„GenAI-Premium war für mich abstrakt bis Hannes mir die Zahlen gezeigt hat: Wer LLM-Integration nachweisen kann verdient 18 bis 25 Prozent mehr als reine Backend-Profile. Ich habe in zwei Wochen ein Side-Projekt mit RAG-Stack gebaut und damit den Sprung von 92k auf 116k geschafft.“
Aktualisiert Juni 2026
CISO Gehalt 2026: 130.000 – 300.000 €
Aktuelle Executive-Gehaltsdaten für CISOs nach Unternehmensgröße, Branche und Regulatorik-Scope – basierend auf Heidrick & Struggles Executive Report, Kienbaum Vorstandsvergütung, (ISC)² Cybersecurity Workforce Study, BaFin-Marktdaten und eigenen Executive-Search-Mandaten.
130.000 €
CISO kleines Unternehmen 500–2.000 MA
180.000 €
CISO Mittelstand / großer Konzern
300.000 €
CISO DAX / Banking / Versicherung
Ihr Marktwert
Live Geschätzte Spanne
— – — €/Jahr
Median — · Basis: CISO (Chief Information Security Officer) 2026
Was verdient ein CISO (Chief Information Security Officer) 2026?
Ein CISO verdient 2026 zwischen 130.000 € (Mittelstand) und 300.000 € (DAX, Bank, kritische Infrastruktur inkl. Bonus). Der Median liegt bei 180.000 €. CISOs mit NIS2-/DORA-Compliance-Erfahrung und Board-Reporting-Track-Record verdienen 20 bis 35 % mehr, weil regulierte Branchen Premium-Honorare für nachweisbare Audit-Resilienz zahlen.
Gehalts-Verteilung 2026
Gehalt im Überblick: Junior bis Senior.
CISO (Chief Information Security Officer)-Gehälter 2026 — visuelle Übersicht der Spreads nach Erfahrungsstufe. Datenbasis: ADVERGY-Vermittlungsmandate & Marktbeobachtung.
Auf einen Blick
CISO (Chief Information Security Officer) Gehalt 2026
- Einstiegsgehalt
- 130.000 € brutto/Jahr
- Median-Gehalt
- 180.000 € brutto/Jahr
- Top-Gehalt
- 300.000 € brutto/Jahr
- Top-Region
- Hessen (Frankfurt) (212.400 € Median)
- Top-Arbeitgeber
- Big Tech (320.000 € Median)
- Gehaltsrechner
- Individuelles Gehalt berechnen →
Quelle: basierend auf echten Vermittlungsdaten der ADVERGY GmbH · Methodik ansehen
Regionaler Vergleich
CISO (Chief Information Security Officer) Gehalt nach Bundesland.
Regionale Unterschiede bei IT- und Tech-Gehältern sind deutlich. München, Stuttgart und Frankfurt führen mit den größten Tech-Arbeitgebern und einer dichten Startup-Szene.
| Region | Einstieg | Median | Top |
|---|---|---|---|
| Hessen (Frankfurt) | 153.400 € | 212.400 € | 354.000 € |
| Bayern (München) | 145.600 € | 201.600 € | 336.000 € |
| Baden-Württemberg | 140.400 € | 194.400 € | 324.000 € |
| Hamburg | 140.400 € | 194.400 € | 324.000 € |
| Nordrhein-Westfalen | 130.000 € | 180.000 € | 300.000 € |
| Berlin | 124.800 € | 172.800 € | 288.000 € |
| Niedersachsen | 119.600 € | 165.600 € | 276.000 € |
| Bremen | 117.000 € | 162.000 € | 270.000 € |
| Schleswig-Holstein | 117.000 € | 162.000 € | 270.000 € |
| Rheinland-Pfalz | 117.000 € | 162.000 € | 270.000 € |
| Saarland | 114.400 € | 158.400 € | 264.000 € |
| Brandenburg | 114.400 € | 158.400 € | 264.000 € |
| Mecklenburg-Vorpommern | 110.500 € | 153.000 € | 255.000 € |
| Sachsen-Anhalt | 110.500 € | 153.000 € | 255.000 € |
| Thüringen | 110.500 € | 153.000 € | 255.000 € |
| Sachsen | 110.500 € | 153.000 € | 255.000 € |
Erfahrungsstufen
CISO (Chief Information Security Officer) Gehalt nach Erfahrung.
Berufserfahrung ist der stärkste Gehaltshebel. So entwickelt sich Ihr Gehalt über die Jahre.
| Erfahrung | Gehaltsspanne | Median | Typische Rolle |
|---|---|---|---|
| Head of Security (8–12 Jahre) | 110.000 – 150.000 € | 130.000 € | Head of Security unterhalb CISO, fachliche Führung 5–10 Personen, CIO-Reporting, noch kein Vorstands-Scope |
| CISO Mittelstand (10–14 Jahre) | 140.000 – 180.000 € | 158.000 € | CISO bei 500–2.000 MA, Geschäftsführungs-Reporting, Budget 800k–2 Mio. €/Jahr, Team 3–8 Personen |
| CISO Konzern (12–18 Jahre) | 170.000 – 240.000 € | 195.000 € | CISO 5.000–20.000 MA, Vorstands-Reporting (CIO/CFO), Budget 3–12 Mio. €/Jahr, Team 8–20 Personen |
| CISO Banking / Versicherung (15+ Jahre) | 220.000 – 320.000 € | 260.000 € | CISO regulierte Branche, BaFin-Anzeigepflicht, DORA-Durchführung, Bonus 30–50%, Team 15–40 Personen |
| Group CISO / CSO DAX (18+ Jahre) | 280.000 – 450.000 € | 340.000 € | Group CISO / CSO DAX-40, Aufsichtsrats-Reporting, LTI/Performance-Shares, Team 20–80 Personen, C-Level-nah |
Sie wollen wissen, was DU verdienen können?
Kostenlose Einschätzung in 2 Minuten — basierend auf Ihrem Profil.
Arbeitgebertypen
CISO (Chief Information Security Officer) Gehalt nach Arbeitgeber.
Der Arbeitgebertyp bestimmt nicht nur das Gehalt, sondern auch Benefits, Projekte und Karrierewege in der IT und im Tech-Umfeld.
| Arbeitgeber | Einstieg | Median | Top | Benefits |
|---|---|---|---|---|
| Big Tech Google Cloud, AWS, Microsoft, Meta (DACH-Regional-CISO) | 220.000 € | 320.000 € | 520.000 € | RSU-Aktienoptionen (120–250k/Jahr über 4 Jahre Vesting), Long-Term-Incentives, Workation 30+ Tage, Personal-Board-Coach, Private-Health-Insurance |
| Bank / Investmenthaus Deutsche Bank, Commerzbank, DWS, LBBW, DZ Bank | 210.000 € | 280.000 € | 420.000 € | Bonus 30–50% des Base (deferred über 3 Jahre), BAV-Premium, Firmenwagen S-Klasse/7er, D&O-Versicherung, BaFin-Meldetatbestand-Zulage |
| Versicherung Allianz, Munich Re, ERGO, Talanx, Gothaer | 200.000 € | 260.000 € | 380.000 € | Bonus 25–40%, Tarif/AT-Vertrag, BAV-Premium (12% vom Brutto), Firmenwagen, Versorgungsordnung Vorstand-nah, 30+ Urlaubstage |
| DAX-40-Konzern Siemens, Telekom, BMW, BASF, Bayer, SAP, RWE, E.ON | 180.000 € | 230.000 € | 340.000 € | Bonus 20–35%, LTI-Performance-Shares (60–120k/Jahr), Firmenwagen gehoben, BAV, Gruppenunfall-Versicherung, Sabbatical-Option |
| Top-Beratung KPMG Cyber, Accenture Security Lead, Deloitte Risk Advisory Partner | 170.000 € | 220.000 € | 360.000 € | Partner-Beteiligung (Equity), Bonus 25–40%, Mobilitätsbudget, internationale Mandate, Boardroom-Exposure |
| Mittelstand / Hidden Champion Familienunternehmen, KRITIS-Mittelstand, Spezialisten (Secunet, Giesecke+Devrient) | 135.000 € | 170.000 € | 220.000 € | Direktzusage Altersversorgung, Firmenwagen, sehr lange Bindung, Gestaltungsspielraum, oft nur 1 Reporting-Ebene zur Inhaberfamilie |
| Scale-up / Unicorn Celonis, Personio, N26, Trade Republic, Razor Group | 150.000 € | 195.000 € | 320.000 € | ESOP/VSOP-Anteile (Upside 100–500k+ bei Exit), flache Hierarchien, CEO-Reporting, Security-by-Design-Mandat |
| Öffentlicher Dienst / KRITIS-Staatlich Bundesbehörden, Sparkassen-Finanzgruppe, Stadtwerke, Kommunaler IT-Dienstleister | 105.000 € | 135.000 € | 165.000 € | Unkündbarkeit, Pensionsansprüche, 30+ Urlaubstage, klare Arbeitszeiten, keine LTI aber stabile Laufbahn B6/B9 |
Insider-Tipp von ADVERGY
Der unterschätzteste Gehaltshebel 2026 ist der NIS2-Durchführungs-Track-Record. Wer nachweisbar ein NIS2-Compliance-Programm von Kickoff bis BSI-Audit-Readiness geführt hat, ist 2026 Goldwert – unsere Executive-Search-Daten zeigen Aufschläge von +28 bis +38% gegenüber CISOs ohne diesen Nachweis. Konkreter Fall aus Q4/2025: Ein CISO bei einem Maschinenbau-Mittelstand (850 MA, 170k Base) wechselte als CISO zu einem DAX-40-Automotive-Zulieferer – neues Paket 235k Base + 35% Bonus + 90k LTI/Jahr, Gesamtvergütung Jahr 1 ca. 360k. Der entscheidende Trigger war ein 22-monatiger NIS2-Rollout, den er in seiner vorherigen Rolle als dokumentierte Referenz mitbrachte. Zweiter unterschätzter Hebel: DORA-Banking-Zertifikat (BAIT/VAIT-Audit-Erfahrung plus DORA-Rollout). Banking-CISOs mit DORA-Durchführung verdienen 2026 typisch 240–290k Base plus 40–80% Bonus, also 340–520k Gesamtvergütung. Dritter Hebel: Interim-CISO-Mandate als Sprungbrett. Tagessätze 1.800–2.200 €/Tag sind 2026 Marktstandard bei 140–180 Auslastungstagen, also 250–400k Jahresumsatz – und oft mit Option auf Festübernahme zu 220k+ Base. Konkreter Rat: Wenn Sie als Head of Security in Ihrem Unternehmen die nächste Stufe nicht erreichst, ist der vertikale Wechsel in eine echte CISO-Position bei einem NIS2-getroffenen Mittelständler um das Dreifache wirkungsvoller als eine interne Gehaltsrunde – plus sie sammeln den Track-Record für den späteren Sprung ins Banking oder DAX.
Markt & Trends
CISO-Gehälter 2026 — Executive-Premium durch NIS2, DORA und persönliche Haftung
Der deutsche CISO-Markt ist 2026 von einer regulatorisch getriebenen Gehaltsrevolution geprägt. Ein CISO verdient im Median 180.000€ Grundgehalt, inklusive Bonus und LTI liegt die Gesamtvergütung typisch bei 220.000–280.000€ (Quelle: Heidrick & Struggles CISO Report 2025, Kienbaum Executive Compensation, ADVERGY-Executive-Search-Daten n=22). Der wichtigste Treiber ist NIS2: Seit Oktober 2024 sind über 29.000 deutsche Unternehmen verpflichtet, eine benannte Security-Verantwortung auf Geschäftsführungs-Ebene zu etablieren – mit persönlicher Haftung der Geschäftsleitung (§ 38 NIS2UmsuCG). Die Folge: Unternehmen, die bisher nur einen IT-Security-Manager hatten, müssen 2025/2026 Full-Scope-CISOs einstellen. DORA ergänzt seit Januar 2025 im Finanzsektor die Anforderungen um ICT-Risk-Management, Third-Party-Risk und verpflichtendes Digital Operational Resilience Testing. Allein im DACH-Banking-Sektor sind laut BaFin über 450 CISO-Positionen neu zu besetzen oder aufzuwerten – Resultat: Banking-CISO-Gehälter sprangen 2024 → 2026 um +18 bis +26%.
Die zweite Gehalts-Treiberkraft ist die persönliche Haftung. Seit der NIS2-Umsetzung sehen deutsche Vorstände Cybersecurity nicht mehr als Kostenstelle, sondern als existenzielles D&O-Risiko: Bei nachweisbaren Security-Versäumnissen drohen persönliche Regresse gegen Vorstand und Geschäftsführung, Bußgelder bis 10 Mio. € oder 2% des weltweiten Konzernumsatzes und individuelle Strafverfolgung. Ein CISO mit nachweisbarem NIS2-Implementation-Track-Record ist dadurch zum Executive-Asset geworden – vergleichbar mit einem erfahrenen CFO. Heidrick & Struggles beziffert den durchschnittlichen CISO-Compensation-Jump von 2023 auf 2026 auf +24% bei C-Level-nahen Rollen in DAX-Unternehmen. Der BSI-Lagebericht 2025 dokumentiert 135 meldepflichtige Sicherheitsvorfälle allein bei KRITIS-Unternehmen (+42% gegenüber 2023), Ransomware-Schäden überstiegen 2,3 Mrd. € in Deutschland. Unter diesem Bedrohungsdruck wächst das strategische Gewicht der Rolle: 38% der neu besetzten CISO-Positionen berichten 2026 direkt an den Gesamtvorstand oder CEO, nicht mehr an CIO oder CFO.
Für Sie als CISO oder Head of Security bedeutet das konkret: ADVERGY-Executive-Search-Daten zeigen, dass CISOs beim Wechsel im Schnitt +22% Gehaltssprung erzielen – bei DORA-Spezialisten im Banking sogar +28 bis +34%. Typische Base-Gehalts-Sprünge: 145k € → 180k € (Head of Security → CISO Mittelstand), 170k € → 215k € (CISO Mittelstand → CISO Konzern), 215k € → 275k € (CISO Konzern → CISO Banking/Versicherung). Hinzu kommen drei Executive-typische Vergütungsbestandteile, die Base-only-Vergleiche verzerren: Erstens Bonus/STI (20–50% des Base, oft an KPIs wie ISO-27001-Zertifizierung, Incident-Response-Zeit, Audit-Findings gekoppelt). Zweitens LTI/Long-Term-Incentives (Performance-Shares, Phantom-Shares, Aktienoptionen, typisch 40–150k €/Jahr bei DAX und Big Tech). Drittens Haftungs-Zuschläge und D&O-Versicherungen (bei BaFin-anzeigepflichtigen Rollen zunehmend separate Zulagen von 15–30k €/Jahr, plus erweiterte D&O-Deckung von 5–25 Mio. €).
Gehaltshebel
Welche Faktoren bestimmen das Gehalt ein CISO (Chief Information Security Officer)?
Unternehmensgröße: 500 MA vs. 50.000 MA sind 200%+ Unterschied
Der größte Gehaltshebel bei CISOs ist die Größe der zu schützenden Organisation. CISOs kleinerer Unternehmen (500–2.000 MA) verdienen im Median 158.000€ Base. CISOs von Konzernen mit 20.000–50.000 MA liegen bei 230–280k Base. Group CISOs in DAX-40-Konzernen mit 50.000+ MA erreichen 300–450k Base plus LTI-Pakete. Grund: Mit wachsender Organisation steigen Team-Größe (3 vs. 30 vs. 80 Personen), Budget-Verantwortung (1 Mio. vs. 12 Mio. vs. 45 Mio. €/Jahr) und Angriffsfläche exponentiell.
Branche: Banking und Versicherung +30–50% über Industrie
Regulierte Finanzunternehmen zahlen 2026 strukturell die höchsten CISO-Gehälter. Ein CISO bei Deutsche Bank, Commerzbank oder Allianz verdient im Median 280k Base plus 30–50% Bonus – Gesamtvergütung 360–420k. Industrie-CISOs bei DAX-40-Unternehmen liegen bei 230k Base plus 20–35% Bonus. Treiber: DORA-Compliance mit Bußgeldern bis 2% Konzernumsatz, BaFin-Anzeigepflicht für Security-Rollen, strukturelle Konkurrenz zu Big Tech um Top-Talent.
Regulatorik: NIS2-Durchführung, DORA-Kompetenz, KRITIS-Expertise
Nach NIS2 (Oktober 2024) und DORA (Januar 2025) sind regulatorisch versierte CISOs die knappste Ressource am Markt. Wer einen nachweisbaren NIS2-Rollout geführt hat (Risk-Management, Business-Continuity, Incident-Response-Pflichten, Lieferketten-Security), kann +15–25% auf das Basisgehalt aufschlagen. DORA-Banking-Zertifikat plus BAIT/VAIT-Audit-Erfahrung bedeutet strukturell +25–35%. KRITIS-Erfahrung (Energie, Wasser, Gesundheit, Finanzen) bei Unternehmen, die seit Mai 2025 erweiterten NIS2-KRITIS-Pflichten unterliegen, ergibt zusätzlich +10–15%.
Zertifizierung und Ausbildung: CISSP plus MBA als Executive-Standard
CISSP (Pflicht-Grundlage) und CISM (Management-Fokus) sind 2026 Mindeststandard für CISO-Rollen bei Unternehmen >2.000 MA. Die Kombination CISSP + CISM + ISO-27001-Lead-Auditor bringt laut ADVERGY-Daten +12–18% auf das Basisangebot. Ein MBA (insbesondere mit Focus auf Risk-Management, z.B. WHU, HHL, Insead) wirkt als struktureller Boost: Executive-Search-Partner bevorzugen MBA-CISOs bei Boardroom-Mandaten – durchschnittliches Premium +15% gegenüber technisch gleich qualifizierten Kollegen ohne MBA.
Vergütungsstruktur: Base vs. Bonus vs. LTI – der Gesamtpaket-Effekt
CISO-Gehälter wirken auf den ersten Blick niedriger als sie sind, weil Base-only-Vergleiche 30–50% der Gesamtvergütung ausblenden. Ein DAX-CISO bei 220k Base hat typisch 25% Zielbonus (55k), LTI-Performance-Shares (75k/Jahr über 3 Jahre Vesting) und D&O/BAV-Pakete im Wert von ca. 15k – Gesamtpaket 365k. Bei Banking liegt der Bonus-Anteil höher (30–50%), bei Big Tech dominieren RSU-Aktienpakete (oft 150–300k/Jahr). Verhandle immer das Gesamtpaket, nicht nur Base.
Karrierepfad
Vom Einstieg zum Top-Verdiener.
Stufe 1: Information Security Manager
85.000 – 125.000 €
7–10 Jahre
Fachliche Verantwortung für ISO-27001-Audits, ISMS-Betrieb, Policy-Management und operative Security-Koordination. Berichtet an CIO oder IT-Leiter. Noch keine Budget-Hoheit, aber erste Personalführung (2–4 Personen). Typisch in Mittelstand und KRITIS.
Stufe 2: Head of Security (Pre-CISO)
110.000 – 150.000 € + 15% Bonus
10–13 Jahre
Leitung eines Security-Teams von 5–10 Personen, direkte Budget-Verantwortung (500k–2 Mio. €), CIO-Reporting. Verantwortet SOC, Vulnerability-Management, IAM und Security-Engineering. Aufbau der Fähigkeiten für CISO-Sprung: Governance, Board-Reporting, Cyber-Risk-Quantifizierung.
Stufe 3: CISO Mittelstand
140.000 – 180.000 € + 20% Bonus
12–15 Jahre
Gesamtverantwortung für Informationssicherheit bei 500–2.000 MA, Geschäftsführungs-Reporting, Budget 800k–2 Mio. €/Jahr, Team 3–8 Personen. NIS2-Durchführung, ISO-27001-Erstzertifizierung, Cyber-Versicherungs-Governance, Lieferketten-Security.
Stufe 4: CISO Konzern / Banking
170.000 – 280.000 € + 25–40% Bonus + LTI
14–18 Jahre
CISO bei 5.000–20.000 MA oder bei regulierter Bank/Versicherung. Vorstands-Reporting, Budget 3–12 Mio. €/Jahr, Team 8–20 Personen. DORA-Umsetzung, BaFin-Anzeigepflicht, Aufsichtsrats-Präsentationen zu Cyber-Risikolage, Red-/Blue-Team-Governance.
Stufe 5: Group CISO / CSO DAX / CSO Big Tech DACH
280.000 – 450.000 € + 30–50% Bonus + 100–300k LTI
18+ Jahre
Gesamt-Group-Verantwortung in DAX-40-Unternehmen oder Regional-CSO bei Big Tech. Aufsichtsrats-Zugang, Team 20–80 Personen, Budget 15–50 Mio. €/Jahr, LTI-Pakete (Performance-Shares, Phantom-Stocks). Strategische Mitgestaltung Produkt-Security, M&A-Due-Diligence, Global-Posture.
Verhandlungstipp
CISO-Verhandlungstaktik ist fundamental anders als bei Senior-Engineer-Gesprächen. Es geht nicht um ein Gehalt, sondern um ein Executive-Paket aus Base, Bonus, LTI, D&O und persönlichen Governance-Rechten. Drei Szenarien mit konkreten Dollar-Zahlen und Skripten: (1) Szenario 'Head of Security → CISO Mittelstand' (Sprung 140k → 170k Base plus 20% Bonus): Der entscheidende Hebel ist Evidenz persönlicher Governance-Reife, nicht operative Security-Kennzahlen. Bringe drei Bausteine ins Erstgespräch: (a) Ein eigenhändig an den CIO/Vorstand präsentiertes Cyber-Risk-Dashboard (Zeig Screenshot anonymisiert im Call). (b) Ein ISO-27001- oder TISAX-Audit, das Sie durchgeführt hast, mit dokumentiertem Gap-Analysis-Bericht. (c) Ein Incident-Response-Case, bei dem Sie Board-Kommunikation geführt hast. Diese Nachweise verankern Sie als bereit für Vorstands-Reporting und rechtfertigen 25–30k über Erstangebot. Verhandle zusätzlich: Budget-Autorität schriftlich fixiert (mindestens 2 Mio. €/Jahr), Team-Aufbau-Mandat (Recruiting-Kompetenz für 3 neue Security-Stellen), externe D&O-Versicherung (Deckung min. 5 Mio. €, Arbeitgeber-finanziert), Executive-Coaching-Budget (6–10k/Jahr), Teilnahme an ISACA Global Conference oder Black Hat EU (Wert 7–12k/Jahr). Einstiegsfrage-Skript: 'Bevor wir über Vergütung sprechen – welche Reporting-Linie haben Sie für diese Rolle vorgesehen? Direkt an den CEO oder über den CIO?' Wenn CEO-Reporting: Forderung +15% gegenüber CIO-Reporting ist marktgerecht. (2) Szenario 'CISO Mittelstand → CISO Konzern/Banking' (Sprung 170k → 230k Base plus 30% Bonus plus 60k LTI): Hier zählt der Track-Record quantifizierbarer Security-Outcomes. Bereite Präsentation mit drei Kernzahlen vor: (a) Größe des von Ihnen gemanagten Security-Programms (Budget, Team, Endpoints, Cloud-Accounts). (b) Regulatorische Erfolge (NIS2-Rollout, ISO-27001-Zertifizierung, BaFin-Audit ohne Findings). (c) Business-Impact-Metriken (MTTR-Reduktion, verhinderte Incidents, Cyber-Versicherungs-Prämien-Reduzierung). Konkretes Zahlenbeispiel: 'In meiner aktuellen Rolle habe ich ein 4,2 Mio. € Security-Budget verantwortet, ein 12-köpfiges Team aufgebaut, einen 18-monatigen NIS2-Rollout abgeschlossen und die MTTR von 42 auf 6 Stunden reduziert. Für vergleichbaren Scope in Ihrem DAX-Umfeld liegt der Marktpreis bei 230k Base, 30% Zielbonus und LTI-Beteiligung – mit Gesamtvergütung Jahr 1 bei ca. 310–340k.' Verhandle zusätzlich: Performance-Shares oder Phantom-Stocks (40–80k/Jahr über 3 Jahre Vesting), garantierter Bonus in Jahr 1 (mindestens 50% des Ziels, unabhängig von KPIs), Sign-on-Bonus (typisch 25–60k netto, kompensiert verloren gehenden Vorjahresbonus), Firmenwagen gehobene Mittelklasse (E-Klasse/5er) oder Mobilitätsbudget (1.500–2.000 €/Monat), 35 Urlaubstage, Sabbatical-Option nach 3 Jahren, BAV-Direktzusage (12% vom Brutto), Executive-Search-Firm für Ihr Abgangs-Recruiting mit 50k Budget. (3) Szenario 'CISO Konzern → Group CISO DAX' (Sprung 230k → 320k Base plus 40% Bonus plus 150k LTI): Hier verhandelst Sie auf Vorstands-Niveau und brauchst einen Executive-Coach oder Executive-Search-Partner als Verstärker. Die drei entscheidenden Gesprächsbausteine: (a) Ihre Aufsichtsrats-Referenzen (Namen und Positionen von Personen, denen Sie berichtet hast). (b) Ihr strategischer Werte-Pitch ('So würde ich in den ersten 100 Tagen die Cyber-Posture diagnostizieren und die Top-3-Risiken adressieren'). (c) Ihr Netzwerk-Kapital (BSI-Kontakte, BaFin-Beziehungen, Cyber-Versicherungs-Gutachter, Kollegen-CISOs als Peer-Referenz). Verhandle ein echtes Executive-Paket: Base 300–340k, Performance-Shares mit Drei-Jahres-Vesting (Zielwert 150–250k/Jahr), Bonus-Obergrenze offen (typisch 50–70% bei Outperformance), D&O-Versicherung mit 15–25 Mio. € Deckung, Chauffeur-Service oder S-Klasse-/Executive-Car, separate Kranken-Versicherung (Private Health + International-Care), Sekretariats-Support (0,5–1 FTE), Kommunikationspauschale, 40 Urlaubstage plus Sabbatical, Executive-MBA-Finanzierung (WHU, Insead, wenn nicht vorhanden, 80–120k Wert). Anti-Patterns bei CISO-Verhandlungen: Verankere nicht mit Ihrem alten Gehalt ('Ich liege aktuell bei 195k'), sondern mit Markt-Benchmarks ('Heidrick & Struggles weist für vergleichbaren Scope 280–340k aus'). Verhandle niemals nur Base – nutze immer das Gesamtpaket als Verhandlungsmasse. Bei Wechsel in regulierte Branche: Lasse Ihnen D&O-Erweiterung, BaFin-Meldepflichten-Zulage und individuelle Rechtsschutz-Versicherung schriftlich zusichern, bevor Sie den Vertrag unterschreibst.
Weiterbildung
Zertifizierungs-Roadmap: Diese Weiterbildungen zahlen sich aus.
Jede Zertifizierung wirkt direkt auf Ihr Gehalt. Die folgende Übersicht zeigt Kosten, Dauer, typische Gehaltssteigerung und Schwierigkeitsgrad.
CISSP – Certified Information Systems Security Professional
++10–15% Pflicht-Grundlage für CISO-Rollen ab Mittelstand aufwärts. Die 8 CBK-Domains decken Governance, Asset-Security, Architecture, Network-Security, IAM, Security-Assessment, Operations und Software-Security ab. Bei Banken und DAX-40-Unternehmen ist CISSP oft Einstellungsvoraussetzung für Security-Führungskräfte. Amortisiert sich bei Executive-Rollen binnen 3–6 Monaten über höhere Base-Gehälter.
CISM – Certified Information Security Manager
++12–18% Die Management-Fokus-Zertifizierung für angehende CISOs. Vier Domains: Information Security Governance, Risk Management, Program Development & Management, Incident Management. Besonders wertvoll für den Übergang in Governance- und Board-Reporting-Rollen. Bei Banken und Versicherungen teils Pflicht-Zertifizierung für CISO-Positionen, da BaFin-Anforderungen dies erwarten.
ISO 27001 Lead Auditor / Lead Implementer
++8–12% Die zentrale ISMS-Zertifizierungs-Doppelkombination für CISOs. Lead Implementer befähigt zum Aufbau eines ISMS von der grünen Wiese, Lead Auditor zur externen Audit-Durchführung. Seit ISO 27001:2022-Update mit reduziertem Annex-A (93 statt 114 Controls) und neuen Themes (Threats, Organization, People, Physical, Technology) neu gefragt. Voraussetzung für NIS2-Compliance-Projekte und KRITIS-Zertifizierungen.
CRISC – Certified in Risk and Information Systems Control
++6–10% Die spezialisierte Risk-Management-Zertifizierung für CISOs mit strategischem Risk-Mandat. Deckt Risk Identification, Assessment, Response und Monitoring ab. Besonders wertvoll bei regulierten Branchen (Banking, Versicherung, KRITIS), wo Cyber-Risk-Quantifizierung (FAIR-Methode, Bayesian Risk Models) zunehmend eine Board-Pflicht ist.
CGEIT – Certified in the Governance of Enterprise IT
++6–10% Die Governance-Zertifizierung für C-Level-Kommunikation und strategische IT-Steuerung. Fünf Domains: Governance of Enterprise IT, IT Resources, Benefits Realization, Risk Optimization, Resource Optimization. Besonders wertvoll für CISOs, die in Richtung CIO, COO oder CSO-Konzern-Rollen aufsteigen wollen. Bei ADVERGY-Executive-Mandaten beobachten wir CGEIT-Holder in 30% der Group-CISO-Rollen.
BAIT / VAIT Auditor Banking-/Versicherungs-IT
++15–25% (im Banking) Die wichtigste Banking-Spezial-Zertifizierung für CISOs in regulierten Finanzhäusern. BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT) sind BaFin-Pflichtrahmen. Kombiniert mit DORA-Training ein Gehalts-Booster von 25–35% im Banking-Segment. 2026 akute Nachfrage, <200 Träger in DACH.
MBA (Executive MBA mit IT-/Risk-Fokus)
++15–20% (struktureller Boost) Der Executive-MBA ist 2026 das Unterscheidungsmerkmal für CISO-Kandidaten bei DAX-40- und Banking-Mandaten. Executive-Search-Partner bevorzugen MBA-CISOs bei Boardroom-Rollen – Premium +15% gegenüber technisch gleich qualifizierten Kollegen ohne MBA. Besonders wertvoll: WHU Düsseldorf (Risk-Management-Focus), Frankfurt School (Banking-Focus), INSEAD (International). Amortisiert sich binnen 3–4 Jahren durch höhere Exec-Positionen.
CCSP – Certified Cloud Security Professional
++5–8% Cloud-Governance-Zertifizierung für CISOs, deren Unternehmen zunehmend Cloud-Workloads (AWS, Azure, GCP) regulatorisch absichern müssen. Sechs Domains: Cloud Concepts, Architecture, Design, Operations, Legal & Compliance. Weniger technisch als AWS Security Specialty, dafür methodisch für Governance-Ebene ausgelegt. Gute Ergänzung zu CISSP + CISM für Hybrid-/Multi-Cloud-Umgebungen.
Projekt-Realität
Typische Projekte — Volumen, Dauer, Technologie.
Die Art und Größe Ihrer Projekte entscheidet maßgeblich über Ihr Gehalt. Hier typische Projektszenarien mit Volumen, Dauer und Schlüsseltechnologien.
NIS2-Umsetzung DAX-40-Konzern
14,5 Mio € Programm-Budget Volumen
24 Monate (3 Phasen) Dauer
ServiceNow GRCOneTrust NIS2 ModuleTenable Nessus EnterpriseMicrosoft SentinelGovernance-Toolchain (Archer)
Vollständige NIS2-Umsetzung für einen DAX-40-Industriekonzern mit 58.000 MA und 142 Tochtergesellschaften in 34 Ländern. Als CISO verantwortest Sie: Cyber-Risk-Governance-Framework (Mapping aller 142 Töchter auf NIS2-Essential/Important-Kategorien), Incident-Reporting-Workflow (BSI-Meldung innerhalb 24h bei Early-Warning, 72h bei Incident-Notification, 1-Monat bei Final-Report), Lieferketten-Security-Register für 4.200 kritische Lieferanten, Business-Continuity-Plans für 85 Produktionsstandorte, Awareness-Programm für 58.000 Mitarbeiter. Persönliche Governance-Reife: Direkte Vorstandsberichte alle 6 Wochen, Aufsichtsrats-Präsentationen quartalsweise. CV-Wert: Premium-Referenz für Group-CISO-Rollen, rechtfertigt +20–30% Gehaltssprung bei nächster Rolle.
DORA-Readiness Top-10-Bank DACH
22 Mio € Programm-Budget Volumen
18 Monate Dauer
Archer IRMServiceNow GRCSplunk Enterprise SecurityOneTrust DORAVeracodeBitSight Third-Party-Risk
Vollständige DORA-Compliance-Umsetzung für eine Top-10-DACH-Bank mit 28.000 MA und 340 kritischen IT-Dienstleistern. Als CISO führst Sie das DORA-Programm-Office mit 45 FTE über 18 Monate. Kernbausteine: ICT-Risk-Management-Framework nach Art. 5-15 DORA, ICT-Incident-Reporting an BaFin (2h-Vorab, 72h-Zwischen-, 1-Monat-Abschlussbericht), Third-Party-Risk-Management (Due-Diligence, Exit-Strategien, Concentration-Risk-Analyse), Digital Operational Resilience Testing inkl. Threat-Led Penetration Testing (TLPT) koordiniert mit Red-Team und BaFin, Information-Sharing-Arrangements mit Peer-Banks. Strategische Hebel: Direkt-Reporting an CRO und Vorstand, Aufsichtsrats-Risk-Committee-Präsentationen, BaFin-Prüfungs-Begleitung. CV-Wert: Öffnet Türen zu Group-CISO-Rollen in Banking/Versicherung mit 300k+ Base.
Zero-Trust-Transformation Versicherungskonzern
18,5 Mio € Programm-Budget Volumen
30 Monate (5 Phasen) Dauer
Zscaler ZPA EnterpriseMicrosoft Entra ID GovernancePalo Alto Prisma AccessCrowdStrike Falcon Identity ProtectionOkta IGASailPoint IdentityNow
Enterprise-weite Zero-Trust-Transformation eines Versicherungskonzerns mit 42.000 MA und 180 Außenstandorten. Als CISO übernimmst Sie Portfolio-Management über 5 parallele Teilprojekte: Identity-Konsolidierung (AD-Cleanup 280k Accounts), Mikrosegmentierung von 45 Geschäftsbereichen, Device-Trust-Policies für 52.000 Endgeräte, kontextbasierte Zugriffskontrolle mit Risk-Scoring, Just-in-Time-Admin-Access für 3.200 privilegierte Rollen. Besondere Komplexität: VAIT-Compliance während der Transformation, Migration ohne Außendienst-Disruption, Change-Management für 42.000 Nutzer. Projekt-Referenz für Banking/Versicherungs-CISO-Rollen, rechtfertigt bei nächster Vergütungs-Verhandlung +25–35%.
IPO-Security-Posture Scale-up (SEC S-1-Readiness)
4,2 Mio € Budget + 1,8 Mio. €/Jahr Tooling Volumen
14 Monate Pre-IPO Dauer
Wiz CNAPPVanta SOC 2 AutomationOneTrust PrivacySnyk EnterpriseOkta IGAMicrosoft Sentinel
Vollständige Security-Posture-Readiness für IPO eines deutschen Tech-Scale-ups mit 1.800 MA. Als CISO verantwortest Sie den Aufbau von null auf SEC-S-1-Readiness in 14 Monaten: SOC 2 Type II Zertifizierung (Trust Services Criteria für Security, Availability, Confidentiality), ISO 27001:2022 Erstzertifizierung, DSGVO-Audit mit BfDI-Stresstest-Simulation, Cyber-Due-Diligence für Banking-Syndikat (Goldman Sachs, JPM, Deutsche Bank), Security-Sektion im S-1-Prospekt mit persönlicher Underwriter-Affidavit. Besonderheit: Direkt-Reporting an CEO und CFO, wöchentliche Pre-IPO-Governance-Calls, Roadshow-Mitwirkung mit Banking-Analysten. ESOP-Anteile bei erfolgreichem IPO üblich: 100–500k€ Upside-Potenzial.
Cyber-Incident-Response Ransomware-Großangriff KRITIS
8,5 Mio € Krisenbudget (+ 3 Mio. € Folgebudget) Volumen
6 Monate Krisenmodus + 12 Monate Hardening Dauer
Mandiant Incident ResponseCrowdStrike Falcon CompleteMicrosoft SentinelKPMG ForensicsCoveware Negotiation-Support
Als CISO eines KRITIS-Energieversorgers mit 7.200 MA führst Sie die Krisenbewältigung nach LockBit-4.0-Ransomware-Angriff mit 42TB verschlüsselten Daten. Phase 1 (Tage 1–21): Krisenstab-Führung mit Vorstand, BSI-Meldekette (24h/72h-Fristen), Containment via EDR-Shutdown, juristische Koordination für Lösegeld-Verhandlungen (nicht gezahlt), Kundenkommunikation über 180 B2B-Kunden. Phase 2 (Monate 2–6): Restore aus Offline-Backups, forensische Aufklärung durch Mandiant, Insurance-Claim mit Munich Re (7,2 Mio. € Regulierung), BSI-Abschlussbericht, Parlamentarische Anhörung im Wirtschaftsausschuss. Phase 3 (Monate 7–18): Zero-Trust-Hardening, Security-Budget-Verdreifachung, Team-Verdopplung von 14 auf 28 FTE. Karriere-Impact: Größter CV-Hebel überhaupt für CISO-Rolle – öffnet Türen zu DAX-40 und Banking mit 280k+ Base.
Selbstständig
Freelancer-Tagessätze für CISO (Chief Information Security Officer).
Alternative zur Festanstellung: Als selbstständige Fachkraft können Sie deutlich mehr verdienen — tragen aber auch mehr Risiko.
Junior
1.100–1.400 €/Tag (Interim Head of Security) €
/ Tag netto
Senior
1.400–1.800 €/Tag (Interim CISO Mittelstand) €
/ Tag netto
Lead / Experte
1.800–2.500 €/Tag (Interim CISO Konzern/Banking) €
/ Tag netto
Typische Auslastung: 140–180 verrechenbare Tage/Jahr, viele Mandate parallel (2–3 kleinere oder 1 großes Mandat). Bei 1.800€/Tag und 160 Tagen ergibt das 288.000€ Jahresumsatz vor Steuern. Interim-CISOs kombinieren oft Executive-Search-Beirats-Mandate mit Interim-Rollen.
Vorteile
- Premium-Tagessätze im Executive-Segment: Banking-Interim-CISOs erreichen 2.200–2.500 €/Tag, Post-Incident-Recovery-Mandate 2.500+ €/Tag
- Extrem hohe Nachfrage durch NIS2/DORA: 2026 sind geschätzt 400+ Interim-CISO-Mandate unbesetzt in DACH
- Mandatsauswahl: Post-Incident-Recovery, M&A-Security-Due-Diligence, IPO-Readiness, NIS2-Programm-Leitung
- Steuerliche Optimierung über GmbH/UG, besonders ab 250k+ Jahresumsatz
- Beirats-/Advisory-Board-Mandate als lukrativer Zusatzverdienst (20–80k€/Jahr bei 2–4 Mandaten)
- Option auf Festübernahme: Ca. 30% der Interim-CISO-Mandate enden in Festanstellung mit 220k+ Base
Nachteile
- D&O-Haftungsrisiko: Interim-CISOs sind persönlich haftbar für NIS2-/DORA-Versäumnisse während des Mandats – separate D&O-Versicherung zwingend (Kosten 5–15k€/Jahr)
- NDA- und Compliance-Komplexität: BaFin-Mandate erfordern Offenlegungen, KRITIS-Mandate Security-Clearance (6–18 Monate Vorlauf)
- 24/7-Incident-Bereitschaft: Bei Krisenmandaten keine freien Wochenenden, teils 12–16h-Tage
- Keine bezahlte Krankheit/Urlaub (min. 30–40k€/Jahr Puffer einplanen)
- Reputationsrisiko: Öffentlich gewordene Incidents während Mandat belasten CV und erschweren Folge-Mandate
- Scheinselbstständigkeits-Risiko bei Langzeit-Mandaten (>18 Monate) beim selben Kunden
Remote-Anteil
Remote-Work im Tech-Bereich: Was ist realistisch?
Remote-First, Hybrid oder Office-First? Der Remote-Anteil hängt stark vom Arbeitgebertyp ab — Software-Rollen sind deutlich remote-freundlicher als Infrastruktur-Rollen.
| Arbeitgebertyp | Remote-Anteil | Typisches Modell |
|---|---|---|
| Ingenieurbüro / Planungsbüro | undefined% | 2-3 Tage Home-Office möglich |
| Generalunternehmer | undefined% | Baustellen-Präsenz dominiert |
| Facility Management | undefined% | Mix aus Objekt- und Home-Office |
| Industrie / Konzern | undefined% | Hybrid, oft 3 Tage Home-Office |
Gehalts-Impact: CISOs akzeptieren im Durchschnitt 3–8% weniger Grundgehalt für substantielles Remote-Package (3+ Tage Homeoffice). Bei Banking und DAX-40 ist Full-Presence oft nicht verhandelbar, weil Board-Proximität als kritisch gilt. Bei Scale-ups und Big Tech ist Remote Standard und bietet eher Premium (+3–5%). Verhandlungshebel 2026: Tausche 1–2 Präsenz-Tage gegen 'Executive-Retreat-Privileg' (1 Woche pro Quartal im Firmensitz statt 2 Tage pro Woche) – das wird bei 60% der Mittelständler akzeptiert.
undefined
undefined
Karrierepfad-Alternativen
Fach- oder Führungskarriere?
Ab Senior-Level trennen sich die Wege. Beide Pfade führen zu ähnlichen Gehältern — aber mit unterschiedlichen Anforderungen und Aufgaben.
Fachkarriere
Security Fellow / Chief Security Scientist / Principal CISO
200.000 – 320.000 € + LTI
In Deutschland sehr selten, primär bei Big Tech DACH (Google, AWS, Microsoft) oder spezialisierten Cyber-Research-Firmen (Crowdstrike, Mandiant EMEA): Technisch-strategische Thought-Leadership ohne Personalführung. Sie werden zur Identifikationsfigur für technische Security-Strategie, publizierst CVE-Research, sprichst auf BSI-Kongress, RSA, Black Hat. Kein P&L-Mandat, dafür globaler Einfluss und Autorenschaft. In klassischen DAX-Unternehmen praktisch nicht existent – eher als Advisory-Board-Funktion.
Typische Aufgaben:
Führungskarriere
COO Security-Firma / CEO Security-Scale-up / Next CxO-Role (CIO, CTO, CEO)
320.000 – 700.000 € + Equity/Performance-Shares
Der typische Sprung eines erfolgreichen CISOs in den Unternehmensvorstand: COO oder CEO einer Security-Firma (z.B. Secunet, NCP, G Data), CEO eines Security-Scale-ups (oft mit Equity-Upside bei Exit), oder Übergang in CIO-/CTO-/CEO-Rollen im ursprünglichen Industrie-Sektor. Der CISO-Hintergrund ist in diesen Rollen ein differenzierendes Asset, weil Cyber-Risk zur zentralen Unternehmenssteuerungs-Dimension geworden ist. Reporting typisch an Aufsichtsrat oder Board of Directors, Gesamtvergütung bei erfolgreichen Exits in Scale-ups kann 1–5 Mio. € erreichen.
Typische Aufgaben:
Karriere-Progression
Karriere-Progression: Vom Security-Engineer zum CISO
Der Pfad zur CISO-Verantwortung dauert typisch 14 bis 20 Jahre und führt durch fünf charakteristische Stufen. Christian Bollweg begleitet seit 2020 Security-Karrieren von der Junior-Engineer-Position bis ins C-Level und beobachtet wiederkehrende Skill-Sprünge sowie typische Stolperfallen.
Stufe 1
Junior Security Engineer
Skills
Network-Security-Grundlagen, SIEM-Bedienung (Splunk, QRadar, Sentinel), Vulnerability-Scanning (Nessus, Qualys), Incident-Response-Tickets, OWASP-Top-10, erste Zertifizierungen (Security+, CCNA Security).
Verantwortung
Bearbeitung von Security-Tickets in einem SOC oder Security-Team, Patch-Management-Dokumentation, Compliance-Checklisten abarbeiten, Eskalation an Senior-Kollegen bei komplexen Incidents.
Typischer Fehler
Zertifikat-Sammeln ohne praktische Tiefe: Wer in dieser Phase nur Zertifikate stapelt (Security+, CEH, CySA+), aber keine echten Incidents bearbeitet hat, gerät in der Senior-Bewerbung ins Hintertreffen. Christian rät, mindestens drei dokumentierte Incident-Response-Cases im Portfolio zu haben, bevor die nächste Stufe angegangen wird.
Stufe 2
Senior Security Engineer
Skills
Threat-Hunting, Detection-Engineering (Sigma-Rules, KQL-Queries), Cloud-Security (AWS Security Hub, Azure Defender), erste IAM-Architektur-Entscheidungen, CISSP-Vorbereitung, Audit-Begleitung.
Verantwortung
Eigenverantwortliche Bearbeitung kritischer Incidents, Mentoring von Junior-Engineers, Threat-Detection-Pipelines bauen, Security-Architecture-Reviews bei neuen Services, Pentests koordinieren oder durchführen.
Typischer Fehler
Tool-Falle statt Strategie-Denken: Senior Security Engineers, die ausschließlich operativ in Tools arbeiten und keine Architektur- oder Strategie-Diskussionen suchen, stagnieren auf dieser Stufe. Der Sprung zum Lead erfordert nachweisbare Architektur-Entscheidungen mit Business-Impact.
Stufe 3
Security Architect / Lead Security Engineer
Skills
Zero-Trust-Architektur, Security-Reference-Architectures, Cloud-Security-Posture-Management auf Org-Ebene, ISO-27001-Audit-Vorbereitung, SOC-2-Type-II-Begleitung, Hiring von Security-Engineers, Security-Awareness-Programme.
Verantwortung
Verantwortung für eine Security-Domain (etwa Cloud-Security oder Identity & Access), Zertifizierungs-Audits begleiten, Security-Hiring-Pipeline aufbauen, Vendor-Management für Security-Tools, Incident-Response-Eskalations-Manager.
Typischer Fehler
Audit-Müdigkeit: Architects, die nach zwei oder drei erfolgreichen Audits aufhören, neue Frameworks zu lernen (NIS2, DORA, EU-AI-Act), verlieren in der Head-of-Security-Bewerbung. Die regulatorische Landschaft 2026 ist zu dynamisch, um auf einem Wissensstand stehen zu bleiben.
Stufe 4
Head of Security / Director Security
Skills
Security-Org-Design (8 bis 25 FTE), Security-Budget-Verantwortung (1 bis 5 Mio. Euro), Board-Reporting, Vendor-Verhandlungen, internationale Audit-Programme, Krisen-PR bei Major-Incidents, regulatorisches Monitoring (BaFin, BSI).
Verantwortung
Strategische Security-Roadmap auf 2 bis 3 Jahre, Verantwortung für SOC-Operations 24/7, Compliance-Reporting an C-Level, Incident-Response auf Vorstandsebene, Security-Hires auf Senior-Ebene.
Typischer Fehler
Engineering-Wurzeln nicht loslassen: Erstmalige Heads of Security versuchen oft, weiter selbst Detection-Rules zu schreiben oder Pentests zu reviewen. Das blockiert die Skalierung der Org und verhindert die Beförderung zum CISO. Christian empfiehlt, ab Director-Ebene mindestens 60 Prozent der Zeit in Strategie, Hiring und Stakeholder-Management zu investieren.
Stufe 5
CISO / Chief Information Security Officer
Skills
Security-Strategie auf 3 bis 5 Jahre, BaFin-/BSI-Behörden-Kommunikation, M&A-Security-Due-Diligence, Cyber-Insurance-Verhandlungen, Krisen-Kommunikation öffentlich, EU-Regulatorik (DORA, NIS2, KRITIS), Security-Brand des Unternehmens.
Verantwortung
Gesamte Security-Organisation (15 bis 80+ FTE), Verantwortung gegenüber Vorstand und Aufsichtsrat, persönliche Anzeigepflicht bei BaFin-Sektoren, Cyber-Risk-Akzeptanz auf Konzernebene, Stakeholder-Management mit Behörden.
Typischer Fehler
Compliance-Tunnelblick: Erstmalige CISOs konzentrieren sich häufig zu stark auf Audit-Erfolge und vernachlässigen die Business-Enablement-Seite. CISOs, die nur als Bremser wahrgenommen werden, halten sich selten länger als 24 Monate. Die besten CISOs balancieren Compliance-Disziplin mit aktiver Unterstützung von Engineering- und Produkt-Geschwindigkeit.
Verhandlungs-Playbook
Verhandlungs-Playbook: 5 Insider-Tipps von Hannes Moeckelmann
Hannes Moeckelmann betreut als Standortleiter Hamburg seit 2019 Security-Leadership-Mandate. Aus über 70 begleiteten CISO- und Head-of-Security-Verhandlungen destilliert er fünf Hebel, die in praktisch jeder Verhandlung den entscheidenden Unterschied machen.
1
Recruiter-Insider: CISO-Spannen liegen 20 bis 30 Prozent über dem Erstangebot
Bei CISO-Mandaten arbeiten Recruiter mit besonders weiten Bandbreiten, weil die Zahlungsbereitschaft je nach Regulatorik-Druck stark variiert. Das Erstangebot liegt typisch im unteren Drittel der genehmigten Range. Wer mit einer ruhigen Frage wie 'Welche Faktoren würden eine Erhöhung um 25 Prozent rechtfertigen?' antwortet, signalisiert Marktwissen ohne Konfrontation. Hannes hat in über 75 Prozent seiner CISO-Mandate eine Erhöhung von 20 bis 30 Prozent erreicht – schlicht durch geduldiges Nicht-Akzeptieren des Erstangebots.
2
Drei-Phasen-Strategie: Erst Base, dann LTI, dann D&O
Verhandeln Sie CISO-Pakete in drei Phasen. Phase 1: Festes Grundgehalt, weil es Bonus und LTI bemisst. Phase 2: Long-Term-Incentive, Performance-Shares und mehrjährige Vesting-Strukturen. Phase 3: D&O-Versicherung, persönliche Haftungs-Freistellung und Krisen-Coaching-Budget. Gerade die D&O-Komponente ist bei CISOs entscheidend, weil sie persönlich haften, wenn BaFin-Pflichten verletzt werden. Verhandeln Sie mindestens 10 Mio. Euro D&O-Deckung für DAX-Mandate und persönliche Freistellung für Pflichtverletzungen außerhalb grober Fahrlässigkeit.
3
Benefits gegen Salary tauschen ist ein Anfänger-Fehler
Recruiter versuchen oft, fehlendes Cash mit Benefits zu kompensieren: Firmenwagen statt Base-Erhöhung, BAV-Premium statt 6.000 Euro Cash. Rechnen Sie nüchtern: Der Firmenwagen kostet als geldwerter Vorteil und ist nicht portabel. 8.000 Euro Base sind hingegen vesting-frei und steigen mit jedem Wechsel. Bei CISOs gibt es allerdings eine berechtigte Ausnahme: ein Executive-Coaching-Budget von 10.000 bis 20.000 Euro pro Jahr ist substantiell wertvoller als das gleiche Cash-Äquivalent, weil es direkt auf den nächsten Karriere-Sprung einzahlt.
4
Konkurrenz-Karte: Banking-Tech-Mandate als Hebel gegen Industrie
Der härteste Hebel in CISO-Verhandlungen ist ein konkretes zweites Angebot aus dem Banking-Tech-Sektor. Banken und Versicherungen zahlen 30 bis 50 Prozent über Industrie-Standard, was sie zur idealen Hebel-Referenz macht. Wer ein Banking-Tech-Angebot in der Hand hat, kann in der parallelen Industrie-Verhandlung 20 Prozent Aufschlag erzielen. Wichtig: Niemals bluffen, die Banking-Welt ist klein und das Risiko der Aufdeckung zu hoch. Hannes empfiehlt, parallele Banking-Gespräche tatsächlich zu führen, auch wenn die Industrie-Position das eigentliche Ziel ist.
5
Psychologisches Fenster: Nach Major-Incidents steigt die Zahlungsbereitschaft drastisch
Nach einem öffentlich bekannten Cyber-Incident im Zielunternehmen oder einer Branche steigt die Zahlungsbereitschaft für CISO-Mandate um 15 bis 30 Prozent für 6 bis 12 Monate. Wer in diesem Fenster verhandelt, profitiert von dem akuten Druck auf den Vorstand, eine starke CISO-Position zu besetzen. Christian beobachtet das Muster konstant: Nach den großen Vorfällen 2024 und 2025 wurden CISO-Pakete in betroffenen Branchen pauschal um 18 bis 25 Prozent angehoben. Nutzen Sie dieses Fenster bewusst, indem Sie nach öffentlich bekannten Incidents proaktiv Gespräche suchen.
Branchen-Trends 2026
Branchen-Trends 2026: Vier Entwicklungen, die das CISO-Gehalt verschieben
Die Security-Leadership-Gehälter bewegen sich 2026 nicht uniform. Vier konkrete Trends erzeugen Gehalts-Aufschläge zwischen 15 und 40 Prozent für CISOs, die sich strategisch positionieren. ADVERGY beobachtet diese Trends in den eigenen Mandaten Q1 2026.
GenAI-/LLM-Security als neue CISO-Kompetenz
Salary-Impact: +15 bis +25 Prozent
CISOs, die nachweislich KI-Security-Strategien begleiten (LLM-Prompt-Injection-Defense, Model-Risk-Management, AI-Compliance-Frameworks gemäß EU-AI-Act), erzielen 2026 deutliche Gehalts-Premiums. Konkret: Ein CISO mit dokumentierter AI-Risk-Management-Strategie für ein produktives LLM-System verdient typisch 15 bis 25 Prozent über dem Median seiner Peer-Gruppe. Hannes hat in Q1 2026 vier CISO-Wechsel über 220.000 Euro Base begleitet, bei denen die AI-Security-Erfahrung der ausschlaggebende Differenzierungs-Faktor war. Der Markt erwartet 2027, dass jeder Senior-CISO ein AI-Risk-Framework operationalisiert hat.
Cloud-Repatriation und Daten-Souveränitäts-Audits
Salary-Impact: +12 bis +18 Prozent
Mit der zunehmenden Cloud-Repatriation aus US-Hyperscalern zurück nach Europa wachsen die Anforderungen an CISOs in den Bereichen Schrems-II-Compliance, EU-Daten-Souveränität und Hybrid-Cloud-Security. CISOs mit dokumentierter Cloud-Repatriation-Erfahrung (Workload-Migration AWS oder Azure zurück on-premise oder zu europäischen Hyperscalern) verdienen 12 bis 18 Prozent über dem Markt-Median. Christian beobachtet das Muster vor allem im Mittelstand und in regulierten Branchen. Die Skills-Kombination aus Hybrid-Cloud-Security plus Schrems-II-Compliance plus EU-AI-Act ist 2026 ein Goldstandard für CISO-Mandate ab 200k Base.
NIS2 und KRITIS-Erweiterung als Gehalts-Hebel
Salary-Impact: +25 bis +40 Prozent (für regulatorisch erfahrene CISOs)
Mit der Umsetzung von NIS2 und der KRITIS-Erweiterung 2026 steigt die regulatorische Last massiv. CISOs mit erfolgreicher BSI-Audit-Begleitung, ISO-27001-Zertifizierung und SOC 2 Type II für internationales Geschäft verdienen 25 bis 40 Prozent über vergleichbaren CISOs ohne diese Compliance-Tiefe. ADVERGY hat 2026 sechs CISO-Mandate über 250.000 Euro Base ausschließlich aufgrund nachweisbarer NIS2-Vorbereitungs-Erfahrung besetzen können. Der Engpass: Es gibt schlicht zu wenige CISOs mit gleichzeitiger technischer Tiefe und Audit-Erfahrung. Wer beides verbindet, dominiert 2026 den Markt.
Cyber-Insurance-Pflicht treibt Premium-Mandate
Salary-Impact: +10 bis +20 Prozent
Versicherer verlangen 2026 für Cyber-Policen ab 50 Mio. Euro Deckungssumme einen formal benannten CISO mit dokumentierten Mindeststandards (CISSP-Zertifizierung, fünf Jahre Leadership-Erfahrung, Audit-Track-Record). Wer diese Anforderungen erfüllt und zusätzlich aktiv Cyber-Insurance-Verhandlungen begleitet hat, erzielt 10 bis 20 Prozent über dem Median. Der Hintergrund: Cyber-Insurance-Prämien sind 2025 und 2026 explodiert (Verdopplung gegenüber 2022), und ein starker CISO senkt diese Prämien um sechsstellige Beträge pro Jahr. Hannes erwartet, dass Cyber-Insurance-Verhandlungs-Erfahrung 2027 zu einem Standard-Skill auf Senior-CISO-Ebene wird.
Regional-Insights
Regional-Insights: Drei Top-Cities für CISO-Karrieren 2026
Die Security-Leadership-Karriere ist regional stark differenziert. Drei deutsche Metropolen dominieren 2026 das CISO-Recruiting – jede mit eigenem Gehaltsspread, eigenen Arbeitgeber-Typen und eigenen Trade-offs. Wer den richtigen Standort wählt, gewinnt 15 bis 30 Prozent gegenüber dem deutschen Median.
München – DAX-Industrie und Versicherungs-Tech
180.000 – 320.000 € Base + 30–40 % Bonus + LTI
Warum diese Stadt
München konzentriert deutsche DAX-Konzerne mit hohem Security-Druck: BMW, Allianz, Munich Re, Siemens. Dazu Versicherungs-Headquarters mit umfangreichen Cyber-Insurance-Programmen. Für CISO-Kandidaten heißt das: hohe Inhouse-Gehälter, großzügige LTI-Pakete, aber harter Konkurrenzdruck. München ist der Top-Mittelpunkt für CISO-Mandate ab 250.000 Euro Base, vor allem in regulierten Sektoren.
Arbeitgeber-Typen
DAX-Industrie mit Tech-Division (BMW, Siemens, Munich Re), Versicherungs-Tech (Allianz, Allianz Technology), KI-Defense-Scale-ups (Helsing, Quantum-Systems), Tech-Mittelstand mit Banking-Anbindung.
Pendler-Tipp
Hannes empfiehlt CISO-Kandidaten mit Familien außerhalb Münchens den Wohnsitz im Speckgürtel und einen 3-Tage-Onsite-Vertrag (Dienstag bis Donnerstag). Reine Remote-CISO-Verträge sind bei DAX-Mandaten praktisch nicht verhandelbar, weil persönliche Vorstands-Präsenz erwartet wird. Hybrid mit 50 Prozent Remote ist 2026 der Standard.
Berlin – Scale-up-CISOs mit Equity-Upside
150.000 – 250.000 € Base + ESOP/VSOP 0,2 – 0,8 % Cap Table
Warum diese Stadt
Berlin ist die Scale-up-CISO-Hauptstadt: N26, Trade Republic, Solaris, Personio – alle mit Banking-Lizenz oder regulierter Zahlungsdienstleister-Funktion und damit verpflichtenden CISO-Rollen. Für CISO-Kandidaten heißt das: niedrigere Base als München oder Frankfurt, dafür substantielle Equity-Pakete und schnellere Karriere-Sprünge. Ein typischer Berlin-Scale-up-CISO erreicht in 4 bis 6 Jahren Pre-IPO-Status oder Exit-Liquidität.
Arbeitgeber-Typen
Series-C-bis-D-Scale-ups mit Banking-Lizenz (N26, Solaris), regulierte Zahlungsdienstleister, FinTech-Unicorns mit Berlin-Engineering-HQ (Trade Republic), HR-Tech mit internationaler Compliance (Personio), KI-Scale-ups.
Pendler-Tipp
Christian rät Kandidaten aus München oder Hamburg, Berlin-Mandate nur mit 2-Tage-Onsite plus 3-Tage-Remote zu verhandeln. Ein vollständiger Umzug nach Berlin lohnt sich nur, wenn der ESOP-Strike-Preis stimmt und das Unternehmen klare IPO-Pläne hat. Andernfalls bleibt der Berlin-Lebenshaltungs-Vorteil hinter den fehlenden Konzern-Benefits zurück.
Frankfurt – Banking-CISOs und FinTech-Compliance-Premiums
220.000 – 380.000 € Base + 35–50 % Bonus + LTI
Warum diese Stadt
Frankfurt vereint Bank-Tech (Deutsche Bank Technology, Commerzbank One, DZ Bank Tech) mit Europas größter FinTech-Szene außerhalb Londons. Die Banken-Compliance-Anforderungen (BaFin, MaRisk, DORA) erzeugen einen massiven Gehalts-Premium für CISOs mit dokumentierter Banken-Audit-Erfahrung. Frankfurt bietet die höchsten Senior-CISO-Gehälter Deutschlands ab 280.000 Euro Base, bei gleichzeitig den längsten Onboarding-Zyklen mit 9 bis 18 Monaten Compliance-Onboarding.
Arbeitgeber-Typen
Großbanken mit Tech-Service-Companies (DB Technology, Commerzbank One, DZ Bank Tech), Versicherungs-Tech, FinTech-Scale-ups mit Banking-Lizenz, Asset-Management-Tech (DWS, Allianz GI), Börse-Tech (Deutsche Börse, Eurex).
Pendler-Tipp
Frankfurt-CISO-Mandate erfordern in über 80 Prozent der Fälle 4 Tage Onsite, weil Banken-Compliance auf Vor-Ort-Präsenz besteht. Hannes empfiehlt Kandidaten aus dem Rhein-Main-Umland einen Wohnsitz in Wiesbaden, Mainz oder Bad Homburg mit ICE-Anbindung. Echte Remote-CISO-Mandate gibt es im Frankfurter Banking-Tech-Sektor 2026 praktisch nicht.
Vermittlungs-Anekdoten
Vermittlungs-Anekdoten: Zwei anonymisierte CISO-Cases
Echte Vermittlungs-Geschichten aus dem ADVERGY-Security-Leadership-Desk, anonymisiert auf Bundesland-Granularität. Beide Cases stammen aus 2025 und 2026 und illustrieren typische Wechsel-Pattern und Lessons-Learned.
Case 1: Head of Security zu CISO, Banking-Wechsel
Senior Head of Security, Mitte 30, 12 Jahre Erfahrung, Wechsel von Industrie-Konzern zu Großbank
Aus den letzten 6 Monaten: Wechsel von einer Head-of-Security-Rolle bei einem DAX-Industrie-Konzern in NRW auf eine erste CISO-Rolle bei einer deutschen Großbank in Frankfurt. Ausschlaggebend waren CISSP-Zertifizierung, dokumentierte ISO-27001-plus-SOC-2-Type-II-Audit-Erfahrung und ein BAIT-Vorbereitungs-Programm beim Vorgänger-Arbeitgeber. Neues Paket: 245.000 Euro Base, 35 Prozent Zielbonus, LTI-Performance-Shares 80.000 Euro pro Jahr über 3 Jahre Vesting, D&O-Versicherung 15 Mio. Euro, persönliche Haftungs-Freistellung außerhalb grober Fahrlässigkeit, Executive-Coaching-Budget 18.000 Euro pro Jahr.
Lessons-Learned: Lessons-Learned: Banking-CISO-Mandate erfordern eine Kombination aus harter Compliance-Tiefe (BAIT, MaRisk, DORA-Readiness) und nachweislicher Audit-Erfahrung. Der Kandidat hatte 18 Monate vor dem Wechsel begonnen, BAIT-Vorbereitung beim Vorgänger zu treiben – ohne diesen Track-Record wäre das Banking-Mandat nicht zugänglich gewesen. Hannes betont: Wer in Banking-Tech wechseln will, muss 12 bis 24 Monate Vorlauf einplanen und gezielt regulatorische Vorbereitungsprojekte beim aktuellen Arbeitgeber suchen.
Case 2: CISO zu Group-CISO bei DAX-Konzern
CISO, Anfang 40, 16 Jahre Erfahrung, Wechsel von MDAX-Tech zu Group-CISO bei DAX-Konzern
Wechsel einer CISO-Rolle bei einem MDAX-Tech-Unternehmen als Group-CISO zu einem deutschen DAX-Konzern in München. Ausschlaggebend waren ein dokumentiertes NIS2-Vorbereitungs-Programm, zwei erfolgreiche BSI-Audits, eine veröffentlichte Cyber-Strategie im Unternehmens-Geschäftsbericht und ein internationales Speaker-Profil (drei Keynotes auf BSI-Kongress, it-sa, Münchner Cyber-Konferenz). Neues Paket: 310.000 Euro Base, 40 Prozent Zielbonus, LTI 120.000 Euro pro Jahr, D&O-Versicherung 20 Mio. Euro, Firmenwagen Premium-Klasse, 35 Urlaubstage, Sabbatical-Anrecht nach 36 Monaten.
Lessons-Learned: Lessons-Learned: Group-CISO-Mandate auf DAX-Ebene erfordern Executive-Reife jenseits der reinen Security-Tiefe. Der Kandidat hatte sich über 24 Monate aktiv als Speaker und Co-Autor positioniert, was die Personalvorstands-Wahrnehmung als 'Senior-Executive' und nicht 'Senior-Engineer' prägte. Christian betont: DAX-CISO-Karrieren werden nicht durch Zertifikate gewonnen, sondern durch sichtbare Executive-Brand-Bildung. Wer das in 18 bis 24 Monaten Vorbereitung nicht aufbaut, kommt nicht in die Endauswahl.
Karriere-Sprünge
Wohin geht es nach Ihrer aktuellen Rolle?
Realistische Aufstiegs-Pfade mit Salary-Differenz, beobachtet aus ADVERGY-Vermittlungsmandaten der letzten 24 Monate. Klick auf die Karte zum vollständigen Gehaltsprofil der Ziel-Rolle.
Nach 4 Jahren als CISO (Chief Information Security Officer)
CTO (Tech-Strategie + R&D-Verantwortung)
-8 % Salary · 165.000 €
CISOs mit ausgeprägtem Eng-Background wechseln in CTO-Rollen, sobald sie zwei vollständige Engineering-Org-Restrukturierungen verantwortet haben.
Nach 5 Jahren als CISO (Chief Information Security Officer)
CIO (Konzern-IT, Vorstand)
-11 % Salary · 160.000 €
CIO-Lateral für CISOs mit Geschäftsstrategie-Erfahrung und CFO-Stakeholder-Management — typisch in Banken und Versicherungen.
Nach 5 Jahren als CISO (Chief Information Security Officer)
Senior Security Architect (Beratung)
-36 % Salary · 115.000 €
Lateral zurück in Architektur-Tiefe — Top-Berater bei Big-4 oder Boutique-Cyber-Beratungen erlösen 1.500–2.000 € Tagessatz, was bei voller Auslastung auf 250 k+ kommt.
Nach 6 Jahren als CISO (Chief Information Security Officer)
Head of IT-Compliance / DPO+
-50 % Salary · 90.000 €
Spezialisierungs-Pivot in NIS-2/DORA-Beratungs-Funktionen mit niedrigerem Cash, aber höherer Lebensqualität (selten on-call, keine 24/7-Verantwortung).
Was Kandidaten sagen
Echte Stimmen. Anonymisiert. Nachprüfbar.
7 Quotes von Kandidaten die ADVERGY in Tech vermittelt hat — Stand 2025/2026.
„Cloud-Repatriation war bei meinem alten Arbeitgeber ein Tabu — alles musste in AWS bleiben. Über ADVERGY bin ich bei einem Mittelständler gelandet der gerade aktiv on-prem zurückbaut. Plötzlich war meine k8s-Bare-Metal-Erfahrung gefragt statt belächelt.“
„Ich war Senior-Entwickler auf dem Sprung zum Tech-Lead, aber intern blockiert. Christian hat mir drei Stellen gezeigt bei denen das Lead-Mandat von Tag eins kommuniziert war. Bei der zweiten habe ich zugesagt — 22k mehr und endlich Verantwortung für ein Team von acht Leuten.“
„Platform-Engineering wurde mein Karriere-Booster. ADVERGY hat das Profil für mich gebaut: aus Site-Reliability-Erfahrung plus interner Tooling-Arbeit wurde plötzlich ein Senior-Platform-Engineer-Lebenslauf. Drei Wochen später kamen Angebote die ich vorher nicht im Radar hatte.“
„Mein größter Fehler in alten Bewerbungsrunden: Ich habe Bullet-Points statt Impact geschrieben. ADVERGY hat mir gezeigt wie man Latenz-Reduktion in Geschäfts-Sprache übersetzt: Statt P99 von 800ms auf 200ms wurde 35 Prozent weniger Customer-Bounce. Plötzlich kamen Lead-Angebote.“
„Ich hatte ein Inhouse-Angebot mit 15k Gehaltserhöhung als Gegenangebot. ADVERGY hat mir geraten anzunehmen — aber nur als kurzfristige Brücke, weil die Firmen-Kultur strukturell limitiert war. Sechs Monate später dann der echte Wechsel mit 28k Plus statt 15k.“
„Frontend-Markt war 2024 schwierig — viele Bewerbungen, wenig Resonanz. Hannes hat das Problem identifiziert: Mein Profil war zu generisch React-Entwickler. Mit Fokus auf Design-System-Architektur wurde ich plötzlich für Senior-Stellen relevant statt Mid-Level.“
Offene Positionen
Aktuelle CISO (Chief Information Security Officer)-Stellen.
Echte offene CISO (Chief Information Security Officer)-Mandate, die ADVERGY aktuell besetzt — viele davon remote. Der Klick führt direkt zur vollständigen Stelle & Bewerbung bei ADVERGY.
Keine passende Stelle dabei? Profil im Talent-Pool hinterlegen — wir melden uns, sobald eine passende (oft remote) CISO (Chief Information Security Officer)-Rolle frei wird.
Vermittlungen
Erfolgsgeschichten: So haben andere ihr Gehalt gesteigert.
Vermittlung Q1/2026
165.000 €→235.000 €
CISO (m, 44), 14 Jahre Security-Erfahrung, zuletzt CISO bei einem Maschinenbau-Mittelstand (850 MA) in Baden-Württemberg. Wechsel als CISO zu einem DAX-40-Automotive-Zulieferer (9.500 MA) in München. Ausschlaggebend: 22-monatiger NIS2-Rollout als dokumentierte Referenz plus CISSP + CISM + ISO-27001-Lead-Auditor. Neues Paket: 235.000€ Grundgehalt, 35% Zielbonus, 90.000€ LTI/Jahr (Performance-Shares, 3 Jahre Vesting), Firmenwagen E-Klasse, D&O-Versicherung 15 Mio. €, 35 Urlaubstage, Sabbatical-Option nach 3 Jahren. Gesamtvergütung Jahr 1: ca. 360.000€. Gehaltssprung Base +42%, Gesamtvergütung +65%. Vermittlungsdauer: 11 Wochen, 6 Gespräche inkl. Vorstandsrunde.
Vermittlung Q4/2025
195.000 €→285.000 €
CISO (w, 47), 16 Jahre Erfahrung. Wechsel von Versicherungsgruppe (Top-10 DE, CISO-Rolle seit 4 Jahren) als Group CISO zu einer Top-10-DACH-Bank in Frankfurt. Entscheidend waren BAIT-Auditor-Zertifikat, abgeschlossener DORA-Rollout bei der Vorgängerrolle und Executive-MBA (Frankfurt School). Neues Paket: 285.000€ Grundgehalt, 45% Zielbonus, 140.000€ LTI/Jahr (Phantom-Stocks, 3 Jahre deferred), Firmenwagen 7er BMW, D&O 20 Mio. €, Sign-on-Bonus 60.000€ netto (kompensiert verloren gehenden Vorjahresbonus), 40 Urlaubstage. Gesamtvergütung Jahr 1: ca. 510.000€. Vermittlungsdauer: 16 Wochen, 9 Gespräche inkl. Aufsichtsrats-Risk-Committee.
Vermittlung Q2/2025
140.000 €→185.000 €
Head of Security (m, 38), 11 Jahre Erfahrung bei einer Sparkasse. Wechsel als erster CISO zu einem Tech-Scale-up (1.800 MA, Series-D-finanziert) in Berlin mit Pre-IPO-Mandat. Ausschlaggebend: CISSP + CCSP + Erfahrung mit Regulatorik (BAIT) und proaktive Bewerbung auf explizite CISO-Aufwertung. Neues Paket: 185.000€ Grundgehalt, 25% Zielbonus, ESOP-Anteile (Nominal 180.000€ mit Exit-Potenzial 450–900k€ bei IPO), Home-Office 80%, 30 Urlaubstage, Executive-Coaching-Budget 12.000€/Jahr. Gesamtvergütung Jahr 1 inkl. pro-rata ESOP-Vesting: ca. 270.000€. Ausschlaggebender CV-Faktor: 2 dokumentierte SOC-2-Type-II-Audits plus ISO-27001-Zertifizierung beim Vorarbeitgeber. Vermittlungsdauer: 9 Wochen.
Verwandte Rollen
Ähnliche Tech-Berufsbilder.
Diese Tech-Profile passen thematisch zu CISO (Chief Information Security Officer) — vergleiche Gehälter und Karrierewege.
FAQ
Häufig gestellte Fragen zum CISO (Chief Information Security Officer) Gehalt.
Wie setzt sich ein CISO-Gehalt zusammen – Base, Bonus, LTI?
Ein CISO-Gesamtpaket besteht aus drei bis vier Komponenten, die bei Base-only-Vergleichen massiv unterschätzt werden. Base (Grundgehalt): typisch 130.000€ (Mittelstand) bis 320.000€ (DAX/Banking). Short-Term-Incentive (Bonus): 20–50% des Base, KPI-gekoppelt (ISO-Zertifizierung, Incident-Response-Zeit, Audit-Findings). Long-Term-Incentive (LTI): Performance-Shares, Phantom-Stocks oder Aktienoptionen mit 3 Jahren Vesting, typisch 40.000–150.000€/Jahr bei DAX und Big Tech. Nebenleistungen: D&O-Versicherung (5–25 Mio. € Deckung), Firmenwagen, BAV-Premium (10–12% vom Brutto), 30–40 Urlaubstage, Sign-on-Boni bei Wechsel (25–60k€ netto). Konkret: Ein DAX-40-CISO mit 220k Base hat typisch 365k Gesamtvergütung. Ein Banking-Group-CISO mit 285k Base liegt bei 500k+ Gesamtvergütung. Verhandle immer das Gesamtpaket, nicht nur die Base.
Warum zahlen Banken und Versicherungen CISOs 30–50% mehr als Industrie?
Drei Regulatorik-Treiber verzerren den Banking-/Versicherungs-Markt: Erstens ist DORA (Digital Operational Resilience Act) seit Januar 2025 verbindlich und verhängt bei Security-Versäumnissen Bußgelder bis 2% des Konzernumsatzes. Für eine Deutsche Bank sind das potenziell 500+ Mio. € – ein CISO-Jahrespaket von 400k€ ist dagegen eine triviale Versicherungsprämie. Zweitens verlangt die BaFin explizit benannte CISOs mit Mindesterfahrung, BAIT-/VAIT-Expertise und persönlicher Anzeigepflicht. Das verknappt den Bewerbermarkt massiv. Drittens leiden Banken unter strukturellem Talent-Abfluss Richtung Big Tech und Scale-ups – sie kontern mit Premium-Paketen. Konkret: Ein Banking-CISO bei Deutsche Bank oder Commerzbank liegt im Median bei 280k Base plus 40% Bonus (ADVERGY-Executive-Daten n=22, 2024–2026), gegenüber 230k bei DAX-Industrie und 170k im Mittelstand.
Was bedeutet NIS2 für CISO-Gehälter 2026?
NIS2 ist der größte Gehalts-Treiber für CISOs seit Einführung der DSGVO. Seit Oktober 2024 sind über 29.000 deutsche Unternehmen verpflichtet, eine benannte Security-Verantwortung auf Geschäftsführungs-Ebene zu etablieren – mit persönlicher Haftung der Geschäftsleitung (§ 38 NIS2UmsuCG). Unternehmen, die bisher einen IT-Security-Manager hatten, müssen nun Full-Scope-CISOs einstellen. Folge: Gehaltsboom von +18 bis +26% bei CISO-Rollen zwischen 2024 und 2026. Besonders gefragt: CISOs mit dokumentiertem NIS2-Durchführungs-Track-Record (+28 bis +38% Premium bei Wechsel) und KRITIS-Erfahrung (Energie, Wasser, Gesundheit, Verkehr – erweiterte NIS2-KRITIS-Pflichten seit Mai 2025). Konkreter Vermittlungs-Case: Ein CISO bei einem 850-MA-Mittelständler mit 22-monatigem NIS2-Rollout wechselte Q4/2025 zu einem DAX-40-Automotive-Zulieferer mit Base-Sprung 170k → 235k (+38%).
Wie realistisch ist Interim-CISO-Freelancing?
Sehr realistisch und 2026 einer der lukrativsten Freelance-Märkte überhaupt. Typische Tagessätze: Interim Head of Security 1.100–1.400 €/Tag, Interim CISO Mittelstand 1.400–1.800 €/Tag, Interim CISO Konzern/Banking 1.800–2.500 €/Tag, Post-Incident-Recovery-Mandate 2.500+ €/Tag. Bei 160 Auslastungstagen und 1.800€/Tag ergibt das 288.000€ Jahresumsatz vor Steuern, ca. 180.000€ netto (GmbH-Struktur). Die Nachfrage ist durch NIS2/DORA explodiert: 2026 schätzen wir 400+ offene Interim-CISO-Mandate in DACH. Zusatzeinnahmen: Advisory-Board-Mandate (20–80k€/Jahr bei 2–4 Mandaten), Expert-Witness-Honorare bei Schadensfällen (300–800 €/h). Risiken: Persönliche D&O-Haftung während Mandats, separate D&O-Versicherung zwingend (5–15k€/Jahr), NDA-Komplexität bei BaFin-Mandaten, Security-Clearance bei KRITIS-Mandaten (6–18 Monate Vorlauf). Option auf Festübernahme: Ca. 30% der Interim-CISO-Mandate enden in Festanstellung mit 220k+ Base.
CISO-Gehalt netto – was bleibt vom 220.000€-Paket übrig?
Bei einem Grundgehalt von 220.000€ (Mittelstand-Konzern-CISO) bleibt einem ledigen CISO in Steuerklasse 1 ca. 118.000–122.000€ netto pro Jahr (ca. 9.800–10.100€/Monat). In Steuerklasse 3 (verheiratet, Partner ohne Einkommen) sind es ca. 128.000–132.000€ netto. Bei 320.000€ Brutto (Top-Banking) liegt der Netto-Betrag bei ca. 165.000–170.000€ (Steuerklasse 1). Hinzu kommen geldwerte Vorteile mit hohem Nettoeffekt: Firmenwagen E-Klasse/7er (900–1.400€/Monat Nettoeffekt), BAV-Premium 10–12% (entspricht 22–38k€/Jahr Arbeitgeber-Leistung), D&O-Versicherung (nicht steuerpflichtig, Wert 5–15k€/Jahr), RSU-Aktienpakete bei Big Tech (geldwerter Vorteil 120–300k€/Jahr, versteuert zum Vesting), LTI-Performance-Shares (60–150k€/Jahr, versteuert nach 3 Jahren Vesting). In Summe liegt das effektive Gesamtvermögenszuwachs bei einem DAX-40-CISO mit 220k Base + 55k Bonus + 90k LTI bei ca. 210–230k netto/Jahr nach allen Abzügen und Arbeitgeber-Leistungen.
CISO mit 12 Jahren Erfahrung – was ist realistisch?
Mit 12 Jahren Security-Erfahrung bist Sie typisch bereit für die erste CISO-Rolle. Realistische Bandbreite 2026: CISO Mittelstand (500–2.000 MA) 150.000–185.000€ Base plus 20% Bonus. CISO Konzern (5.000–20.000 MA) 195.000–230.000€ Base plus 25–30% Bonus. Bei regulierter Branche (Banking, Versicherung) sind 220.000–260.000€ Base plus 30–40% Bonus realistisch. Voraussetzungen für schnelle Gehalts-Sprünge: CISSP + CISM oder CRISC, ISO-27001-Lead-Auditor-Zertifikat, nachweisbare Team-Führung (mindestens 5 direkte Reports), Budget-Verantwortung (>1 Mio. €), dokumentierter NIS2-Rollout oder ISO-27001-Erstzertifizierung. Tipp: Die 12-Jahres-Marke ist ideal für den Einstieg in Banking/Versicherung – DORA-Projekte suchen genau dieses Seniority-Level und zahlen die höchsten Premiums.
Welche Zertifizierungen sind CISO-Pflicht?
2026 haben sich vier Zertifizierungen als CISO-Pflicht etabliert: CISSP (ca. 4.400€ Invest) ist Grundlage – bei Banken und DAX-40-Unternehmen oft Einstellungsvoraussetzung. Gehalts-Impact +10–15%. CISM (ca. 2.800€) adressiert Governance und ist BaFin-bevorzugt für Banken/Versicherungen. Gehalts-Impact +12–18%. ISO 27001 Lead Auditor + Lead Implementer (ca. 5.200€ kombiniert) ist zentral für ISMS-Verantwortung und NIS2-Umsetzung. Gehalts-Impact +8–12%. Branchenspezifisch: BAIT/VAIT Auditor (ca. 3.500€) bringt im Banking +15–25% Premium, CRISC (ca. 2.500€) ist bei Risk-Fokus-CISOs Standard, CGEIT (ca. 2.800€) wertvoll für Group-CISO-Ambitionen. Struktureller Gehalts-Booster: Executive-MBA (WHU, Frankfurt School, INSEAD, ca. 45–80k€ Invest) – Executive-Search-Partner bevorzugen MBA-CISOs bei Boardroom-Mandaten, Premium +15%. Konkrete Amortisationszeit für das komplette Zertifizierungs-Paket (CISSP + CISM + ISO 27001 + MBA): 2–4 Jahre bei konsequenter Vergütungs-Verhandlung.
20 Städte
CISO (Chief Information Security Officer) Gehalt nach Stadt.
Finden Sie heraus, was ein CISO (Chief Information Security Officer) in Ihrer Stadt verdient.
Kostenloser Gehaltscheck
Persönliche Gehaltseinschätzung — kostenlos & unverbindlich.
Unsere IT-Berater melden sich mit Ihrem exakten Marktwert als CISO (Chief Information Security Officer), einem anonymen Peer-Vergleich und einer ehrlichen Einschätzung zum Wechselpotenzial.
- Individuelle Gehaltsspanne für CISO (Chief Information Security Officer)
- Anonymer Peer-Vergleich (Perzentile)
- Wechselpotenzial & Top-Arbeitgeber
Ihre Daten bleiben bei der ADVERGY GmbH
Danke für Ihre Anfrage!
Unsere IT-Recruiting-Experten melden sich bei Ihnen mit Ihrem exakten Marktwert, Peer-Vergleich und Wechselpotenzial.
Vertraulich · Keine Weitergabe
Transparenz
Quellen & Methodik.
Unsere Gehaltsdaten basieren auf mehreren unabhängigen Quellen. Mehr zu unserer Methodik
- Heidrick & Struggles Executive Report – Global CISO Compensation Report 2025, Abschnitt DACH (Heidrick & Struggles Executive Report)
- Kienbaum Vorstandsvergütung – Kienbaum Executive Compensation Studie 2025, C-Level IT-Security (Kienbaum Vorstandsvergütung)
- (ISC)² Cybersecurity Workforce Study – Globale Gehaltsstudie 2025, Abschnitt Security Leadership & Executive ((ISC)² Cybersecurity Workforce Study)
- BaFin Marktberichte DORA – BaFin Aufsichtsstatistik ICT-Risk-Governance 2025 (BaFin Marktberichte DORA)
- BSI-Lagebericht zur IT-Sicherheit – Bundesamt für Sicherheit in der Informationstechnik, Lagebericht 2025 (BSI-Lagebericht zur IT-Sicherheit)
- Bitkom Cybersecurity-Report – Bitkom Studie 2025 zu Cyber-Angriffen, CISO-Mangel und NIS2-Umsetzung (Bitkom Cybersecurity-Report)
- ADVERGY Executive-Search-Daten – Eigene Daten aus CISO- und Head-of-Security-Mandaten (n=22, 2024–2026)