Ein Raum mit einer Vielzahl an Bildschirmen. Davor Menschen, die konzentriert – fast unbeweglich – darauf starren. Was anmutet wie der Blick in eine Einsatzleitstelle oder ein Luftfahrtkontrollzentrum, beschreibt ein hochaktuelles Szenario zur Abwehr cyber-krimineller Angriffe auf IT-Infrastrukturen – immer häufiger handelt es sich um Unternehmen der kritischen Infrastruktur (KRITIS).
Ein SOC oder Cyber Defense Center stellt für die organisierte Cyberkriminalität einen mindestens ebenbürtigen Gegner dar, verlangt aber eine kontinuierliche Überwachung der IT mit Risikoerkennung.
(Bild: Framestock - stock.adobe.com)
Die Szenerie spielt in einer Zentrale der Cyber-Verteidigung, einem Security Operations Center (SOC) im Zentrum Wiens. Wie ist ein solches SOC strukturiert? Was passiert dort, wenn die Analysten Anzeichen von Angriffsversuchen bemerken? Und wie werden die IT-Netzwerke vor Cyber-Kriminellen geschützt? Dieser Artikel beleuchtet das Innere eines SOC und zeigt auf, warum der Betrieb solch eines Verteidigungszentrums gerade in Zeiten wie diesen so immens wichtig ist.
Die Menschen vor den Monitoren sind IT-Security-Analysten. Deren typischer Arbeitsalltag besteht darin, die Geschehnisse auf mehreren Bildschirmen vor sich ganz genau zu beobachten. Was wie eine entspannte Tätigkeit anmutet, ist das exakte Gegenteil. Ein Unternehmen wird zwar nicht alle Tage erfolgreich angegriffen, aber täglich bedroht. Bei den sogenannten „Events" handelt es sich um Millionen beziehungsweise manchmal Milliarden Sicherheitsdatensätze, die es automatisiert und manuell zu analysieren gilt, um ernstzunehmende Bedrohungen zu entdecken.
Die Tätigkeit eines Analysten in einem SOC – welches auch Cyber Defense Center (CDC) genannt wird – zählt mittlerweile zu den wichtigsten im IT-Umfeld der Firmen und Behörden. Egal, ob sie ihr eigenes SOC betreiben oder hierfür die Dienste eines Managed-Security-Service-Providers (MSSP) in Anspruch nehmen. In beiden Fällen gilt es jedoch, eine Flut von Informationen Sekunde um Sekunde, Minute um Minute, tagtäglich zu analysieren und hinsichtlich ihrer Sicherheitsrelevanz ständig im Auge zu haben und einschätzen zu können, was sich daraus entwickeln könnte: Handelt es sich um normale Log-Events oder bereits um Alarmmeldungen aus unterschiedlichen IT-Systemen? Ergebnisse aus Schwachstellen-Scans müssen bewertet und Statistiken gelesen werden.
Rotieren gegen die Routine
Wie viele Analysten in einem SOC/CDC sind, hängt von der Größe und der wirtschaftlichen Ausrichtung eines Unternehmens ab. Der Analyst gehört einem Team an, das wiederum einer Kundengruppe zugeordnet ist. Welche Daten wessen Kunden er speziell analysiert, ändert sich turnusmäßig. Dies ist wichtig, um nicht Gefahr zu laufen, eine gewisse „Betriebsblindheit“ entstehen zu lassen, sondern buchstäblich mit einem frischen Blick auf die Monitore schauen zu können.
Während sich der Security-Analyst um die Ergebnisse seiner Beobachtungen kümmert – das heißt, etwaige Schwachstellen und daraus mögliche Gefahren analysiert und an den Kunden meldet –, bringt der Chief Security Analyst seine Expertise ein, beispielsweise bei der Eskalation schwieriger sicherheitsrelevanter Fälle mit hohem Bedrohungsgrad. Bei diesen „Incidents“ ist wiederum die Teamarbeit mit den Security-Analysten wichtig. In regelmäßigen Besprechungen treffen sich die Service Delivery Manager mit Kundenvertretern, in der Regel CIO, CISO oder IT-Security-Verantwortlicher. Die Runde bespricht ganz allgemein organisatorische Themen, z.B. das On-Boarding neuer Logs, das heißt ein neues Produkt, wie ein neuer Proxy oder der Einsatz einer neuen Firewall beim Kunden erfordert die Weitergabe der entsprechenden Log-Daten ans CDC. Im Besonderen informieren die Analysten über die aktuellsten und kritischsten Bedrohungen und gehen dabei spezifisch auf die für den Kunden besonders relevanten ein.
Service-Spagat zwischen Sicherheit und Budget
Die Security-Analysten im CDC sind grundsätzlich für das Monitoring und die Schwachstellenerkennung zuständig. Darüber hinaus informieren sie über etwaige Fehlkonfigurationen und helfen dabei festzulegen, was von der Unternehmens-IT unternommen werden muss, um die Infrastruktur abzusichern.
Nicht selten diktiert der viel zitierte Fachkräftemangel kundenseitig die Entscheidung, wie viel Sicherheit möglich und wie viel Operabilität nötig ist. Oder die ohnehin schon schmalen IT-Budgets sind aufgrund anderer Projekte strapaziert.
Eigenes SOC oder doch besser ‘as a Service’?
Kontinuierliche Überwachung der IT (Information Technology) mit Risikoerkennung verlangt von Organisationen neben Anfangsinvestitionen, etwa in die Hard- und Software, auch laufende Ausgaben für die notwendigen hochspezialisierten Cybersecurity-Experten. Die Spezialisten müssen kontinierlich traininert und in Weiterbildungen geschickt werden. Außerdem werden Notfälle geübt und Prozesse mit Reporting-Pflichten einstudiert.
Ein wesentlich ressourcenschonenderer Ansatz für Unternehmen ist der Einsatz von SOC-as-a-Service, kurz SOCaaS. Hier wird die automatisierte Erkennung von Sicherheitsproblemen und -risiken mit der Analyse durch Experten im Verteidigungszentrum eines Managed-Security-Service(MSSP)-Anbieters kombiniert. Die Sicherheitsverantwortlichen in den betreuten Unternehmen und Behörden erhalten vom MSSP-Fachpersonal per Knopfdruck die Informationen, die sie für den Schutz vor tatsächlichen Risiken benötigen.
Welches Konzept man auch wählt, hängt von den internen Ressourcen ab, die ein Unternehmen bereitstellen kann oder auch will. Eine wichtige Überlegung bei der Entscheidung für die Einrichtung/Etablierung eines eigenen CDC/SOC oder einer SOC-as-a-Service-Dienstleistung ist die Unternehmensgröße. Kleinunternehmen können die laufenden personellen und finanziellen Ressourcen kaum aufbringen. IT-Security-Fachkräfte sind schwer am Arbeitsmarkt zu finden, ein Umstand, der eine SOC-as-a-Service Dienstleistung in vielen Fällen sehr attraktiv macht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
IT-Sicherheit ist mehr als SIEM
Für die Analyse ist vor allem eines relevant: Kontext. Dieser lässt sich über die Analysten-Benutzeroberfläche und die Überleitung ins Cockpit herstellen. Mit einem Klick auf ein Asset erhält der SOC-Analyst Informationen über weitere Ereignisse aus den verschiedenen Log-Quellen wie etwa Netzwerkverkehr, Windows-Event-Logs oder Firewall-Logs. Über zusätzliche Tags auf dem Asset weiß der Analyst, ob es sich beispielsweise um einen Datenbankserver, einen Domain-Controller, einen Proxy-Server oder einem Office-IT-Client handelt. Zusätzliche Daten liest der Analyst aus den Scans: Etwa um welches Betriebssystem es sich handelt und, ob das System eventuell Schwachstellen aufweist.
Mithilfe von Log Data Analytics (LDA), auch unter Security Information and Event Management (SIEM) bekannt, versteht man das Sammeln, Analysieren und Korrelieren von Logs aus verschiedensten Quellen. Daraus resultieren Alarmierungen bei Sicherheitsproblemen oder potentiellen Risiken. Die SOC-Analysten erhalten Informationen in Echtzeit über ungewöhnliches Verhalten, Systemanomalien und andere Anzeichen für einen Cyberangriff. Die Logdatenanalyse ist aber nur eines von insgesamt fünf möglichen Tools, auf die die SOC-Experten zurückgreifen können. Die weiteren vier Module sind
Network Behavior Analytics (NBA): Damit ist die Erkennung von Malware, Anomalien und anderen Risiken im Netzwerkverkehr auf Basis signatur- und verhaltensbasierter Erkennungsmechanismen (Detection Engines) möglich.
Vulnerability Management and Compliance (VMC): Dieses Module ermöglicht kontinuierliche interne und externe Schwachstellen-Scans mit umfassenden Überprüfungen, Compliance Checks und Tests für eine komplette Abdeckung.
Endpoint Detection and Response (EDR): Das steht für die Analyse, Überwachung und Erkennung von Anomalien auf Hosts. Es ermöglicht aktive Schutzmaßnahmen und sofortige Alarmierung.
Advanced Threat Detection (ATD): Hier kommt es zum Einsatz von neuester Sandbox-Technologie zur Erkennung von hochentwickelter Malware in E-Mails und Dateien.
Da Cyberkriminelle immer komplexere Angriffsmethoden einsetzen, benötigen Unternehmen eine entsprechende Verteidigung. Um die wachsende Zahl bedrohter digitaler Assets innerhalb und außerhalb des Netzwerks zu schützen, braucht es proaktive und einheitliche Sicherheitsmaßnahmen – das heißt, eine Plattform, die alle relevanten Security-Daten intelligent zusammenführt. Hier greifen SOC-Analysten auf Extended Detection and Response (XDR) zurück. XDR unterstützt die Experten, indem das System Daten aus verschiedenen Quellen (wie E-Mails, Endpunkten, Server, Netzwerken oder Cloud-Workloads) analysiert und deutlich mehr Erkennungsmöglichkeiten zulässt. Etwa, indem es auch Netzwerkdaten zur Überwachung anfälliger (nicht verwalteter) Endpunkte nutzt, die gängige EDR-Tools nicht abdecken. Durch die Korrelation dieser Daten ist es möglich, deutlich mehr Bedrohungen zu aufzugreifen als bei der ausschließlichen Konzentration auf einzelne Daten. Die Korrelationsanalyse ist daher ein zentraler Aufgabenbereich eines SOC-Betriebs, bei dem die verschiedenen IT-Sicherheitsereignisse der verschiedenen Geräte in Zusammenhang gebracht werden.
Fazit
Ein CDC oder SOC stellt für die organisierte Cyberkriminalität einen mindestens ebenbürtigen Gegner dar. Durch konsequente Bündelung des Know-hows und der Automatisierung können es Unternehmen und öffentliche Stellen den Angreifern äußerst schwierig machen und sie können dafür sorgen, dass selbst ausgefeilte Attacken annähernd folgenlos bleiben.
Über den Autor: Dr. Christian Polster ist Gründer und Geschäftsführer von Materna Radar Cyber Security. Er gilt als erfahrener Stratege und bringt mit seiner langjährigen Tätigkeit im IT-Security Bereich eine starke Kundenperspektive für das Produktportfolio und alle Compliance-Themen ein.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/62/cb/62cbde6cdbdd0da40759d4cc77a69321/0125925879v5.jpeg "MDR-Dienste werden oft mit einem SOC-Service gleichgesetzt, obwohl ein Vergleich nur möglich ist, wenn MDR-Dienste auch menschliche Expertenanalysen beinhalten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/35/383586af1f2bafa3a5336beeb6d1156a/0123011186v2.jpeg "Hacker entwickeln ihre Techniken stetig weiter, um an den modernen Sicherheitsmechanismen wie Mehrfaktor-Authentifizierung (MFA) vorbeizukommen. (Bild: janews094 - stock.adobe.com)")