Abwehr

Security Operations Center

Abkürzung: SOC

Zentrales Team und Einrichtung, das rund um die Uhr IT-Sicherheitsereignisse überwacht, analysiert und auf Vorfälle reagiert.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“Stell dir ein Kontrollzentrum vor — wie in einem Actionfilm — wo Sicherheitsexperten rund um die Uhr auf Monitore schauen und sofort eingreifen, wenn etwas verdächtig ist. Das SOC ist die "Feuerwache" der IT-Sicherheit: immer bereit, immer wachsam.”

Ausführliche Erklärung

Ein SOC ist die operative Sicherheitszentrale einer Organisation. Das Team besteht aus Sicherheitsanalysten (Tier 1-3), Incident Responders, Threat Hunters und SOC-Manager. Kernaufgaben: kontinuierliches Monitoring via SIEM/XDR, Incident Detection & Response, Threat Intelligence-Verwertung, Vulnerability Management und Compliance-Reporting. Moderne SOCs sind oft cloudbasiert (SOC-as-a-Service) und nutzen SOAR (Security Orchestration, Automation and Response) für Automatisierung.

>Wie funktioniert das?

Alle Sicherheitsereignisse aus dem Netzwerk, Endpoints, Cloud und Anwendungen werden im SIEM zentralisiert

Tier-1-Analysten prüfen Alerts und filtern False Positives

Relevante Vorfälle werden an Tier-2 eskaliert für tiefe Analyse

Tier-3 und Incident Response übernehmen kritische Vorfälle

Nach Containment: Forensik, Root-Cause-Analyse und Verbesserung der Erkennungsregeln.

?Häufig gestellte Fragen

Antwort

Unternehmen ab einer gewissen Größe, besonders KRITIS-Betreiber, Finanzinstitute und Behörden. KMUs nutzen oft MSSP (Managed Security Service Provider) als ausgelagerte SOC-Alternative.

Antwort

Ein internes SOC ist spezialisiert auf die eigene Umgebung, aber kostenintensiv. Ein MSSP bietet SOC-Dienste als Service an — günstiger, aber mit weniger Kontextkenntnis.

Antwort

Tier 1 filtert Alerts (First Response), Tier 2 analysiert komplexere Vorfälle, Tier 3 untersucht APTs und Systemkompromittierungen — diese Struktur optimiert Ressourcen und Reaktionszeiten.

Antwort

Angreifer wählen bewusst Nachtzeiten, Wochenenden und Feiertage für Angriffe, da dann weniger Personal aktiv ist. Dwell Time (Zeit bis zur Entdeckung) sinkt mit durchgehender Überwachung signifikant.

Antwort

Über KPIs wie Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), False-Positive-Rate, Patch-Coverage und die Anzahl erfolgreich eingedämmter Vorfälle.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC