LAGEBRIEFING · 11.07.2026 DEENFRES

Sicherheitslexikon

Was ist ein SOC? Definition, Rollen und Betriebsmodelle

Von Benedikt Langer · 10. Juli 2026 · 6 Minuten Lesezeit

Was ist ein SOC? Ein Security Operations Center (SOC) ist die Organisationseinheit eines Unternehmens, die Sicherheitsereignisse rund um die Uhr überwacht, bewertet und auf Vorfälle reagiert. Es verbindet Menschen, Prozesse und Werkzeuge zu einem durchgehenden Betrieb. Das SOC ist verantwortlich für Erkennung, Analyse, Eindämmung und Aufarbeitung sicherheitsrelevanter Vorfälle im IT-Systemverbund.

Das Wichtigste in Kürze

  • Definition: Ein SOC ist eine Organisationseinheit, keine Software. Es bündelt Menschen, Prozesse und Werkzeuge für die Überwachung der IT-Sicherheit.
  • Betrieb: Der Anspruch lautet rund um die Uhr. Daraus ergibt sich direkt der Bedarf an geschichtetem Personal und klarer Eskalation.
  • Mittelstand: Ein eigenes 24/7-SOC übersteigt die Ressourcen der meisten mittelständischen Unternehmen. MDR oder ein hybrides Modell sind hier der realistische Weg.

Was ein SOC leistet

Ein SOC überwacht die IT-Systeme eines Unternehmens, erkennt sicherheitsrelevante Ereignisse und reagiert darauf. Die Kernarbeit teilt sich in Erkennung, Analyse, Eindämmung und Aufarbeitung. Dabei ist das SOC die organisatorische Klammer über Werkzeugen wie SIEM, EDR oder NDR und den Prozessen, die festlegen, was bei einem Vorfall passiert. Ohne diese Klammer bleiben Alarme ungeordnet und Reaktionen zufällig.

Der Alltag in einem SOC ist vom Strom an Meldungen geprägt. Werkzeuge liefern Signale und der SOC sortiert, bewertet und entscheidet, welche Meldung einen echten Vorfall darstellt. Typische Aufgaben sind die Triage der eingehenden Alerts, die Untersuchung verdächtiger Aktivitäten, die Koordination von Gegenmaßnahmen sowie die Dokumentation für Audits und Management-Reports.

24/7

Kern-Anspruch eines SOC

Schichtplan als erste Konsequenz

Die Rund-um-die-Uhr-Überwachung ist der Kern-Anspruch eines SOC. Aus 24/7 folgt unmittelbar die Schichtplanung: Wer nachts und am Wochenende alarmiert wird, muss verfügbar sein, muss entscheiden dürfen und muss den Vorfall frühzeitig eskalieren können. Genau hier scheitern interne Modelle im Mittelstand meist zuerst, nicht am Werkzeug.

Aufbau und Rollen im SOC

Ein SOC ist in Stufen organisiert, die sich in der Tiefe der Untersuchung unterscheiden. Analysten der Stufe 1 übernehmen die erste Triage eingehender Alarme, filtern Fehlalarme heraus und eskalieren verdächtige Fälle. Analysten der Stufe 2 untersuchen diese Fälle tiefer, aktivieren Gegenmaßnahmen und binden bei Bedarf weitere Stellen ein. Analysten der Stufe 3 behandeln komplexe Vorfälle, betreiben Forensik und verantworten die fortgeschrittene Reaktion auf Angriffe.

Ergänzend arbeiten Threat Hunter proaktiv. Sie suchen nach Spuren, die automatisierte Detektion noch nicht erfasst hat. Zudem prüfen sie Hypothesen über neue Angriffsmuster. Der SOC-Manager verantwortet den Betrieb, die Kennzahlen, die Besetzung und die Kommunikation mit dem CISO. Diese Rollen sind nicht optional – fehlen sie, bleiben Lücken in der Erkennung oder in der Eskalation.

SOC, SIEM, MDR und CERT im Unterschied

Die Begriffe SOC, SIEM, MDR und CERT werden oft synonym verwendet, bezeichnen aber unterschiedliche Dinge. Ein SIEM (Security Information and Event Management) ist ein Werkzeug, das Logdaten sammelt, korreliert und Alarme erzeugt. Es ist ein Bestandteil der Werkzeugkette, aber keine Organisation. Ein SOC ohne SIEM ist heute kaum praktikabel, ein SIEM ohne SOC liefert Alarme, die niemand bewertet.

MDR (Managed Detection and Response) ist ein eingekaufter Dienst. Ein Dienstleister übernimmt die Überwachung und Teile der Reaktion als Service. MDR ist damit eine Betriebsform des SOC, bei der die personelle Seite extern liegt. CERT oder CSIRT hingegen ist das Vorfall-Reaktionsteam, das sich auf die Behandlung akuter Vorfälle konzentriert. Ein SOC kann ein internes CERT enthalten oder mit ihm verzahnt arbeiten. Der Fokus des SOC ist weiter gefasst und umfasst die durchgehende Überwachung.

Betriebsmodelle und der realistische Weg für den Mittelstand

Ein SOC lässt sich intern, hybrid oder ausgelagert betreiben. Beim internen Modell baut das Unternehmen das Team, die Werkzeuge und die Prozesse selbst auf und behält die volle Kontrolle. Beim hybriden Modell übernimmt ein externer Partner die Nachtschichten, das Wochenende oder spezielle Bereiche wie Threat Hunting. Beim ausgelagerten Modell, etwa als MDR, liegt der Betrieb vollständig beim Dienstleister.

Für mittelständische Unternehmen ist das interne 24/7-SOC die Ausnahme. Die Schichtabdeckung allein verlangt mehrere Analysten, selbst bevor Spezialwissen für Forensik oder Threat Hunting ins Spiel kommt. Hinzu kommen Ausfallvertretung, Urlaubsplanung und die Spezialisierung für die eigene IT-Landschaft. Die realistischen Optionen sind deshalb ein MDR-Dienst oder ein hybrides Modell, in dem ein internes Team tagsüber die Eskalation übernimmt und das Dienstleister-Team die Nachtschichten. Die Kaufentscheidung dreht sich weniger um die Frage, ob ein SOC nötig ist, sondern darum, wer den Betrieb in welcher Tiefe verantwortet.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Ist ein SOC dasselbe wie ein SIEM?

Nein. Ein SIEM ist ein Werkzeug, das Logdaten sammelt und Alarme erzeugt. Ein SOC ist die Organisationseinheit, die dieses Werkzeug betreibt, die Alarme bewertet und auf Vorfälle reagiert.

Was ist der Unterschied zwischen SOC und MDR?

MDR (Managed Detection and Response) ist ein eingekaufter Dienst. Ein externer Dienstleister übernimmt dabei die Überwachung und Teile der Reaktion. MDR ist also eine Betriebsform des SOC, bei der die personelle Seite beim Dienstleister liegt.

Braucht der Mittelstand ein eigenes 24/7-SOC?

In den meisten Fällen nein. Die reine Schichtabdeckung für 24/7 erfordert mehrere Analysten, bevor Spezialwissen ins Spiel kommt. Für mittelständische Unternehmen sind MDR oder ein hybrides Modell in der Regel der realistischere Weg.

Welche Rollen gibt es in einem SOC?

Typisch sind Analysten der Stufen 1 bis 3, die sich in der Tiefe der Untersuchung unterscheiden. Hinzu kommen Threat Hunter für die proaktive Suche nach Bedrohungen sowie der SOC-Manager für Betrieb, Kennzahlen und Kommunikation mit dem CISO.

Wie hängen SOC und CERT zusammen?

Ein CERT oder CSIRT konzentriert sich auf die Vorfall-Reaktion. Ein SOC hat den weiteren Blickwinkel und umfasst die durchgehende Überwachung. Ein SOC kann ein internes CERT enthalten oder eng mit einem solchen Team verzahnt arbeiten.

Bildquelle: KI-generiert (Juli 2026)

Lesetipps der Redaktion

LesetippWas ist MDR? Definition, Abgrenzung und AuswahlLesetippWas ist ein SIEM? Definition, Nutzen und GrenzenLesetippWas sind EDR und XDR? Definition und Unterschied

Mehr aus dem MBF Media Netzwerk

Digital ChiefsCyber-Versicherung 2026: Prämien verdoppelt, Deckung halbiert, die Rechnung die kein CFO sehen willMyBusinessFutureSchatten-KI im Mittelstand: Was die heimliche Nutzung verrät

Weiterführende Lektüre

Sicherheitslexikon · 10. Juli 2026

Was ist Phishing? Definition, Formen und Schutz

Phishing einfach erklärt: wie die Angriffe funktionieren, welche Formen es von Spear-Phishing bis Quishing gibt und warum Passkeys der wirksamste Schutz sind.

Ein Magazin der Evernine Media GmbH