SOC Umfrage

SANS SOC-Umfrage 2025 zeigt Lücken bei Datenstrategie und Tool-Einsatz

, SANS | Autor: Herbert Wieler

SANS SOC-Umfrage 2025 zeigt Lücken bei Datenstrategie und Tool-Einsatz

Große Lücken in Security Operations Centern – und was erfolgreiche Teams besser machen

Die aktuelle weltweite SOC-Umfrage 2025 des SANS Institute zeigt deutlich: In vielen Security Operations Centern (SOCs) klafft eine Lücke zwischen dem schnellen Reagieren auf Warnmeldungen und dem strategischen Umgang mit den Daten dahinter.

Christopher Crowley, zertifizierter SANS-Instruktor und Hauptautor der Studie

Während 85 % der Analysten Endpoint-Warnungen als wichtigsten Auslöser ihrer Reaktionen nennen, gestehen 42 % der SOCs, dass sie sämtliche eingehenden Daten unstrukturiert in ein SIEM kippen – ohne Plan, wie sie diese später gezielt abrufen oder auswerten könnten.

Der frisch veröffentlichte Bericht basiert auf den Rückmeldungen Tausender Security-Profis weltweit. Er liefert damit den wohl umfassendsten und herstellerneutralen Benchmark für Reifegrad, Tools und Staffing von SOCs.

„SOCs sind das Rückgrat der modernen Cyberabwehr – und doch arbeiten viele Teams am Limit“, erklärt Christopher Crowley, zertifizierter SANS-Instruktor und Hauptautor der Studie. „Die Daten dieses Jahres zeigen sehr klar, wie SOCs versuchen, den Spagat zwischen 24/7-Betrieb, KI-Integration und Remote-Arbeit zu meistern – und wo dabei typische Fehler passieren.“

Zentrale Ergebnisse der SOC-Umfrage 2025:

  • 82 % der SOCs sind rund um die Uhr im Einsatz.
  • 85 % der Analysten reagieren vorrangig auf Endpunktwarnungen.
  • 73 % ermöglichen ihren Mitarbeitenden zumindest teilweise Remote-Arbeit.
  • 42 % speichern alle eingehenden Daten im SIEM – jedoch ohne klare Strategie für deren Nutzung.
  • 42 % setzen KI-/ML-Tools „out of the box“ ein, ohne sie an die eigene Umgebung anzupassen.

Crowley warnt: „Wenn das Management nicht bereit ist, Budget, Schulung, Zeit und die Integration in bestehende Workflows zu investieren, dann sollte man neue Tools lieber ganz weglassen. Eine glänzende Technologie allein macht noch kein besseres SOC.“

Die Umfrage bewertet SOCs nach ihren Fähigkeiten, ihrer Architektur, der Personalausstattung sowie danach, ob diese intern oder extern abgedeckt werden. Für Sicherheitsverantwortliche bietet der Bericht damit wertvolle Einblicke: Wie bauen andere ihr SOC auf? Wo stehen wir im Vergleich? Und welche Stellschrauben haben wir selbst in der Hand?

Den vollständigen Bericht sowie die Anmeldung zum begleitenden Webcast finden Sie hier: