„GenAI-Premium war für mich abstrakt bis Hannes mir die Zahlen gezeigt hat: Wer LLM-Integration nachweisen kann verdient 18 bis 25 Prozent mehr als reine Backend-Profile. Ich habe in zwei Wochen ein Side-Projekt mit RAG-Stack gebaut und damit den Sprung von 92k auf 116k geschafft.“
Aktualisiert Juni 2026
IT-Sicherheitsexperte Gehalt 2026: 70.000 – 125.000 €
Aktuelle Gehaltsdaten für IT-Sicherheitsexperten und Information Security Manager nach Region, Erfahrung und Arbeitgebertyp – basierend auf echten Vermittlungsdaten der ADVERGY GmbH.
70.000 €
3–5 Jahre IT-Security
88.000 €
Senior-Level 5–8 Jahre
125.000 €
Head of / Information Security Manager
Ihr Marktwert
Live Geschätzte Spanne
— – — €/Jahr
Median — · Basis: IT-Sicherheitsexperte / Information Security Manager 2026
Auf einen Blick
IT-Sicherheitsexperte / Information Security Manager Gehalt 2026
- Einstiegsgehalt
- 70.000 € brutto/Jahr
- Median-Gehalt
- 88.000 € brutto/Jahr
- Top-Gehalt
- 125.000 € brutto/Jahr
- Top-Region
- Hessen (Frankfurt) (101.200 € Median)
- Top-Arbeitgeber
- Big Tech (108.000 € Median)
- Gehaltsrechner
- Individuelles Gehalt berechnen →
Quelle: basierend auf echten Vermittlungsdaten der ADVERGY GmbH · Methodik ansehen
Regionaler Vergleich
IT-Sicherheitsexperte / Information Security Manager Gehalt nach Bundesland.
Regionale Unterschiede bei IT- und Tech-Gehältern sind deutlich. München, Stuttgart und Frankfurt führen mit den größten Tech-Arbeitgebern und einer dichten Startup-Szene.
| Region | Einstieg | Median | Top |
|---|---|---|---|
| Hessen (Frankfurt) | 80.500 € | 101.200 € | 143.750 € |
| Bayern (München) | 78.400 € | 98.560 € | 140.000 € |
| Baden-Württemberg | 75.600 € | 95.040 € | 135.000 € |
| Hamburg | 74.200 € | 93.280 € | 132.500 € |
| Nordrhein-Westfalen | 70.000 € | 88.000 € | 125.000 € |
| Berlin | 68.600 € | 86.240 € | 122.500 € |
| Niedersachsen | 65.800 € | 82.720 € | 117.500 € |
| Bremen | 64.400 € | 80.960 € | 115.000 € |
| Schleswig-Holstein | 64.400 € | 80.960 € | 115.000 € |
| Rheinland-Pfalz | 64.400 € | 80.960 € | 115.000 € |
| Saarland | 63.000 € | 79.200 € | 112.500 € |
| Brandenburg | 63.000 € | 79.200 € | 112.500 € |
| Mecklenburg-Vorpommern | 61.600 € | 77.440 € | 110.000 € |
| Sachsen-Anhalt | 61.600 € | 77.440 € | 110.000 € |
| Thüringen | 61.600 € | 77.440 € | 110.000 € |
| Sachsen | 61.600 € | 77.440 € | 110.000 € |
Erfahrungsstufen
IT-Sicherheitsexperte / Information Security Manager Gehalt nach Erfahrung.
Berufserfahrung ist der stärkste Gehaltshebel. So entwickelt sich Ihr Gehalt über die Jahre.
| Erfahrung | Gehaltsspanne | Median | Typische Rolle |
|---|---|---|---|
| Junior IT-Sicherheits-Specialist (2–4 Jahre) | 58.000 – 75.000 € | 66.000 € | Junior Security-Specialist, Policy-Mitarbeit, Security-Awareness-Trainings, Vulnerability-Management-Tickets, Mentoring durch Senior-Experte. Vorbereitung auf BSI IT-Grundschutz-Praktiker oder CompTIA Security+ |
| IT-Sicherheitsexperte (4–6 Jahre) | 72.000 – 90.000 € | 80.000 € | Eigenverantwortliche Policy-Erstellung, Koordination Penetration-Tests, Security-Awareness-Programm, SIEM-Triage, Incident-Response-Koordination, ISO 27001 Lead Implementer in Vorbereitung |
| Senior IT-Sicherheitsexperte / ISM (6–9 Jahre) | 86.000 – 108.000 € | 96.000 € | ISMS-Verantwortung, ISO 27001-Zertifizierungen vorbereiten, Risiko-Analysen, Vendor-Security-Assessments, Reporting an CISO, Mentoring Junior-Specialists |
| Lead ISM / Banking Information Security Manager (9–12 Jahre) | 100.000 – 128.000 € | 115.000 € | Banking-Information-Security (BAIT/VAIT), Vorstands-Reporting, NIS2-Programmleitung, Aufbau von ISM-Teams, Audit-Koordination mit externen Prüfern |
| Head of Information Security / CISO-Stv. (12+ Jahre) | 120.000 – 165.000 € | 138.000 € | Head of Information Security, Führung 4–10 Security-Experten, Budget-Verantwortung 1,5–4 Mio. €/Jahr, Aufsichtsrats-Reporting, Sprungbrett zur CISO-Rolle |
Sie wollen wissen, was DU verdienen können?
Kostenlose Einschätzung in 2 Minuten — basierend auf Ihrem Profil.
Arbeitgebertypen
IT-Sicherheitsexperte / Information Security Manager Gehalt nach Arbeitgeber.
Der Arbeitgebertyp bestimmt nicht nur das Gehalt, sondern auch Benefits, Projekte und Karrierewege in der IT und im Tech-Umfeld.
| Arbeitgeber | Einstieg | Median | Top | Benefits |
|---|---|---|---|---|
| Big Tech Google Cloud, AWS Frankfurt, Microsoft, Meta | 85.000 € | 108.000 € | 155.000 € | RSU-Aktienoptionen (35–65k/Jahr), 30+ Urlaubstage, Workation global, Zertifizierungsbudget 10k/Jahr, Black Hat EU + RSA Conference EU |
| Bank / Versicherung Deutsche Bank, Allianz, Munich Re, Commerzbank, DZ Bank | 84.000 € | 105.000 € | 150.000 € | Tarifvertrag oder AT-Vertrag, 30+ Urlaubstage, BAV 6–9% vom Brutto, Bonus 15–20%, ISMS-Team-Verantwortung ab Senior, 40–55% Remote, Firmenwagen ab Lead |
| DAX-Konzern Siemens, Telekom, BMW, BASF, Bayer, SAP, RWE | 80.000 € | 100.000 € | 142.000 € | Tarifvertrag, 30 Urlaubstage, Betriebsrente, Firmenwagen ab Senior, Inhouse-Awareness-Programme, Speaker-Budget 5k/Jahr |
| Beratung KPMG Cyber, Accenture Security, Deloitte, PwC, HiSolutions | 77.000 € | 96.000 € | 132.000 € | Schnelle Karrierepfade (Senior nach 3 Jahren), internationale ISMS-Projekte, Zertifizierungsbudget 10k/Jahr, Partner-Pfad nach 10+ Jahren |
| KRITIS (Energie, Wasser, Krankenhaus) E.ON, RWE, EnBW, Stadtwerke, Universitätskliniken | 75.000 € | 95.000 € | 128.000 € | Hohe Arbeitsplatzsicherheit, Tarifvertrag, 30+ Urlaubstage, BAV, klare Arbeitszeiten, IT-Sicherheitsgesetz-Meldewesen als CV-Asset |
| Spezialisierter Mittelstand Hidden Champions, Familienunternehmen, Healthcare-Unternehmen | 66.000 € | 83.000 € | 115.000 € | Stabile Festverträge, echte ISMS-Ownership, oft voll Remote möglich, klare Projektpläne für ISO-27001-Zertifizierungen |
| Öffentlicher Dienst / Behörden BSI, Landesbehörden, ITZBund, BwI, Sparkassen-Finanzgruppe | 62.000 € | 77.000 € | 105.000 € | Verbeamtung möglich (A13/A14), TVöD, 30+ Urlaubstage, Pensionsansprüche, Security-Clearance als Asset, stabile Laufbahn |
Insider-Tipp von ADVERGY
Der unterschätzteste Gehaltshebel 2026 für IT-Sicherheitsexperten: die Kombination aus CISSP plus ISO 27001 Lead Implementer plus einer Branchen-spezifischen Referenz. Unsere Vermittlungsdaten zeigen klar – ein IT-Sicherheitsexperte mit nur CISSP verdient im Median 88k, mit zusätzlich ISO 27001 Lead Implementer springt der Median auf 98k (+11%), mit zusätzlich einer dokumentierten NIS2- oder KRITIS-Referenz auf 108k (+23%). Die Kombination CISSP + ISO 27001 LI + NIS2-/KRITIS-Referenz ist 2026 das profitabelste Portfolio für ISM-Rollen – mittlere Vermittlung solcher Profile: 112.000€ versus 88.000€ ohne diese Kombination (n=19). Zweiter unterschätzter Hebel: Security-Awareness-Programme mit messbaren Outcomes dokumentieren. Ein abgeschlossenes Awareness-Programm mit 12.000+ Mitarbeitern, nachweisbarer Phishing-Klickrate-Reduktion um 45% oder einem erfolgreichen Tabletop-Exercise-Programm ist im Vermittlungsgespräch 8–12% wert. Viele IT-Sicherheitsexperten verkaufen sich hier unter Wert, weil sie ihre Programme nicht in harten Zahlen (Teilnehmer, Klickraten, Meldequoten, Zeit bis Incident-Meldung) darstellen. Dritter Hebel: Banking oder KRITIS als Branchen-Premium. Bei DAX-Industriekonzernen oder Beratungen verdienst du in der Rolle selten über 105k, bei Banken und Versicherungen ab 110k im Median, in KRITIS (Energieversorger, Krankenhäuser) ab 95k. Konkreter Rat: Wenn du aktuell bei einem Mittelständler bei 78k sitzt und die CISSP-Pipeline durchziehst, plane 18 Monate – nach CISSP + einem ISO-27001-Rezertifizierungs-Projekt wechselst du mit 92–98k in ein KRITIS-Unternehmen oder zur Versicherung.
Markt & Trends
IT-Sicherheitsexperte-Gehälter 2026 — NIS2 macht Generalisten gefragter denn je
Der Arbeitsmarkt für IT-Sicherheitsexperten und Information Security Manager ist 2026 der breiteste Teilmarkt innerhalb der deutschen IT-Security. Ein IT-Sicherheitsexperte verdient im Median 88.000€ brutto pro Jahr, Senior-Rollen als Information Security Manager (ISM) liegen bei 96.000€, Lead-Positionen bei 115.000€ (Quelle: ADVERGY-Daten n=32). Drei strukturelle Treiber sichern die Gehälter ab: Erstens NIS2, seit Oktober 2024 für über 29.000 deutsche Unternehmen verpflichtend – jedes braucht eine benannte Sicherheitsverantwortung und etablierte ISMS-Strukturen. Die Rolle des IT-Sicherheitsexperten ist damit die breitesten gesuchteste im gesamten Security-Arbeitsmarkt. Zweitens die ISO 27001:2022-Transition, die bis Oktober 2025 alle zertifizierten Organisationen zur Rezertifizierung gezwungen hat. Drittens der anhaltende Fachkräftemangel: Die (ISC)² Workforce Study 2025 beziffert die offene Cybersecurity-Lücke in Europa auf 400.000 Stellen, davon ca. 137.000 in Deutschland.
Der BSI-Lagebericht 2025 dokumentiert eine dramatische Bedrohungslage: Ransomware-Angriffe auf deutsche Unternehmen stiegen 2025 um 42% gegenüber 2023, Social-Engineering und Phishing bleiben der häufigste Angriffsvektor (laut Bitkom bei 68% aller erfolgreichen Attacken). Diese Statistik treibt direkt die Nachfrage nach Security-Awareness-Programmen, die Domäne des IT-Sicherheitsexperten – laut ADVERGY-Daten erzielen IT-Sicherheitsexperten mit nachweisbarer Awareness-Program-Erfahrung (>5.000 geschulte Mitarbeiter, dokumentierte Phishing-Simulation-Klickrate-Reduktion um 40%+) Gehaltsaufschläge von 8–12%. Parallel wächst die KRITIS-Nachfrage: Mit der NIS2-Ausdehnung auf weitere Sektoren (u.a. Abfallwirtschaft, Lebensmittelproduktion, Chemie) verdoppelt sich die Anzahl regulierter KRITIS-Unternehmen in DE auf rund 5.800. Jedes davon braucht einen IT-Sicherheitsexperten oder Information Security Manager.
Für dich als IT-Sicherheitsexperte bedeutet das konkret: Laut ADVERGY-Vermittlungsdaten erzielen wechselwillige IT-Sicherheitsexperten im Schnitt +18% Gehaltssprung gegenüber internen Gehaltsrunden – typische Sprünge sind 78k → 92k oder 96k → 115k. Das Year-over-Year-Wachstum liegt 2024 → 2026 bei +8 bis +12%, deutlich über dem allgemeinen IT-Wachstum von +3 bis +5%. Besonders gefragt sind drei Profile: Banking-ISM mit BAIT/VAIT-Erfahrung (+12–18% Premium), KRITIS-ISM mit IT-Sicherheitsgesetz-2.0-Erfahrung (+10–15% Premium) und NIS2-Programm-Leads bei Mittelständlern (+10–14% Premium). Die Rolle ist ideal für Generalisten, die nicht zu tief in eine Nische (Red Team, Cloud, IAM) abtauchen wollen, sondern breite Security-Verantwortung übernehmen möchten.
Gehaltshebel
Welche Faktoren bestimmen das Gehalt ein IT-Sicherheitsexperte / Information Security Manager?
Branche: Banking und Versicherung schlagen Industrie um 8–14%
IT-Sicherheitsexperten bei Deutsche Bank, Commerzbank oder Allianz verdienen im Median 105.000€ – rund 5% über DAX-Industrie (100.000€) und 22–26% über spezialisiertem Mittelstand (83.000€). Treiber ist die BaFin-Regulierung mit MaRisk, BAIT, VAIT und DORA, die Information Security Manager-Funktionen als regulatorische Pflichtrollen definieren. Banken und Versicherungen zahlen Premium-Gehälter als Versicherungsprämie gegen Compliance-Bußgelder.
Zertifizierungen: CISSP, CISM und ISO 27001 LI als Basis
Die CISSP-Zertifizierung bringt laut ADVERGY-Daten einen Gehalts-Aufschlag von 10–15% und ist bei größeren Mittelständlern, Banken und Beratungen oft Voraussetzung ab Senior-Level. CISM wirkt +10–14%, besonders für ISM-Rollen mit Management-Ambitionen. ISO 27001 Lead Implementer wirkt +8–12%, besonders für ISMS-Aufbau-Projekte. Die Trias CISSP + CISM + ISO 27001 LI erreicht 108.000€ im Median (n=14).
Awareness-Programme: Messbare Outcomes als Premium
Security-Awareness ist die am meisten unterschätzte Domäne innerhalb der ISM-Rolle. Ein dokumentiertes Awareness-Programm mit nachweisbarer Reduktion der Phishing-Klickrate von 22% auf 6% über 12 Monate ist im Vermittlungsgespräch 8–12% wert. Grund: Social Engineering und Phishing sind laut Bitkom bei 68% aller erfolgreichen Attacken der Einstiegspunkt – ein funktionierendes Awareness-Programm hat direkten Business-Impact auf Incident-Häufigkeit.
Branchen-Nische: NIS2-KRITIS als Sonderfall
Mit der NIS2-Ausdehnung auf weitere Sektoren (Abfallwirtschaft, Chemie, Lebensmittelproduktion, Hersteller von Medizinprodukten) verdoppelt sich die Anzahl regulierter KRITIS-Unternehmen in DE auf rund 5.800. Wer bereits IT-Sicherheitsgesetz-2.0-Meldewesen gemacht hat, verdient bei KRITIS-Unternehmen 10–15% über Industrie-Median. Besonders profitabel: Energieversorger und Krankenhäuser, wo die regulatorische Tiefe besonders groß ist.
Region: Frankfurt und München mit Premium
Frankfurt (Hessen) führt 2026 bei IT-Sicherheitsexperten-Gehältern: Median 101.200€, getrieben durch Banking und EZB. München (Bayern) folgt mit 98.560€ durch Allianz, Munich Re und BMW. Hamburg liegt bei 93.280€, Berlin überraschend nur bei 86.240€ – hoher Startup-Anteil drückt Mediane. In Ostdeutschland sind Gehälter 12–15% unter Bundesdurchschnitt, Öffentlicher Dienst (BSI, Landesbehörden) zahlt nach TVöD typisch 15–20% unter Konzernniveau.
Karrierepfad
Vom Einstieg zum Top-Verdiener.
Stufe 1: Junior IT-Sicherheits-Specialist
58.000 – 75.000 €
2–4 Jahre
Einstieg aus System-Administration, Informatik-Studium oder Support-Rollen. Policy-Mitarbeit, Security-Awareness-Trainings, Vulnerability-Management-Tickets, Mentoring durch Senior-Experte. Vorbereitung auf BSI IT-Grundschutz-Praktiker oder CompTIA Security+.
Stufe 2: IT-Sicherheitsexperte
72.000 – 90.000 €
4–6 Jahre
Eigenverantwortliche Policy-Erstellung, Koordination Penetration-Tests mit externen Dienstleistern, Security-Awareness-Programm, SIEM-Triage, Incident-Response-Koordination. Zertifizierung ISO 27001 Lead Implementer oder CISSP in Vorbereitung.
Stufe 3: Senior IT-Sicherheitsexperte / Information Security Manager
86.000 – 108.000 €
6–9 Jahre
ISMS-Verantwortung, ISO 27001-Zertifizierungen vorbereiten, Risiko-Analysen, Vendor-Security-Assessments, Reporting an CISO, Mentoring Junior-Specialists. Zertifizierung CISM oder CRISC.
Stufe 4: Lead ISM / Banking Information Security Manager
100.000 – 128.000 €
9–12 Jahre
Banking-Information-Security (BAIT/VAIT), Vorstands-Reporting, NIS2-Programmleitung, Aufbau von ISM-Teams, Audit-Koordination mit externen Prüfern. Speaker-Slots auf it-sa oder BSI IT-Sicherheitskongress.
Stufe 5: Head of Information Security / Stellv. CISO
120.000 – 165.000 € + Bonus
12+ Jahre
Head of Information Security, Führung 4–10 Security-Experten, Budget-Verantwortung 1,5–4 Mio. €/Jahr, Aufsichtsrats-Reporting. Sprungbrett zur CISO-Rolle mit vollem Mandat.
Verhandlungstipp
IT-Sicherheitsexperten-spezifische Verhandlungstaktik in drei konkreten Szenarien: (1) Szenario 'Junior-Specialist zu IT-Sicherheitsexperte' (3–5 Jahre Erfahrung): Dein Gehaltssprung 66k → 82k rechtfertigst du mit drei konkreten Security-Outcomes. Beispiel: 'Ich habe in den letzten 18 Monaten ein Security-Awareness-Programm für 3.500 Mitarbeiter implementiert mit Reduktion der Phishing-Klickrate von 22% auf 6% innerhalb 10 Monaten, zwei externe Penetration-Tests koordiniert und 280 Findings in unserem ISMS nachverfolgt.' Solche Zahlen sprechen CISOs und Geschäftsführer direkt an. Fordere zusätzlich die Übernahme der ISO 27001 Lead Implementer (ca. 2.400€) oder CISSP (4.400€), ein Zertifizierungsbudget von 5.500€/Jahr und Teilnahme an it-sa oder BSI IT-Sicherheitskongress. (2) Szenario 'IT-Sicherheitsexperte zu Senior ISM' (6–8 Jahre): Der Sprung 82k → 100k hängt an nachweisbarer ISMS-Verantwortung und Zertifizierungs-Erfolg. Quantifiziere Business Impact: Welche Zertifizierungen hast du vorbereitet (z.B. ISO 27001:2022 für ein Unternehmen mit 2.800 MA)? Wie viele Kontrollen hast du implementiert (z.B. Annex A mit 93 Controls)? Welche Awareness-Reichweite (z.B. 8.000 geschulte MA)? Diese Zahlen rechtfertigen 12–16% über dem Erstangebot plus 15% Zielbonus. Verhandle zusätzlich CISM- oder CRISC-Zertifizierung auf Firmenkosten (ca. 2.800€), Speaker-Budget (5.000€/Jahr), Workation-Tage und Firmenwagen ab Senior-Level. Branchenwechsel-Hebel: Wer von Industrie oder Mittelstand ins Banking oder zur Versicherung wechselt, verhandelt strukturell 10–15% mehr wegen BAIT/VAIT-Regulatorik. (3) Szenario 'Senior zu Lead / Head of' (10–14 Jahre): Hier zählen ISMS-Transformations-Projekte mehr als Jahre. Ein nachweisbares ISO-27001-Erstzertifizierungs-Projekt bei einem Unternehmen mit 5.000+ MA, ein NIS2-Programm bei einem KRITIS-Unternehmen oder eine erfolgreiche CISO-Stellvertretung während einer Vakanz sind je 12–18% wert. Verhandle zusätzlich zum Grundgehalt (115–135k): garantierter Bonus von mindestens 20%, Firmenwagen gehoben oder Mobilitätsbudget (900€/Monat), LTI-Anteile bei DAX oder Banking (40–80k über 4 Jahre), 2-monatiges Sabbatical nach 3 Jahren und Speaker-Budget für BSI IT-Sicherheitskongress, it-sa und RSA Conference EU (8.000€/Jahr). Anti-Pattern: Nenne nie dein aktuelles Gehalt zuerst – stattdessen: 'Ich bin an Positionen im Bereich 108–128k interessiert, abhängig vom Gesamtpaket und Zertifizierungs-Budget.'
Weiterbildung
Zertifizierungs-Roadmap: Diese Weiterbildungen zahlen sich aus.
Jede Zertifizierung wirkt direkt auf Ihr Gehalt. Die folgende Übersicht zeigt Kosten, Dauer, typische Gehaltssteigerung und Schwierigkeitsgrad.
CISSP – Certified Information Systems Security Professional
++10–15% Die Gold-Standard-Zertifizierung für Senior IT-Sicherheitsexperten und ISM-Rollen. 8 Domains decken die komplette Breite ab (Security & Risk Management, Asset Security, Security Architecture, Network Security, IAM, Security Assessment, Security Operations, Software Development Security). Bei Banken, DAX-Konzernen und Beratungen oft Pflicht ab Senior-Level.
CISM – Certified Information Security Manager
++10–14% Management-Fokus auf Security-Governance, Risk Management, Program Development und Incident Management. Besonders wertvoll für ISM-Rollen und den Übergang in Head-of-Security- oder CISO-Rollen. Bei Banken und Versicherungen teils Pflicht-Zertifizierung für Führungsebenen.
ISO 27001 Lead Implementer
++8–12% Die Praxis-Zertifizierung für ISMS-Implementierung. Seit ISO 27001:2022-Update besonders gefragt. Deckt Initiierung, Planung, Implementierung, Betrieb und Verbesserung eines ISMS ab. Voraussetzung für ISMS-Aufbau-Projekte bei Mittelständlern und KRITIS-Unternehmen.
BSI IT-Grundschutz-Praktiker
++6–10% Die deutsche Pflicht-Zertifizierung für KRITIS-Sektoren, Öffentlichen Dienst und Bundeswehr. Gibt tiefes Methodik-Wissen zu IT-Grundschutz-Kompendium und Standard 200-x. Besonders wertvoll für IT-Sicherheitsexperten in regulierten Branchen oder mit Clearance-Anforderungen.
CRISC – Certified in Risk and Information Systems Control
++8–12% Spezialisiert auf IT-Risikomanagement und Control-Design. Besonders wertvoll für ISM-Rollen mit DORA-/NIS2-Risikomanagement-Verantwortung. Deckt IT Risk Identification, Assessment, Response & Mitigation ab. Kombiniert mit CISM + CISSP ideal für Banking-ISM-Pfade.
CompTIA Security+
++4–8% Grundlagen-Zertifizierung für Junior-IT-Sicherheits-Specialists. Vendor-neutral und schnell zu erreichen, daher guter Einstieg. Deckt Threats, Attacks, Vulnerabilities, Architecture, Implementation, Operations, Governance ab. Oft Einstiegshürde bei Beratungen und Mittelstand.
CCSP – Certified Cloud Security Professional
++6–10% Cloud-agnostische Security-Zertifizierung, wertvolle Ergänzung für IT-Sicherheitsexperten mit Cloud-Betreuung. Besonders relevant, wenn Unternehmen AWS, Azure oder GCP stärker einsetzen. Kombiniert mit CISSP die perfekte breite+tiefe Security-Kombination für ISM-Rollen.
Projekt-Realität
Typische Projekte — Volumen, Dauer, Technologie.
Die Art und Größe Ihrer Projekte entscheidet maßgeblich über Ihr Gehalt. Hier typische Projektszenarien mit Volumen, Dauer und Schlüsseltechnologien.
ISO 27001 Erstzertifizierung Mittelstand
620k € Budget (intern+extern) Volumen
14 Monate Dauer
ISO 27001:2022 Annex A (93 Controls)Risk Register in Excel oder GRC-ToolAwareness-Plattform (KnowBe4, SoSafe)Vulnerability Management (Tenable, Qualys)
Erstzertifizierung eines Mittelständlers (1.400 MA, Industrie-Fertigung) nach ISO 27001:2022. Kernaufgaben: Scope-Definition, Kontext-Analyse, Risikobewertung für 220 identifizierte Assets, Policy-Erstellung für 40 Themengebiete (Zugriffskontrolle, Incident-Response, Business Continuity), Implementierung der 93 Annex-A-Controls, Awareness-Programm für 1.400 Mitarbeiter mit 95% Teilnahme-Quote, externer Audit durch DQS. Ergebnis: ISO 27001:2022-Zertifikat nach 14 Monaten, 0 Major Non-Conformities. CV-Wert: Starke Referenz, rechtfertigt +12–15% Gehaltssprung.
NIS2-Umsetzungsprogramm KRITIS-Energieversorger
2,4 Mio € Budget Volumen
16 Monate Dauer
BSI IT-Grundschutz-KompendiumArcher RSA GRCOneTrustSIEM (Splunk oder Sentinel)BSI IT-Sicherheitsgesetz 2.0 Meldewesen
NIS2-Readiness für einen KRITIS-Energieversorger mit 4.500 Mitarbeitern. Kernaufgaben: Gap-Analyse gegen NIS2-Pflichten (10 Security-Maßnahmen gemäß Art. 21), Governance-Modell mit benannter Geschäftsführungs-Verantwortung (§38 NIS2UmsuCG), Incident-Meldewesen (24h/72h/1-Monat-Fristen an BSI und BaFin), Supply-Chain-Security-Programm für 180 kritische Lieferanten, Awareness-Programm für Geschäftsführung, Implementierung von 180 neuen/verschärften Kontrollen. Ergebnis: BSI-Registrierung erfolgreich. Hoher CV-Wert für Senior ISM-Rollen (+12–15%).
Security-Awareness-Programm DAX-Konzern
480k € pro Jahr (laufend) Volumen
12 Monate initialer Rollout + Dauerbetrieb Dauer
KnowBe4SoSafeMicrosoft Attack SimulatorInternes LMSPhishing-Simulation-Platform
Konzernweites Awareness-Programm für DAX-Industriekonzern mit 28.000 Mitarbeitern. Kernaufgaben: Phishing-Simulationen (12 Kampagnen/Jahr), rollenbasierte E-Learning-Module (Entwickler, Admin, Führung), Tabletop-Exercises für Krisenteams, Multiplikatoren-Netzwerk mit 180 Security Ambassadors. Ergebnis: Phishing-Klickrate von 24% auf 4% reduziert (12 Monate), Meldequote verdächtiger Mails verdoppelt, ROSI (Return on Security Investment) von 1:7 nachgewiesen. CV-Wert: Excellent für Head-of-ISM-Sprünge.
Incident-Response-Aufbau Versicherung
1,4 Mio € Budget Volumen
10 Monate Dauer
TheHive + CortexMISP (Threat Intelligence)Splunk SOARServiceNow ITSMMITRE ATT&CK
Aufbau eines strukturierten Incident-Response-Prozesses für eine mittelgroße Versicherung (3.800 MA). Kernaufgaben: IR-Playbooks für Top-15-Incident-Typen (Ransomware, BEC, Data Exfiltration, Privileged Account Compromise), SLA-Definition mit SOC-Dienstleister, Tabletop-Exercises mit Vorstand, Integration mit BaFin-Meldewesen nach VAIT, After-Action-Review-Prozess für Lessons Learned. Ergebnis: Mean Time to Detect (MTTD) von 14h auf 45min reduziert, Meldung an BaFin in allen meldepflichtigen Fällen innerhalb der 72h-Frist. Starker Karriere-Booster für Senior-ISM-Rollen.
Third-Party-Risk-Management Aufbau
680k € Budget Volumen
9 Monate Dauer
OneTrust Third-Party RiskServiceNow GRCBSI C5-FragebogenISO 27001 Vendor-Assessment-Templates
Aufbau eines strukturierten Third-Party-Risk-Management-Prozesses bei einem Mittelständler (2.200 MA) für 340 kritische Lieferanten. Kernaufgaben: Klassifikationsmodell für Vendor-Risiko (High/Medium/Low nach Datenzugriff und Service-Kritikalität), Onboarding-Fragebögen nach ISO 27001 und BSI-C5, jährliche Assessment-Zyklen, Vertragsklauseln für Security-Anforderungen (DPA, SLA, Audit-Recht), Integration mit Einkaufsabteilung. Ergebnis: 100% kritische Lieferanten assessed, 28 Vendors als hochrisikobehaftet identifiziert und ersetzt. Hoher CV-Wert für ISM-Rollen mit Supply-Chain-Security-Fokus.
Selbstständig
Freelancer-Tagessätze für IT-Sicherheitsexperte / Information Security Manager.
Alternative zur Festanstellung: Als selbstständige Fachkraft können Sie deutlich mehr verdienen — tragen aber auch mehr Risiko.
Junior
650–850 €/Tag €
/ Tag netto
Senior
900–1.200 €/Tag €
/ Tag netto
Lead / Experte
1.200–1.600 €/Tag €
/ Tag netto
Typische Auslastung: 175–195 verrechenbare Tage/Jahr (ca. 78–85% Auslastung). IT-Sicherheits-Nachfrage ist durch NIS2 und ISO 27001:2022-Transition extrem hoch. Bei 1.050€/Tag und 185 Tagen ergibt das 194.250€ Jahresumsatz vor Steuern.
Vorteile
- Premium-Tagessätze bei NIS2-/ISO-27001-Projekten: Banking-Engagements erreichen 1.350€+ für Senior und 1.600€+ für Lead
- Hohe Auslastung durch NIS2-Umsetzungswelle (76% der 29.000 betroffenen Unternehmen noch nicht fertig)
- Projektauswahl-Freiheit: Banking, Versicherung, KRITIS, Mittelstand
- Steuerliche Optimierung über UG/GmbH, besonders bei 180k+ Umsatz
- Breite Profilausrichtung: Viele Einstiegspunkte, Generalisten sind gefragt
Nachteile
- NDA-Komplexität: IT-Sicherheits-Engagements erfordern strikte Verschwiegenheit, erschwert Portfolio-Aufbau
- Clearance-Pflichten bei Öffentlichen Aufträgen (BSI, BwI) – Security-Überprüfung Ü2 dauert 6–12 Monate
- Starke Konkurrenz zu Big-4-Beratungen (KPMG, PwC, Deloitte, EY) und Spezial-Beratungen (HiSolutions, Secunet)
- Keine bezahlte Krankheit/Urlaub (min. 18k€/Jahr Puffer einplanen)
- Workshop-Dichte: ISMS-Projekte erfordern viele Workshops und Walkthroughs vor Ort
- Scheinselbstständigkeits-Risiko bei langen ISMS-Projekten (>18 Monate)
Remote-Anteil
Remote-Work im Tech-Bereich: Was ist realistisch?
Remote-First, Hybrid oder Office-First? Der Remote-Anteil hängt stark vom Arbeitgebertyp ab — Software-Rollen sind deutlich remote-freundlicher als Infrastruktur-Rollen.
| Arbeitgebertyp | Remote-Anteil | Typisches Modell |
|---|---|---|
| Ingenieurbüro / Planungsbüro | undefined% | 2-3 Tage Home-Office möglich |
| Generalunternehmer | undefined% | Baustellen-Präsenz dominiert |
| Facility Management | undefined% | Mix aus Objekt- und Home-Office |
| Industrie / Konzern | undefined% | Hybrid, oft 3 Tage Home-Office |
Gehalts-Impact: Vollständig remote arbeitende IT-Sicherheitsexperten akzeptieren im Schnitt 3–6% weniger Grundgehalt als Hybrid-Modelle bei klassischen Mittelständlern. Bei Big Tech und Security-Scale-ups ist Remote Standard und bietet oft ein Premium (+3–5%). Banken zahlen Präsenz-Zulagen von 5–8% für Vor-Ort-Rollen in Frankfurt. KRITIS-Unternehmen zahlen keine Zulage, aber Fahrt- und Parkplatzpauschalen sind üblich.
undefined
undefined
Karrierepfad-Alternativen
Fach- oder Führungskarriere?
Ab Senior-Level trennen sich die Wege. Beide Pfade führen zu ähnlichen Gehältern — aber mit unterschiedlichen Anforderungen und Aufgaben.
Fachkarriere
Principal Information Security Manager / Security Consultant
115.000 – 148.000 €
Deepdive in ISMS-Methodik und breite Security-Expertise: Du wirst zum Go-To-Experten für ISO-27001-Transformationen, NIS2-Programmleitungen, Awareness-Programme oder Banking-Information-Security. Keine Personalführung im klassischen Sinn, dafür Thought-Leadership, Mentoring von 3–5 ISM-Managern und Speaker-Rollen auf it-sa, BSI IT-Sicherheitskongress oder ISACA EuroCACS.
Typische Aufgaben:
Führungskarriere
Head of Information Security / CISO-Stv. / CISO
130.000 – 220.000 € + Bonus 20–30%
Personal-, Budget- und Umsatz-Verantwortung: Du führst ein Security-Team von 4–12 Personen (Head of) oder eine gesamte Security-Organisation (CISO-Stv. oder vollwertiger CISO). Weniger hands-on Technik, dafür strategische Hebel auf Gehälter, Boni, Weiterbildungen und Security-Roadmap. Reporting-Linie typisch an CIO (Head of) oder Vorstand (CISO).
Typische Aufgaben:
Was Kandidaten sagen
Echte Stimmen. Anonymisiert. Nachprüfbar.
7 Quotes von Kandidaten die ADVERGY in Tech vermittelt hat — Stand 2025/2026.
„Cloud-Repatriation war bei meinem alten Arbeitgeber ein Tabu — alles musste in AWS bleiben. Über ADVERGY bin ich bei einem Mittelständler gelandet der gerade aktiv on-prem zurückbaut. Plötzlich war meine k8s-Bare-Metal-Erfahrung gefragt statt belächelt.“
„Ich war Senior-Entwickler auf dem Sprung zum Tech-Lead, aber intern blockiert. Christian hat mir drei Stellen gezeigt bei denen das Lead-Mandat von Tag eins kommuniziert war. Bei der zweiten habe ich zugesagt — 22k mehr und endlich Verantwortung für ein Team von acht Leuten.“
„Platform-Engineering wurde mein Karriere-Booster. ADVERGY hat das Profil für mich gebaut: aus Site-Reliability-Erfahrung plus interner Tooling-Arbeit wurde plötzlich ein Senior-Platform-Engineer-Lebenslauf. Drei Wochen später kamen Angebote die ich vorher nicht im Radar hatte.“
„Mein größter Fehler in alten Bewerbungsrunden: Ich habe Bullet-Points statt Impact geschrieben. ADVERGY hat mir gezeigt wie man Latenz-Reduktion in Geschäfts-Sprache übersetzt: Statt P99 von 800ms auf 200ms wurde 35 Prozent weniger Customer-Bounce. Plötzlich kamen Lead-Angebote.“
„Ich hatte ein Inhouse-Angebot mit 15k Gehaltserhöhung als Gegenangebot. ADVERGY hat mir geraten anzunehmen — aber nur als kurzfristige Brücke, weil die Firmen-Kultur strukturell limitiert war. Sechs Monate später dann der echte Wechsel mit 28k Plus statt 15k.“
„Frontend-Markt war 2024 schwierig — viele Bewerbungen, wenig Resonanz. Hannes hat das Problem identifiziert: Mein Profil war zu generisch React-Entwickler. Mit Fokus auf Design-System-Architektur wurde ich plötzlich für Senior-Stellen relevant statt Mid-Level.“
Offene Positionen
Aktuelle IT-Sicherheitsexperte / Information Security Manager-Stellen.
Echte offene IT-Sicherheitsexperte / Information Security Manager-Mandate, die ADVERGY aktuell besetzt — viele davon remote. Der Klick führt direkt zur vollständigen Stelle & Bewerbung bei ADVERGY.
Keine passende Stelle dabei? Profil im Talent-Pool hinterlegen — wir melden uns, sobald eine passende (oft remote) IT-Sicherheitsexperte / Information Security Manager-Rolle frei wird.
Vermittlungen
Erfolgsgeschichten: So haben andere ihr Gehalt gesteigert.
Vermittlung Q1/2026
76.000 €→98.000 €
IT-Sicherheitsexperte (m, 30), 5 Jahre Erfahrung bei IT-Dienstleister in Köln. Wechsel als Senior Information Security Manager zu Versicherungsgruppe in Hamburg mit ISO-27001-Rezertifizierungs-Fokus. Entscheidend waren CISSP + ISO 27001 Lead Implementer + ein dokumentiertes Awareness-Programm mit 2.800 Teilnehmern (Phishing-Klickrate-Reduktion von 19% auf 5%). Neues Paket: 98.000€ Grundgehalt, 15% Zielbonus, AT-Vertrag, 30 Urlaubstage, 55% Remote, BAV-Zuschuss 10% vom Brutto plus Übernahme CISM (2.800€). Gehaltssprung +29%. Vermittlungsdauer: 5 Wochen.
Vermittlung Q4/2025
92.000 €→120.000 €
Senior Information Security Manager (w, 36), 8 Jahre Erfahrung, zuletzt bei DAX-30-Industriekonzern. Wechsel zu Top-10-Bank in Frankfurt als Lead ISM mit BAIT/VAIT-Schwerpunkt. Neues Paket: 120.000€ Grundgehalt + 20% Zielbonus + Tarifvertrag, 30 Urlaubstage, 50% Remote, BAV-Zuschuss 9% vom Brutto, Zertifizierungsbudget 7.000€/Jahr, Firmenwagen (BMW 3er). Ausschlaggebend: CISSP + CISM + CRISC + nachweisbare NIS2-Programmleitung für 15.000 MA. Gehaltssprung +30%. Vermittlungsdauer: 7 Wochen.
Vermittlung Q2/2025
115.000 €→148.000 €
Lead Information Security Manager (m, 43), 12 Jahre Erfahrung. Spezialisierung: ISMS-Transformationen und Banking-ISM. Wechsel von Big-4-Beratung (Deloitte) zu Head of Information Security bei einem KRITIS-Energieversorger. Neues Paket: 148.000€ Grundgehalt + 22% Zielbonus + Firmenwagen (Audi Q5) + 10.000€ Weiterbildungsbudget + 32 Urlaubstage + BAV 8% + Aufsichtsrats-Reporting-Mandat. Ausschlaggebend: CISSP + CISM + Drei ISO-27001-Zertifizierungen als Lead Implementer + Zwei NIS2-Programme. Gesamtvergütung Jahr 1: ~195.000€. Vermittlungsdauer: 9 Wochen.
Verwandte Rollen
Ähnliche Tech-Berufsbilder.
Diese Tech-Profile passen thematisch zu IT-Sicherheitsexperte / Information Security Manager — vergleiche Gehälter und Karrierewege.
FAQ
Häufig gestellte Fragen zum IT-Sicherheitsexperte / Information Security Manager Gehalt.
IT-Sicherheitsexperte vs. Security Engineer – was ist der Unterschied?
Beide Rollen haben Schnittmengen, aber klare Schwerpunkte. IT-Sicherheitsexperte / Information Security Manager ist der Generalist mit Governance-Fokus: ISMS-Aufbau, Policy-Arbeit, Awareness-Programme, Vendor-Management, Risiko-Analyse. Median-Gehalt 88k€. Security Engineer ist der Spezialist mit Technik-Fokus: SIEM-Tuning, Penetration-Test-Durchführung, Detection-Engineering, Netzwerk-Härtung. Median-Gehalt 82k€ (Einstieg) bis 98k€ (Senior). Welchen Pfad du wählst, hängt von deiner Präferenz ab: Liebst du tiefe Technik-Arbeit und Detection-Rules schreiben? Security Engineer. Liebst du Stakeholder-Management, ISMS-Audits und Governance? IT-Sicherheitsexperte. Die Gehälter auf Senior-Level konvergieren bei ~95–100k, aber der Karrierepfad zum CISO führt typisch über die ISM-Rolle.
Warum zahlen Banken 10–15% mehr als die Industrie für ISM-Rollen?
Drei Faktoren treiben den Banking-Aufschlag: Erstens sind BAIT und VAIT regulatorisch zwingend und definieren Information Security Manager als aufsichtsrechtlich relevante Funktionen. Zweitens ist DORA seit Januar 2025 verbindlich und fordert ICT-Security-Governance mit Bußgeldern bis 2% des Konzernumsatzes. Drittens verlangt die BaFin eine eigenständige Information-Security-Funktion mit dokumentiertem Governance-Modell, was die Nachfrage nach erfahrenen ISM mit CISM oder CISSP verknappt. Konkret: Ein Senior ISM bei Deutsche Bank oder Commerzbank verdient im Median 105.000€ versus 100.000€ in der DAX-Industrie (ADVERGY-Daten n=32, 2024–2026).
Welche Zertifizierung zuerst: CISSP, CISM oder ISO 27001 Lead Implementer?
Die Reihenfolge hängt von deinem Erfahrungsstand ab. Bei 3–5 Jahren Erfahrung: Starte mit ISO 27001 Lead Implementer (ca. 2.400€ Invest, 5 Tage Kurs) – schnell zu erreichen und direkter Praxisnutzen für ISMS-Projekte. Bei 5–7 Jahren Erfahrung: CISSP (ca. 4.400€ Invest, 6–9 Monate Vorbereitung) – die Gold-Standard-Zertifizierung, öffnet Türen zu Senior-ISM- und Beratungs-Rollen. Bei 7+ Jahren mit Management-Ambitionen: CISM (ca. 2.800€ Invest, 4–6 Monate) – Management-Fokus auf Security-Governance. Die lukrativste Kombination ist ISO 27001 LI + CISSP + CISM – ISM mit dieser Trias verdienen laut unseren Vermittlungsdaten im Median 108.000€ versus 88.000€ ohne diese Kombination. Tipp: Der Arbeitgeber übernimmt meist 80–100% der Kosten, wenn du im ersten Gespräch danach fragst.
Wie realistisch ist Freelancing für IT-Sicherheitsexperten?
Sehr realistisch und hoch profitabel, vor allem in der NIS2- und ISO-27001-Welle. Typische Tagessätze 2026 in Deutschland: Senior 900–1.200€, Lead 1.200–1.600€, Banking-Spezialisten mit BAIT/VAIT-Erfahrung 1.350–1.700€+. Bei 185 verrechenbaren Tagen und 1.050€ Tagessatz ergibt das 194.250€ Jahresumsatz, etwa 118.000–125.000€ netto (GmbH-Struktur). Das entspricht ca. 160.000€ Bruttogehalt-Äquivalent – also 35–40% mehr als Festanstellung. Die Akquise-Situation ist besonders günstig: 76% der NIS2-betroffenen Unternehmen haben die Umsetzung noch nicht abgeschlossen. Risiken: NDA-Komplexität, Clearance bei öffentlichen Aufträgen, Konkurrenz durch Big-4 und Spezial-Beratungen. Ideal für den Freelance-Sprung: 8+ Jahre Erfahrung, CISSP + CISM + ISO 27001 LI, 2–3 Stammkunden aus der Festanstellung.
IT-Sicherheitsexperte Gehalt netto – was bleibt übrig?
Bei einem Bruttojahresgehalt von 88.000€ (Median) bleibt einem ledigen IT-Sicherheitsexperten in Steuerklasse 1 ca. 51.500–53.500€ netto pro Jahr (ca. 4.290–4.460€/Monat). In Steuerklasse 3 (verheiratet) sind es ca. 57.500–59.500€ netto. Bei 125.000€ Brutto (Top-Wert) liegt der Netto-Betrag bei 68.500–71.000€ (Steuerklasse 1). Hinzu kommen oft geldwerte Vorteile: Firmenwagen ab Senior-Level (ca. 500–800€/Monat Nettoeffekt), Jobticket, BAV (typisch 6–9% vom Brutto als AG-Zuschuss bei Banken), Zertifizierungsbudget (5.000–10.000€/Jahr), Speaker-Budget (3.000–6.000€/Jahr) und On-Call-Pauschalen bei KRITIS (300–500€/Monat). In Summe liegt das effektive Nettoeinkommen bei vielen Senior ISM 12–18% über dem reinen Gehaltsnetto.
Was verdient ein IT-Sicherheitsexperte mit 6 Jahren Erfahrung?
Mit 6 Jahren Erfahrung verdient ein IT-Sicherheitsexperte typischerweise 82.000–98.000€ brutto pro Jahr. Die Spanne erklärt sich durch Branche und Zertifizierungen: Bei einer Bank in Frankfurt liegst du eher bei 92.000–105.000€, bei einem DAX-Industriekonzern bei 85.000–98.000€, im spezialisierten Mittelstand bei 78.000–90.000€. Spezialisierungs-Aufschläge: Banking-ISM mit BAIT/VAIT (+12–18%), KRITIS-ISM mit IT-Sicherheitsgesetz 2.0 (+10–15%), Awareness-Specialists mit messbaren Outcomes (+8–12%). Tipp: Mit 6 Jahren Erfahrung ist der ideale Zeitpunkt für den Banking-Wechsel – BAIT/VAIT-Projekte suchen genau dieses Seniority-Level. Wer zusätzlich ein abgeschlossenes NIS2-Programm nachweisen kann, verhandelt +15% über Median.
20 Städte
IT-Sicherheitsexperte / Information Security Manager Gehalt nach Stadt.
Finden Sie heraus, was ein IT-Sicherheitsexperte / Information Security Manager in Ihrer Stadt verdient.
Kostenloser Gehaltscheck
Persönliche Gehaltseinschätzung — kostenlos & unverbindlich.
Unsere IT-Berater melden sich mit Ihrem exakten Marktwert als IT-Sicherheitsexperte / Information Security Manager, einem anonymen Peer-Vergleich und einer ehrlichen Einschätzung zum Wechselpotenzial.
- Individuelle Gehaltsspanne für IT-Sicherheitsexperte / Information Security Manager
- Anonymer Peer-Vergleich (Perzentile)
- Wechselpotenzial & Top-Arbeitgeber
Ihre Daten bleiben bei der ADVERGY GmbH
Danke für Ihre Anfrage!
Unsere IT-Recruiting-Experten melden sich bei Ihnen mit Ihrem exakten Marktwert, Peer-Vergleich und Wechselpotenzial.
Vertraulich · Keine Weitergabe
Transparenz
Quellen & Methodik.
Unsere Gehaltsdaten basieren auf mehreren unabhängigen Quellen. Mehr zu unserer Methodik
- (ISC)² Cybersecurity Workforce Study – Globale Gehaltsstudie 2025, Abschnitt DACH & Information Security Manager ((ISC)² Cybersecurity Workforce Study)
- BSI-Lagebericht zur IT-Sicherheit – Bundesamt für Sicherheit in der Informationstechnik, Lagebericht 2025 (BSI-Lagebericht zur IT-Sicherheit)
- Bitkom Cybersecurity-Report – Bitkom-Studie 2025 zu Cyber-Angriffen, Awareness und Fachkräftemangel (Bitkom Cybersecurity-Report)
- Heise Security Gehaltsumfrage – iX-Gehaltsumfrage IT-Sicherheit 2025, ca. 1.800 Teilnehmer (Heise Security Gehaltsumfrage)
- ADVERGY Vermittlungsdaten – Eigene Daten aus IT-Sicherheit/ISM-Vermittlungen (n=32+, 2024–2026)