AEGYS DATALYTICS

WISSEN — ANGRIFFSERKENNUNG

Security Operations Center (SOC)

Ein SOC (Security Operations Center) ist kein Werkzeug, sondern ein Team — die Menschen, die Sicherheitsalarme bewerten, untersuchen und auf Vorfälle reagieren. Das SOC bedient sich technischer Werkzeuge wie SIEM und NDR, bildet aber die menschliche Entscheidungsebene darüber. Es kann intern betrieben oder als Dienstleistung bezogen werden.

Einfach erklärt

Werkzeuge erzeugen Alarme — aber ein Alarm allein ist noch keine Entscheidung. Das SOC ist die Mannschaft, die einordnet: Ist das ein echter Vorfall oder ein Fehlalarm? Wie kritisch ist es? Was muss jetzt passieren? Ohne diese menschliche Ebene bleibt selbst das beste Erkennungssystem eine Maschine, die piept, ohne dass jemand handelt.

Wie es funktioniert

Analysten · Entscheidung · ReaktionL1 · L2 · L3 · Incident ResponseNDRNetzwerk-SichtSIEMLog-KorrelationWerkzeuge liefern Signale — das SOC trifft Entscheidungen.

Ein SOC arbeitet meist in Schichten, um rund um die Uhr abgedeckt zu sein. Analysten verschiedener Stufen sichten Alarme, eskalieren echte Vorfälle und leiten die Reaktion ein. Die technische Grundlage liefern Erkennungswerkzeuge; das SOC verwandelt deren Signale in Entscheidungen und Maßnahmen.

Wozu es dient und wo die Grenze liegt

Ein SOC ist sinnvoll, sobald kontinuierliche Überwachung und schnelle Reaktion gefordert sind. Die Grenze ist wirtschaftlich: Ein eigenes SOC mit 24/7-Besetzung ist für mittelständische Organisationen oft nicht darstellbar. Viele beziehen die Funktion deshalb als Service — oder beginnen mit einer punktuellen, unabhängigen Netzwerk-Sicht, die regelmäßig gemeinsam ausgewertet wird, statt sofort einen Vollbetrieb aufzubauen.

Verwandte Begriffe

Wie NDR, SIEM und SOC zusammenspielen, erklärt der Artikel Netzwerk-Monitoring-Tool richtig einordnen.

Zuletzt aktualisiert: 5. Juni 2026 · 4 Min. Lesezeit