StartseiteCISO Gehalt
Aktualisiert April 2026

CISO Gehalt 2026: 130.000 – 300.000 €

Aktuelle Executive-Gehaltsdaten für CISOs nach Unternehmensgröße, Branche und Regulatorik-Scope – basierend auf Heidrick & Struggles Executive Report, Kienbaum Vorstandsvergütung, (ISC)² Cybersecurity Workforce Study, BaFin-Marktdaten und eigenen Executive-Search-Mandaten.

130.000 €
CISO kleines Unternehmen 500–2.000 MA
180.000 €
CISO Mittelstand / großer Konzern
300.000 €
CISO DAX / Banking / Versicherung
CISO (Chief Information Security Officer) Gehalt 2026 — Auf einen Blick
Einstiegsgehalt
130.000 € brutto/Jahr
Median-Gehalt
180.000 € brutto/Jahr
Top-Gehalt
300.000 € brutto/Jahr
Top-Region
Hessen (Frankfurt) (212.400 € Median)
Top-Arbeitgeber
Big Tech (320.000 € Median)
Gehaltsrechner
Individuelles Gehalt berechnen →
Quelle: ADVERGY Vermittlungsdaten & Entgeltatlas 2026 · tech-gehalt.de
Mehr zu unserer Methodik →
Teilen: LinkedIn Facebook X

Gehaltsrechner: Was kannst du als CISO (Chief Information Security Officer) verdienen?

Berechne dein individuelles Gehalt basierend auf Region, Erfahrung, Arbeitgebertyp und Spezialisierung.

📊

Dein Gehaltscheck

In 30 Sekunden deinen Marktwert erfahren.

5 Jahre
Dein geschätzter Marktwert
Dein Gehalt Markt-Median

CISO (Chief Information Security Officer) Gehalt nach Bundesland

Die regionalen Unterschiede bei IT-Gehältern sind erheblich. Bayern und Baden-Württemberg führen dank der dichten Tech-Cluster in München und Stuttgart.

RegionEinstiegMedianTop
Hessen (Frankfurt)153.400 €212.400 €354.000 €
Bayern (München)145.600 €201.600 €336.000 €
Baden-Württemberg140.400 €194.400 €324.000 €
Hamburg140.400 €194.400 €324.000 €
Nordrhein-Westfalen130.000 €180.000 €300.000 €
Berlin124.800 €172.800 €288.000 €
Niedersachsen119.600 €165.600 €276.000 €
Bremen117.000 €162.000 €270.000 €
Schleswig-Holstein117.000 €162.000 €270.000 €
Rheinland-Pfalz117.000 €162.000 €270.000 €
Saarland114.400 €158.400 €264.000 €
Brandenburg114.400 €158.400 €264.000 €
Mecklenburg-Vorpommern110.500 €153.000 €255.000 €
Sachsen-Anhalt110.500 €153.000 €255.000 €
Thüringen110.500 €153.000 €255.000 €
Sachsen110.500 €153.000 €255.000 €

CISO (Chief Information Security Officer) Gehalt nach Erfahrung

Berufserfahrung ist der stärkste Gehaltshebel. So entwickelt sich dein Gehalt über die Jahre.

ErfahrungGehaltsspanneMedianTypische Rolle
Head of Security (8–12 Jahre)110.000 – 150.000 €130.000 €Head of Security unterhalb CISO, fachliche Führung 5–10 Personen, CIO-Reporting, noch kein Vorstands-Scope
CISO Mittelstand (10–14 Jahre)140.000 – 180.000 €158.000 €CISO bei 500–2.000 MA, Geschäftsführungs-Reporting, Budget 800k–2 Mio. €/Jahr, Team 3–8 Personen
CISO Konzern (12–18 Jahre)170.000 – 240.000 €195.000 €CISO 5.000–20.000 MA, Vorstands-Reporting (CIO/CFO), Budget 3–12 Mio. €/Jahr, Team 8–20 Personen
CISO Banking / Versicherung (15+ Jahre)220.000 – 320.000 €260.000 €CISO regulierte Branche, BaFin-Anzeigepflicht, DORA-Durchführung, Bonus 30–50%, Team 15–40 Personen
Group CISO / CSO DAX (18+ Jahre)280.000 – 450.000 €340.000 €Group CISO / CSO DAX-40, Aufsichtsrats-Reporting, LTI/Performance-Shares, Team 20–80 Personen, C-Level-nah
Gehalt nach Erfahrung: Junior Tech Gehalt Professional Tech Gehalt Senior Tech Gehalt Lead Tech Gehalt Manager Tech Gehalt

Du willst wissen, was DU verdienen kannst?

Kostenlose Gehaltseinschätzung in 2 Minuten -- basierend auf deinem Profil.

Gehalt jetzt checken

CISO (Chief Information Security Officer) Gehalt nach Arbeitgebertyp

Der Arbeitgebertyp bestimmt nicht nur das Gehalt, sondern auch Benefits, Karrierewege und Work-Life-Balance.

ArbeitgeberEinstiegMedianTopBenefits
Big Tech
Google Cloud, AWS, Microsoft, Meta (DACH-Regional-CISO)		220.000 €320.000 €520.000 €RSU-Aktienoptionen (120–250k/Jahr über 4 Jahre Vesting), Long-Term-Incentives, Workation 30+ Tage, Personal-Board-Coach, Private-Health-Insurance
Bank / Investmenthaus
Deutsche Bank, Commerzbank, DWS, LBBW, DZ Bank		210.000 €280.000 €420.000 €Bonus 30–50% des Base (deferred über 3 Jahre), BAV-Premium, Firmenwagen S-Klasse/7er, D&O-Versicherung, BaFin-Meldetatbestand-Zulage
Versicherung
Allianz, Munich Re, ERGO, Talanx, Gothaer		200.000 €260.000 €380.000 €Bonus 25–40%, Tarif/AT-Vertrag, BAV-Premium (12% vom Brutto), Firmenwagen, Versorgungsordnung Vorstand-nah, 30+ Urlaubstage
DAX-40-Konzern
Siemens, Telekom, BMW, BASF, Bayer, SAP, RWE, E.ON		180.000 €230.000 €340.000 €Bonus 20–35%, LTI-Performance-Shares (60–120k/Jahr), Firmenwagen gehoben, BAV, Gruppenunfall-Versicherung, Sabbatical-Option
Top-Beratung
KPMG Cyber, Accenture Security Lead, Deloitte Risk Advisory Partner		170.000 €220.000 €360.000 €Partner-Beteiligung (Equity), Bonus 25–40%, Mobilitätsbudget, internationale Mandate, Boardroom-Exposure
Mittelstand / Hidden Champion
Familienunternehmen, KRITIS-Mittelstand, Spezialisten (Secunet, Giesecke+Devrient)		135.000 €170.000 €220.000 €Direktzusage Altersversorgung, Firmenwagen, sehr lange Bindung, Gestaltungsspielraum, oft nur 1 Reporting-Ebene zur Inhaberfamilie
Scale-up / Unicorn
Celonis, Personio, N26, Trade Republic, Razor Group		150.000 €195.000 €320.000 €ESOP/VSOP-Anteile (Upside 100–500k+ bei Exit), flache Hierarchien, CEO-Reporting, Security-by-Design-Mandat
Öffentlicher Dienst / KRITIS-Staatlich
Bundesbehörden, Sparkassen-Finanzgruppe, Stadtwerke, Kommunaler IT-Dienstleister		105.000 €135.000 €165.000 €Unkündbarkeit, Pensionsansprüche, 30+ Urlaubstage, klare Arbeitszeiten, keine LTI aber stabile Laufbahn B6/B9
Insider-Tipp von ADVERGY

Der unterschätzteste Gehaltshebel 2026 ist der NIS2-Durchführungs-Track-Record. Wer nachweisbar ein NIS2-Compliance-Programm von Kickoff bis BSI-Audit-Readiness geführt hat, ist 2026 Goldwert – unsere Executive-Search-Daten zeigen Aufschläge von +28 bis +38% gegenüber CISOs ohne diesen Nachweis. Konkreter Fall aus Q4/2025: Ein CISO bei einem Maschinenbau-Mittelstand (850 MA, 170k Base) wechselte als CISO zu einem DAX-40-Automotive-Zulieferer – neues Paket 235k Base + 35% Bonus + 90k LTI/Jahr, Gesamtvergütung Jahr 1 ca. 360k. Der entscheidende Trigger war ein 22-monatiger NIS2-Rollout, den er in seiner vorherigen Rolle als dokumentierte Referenz mitbrachte. Zweiter unterschätzter Hebel: DORA-Banking-Zertifikat (BAIT/VAIT-Audit-Erfahrung plus DORA-Rollout). Banking-CISOs mit DORA-Durchführung verdienen 2026 typisch 240–290k Base plus 40–80% Bonus, also 340–520k Gesamtvergütung. Dritter Hebel: Interim-CISO-Mandate als Sprungbrett. Tagessätze 1.800–2.200 €/Tag sind 2026 Marktstandard bei 140–180 Auslastungstagen, also 250–400k Jahresumsatz – und oft mit Option auf Festübernahme zu 220k+ Base. Konkreter Rat: Wenn du als Head of Security in deinem Unternehmen die nächste Stufe nicht erreichst, ist der vertikale Wechsel in eine echte CISO-Position bei einem NIS2-getroffenen Mittelständler um das Dreifache wirkungsvoller als eine interne Gehaltsrunde – plus du sammelst den Track-Record für den späteren Sprung ins Banking oder DAX.

CISO-Gehälter 2026 — Executive-Premium durch NIS2, DORA und persönliche Haftung

Der deutsche CISO-Markt ist 2026 von einer regulatorisch getriebenen Gehaltsrevolution geprägt. Ein CISO verdient im Median 180.000€ Grundgehalt, inklusive Bonus und LTI liegt die Gesamtvergütung typisch bei 220.000–280.000€ (Quelle: Heidrick & Struggles CISO Report 2025, Kienbaum Executive Compensation, ADVERGY-Executive-Search-Daten n=22). Der wichtigste Treiber ist NIS2: Seit Oktober 2024 sind über 29.000 deutsche Unternehmen verpflichtet, eine benannte Security-Verantwortung auf Geschäftsführungs-Ebene zu etablieren – mit persönlicher Haftung der Geschäftsleitung (§ 38 NIS2UmsuCG). Die Folge: Unternehmen, die bisher nur einen IT-Security-Manager hatten, müssen 2025/2026 Full-Scope-CISOs einstellen. DORA ergänzt seit Januar 2025 im Finanzsektor die Anforderungen um ICT-Risk-Management, Third-Party-Risk und verpflichtendes Digital Operational Resilience Testing. Allein im DACH-Banking-Sektor sind laut BaFin über 450 CISO-Positionen neu zu besetzen oder aufzuwerten – Resultat: Banking-CISO-Gehälter sprangen 2024 → 2026 um +18 bis +26%.

Die zweite Gehalts-Treiberkraft ist die persönliche Haftung. Seit der NIS2-Umsetzung sehen deutsche Vorstände Cybersecurity nicht mehr als Kostenstelle, sondern als existenzielles D&O-Risiko: Bei nachweisbaren Security-Versäumnissen drohen persönliche Regresse gegen Vorstand und Geschäftsführung, Bußgelder bis 10 Mio. € oder 2% des weltweiten Konzernumsatzes und individuelle Strafverfolgung. Ein CISO mit nachweisbarem NIS2-Implementation-Track-Record ist dadurch zum Executive-Asset geworden – vergleichbar mit einem erfahrenen CFO. Heidrick & Struggles beziffert den durchschnittlichen CISO-Compensation-Jump von 2023 auf 2026 auf +24% bei C-Level-nahen Rollen in DAX-Unternehmen. Der BSI-Lagebericht 2025 dokumentiert 135 meldepflichtige Sicherheitsvorfälle allein bei KRITIS-Unternehmen (+42% gegenüber 2023), Ransomware-Schäden überstiegen 2,3 Mrd. € in Deutschland. Unter diesem Bedrohungsdruck wächst das strategische Gewicht der Rolle: 38% der neu besetzten CISO-Positionen berichten 2026 direkt an den Gesamtvorstand oder CEO, nicht mehr an CIO oder CFO.

Für dich als CISO oder Head of Security bedeutet das konkret: ADVERGY-Executive-Search-Daten zeigen, dass CISOs beim Wechsel im Schnitt +22% Gehaltssprung erzielen – bei DORA-Spezialisten im Banking sogar +28 bis +34%. Typische Base-Gehalts-Sprünge: 145k € → 180k € (Head of Security → CISO Mittelstand), 170k € → 215k € (CISO Mittelstand → CISO Konzern), 215k € → 275k € (CISO Konzern → CISO Banking/Versicherung). Hinzu kommen drei Executive-typische Vergütungsbestandteile, die Base-only-Vergleiche verzerren: Erstens Bonus/STI (20–50% des Base, oft an KPIs wie ISO-27001-Zertifizierung, Incident-Response-Zeit, Audit-Findings gekoppelt). Zweitens LTI/Long-Term-Incentives (Performance-Shares, Phantom-Shares, Aktienoptionen, typisch 40–150k €/Jahr bei DAX und Big Tech). Drittens Haftungs-Zuschläge und D&O-Versicherungen (bei BaFin-anzeigepflichtigen Rollen zunehmend separate Zulagen von 15–30k €/Jahr, plus erweiterte D&O-Deckung von 5–25 Mio. €).

Welche Faktoren bestimmen das Gehalt eines CISO (Chief Information Security Officer)?

Unternehmensgröße: 500 MA vs. 50.000 MA sind 200%+ Unterschied

Der größte Gehaltshebel bei CISOs ist die Größe der zu schützenden Organisation. CISOs kleinerer Unternehmen (500–2.000 MA) verdienen im Median 158.000€ Base. CISOs von Konzernen mit 20.000–50.000 MA liegen bei 230–280k Base. Group CISOs in DAX-40-Konzernen mit 50.000+ MA erreichen 300–450k Base plus LTI-Pakete. Grund: Mit wachsender Organisation steigen Team-Größe (3 vs. 30 vs. 80 Personen), Budget-Verantwortung (1 Mio. vs. 12 Mio. vs. 45 Mio. €/Jahr) und Angriffsfläche exponentiell.

Branche: Banking und Versicherung +30–50% über Industrie

Regulierte Finanzunternehmen zahlen 2026 strukturell die höchsten CISO-Gehälter. Ein CISO bei Deutsche Bank, Commerzbank oder Allianz verdient im Median 280k Base plus 30–50% Bonus – Gesamtvergütung 360–420k. Industrie-CISOs bei DAX-40-Unternehmen liegen bei 230k Base plus 20–35% Bonus. Treiber: DORA-Compliance mit Bußgeldern bis 2% Konzernumsatz, BaFin-Anzeigepflicht für Security-Rollen, strukturelle Konkurrenz zu Big Tech um Top-Talent.

Regulatorik: NIS2-Durchführung, DORA-Kompetenz, KRITIS-Expertise

Nach NIS2 (Oktober 2024) und DORA (Januar 2025) sind regulatorisch versierte CISOs die knappste Ressource am Markt. Wer einen nachweisbaren NIS2-Rollout geführt hat (Risk-Management, Business-Continuity, Incident-Response-Pflichten, Lieferketten-Security), kann +15–25% auf das Basisgehalt aufschlagen. DORA-Banking-Zertifikat plus BAIT/VAIT-Audit-Erfahrung bedeutet strukturell +25–35%. KRITIS-Erfahrung (Energie, Wasser, Gesundheit, Finanzen) bei Unternehmen, die seit Mai 2025 erweiterten NIS2-KRITIS-Pflichten unterliegen, ergibt zusätzlich +10–15%.

Zertifizierung und Ausbildung: CISSP plus MBA als Executive-Standard

CISSP (Pflicht-Grundlage) und CISM (Management-Fokus) sind 2026 Mindeststandard für CISO-Rollen bei Unternehmen >2.000 MA. Die Kombination CISSP + CISM + ISO-27001-Lead-Auditor bringt laut ADVERGY-Daten +12–18% auf das Basisangebot. Ein MBA (insbesondere mit Focus auf Risk-Management, z.B. WHU, HHL, Insead) wirkt als struktureller Boost: Executive-Search-Partner bevorzugen MBA-CISOs bei Boardroom-Mandaten – durchschnittliches Premium +15% gegenüber technisch gleich qualifizierten Kollegen ohne MBA.

Vergütungsstruktur: Base vs. Bonus vs. LTI – der Gesamtpaket-Effekt

CISO-Gehälter wirken auf den ersten Blick niedriger als sie sind, weil Base-only-Vergleiche 30–50% der Gesamtvergütung ausblenden. Ein DAX-CISO bei 220k Base hat typisch 25% Zielbonus (55k), LTI-Performance-Shares (75k/Jahr über 3 Jahre Vesting) und D&O/BAV-Pakete im Wert von ca. 15k – Gesamtpaket 365k. Bei Banking liegt der Bonus-Anteil höher (30–50%), bei Big Tech dominieren RSU-Aktienpakete (oft 150–300k/Jahr). Verhandle immer das Gesamtpaket, nicht nur Base.

Karrierepfad: Vom Junior zum Top-Verdiener

Stufe 1: Information Security Manager
85.000 – 125.000 €
7–10 Jahre

Fachliche Verantwortung für ISO-27001-Audits, ISMS-Betrieb, Policy-Management und operative Security-Koordination. Berichtet an CIO oder IT-Leiter. Noch keine Budget-Hoheit, aber erste Personalführung (2–4 Personen). Typisch in Mittelstand und KRITIS.

Stufe 2: Head of Security (Pre-CISO)
110.000 – 150.000 € + 15% Bonus
10–13 Jahre

Leitung eines Security-Teams von 5–10 Personen, direkte Budget-Verantwortung (500k–2 Mio. €), CIO-Reporting. Verantwortet SOC, Vulnerability-Management, IAM und Security-Engineering. Aufbau der Fähigkeiten für CISO-Sprung: Governance, Board-Reporting, Cyber-Risk-Quantifizierung.

Stufe 3: CISO Mittelstand
140.000 – 180.000 € + 20% Bonus
12–15 Jahre

Gesamtverantwortung für Informationssicherheit bei 500–2.000 MA, Geschäftsführungs-Reporting, Budget 800k–2 Mio. €/Jahr, Team 3–8 Personen. NIS2-Durchführung, ISO-27001-Erstzertifizierung, Cyber-Versicherungs-Governance, Lieferketten-Security.

Stufe 4: CISO Konzern / Banking
170.000 – 280.000 € + 25–40% Bonus + LTI
14–18 Jahre

CISO bei 5.000–20.000 MA oder bei regulierter Bank/Versicherung. Vorstands-Reporting, Budget 3–12 Mio. €/Jahr, Team 8–20 Personen. DORA-Umsetzung, BaFin-Anzeigepflicht, Aufsichtsrats-Präsentationen zu Cyber-Risikolage, Red-/Blue-Team-Governance.

Stufe 5: Group CISO / CSO DAX / CSO Big Tech DACH
280.000 – 450.000 € + 30–50% Bonus + 100–300k LTI
18+ Jahre

Gesamt-Group-Verantwortung in DAX-40-Unternehmen oder Regional-CSO bei Big Tech. Aufsichtsrats-Zugang, Team 20–80 Personen, Budget 15–50 Mio. €/Jahr, LTI-Pakete (Performance-Shares, Phantom-Stocks). Strategische Mitgestaltung Produkt-Security, M&A-Due-Diligence, Global-Posture.

Verhandlungstipp

CISO-Verhandlungstaktik ist fundamental anders als bei Senior-Engineer-Gesprächen. Es geht nicht um ein Gehalt, sondern um ein Executive-Paket aus Base, Bonus, LTI, D&O und persönlichen Governance-Rechten. Drei Szenarien mit konkreten Dollar-Zahlen und Skripten: (1) Szenario 'Head of Security → CISO Mittelstand' (Sprung 140k → 170k Base plus 20% Bonus): Der entscheidende Hebel ist Evidenz persönlicher Governance-Reife, nicht operative Security-Kennzahlen. Bringe drei Bausteine ins Erstgespräch: (a) Ein eigenhändig an den CIO/Vorstand präsentiertes Cyber-Risk-Dashboard (Zeig Screenshot anonymisiert im Call). (b) Ein ISO-27001- oder TISAX-Audit, das du durchgeführt hast, mit dokumentiertem Gap-Analysis-Bericht. (c) Ein Incident-Response-Case, bei dem du Board-Kommunikation geführt hast. Diese Nachweise verankern dich als bereit für Vorstands-Reporting und rechtfertigen 25–30k über Erstangebot. Verhandle zusätzlich: Budget-Autorität schriftlich fixiert (mindestens 2 Mio. €/Jahr), Team-Aufbau-Mandat (Recruiting-Kompetenz für 3 neue Security-Stellen), externe D&O-Versicherung (Deckung min. 5 Mio. €, Arbeitgeber-finanziert), Executive-Coaching-Budget (6–10k/Jahr), Teilnahme an ISACA Global Conference oder Black Hat EU (Wert 7–12k/Jahr). Einstiegsfrage-Skript: 'Bevor wir über Vergütung sprechen – welche Reporting-Linie haben Sie für diese Rolle vorgesehen? Direkt an den CEO oder über den CIO?' Wenn CEO-Reporting: Forderung +15% gegenüber CIO-Reporting ist marktgerecht. (2) Szenario 'CISO Mittelstand → CISO Konzern/Banking' (Sprung 170k → 230k Base plus 30% Bonus plus 60k LTI): Hier zählt der Track-Record quantifizierbarer Security-Outcomes. Bereite Präsentation mit drei Kernzahlen vor: (a) Größe des von dir gemanagten Security-Programms (Budget, Team, Endpoints, Cloud-Accounts). (b) Regulatorische Erfolge (NIS2-Rollout, ISO-27001-Zertifizierung, BaFin-Audit ohne Findings). (c) Business-Impact-Metriken (MTTR-Reduktion, verhinderte Incidents, Cyber-Versicherungs-Prämien-Reduzierung). Konkretes Zahlenbeispiel: 'In meiner aktuellen Rolle habe ich ein 4,2 Mio. € Security-Budget verantwortet, ein 12-köpfiges Team aufgebaut, einen 18-monatigen NIS2-Rollout abgeschlossen und die MTTR von 42 auf 6 Stunden reduziert. Für vergleichbaren Scope in Ihrem DAX-Umfeld liegt der Marktpreis bei 230k Base, 30% Zielbonus und LTI-Beteiligung – mit Gesamtvergütung Jahr 1 bei ca. 310–340k.' Verhandle zusätzlich: Performance-Shares oder Phantom-Stocks (40–80k/Jahr über 3 Jahre Vesting), garantierter Bonus in Jahr 1 (mindestens 50% des Ziels, unabhängig von KPIs), Sign-on-Bonus (typisch 25–60k netto, kompensiert verloren gehenden Vorjahresbonus), Firmenwagen gehobene Mittelklasse (E-Klasse/5er) oder Mobilitätsbudget (1.500–2.000 €/Monat), 35 Urlaubstage, Sabbatical-Option nach 3 Jahren, BAV-Direktzusage (12% vom Brutto), Executive-Search-Firm für dein Abgangs-Recruiting mit 50k Budget. (3) Szenario 'CISO Konzern → Group CISO DAX' (Sprung 230k → 320k Base plus 40% Bonus plus 150k LTI): Hier verhandelst du auf Vorstands-Niveau und brauchst einen Executive-Coach oder Executive-Search-Partner als Verstärker. Die drei entscheidenden Gesprächsbausteine: (a) Deine Aufsichtsrats-Referenzen (Namen und Positionen von Personen, denen du berichtet hast). (b) Dein strategischer Werte-Pitch ('So würde ich in den ersten 100 Tagen die Cyber-Posture diagnostizieren und die Top-3-Risiken adressieren'). (c) Dein Netzwerk-Kapital (BSI-Kontakte, BaFin-Beziehungen, Cyber-Versicherungs-Gutachter, Kollegen-CISOs als Peer-Referenz). Verhandle ein echtes Executive-Paket: Base 300–340k, Performance-Shares mit Drei-Jahres-Vesting (Zielwert 150–250k/Jahr), Bonus-Obergrenze offen (typisch 50–70% bei Outperformance), D&O-Versicherung mit 15–25 Mio. € Deckung, Chauffeur-Service oder S-Klasse-/Executive-Car, separate Kranken-Versicherung (Private Health + International-Care), Sekretariats-Support (0,5–1 FTE), Kommunikationspauschale, 40 Urlaubstage plus Sabbatical, Executive-MBA-Finanzierung (WHU, Insead, wenn nicht vorhanden, 80–120k Wert). Anti-Patterns bei CISO-Verhandlungen: Verankere nicht mit deinem alten Gehalt ('Ich liege aktuell bei 195k'), sondern mit Markt-Benchmarks ('Heidrick & Struggles weist für vergleichbaren Scope 280–340k aus'). Verhandle niemals nur Base – nutze immer das Gesamtpaket als Verhandlungsmasse. Bei Wechsel in regulierte Branche: Lasse dir D&O-Erweiterung, BaFin-Meldepflichten-Zulage und individuelle Rechtsschutz-Versicherung schriftlich zusichern, bevor du den Vertrag unterschreibst.

Zertifizierungs-Roadmap für CISO (Chief Information Security Officer)

Welche Zertifizierungen bringen wirklich Gehalt? Kosten, Dauer und realistischer Gehaltsimpact.

CISSP – Certified Information Systems Security Professional
(ISC)²
Schwer
Kosten
~4.400 € (Prüfung 900€ + Kurs 3.500€)
Dauer
6–9 Monate
Gehalt+
+10–15%

Pflicht-Grundlage für CISO-Rollen ab Mittelstand aufwärts. Die 8 CBK-Domains decken Governance, Asset-Security, Architecture, Network-Security, IAM, Security-Assessment, Operations und Software-Security ab. Bei Banken und DAX-40-Unternehmen ist CISSP oft Einstellungsvoraussetzung für Security-Führungskräfte. Amortisiert sich bei Executive-Rollen binnen 3–6 Monaten über höhere Base-Gehälter.

CISM – Certified Information Security Manager
ISACA
Mittel-Schwer
Kosten
~2.800 € (Prüfung 800€ + Kurs ~2.000€)
Dauer
4–6 Monate
Gehalt+
+12–18%

Die Management-Fokus-Zertifizierung für angehende CISOs. Vier Domains: Information Security Governance, Risk Management, Program Development & Management, Incident Management. Besonders wertvoll für den Übergang in Governance- und Board-Reporting-Rollen. Bei Banken und Versicherungen teils Pflicht-Zertifizierung für CISO-Positionen, da BaFin-Anforderungen dies erwarten.

ISO 27001 Lead Auditor / Lead Implementer
BSI, TÜV, PECB, IRCA
Mittel
Kosten
~5.200 € (2 Kurse plus Prüfungen)
Dauer
8–10 Tage Kurse + Prüfungen
Gehalt+
+8–12%

Die zentrale ISMS-Zertifizierungs-Doppelkombination für CISOs. Lead Implementer befähigt zum Aufbau eines ISMS von der grünen Wiese, Lead Auditor zur externen Audit-Durchführung. Seit ISO 27001:2022-Update mit reduziertem Annex-A (93 statt 114 Controls) und neuen Themes (Threats, Organization, People, Physical, Technology) neu gefragt. Voraussetzung für NIS2-Compliance-Projekte und KRITIS-Zertifizierungen.

CRISC – Certified in Risk and Information Systems Control
ISACA
Mittel-Schwer
Kosten
~2.500 € (Prüfung 800€ + Kurs ~1.700€)
Dauer
4–6 Monate
Gehalt+
+6–10%

Die spezialisierte Risk-Management-Zertifizierung für CISOs mit strategischem Risk-Mandat. Deckt Risk Identification, Assessment, Response und Monitoring ab. Besonders wertvoll bei regulierten Branchen (Banking, Versicherung, KRITIS), wo Cyber-Risk-Quantifizierung (FAIR-Methode, Bayesian Risk Models) zunehmend eine Board-Pflicht ist.

CGEIT – Certified in the Governance of Enterprise IT
ISACA
Schwer
Kosten
~2.800 € (Prüfung 800€ + Kurs ~2.000€)
Dauer
6 Monate
Gehalt+
+6–10%

Die Governance-Zertifizierung für C-Level-Kommunikation und strategische IT-Steuerung. Fünf Domains: Governance of Enterprise IT, IT Resources, Benefits Realization, Risk Optimization, Resource Optimization. Besonders wertvoll für CISOs, die in Richtung CIO, COO oder CSO-Konzern-Rollen aufsteigen wollen. Bei ADVERGY-Executive-Mandaten beobachten wir CGEIT-Holder in 30% der Group-CISO-Rollen.

BAIT / VAIT Auditor Banking-/Versicherungs-IT
BdB, GDV-Schulungen, PECB Financial
Schwer
Kosten
~3.500 € (BAFA-zertifizierter Kurs + Prüfung)
Dauer
8–10 Tage + Prüfung
Gehalt+
+15–25% (im Banking)

Die wichtigste Banking-Spezial-Zertifizierung für CISOs in regulierten Finanzhäusern. BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT) sind BaFin-Pflichtrahmen. Kombiniert mit DORA-Training ein Gehalts-Booster von 25–35% im Banking-Segment. 2026 akute Nachfrage, <200 Träger:innen in DACH.

MBA (Executive MBA mit IT-/Risk-Fokus)
WHU, HHL, INSEAD, IESE, Frankfurt School
Sehr schwer
Kosten
~45.000–80.000 €
Dauer
18–24 Monate berufsbegleitend
Gehalt+
+15–20% (struktureller Boost)

Der Executive-MBA ist 2026 das Unterscheidungsmerkmal für CISO-Kandidaten bei DAX-40- und Banking-Mandaten. Executive-Search-Partner bevorzugen MBA-CISOs bei Boardroom-Rollen – Premium +15% gegenüber technisch gleich qualifizierten Kollegen ohne MBA. Besonders wertvoll: WHU Düsseldorf (Risk-Management-Focus), Frankfurt School (Banking-Focus), INSEAD (International). Amortisiert sich binnen 3–4 Jahren durch höhere Exec-Positionen.

CCSP – Certified Cloud Security Professional
(ISC)²
Schwer
Kosten
~3.200 € (Prüfung 650€ + Kurs ~2.500€)
Dauer
4–6 Monate
Gehalt+
+5–8%

Cloud-Governance-Zertifizierung für CISOs, deren Unternehmen zunehmend Cloud-Workloads (AWS, Azure, GCP) regulatorisch absichern müssen. Sechs Domains: Cloud Concepts, Architecture, Design, Operations, Legal & Compliance. Weniger technisch als AWS Security Specialty, dafür methodisch für Governance-Ebene ausgelegt. Gute Ergänzung zu CISSP + CISM für Hybrid-/Multi-Cloud-Umgebungen.

Typische Projekte: Was ein CISO (Chief Information Security Officer) wirklich macht

Diese Projekt-Archetypen dominieren den Alltag – mit Volumen, Dauer und konkreten Lernpunkten.

NIS2-Umsetzung DAX-40-Konzern
Volumen:14,5 Mio € Programm-Budget
Dauer:24 Monate (3 Phasen)
ServiceNow GRCOneTrust NIS2 ModuleTenable Nessus EnterpriseMicrosoft SentinelGovernance-Toolchain (Archer)

Vollständige NIS2-Umsetzung für einen DAX-40-Industriekonzern mit 58.000 MA und 142 Tochtergesellschaften in 34 Ländern. Als CISO verantwortest du: Cyber-Risk-Governance-Framework (Mapping aller 142 Töchter auf NIS2-Essential/Important-Kategorien), Incident-Reporting-Workflow (BSI-Meldung innerhalb 24h bei Early-Warning, 72h bei Incident-Notification, 1-Monat bei Final-Report), Lieferketten-Security-Register für 4.200 kritische Lieferanten, Business-Continuity-Plans für 85 Produktionsstandorte, Awareness-Programm für 58.000 Mitarbeiter. Persönliche Governance-Reife: Direkte Vorstandsberichte alle 6 Wochen, Aufsichtsrats-Präsentationen quartalsweise. CV-Wert: Premium-Referenz für Group-CISO-Rollen, rechtfertigt +20–30% Gehaltssprung bei nächster Rolle.

DORA-Readiness Top-10-Bank DACH
Volumen:22 Mio € Programm-Budget
Dauer:18 Monate
Archer IRMServiceNow GRCSplunk Enterprise SecurityOneTrust DORAVeracodeBitSight Third-Party-Risk

Vollständige DORA-Compliance-Umsetzung für eine Top-10-DACH-Bank mit 28.000 MA und 340 kritischen IT-Dienstleistern. Als CISO führst du das DORA-Programm-Office mit 45 FTE über 18 Monate. Kernbausteine: ICT-Risk-Management-Framework nach Art. 5-15 DORA, ICT-Incident-Reporting an BaFin (2h-Vorab, 72h-Zwischen-, 1-Monat-Abschlussbericht), Third-Party-Risk-Management (Due-Diligence, Exit-Strategien, Concentration-Risk-Analyse), Digital Operational Resilience Testing inkl. Threat-Led Penetration Testing (TLPT) koordiniert mit Red-Team und BaFin, Information-Sharing-Arrangements mit Peer-Banks. Strategische Hebel: Direkt-Reporting an CRO und Vorstand, Aufsichtsrats-Risk-Committee-Präsentationen, BaFin-Prüfungs-Begleitung. CV-Wert: Öffnet Türen zu Group-CISO-Rollen in Banking/Versicherung mit 300k+ Base.

Zero-Trust-Transformation Versicherungskonzern
Volumen:18,5 Mio € Programm-Budget
Dauer:30 Monate (5 Phasen)
Zscaler ZPA EnterpriseMicrosoft Entra ID GovernancePalo Alto Prisma AccessCrowdStrike Falcon Identity ProtectionOkta IGASailPoint IdentityNow

Enterprise-weite Zero-Trust-Transformation eines Versicherungskonzerns mit 42.000 MA und 180 Außenstandorten. Als CISO übernimmst du Portfolio-Management über 5 parallele Teilprojekte: Identity-Konsolidierung (AD-Cleanup 280k Accounts), Mikrosegmentierung von 45 Geschäftsbereichen, Device-Trust-Policies für 52.000 Endgeräte, kontextbasierte Zugriffskontrolle mit Risk-Scoring, Just-in-Time-Admin-Access für 3.200 privilegierte Rollen. Besondere Komplexität: VAIT-Compliance während der Transformation, Migration ohne Außendienst-Disruption, Change-Management für 42.000 Nutzer. Projekt-Referenz für Banking/Versicherungs-CISO-Rollen, rechtfertigt bei nächster Vergütungs-Verhandlung +25–35%.

IPO-Security-Posture Scale-up (SEC S-1-Readiness)
Volumen:4,2 Mio € Budget + 1,8 Mio. €/Jahr Tooling
Dauer:14 Monate Pre-IPO
Wiz CNAPPVanta SOC 2 AutomationOneTrust PrivacySnyk EnterpriseOkta IGAMicrosoft Sentinel

Vollständige Security-Posture-Readiness für IPO eines deutschen Tech-Scale-ups mit 1.800 MA. Als CISO verantwortest du den Aufbau von null auf SEC-S-1-Readiness in 14 Monaten: SOC 2 Type II Zertifizierung (Trust Services Criteria für Security, Availability, Confidentiality), ISO 27001:2022 Erstzertifizierung, DSGVO-Audit mit BfDI-Stresstest-Simulation, Cyber-Due-Diligence für Banking-Syndikat (Goldman Sachs, JPM, Deutsche Bank), Security-Sektion im S-1-Prospekt mit persönlicher Underwriter-Affidavit. Besonderheit: Direkt-Reporting an CEO und CFO, wöchentliche Pre-IPO-Governance-Calls, Roadshow-Mitwirkung mit Banking-Analysten. ESOP-Anteile bei erfolgreichem IPO üblich: 100–500k€ Upside-Potenzial.

Cyber-Incident-Response Ransomware-Großangriff KRITIS
Volumen:8,5 Mio € Krisenbudget (+ 3 Mio. € Folgebudget)
Dauer:6 Monate Krisenmodus + 12 Monate Hardening
Mandiant Incident ResponseCrowdStrike Falcon CompleteMicrosoft SentinelKPMG ForensicsCoveware Negotiation-Support

Als CISO eines KRITIS-Energieversorgers mit 7.200 MA führst du die Krisenbewältigung nach LockBit-4.0-Ransomware-Angriff mit 42TB verschlüsselten Daten. Phase 1 (Tage 1–21): Krisenstab-Führung mit Vorstand, BSI-Meldekette (24h/72h-Fristen), Containment via EDR-Shutdown, juristische Koordination für Lösegeld-Verhandlungen (nicht gezahlt), Kundenkommunikation über 180 B2B-Kunden. Phase 2 (Monate 2–6): Restore aus Offline-Backups, forensische Aufklärung durch Mandiant, Insurance-Claim mit Munich Re (7,2 Mio. € Regulierung), BSI-Abschlussbericht, Parlamentarische Anhörung im Wirtschaftsausschuss. Phase 3 (Monate 7–18): Zero-Trust-Hardening, Security-Budget-Verdreifachung, Team-Verdopplung von 14 auf 28 FTE. Karriere-Impact: Größter CV-Hebel überhaupt für CISO-Rolle – öffnet Türen zu DAX-40 und Banking mit 280k+ Base.

Freelancer-Tagessätze als CISO (Chief Information Security Officer)

Selbstständig als CISO (Chief Information Security Officer) arbeiten? Hier die realistischen Tagessätze nach Erfahrungsstufe.

Tagessätze als Freelance-CISO (Chief Information Security Officer)

Basierend auf ADVERGY-Vermittlungsdaten und Marktbeobachtung 2026.

Junior (2–5 J.)
1.100–1.400 €/Tag (Interim Head of Security)
€/Tag (netto)
Senior (5–10 J.)
1.400–1.800 €/Tag (Interim CISO Mittelstand)
€/Tag (netto)
Lead / Principal
1.800–2.500 €/Tag (Interim CISO Konzern/Banking)
€/Tag (netto)
Typische Auslastung: 140–180 verrechenbare Tage/Jahr, viele Mandate parallel (2–3 kleinere oder 1 großes Mandat). Bei 1.800€/Tag und 160 Tagen ergibt das 288.000€ Jahresumsatz vor Steuern. Interim-CISOs kombinieren oft Executive-Search-Beirats-Mandate mit Interim-Rollen.

Vorteile

  • Premium-Tagessätze im Executive-Segment: Banking-Interim-CISOs erreichen 2.200–2.500 €/Tag, Post-Incident-Recovery-Mandate 2.500+ €/Tag
  • Extrem hohe Nachfrage durch NIS2/DORA: 2026 sind geschätzt 400+ Interim-CISO-Mandate unbesetzt in DACH
  • Mandatsauswahl: Post-Incident-Recovery, M&A-Security-Due-Diligence, IPO-Readiness, NIS2-Programm-Leitung
  • Steuerliche Optimierung über GmbH/UG, besonders ab 250k+ Jahresumsatz
  • Beirats-/Advisory-Board-Mandate als lukrativer Zusatzverdienst (20–80k€/Jahr bei 2–4 Mandaten)
  • Option auf Festübernahme: Ca. 30% der Interim-CISO-Mandate enden in Festanstellung mit 220k+ Base

Nachteile

  • D&O-Haftungsrisiko: Interim-CISOs sind persönlich haftbar für NIS2-/DORA-Versäumnisse während des Mandats – separate D&O-Versicherung zwingend (Kosten 5–15k€/Jahr)
  • NDA- und Compliance-Komplexität: BaFin-Mandate erfordern Offenlegungen, KRITIS-Mandate Security-Clearance (6–18 Monate Vorlauf)
  • 24/7-Incident-Bereitschaft: Bei Krisenmandaten keine freien Wochenenden, teils 12–16h-Tage
  • Keine bezahlte Krankheit/Urlaub (min. 30–40k€/Jahr Puffer einplanen)
  • Reputationsrisiko: Öffentlich gewordene Incidents während Mandat belasten CV und erschweren Folge-Mandate
  • Scheinselbstständigkeits-Risiko bei Langzeit-Mandaten (>18 Monate) beim selben Kunden

Remote-Work-Anteil als CISO (Chief Information Security Officer)

Wie viel Homeoffice ist branchenüblich? Unterschiede nach Arbeitgebertyp im Überblick.

ArbeitgebertypRemote-Anteil
Große Beratungshäuser
Accenture, Deloitte, PwC, EY		40–60%
End-Kunden / Industrie
Projektarbeit vor Ort häufig gewünscht		20–40%
Inhouse-Konzerne
BMW, Siemens, BASF, Deutsche Bahn		20–40% (Hybrid-Standard)
Freelancer
Eigenverantwortlich mit Kunden verhandelt		50–70%
Gehalts-Impact: CISOs akzeptieren im Durchschnitt 3–8% weniger Grundgehalt für substantielles Remote-Package (3+ Tage Homeoffice). Bei Banking und DAX-40 ist Full-Presence oft nicht verhandelbar, weil Board-Proximität als kritisch gilt. Bei Scale-ups und Big Tech ist Remote Standard und bietet eher Premium (+3–5%). Verhandlungshebel 2026: Tausche 1–2 Präsenz-Tage gegen 'Executive-Retreat-Privileg' (1 Woche pro Quartal im Firmensitz statt 2 Tage pro Woche) – das wird bei 60% der Mittelständler akzeptiert.

Fach- oder Führungskarriere? Zwei Wege zum Top-Gehalt

Als CISO (Chief Information Security Officer) hast du zwei Hauptpfade – jeder mit eigenem Gehaltsniveau und Anforderungsprofil.

Fachkarriere
Security Fellow / Chief Security Scientist / Principal CISO
200.000 – 320.000 € + LTIab 15 Jahren Erfahrung
In Deutschland sehr selten, primär bei Big Tech DACH (Google, AWS, Microsoft) oder spezialisierten Cyber-Research-Firmen (Crowdstrike, Mandiant EMEA): Technisch-strategische Thought-Leadership ohne Personalführung. Du wirst zur Identifikationsfigur für technische Security-Strategie, publizierst CVE-Research, sprichst auf BSI-Kongress, RSA, Black Hat. Kein P&L-Mandat, dafür globaler Einfluss und Autorenschaft. In klassischen DAX-Unternehmen praktisch nicht existent – eher als Advisory-Board-Funktion.
  • Mindestens 3 Group-CISO- oder DAX-CISO-Rollen vor der Fellow-Position
  • Minimum 5 publizierte CVEs oder Lead-Autorenschaft an Industrie-Standards (MITRE ATT&CK, NIST)
  • Speaker-Referenzen auf Top-5-Konferenzen (RSA Conference, Black Hat, DEFCON, BSI, ISSA)
  • Publikationen in führenden Fachmedien (iX, Heise Security, SANS-Whitepapers, O'Reilly-Bücher)
  • Internationales Netzwerk auf Peer-CISO-Ebene, Aufsichtsrats-Mandate in 1–3 Unternehmen
Führungskarriere
COO Security-Firma / CEO Security-Scale-up / Next CxO-Role (CIO, CTO, CEO)
320.000 – 700.000 € + Equity/Performance-Sharesab 18 Jahren Erfahrung
Der typische Sprung eines erfolgreichen CISOs in den Unternehmensvorstand: COO oder CEO einer Security-Firma (z.B. Secunet, NCP, G Data), CEO eines Security-Scale-ups (oft mit Equity-Upside bei Exit), oder Übergang in CIO-/CTO-/CEO-Rollen im ursprünglichen Industrie-Sektor. Der CISO-Hintergrund ist in diesen Rollen ein differenzierendes Asset, weil Cyber-Risk zur zentralen Unternehmenssteuerungs-Dimension geworden ist. Reporting typisch an Aufsichtsrat oder Board of Directors, Gesamtvergütung bei erfolgreichen Exits in Scale-ups kann 1–5 Mio. € erreichen.
  • Mindestens 5 Jahre als CISO in DAX-40, Banking oder Scale-up mit +1.000 MA
  • Nachgewiesenes P&L-Management (>50 Mio. € Security-Ausgaben oder Security-Produkt-Umsatz)
  • Executive MBA oder gleichwertige Executive-Ausbildung (WHU, INSEAD, IESE)
  • Internationale Erfahrung (EU-weit oder globaler Rollout)
  • Board-Readiness-Zertifikat (z.B. WHU Aufsichtsrats-Programm, Kienbaum Board-Academy)
  • Öffentliches Profil: LinkedIn 15.000+ Follower, 3–5 Aufsichtsrats-Mandate, Keynote-Slot bei BSI-Kongress oder RSA

Aktuelle IT-Positionen

Offene Stellen im Bereich CISO (Chief Information Security Officer) – jetzt bewerben und Gehalt steigern.

Executive
CISO (m/w/d) – DAX-40-Industriekonzern
📍 München · 🏢 DAX-40 · 💰 240–280k + 30% Bonus + 90k LTI
240 – 280k €/Jahr Base
Bewerben als CISO
Top-Mandat
Group CISO (m/w/d) – Top-10-Bank DACH
📍 Frankfurt · 🏢 Top-10 Bank · 💰 280–320k Base + 40% Bonus
280 – 320k €/Jahr Base
Bewerben als Group CISO
DORA-Premium
CISO (m/w/d) – Versicherungsgruppe
📍 Hamburg · 🏢 Top-5 Versicherung · 💰 220–260k + 35% Bonus
220 – 260k €/Jahr Base
Bewerben als CISO
NIS2
CISO (m/w/d) – Mittelstand Maschinenbau (1.800 MA)
📍 Stuttgart · 🏢 Weltmarktführer · 💰 170–195k + 20% Bonus
170 – 195k €/Jahr Base
Bewerben als CISO
Interim
Interim CISO (m/w/d) – Post-Incident-Recovery KRITIS
📍 Essen · 🏢 KRITIS-Energieversorger · 💰 2.200 €/Tag
2.200 €/Tag
Bewerben als Interim CISO
Equity
CISO (m/w/d) – Tech-Scale-up Pre-IPO
📍 Berlin · 🏢 Unicorn · 💰 210k + ESOP (Exit-Upside 300k+)
210 – 240k €/Jahr Base + ESOP
Bewerben als CISO

Erfolgsgeschichten: So haben andere ihr Tech-Gehalt gesteigert

Vermittlung Q1/2026
165.000 €235.000 €

CISO (m, 44), 14 Jahre Security-Erfahrung, zuletzt CISO bei einem Maschinenbau-Mittelstand (850 MA) in Baden-Württemberg. Wechsel als CISO zu einem DAX-40-Automotive-Zulieferer (9.500 MA) in München. Ausschlaggebend: 22-monatiger NIS2-Rollout als dokumentierte Referenz plus CISSP + CISM + ISO-27001-Lead-Auditor. Neues Paket: 235.000€ Grundgehalt, 35% Zielbonus, 90.000€ LTI/Jahr (Performance-Shares, 3 Jahre Vesting), Firmenwagen E-Klasse, D&O-Versicherung 15 Mio. €, 35 Urlaubstage, Sabbatical-Option nach 3 Jahren. Gesamtvergütung Jahr 1: ca. 360.000€. Gehaltssprung Base +42%, Gesamtvergütung +65%. Vermittlungsdauer: 11 Wochen, 6 Gespräche inkl. Vorstandsrunde.

Vermittlung Q4/2025
195.000 €285.000 €

CISO (w, 47), 16 Jahre Erfahrung. Wechsel von Versicherungsgruppe (Top-10 DE, CISO-Rolle seit 4 Jahren) als Group CISO zu einer Top-10-DACH-Bank in Frankfurt. Entscheidend waren BAIT-Auditor-Zertifikat, abgeschlossener DORA-Rollout bei der Vorgängerrolle und Executive-MBA (Frankfurt School). Neues Paket: 285.000€ Grundgehalt, 45% Zielbonus, 140.000€ LTI/Jahr (Phantom-Stocks, 3 Jahre deferred), Firmenwagen 7er BMW, D&O 20 Mio. €, Sign-on-Bonus 60.000€ netto (kompensiert verloren gehenden Vorjahresbonus), 40 Urlaubstage. Gesamtvergütung Jahr 1: ca. 510.000€. Vermittlungsdauer: 16 Wochen, 9 Gespräche inkl. Aufsichtsrats-Risk-Committee.

Vermittlung Q2/2025
140.000 €185.000 €

Head of Security (m, 38), 11 Jahre Erfahrung bei einer Sparkasse. Wechsel als erster CISO zu einem Tech-Scale-up (1.800 MA, Series-D-finanziert) in Berlin mit Pre-IPO-Mandat. Ausschlaggebend: CISSP + CCSP + Erfahrung mit Regulatorik (BAIT) und proaktive Bewerbung auf explizite CISO-Aufwertung. Neues Paket: 185.000€ Grundgehalt, 25% Zielbonus, ESOP-Anteile (Nominal 180.000€ mit Exit-Potenzial 450–900k€ bei IPO), Home-Office 80%, 30 Urlaubstage, Executive-Coaching-Budget 12.000€/Jahr. Gesamtvergütung Jahr 1 inkl. pro-rata ESOP-Vesting: ca. 270.000€. Ausschlaggebender CV-Faktor: 2 dokumentierte SOC-2-Type-II-Audits plus ISO-27001-Zertifizierung beim Vorarbeitgeber. Vermittlungsdauer: 9 Wochen.

Verwandte IT-Berufsbilder

Diese IT-Profile passen thematisch zu CISO (Chief Information Security Officer) – vergleiche Gehälter und Karrierewege.

Senior Security Engineer
98.000 €
Median-Gehalt 2026
Senior Security Engineer Gehalt →
Cloud-Architekt AWS
112.000 €
Median-Gehalt 2026
Cloud-Architekt AWS Gehalt →
Teilen: LinkedIn

Häufig gestellte Fragen zum CISO (Chief Information Security Officer) Gehalt

Wie setzt sich ein CISO-Gehalt zusammen – Base, Bonus, LTI?
Ein CISO-Gesamtpaket besteht aus drei bis vier Komponenten, die bei Base-only-Vergleichen massiv unterschätzt werden. Base (Grundgehalt): typisch 130.000€ (Mittelstand) bis 320.000€ (DAX/Banking). Short-Term-Incentive (Bonus): 20–50% des Base, KPI-gekoppelt (ISO-Zertifizierung, Incident-Response-Zeit, Audit-Findings). Long-Term-Incentive (LTI): Performance-Shares, Phantom-Stocks oder Aktienoptionen mit 3 Jahren Vesting, typisch 40.000–150.000€/Jahr bei DAX und Big Tech. Nebenleistungen: D&O-Versicherung (5–25 Mio. € Deckung), Firmenwagen, BAV-Premium (10–12% vom Brutto), 30–40 Urlaubstage, Sign-on-Boni bei Wechsel (25–60k€ netto). Konkret: Ein DAX-40-CISO mit 220k Base hat typisch 365k Gesamtvergütung. Ein Banking-Group-CISO mit 285k Base liegt bei 500k+ Gesamtvergütung. Verhandle immer das Gesamtpaket, nicht nur die Base.
Warum zahlen Banken und Versicherungen CISOs 30–50% mehr als Industrie?
Drei Regulatorik-Treiber verzerren den Banking-/Versicherungs-Markt: Erstens ist DORA (Digital Operational Resilience Act) seit Januar 2025 verbindlich und verhängt bei Security-Versäumnissen Bußgelder bis 2% des Konzernumsatzes. Für eine Deutsche Bank sind das potenziell 500+ Mio. € – ein CISO-Jahrespaket von 400k€ ist dagegen eine triviale Versicherungsprämie. Zweitens verlangt die BaFin explizit benannte CISOs mit Mindesterfahrung, BAIT-/VAIT-Expertise und persönlicher Anzeigepflicht. Das verknappt den Bewerbermarkt massiv. Drittens leiden Banken unter strukturellem Talent-Abfluss Richtung Big Tech und Scale-ups – sie kontern mit Premium-Paketen. Konkret: Ein Banking-CISO bei Deutsche Bank oder Commerzbank liegt im Median bei 280k Base plus 40% Bonus (ADVERGY-Executive-Daten n=22, 2024–2026), gegenüber 230k bei DAX-Industrie und 170k im Mittelstand.
Was bedeutet NIS2 für CISO-Gehälter 2026?
NIS2 ist der größte Gehalts-Treiber für CISOs seit Einführung der DSGVO. Seit Oktober 2024 sind über 29.000 deutsche Unternehmen verpflichtet, eine benannte Security-Verantwortung auf Geschäftsführungs-Ebene zu etablieren – mit persönlicher Haftung der Geschäftsleitung (§ 38 NIS2UmsuCG). Unternehmen, die bisher einen IT-Security-Manager hatten, müssen nun Full-Scope-CISOs einstellen. Folge: Gehaltsboom von +18 bis +26% bei CISO-Rollen zwischen 2024 und 2026. Besonders gefragt: CISOs mit dokumentiertem NIS2-Durchführungs-Track-Record (+28 bis +38% Premium bei Wechsel) und KRITIS-Erfahrung (Energie, Wasser, Gesundheit, Verkehr – erweiterte NIS2-KRITIS-Pflichten seit Mai 2025). Konkreter Vermittlungs-Case: Ein CISO bei einem 850-MA-Mittelständler mit 22-monatigem NIS2-Rollout wechselte Q4/2025 zu einem DAX-40-Automotive-Zulieferer mit Base-Sprung 170k → 235k (+38%).
Wie realistisch ist Interim-CISO-Freelancing?
Sehr realistisch und 2026 einer der lukrativsten Freelance-Märkte überhaupt. Typische Tagessätze: Interim Head of Security 1.100–1.400 €/Tag, Interim CISO Mittelstand 1.400–1.800 €/Tag, Interim CISO Konzern/Banking 1.800–2.500 €/Tag, Post-Incident-Recovery-Mandate 2.500+ €/Tag. Bei 160 Auslastungstagen und 1.800€/Tag ergibt das 288.000€ Jahresumsatz vor Steuern, ca. 180.000€ netto (GmbH-Struktur). Die Nachfrage ist durch NIS2/DORA explodiert: 2026 schätzen wir 400+ offene Interim-CISO-Mandate in DACH. Zusatzeinnahmen: Advisory-Board-Mandate (20–80k€/Jahr bei 2–4 Mandaten), Expert-Witness-Honorare bei Schadensfällen (300–800 €/h). Risiken: Persönliche D&O-Haftung während Mandats, separate D&O-Versicherung zwingend (5–15k€/Jahr), NDA-Komplexität bei BaFin-Mandaten, Security-Clearance bei KRITIS-Mandaten (6–18 Monate Vorlauf). Option auf Festübernahme: Ca. 30% der Interim-CISO-Mandate enden in Festanstellung mit 220k+ Base.
CISO-Gehalt netto – was bleibt vom 220.000€-Paket übrig?
Bei einem Grundgehalt von 220.000€ (Mittelstand-Konzern-CISO) bleibt einem ledigen CISO in Steuerklasse 1 ca. 118.000–122.000€ netto pro Jahr (ca. 9.800–10.100€/Monat). In Steuerklasse 3 (verheiratet, Partner ohne Einkommen) sind es ca. 128.000–132.000€ netto. Bei 320.000€ Brutto (Top-Banking) liegt der Netto-Betrag bei ca. 165.000–170.000€ (Steuerklasse 1). Hinzu kommen geldwerte Vorteile mit hohem Nettoeffekt: Firmenwagen E-Klasse/7er (900–1.400€/Monat Nettoeffekt), BAV-Premium 10–12% (entspricht 22–38k€/Jahr Arbeitgeber-Leistung), D&O-Versicherung (nicht steuerpflichtig, Wert 5–15k€/Jahr), RSU-Aktienpakete bei Big Tech (geldwerter Vorteil 120–300k€/Jahr, versteuert zum Vesting), LTI-Performance-Shares (60–150k€/Jahr, versteuert nach 3 Jahren Vesting). In Summe liegt das effektive Gesamtvermögenszuwachs bei einem DAX-40-CISO mit 220k Base + 55k Bonus + 90k LTI bei ca. 210–230k netto/Jahr nach allen Abzügen und Arbeitgeber-Leistungen.
CISO mit 12 Jahren Erfahrung – was ist realistisch?
Mit 12 Jahren Security-Erfahrung bist du typisch bereit für die erste CISO-Rolle. Realistische Bandbreite 2026: CISO Mittelstand (500–2.000 MA) 150.000–185.000€ Base plus 20% Bonus. CISO Konzern (5.000–20.000 MA) 195.000–230.000€ Base plus 25–30% Bonus. Bei regulierter Branche (Banking, Versicherung) sind 220.000–260.000€ Base plus 30–40% Bonus realistisch. Voraussetzungen für schnelle Gehalts-Sprünge: CISSP + CISM oder CRISC, ISO-27001-Lead-Auditor-Zertifikat, nachweisbare Team-Führung (mindestens 5 direkte Reports), Budget-Verantwortung (>1 Mio. €), dokumentierter NIS2-Rollout oder ISO-27001-Erstzertifizierung. Tipp: Die 12-Jahres-Marke ist ideal für den Einstieg in Banking/Versicherung – DORA-Projekte suchen genau dieses Seniority-Level und zahlen die höchsten Premiums.
Welche Zertifizierungen sind CISO-Pflicht?
2026 haben sich vier Zertifizierungen als CISO-Pflicht etabliert: CISSP (ca. 4.400€ Invest) ist Grundlage – bei Banken und DAX-40-Unternehmen oft Einstellungsvoraussetzung. Gehalts-Impact +10–15%. CISM (ca. 2.800€) adressiert Governance und ist BaFin-bevorzugt für Banken/Versicherungen. Gehalts-Impact +12–18%. ISO 27001 Lead Auditor + Lead Implementer (ca. 5.200€ kombiniert) ist zentral für ISMS-Verantwortung und NIS2-Umsetzung. Gehalts-Impact +8–12%. Branchenspezifisch: BAIT/VAIT Auditor (ca. 3.500€) bringt im Banking +15–25% Premium, CRISC (ca. 2.500€) ist bei Risk-Fokus-CISOs Standard, CGEIT (ca. 2.800€) wertvoll für Group-CISO-Ambitionen. Struktureller Gehalts-Booster: Executive-MBA (WHU, Frankfurt School, INSEAD, ca. 45–80k€ Invest) – Executive-Search-Partner bevorzugen MBA-CISOs bei Boardroom-Mandaten, Premium +15%. Konkrete Amortisationszeit für das komplette Zertifizierungs-Paket (CISSP + CISM + ISO 27001 + MBA): 2–4 Jahre bei konsequenter Vergütungs-Verhandlung.

CISO (Chief Information Security Officer) Gehalt nach Stadt

Finde heraus, was ein CISO (Chief Information Security Officer) in deiner Stadt verdient.

Berlin Hamburg München Köln Frankfurt am Main Stuttgart Düsseldorf Leipzig Dortmund Essen Bremen Dresden Hannover Nürnberg Duisburg Bochum Wuppertal Bielefeld Bonn Münster
In welchem IT-Bereich arbeitest du?

Wähle dein Fachgebiet – wir finden passende Positionen.

CISO Mittelstand (500–2.000 MA)
CISO Konzern (5.000–20.000 MA)
CISO Banking / Versicherung
Group CISO / CSO DAX
Interim CISO / Post-Incident-Recovery
Head of Security (Pre-CISO)
CISO Scale-up / Pre-IPO
Öffentlicher Dienst / KRITIS-Staatlich
Erzähl uns mehr über dich

Damit wir dir die besten Angebote machen können.

Fast geschafft!

Noch eine letzte Frage – was ist dein aktuelles Gehalt?

Vielen Dank!

Wir melden uns schnellstmöglich bei dir mit einer persönlichen Gehaltseinschätzung.

Optional: Noch bessere Ergebnisse

Mit Lebenslauf können wir dir sofort passende Positionen vorschlagen – vertraulich und kostenlos.

Jetzt anrufen WhatsApp

Quellen & Methodik

Unsere Gehaltsdaten basieren auf mehreren unabhängigen Quellen. Mehr zu unserer Methodik

Fragen? Schreib uns!
Gehalt checken