Von IT Support zu SOC Analyst

Warum Dieser Pfad Sinn ergibt

IT-Support-Professionals unterschätzen oft, wie sehr Teile ihrer täglichen Arbeit bereits an Security Operations grenzen. Du arbeitest mit Endpoints, Zugriffsproblemen, User-Verhalten, Eskalationen und Situationen, in denen Vorfälle unordentlich auftauchen. In einem SOC verändern sich die Werkzeuge und die Fragen, aber nicht die Notwendigkeit sauberer Untersuchung.

Genau das macht diesen Pfad glaubwürdig. Er setzt nicht voraus, dass du bei null anfängst, behauptet aber auch nicht, dass angrenzende IT-Erfahrung allein ausreicht. Das Ziel ist, aus einem operativen Support-Profil ein sicherheitsreifes Profil zu machen, indem Kontext, strukturierte Praxis und bessere Belege hinzukommen.

Was aus dem IT Support übertragbar ist

Mehrere Support-Gewohnheiten sind direkt in einer SOC-Rolle nützlich.

• Du kannst unter Druck sauber troubleshooten.
• Du bist an unvollständige Informationen aus Usern und Systemen gewöhnt.
• Du arbeitest bereits mit Betriebssystemen, Berechtigungen und Endpoint-Verhalten.
• Du weißt, dass klare Dokumentation wichtig ist, wenn jemand anderes die Untersuchung fortführt.

Das sind keine kleinen Vorteile. Junior-SOC-Arbeit besteht zu einem großen Teil aus methodischer Triage, Kontextlesen und der Entscheidung, was wirklich eskaliert werden muss.

Welche Security-Lücke noch geschlossen werden muss

Was noch fehlt, ist keine allgemeine technische Reife, sondern Security-Rahmung.

Du musst besser verstehen, wie typische Angriffe ablaufen, wie verdächtige Aktivität in Logs und Endpoint-Signalen sichtbar wird und wie Monitoring-Workflows in einen echten Incident-Response-Prozess passen. Genau hier bleiben viele Support-Profile stehen: Sie kennen Systeme, lesen sie aber noch nicht mit Detection- und Response-Logik.

Wie das Bootcamp in diese Transition passt

Für dieses Profil liegt der Wert des Bootcamps in der Struktur. Die relevantesten Module sind die, die vorhandenes Infrastrukturwissen mit Security-Arbeit verbinden:

• Cybersecurity Foundations
• Networking and Network Security
• Security Operations and Monitoring
• Advanced Security Operations
• Career Coaching and Certification Preparation

Es geht nicht um Geschwindigkeit um der Geschwindigkeit willen. Es geht darum, zersplittertes Lernen durch eine Sequenz zu ersetzen, die tatsächlich vorwärtsführt.

Wie gute Belege vor Bewerbungen aussehen

Dieser Pfad wird glaubwürdig, wenn du mehr zeigen kannst als Motivation.

Hilfreiche Belege sind oft eine kleine Log-Analyse, eine kurze Alert-Triage-Notiz, ein einfacher Investigations-Workflow oder Beobachtungen, die zeigen, wie du verdächtiges Endpoint-Verhalten eingeordnet hast. Für eine erste defensive Rolle braucht niemand ein perfektes Offensive-Lab. Sichtbar werden muss aber, dass du klar über operative Security-Arbeit denken kannst.

Was Du vermeiden solltest

Die häufigsten Fehler sind zu früh zu viele Tools zu jagen, offensive Themen zu stark zu gewichten, bevor defensive Fundamentals stabil sind, und anzunehmen, dass angrenzende IT-Erfahrung automatisch job-ready macht.

Dieser Pfad funktioniert am besten, wenn du deine Support-Erfahrung als starke Basis behandelst und darauf Security-Kontext, Praxis und Belege aufbaust.

Ein realistischer 6-Monats-Zeitplan von der Helpdesk-Ticket-Schlange zur ersten SOC-Schicht

Ein 360-Stunden-Bootcamp wird nicht von allein zu einer SOC-Rolle. Die Transition wird realistisch, wenn Lernen, Labs und Bewerbungen einem stetigen Rhythmus folgen. Die folgende Struktur funktioniert für die meisten Personen, die eine Support-Schlange verlassen.

Die Wochen 1 bis 4 konzentrieren sich auf Fundamentals. Du gehst TCP/IP, DNS, HTTP, Authentifizierungsflüsse, das Windows-Eventmodell und grundlegende Linux-Internals durch. Das Ziel ist nicht, Befehle auswendig zu lernen. Es ist zu lesen, was ein System tut, wenn etwas seltsam aussieht.

Die Wochen 5 bis 10 führen defensive Workflows ein. Du arbeitest mit Logs in größerem Umfang, schreibst deine ersten Detection-Notizen und lernst, wie Alerts durch einen Triage-Prozess wandern. Am Ende von Woche 10 solltest du eine Beispielalert nehmen und schriftlich erklären können, was sie wahrscheinlich bedeutet und welchen Kontext du als Nächstes sammeln würdest.

Die Wochen 11 bis 16 verbinden alles mit Incident Response. Du übst, Events auf MITRE-ATT&CK-Techniken zu mappen, kurze Writeups zu erstellen und ein einfaches Investigations-Template zu verwenden. In dieser Phase landet typischerweise auch die Security+-Vorbereitung, weil das Examen den Wortschatz festigt, den Recruiter erwarten.

Die Wochen 17 bis 22 dienen der Tiefe des Portfolios. Du wiederholst Lab-Übungen in eigenen Worten, dokumentierst sie, als müsste eine Kollegin deine Arbeit fortsetzen, und schärfst deinen Lebenslauf rund um defensive Sprache statt generischer IT-Begriffe.

Die Wochen 23 bis 26 sind Bewerbungswochen. Du bewirbst dich auf Junior-SOC-Rollen, MSSP-Positionen und Detection-Engineering-Trainee-Programme. Die meisten Kandidaten, die in diesem Fenster ein erstes Angebot bekommen, haben einen no-experience Hintergrund plus sichtbares Reasoning, keine lange Liste an Zertifikaten.

Die Tools, die du in deiner ersten SOC-Rolle sehen wirst

Der erste Tag in einem SOC verlangt selten Experten-Know-how für ein einzelnes Tool. Er verlangt Sicherheit beim Wechseln zwischen mehreren. Splunk und der ELK-Stack (Elasticsearch, Logstash, Kibana) dominieren als SIEM-Plattformen in EU-Operationen, mit wachsender Adoption von Microsoft Sentinel in cloud-first Umgebungen. Du wirst Zeit damit verbringen, Suchqueries zu schreiben, Views zu speichern und einfache Dashboards aufzubauen.

Wireshark und tshark tauchen auf, wenn Evidenz auf Paketebene zählt, vor allem bei vermuteter Exfiltration oder ungewöhnlichem ausgehendem Traffic. Sysmon, das Sysinternals-Tool, ist Standard für reichere Windows-Endpoint-Telemetrie. Eine Sysmon Event ID 1 (process create) gegenüber Event ID 3 (network connection) zu lesen, ist eher tägliche Fertigkeit als Nische.

EDR-Konsolen wie CrowdStrike Falcon, SentinelOne oder Microsoft Defender for Endpoint runden das Bild ab. Du wirst sie im Selbststudium nicht meistern, aber du solltest erkennen, wie Detections erscheinen, wie Isolation funktioniert und wie Investigation-Timelines aufgebaut werden.

Ticketing-Plattformen wie Jira und ServiceNow halten den operativen Rhythmus. SOC-Arbeit ohne disziplinierte Ticketing-Praxis wird schnell chaotisch, weshalb dein Support-Hintergrund tatsächlich nützlich ist.

Wie Tier-1- vs Tier-2-SOC-Arbeit wirklich aussieht

Die meisten ersten Rollen liegen in Tier 1. Die Arbeit ist Alert-Triage: SIEM-Events empfangen, Kontext validieren, Rauschen vom Signal trennen und entweder als gutartig schließen oder mit klarer Zusammenfassung eskalieren. Erfolg in Tier 1 hängt vor allem an Disziplin, nicht an Kreativität. Das Team braucht dich, um das Volumen zu bewältigen, ohne an Genauigkeit zu verlieren.

Tier 2 beginnt, wo Triage endet. Analystinnen auf dieser Stufe übernehmen Eskalationen, führen tiefere Investigations durch, korrelieren Evidenz aus Endpoint-, Netzwerk- und Identity-Quellen und schlagen häufig neue Detection-Logik vor. Tier 2 verfasst auch interne Reports und arbeitet enger mit Incident Respondern, wenn ein Vorfall real wird.

Du zielst nicht im ersten Job auf Tier 2. Du zielst darauf, das Tier 1 zu sein, dem das Tier-2-Lead vertraut.

Häufige Alert-Kategorien, die du erkennen musst

Eine kleine Anzahl Alert-Kategorien deckt das Meiste ab, was ein Junior-SOC sieht. Phishing-bezogene Events dominieren, einschließlich Credential Harvesting, verdächtiger Linkklicks und gemeldeter Mails, die ans SOC-Postfach weitergeleitet werden. Malware-Execution-Alerts folgen, oft als verdächtige Kindprozesse aus Office-Anwendungen oder unsignierte Binaries, die aus von Usern beschreibbaren Verzeichnissen laufen.

Brute-Force-Aktivität zeigt sich gegen VPN, RDP und Identity-Provider, wo wiederholte Fehlanmeldungen aus einer Quelle oder ein Impossible-Travel-Muster eine Regel auslösen. Lateral-Movement-Signale sind subtiler, meist eine Kette von Remote-Logons, Service-Erstellungen oder ungewöhnlichem SMB-Traffic zwischen User-Endpoints. Data-Exfiltration-Alerts erscheinen oft als große ausgehende Transfers, anomale Cloud-Upload-Volumina oder Indikatoren für DNS-Tunneling.

Wenn du jede dieser Kategorien in klarer Sprache beschreiben und erklären kannst, welche Evidenz du zuerst sammeln würdest, bist du den meisten Bewerbern bereits voraus.

Gehaltsrealität: Vom Helpdesk zum SOC-Junior zum SOC-Senior

Der finanzielle Case für diese Transition ist ehrlich, nicht dramatisch. EU-Durchschnittswerte verorten Helpdesk und Tier-1-IT-Support im Bereich EUR 22.000 bis 28.000, abhängig von Land und Unternehmensgröße. Junior-SOC-Analystinnen liegen typischerweise zwischen EUR 30.000 und 40.000, mit cloud-lastigen oder Finanz-Sektor-Rollen darüber.

Senior-SOC- und Lead-Detection-Engineering-Rollen liegen häufig im Band EUR 55.000 bis 75.000 nach mehreren Jahren, mit Top-Profilen in regulierten Industrien darüber. Das Gesamtbild, einschließlich wie Tooling, On-Call-Struktur und Zertifizierungen mit diesen Zahlen interagieren, deckt Lohnt sich das Bootcamp ab.

Die relevante Erkenntnis ist nicht die absolute Zahl. Sie ist, dass die SOC-Trajektorie eine steilere Kurve hat als generischer IT-Support, mit mehr Hebel durch Zertifizierungen und nachgewiesene Investigations-Fertigkeit.

Zertifizierungen, nach denen Recruiter wirklich filtern

Recruiter nutzen Zertifikate eher als Filter denn als Entscheidungskriterien. Der erste Filter, besonders in der EU, ist CompTIA Security+. Es ist der Einstiegsstandard, nach dem die meisten ATS-Systeme suchen, und es ist im Unihackers-Bootcamp enthalten.

Der nächste Filter ist CySA+, das stärker auf den Analyst-Workflow zielt mit Detection, Threat Intelligence und Response. Es ist die natürliche Folge, sobald du Hands-on-Erfahrung hast, über die zu reden lohnt.

Jenseits von CompTIA gewinnen zwei praktische Alternativen Boden. BTL1 (Blue Team Level 1) von Security Blue Team fokussiert Hands-on-Defensive-Skills mit einem praktischen Examen. CCD (Certified CyberDefender) von Zero Point Security geht tiefer in die Investigations-Methodik. Keines ersetzt Security+, aber beide können einen CV schärfen, der die Basics bereits abdeckt.

Wie du Reasoning zeigst, nicht nur Kursabschluss

Jeder Recruiter hat Kandidaten gesehen, die ein Bootcamp beendet haben und dort stehen blieben. Die Bewerber, die hervorstechen, sehen auf dem Papier anders aus. Sie zeigen Reasoning.

Ein nützliches Portfolio enthält drei bis fünf kurze Lab-Writeups in einem öffentlichen GitHub-Repository. Jeder Writeup beschreibt das Szenario, die geprüfte Evidenz, die erwogenen Hypothesen und die Schlussfolgerung. Das MITRE-ATT&CK-Technique-Mapping am Ende jedes Writeups signalisiert, dass du die operative Sprache bereits sprichst, die in Interviews für SOC Analyst verwendet wird.

Ein zweites nützliches Artefakt ist ein persönliches Detection-Notizbuch. Es listet Alert-Kategorien, die du verstehst, die Datenquellen, mit denen du sie validierst, und die Fragen, die du einer Tier-2-Analystin bei einer Eskalation stellen würdest. Nichts davon erfordert fortgeschrittene Tools. Es erfordert Klarheit.

Das Bootcamp-Curriculum ist genau dafür gebaut, diese Art Evidenz zu liefern, statt dich mit isolierten Zertifikaten allein zu lassen. Kombiniert mit dem Rhythmus oben verwandelt es einen IT-Support-Hintergrund in eine glaubwürdige SOC-Bewerbung.