Hallo.

Zu meinem Werdegang:

• Alter: 31
• Abitur (1.3 Note)
• B. Sc. Informatik an einer TU (2.6 Note)
• M. Sc. Informatik an der FernUni Hagen (1.2 Note)
• Praktikum und Werkstudent (mehrjährig) im Bereich IT-Security
• 3 Jahre als Engineer gearbeitet in der IT-Security
• 2 Jahre in der Informationssicherheit gearbeitet (Governance, Regulatorik & BSI IT-Grundschutz)
• Vorhandene Zertifizierungen: BSI IT-Grundschutz Praktiker und CISSP

Welche Gehaltsvorstellungen sind realistisch bei einem Wechsel? Mich interessieren sowohl Stellen in der operativen IT-Security als auch Governance Positionen. Haltet ihr es für realistisch, wenn ich mich mit 90-95k umschaue?

WiWi Gast schrieb am 18.11.2024:

Hallo.

Zu meinem Werdegang:

• Alter: 31
• Abitur (1.3 Note)
• B. Sc. Informatik an einer TU (2.6 Note)
• M. Sc. Informatik an der FernUni Hagen (1.2 Note)
• Praktikum und Werkstudent (mehrjährig) im Bereich IT-Security
• 3 Jahre als Engineer gearbeitet in der IT-Security
• 2 Jahre in der Informationssicherheit gearbeitet (Governance, Regulatorik & BSI IT-Grundschutz)
• Vorhandene Zertifizierungen: BSI IT-Grundschutz Praktiker und CISSP

Welche Gehaltsvorstellungen sind realistisch bei einem Wechsel? Mich interessieren sowohl Stellen in der operativen IT-Security als auch Governance Positionen. Haltet ihr es für realistisch, wenn ich mich mit 90-95k umschaue?

Welche Skills hast du konkret? Programmiererfahrung? An Bug Bounty Programmen teilgenommen? Tiefe Netzwerkexpertise?

WiWi Gast schrieb am 18.11.2024:

Hallo.

Zu meinem Werdegang:

• Alter: 31
• Abitur (1.3 Note)
• B. Sc. Informatik an einer TU (2.6 Note)
• M. Sc. Informatik an der FernUni Hagen (1.2 Note)
• Praktikum und Werkstudent (mehrjährig) im Bereich IT-Security
• 3 Jahre als Engineer gearbeitet in der IT-Security
• 2 Jahre in der Informationssicherheit gearbeitet (Governance, Regulatorik & BSI IT-Grundschutz)
• Vorhandene Zertifizierungen: BSI IT-Grundschutz Praktiker und CISSP

Welche Gehaltsvorstellungen sind realistisch bei einem Wechsel? Mich interessieren sowohl Stellen in der operativen IT-Security als auch Governance Positionen. Haltet ihr es für realistisch, wenn ich mich mit 90-95k umschaue?

Halte ich für schwierig, 80k dürfte realistisch sein. Warum bist du von einer technischen Stelle auf eine Papierschubser-Stelle gewechselt, vor allem in deinem Alter?
Wichtig wäre halt dein Skillset, für Richtung 100k brauchst du sehr gute Kentnisse und Erfahrungen im Bereich Netzwerk/Infrastruktur oder Softwareentwicklung.

90k absolut realistisch, ich bin anderer Meinung als der des Vorposters.

Ein Weg ist z.B. Richtung Information Security Officer, da braucht es mehr als technisches Können und das ebnet längerfristig den Weg hinsichtlich CISO. Da sind dann je nach Unternehmen alle Gehälter drinnen.

WiWi Gast schrieb am 18.11.2024:

90k absolut realistisch, ich bin anderer Meinung als der des Vorposters.

Ein Weg ist z.B. Richtung Information Security Officer, da braucht es mehr als technisches Können und das ebnet längerfristig den Weg hinsichtlich CISO. Da sind dann je nach Unternehmen alle Gehälter drinnen.

Aber nicht mit dieser Erfahrung des TE. Als ISO sind die 90-100 mit vier, fünf Jahren Erfahrung nur drin, wenn man selbst schon einmal irgendwo ein TISAX L2 oder eine 27001 aus dem Boden gestampft hat, als „Mitläufer“ ist denke ich bei 80k Schluss, weiter gehts dann nur über Weiterentwicklung im Unternehmen.

Das Gehalt ist prinzipiell in beiden Bereichen drin (operative IT-Security, Security Governance). Aber wahrscheinlich noch nicht mit 5 Jahren BE und auch nicht in jeder Firma.

WiWi Gast schrieb am 18.11.2024:

Welche Skills hast du konkret? Programmiererfahrung? An Bug Bounty Programmen teilgenommen? Tiefe Netzwerkexpertise?

TE hier:

Ich kann sehr gut programmieren (Open Source Contributor, seit der Kindheit am programmieren), habe auch ein GitHub-Profil mit vielen Sternen. Dieser Skill erscheint mir aber in Zukunft immer weiter bedeutungslos zu werden aufgrund des starken Aufkommens von AI (Copilot, ChatGPT, Cursor, Claude etc.). Bug Bounty habe ich nie mitgemacht. Ich kenne mich sehr gut mit Networking und dem ganzen Stack aus, kann dies aber nicht durch Arbeitserfahrung als Netzwerker nachweisen. Habe nur Netzwerke intern auditiert (ISO 27001 IT-Grundschutz).

Gewechselt in die Informationssicherheit bin ich damals, weil ich mich für Audits interessiert habe und die ganze Seite mal kennenlernen wollte (Zertifizierungen wie ISO 27001, Gesetzliche Vorgaben, Governance).

Generell bin ich etwas unzufrieden mit der Gehaltsentwicklung in DE. Ich habe das letzte Mal vor über 2 Jahren gewechselt und ein Gehalt von ca. 71k all-in bekommen. Seitdem nichts dazu gekommen. In der Zwischenzeit habe ich den CISSP gemacht, meinen Master in Informatik berufsbegleitend mit 1.2 abgeschlossen usw. und das Feedback hier ist, dass bei 80k wohl trotzdem Schluss ist. Deshalb schiele ich ins Ausland (Schweiz, USA), da ich ziemlich unzufrieden darüber bin, was man hier bekommt. Da hätte ich auch deutlich weniger Effort reinstecken können und würde auch auf 80k kommen.

Die Zeiten sind vorbei wo ein CISSP ausgereicht hat für ein sechsstelliges Gehalt. Das mag in den Staaten noch normal sein, vor allem im DoD Umfeld, aber es gibt hier einfach zu viele Akademikerschwemme die direkt nach dem Studium ein CISSP machen , das war nicht Sinn und Zweck, weil es früher mal ein Management Zertifikat war, und heute jeder Hinz und Kunz den macht.

Ich kenne durch meine Audit Tätigkeit viele dein ein CISSP und absolut nur die Grundlagen kennen, andere wiederum echte Linux und Netzwerk Nerds die gar keine certs haben.

Ich würde dein Gehalt von deiner Berufserfahrung abhängig machen, würde mal auf etwa 80 - 90k schätzen.

Ach, und CISSP ist echt nicht schwer, nur vom Umfang halt ne Menge.

WiWi Gast schrieb am 18.11.2024:

Die Zeiten sind vorbei wo ein CISSP ausgereicht hat für ein sechsstelliges Gehalt. Das mag in den Staaten noch normal sein, vor allem im DoD Umfeld, aber es gibt hier einfach zu viele Akademikerschwemme die direkt nach dem Studium ein CISSP machen , das war nicht Sinn und Zweck, weil es früher mal ein Management Zertifikat war, und heute jeder Hinz und Kunz den macht.

Ich kenne durch meine Audit Tätigkeit viele dein ein CISSP und absolut nur die Grundlagen kennen, andere wiederum echte Linux und Netzwerk Nerds die gar keine certs haben.

Ich würde dein Gehalt von deiner Berufserfahrung abhängig machen, würde mal auf etwa 80 - 90k schätzen.

Ach, und CISSP ist echt nicht schwer, nur vom Umfang halt ne Menge.

Man kann den CISSP gar nicht direkt nach dem Studium machen. Eine Voraussetzung für den Titel sind mind. 5 Jahre BE in speziellen Security Bereichen. Also macht die Aussage schon mal nicht viel Sinn…

WiWi Gast schrieb am 18.11.2024:

Man kann den CISSP gar nicht direkt nach dem Studium machen. Eine Voraussetzung für den Titel sind mind. 5 Jahre BE in speziellen Security Bereichen. Also macht die Aussage schon mal nicht viel Sinn…

Die muss dir nur jemand attestieren und da das Ding in der Regel vom AG bezahlt wird…
Außerdem kann man den CISSP auch direkt machen und landet dann in so einem Associate-Programm

In der IT Security Beratung kannst du mit den Zertifikaten auf dein Wunsch Gehalt kommen. Kommt halt drauf an wie und wo du dich bewirbst.

Bin selbst nach 2.7 Jahren Security als Senior von den BIG4 gewechselt und habe jetzt 80k Fix plus Bonus. Ist halt weiterhin Beratung, das Gehalt bekommst du eher nicht bei dem nächsten öffi oder Mittelstand

WiWi Gast schrieb am 18.11.2024:

Die muss dir nur jemand attestieren und da das Ding in der Regel vom AG bezahlt wird…
Außerdem kann man den CISSP auch direkt machen und landet dann in so einem Associate-Programm

Dann hast du aber nicht den offiziellen Titel, sondern musst erst mal die Berufserfahrung ansammeln, um den zu bekommen. Unterstellst du jetzt, dass die AGs das einfach so attestieren, auch wenn es nicht der Fall ist? Welcher Laden läuft so unprofessionell? Und das Teil kostet ordentlich viel, das bezahlt dir nicht jeder AG mal eben so. Also die Aussage, dass das viele Anfänger heutzutage direkt nach dem Studium absolvieren, bezweifle ich sehr stark.

Habe ich in meinem Umfeld auch noch nicht erlebt, dass die Anfänger den CISSP direkt nach dem Berufseinstieg machen. Die meisten streben solche und ähnliche Zertifizierungen nach 2-3 Jahren BE an. So wie der TE wahrscheinlich auch. Die teuren Vorbereitungskurse für X.000 EUR sind optional. Man kann die Prüfung direkt anlegen. Kostet ca. 1000 EUR.

1024 schrieb am 19.11.2024:

Habe ich in meinem Umfeld auch noch nicht erlebt, dass die Anfänger den CISSP direkt nach dem Berufseinstieg machen. Die meisten streben solche und ähnliche Zertifizierungen nach 2-3 Jahren BE an. So wie der TE wahrscheinlich auch. Die teuren Vorbereitungskurse für X.000 EUR sind optional. Man kann die Prüfung direkt anlegen. Kostet ca. 1000 EUR.

Das Problem ist, dass du für den CISSP ein sogenanntes Endorsement von einem anderen CISSPler benötigst. Das ist nämlich eine Clique, die nur auf Empfehlung neue Mitglieder aufnimmt. Dieses Endorsement wird dir praktischerweise vom Kursleiter der teuren Vorbereitungskurse ausgestellt, dafür bezahlt man eben auch. Wenn du keinen Vorbereitungskurs machst, musst du erst einmal jemanden finden, der bereits CISSP zertifiziert ist, in diesem ISC2 Verein steckt und dir kostenlos, ohne dich zu kennen, ein Endorsement ausstellt. Das macht niemand, außer du hast zufällig einen Arbeitskollegen, der sich für dich gerade machen würde.

Ohne Kurs wird es also schwer die Zertifizierung zu erlangen, deshalb ist es gar nicht alles so „locker“ möglich, wie hier weiter oben dargestellt. Du musst i.d.R. einen AG finden, der dafür tief in die Tasche greift, die richtige BE sammeln und bescheinigt bekommen, die Prüfung bestehen, ein Endorsement erhalten und regelmäßig der Rezertifizierung hinterherlaufen.

Anfänger nach dem Studium fallen hier raus, sorry. Das klingt absolut unrealistisch, hab ich so bisher nicht gesehen und einfach daher gesagt von jemanden mit Halbwissen, der nicht wirklich Ahnung hat. Der CISSP ist nicht umsonst ganz gut angesehen in der Branche (besonders international).

WiWi Gast schrieb am 19.11.2024:

1024 schrieb am 19.11.2024:

Das Problem ist, dass du für den CISSP ein sogenanntes Endorsement von einem anderen CISSPler benötigst. Das ist nämlich eine Clique, die nur auf Empfehlung neue Mitglieder aufnimmt. Dieses Endorsement wird dir praktischerweise vom Kursleiter der teuren Vorbereitungskurse ausgestellt, dafür bezahlt man eben auch. Wenn du keinen Vorbereitungskurs machst, musst du erst einmal jemanden finden, der bereits CISSP zertifiziert ist, in diesem ISC2 Verein steckt und dir kostenlos, ohne dich zu kennen, ein Endorsement ausstellt. Das macht niemand, außer du hast zufällig einen Arbeitskollegen, der sich für dich gerade machen würde.

Ohne Kurs wird es also schwer die Zertifizierung zu erlangen, deshalb ist es gar nicht alles so „locker“ möglich, wie hier weiter oben dargestellt. Du musst i.d.R. einen AG finden, der dafür tief in die Tasche greift, die richtige BE sammeln und bescheinigt bekommen, die Prüfung bestehen, ein Endorsement erhalten und regelmäßig der Rezertifizierung hinterherlaufen.

Anfänger nach dem Studium fallen hier raus, sorry. Das klingt absolut unrealistisch, hab ich so bisher nicht gesehen und einfach daher gesagt von jemanden mit Halbwissen, der nicht wirklich Ahnung hat. Der CISSP ist nicht umsonst ganz gut angesehen in der Branche (besonders international).

Im IT-Sec-Bereich greift hier jeder AG so tief in die Tasche, sonst ist das Personal nämlich morgen woanders.
Selbstverständlich ist es locker, den Kurs zu machen. Er ist nicht besonders schwer, nur ein wenig umfangreich. Jemand, der einen IT-Hintergrund hat, wird ihn nicht vor Probleme stellen. Wir hatten schon einige Berater bei uns, die ein Jahr bei ihrer Bude waren und schon einen CISSP gemacht haben. Der AG hat ein Eigeninteresse das voranzutreiben, a) um mit dem Personal Geld zu verdienen und b) um das Personal zu halten.

Zwei bis drei Jahre BE sind übrigens immer noch gerade mal die Hälfte der fünf, die eigentlich gefordert sind. Merkst du selbst, oder? :D

WiWi Gast schrieb am 19.11.2024:

WiWi Gast schrieb am 19.11.2024:

Im IT-Sec-Bereich greift hier jeder AG so tief in die Tasche, sonst ist das Personal nämlich morgen woanders.
Selbstverständlich ist es locker, den Kurs zu machen. Er ist nicht besonders schwer, nur ein wenig umfangreich. Jemand, der einen IT-Hintergrund hat, wird ihn nicht vor Probleme stellen. Wir hatten schon einige Berater bei uns, die ein Jahr bei ihrer Bude waren und schon einen CISSP gemacht haben. Der AG hat ein Eigeninteresse das voranzutreiben, a) um mit dem Personal Geld zu verdienen und b) um das Personal zu halten.

Zwei bis drei Jahre BE sind übrigens immer noch gerade mal die Hälfte der fünf, die eigentlich gefordert sind. Merkst du selbst, oder? :D

Man kann die Prüfung schon mit 3 Jahre BE absolvieren. Das Zertifikat wird dann aber erst 2 Jahre später ausgestellt. Das ist bei den ganze ISACA Zertifizierungen auch so. Alternativ optimiert man ein bisschen bei den BE Angaben. Dann geht es schneller.

WiWi Gast schrieb am 19.11.2024:

WiWi Gast schrieb am 19.11.2024:

Man kann die Prüfung schon mit 3 Jahre BE absolvieren. Das Zertifikat wird dann aber erst 2 Jahre später ausgestellt. Das ist bei den ganze ISACA Zertifizierungen auch so. Alternativ optimiert man ein bisschen bei den BE Angaben. Dann geht es schneller.

Natürlich, sage ich ja. Das ist Usus, vor allem in Beratungsbuden die diese Zertifikate für öffentliche Aufträge oder Ausschreibungen brauchen

Hallo,

ich habe jetzt rund 1 Jahr operative IT-Sec Erfahrung als Hauptverantwortlicher für das SIEMs (Eigenbetrieb) eines Konzerns (vorher Werkstudent bei kleinen und größeren Adressen). Was kann ich machen um in ein paar Jahren auch bei 80-90k zu landen? Zertis (technische oder InfoSec?) Online Master? Bin schon in der höchsten Tarifstufe, aber mit schlechtem Tarif, kein IGM und nicht im Süden.

Weg aus dem operativen Bereich in die leitung. Dafür solltest du erstmal Erfahrung sammeln mit einem Jahr wird das nix.

WiWi Gast schrieb am 19.11.2024:

Hallo,

ich habe jetzt rund 1 Jahr operative IT-Sec Erfahrung als Hauptverantwortlicher für das SIEMs (Eigenbetrieb) eines Konzerns (vorher Werkstudent bei kleinen und größeren Adressen). Was kann ich machen um in ein paar Jahren auch bei 80-90k zu landen? Zertis (technische oder InfoSec?) Online Master? Bin schon in der höchsten Tarifstufe, aber mit schlechtem Tarif, kein IGM und nicht im Süden.

WiWi Gast schrieb am 20.11.2024:

Weg aus dem operativen Bereich in die leitung. Dafür solltest du erstmal Erfahrung sammeln mit einem Jahr wird das nix.

Aber ist die Leitung nicht Governance und Informationssicherheit langfristig? Da ist man doch mit einem CISSP und in der Schiene richtiger unterwegs als in der operativen IT-Security.

An den TE. Geiler Lebenslauf. Lass dir hier nichts Kaputtreden. "Bla bla CISSP ist einfach, haha"

Melde ich bei einem Energieversorger. Du solltest locker als AT eingestuft werden, das sind mit Bonus schnell mal 120k+

Eher Target 140 - 190 bei Bank