Zum Hauptinhalt springen
Alle Rollenprofile

Cybersecurity

SOC-Analyst (Security Operations Center)

Ein SOC-Analyst überwacht die IT-Infrastruktur eines Unternehmens im Security Operations Center auf sicherheitsrelevante Ereignisse. Er analysiert Alarme aus SIEM- und EDR-Systemen, bewertet, ob ein echter Angriff vorliegt, und leitet bei bestätigten Vorfällen die Incident Response ein. SOC-Analysten arbeiten typischerweise in Leveln (L1-Triage, L2-Analyse, L3-Incident-Response/Threat-Hunting) und bilden die operative erste Verteidigungslinie gegen Cyberangriffe.

Zuletzt aktualisiert: 10. Juni 2026

// aufgaben

Aufgaben & Verantwortung

  • Überwachung und Triage von Sicherheitsalarmen aus SIEM-Systemen (z. B. Microsoft Sentinel, Splunk, Elastic)
  • Analyse von Endpoint-, Netzwerk- und Cloud-Telemetrie (EDR/XDR, Firewall-, DNS- und Identity-Logs)
  • Eindämmung bestätigter Vorfälle: Hosts isolieren, Konten sperren, Eskalation an Incident Response
  • Threat Hunting: hypothesengetriebene Suche nach Angreiferaktivität entlang von MITRE ATT&CK
  • Detection Engineering: Erstellen und Tuning von Erkennungsregeln, Reduktion von False Positives
  • Dokumentation von Vorfällen und Zulieferung für gesetzliche Meldepflichten (z. B. NIS2-Meldungen)
  • Auswertung von Threat Intelligence und Anreicherung von Indicators of Compromise (IoCs)
  • Mitwirkung an Playbooks und Automatisierung wiederkehrender Analyse-Schritte (SOAR)

// skills

Anforderungsprofil

Must-have

  • Praktische Erfahrung mit mindestens einem SIEM (Microsoft Sentinel, Splunk, Elastic Security o. ä.)
  • Sicherer Umgang mit EDR-/XDR-Plattformen (z. B. Microsoft Defender, CrowdStrike, SentinelOne)
  • Solides Verständnis von Netzwerkprotokollen (TCP/IP, DNS, HTTP/TLS) und Log-Quellen unter Windows und Linux
  • Kenntnis gängiger Angriffstechniken und des MITRE-ATT&CK-Frameworks
  • Strukturierte, dokumentationsfeste Arbeitsweise unter Zeitdruck (Triage, Eskalation, Schichtübergabe)
  • Grundkenntnisse in Scripting für Analyse und Automatisierung (Python, PowerShell oder KQL)
  • Einschlägige Zertifizierung oder gleichwertige Praxis, z. B. CompTIA Security+/CySA+, BTL1 oder GCIH

Nice-to-have

  • Erfahrung mit Cloud-Security-Monitoring (Azure, AWS, Microsoft 365)
  • Malware-Analyse-Grundlagen (statisch/dynamisch, Sandboxing)
  • Digitale Forensik (Disk-, Memory-, Log-Forensik)
  • Erfahrung mit SOAR-Plattformen und Playbook-Automatisierung
  • Bereitschaft zu Schicht- oder Rufbereitschaftsmodellen im 24/7-Betrieb
  • Erfahrung aus einem MSSP-Umfeld mit mehreren parallelen Kundenumgebungen

// gehalt

Gehalt

Erfahrung / KontextBrutto-Jahresgehalt
L1 / Einstieg (0–2 Jahre, Alert-Triage)45.000–58.000 € brutto/Jahr
L2 / Analyst mit Berufserfahrung (2–5 Jahre)55.000–75.000 € brutto/Jahr
L3 / Senior-Analyst, Incident Responder, Threat Hunter (5+ Jahre)70.000–95.000 € brutto/Jahr, teils zzgl. Schichtzulagen

Alle Angaben sind Orientierungswerte für Deutschland und hängen von Region, Unternehmensgröße und Erfahrung ab (Stand 2026).

// interview

Typische Interviewfragen

  1. 01Ein EDR-Alert meldet eine verdächtige PowerShell-Ausführung auf einem Client. Wie gehen Sie bei der Triage vor, und wann eskalieren Sie?
  2. 02Wie unterscheiden Sie bei einer Vielzahl fehlgeschlagener Logins zwischen Brute-Force-Angriff, Password Spraying und harmloser Fehlkonfiguration?
  3. 03Welche Log-Quellen halten Sie für die Erkennung von Lateral Movement in einer Windows-Domäne für unverzichtbar – und warum?
  4. 04Beschreiben Sie einen Threat Hunt, den Sie selbst durchgeführt haben: Hypothese, Datenbasis, Ergebnis.
  5. 05Wie würden Sie eine Erkennungsregel tunen, die täglich hunderte False Positives erzeugt, ohne echte Treffer zu verlieren?
  6. 06Welche Schritte unternehmen Sie in der ersten Stunde nach Bestätigung eines Ransomware-Befalls auf mehreren Systemen?
  7. 07Wie ordnen Sie einen beobachteten Angriff in MITRE ATT&CK ein, und welchen praktischen Nutzen hat das Mapping für das Team?

// markt

Marktlage

SOC-Analysten sind in Deutschland stark nachgefragt und auf allen Erfahrungsstufen knapp. Der allgemeine Fachkräftemangel in der Cybersicherheit trifft den SOC-Bereich doppelt: 24/7-Betrieb erfordert mehrköpfige Teams, und erfahrene L2-/L3-Analysten wechseln häufig in spezialisierte Rollen wie Incident Response, Threat Intelligence oder Detection Engineering. NIS2 erhöht den Druck zusätzlich, weil deutlich mehr Unternehmen – darunter viele Mittelständler – Erkennungs- und Meldefähigkeiten nachweisen müssen, die ohne SOC-Kompetenz kaum darstellbar sind. Viele KMU entscheiden sich deshalb für ein hybrides Modell: Ein externer MSSP übernimmt das 24/7-Monitoring, während intern ein bis zwei Analysten die Schnittstelle, das Tuning und die unternehmensspezifische Bewertung verantworten. Für Arbeitgeber heißt das: Berufseinsteiger mit solidem Grundlagenwissen sind gewinnbar und entwickelbar, erfahrene Analysten dagegen fast nur über aktive Ansprache. Attraktiv sind klare Entwicklungspfade Richtung L3, moderne Tooling-Landschaften und planbare Schichtmodelle.

// faq

Häufige Fragen

Die Entscheidung hängt von Größe, Risikoprofil und Regulatorik ab. Ein vollwertiges internes 24/7-SOC erfordert realistisch acht bis zwölf Analysten zuzüglich Tooling und ist für die meisten Mittelständler wirtschaftlich nicht darstellbar. Ein MSSP liefert Skaleneffekte und Rund-um-die-Uhr-Abdeckung, kennt aber die unternehmensspezifischen Prozesse und Kronjuwelen weniger gut – die Bewertung „ist dieser Alarm für uns kritisch?“ bleibt intern. Bewährt hat sich daher ein hybrides Modell: Der MSSP übernimmt Monitoring und Erst-Triage, ein kleines internes Team (oft ein bis drei Analysten) steuert den Dienstleister, verantwortet Use-Cases, Incident-Koordination und die Zulieferung zu Meldepflichten nach NIS2. Wichtig sind vertraglich klare Reaktionszeiten, Zugriff auf Rohdaten und ein definierter Eskalationsweg in die eigene Organisation.

NOBA Experts prüft SOC-Kandidaten über eine technische Tiefenprüfung statt reiner Lebenslauf-Sichtung: Im fachlichen Interview werden reale Triage-Szenarien, der Umgang mit SIEM-/EDR-Tooling und das Verständnis von Angriffstechniken entlang MITRE ATT&CK besprochen – so trennen sich Kandidaten mit echter Analysepraxis von solchen, die nur Dashboards bedient haben. Die Identifikation passender Profile erfolgt über KI-gestütztes Matching kombiniert mit aktiver Direktansprache, da erfahrene Analysten selten aktiv suchen. Auftraggeber erhalten innerhalb von zwei bis sechs Wochen eine Shortlist mit drei bis fünf geprüften Kandidaten, inklusive Einschätzung zu Level (L1–L3), Schichtbereitschaft und Gehaltsrahmen. Die Zusammenarbeit ist ab Tag 1 durch ein NDA geschützt und auf Wunsch zum Festpreis kalkulierbar.

// verwandte rollen

Verwandte Rollenprofile

Penetration Tester (Ethical Hacker)

Was macht ein Penetration Tester? Aufgaben, OSCP & Co., realistische Gehaltsspannen in Deutschland und fachlich tiefe Interviewfragen für die Besetzung.

Zum Rollenprofil

CISO (Chief Information Security Officer)

Was macht ein CISO? Aufgaben, Gehaltsspannen in Deutschland, geforderte Zertifizierungen wie CISSP/CISM und die wichtigsten Interviewfragen im Überblick.

Zum Rollenprofil

GRC-Manager (Governance, Risk & Compliance)

Was macht ein GRC-Manager? Aufgaben rund um ISO 27001, NIS2 und DORA, Gehaltsspannen in Deutschland, geforderte Skills und typische Interviewfragen.

Zum Rollenprofil

DevOps Engineer

DevOps Engineer im Profil: Aufgaben, Must-have-Skills, Gehaltsspannen 2026 in Deutschland, Interviewfragen und Marktlage – kompakt für Hiring-Entscheider.

Zum Rollenprofil

SOC-Analyst besetzen?

NOBA Experts besetzt diese Rolle mit KI-gestütztem Matching und persönlicher technischer Vorabprüfung — DACH-weit, auf Wunsch zum Festpreis.

Cybersecurity-Recruiting mit NOBA ExpertsAls Kandidat:in bewerben