Wenn du an Cybersicherheit denkst oder das Wort SOC-Analyst*in hörst, stellst du dir wahrscheinlich einen dunklen Keller vor, in dem grüner Code über einen Bildschirm läuft und ein*e Hacker*in im Hoodie in Lichtgeschwindigkeit tippt. Die Realität ist jedoch weitaus professioneller – und um einiges interessanter.
Das schlagende Herz der Verteidigung jedes modernen Unternehmens ist das SOC (Security Operations Center). Stell es dir wie eine digitale Feuerwache oder eine Flugverkehrskontrolle vor. Hier trifft menschliche Intuition auf intelligente Technologie, um Hacker*innen auf frischer Tat zu ertappen.
Die Rolle von SOC-Analyst*innen ist es, die „Augen und Ohren“ des Unternehmens zu sein. Sie sind digitale Detektiv*innen, die das Netzwerk sicher halten. Hier erfährst du Schritt für Schritt, wie ein typischer Arbeitstag tatsächlich aussieht.
Schritt 1: Die Übergabe (den Staffelstab weiterreichen)
Dein Tag beginnt damit, dass du dir einen Kaffee holst und dich mit der Person zusammensetzt, die gerade deine Schicht beendet. Sie wird dir mitteilen, ob über Nacht etwas Ungewöhnliches passiert ist oder ob es laufende Untersuchungen gibt, die du übernehmen musst. Du meldest dich an deinem Haupt-Dashboard an – einem Tool namens SIEM (stell es dir wie ein riesiges Radar vor, das Daten von jedem Computer im Unternehmen sammelt). Du prüfst, ob dein Radar ordnungsgemäß funktioniert und das Netzwerk gesund aussieht.
Schritt 2: Die Alarmmeldung (Der Alarm schlägt an)
Im SOC ist es normalerweise ruhig, bis das Radar etwas Seltsames erfasst. Plötzlich erscheint eine Warnmeldung auf deinem Bildschirm. Vielleicht hat jemand versucht, sich 50 Mal in einer Sekunde bei einem hochsicheren Server anzumelden, oder ein Computer in der Buchhaltung hat gerade versucht, eine riesige, verschlüsselte Datei an einen unbekannten Server in einem anderen Land zu senden. Das System markiert dies und sagt: „Hey, schau dir das sofort an.“
Schritt 3: Triage (Echte Bedrohung oder Fehlalarm?)
Hier kommen deine detektivischen Fähigkeiten ins Spiel. Nicht jeder Alarm bedeutet einen echten Hackerangriff. Sehr oft handelt es sich um ein False Positive (einen Fehlalarm). Zum Beispiel der Alarm bezüglich „50 fehlgeschlagener Anmeldeversuche“. Es könnte einfach ein Teammitglied sein, welches das Passwort vergessen hat und ausgesperrt wurde, oder ein völlig normales Software-Update. Du prüfst die ersten Hinweise, untersuchst die IP-Adressen und entscheidest: Schließe ich dieses Ticket oder haben wir es mit einem echten Notfall zu tun?
Schritt 4: Der Deep Dive (Cyber-Detektiv*in spielen)
Du hast festgestellt, dass die Bedrohung real ist. Jetzt ist es Zeit für die Untersuchung. Du nimmst den Computer, der den Alarm ausgelöst hat, unter die Lupe. Dabei verwendest du ein Tool namens EDR (Endpoint Detection and Response – stell es dir wie ein Hochleistungsmikroskop für einzelne Computer vor). Du suchst nach Antworten auf folgende Fragen:
- Wie sind sie reingekommen? (Hat jemand auf einen schädlichen E-Mail-Link geklickt?)
- Was tun sie gerade? (Stehlen sie Dateien? Versuchen sie, den Computer zu sperren?)
- Sind sie immer noch im System?
Schritt 5: Eindämmung (Alles abriegeln)
Sobald du weißt, was passiert, musst du den Schaden begrenzen. Wenn ein Computer mit einem Virus infiziert ist, rennst du nicht physisch zum Schreibtisch der Benutzer*innen. Von deinem Computer im SOC aus klickst du auf einen Button, um die infizierten Laptops vom Rest des Unternehmensnetzwerks zu isolieren. Es ist, als würde man die Brandschutztüren in einem Gebäude schließen, um die Ausbreitung eines Feuers zu verhindern. Du könntest außerdem die IP-Adresse der Hacker*innen blockieren oder die betroffenen Teammitglieder dazu zwingen, ihre Passwörter sofort zurückzusetzen.
Schritt 6: Das Missionsprotokoll (Abschluss)
Die Hacker*innen wurden hinausgeworfen und das Netzwerk ist sicher. Aber deine Arbeit ist noch nicht ganz erledigt. Du musst genau protokollieren, was passiert ist. Du hältst den Zeitverlauf des Angriffs fest, beschreibst, wie du ihn gestoppt hast, und – was am wichtigsten ist – was das Unternehmen tun muss, damit so etwas nie wieder vorkommt (wie etwa das Aktualisieren einer Firewall-Regel oder das Schulen der Mitarbeiter*innen, damit sie nicht auf verdächtige Links klicken).
Schritt 7: Proaktive Suche (Downtime)
Hacker*innen greifen nicht rund um die Uhr an. Wenn es keine aktiven Alarme gibt, gehen großartige Analyst*innen auf „Bedrohungssuche“ (Threat Hunting). Sie verbringen Zeit damit, Cybersecurity-Nachrichten zu lesen, neue Taktiken von Hacker*innen zu erlernen und ihr Netzwerk manuell zu durchsuchen, um festzustellen, ob jemand unentdeckt durch das Raster geschlüpft ist.
Wie du das erreichst
Man lernt nicht, den Stress eines echten Cyberangriffs zu bewältigen, indem man nur ein Lehrbuch liest. Die beste Art zu lernen ist durch Handeln.
Moderne Cybersecurity-Schulungen basieren auf praktischer Erfahrung. Bevor du dich jemals für einen Job im deutschen Tech-Sektor bewirbst, musst du an Simulatoren üben, die exakt wie ein echtes SOC aussehen und sich auch so anfühlen. Du lernst, wie man den Radar liest, das Mikroskop benutzt und infizierte Computer in einer sicheren, simulierten Umgebung isoliert. Wenn du an deinem ersten Arbeitstag auf dem Stuhl des*der Analyst*in sitzt, wirst du bereits genau wissen, was zu tun ist, wenn der Alarm losgeht.
Genau diese Art von praktischer, berufsfertiger Erfahrung bietet die Cybersecurity-Weiterbildung von Cybersteps. Weitere Informationen findest du auf der Programmseite.
CEO & Mitbegründer von Cybersteps
Aviram Rispler ist ein Cybersicherheitsexperte mit über 10 Jahren Erfahrung in Schulung und Führung. Aviram ist spezialisiert auf Cloud- und Netzwerksicherheit und hat weltweit mehrere Schulungsprogramme für Berufseinsteiger*innen im Bereich Cybersicherheit geleitet.
Bereit für eine Karriere in der Cybersicherheit?
