Überblick
Ein Security Operations Center (SOC) ist die operative Schaltzentrale der IT-Sicherheit in Unternehmen. Wer dort arbeitet, überwacht Systeme in Echtzeit, wertet Alerts aus, untersucht Vorfälle und koordiniert die Reaktion auf Angriffe. Dieses Hands-on-Training vermittelt genau diese Fähigkeiten: praxisorientiert, technisch tief und mit dem Fokus auf echte SOC-Werkzeuge. Das Programm deckt alle Kernbereiche eines modernen SOC ab — von Netzwerkgrundlagen und Betriebssystemen über Threat Intelligence, SIEM, Malware-Analyse und Firewall-Management bis zu EDR und digitaler Forensik. Der Name „Hands-on Training" ist Programm: Theorie wird konsequent durch praktische Übungen in realistischen Laborumgebungen vertieft.
Kursinhalte & Lernziele
Modul 1 — Betriebssysteme und Webgrundlagen Der Einstieg schafft die technische Basis, die für alle folgenden SOC-Tätigkeiten benötigt wird. Betriebssysteme sind die primäre Angriffsfläche — wer deren interne Strukturen nicht kennt, kann Anomalien nicht erkennen. Parallel dazu werden Webarchitekturen und Datenbankgrundlagen behandelt, da Web-Applikationsangriffe eine der häufigsten Angriffskategorien in SOC-Arbeitsalltagen darstellen.
- Windows-Internals aus SOC-Sicht: Prozesse, Dienste, Registry, Event Logs (Security/System/Application)
- Linux-Grundlagen: Dateisystem-Hierarchie, Prozessverwaltung, syslog, sudo-Audit-Logs
- Webgrundlagen: HTTP/HTTPS, REST-APIs, Cookie-Management, Authentifizierungsmechanismen
- Datenbank-Sicherheitskonzepte: SQL-Grundlagen, typische Angriffsmuster (SQLi), Logging in Datenbankumgebungen
- Grundlagen der Netzwerkkommunikation: TCP/IP, DNS, DHCP, ARP — Relevanz für die SOC-Überwachung
Modul 2 — Cybersicherheitsrahmen und offensive Grundlagen Dieses Modul stellt den konzeptionellen Rahmen für die gesamte SOC-Arbeit bereit. MITRE ATT&CK ist das zentrale Vokabular, mit dem SOC-Teams Angriffstechniken klassifizieren und kommunizieren. Offensive Grundlagen helfen dabei, Angreiferdenken zu internalisieren — ein Analyst, der versteht, wie ein Angreifer vorgeht, kann Alerts besser triagieren und False Positives von echten Bedrohungen unterscheiden.
- MITRE ATT&CK Framework: Taktiken, Techniken, Prozeduren (TTPs), Navigator
- NIST Cybersecurity Framework: Identify, Protect, Detect, Respond, Recover
- Grundlagen offensiver Sicherheit: Reconnaissance-Techniken, Exploitation-Grundlagen, Post-Exploitation-Artefakte
- Threat Modeling: Angriffsoberflächen bewerten, Prioritäten setzen
- Verbindung zwischen Angreifer-TTPs und SIEM-Alarmen: von der ATT&CK-Technik zur Detektionsregel
Modul 3 — Netzwerksicherheit und Firewall Netzwerksicherheit ist eine der Kerndisziplinen im SOC. Dieser Block behandelt Firewall-Konfiguration und -Administration ebenso wie die Analyse von Netzwerk-Traffic. Teilnehmende lernen, Netzwerk-Logs zu lesen und Anomalien in Verbindungsprotokollen zu erkennen — von ungewöhnlichen ausgehenden Verbindungen bis zu C2-Traffic-Mustern.
- Firewall-Grundlagen und -Konfiguration: Regelmengen, Zonenmodelle, Stateful Inspection
- IDS/IPS-Systeme: Signaturbasierte und anomalie-basierte Erkennung
- Netzwerk-Traffic-Analyse mit Wireshark: Filtern, Protokoll-Decode, TCP-Stream-Rekonstruktion
- Erkennung von Netzwerk-Angriffsmustern: Port-Scans, Lateral-Movement-Traffic, DNS-Tunneling, Beaconing
- Segmentierungskonzepte: VLANs, DMZ, Zero-Trust-Ansätze in SOC-Umgebungen
Modul 4 — Malware-Analyse im SOC-Kontext Nicht jeder SOC-Analyst ist ein Vollzeit-Malware-Analyst — aber jeder SOC-Analyst muss verstehen, wie Schadsoftware sich verhält, um Alerts korrekt zu bewerten und Prioritäten zu setzen. Dieser Block vermittelt SOC-orientierte Malware-Analyse: schnelle Triage, Verhaltensbeobachtung und IoC-Extraktion, ohne tiefes Reverse Engineering.
- Grundlegende Malware-Analyse für SOC-Analysten: Sandbox-Berichte lesen und bewerten
- Erkennung von Malware-Artefakten in System-Logs (Event IDs, Autoruns, WMI-Subscriptions)
- IoC-Extraktion aus Malware-Incidents: Hashes, IPs, Domains, Registry-Keys
- Verhaltensbasierte Erkennung: Behavioral Analytics in SIEM und EDR
- Koordination mit dem Incident-Response-Team bei Malware-Vorfällen
Modul 5 — SIEM, Log-Management und Threat Intelligence SIEM ist das Herzstück des SOC. Dieses Modul behandelt den operationellen Betrieb von SIEM-Systemen — von der Log-Quellen-Anbindung über die Korrelationsregel-Entwicklung bis zur Alert-Triage und Eskalation. Ergänzend wird Threat Intelligence als Input für SIEM-Detektionen und proaktive Jagd (Threat Hunting) behandelt.
- SIEM-Architektur und Log-Quellen: Welche Systeme liefern welche Events (Windows Event Logs, Syslog, NetFlow, API-basierte Quellen)
- Korrelationsregeln schreiben: Sequenzielle Ereignisse, Schwellenwerte, Anomalie-basierte Regeln
- Alert-Triage und -Eskalation: SOC-Tier-Modell, Prioritätsstufen, False-Positive-Reduktion
- Threat-Intelligence-Feeds integrieren: STIX/TAXII, kommerzielle TI-Plattformen, freie Quellen (VirusTotal, Shodan)
- Threat Hunting: Hypothesenbasierte Suche nach Bedrohungen in SIEM-Daten ohne Alert-Trigger
Modul 6 — Investigation, Forensik und EDR Wenn ein Alert eskaliert, beginnt die strukturierte Untersuchung. Dieser Block bringt Investigation-Methodik, forensische Grundlagen und den Einsatz von EDR-Lösungen zusammen. Teilnehmende lernen, einen vollständigen Incident-Response-Zyklus durchzuführen — von der initialen Triage bis zur Nachbereitung und Dokumentation.
- Incident-Response-Zyklus: Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned
- Investigation-Techniken: Timeline-Erstellung, Artefakt-Korrelation, Pivot-Analyse
- Forensische Grundlagen für SOC-Analysten: Artefakt-Sicherung, Live-Forensik an Windows-Systemen
- EDR-Plattformen: Endpunkt-Telemetrie auswerten, Isolation und Remediation aus der SOC-Konsole
- Dokumentation und Reporting: Incident-Tickets, Management-Reports, behördliche Meldepflichten (BSI, DSGVO-Meldung)
Praxiseinheiten (kursbegleitend)
- Analyse von Windows Event Logs auf verdächtige Anmeldungen und Privilege Escalation
- Netzwerk-Traffic-Analyse: Identifikation von C2-Beaconing und DNS-Tunneling in Paket-Captures
- Konfiguration und Test von Firewall-Regelmengen in einer virtuellen Netzwerkumgebung
- Bewertung eines Sandbox-Berichts: IoCs extrahieren und in SIEM-Regeln überführen
- Schreiben und Testen von SIEM-Korrelationsregeln für typische Angriffsmuster (z. B. Pass-the-Hash, Brute Force)
- Alert-Triage: Unterscheidung von True Positives, False Positives und True Negatives in realistischen Szenarien
- Integration eines Threat-Intelligence-Feeds in eine SIEM-Umgebung
- Threat Hunting: Manuelle Suche nach Lateral-Movement-Spuren in SIEM-Daten
- EDR-basierte Endpunkt-Analyse: Prozessbaum-Analyse, verdächtige Eltern-Kind-Prozesse identifizieren
- Vollständige Incident-Response-Übung: Von der Ersterkennung bis zum Abschlussbericht
- Forensische Artefakt-Sicherung auf einem Live-Windows-System
- Abschluss-Szenario: SOC-Schicht simulieren — Alerts triagieren, untersuchen, eskalieren und dokumentieren
Lernziele:
- Sie beherrschen die Grundlagen moderner Betriebssysteme (Windows, Linux) aus SOC-Perspektive und wissen, welche Artefakte sicherheitsrelevante Ereignisse hinterlassen
- Sie verstehen Webarchitekturen und Datenbankgrundlagen soweit, dass Sie webbasierte Angriffsmuster (SQLi, XSS, SSRF) in Logs und Netzwerk-Traces erkennen
- Sie wenden etablierte Cybersicherheitsrahmenwerke (MITRE ATT&CK, NIST CSF) an und ordnen beobachtete Angriffstechniken korrekt ein
- Sie führen grundlegende offensive Sicherheitsübungen durch, um Angreiferdenken zu verstehen und Verteidigungsstrategien gezielter auszurichten
- Sie konfigurieren und administrieren Netzwerksicherheitskomponenten, insbesondere Firewalls und IDS/IPS-Systeme
- Sie analysieren Malware-Samples in kontrollierten Umgebungen und leiten daraus Indicators of Compromise ab
- Sie betreiben SIEM-Systeme operationell: Sie konfigurieren Log-Quellen, schreiben Korrelationsregeln und triagieren Alerts
- Sie werten Threat-Intelligence-Feeds aus und integrieren externe Bedrohungsinformationen in den SOC-Arbeitsalltag
- Sie führen strukturierte Vorfallsuntersuchungen (Investigation) mit forensischen Methoden durch
- Sie setzen EDR-Lösungen ein, analysieren Endpunkt-Telemetrie und reagieren auf Endpunkt-basierte Bedrohungen
- Sie dokumentieren SOC-Arbeit professionell und kommunizieren Ergebnisse an interne Stakeholder
Zielgruppe & Voraussetzungen
Das Training richtet sich an IT-Fachkräfte mit technischen Grundkenntnissen, die in den SOC-Betrieb einsteigen oder vorhandene SOC-Erfahrung systematisch vertiefen möchten. Auch erfahrenere IT-Profis, die einen strukturierten Überblick über alle SOC-Kernbereiche suchen, profitieren von dem breiten Themenspektrum.
- IT-Fachkräfte mit IT-Security-Grundkenntnissen, die in einen SOC wechseln möchten
- Junior SOC-Analysten, die ihr technisches Fundament systematisch erweitern wollen
- Systemadministratoren und Netzwerktechniker mit Sicherheitsinteresse
- IT-Auditoren, die SOC-Prozesse besser verstehen und bewerten müssen
- Berufswechsler aus der IT mit nachgewiesenen technischen Grundkenntnissen
IT-Security-Grundkenntnisse werden vorausgesetzt — insbesondere in Netzwerkprotokolle (TCP/IP), Betriebssystem-Grundlagen (Windows, Linux) und allgemeinen Sicherheitskonzepten. Allgemeine IT-Affinität, hohe Lernmotivation und Englischkenntnisse auf A2- bis B1-Niveau sind ebenfalls erforderlich, da Werkzeuge und Referenzdokumentationen überwiegend englischsprachig sind. Konkrete Vorkenntnisse in SIEM oder Forensik sind nicht nötig — diese Bereiche werden im Kurs aufgebaut.
Ablauf & Abschluss
Das Training wird im Combined-Learning-Format durchgeführt: Live-Unterricht im virtuellen Klassenzimmer wird mit umfangreichen Hands-on-Laborübungen kombiniert. Der Praxisanteil ist bewusst hoch — SOC-Arbeit ist operative Tätigkeit, die Werkzeuge und Abläufe durch Wiederholung verinnerlicht werden müssen. Im Vollzeitformat kann die gesamte inhaltliche Breite in komprimierter Zeit erschlossen werden. Dozenten bringen Erfahrung aus realen SOC-Umgebungen mit und illustrieren Konzepte anhand authentischer Incident-Beispiele.
Das Training wird in Vollzeit durchgeführt. Aufgrund des breiten Themenspektrums — von Betriebssystem-Grundlagen bis zu EDR und Forensik — ist die Gesamtdauer entsprechend umfangreich. Genaue Informationen zu Terminen und Semesterlängen sind beim Anbieter erhältlich.
Nach erfolgreichem Abschluss erhalten Teilnehmende ein trägerinternes Zertifikat bzw. eine qualifizierte Teilnahmebescheinigung. Der Kurs bereitet inhaltlich auf eine Reihe von Berufsbildern vor (Cybersecurity Analyst, Security Administrator, Security Engineer, IT Auditor), ohne auf eine spezifische externe Herstellerzertifizierung abzuzielen. Teilnehmende, die im Anschluss externe Zertifizierungen (z. B. CompTIA CySA+, CEH, SC-200) ablegen möchten, finden im Kursprogramm eine solide inhaltliche Vorbereitung.
Nutzen & Perspektiven
Der Fachkräftemangel im SOC-Bereich ist real und strukturell: Unternehmen suchen händeringend nach Analysten, die nicht nur theoretisches Wissen mitbringen, sondern sofort in der Lage sind, Alerts zu triagieren, Vorfälle zu untersuchen und mit Werkzeugen wie SIEM und EDR zu arbeiten. Dieses Training setzt genau hier an — der Hands-on-Ansatz stellt sicher, dass Teilnehmende mit einem operationell verwertbaren Fähigkeitenset abschließen, nicht nur mit abstrakter Theorie. Die breite Themenabdeckung — von offensiver Sicherheit über Netzwerk-Analyse bis zu Forensik und Threat Intelligence — spiegelt wider, was in einem echten SOC gefragt ist. SOC-Analysten sind keine Spezialisten in einer einzigen Disziplin, sondern Generalisten mit tiefen Kenntnissen in mehreren Bereichen. Die Fähigkeit, zwischen diesen Perspektiven zu wechseln und einen Vorfall ganzheitlich zu verstehen, ist der eigentliche Mehrwert dieser Ausbildung. Das Zertifikat öffnet direkte Wege in Rollen wie SOC Analyst (Tier 1 und 2), Security Administrator oder Incident Responder. Mit wachsender Erfahrung und ergänzenden Zertifizierungen sind Security Engineer- und Threat-Hunter-Positionen die typischen Karriereschritte. Die NIS-2-Richtlinie und verschärfte Meldepflichten erhöhen den regulatorischen Druck auf Unternehmen — und damit die Nachfrage nach qualifiziertem SOC-Personal erheblich.
Häufig gestellte Fragen (FAQ)
Welche Vorkenntnisse brauche ich für dieses SOC-Training?
IT-Security-Grundkenntnisse in Netzwerktechnologien (TCP/IP) und Betriebssystemen (Windows, Linux) werden vorausgesetzt. SIEM- oder Forensik-Vorkenntnisse sind nicht erforderlich — diese Bereiche werden im Kurs systematisch aufgebaut.
Welche SIEM-Plattform wird im Kurs eingesetzt?
Das Curriculum ist werkzeugübergreifend angelegt und deckt SIEM-Konzepte ab, die auf alle gängigen Plattformen übertragbar sind. Praktische Übungen nutzen verbreitete SIEM-Systeme — genaue Details zu den eingesetzten Plattformen erhält man beim Anbieter.
Führt der Kurs zu einer externen Zertifizierung?
Der Kurs schließt mit einem trägerinternen Zertifikat ab. Er bereitet inhaltlich auf anschließende externe Zertifizierungen wie CompTIA CySA+ oder CEH vor, ohne diese direkt einzuschließen.
Wie praxisorientiert ist das Training wirklich?
Das Training ist konsequent auf praktische Laborarbeit ausgerichtet. Jeder Themenblock wird durch Hands-on-Übungen in realistischen Szenarien vertieft — von der Firewall-Konfiguration über SIEM-Alert-Triage bis zur vollständigen Incident-Response-Übung. Der Name "Hands-on Training" beschreibt den methodischen Kern des Programms.
Für welche Berufe qualifiziert dieser Kurs?
Das Training bereitet direkt auf Rollen wie SOC Analyst (Tier 1 und 2), Security Administrator und Incident Responder vor. Mit Berufserfahrung sind Security Engineer und Threat Hunter die typischen Folgeschritte.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Chief-Information-Security-Officer103 Stellen
- Chief-Technology-Officer14 Stellen