Vom SOC Analyst zum Incident Responder: der Defensive Spezialistenpfad

Warum dieser Übergang der natürliche nächste Schritt ist

Für die meisten SOC Analysts, die vertiefen statt die Sparte wechseln wollen, ist Incident Response die offensichtliche nächste Rolle. Du bleibst defensiv, behältst dieselbe Untersuchungsdisziplin, aber Tiefe und Eigentum ändern sich erheblich. Wo SOC Arbeit in Eskalation endet, beginnt IR Arbeit in Eskalation.

Der Übergang ist kürzer als SOC zu Penetration Testing, weil der Mindset derselbe ist. Was du aufbaust, ist technische Tiefe, nicht ein neues mentales Modell.

Was sich überträgt

Fast alle SOC Gewohnheiten übertragen sich:

1. Triage Disziplin. Du trennst bereits Signal von Rauschen. Die Aufgabe ist jetzt, das Signal weiterzutragen, nicht es nur zu etikettieren.

2. Dokumentationsstrenge. Incident Berichte verlangen dieselbe Klarheit wie SOC Notizen, nur mit mehr Breite. Du hast bereits die meiste Fertigkeit.

3. Kommunikation unter Druck. Du schreibst bereits schnell. Incident Kommunikation ist ähnlich, erreicht aber mehr Stakeholder.

Was du aufbauen musst

Die Lücke ist in technischer Tiefe und Eigentum:

• Memory Forensik. Volatility, Rekall, einfache Memory Artefakt Analyse. Die meisten SOC Analysts haben nie einen Memory Dump geöffnet.
• Disk Forensik. Filesystem Timelines, Registry Artefakte, Prefetch, Shimcache. Die Standard Windows IR Datenquellen.
• Network Forensik. Vollständige Packet Capture Analyse, Protokoll Rekonstruktion, Lateral Movement Detection.
• Case Ownership. Einen Incident vom initialen Alert bis zum finalen Bericht führen, inklusive Stakeholder Kommunikation. Mehr Disziplin als Technik.

Zertifizierungsstack

GCIH (GIAC Certified Incident Handler) von SANS ist das Standard Credential für ernsthafte IR Rollen. Der Kurs ist teuer, aber die Zertifizierung trägt Gewicht. CySA+ von CompTIA funktioniert als zugänglicherer Zwischenschritt, den manche Arbeitgeber anerkennen. Vendor spezifische EDR Zertifizierungen (CrowdStrike, SentinelOne, Microsoft Defender) ergänzen, wenn du den Zielstack kennst.

Wo das Bootcamp passt

Das Unihackers Cybersecurity Bootcamp deckt das SOC und Incident Handling Fundament in den Modulen m7 (Security Operations and Monitoring) und m8 (Advanced Security Operations) ab. Für SOC Analysts, die diese Grundlagen schon haben, ist das Bootcamp übertrieben. Für Quereinsteiger, die zu IR aufbauen, ist es der effizienteste einzelne Startpunkt. Siehe Bootcamp Lehrplan für Details.

Häufige Blockaden

Drei Muster erklären die meisten festgefahrenen SOC zu IR Übergänge:

1. Zertifizierungen stapeln ohne Case Praxis. Drei IR Zertifizierungen und null dokumentierte Incident Write-ups signalisieren Prüfungsfähigkeit, keine Response Fähigkeit.

2. Forensische Tiefe meiden. Die größte einzelne Skill Lücke ist forensische Technik. Memory und Disk Forensik zu meiden bedeutet, in Alert Triage zu bleiben, nicht in Incident Response.

3. On-Call unterschätzen. Die On-Call Rotation ist real und verändert dein Leben. Wer sich nicht vorbereitet, brennt in zwölf Monaten aus.

Der Übergang ist schneller als SOC zu Pentest und belohnt die gleichen geduldigen Dokumentationsgewohnheiten, die du bereits hast. Lies den Gehalts-Leitfaden für Vergütungskontext zu Incident Respondern.

Der NIST Incident Response Lifecycle, in dem du leben wirst

Als SOC Analyst endet der Lifecycle bei Detection und Eskalation. Als Incident Responder lebst du innerhalb des vollständigen NIST 800-61 Lifecycles: Vorbereitung, Identifikation, Eindämmung, Eradikation, Wiederherstellung und Lessons Learned. SANS rahmt denselben Ablauf als PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned). Der Mandiant Attack Lifecycle, den die meisten Threat Intelligence Berichte verwenden, kartiert die Angreiferseite desselben Bildes.

Jede Phase hat Eigentümer, Lieferobjekte und Entscheidungspunkte, die ein SOC L1 selten sieht:

• Vorbereitung ist alles, was du vor dem Incident tust: Runbooks, Tabletop Übungen, Retainer, IR Jump Kit, Kontaktbäume, Jurisdiktionskarten. SOC Analysts erben sie. IR Analysts pflegen sie.
• Identifikation ist der Punkt, an dem SOC und IR sich überschneiden. Der Wechsel besteht darin, von "ist das echt" zu "wie groß ist der Scope" überzugehen.
• Eindämmung ist kurzfristig (Hosts isolieren, IPs an der Firewall blocken) und langfristig (segmentieren, Credentials rotieren, Tokens entziehen). IR besitzt beides.
• Eradikation entfernt den Angreifer und die Grundursache. Rebuilds, vollständige Credential Resets, Persistence Bereinigung.
• Wiederherstellung bringt Systeme mit auf Re-Entry getunter Überwachung zurück in Produktion.
• Lessons Learned ist das Postmortem mit Stakeholdern. Hier werden Karrieren gemacht oder verloren.

Wenn du flüssig über jede Phase mit konkreten Beispielen aus deinem Home Lab sprechen kannst, klingst du wie ein IR Kandidat, nicht wie ein SOC Kandidat.

Vom Triage Mindset zum Investigation Mindset (der echte Wechsel)

Ein SOC Analyst wird belohnt, Tickets präzise und schnell zu schließen. Ein Incident Responder wird belohnt, nicht aufzuhören, bis der Scope vollständig verstanden ist. Das ist der echte kognitive Wechsel.

In der Praxis sieht das so aus. Ein SOC Analyst sieht eine Cobalt Strike Beacon Detection auf einem Endpoint, validiert sie, eskaliert mit vollem Kontext und geht zum nächsten Ticket. Ein Incident Responder nimmt denselben Alert und fragt: welche anderen Hosts haben in den letzten 90 Tagen zum selben C2 gebeaconed, welche Credentials hatte der Nutzer, wogegen hat er sich authentifiziert, welche Lateral Movement Signale sehen wir, wie lang ist die Dwell Time. Die Untersuchung endet nicht bei einem Host, weil Angreifer nicht bei einem Host enden.

Diesen Mindset aufzubauen erfordert bewusste Praxis. Öffne alte SOC Cases, die du geschlossen hast, neu und stelle die IR Fragen darüber. Du wirst Scope finden, den du verpasst hast.

Die IR Tools, die du auf dein SIEM Skillset draufpackst

Deine SIEM Skills (Splunk, Sentinel, QRadar, Elastic) übertragen sich direkt. Darüber verwenden IR Teams typischerweise:

• TheHive als Case Management Plattform für Incidents, mit strukturierten Tasks, Observables und TTPs.
• Cortex für die automatisierte Anreicherung von Observables (IPs, Hashes, Domains) gegen Threat Intelligence Quellen.
• Splunk SOAR (früher Phantom) oder Tines für die Orchestrierung von Containment Playbooks über EDR, Firewall, IAM und Ticketing hinweg.
• Velociraptor für skalierbare Endpoint Sichtbarkeit und Live Forensic Collection auf tausenden Hosts.
• KAPE (Kroll Artifact Parser and Extractor) für Triage Collection der nützlichsten Windows Artefakte in Minuten.
• FTK Imager und Magnet AXIOM für vollständige Disk Imaging, wenn ein Incident auf forensische Sicherung eskaliert.
• Volatility 3 für Memory Analyse, wenn Ransomware, Fileless Malware oder fortgeschrittene Persistence vermutet wird.

Du brauchst am ersten Tag keine Expertentiefe in allem. Du brauchst Lab Zeit auf TheHive, Cortex, KAPE und Velociraptor vor dem Interview, denn das sind die Tools, die du demonstrieren sollst.

Threat Hunting: warum es deine Brückenfähigkeit ist

Threat Hunting ist die sauberste Brücke von reaktiver SOC Arbeit zu proaktiver IR Arbeit. Ein Hunt beginnt mit einer Hypothese ("Angreifer missbrauchen geplante Aufgaben für Persistence"), übersetzt sie in Datenquellen (EDR Process Events, Registry Creation Events, AutoRuns), führt Queries aus und bestätigt oder verwirft.

Baue Hunting Routine mit dem MITRE ATT&CK Navigator auf. Wähle eine Taktik (z. B. TA0003 Persistence), wähle eine Technik (T1053.005 Scheduled Task) und schreibe die Detection Logik in deinem SIEM. Wiederhole das über zehn Techniken und du hast ein kleines, aber echtes Hunt Portfolio. Recruiter lieben das, weil es zeigt, dass du proaktiv denken kannst, was der IR Mindset ist.

Threat Hunting ist auch der Ort, an dem Threat Intelligence praktisch wird. Adversariale TTPs aus einem Vendor Bericht zu ziehen und in Hunts zu verwandeln ist genau das, was ein IR Analyst tut, wenn ein CISA Advisory erscheint.

IR Runbooks und Postmortems schreiben, die Recruitern wichtig sind

Zwei Artefakte markieren den Wechsel in deinem Portfolio: ein IR Runbook und ein Postmortem.

Ein IR Runbook kodifiziert, wie das Team eine Klasse von Incidents handhabt (Ransomware, Business Email Compromise, Insider Datenexfiltration, Web Shell auf einem öffentlichen Server). Es definiert Trigger, Rollen über eine RACI Matrix, Entscheidungspunkte, Kommunikationsvorlagen und Rollback Pfade. Wähle drei Klassen von Incident und schreibe Runbooks für jede. Selbst in Lab Qualität signalisiert das senior Denken.

Ein Postmortem dokumentiert einen einzelnen Incident: was passiert ist, wann, wer was getan hat, was funktioniert hat, was nicht und welche Änderungen folgen. Der Lessons Learned Abschnitt ist der meistgelesene Teil des Dokuments. Übe das Schreiben an deinen Home Lab Incidents. Die Disziplin ist dieselbe wie bei einer SOC Investigation Note, aber das Publikum ist breiter und die Konsequenzen größer.

Gehaltsrealität: SOC L1 zu SOC L2 zu IR L2 in der EU

Die Vergütung in der EU folgt einer vorhersehbaren Kurve. SOC L1 startet bei rund 32 bis 40 Tausend Euro. SOC L2 liegt im Bereich 38 bis 50. IR L2 wird typischerweise bei 45 bis 60 angesetzt, mit Beratungs IR Rollen und Breach Response Retainern, die durch On-Call Prämien und Bonuskomponenten höher gehen. London und die Schweiz schlagen nach oben aus. Osteuropa schlägt nach unten aus.

Der Gehaltssprung ist real, aber er ist nicht die Schlagzeile. Die Schlagzeile ist die Steigung. SOC Rollen flachen um L3 ab, wenn du dich nicht spezialisierst. IR Rollen kumulieren: jedes Engagement fügt eine Geschichte hinzu, jedes neue Tool ergänzt Tiefe, jede neue Branche (Finance, Healthcare, OT) öffnet einen neuen Markt. Fünf Jahre in IR sieht die Kurve sehr anders aus als fünf Jahre in SOC.

Der Gehalts-Leitfaden gibt die aktuelle Aufschlüsselung nach Region und Seniority.

Zertifizierungen, die zu diesem Übergang passen

Die Cert Leiter für den SOC zu IR Wechsel ist einigermaßen klar definiert:

• Security+ ist deine Basis, falls du sie noch nicht hast. Die meisten SOC Analysts haben sie bereits. Sie verankert das fundamentale Vokabular.
• CySA+ ist das natürliche Mid-Tier Credential. Sie schlägt eine Brücke zwischen SOC Operations und IR Analyse mit Fokus auf Threat Detection, Incident Response und Vulnerability Management. Eine starke CySA+ ist das richtige Signal für eine erste IR-orientierte Rolle.
• GCIH von SANS ist der Goldstandard für den IR Spezialisten. Teuer, aber mit hohem Signal bei Beratungen und Retainern.
• BTL1 (Blue Team Level 1) von Security Blue Team wird zunehmend als praxisorientierte Alternative für Blue Team Praktiker mit knapperem Budget anerkannt.
• ECIH von EC-Council wird in einigen Märkten ebenfalls akzeptiert, wiegt aber weniger als GCIH oder BTL1.

Kombiniere eine Zertifizierung mit einem starken Portfolio Artefakt (ein Runbook, ein Hunt, ein forensischer Write-up). Eins plus eins schlägt drei plus null jedes Mal.

Ein realistischer 9-Monats Beförderungsplan

Ein neunmonatiger Plan, parallel zu deiner aktuellen SOC Rolle gefahren, sieht so aus:

1. Monat 1 bis 2. Auditiere deine aktuellen SOC Cases auf verpassten Scope. Nimm fünf und schreibe sie mit vollständigem IR Denken neu. Baue ein Home Lab mit TheHive, Cortex und einem Velociraptor Server auf.
2. Monat 3 bis 4. Arbeite CySA+ ab, falls noch nicht vorhanden. Parallel schreibe deine ersten drei IR Runbooks (Ransomware, BEC, Web Shell) mit einem klaren RACI.
3. Monat 5 bis 6. Führe ein Tabletop zu jedem Runbook mit einem Peer durch. Baue drei Threat Hunts gemappt auf MITRE ATT&CK Techniken. Beginne BTL1 oder GCIH Vorbereitung.
4. Monat 7 bis 8. Übernimm eine aktive Rolle bei echten Incidents bei deinem aktuellen Arbeitgeber: bitte um Shadowing bei IR Retainern, melde dich freiwillig für After-Hours Coverage, schreibe den Lessons Learned Abschnitt jedes Incidents, den du angefasst hast.
5. Monat 9. Bewirb dich auf IR Rollen oder dränge auf einen internen Wechsel. Bring ein Portfolio aus drei Runbooks, drei Hunts und einem forensischen Write-up mit.

Das ist konservativ. Mit bereits starken forensischen Skills kann der Wechsel schneller passieren. Der Punkt ist die Struktur: Zertifizierungen ersetzen niemals Artefakte, Artefakte ersetzen niemals operative Reps. Alle drei zusammen verändern das Gespräch mit Hiring Managern von "potenziell" zu "ja".