Überblick
Diese Weiterbildung verbindet zwei aufeinander aufbauende Microsoft-Sicherheitszertifizierungen zu einem kohärenten Lernpfad: SC-900 (Microsoft Certified: Security, Compliance, and Identity Fundamentals) als Fundamentalzertifizierung und SC-200 (Microsoft Certified: Security Operations Analyst) als operativer Associate-Abschluss. Beide Zertifizierungen sind aktuell und werden von Microsoft aktiv gepflegt. SC-900 legt das konzeptionelle Fundament: Grundbegriffe der Informationssicherheit, das Zero-Trust-Modell, Identitäts- und Zugriffsmanagement mit Microsoft Entra ID, Compliance-Konzepte in der Microsoft-Cloud und ein breiter Überblick über die Microsoft-Sicherheitsproduktfamilie — Defender, Sentinel, Purview. SC-900 setzt kein technisches Vorwissen voraus und eignet sich als strukturierter Einstieg in die Cybersicherheitswelt. SC-200 baut auf diesem Fundament auf und adressiert die operative Sicherheitsarbeit: Wie erkennt man Bedrohungen in Microsoft Defender for Endpoint? Wie verwaltet man Sicherheitsvorfälle in Microsoft 365 Defender? Wie analysiert man Log-Daten mit KQL in Microsoft Sentinel, schreibt eigene Erkennungsregeln und entwickelt automatisierte Playbooks für die Incident-Response? SC-200 ist eine der praxisnächsten Microsoft-Sicherheitszertifizierungen und richtet sich an Personen, die in einem Security Operations Center (SOC) tätig sind oder werden wollen.
Kursinhalte & Lernziele
Modul 1 — Sicherheits-, Compliance- und Identitätsfundamentals (SC-900-Kern) SC-900 ist eine Fundamentalzertifizierung, die kein technisches Vorwissen voraussetzt und dennoch ein breites konzeptionelles Fundament legt. Sie erkunden die Kernprinzipien der Cybersicherheit, verstehen das Microsoft-Sicherheitsökosystem in seiner Breite und lernen, wie Identität als neuer Sicherheitsperimeter in Cloud-Umgebungen funktioniert. Zero Trust ist dabei kein Schlagwort, sondern ein konkretes Architekturmodell mit klar definierten Prinzipien, die in diesem Block anhand von Microsoft-Diensten veranschaulicht werden.
- CIA-Triade (Vertraulichkeit, Integrität, Verfügbarkeit) und ihre praktische Bedeutung
- Zero-Trust-Modell: Verify Explicitly, Use Least Privilege, Assume Breach
- Authentifizierung und Autorisierung: MFA, SSO, RBAC und deren Zusammenspiel
- Identitäts- und Zugriffsmanagement mit Microsoft Entra ID (Azure AD): Benutzer, Gruppen, Rollen
- Überblick Microsoft-Defender-Familie: Defender for Endpoint, Identity, Office 365, Cloud Apps
- Microsoft Purview: Grundlagen Datenschutz, Compliance und Information Protection
Modul 2 — Cloud-Sicherheit und Compliance-Konzepte (SC-900-Kern) Der zweite SC-900-Block vertieft Compliance- und Cloud-Sicherheitsaspekte. Unternehmen stehen vor der Herausforderung, gesetzliche Anforderungen (DSGVO, branchenspezifische Vorschriften) mit Cloud-Diensten zu vereinbaren. Microsoft hat dafür eine umfangreiche Compliance-Infrastruktur aufgebaut — Microsoft Purview Compliance Manager, Data Loss Prevention, Informationsschutzklassifizierungen und vieles mehr. In diesem Block werden diese Werkzeuge in den regulatorischen Kontext eingeordnet und anhand von Szenarien erprobt.
- Microsoft Purview Compliance Manager: Bewertungen und Verbesserungsempfehlungen
- Data Loss Prevention (DLP): Richtlinien und Schutzmaßnahmen für sensible Daten konfigurieren
- Microsoft Defender for Cloud: Sicherheitslage bewerten und Empfehlungen für Azure-Ressourcen umsetzen
- Azure Policy und Blueprints für Governance und Compliance einsetzen
- Grundlagen Informationsschutz: Sensitivity Labels und Klassifizierungsebenen
- Microsoft 365 Compliance-Portal: Überblick Audit-Logging und Aktivitätsverfolgung
Modul 3 — Microsoft Defender for Endpoint und 365 Defender (SC-200-Kern) Mit dem SC-200-Teil wechseln Sie von der konzeptionellen auf die operative Ebene. Microsoft Defender for Endpoint ist die primäre Plattform für Endgeräteschutz in Cloud-verwalteten Umgebungen. Sie lernen, Endgeräte einzubinden, Erkennungsregeln zu konfigurieren und auf Sicherheitswarnungen zu reagieren. Microsoft 365 Defender aggregiert Signale aus mehreren Defender-Produkten und ermöglicht zentralisiertes Incident Management — von der ersten Warnung bis zur abgeschlossenen Untersuchung.
- Defender for Endpoint: Onboarding von Windows-, Linux- und macOS-Endgeräten
- Bedrohungserkennung: Erkennungsregeln, Warnungskorrelation und automatische Untersuchung (AIR)
- Incident Management in Microsoft 365 Defender: Triage, Priorisierung und Eskalation
- Threat and Vulnerability Management (TVM): Schwachstellenbewertung und Maßnahmenpriorisierung
- Microsoft Defender for Identity: Erkennung von Angriffen auf Active Directory und Identitäten
- Advanced Hunting in Microsoft 365 Defender mit KQL: erste benutzerdefinierte Abfragen
Modul 4 — Microsoft Sentinel: Erweiterte Erkennung und automatisierte Reaktion (SC-200-Kern) Microsoft Sentinel ist die Cloud-native SIEM/SOAR-Plattform, die Log-Daten aus Microsoft- und Drittanbieter-Quellen aggregiert und mit Analyseregeln, Machine Learning und Threat Intelligence auswertet. Dieser Block vermittelt den vollständigen Sentinel-Werkzeugkasten: Datenconnectors konfigurieren, Analyseregeln schreiben, KQL für Threat Hunting nutzen und automatisierte Playbooks entwickeln, die auf bestätigte Vorfälle sofort reagieren.
- Sentinel einrichten: Log Analytics Workspace, Preismodelle und Datenquellen
- Datenconnectors für Microsoft-365-Dienste, Azure und Drittanbieter konfigurieren
- Analyseregeln: Scheduled Rules, Machine-Learning-basierte Anomalieerkennung und Fusion
- KQL-Abfragen für Log-Analyse, Threat Hunting und benutzerdefinierte Erkennungsregeln schreiben
- Playbooks mit Azure Logic Apps: automatisiertes Sperren kompromittierter Konten und Benachrichtigungen
- Threat Intelligence: TAXII-Server und Indikatorfeeds in Sentinel einbinden und für Hunting nutzen
Praxisblock — SOC-Arbeit von den Grundlagen bis zur Automatisierung Beide Lernpfade werden in integrierten Praxisaufgaben zusammengeführt. Die Szenarien verbinden SC-900-Konzeptwissen mit SC-200-Operationsaufgaben — die Frage "Was ist ein Zero-Trust-Architekturprinzip?" wird direkt verknüpft mit "Wie konfiguriere ich Conditional Access in Entra ID, um es umzusetzen?" Das stärkt nicht nur die Prüfungsvorbereitung, sondern auch das Verständnis dafür, warum bestimmte Sicherheitsarchitekturen so gestaltet sind.
- SC-900-Konzeptaufgabe: Zero-Trust-Architektur für ein cloudbasiertes Unternehmen skizzieren
- MFA-Richtlinie über Conditional Access in einem Entra-ID-Demo-Tenant konfigurieren
- Defender for Endpoint: Windows-11-Gerät einbinden und erste Alert-Analyse durchführen
- Simulierter Phishing-Angriff: Erkennung in Defender for Office 365 und vollständige Incident-Analyse
- KQL-Abfrage in Microsoft Sentinel: fehlgeschlagene Anmeldeversuche identifizieren und filtern
- Analyseregel für verdächtige PowerShell-Ausführungen in Sentinel erstellen und testen
- Playbook entwickeln: automatische Deaktivierung eines kompromittierten Kontos bei bestätigtem Vorfall
- Threat Hunting: Lateral-Movement-Muster in Sentinel-Logs identifizieren
- DLP-Richtlinie: Übertragung sensibler Daten über E-Mail verhindern
- Microsoft Purview: Sensitivity Labels auf Dokumente und E-Mails anwenden (Demo)
- Kombiniertes Szenario: vollständiger Incident-Response-Ablauf von der ersten Erkennung bis zur Bereinigung
- Abschlussaufgabe: Sicherheitskonzept für ein fiktives Unternehmen mit Zero-Trust-Architektur und Sentinel-Deployment
Lernziele:
- Grundkonzepte der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) zu erklären
- Das Zero-Trust-Modell und seine Bedeutung für moderne Cloud-Architekturen zu beschreiben
- Identitäts- und Zugriffsmanagement mit Microsoft Entra ID (Azure AD) einzuordnen
- Compliance- und Datenschutzkonzepte in der Microsoft-Cloud zu verstehen
- Die Microsoft-Sicherheitsproduktfamilie — Defender, Sentinel, Purview — in ihrer Gesamtheit zu verorten
- Bedrohungen in Microsoft Defender for Endpoint zu erkennen, zu untersuchen und zu beheben
- Sicherheitsvorfälle in Microsoft 365 Defender zu verwalten, zu priorisieren und zu eskalieren
- Microsoft Sentinel als SIEM-Plattform einzurichten und Datenconnectors zu konfigurieren
- KQL-Abfragen für Log-Analysen, Threat Hunting und benutzerdefinierte Erkennungsregeln zu schreiben
- Playbooks mit Azure Logic Apps für automatisierte Incident-Response-Abläufe zu entwickeln
- Threat Intelligence in Sentinel zu integrieren und für proaktives Threat Hunting einzusetzen
- SC-900 und SC-200 als aufeinander aufbauende Zertifizierungen zielgerichtet vorzubereiten
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich sowohl an Einsteiger in die Cybersicherheit als auch an erfahrenere IT-Fachleute, die operatives SOC-Know-how aufbauen möchten.
- IT-Einsteiger und Quereinsteiger, die strukturiert in die Microsoft-Sicherheitswelt einsteigen wollen
- IT-Fachleute ohne bisherigen Sicherheitsschwerpunkt, die Grundlagen und operative Kenntnisse in einem Kurs erwerben wollen
- Junior-SOC-Analysten, die ihr konzeptionelles Fundament mit SC-900 festigen und SC-200-Praxiswissen ausbauen möchten
- Cloud-Administratoren, die ihre Azure- oder Microsoft-365-Kenntnisse um Security-Operations-Kompetenz erweitern wollen
- Fachkräfte aus IT-Administration oder IT-Support, die in Richtung Cybersicherheit wechseln möchten
SC-900 setzt kein spezifisches technisches Vorwissen voraus und eignet sich als strukturierter Einstieg. Für den SC-200-Teil sind IT-Grundkenntnisse und ein Verständnis von Windows, Netzwerken und Cloud-Diensten hilfreich. Erfahrungen mit Microsoft 365 oder Azure sind von Vorteil, aber nicht zwingend. Der Kurs findet als Live-Online-Unterricht statt; Internetzugang, Mikrofon und Kamera sind erforderlich.
Ablauf & Abschluss
Konzept- und Theoriephasen wechseln sich mit Praxisübungen in Microsoft-365-Demo-Tenants, Defender-Portalen und Sentinel-Arbeitsbereichen ab. SC-900-Inhalte werden konsequent anhand konkreter Microsoft-Dienste veranschaulicht — nicht als abstrakte Theorie, sondern immer mit Bezug zu realen Werkzeugen. Im SC-200-Teil dominieren Praxisszenarien: Incident-Analysen, KQL-Abfragen und Playbook-Entwicklung sind die Kernübungen. Der Unterricht findet täglich als betreuter Live-Online-Kurs im virtuellen Klassenzimmer statt. Teilnahme aus dem Homeoffice ist möglich; alternativ stehen Präsenzzentren mit vollausgestatteten PC-Arbeitsplätzen zur Verfügung.
Der Kurs wird im Vollzeitformat über mehr als einen Monat bis zu drei Monaten absolviert. SC-900 kann aufgrund seines konzeptionellen Charakters kompakter erarbeitet werden; SC-200 mit seinen operativen Themen (KQL, Playbooks, Defender-Konfiguration) erfordert mehr Zeit für Übungen und Lab-Aufgaben. Die genaue Dauer richtet sich nach der individuellen Modulauswahl.
Der Kurs bereitet auf zwei aktuelle Microsoft-Zertifizierungsprüfungen vor: SC-900 (Microsoft Certified: Security, Compliance, and Identity Fundamentals) und SC-200 (Microsoft Certified: Security Operations Analyst). Beide Prüfungen werden bei einem autorisierten Microsoft-Prüfungszentrum abgelegt und führen nach Bestehen zu von Microsoft ausgestellten Zertifikaten. SC-900 und SC-200 sind aktuell und werden von Microsoft regelmäßig aktualisiert. Zusätzlich erhalten Teilnehmende eine Bestätigung des Bildungsanbieters über die absolvierten Kursmodule.
Nutzen & Perspektiven
SC-900 und SC-200 ergänzen sich auf ungewöhnlich kohärente Weise: SC-900 beantwortet "Warum ist das wichtig und wie ist das konzipiert?", SC-200 beantwortet "Wie setze ich das täglich im SOC um?". Wer beide Zertifizierungen in einem Lehrgang vorbereitet, vermeidet das typische Problem, dass operatives Wissen auf einem wackeligen konzeptionellen Fundament steht — oder umgekehrt, dass Konzeptwissen ohne operative Umsetzungserfahrung bleibt. Microsoft Sentinel und Defender for Endpoint sind heute in einer Vielzahl mittlerer und großer Unternehmen die Standard-SOC-Werkzeuge. SC-200 ist damit eine der praxisnächsten Microsoft-Sicherheitszertifizierungen auf dem Markt. KQL als Abfragesprache ist ein Handwerkszeug, das im Berufsalltag täglich gebraucht wird — im Kurs systematisch aufgebaut, in der Praxis sofort einsetzbar. Für Personen, die im SOC tätig sind oder werden wollen, ist KQL inzwischen eine Basisanforderung. Für Einsteiger in die Cybersicherheit ist dieser kombinierte Lernpfad besonders effizient: SC-900 nimmt die Einstiegshürde und schafft ein solides Begriffsverständnis, SC-200 liefert das operative Rüstzeug für eine Stelle im SOC. Wer nach dem Kurs beide Prüfungen ablegt, kann mit einem vollständigen, von Microsoft anerkannten Kompetenznachweis in Gespräche gehen — vom konzeptionellen Grundlagenwissen bis zur Beherrschung von Sentinel und Defender for Endpoint.
Häufig gestellte Fragen (FAQ)
Kann ich SC-900 ohne technisches Vorwissen ablegen?
Ja. SC-900 ist eine Fundamentalzertifizierung, die explizit kein technisches Vorwissen voraussetzt. Sie richtet sich an Einsteiger, die die Konzepte der Microsoft-Sicherheitslandschaft strukturiert kennenlernen möchten: Zero Trust, Identitätsmanagement, Compliance-Grundlagen und die Microsoft-Sicherheitsproduktfamilie.
Wie schwer ist SC-200 im Vergleich zu SC-900?
SC-200 ist eine Associate-Zertifizierung und deutlich technischer als SC-900. Sie testet operative Kenntnisse in Microsoft Defender for Endpoint, Microsoft 365 Defender und Microsoft Sentinel — einschließlich KQL-Abfragen, Playbook-Entwicklung und Incident-Management. SC-900 schafft das konzeptionelle Fundament, SC-200 fordert praktische Anwendungskompetenz.
Warum ist KQL so wichtig für SC-200?
KQL (Kusto Query Language) ist die Abfragesprache für Microsoft Sentinel und Microsoft 365 Defender. In der täglichen SOC-Arbeit werden KQL-Abfragen für Log-Analysen, Threat Hunting und das Schreiben von Erkennungsregeln gebraucht. SC-200 testet KQL-Kenntnisse direkt — und der Kurs baut diese Kompetenz systematisch auf, weil sie im Berufsalltag unverzichtbar ist.
Ist dieser Kurs auch für Personen ohne bisherige Sicherheitserfahrung geeignet?
Ja, insbesondere durch die Kombination mit SC-900. SC-900 schafft das begriffliche Fundament, damit SC-200 nicht im luftleeren Raum beginnt. IT-Fachkräfte ohne Sicherheitsschwerpunkt oder Quereinsteiger mit IT-Grundkenntnissen sind die typische Zielgruppe dieses kombinierten Lernpfads.
Was unterscheidet Microsoft Sentinel von Defender for Endpoint?
Defender for Endpoint ist die spezifische Lösung für Endgeräteschutz: Erkennung, Untersuchung und Behebung von Bedrohungen auf Windows-, Linux- und macOS-Geräten. Sentinel ist die übergeordnete SIEM/SOAR-Plattform, die Log-Daten aus vielen Quellen — darunter auch Defender for Endpoint — aggregiert und korreliert. Im SOC-Alltag arbeiten beide zusammen: Defender liefert Endgeräte-Signale, Sentinel verknüpft sie mit anderen Quellen und automatisiert die Reaktion.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT Security Specialist221 Stellen
- Betriebswirt/Betriebswirtin (Fachschule) für Informationsverarbeitung/Bachelor Professional in Wirtschaft21 Stellen
- Security Operations Analyst16 Stellen
- Chief-Information-Security-Officer11 Stellen
- Industriemeister/Industriemeisterin Fachrichtung Flugzeugbau/Luftfahrttechnik/Bachelor Professional in Luftfahrttechnik5 Stellen
- Cloud Security Administrator0 Stellen