SOC-Analyst vs. Sicherheitsanalyst: Wo liegt der Unterschied?

Sicherheitsanalyst:innen sind Expert:innen, die Probleme in Sicherheitssystemen und Netzwerken finden und lösen. Für viele ist eine Karriere in der Cybersicherheit ein erstrebenswertes Ziel. Die Rolle der Sicherheitsanalyst:innen belegte Platz 6 der 100 besten Jobs des Jahres 2025.¹ Obwohl dieser Beruf anspruchsvoll ist und ein strenges Auswahlverfahren greift, verspricht er eine wettbewerbsfähige Vergütung, Krisensicherheit und Entwicklungsmöglichkeiten. Die Tätigkeit setzt sowohl technisches Fachwissen als auch Problemlösungskompetenz voraus und bietet gleichzeitig die Chance, wirklich etwas zu bewirken.

Klingt zu schön, um wahr zu sein? Die Rolle des Sicherheitsanalysten bringt eine große Verantwortung gegenüber Ihrem Team und Ihrem SOC mit sich. Doch was genau sind ihre Aufgaben?

• Überwachung von Systemen und Netzwerken: Sicherheitsanalyst:innen nutzen Continuous Profiling, um den Netzwerkverkehr, Protokolldateien und andere Systeme auf verdächtige Aktivitäten hin zu überwachen. Sie analysieren Daten, um potenzielle Sicherheitsbedrohungen und Schwachstellen zu identifizieren. Zudem führen sie regelmäßige Schwachstellenbewertungen, Risikoanalysen und Penetrationstests durch. 

• Untersuchung von Vorfällen: Sicherheitsanalysten reagieren auf Sicherheitsvorfälle und Datenschutzverletzungen, untersuchen und analysieren deren Ursachen. Sie finden Wege, den Schaden einzudämmen. Sie erforschen und analysieren kontinuierlich neue Bedrohungen, um über die neuesten Sicherheitstrends auf dem Laufenden zu bleiben.

• Implementierung von Sicherheitsmaßnahmen: Sicherheitsanalysten erstellen und pflegen Dokumentationen, wie z. B. Incident-Response- und Wiederherstellungspläne. Sie installieren und warten Sicherheitssoftware und -hardware und verwalten den Benutzerzugriff auf Systeme und Daten. Sie müssen auch Sicherheitsrisiken und Empfehlungen an andere Teammitglieder und Stakeholder kommunizieren.

SOC-Analyst:innen sind für die Echtzeitüberwachung von Netzwerken verantwortlich. Sie analysieren Sicherheitsereignisse, um Sicherheitsvorfälle zu identifizieren, zu untersuchen und zu beheben, und helfen dabei, versteckte Bedrohungen proaktiv zu erkennen. In der Regel ist nicht jeder Sicherheitsanalyst für all diese Aufgaben zuständig.

Üblicherweise arbeiten SOC-Analyst:innen als Teil eines größeren Teams innerhalb des SOC. Dieses Team besteht aus SOC-Manager:in, Sicherheitsingenieur:innen, Sicherheitsadministrator:innen und anderen SOC-Analyst:innen, die in drei Ebenen unterteilt sind.

Tier-1-SOC-Analyst:innen sind SOC-Analysten auf Einstiegsniveau. Sie sind die ersten, die auf Sicherheitswarnungen und potenzielle Bedrohungen reagieren, und sind für das Echtzeit-Monitoring von Netzwerken und Systemen verantwortlich. Sie sollten in der Lage sein, Warnmeldungen zu priorisieren, Warnungsdaten mit zusätzlichem Kontext anzureichern und ihre Ergebnisse zu dokumentieren. 

Diese SOC-Analyst:innen folgen etablierten Protokollen, um Sicherheitsbedrohungen zu identifizieren, zu bewerten und darauf zu reagieren. Sie sind auch für die Verwaltung von SOC-Monitoring- und Berichterstattungstools wie Security Information and Event Management (SIEM) oder Extended Detection and Response (XDR) verantwortlich.

Tier-2-SOC-Analyst:innen sind für die Incident-Response zuständig und übernehmen die Identifizierung, Untersuchung und Behebung von Sicherheitsvorfällen. In der Regel handelt es sich hierbei um erfahrenere SOC-Analyst:innen, die über das nötige Fachwissen verfügen, um zeitkritische und komplexere Probleme zu lösen. 

Wenn Tier-1-Analyst:innen Cyberangriffe eskalieren, entscheiden Tier-2-SOC-Analyst:innen über die entsprechenden Gegenmaßnahmen. Sie führen forensische Analysen durch, implementieren Strategien zur Eindämmung und Behebung der Schäden und unterstützen bei der Koordinierung der Incident-Response zwischen den Sicherheitsteams. 

Tier-2-Sicherheitsanalyst:innen sollten über fundiertes Wissen verfügen, um benutzerdefinierte Erkennungsregeln zu entwickeln, Ereignisse zu korrelieren, um wertvollen Kontext zu gewinnen, und das Ausmaß eines potenziellen Angriffs zu verstehen. Sie sollten proaktiv dazu beitragen, Sicherheits-Workflows zu verbessern und zu automatisieren. Sie fungieren auch häufig als Mentor:innen für Tier-1-SOC-Analyst:innen.

Die erfahrensten SOC-Analyst:innen sind Bedrohungsjäger, die proaktiv nach versteckten Bedrohungen in den Systemen und Netzwerken der Organisation suchen. 

Tier-3-SOC-Analyst:innen suchen nach Sicherheitslücken, untersuchen die neuesten Cybersicherheitstrends und Bedrohungsinformationen und entwickeln maßgeschneiderte Erkennungsmechanismen für neue Bedrohungen. Als Expert:innen für forensische Analysen, Reverse Engineering und Schwachstellenanalysen führen sie gründliche Untersuchungen bei komplexeren Angriffen durch.

Tier-3-Sicherheitsanalyst:innen sind auch Führungskräfte. Sie bieten technische Führung und Mentoring für alle SOC-Analyst:innen und arbeiten mit Bedrohungsjäger:innen in anderen Organisationen zusammen.

Es gibt keinen einzigen Satz erforderlicher Fähigkeiten für SOC-Analyst:innen. Tatsächlich ist nicht einmal ein Hintergrund in der Cybersicherheit erforderlich. Natürlich wird eine gewisse technische Erfahrung, wie z. B. im Bereich Netzwerk- oder Softwareentwicklung, für diejenigen, die sich für diese Art von Tätigkeit interessieren, in der Regel bevorzugt. Aber die Arbeit von SOC-Analyst:innen besteht zu gleichen Teilen aus Führung und Problemlösung.

Erfolgreiche SOC-Analyst:innen verfügen typischerweise über eine Kombination von Fähigkeiten in einigen dieser Bereiche:

• SOC-Tools: Fundierte Kenntnisse von SIEM-Plattformen sind entscheidend, aber das Verständnis anderer Sicherheitstools (einschließlich Security Orchestration, Automation und Reaktion (SOAR), XDR, Schwachstellenscanner und Log-Monitoring) kann ebenfalls hilfreich sein.

• Netzwerksicherheit: Ein solides Verständnis der Netzwerkgrundlagen (TCP/IP, HTTP, DNS und SSL), von Firewalls, VPNs sowie von Intrusion-Detection- und Intrusion-Prevention-Systemen (IDS/IPS) ist unerlässlich. 

• Cloud-Sicherheit: Vertrautheit mit großen Cloudanbietern und den Grundlagen der Cloud-Sicherheit ist wichtig, um Cloud-Umgebungen abzusichern.

• Bedrohungsanalyse und -informationen: Vertrautheit mit MITRE ATT&CK® und den Cyber Kill Chain-Frameworks sowie einer Threat-Intelligence-Platform (TIP) ist ein Muss. 

• Bedrohungsjagd: Die Reaktion auf Vorfälle umfasst das Auffinden und Identifizieren von Schwachstellen, das Triagieren von Warnmeldungen, die Untersuchung der Ursache, die Eindämmung des Schadens, die Wiederherstellung betroffener Systeme und die Durchführung digitaler Forensik.

• Scripting und Reverse Engineering: Die Automatisierung von Workflows und sich wiederholenden Aufgaben erfolgt mit einer der Skripting-Sprachen (z. B. Python), während Reverse Engineering ein Verständnis von Debugging-Tools, Disassemblern und internen Systemtools erfordert. 

• Einhaltung von Sicherheitsvorschriften: Die meisten Unternehmen sind verpflichtet, eine Kombination aus branchenspezifischen, staatlich vorgeschriebenen oder internationalen Cybersicherheitsvorschriften einzuhalten, darunter das NIST 2.0-Framework, ISO/IEC 27001, die Datenschutz-Grundverordnung (DSGVO),der Health Insurance Portability and Accountability Act (HIPAA)und die CIS Critical Security Controls (CIS Controls).

• Soft Skills: Problemlösungs-, Kommunikations- und analytische Fähigkeiten sind für diese Rolle unerlässlich.

Ersetzen Sie alte SIEMs durch KI-gesteuerte Security Analytics.

Obwohl einige davon von entscheidender Bedeutung sind, können sich SOC-Analyst:innen viele dieser Fähigkeiten erst im Berufsleben aneignen.  

Darüber hinaus gibt es eine Reihe spezialisierter Zertifizierungen, die Sicherheitsanalyst:innen dabei helfen können, sich weiterzuentwickeln und ihre Fähigkeiten auszubauen. Für angehende Tier-1-SOC-Analyst:innen und Personen, die den Einstieg in die Branche suchen, eignen sich beispielsweise die Zertifizierungen Certified SOC Analyst (CSA) des EC-Councils, GIAC Information Security Fundamentals (GISF) und Security+ von CompTIA. Für angehende Sicherheitsanalyst:innen mit mindestens fünf Jahren Berufserfahrung gibt es die fortgeschrittenere Zertifizierung zum Certified Information Systems Security Professional (CISSP).

Sicherheitsanalysten beginnen ihre Karriere typischerweise in Einstiegspositionen in der IT oder Cybersicherheit. Mit der Weiterentwicklung ihrer Fähigkeiten, dem Absolvieren von Zertifizierungen und kontinuierlichem Lernen steigen sie zu Junior-Sicherheitsanalysten (oder Tier-1-Sicherheitsanalysten) auf. Viele steigen dann in Führungspositionen oder andere Cybersicherheitsrollen auf, beispielsweise in den Bereichen Security-Technik und -architektur.
Das Gehalt von Sicherheitsanalysten hängt von der Rolle, den Verantwortlichkeiten, der Branchennachfrage, dem Standort und der Erfahrung ab. Laut Glassdoor liegt das Gehalt von Sicherheitsanalysten zwischen etwa 60.000 US-Dollar für Einstiegspositionen und bis zu 200.000 US-Dollar für höhere Positionen.²

Es gibt viele Möglichkeiten, SOC-Analyst:in zu werden. Der klassische Pfad führt über einen Bachelor-Abschluss in Informatik direkt in eine Einstiegsposition. Andere wiederum starten im klassischen IT-Bereich oder wechseln aus anderen Teams der Cybersicherheit. Auch ein Quereinstieg ist möglich: Viele nutzen spezialisierte Zertifizierungen, um erfolgreich in der Branche Fuß zu fassen.

Selbst mit einem Hochschulabschluss oder etwas IT-Erfahrung greifen viele angehende SOC-Analysten auf Zertifizierungen zurück, um ihr Wissen im Bereich Cybersicherheit zu erweitern.

Der wichtigste Faktor für angehende SOC-Analyst:innen oder Personen, die eine Beförderung anstreben, ist die praktische Erfahrung. Die Suche nach einem Mentor oder die Bewerbung um ein Praktikum können dabei helfen, wertvolle Praxiserfahrung zu sammeln.

Cybersicherheitsexperten wählen Elastic Security für KI-gestützte Security Analytics, um Daten zu konsolidieren, Aufgaben zu automatisieren und umsetzbare Einblicke zu gewinnen, was letztendlich die Sicherheitslage ihres Unternehmens verbessert und Kosten senkt. 

Die Elasticsearch Platform und Funktionen wie Attack Discovery und Elastic AI Assistant optimieren Triage, Untersuchung und Reaktion und ermöglichen es SOC-Analyst:innen, sich auf die kritischsten Bedrohungen zu konzentrieren, Burnout zu vermeiden und ihre Produktivität zu steigern.

Erfahren Sie, wie Elastic Security Ihrer Organisation helfen kann.

Entdecken Sie weitere Ressourcen für SOC- und Sicherheitsanalyst:innen. 

• Einführung in Elastic Security: Sicherheitsabläufe modernisieren

• Kann GenAI Arbeitsplätze in der Cybersicherheit ersetzen?

• KI für SecOps- und SOC-Teams

• Umfassender Leitfaden zur KI in der Cybersicherheit

• Was ist ein Security Operations Center (SOC)?

• Was sind Sicherheitsoperationen (SecOps)?

Quellen:

1. U.S. News & World Report, „100 Best Jobs,“ 2025.

2. Glassdoor, „How much does a Soc Analyst make?,“ 2025.

Die Entscheidung über die Veröffentlichung der in diesem Blogeintrag beschriebenen Leistungsmerkmale und Features sowie deren Zeitpunkt liegt allein bei Elastic. Es ist möglich, dass noch nicht verfügbare Leistungsmerkmale oder Features nicht rechtzeitig oder überhaupt nicht veröffentlicht werden.

In diesem Blogpost haben wir möglicherweise generative KI-Tools von Drittanbietern verwendet oder darauf Bezug genommen, die von ihren jeweiligen Eigentümern betrieben werden. Elastic hat keine Kontrolle über die Drittanbieter-Tools und übernimmt keine Verantwortung oder Haftung für ihre Inhalte, ihren Betrieb oder ihre Anwendung sowie für etwaige Verluste oder Schäden, die sich aus Ihrer Anwendung solcher Tools ergeben. Gehen Sie vorsichtig vor, wenn Sie KI-Tools mit personenbezogenen, sensiblen oder vertraulichen Daten verwenden. Alle von Ihnen eingegebenen Daten können für das Training von KI oder andere Zwecke verwendet werden. Es gibt keine Garantie dafür, dass von Ihnen bereitgestellte Informationen sicher oder vertraulich behandelt werden. Setzen Sie sich vor Gebrauch mit den Datenschutzpraktiken und den Nutzungsbedingungen generativer KI-Tools auseinander. 

Elastic, Elasticsearch und zugehörige Marken sind Marken, Logos oder eingetragene Marken von Elasticsearch N.V. in den Vereinigten Staaten und anderen Ländern. Alle anderen Unternehmens- und Produktnamen sind Marken, Logos oder eingetragene Marken ihrer jeweiligen Eigentümer.