Cybersecurity ist 2026 einer der wenigen Bereiche, in denen Arbeitsagentur und Jobcenter Bildungsgutscheine fast routinemaessig bewilligen. Der Bedarf ist offiziell anerkannt, das NIS-2-Umsetzungsgesetz zwingt mehr als 30.000 Unternehmen in Deutschland zu konkreten Sicherheitsmassnahmen, und seriose AZAV-Anbieter gibt es genug. Hier liest du, welcher Kurs zu welchem Profil passt, was er kostet, und wo die echten Stolpersteine im Antrag liegen.
Warum 2026 ein gutes Jahr für den Einstieg ist
Drei Dinge kommen 2026 zusammen.
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist für betroffene Unternehmen ist am 6. Maerz 2026 abgelaufen. Mehr als 30.000 Unternehmen muessen jetzt nachweisen, dass sie Risikomanagement, Vorfallsmeldung in 24 Stunden, technische Schutzmassnahmen und Governance-Strukturen aufgebaut haben. Bussgelder bis 10 Millionen Euro oder 2 Prozent vom weltweiten Jahresumsatz sind vorgesehen. Das ist keine Stellenanzeige in einem Fachblatt mehr, das ist eine Vorstands-Agenda.
Die Bundesagentur für Arbeit fuehrt IT- und Sicherheitsberufe in der Engpassanalyse 2024 als Bereich mit anhaltenden Engpaessen. 163 Engpassberufe insgesamt, viele weitere IT-Berufe stehen unter Beobachtung. Für dich heisst das: Vermittler haben deutlich weniger Argumente, einen Bildungsgutschein-Antrag mit Berufsziel "IT-Sicherheit" abzulehnen als bei vagen KI-Buzzword-Profilen.
Die EU AI Act Kompetenzpflicht nach Artikel 4 gilt seit 02.02.2025. Wer im Unternehmen KI-Tools mitverantwortet, fällt automatisch in den Schnittbereich von KI-Sicherheit, Datenschutz und Cybersecurity. Profile, die beides können, sind 2026 schwer zu finden und gut bezahlt.
Welche Cybersecurity-Zertifikate Bildungsgutschein-faehig sind
Die Arbeitsagentur fördert Maßnahmen, nicht Zertifikate direkt. Aber Maßnahmen, die auf anerkannte Zertifikate vorbereiten, gehen leichter durch.
CompTIA Security+ (SY0-701). Das ist das klassische Einsteiger-Zertifikat ohne formale Vorpraxis-Pflicht. Prüfungsgebuehr aktuell rund 370 Euro. Inhalte: Bedrohungen, Schwachstellen, Identitaetsmanagement, Verschluesselung, Compliance-Grundlagen. Vorbereitungskurse dauern 6 bis 12 Wochen Vollzeit oder bis zu 6 Monate berufsbegleitend. In KURSNET findest du Dutzende AZAV-zertifizierte Anbieter.
BSI Grundschutz-Praktiker und Grundschutz-Berater. Beide sind in Deutschland faktisch der Branchenstandard für alles, was mit öffentlichen Auftraggebern, kritischer Infrastruktur oder klassischem Mittelstand zu tun hat. Praktiker ist die Einstiegsstufe, Berater verlangt Praktikernachweis plus Praxisprojekt. Kombinierte Maßnahmen sind beliebt, weil sie BSI-Logik und ein internationales Zertifikat wie Security+ in einem Paket abdecken.
Certified Ethical Hacker (CEH v13). Praktischer als Security+, weil der Schwerpunkt auf Penetrationstesting, Schwachstellenanalyse und Tool-Anwendung liegt. EC-Council verlangt entweder zwei Jahre dokumentierte IT-Security-Praxis oder den Besuch eines offiziellen CEH-Trainings. Prüfungsgebuehr liegt bei rund 1.200 US-Dollar, die offiziellen Trainings selbst kosten deutlich mehr und fallen meist unter Bildungsgutschein. Die Prüfung selbst ist nicht immer in der Förderung enthalten, das frag beim Anbieter direkt nach.
ISC2 CISSP ist kein Einsteigerzertifikat. ISC2 verlangt fuenf Jahre dokumentierte Berufspraxis in mindestens zwei von acht Domains. Mit Hochschulabschluss reichen vier Jahre. Wer das nicht erfuellt, kann die Prüfung als Associate of ISC2 bestehen und hat dann sechs Jahre Zeit, die Berufspraxis nachzuweisen. Prüfungsgebuehr rund 700 Euro, Vorbereitungskurse mit Prüfung als Komplettpaket liegen bei deutschen Anbietern bei 6.000 bis 7.500 Euro. Das ist ein Aufstiegszertifikat für Profile, die schon im Feld arbeiten und in Richtung CISO oder IT-Security-Lead wollen.
Was schwerer durchgeht: Reine Hacker-Bootcamps ohne anerkannten Prüfungsabschluss, "Cyber Crime Specialist"-Zertifikate von No-Name-Akademien, oder Kurse unter 8 Wochen. Die Faustregel der Vermittler ist: Prüfungsabschluss bei einem etablierten Standard-Geber (CompTIA, ISC2, EC-Council, BSI, TUEV, ISO 27001 Lead Auditor) wird ernst genommen, alles andere muss begruendet werden.
Wie ein BG-Cybersecurity-Kurs typischerweise aufgebaut ist
Die meisten Vollzeit-Maßnahmen mit Bildungsgutschein laufen 4 bis 12 Monate, online oder hybrid, taeglich Montag bis Freitag mit etwa 30 bis 40 Wochenstunden Praesenz oder Live-Unterricht plus Selbststudium.
Inhaltlich gliedern sich gute Programme grob in drei Teile. Erstens Grundlagen: Netzwerktechnik, Betriebssysteme, IT-Recht, DSGVO, Grundkonzepte der IT-Sicherheit. Zweitens Spezialisierung: Penetrationstesting, Incident Response, ISMS-Aufbau, Schwachstellenanalyse, BSI-Grundschutz-Methodik. Drittens Prüfungsvorbereitung mit Prüfungssimulationen und gegebenenfalls Prüfungsgebuehr.
Was du beim Anbietergespraech klären solltest: Welche Prüfung ist enthalten und welche kostet extra. Welche Tools und Lab-Umgebungen werden konkret eingesetzt. Wie hoch ist die Bestehensquote der letzten zwei Jahrgaenge. Gibt es Praxisprojekte oder nur Theorie. Wie läuft die Bewerbungsbegleitung am Kursende. Eine Vermittlung in einen Job nach der Maßnahme kann kein Anbieter garantieren, das ist gesetzlich klar. Aber gute Träger zeigen dir Vermittlungsstatistiken und sind ehrlich über regionale Unterschiede.
In der Praxis sehen wir bei vielen Cybersecurity-Programmen eine deutliche Spreizung. Wer aus einem IT-nahen Beruf kommt, kommt nach drei bis vier Monaten Vollzeit auf Bewerbungsniveau. Wer komplett quer einsteigt, ohne IT-Hintergrund, braucht meist neun bis zwoelf Monate plus eigene Lab-Praxis nebenbei. Das wird in den Marketing-Texten vieler Anbieter unterspielt.
Realistische Gehaelter und Karrierewege
Die Stepstone-Daten für 2026 zeigen eine deutliche Spreizung nach Erfahrung und Region.
Junior-Profile starten typischerweise zwischen 40.700 und 46.700 Euro Brutto pro Jahr (Junior IT-Security-Consultant, mittlere Werte). Wer nach abgeschlossener Weiterbildung mit Security+ oder Grundschutz-Praktiker einsteigt, landet eher am unteren Ende dieser Spanne, oft kombiniert mit einer 6- bis 12-monatigen Einarbeitung im Junior-Pool.
Mid-Level mit zwei bis vier Jahren Praxis liegt bei 60.000 bis 75.000 Euro. Hier sind Profile mit kombinierten Faehigkeiten besonders gefragt: Security plus Cloud (AWS, Azure), Security plus Compliance, Security plus Industrial Controls. Wer in Frankfurt, München oder Hamburg arbeitet, liegt regelmäßig 10 bis 15 Prozent über dem Bundesschnitt.
Senior-Profile und IT-Security-Engineers mit Zertifizierungen wie CISSP, CISM oder OSCP verdienen 80.000 bis 105.000 Euro. CISO-Positionen in größeren Mittelstaendlern starten bei 110.000 Euro und gehen in Konzernen bis weit in den dreistelligen Bereich.
Banken, Versicherungen und regulierte Branchen zahlen 18 bis 25 Prozent über dem allgemeinen IT-Schnitt. Pharma und Automotive liegen 15 bis 22 Prozent darueber. Öffentlicher Dienst und Behoerden bezahlen weniger, bieten dafür schnellere Einstiegswege über Tarifvertraege.
Eine Vermittlung in diese Gehaltsstufen kann nicht garantiert werden. Sie hängt vom regionalen Arbeitsmarkt, deinem Profil vor der Weiterbildung und davon ab, wie aktiv du dich nach dem Kurs bewirbst. Wer die Weiterbildung als Tuerentschluss versteht und die ersten neun Monate nach Abschluss noch in Junior-Rollen mit echter Praxis investiert, kommt typischerweise schneller in die Mid-Level-Spanne als jemand, der gleich nach einer Senior-Position sucht.
Antragsweg: Wo die meisten Antraege wirklich scheitern
Der Antrag läuft formal in vier Schritten: Beratungsgespraech bei Arbeitsagentur oder Jobcenter, Prüfung der Vermittlungschance, Ausstellung des Bildungsgutscheins, Einlösung beim Anbieter mit Maßnahmenummer-Eintrag auf der Rückseite. Bei bewilligtem Bildungsgutschein: 0 Euro Eigenanteil. Lehrgangskosten, Prüfungsgebuehren (sofern im Maßnahmezertifikat aufgeführt), Lehrmittel und in vielen Faellen auch Fahrtkosten und Kinderbetreuung werden übernommen.
Drei Muster sehen wir immer wieder bei Ablehnungen.
Vages Berufsziel. "Irgendwas mit Sicherheit" oder "Cyber-Bereich" reicht nicht. Vermittler brauchen ein konkretes Berufsbild wie Junior IT-Security-Analyst, ISMS-Berater nach BSI-Grundschutz, oder IT-Security-Consultant für den Mittelstand. Geh mit zwei bis drei konkreten Stellenanzeigen aus deiner Region zum Termin, das veraendert die Diskussion.
Falsche Maßnahmewahl. Ein AZAV-zertifizierter Träger kann mehrere Maßnahmen anbieten, von denen einige die Prüfungsgebuehr enthalten und andere nicht. Wenn deine Maßnahmenummer "ohne externes Zertifikat" lautet, du aber CISSP machen willst, bezahlt die Prüfungsgebuehr keiner. Klärung vor Vertragsunterschrift, nicht danach.
Überschneidung mit anderen Förderungen. Wer bereits Aufstiegs-BAföG für eine andere Weiterbildung beantragt hat oder im Bürgergeld eine andere Maßnahme zugesagt bekommen hat, blockiert sich selbst. Saubere Klärung mit dem Sachbearbeiter vor Antragstellung kostet eine halbe Stunde und spart Wochen.
Die Bewilligung des Bildungsgutscheins liegt im Ermessen der Arbeitsagentur. Es gibt keinen Rechtsanspruch. Bei Ablehnung kannst du Widerspruch einlegen und gegebenenfalls auf alternative Förderwege ausweichen, etwa das Qualifizierungschancengesetz für Beschäftigte oder Aufstiegs-BAföG, sofern die Maßnahme dafür geeignet ist.
FAQ
Welche Cybersecurity-Zertifikate kann ich mit Bildungsgutschein machen?
Am häufigsten förderfaehig sind CompTIA Security+, BSI Grundschutz-Praktiker, Certified Ethical Hacker (CEH) und Kombimodelle mit ISO 27001 Lead Auditor oder TUEV-IT-Sicherheitsbeauftragter. CISSP ist möglich, setzt aber Berufspraxis voraus und ist kein Einstiegszertifikat. Welche konkrete Prüfung in deiner Maßnahme enthalten ist, steht auf dem Maßnahmezertifikat des jeweiligen Anbieters in KURSNET.
Wie lange dauert eine Cybersecurity-Weiterbildung mit Bildungsgutschein?
Vollzeit-Maßnahmen liegen typisch zwischen 4 und 12 Monaten, je nach Tiefe und Anzahl der enthaltenen Zertifikate. Berufsbegleitende Formate dauern entsprechend 12 bis 24 Monate. Quereinsteiger ohne IT-Vorerfahrung sollten realistisch 9 bis 12 Monate plus eigene Lab-Praxis einplanen. Anbieter, die "in 8 Wochen zum IT-Sicherheitsexperten" versprechen, schweigen meist über die tatsaechlichen Bewerbungschancen am Ende.
Brauche ich Programmierkenntnisse für eine Cybersecurity-Weiterbildung?
Für Einsteigerzertifikate wie Security+ und BSI Grundschutz-Praktiker reicht solider Computer- und Netzwerkalltag. Für praktische Profile wie Penetrationstester oder Security-Engineer hilft Grundverstaendnis von Linux, einer Skriptsprache wie Python und Webtechnologien deutlich. Viele Maßnahmen schliessen die Grundlagen mit ein, frag im Beratungsgespraech mit dem Anbieter konkret nach den Voraussetzungen.
Was passiert nach der Weiterbildung, wenn ich keinen Job finde?
Eine Vermittlung kann nicht garantiert werden. Realistisch sind drei bis neun Monate Bewerbungsphase nach Kursabschluss, abhängig von Region, Vorerfahrung und Bewerbungsaktivität. Gute Anbieter bieten Bewerbungscoaching im letzten Drittel des Kurses an. Bei länger anhaltender Arbeitslosigkeit nach dem Kurs greift wieder Arbeitslosengeld oder Bürgergeld, gegebenenfalls mit ergänzenden Maßnahmen. Realistisch ist: wer aktiv 8 bis 12 Bewerbungen pro Woche schreibt und im IT-Umfeld vernetzt ist, findet typischerweise innerhalb von 6 Monaten eine Junior-Position.
Zuletzt aktualisiert: 26.04.2026
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.