist da, der wiederkehrende Umsatz (Recurring Revenue) bleibt aber oft auf der Strecke.
Hier liegt die wahre Bedeutung der neuen Kategorie. Traditionelle vCISO-Tools helfen bei der Durchführung eines Assessments, überlassen es aber dem MSP, aus den Erkenntnissen ein sellable Service-Paket zu schnüren. Eine Security Growth Platform integriert diese Kommerzialisierung. Sie macht Security-Lücken im Portfolio sichtbar und quantifiziert sofort den Umsatzpotenzial, wenn diese Lücken durch den MSP geschlossen werden. Das ist ein Paradigmenwechsel: Security wird nicht mehr als Kostenfaktor oder reine Pflichterfüllung betrachtet, sondern als strukturierter Wachstumsmotor für den Dienstleister.
Natürlich darf man kritisch hinterfragen, ob es sich hierbei teilweise um ein Marketing-Instrument von Anbietern wie Cynomi handelt, um sich von der Konkurrenz abzusetzen. Die Zahlen sprechen jedoch eine klare Sprache: 70 Prozent weniger Aufwand bei Assessments, 30 Prozent bessere Margen und 60 Prozent Umsatzwachstum im Security-Bereich sind Praxiswerte, die zeigen, dass hier ein echter Strukturwandel stattfindet. Der Begriff „vCISO-Plattform“ verschwindet nicht – er bleibt der Deskriptor für Einzelberatungen. Wer aber als MSP ein Portfolio aus 50 oder 500 Kunden vertikal und profitabel managen will, braucht ein System, das über Methodik hinausgeht. Die Security Growth Platform ist die logische Antwort auf diese Skalierungsproblematik.
Quelle: The Hacker News