Was ein SOC Analyst macht
Ein Security Operations Center (SOC) ist die operative Sicherheitszentrale eines Unternehmens. Dort laufen Ereignisdaten aus dem gesamten Netzwerk zusammen: Logs von Firewalls, Endpunkte, Cloud-Dienste, Active Directory. Die Aufgabe des SOC-Teams ist es, diese Daten kontinuierlich zu beobachten, auffaellige Ereignisse zu erkennen und auf Vorfälle zu reagieren.
Als SOC Analyst bist du Teil dieses Teams. Auf Level 1 bist du die erste Reihe: Du siehst Alerts, bewertest sie und entscheidest, ob ein Vorfall eskaliert werden muss oder ob es sich um einen False Positive handelt. Du arbeitest nach Playbooks und Prozessen, kommunizierst mit Kollegen und dokumentierst jeden Schritt.
Was die Rolle nicht ist: kein aktives Angreifen von Systemen, keine eigenverantwortliche Malware-Analyse ohne Begleitung, keine strategische Sicherheitsarchitektur. Im SOC geht es um strukturiertes, reproduzierbares Arbeiten unter Zeitdruck.
- Alerts aus SIEM-Systemen sichten und priorisieren
- Logs und Events analysieren und in Kontext setzen
- Vorfälle nach Playbook bearbeiten und eskalieren
- Incidents sauber dokumentieren und schließen
- Mit IT-Teams und Fachbereichen kommunizieren
Level 1, Level 2 und Senior SOC Analyst
Die meisten SOCs unterteilen ihre Analysten in Erfahrungsstufen. Die Grenzen sind nicht immer scharf, geben aber eine gute Orientierung für Lernziele und Entwicklungspfade.
| Level | Aufgaben | Verantwortung | Erwartete Skills |
|---|---|---|---|
| Level 1 | Alert-Triage, Playbook-Ausführung, Ticket-Erstellung, Eskalation | Erste Bewertung, korrekte Dokumentation, rechtzeitige Eskalation | Grundlagen Netzwerk, Windows/Linux, SIEM-Bedienung, klare Kommunikation |
| Level 2 | Vertiefte Analyse eskalierter Fälle, Threat Hunting, Playbook-Erstellung | Eigenstaendige Incident-Response, Beratung von L1, Qualitaetssicherung | Log-Forensik, Skripting, MITRE ATT&CK, EDR-Analyse, Threat Intel |
| Senior / L3 | Incident-Response-Leitung, Detection Engineering, Teamführung | Komplexe Vorfälle, Prozessverbesserung, Coaching juniorerer Kollegen | Malware-Analyse, Forensik, Detection-Logik, Reporting an Management |
Gehaltsangaben werden hier bewusst weggelassen, da sie stark von Region, Unternehmensgrösse und Schichtmodell abhängen. Für grobe Orientierung: Jobbörsen wie StepStone oder Glassdoor zeigen aktuelle Spannen für Deutschland.
Typischer Schichttag bei Level 1
Ein Level-1-Schichttag folgt einem klaren Rhythmus. Das vermittelt Sicherheit gerade am Anfang, weil du weisst, was als Nächstes kommt.
- Schichtübernahme: Du bekommst vom vorherigen Analysten eine mündliche oder schriftliche Übergabe. Offene Incidents, laufende Eskalationen, bekannte Wartungsarbeiten die Fehlalarme erzeugen können. Das dauert 10-15 Minuten.
- Alert-Queue prüfen: Du oeffnest das SIEM oder die Alert-Konsole. Priorisierung nach Schweregrad. Jeder Alert wird initial bewertet: Ist das ein bekanntes Muster? Gibt es Kontext? Hat der betroffene Host bereits Alerts in der Vergangenheit?
- Triage und Analyse: Für jeden Alert schaust du in Logs, EDR-Events und Netzwerkdaten. Du pruefst: Handelt es sich um einen True Positive? Gibt es Indicators of Compromise? Was hat der Nutzer oder das System vor und nach dem Ereignis gemacht?
- Ticket erstellen oder schließen: True Positives werden als Incident dokumentiert und je nach Schwere eskaliert. False Positives werden mit Begründung geschlossen, damit spätere Kollegen die Entscheidung nachvollziehen können.
- Eskalation: Wenn ein Vorfall deine Kompetenz übersteigt oder nach Playbook eskaliert werden muss, informierst du Level 2 mit einer klaren Zusammenfassung: Was wurde beobachtet, welche Systeme sind betroffen, was wurde bereits getan.
- Schichtübergabe: Am Ende dokumentierst du offene Punkte, wichtige Ereignisse des Tages und gibst dem nächsten Analysten eine strukturierte Übergabe.
Die Kerntätigkeiten im Detail
Alerts prüfen und priorisieren
Nicht jeder Alert ist ein echter Angriff. Ein großer Teil der täglichen Arbeit besteht darin, zwischen True Positives (echte Vorfälle) und False Positives (harmlose Ereignisse, die eine Regel ausgelöst haben) zu unterscheiden. Dazu schaust du auf den Kontext: Wer ist der Nutzer? Was macht das System normalerweise? Gibt es älternde Alerts des gleichen Typs? Passt das Ereignis in ein bekanntes Angriffsmuster wie Lateral Movement oder Credential Dumping?
Logs analysieren
Logs sind das Rohmaterial des SOC. Du liest Windows-Eventlogs (Anmeldeereignisse, Prozesse, Netzwerkverbindungen), Linux-Syslogs und Auth-Logs, Firewall- und Proxy-Logs sowie EDR-Telemetrie. Wichtig ist dabei nicht, jeden einzelnen Log-Eintrag auswendig zu kennen, sondern Abweichungen vom Normalzustand zu erkennen.
Tickets schreiben
Ein gutes Ticket erklärt, was beobachtet wurde, welche Systeme betroffen sind, welche Schritte bereits durchgeführt wurden und was als nächstes empfohlen wird. Ein schlechtes Ticket sagt nur "Alert xyz ausgelöst, eskaliert". Saubere Dokumentation ist nicht Bürokratie, sondern erleichtert jedem nachfolgenden Kollegen die Arbeit erheblich und ist bei Incidents forensisch relevant.
False Positives erkennen und melden
Wenn du erkennst, dass eine Regel häufig False Positives erzeugt, ist das wertvoll für das Team. Dokumentiere das Muster und melde es an Level 2 oder das Detection-Team, damit die Regel verbessert werden kann. Alert-Fatigue durch schlechte Detektionsregeln ist eine echte Gefahr in jedem SOC.
Eskalieren und kommunizieren
Wenn du eskalierst, erkläre in maximal drei Sätzen: Was wurde beobachtet, welche Systeme oder Nutzer sind betroffen, und was du bereits getan hast. Bei Kommunikation mit Fachbereichen vermeide Fachjargon. "Ihr Rechner hat versucht, sich mit einer bekannten Malware-Domain zu verbinden, wir haben die Verbindung blockiert und untersuchen weiter" ist besser als "Host hat eine C2-Verbindung initiiert".
Wichtige Grundlagen
Netzwerke
TCP/IP, DNS, HTTP/S, DHCP und Firewalls sind die täglich sichtbaren Protokolle in Logs. Du musst kein Netzwerkingenieur sein, aber du solltest verstehen, warum eine DNS-Anfrage suspicious sein kann und was ein abnormales Verbindungsmuster bedeutet. Übe mit Wireshark und eigenen Captures.
Windows
Windows-Eventlogs sind im SOC allgegenwärtig. Event-IDs wie 4624 (Anmeldung), 4625 (fehlgeschlagene Anmeldung), 4688 (Prozessstart) und 4720 (Nutzer angelegt) solltest du auswendig kennen. Sysmon erweitert die Telemetrie erheblich und ist in vielen SOC-Umgebungen aktiv.
Linux
Auth-Logs, Syslog und Cron-Jobs sind häufige Quellen. Die Kommandozeile ist unerlässlich: grep, awk, cut, sort, uniq und sed helfen dir, großen Log-Mengen schnell zu strukturieren. Ein bash-Grundkurs zahlt sich direkt in der täglich Arbeit aus.
SIEM
SIEM-Systeme (Security Information and Event Management) aggregieren Logs und korrelieren Ereignisse zu Alerts. Splunk, Microsoft Sentinel und Elastic Security sind die häufigsten Plattformen. Lerne, wie du Suchanfragen schreibst (SPL, KQL, Lucene) und wie Korrelationsregeln aufgebaut sind.
EDR
Endpoint Detection and Response (EDR) liefert detaillierte Prozess-, Netzwerk- und Dateisystem-Telemetrie von Endpunkten. Microsoft Defender for Endpoint, CrowdStrike Falcon und SentinelOne sind verbreitet. Im SOC nutzt du EDR, um Verdachtsfälle zu vertiefen und Prozess-Ketten nachzuvollziehen.
Identity und Active Directory
Anmeldeereignisse, Gruppenrichtlinien, privilegierte Accounts und Service-Accounts sind häufige Angriffsvektoren. Ein Grundverständnis für Active Directory, Kerberos und Azure AD / Entra ID ist in den meisten Unternehmens-SOCs unverzichtbar.
Cloud-Grundlagen
Viele Unternehmen betreiben Workloads in AWS, Azure oder GCP. Cloud-Trails, Audit-Logs und IAM-Ereignisse sind zunehmend Teil des SOC-Alltags. Du musst kein Cloud-Architekt sein, aber grundlegende Konzepte wie IAM-Rollen, Storage-Berechtigungen und Login-Events solltest du kennen.
Typische Tool-Landschaft
Kein SOC nutzt dieselben Tools. Wichtig ist, dass du Konzepte verstehst, nicht einzelne Produkte auswendig lernst. Wer weiß, wie ein SIEM funktioniert, kann sich in Splunk oder Sentinel gleichermassen einarbeiten.
| Kategorie | Beispiele | Wofür |
|---|---|---|
| SIEM | Splunk, Microsoft Sentinel, Elastic Security | Log-Aggregation, Korrelation, Alerting, Suche |
| EDR | Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne | Endpunkt-Telemetrie, Prozess-Ketten, Isolation |
| Ticketing | Jira, ServiceNow, TheHive | Incident-Management, Dokumentation, Workflow |
| Threat Intelligence | MISP, AlienVault OTX, VirusTotal | IOC-Abgleich, Reputation-Checks, Kontext |
| Sandboxes | Any.Run, Joe Sandbox, Cuckoo | Dynamische Malware-Analyse, Verhaltensbeobachtung |
| Netzwerkanalyse | Wireshark, Zeek, Suricata | Traffic-Analyse, Signatur-basierte Erkennung |
Skill-Tabelle
| Skill | Warum wichtig | Wie üben |
|---|---|---|
| Linux-CLI | Logs auf Linux-Systemen analysieren, Skripte ausführen | OverTheWire Bandit, eigenes Ubuntu-Lab, täglich 20 Min. Terminal |
| Windows Eventlog | Grossteil der Enterprise-Infrastruktur läuft auf Windows | Event-IDs lernen, Windows-VM mit Sysmon aufsetzen, CTFs mit Windows-Logs |
| TCP/IP | Netzwerklogs ohne Protokollverständnis nicht interpretierbar | Wireshark-Captures analysieren, TryHackMe Netzwerk-Pfad |
| DNS | DNS-Exfiltration und C2-Kommunikation sind häufige Angriffsmuster | DNS-Logs mit Wireshark analysieren, eigene Resolver-Logs auswerten |
| Logs lesen | Kernkompetenz im SOC, ohne sie geht nichts | Sample-Logs von GitHub, Blue Team Labs Online, BOTS-Datensätze |
| Skripting | Automatisierung wiederkehrender Analyse-Schritte | Python-Log-Parser schreiben, Bash-Skripte für Datei-Analyse |
| Dokumentation | Schlechte Tickets kosten Zeit und können Vorfälle verzögern | Jeden Lab-Schritt in Markdown dokumentieren, Write-Ups veröffentlichen |
| Kommunikation | Eskalation und Kunden-Kommunikation benötigen klare Sprache | Incidents in zwei Sätzen zusammenfassen üben, Feedback einholen |
Realistische Einstiegspfade
Quereinstieg mit Eigenstudium
Wer aus einem anderen Bereich kommt (Wirtschaft, Handwerk, Gastronomie), kann über gezieltes Selbststudium einsteigen. Wichtig ist ein Portfolio mit konkreten Projekten und mindestens ein anerkanntes Zertifikat wie Security+ oder BTL1, das die Grundkenntnisse belegt.
Trainee-Programm
Einige große MSSPs (Managed Security Service Provider) und Banken bieten strukturierte Trainee-Einstiege an. Bewerbung mit gutem Abitur oder abgeschlossener Ausbildung möglich. Vorteil: Du lernst unter Anleitung und wirst bezahlt.
Helpdesk zu SOC
Einer der häufigsten Pfade. IT-Support-Erfahrung vermittelt bereits Windows-, Netzwerk- und Kommunikationskenntnisse. Der Schritt ins SOC erfordert dann vor allem vertiefte Kenntnisse in Log-Analyse und Sicherheitskonzepten.
Studium mit Praktikum
Ein Studium in Informatik, IT-Sicherheit oder Wirtschaftsinformatik kann den Einstieg erleichtern, ersetzt aber keine praktische Erfahrung. Wichtig: Praktika in SOC oder Security-nahen Abteilungen aktiv suchen, nicht nur auf den Abschluss warten.
Sinnvolle Zertifikate als Orientierung
Zertifikate sind keine Garantie für eine Stelle, helfen aber dabei, Wissen zu strukturieren und Commitment zu signalisieren. Die folgende Tabelle gibt eine grobe Orientierung.
| Zertifikat | Anbieter | Aufwand | Für wen |
|---|---|---|---|
| CompTIA Security+ | CompTIA | ca. 80-120 Stunden Vorbereitung | Breiter Einstieg, weltweit anerkannt, gut als erstes Zertifikat |
| BTL1 | Security Blue Team | ca. 40-60 Stunden, praxisnah | Wer direkt SOC-Praxis vertiefen will, sehr hands-on |
| SC-200 | Microsoft | ca. 40-80 Stunden | SOC-Stellen im Microsoft-Stack, Sentinel-Fokus |
| Splunk Core Certified User | Splunk | ca. 20-30 Stunden | Wer sich auf Splunk-Umgebungen vorbereiten will |
Mehr Details zu Auswahl und Reihenfolge findest du im Beitrag Cybersecurity-Zertifikate.
Beispielprojekte fürs Portfolio
1. Linux-Logs analysieren
Richte eine Ubuntu-VM ein und aktiviere Logging für SSH-Logins, sudo-Nutzung und Cron-Jobs. Generiere absichtlich Failed-Login-Events und analysiere sie mit grep und awk. Dokumentiere deinen Prozess und die Ergebnisse in Markdown. Das zeigt grundlegende Kompetenz im Umgang mit echten System-Logs und ist für Einstiegspositionen bereits relevant.
2. Windows-Events verstehen
Installiere Sysmon auf einer Windows-VM und führe alltägliche Aktionen durch: Datei erstellen, Netzwerkverbindung aufbauen, neues Nutzerkonto anlegen. Beobachte, welche Event-IDs generiert werden. Schreibe einen kurzen Report, welche Events dir als SOC Analyst aufgefallen waeren und warum. Das ist ein konkretes, nachvollziehbares Projekt für dein Portfolio.
3. Detection-Ideen dokumentieren
Recherchiere eine bekannte Angriffstechnik aus dem MITRE ATT&CK-Framework, zum Beispiel T1078 (Valid Accounts) oder T1059 (Command and Scripting Interpreter). Überlege, welche Log-Events diese Technik in deiner Lab-Umgebung erzeugen würde und wie eine einfache Detection-Regel aussehen könnte. Veroffentliche das als Write-Up auf GitHub.
4. Incident-Report schreiben
Nutze einen öffentlichen Incident-Datensatz (z.B. BOTS von Splunk oder Blue Team Labs Online) und schreibe einen strukturierten Incident-Report. Format: Executive Summary, Timeline, betroffene Systeme, empfohlene Maßnahmen. Das ist genau das Format, das du im Berufsalltag benotigst und das Bewerber kaum im Portfolio haben.
5. Eigenes Homelab aufbauen
Mit VirtualBox oder Proxmox kannst du eine kleine Lab-Umgebung aufbauen: ein Windows-Client, ein Linux-Server und ein einfaches SIEM wie Wazuh oder Elastic Stack. Dokumentiere den Aufbau vollständig in einem GitHub-Repository. Das zeigt technisches Verständnis und Eigeninitiative und ist eines der wirkungsvollsten Portfolio-Stücke für Einstiegspositionen. Schaue auch in unseren Guide Eigenes Hacking-Lab aufbauen.
Bewerbung und Portfolio
Ein SOC-Analyst-Portfolio unterscheidet sich von einem klassischen IT-Lebenslauf. Recruiter und technische Interviewer suchen nach Belegen für praktische Fähigkeiten, nicht nach einer langen Zertifikatsliste.
- Lebenslauf: Konkrete Tätigkeiten statt Buzzwords. Nicht "Kenntnisse in Cybersecurity" sondern "SIEM-Alerts triagiert (Splunk), Incident-Reports nach NIST-Format erstellt, 3 CTF-Challenges abgeschlossen".
- GitHub: Alle Lab-Projekte, Skripte und Write-Ups veroffentlichen. Gepflegte README-Dateien sind wichtig. Auch unfertige Projekte sind besser als ein leeres Profil.
- Write-Ups: CTF-Lösungen oder eigene Lab-Analysen als strukturierte Artikel. Zeigt, dass du deinen Gedankengang klar kommunizieren kannst - eine Kernkompetenz im SOC.
- LinkedIn: Aktuelle Skills und Zertifikate eintragen. Beiträge und Kommentare zu Security-Themen zeigen genuine Neugier. Nicht übertreiben, aber ein aktives Profil hilft.
Interviewvorbereitung
Technische Interviews für SOC-Positionen sind selten reine Theorieabfragen. Oft werden kurze Szenarien besprochen oder Log-Ausschnitte gezeigt.
Typische technische Fragen
- Was ist der Unterschied zwischen einem IDS und einem IPS?
- Du siehst viele failed SSH-Logins aus einer einzelnen IP - was machst du als Erstes?
- Erklaere, was ein False Positive ist und wie du damit umgehst.
- Was verstehst du unter Lateral Movement?
- Wie eskalierst du einen Vorfall an Level 2?
Kommunikationsfragen
- Beschreibe ein technisches Problem, das du einem Nicht-Techniker erklärt hast.
- Wie gehst du vor, wenn du unter Zeitdruck mehrere Aufgaben gleichzeitig hast?
- Erzähl von einem Moment, in dem du einen Fehler gemacht hast. Was hast du gelernt?
Gute Ruckfragen an den Interviewer
- Wie ist das Schichtmodell aufgebaut und gibt es Mentoring für neue Analysten?
- Welche SIEM-Plattform und EDR-Lösung wird eingesetzt?
- Wie läuft der Übergang von Level 1 zu Level 2 typischerweise ab?
- Wie werden Playbooks im Team entwickelt und aktualisiert?
Typische Anfängerfehler beim Berufseinstieg
| Fehler | Warum problematisch | Besser machen |
|---|---|---|
| Alerts ohne Kontext schließen | Echte Vorfälle werden übersehen | Immer Kontext prüfen: Wer ist betroffen, was war davor, was danach? |
| Schlechte Ticketdokumentation | Folgekollegen und Eskalation werden behindert | Was, wer, wann, welche Schritte bereits gemacht - immer vollständig |
| Zu lange selbst debuggen statt eskalieren | Kritische Zeit geht verloren | Nach Playbook eskalieren, lieber zu früh als zu spät |
| Zertifikate sammeln ohne Praxis | Theorie ohne Anwendung bringt wenig im Interview | Jedes Lernthema mit Lab-Projekten verbinden |
| Keine eigene Lernstruktur | Zufälliges Lernen führt zu Lücken in Grundlagen | Lernpfad aufschreiben, Fortschritt tracken, regelmäßig evaluieren |
| Kommunikation vernachlässigen | Im SOC ist klare Kommunikation genauso wichtig wie Technik | Jede Lab-Analyse schriftlich zusammenfassen und Feedback einholen |
| Auf falschen Systemen üben | Rechtliche und ethische Konsequenzen | Nur in eigenem Lab, CTFs oder erlaubten Lernplattformen |
| Burnout ignorieren | SOC-Schichtarbeit ist mental belastend | Erholungsroutinen aufbauen, Grenzen kommunizieren, Hilfe suchen |
Lernziele
Nach diesem Leitfaden solltest du in der Lage sein:
- 1.Die Rolle eines SOC Analysts auf L1 und L2 realistisch einzuschätzen und zu erklären
- 2.Einen typischen Schichttag zu beschreiben und die eigene Arbeit darin zu verorten
- 3.Den Unterschied zwischen True Positive und False Positive an einem Beispiel zu erklären
- 4.Mindestens fünf relevante Tools der SOC-Tool-Landschaft und ihren Zweck zu benennen
- 5.Einen eigenen strukturierten Lernpfad für die wichtigsten Grundlagen zu erstellen
- 6.Mindestens zwei konkrete Portfolio-Projekte zu planen und umzusetzen
- 7.Eine Bewerbung mit konkreten, belegten Skills statt allgemeiner Buzzwords zu schreiben
- 8.Typische Interview-Fragen für SOC-Positionen selbstständig zu beantworten
Praxisbezug
Übung 1 - Linux Auth-Log analysieren: Richte eine Ubuntu-VM ein und führe absichtlich fehlgeschlagene SSH-Logins durch. Analysiere danach/var/log/auth.logmit grep nach "Failed" und "Invalid user". Zaehle die Versuche pro IP mitawk. Dokumentiere deine Beobachtungen in einer Markdown-Datei mit Zeitstempel, betroffene IP, Anzahl Versuche und deine Bewertung ob eskalierungsnotwendig.
Übung 2 - Incident-Report in Markdown: Wähle einen CTF-Challenge oder einen öffentlichen Sample-Datensatz (z.B. BOTS v1 von Splunk). Schreibe einen einseitigen Incident-Report mit den Abschnitten: Executive Summary (2-3 Sätze), Timeline der Ereignisse, betroffene Systeme und Nutzer, empfohlene Maßnahmen. Veroffentliche den Report als Gist oder GitHub-Datei.
Legal-Hinweis
Sämtliche Übungen ausschließlich in eigenen virtuellen Maschinen, auf CTF-Plattformen (TryHackMe, Hack The Box, Blue Team Labs Online) oder mit öffentlich verfügbaren Sample-Datensätzen durchführen. Kein Zugriff auf fremde Systeme, Netzwerke oder Produktionsdaten - auch nicht zu Lernzwecken.
Nächste Lernschritte
FAQ
Brauche ich ein Studium, um SOC Analyst zu werden?
+
Nein, ein Studium ist keine zwingende Voraussetzung. Viele erfolgreiche SOC Analysts kommen aus dem Helpdesk, aus IT-Ausbildungen oder sind Quereinsteiger mit nachgewiesenen praktischen Kenntnissen. Entscheidend sind belegbare Skills: Logs lesen, Incidents dokumentieren, grundlegendes Netzwerkverstaendnis. Ein Portfolio mit eigenen Projekten kann ein Studium in vielen Fällen ersetzen oder erganzen.
Wie sieht ein typisches Bewerbungsgespräch für eine SOC-Position aus?
+
In der Regel gibt es ein HR-Gespräch, ein technisches Interview und manchmal eine praktische Aufgabe. Im technischen Teil werden oft Szenarien besprochen: Was machst du, wenn du einen unbekannten Prozess im EDR siehst? Wie priorisierst du mehrere gleichzeitige Alerts? Klare Kommunikation, ehrliche Selbsteinschaetzung und ein gepflegtes Portfolio sind wichtiger als das perfekte Antwort-Skript.
Welche Schichten erwarten mich im SOC?
+
Das hängt stark vom Arbeitgeber ab. Große Unternehmen und MSSPs betreiben 24/7-Betrieb mit rotierenden Schichten. Kleinere in-house SOCs arbeiten häufig nur tagesweise. Frage im Vorstellungsgespräch konkret nach dem Schichtmodell, Schichtzulagen und wie Wochenendarbeit geregelt ist. Das ist keine unangenehme Frage, sondern zeigt professionelles Interesse.
Muss ich programmieren können?
+
Kein Software-Engineer-Niveau wird erwartet, aber grundlegende Skripting-Kenntnisse zahlen sich schnell aus. Mit Bash oder PowerShell kannst du Log-Analysen automatisieren, mit Python einfache Parsing-Skripte schreiben. Das hebt dich von anderen Bewerber:innen ab und erleichtert den Alltag erheblich. Starte mit kleinen, konkreten Skripten für reale Aufgaben.
Wie lange dauert der Aufstieg von Level 1 zu Level 2?
+
Typisch sind 12 bis 24 Monate, hängt aber stark von der Eigenmotivation, dem Arbeitgeber und dem Volumen der bearbeiteten Incidents ab. Wer aktiv Fälle dokumentiert, eigene Detektionsideen einbringt und Zertifikate nachlegt, wird schneller befördert. Wer nur Tickets abarbeitet und keine Initiative zeigt, bleibt länger auf L1.
Welche Zertifikate sollte ich zuerst machen?
+
Eine bewaehrte Reihenfolge: Zuerst CompTIA Security+ als breite Basis, dann BTL1 (Blue Team Level 1) für konkrete SOC-Praxis. Danach je nach Arbeitgeber-Stack: SC-200 für Microsoft Sentinel oder Splunk Core Certified User. Zertifikate ersetzen keine Praxiserfahrung, helfen aber beim Strukturieren des Lernens und signalisieren Commitment.