StartseiteSOC-Analyst Gehalt
Aktualisiert April 2026

SOC-Analyst Gehalt 2026: 48.000 – 105.000 €

Aktuelle Gehaltsdaten für SOC-Analysten nach Region, Erfahrung und Arbeitgebertyp – basierend auf Entgeltatlas, StepStone, (ISC)² Cybersecurity Workforce Study, BSI-Lagebericht und eigenen Vermittlungsdaten.

48.000 €
1–3 Jahre IT-Security
65.000 €
Tier-2-Niveau 4–6 Jahre
105.000 €
Tier 3 / SOC Lead + Banking
SOC-Analyst Gehalt 2026 — Auf einen Blick
Einstiegsgehalt
48.000 € brutto/Jahr
Median-Gehalt
65.000 € brutto/Jahr
Top-Gehalt
105.000 € brutto/Jahr
Top-Region
Hessen (Frankfurt) (74.100 € Median)
Top-Arbeitgeber
Big Tech (92.000 € Median)
Gehaltsrechner
Individuelles Gehalt berechnen →
Quelle: ADVERGY Vermittlungsdaten & Entgeltatlas 2026 · tech-gehalt.de
Mehr zu unserer Methodik →
Teilen: LinkedIn Facebook X

Gehaltsrechner: Was kannst du als SOC-Analyst verdienen?

Berechne dein individuelles Gehalt basierend auf Region, Erfahrung, Arbeitgebertyp und Spezialisierung.

📊

Dein Gehaltscheck

In 30 Sekunden deinen Marktwert erfahren.

5 Jahre
Dein geschätzter Marktwert
Dein Gehalt Markt-Median

SOC-Analyst Gehalt nach Bundesland

Die regionalen Unterschiede bei IT-Gehältern sind erheblich. Bayern und Baden-Württemberg führen dank der dichten Tech-Cluster in München und Stuttgart.

RegionEinstiegMedianTop
Hessen (Frankfurt)54.720 €74.100 €119.700 €
Bayern (München)53.760 €72.800 €117.600 €
Baden-Württemberg51.360 €69.550 €112.350 €
Hamburg50.880 €68.900 €111.300 €
Nordrhein-Westfalen48.000 €65.000 €105.000 €
Berlin46.560 €63.050 €101.850 €
Niedersachsen45.120 €61.100 €98.700 €
Bremen44.160 €59.800 €96.600 €
Schleswig-Holstein44.160 €59.800 €96.600 €
Rheinland-Pfalz44.160 €59.800 €96.600 €
Saarland43.200 €58.500 €94.500 €
Brandenburg43.200 €58.500 €94.500 €
Mecklenburg-Vorpommern42.240 €57.200 €92.400 €
Sachsen-Anhalt42.240 €57.200 €92.400 €
Thüringen42.240 €57.200 €92.400 €
Sachsen42.240 €57.200 €92.400 €

SOC-Analyst Gehalt nach Erfahrung

Berufserfahrung ist der stärkste Gehaltshebel. So entwickelt sich dein Gehalt über die Jahre.

ErfahrungGehaltsspanneMedianTypische Rolle
Tier 1 SOC-Analyst (1–3 Jahre)45.000 – 58.000 €52.000 €Alert-Triage, SIEM-Monitoring in 3-Schicht-Modellen, Standardisierte Playbooks, erste Security+-Zertifizierung, Schichtzulagen 8–15% zusätzlich
Tier 2 SOC-Analyst (3–5 Jahre)58.000 – 75.000 €65.000 €Incident Response, Deep-Dive-Investigations, MITRE-ATT&CK-Mapping, erste SOAR-Playbook-Entwicklung, GCIH in Vorbereitung
Tier 3 SOC-Analyst / Threat Hunter (5–8 Jahre)75.000 – 95.000 €85.000 €Threat Hunting, proaktive Queries, Malware-Analyse, Detection Engineering (Sigma/KQL/SPL), Incident-Lead-Rollen, GCFA/GCFE-zertifiziert
Senior Detection Engineer / SOC Lead (8–11 Jahre)90.000 – 115.000 €102.000 €Detection-Engineering-Lead, Sigma-Regel-Kuration, SOAR-Architektur, Team-Koordination 4–8 Analysten, CISO-Berichtslinie
Head of SOC / SOC Manager (11+ Jahre)110.000 – 145.000 €125.000 €Head of SOC, Team 15–50 Analysten, Budget-Verantwortung 2–8 Mio. €/Jahr, Follow-the-Sun-Modelle, Vorstands-Reporting, CISSP/CISM
Gehalt nach Erfahrung: Junior Tech Gehalt Professional Tech Gehalt Senior Tech Gehalt Lead Tech Gehalt Manager Tech Gehalt

Du willst wissen, was DU verdienen kannst?

Kostenlose Gehaltseinschätzung in 2 Minuten -- basierend auf deinem Profil.

Gehalt jetzt checken

SOC-Analyst Gehalt nach Arbeitgebertyp

Der Arbeitgebertyp bestimmt nicht nur das Gehalt, sondern auch Benefits, Karrierewege und Work-Life-Balance.

ArbeitgeberEinstiegMedianTopBenefits
Bank / Versicherung
Deutsche Bank, Commerzbank, Allianz, Munich Re, DWS		58.000 €78.000 €118.000 €Tarifvertrag, 30+ Urlaubstage, BAV, Bonus 12–20%, DORA-SOC-Aufbauten als CV-Booster, Schichtzulagen 15–25% für Nacht/Feiertag
Big Tech
Microsoft Detection & Response Team, AWS Security Response, Google Chronicle		68.000 €92.000 €138.000 €RSU-Aktienoptionen (25–50k/Jahr), 30+ Urlaubstage, Workation global, kein klassischer Schichtbetrieb (Follow-the-Sun), SANS-Budget
MSSP / Managed Security
T-Systems CERT, Arctic Wolf, Orange Cyberdefense, Secureworks		48.000 €64.000 €95.000 €Schichtzulagen garantiert, Bonus 8–15%, schnelle Tier-Progression, Kunden-Vielfalt (20–40 Mandanten), Weiterbildungsbudget 4–8k/Jahr
DAX-Konzern
Siemens CERT, Telekom Security SOC, BMW CSIRT, BASF Cyber-Defense		54.000 €71.000 €108.000 €Tarifvertrag, 30 Urlaubstage, Betriebsrente, Schichtzulagen nach TV-EF, Inhouse-Labs für Threat Hunting, Firmenwagen ab Tier 3
Beratung
KPMG Cyber Defense, Accenture Security, Deloitte CSIRT, PwC Cyber		55.000 €70.000 €100.000 €Schnelle Karrierepfade, internationale SOC-Aufbau-Projekte, Zertifizierungsbudget 6–10k/Jahr, Consulting-Track ab Tier 2
Mittelstand / KRITIS
Stadtwerke, Wasserwirtschaft, Regionale Banken, Krankenhäuser		46.000 €62.000 €88.000 €TVöD/TV-L 11–14, Pensionsansprüche, unkündbar, 30+ Urlaubstage, klare Schichtzulagen, KRITIS-Meldepflicht-Zulage
Insider-Tipp von ADVERGY

Der am meisten unterschätzte Gehaltshebel 2026: Der Tier-3-Sprung durch Threat-Hunting-Zertifikate. Ein typischer Tier-2-Analyst bei 65k kann durch den Sprung in Tier 3 + GCFA (GIAC Certified Forensic Analyst) strukturell +30% erreichen, also auf 85–90k. Unsere Vermittlungsdaten zeigen: Tier-3-Analysten mit GCFA + GCFE (Certified Forensic Examiner) verdienen im Median 88.000€, versus 68.000€ bei Tier-2-Niveau (n=14). Zweiter unterschätzter Hebel: Schichtzulagen mitverhandeln. Viele Arbeitgeber zahlen 15–25% Zulagen für Nacht/Feiertag/Wochenende nach TV-EF-Tarif, aber nur bei aktiver Nachfrage im Vertrag – viele SOC-Analysten sehen diese Komponente erst nach Vertragsunterschrift. Bei 65k Grundgehalt und 3-Schicht-System sind 12–15k/Jahr Schichtzulagen realistisch – das ist mehr als eine typische Gehaltserhöhung. Dritter Hebel: Detection Engineering als Aufstiegsweg. Die Umstellung von reiner Alert-Triage auf proaktives Detection Engineering (Sigma-Regel-Entwicklung, SOAR-Playbook-Automatisierung, KQL/SPL-Queries) ist das profitabelste Karriere-Investment 2026. Detection Engineers verdienen bei Banking-Häusern im Median 95–108k€, bei Big Tech (Microsoft MSTIC, Google Chronicle) 115–135k€. Konkreter Rat: Wenn du aktuell als Tier-1-Analyst bei 52k sitzt, plane einen 24-Monats-Pfad: Monate 1–8 GCIH + erste SOAR-Playbooks entwickeln, Monate 9–16 GCFA + 10 Sigma-Regeln im Produktivbetrieb, Monate 17–24 Wechsel ins Banking oder zu Big Tech als Detection Engineer. Typischer Gehalts-Outcome: 52k → 88k, also +69% in 24 Monaten.

SOC-Gehälter 2026 — Schichtarbeit wird zur Wachstumsdisziplin

Der Arbeitsmarkt für SOC-Analysten in Deutschland ist 2026 durch massive Aufbau-Dynamik geprägt. Ein Tier-2-SOC-Analyst verdient im Median 65.000€ brutto pro Jahr (Quelle: Entgeltatlas, StepStone, ADVERGY-Daten n=32). Drei Treiber beschleunigen den Markt: Erstens die NIS2-Umsetzung seit Oktober 2024, die 24/7-Security-Monitoring für 29.000 deutsche Unternehmen de-facto vorschreibt – viele Mittelständler bauen erstmals eigene SOCs auf oder kaufen MSSP-Services. Zweitens DORA seit Januar 2025, das im Finanzsektor strengere Incident-Reporting-Fristen einführt (2h Early-Warning, 72h Incident-Notification an BaFin). Drittens die aktuelle Bedrohungslage: Der BSI-Lagebericht 2025 dokumentiert 135 meldepflichtige Sicherheitsvorfälle bei KRITIS-Unternehmen (+42% gegenüber 2023) und Ransomware-Schäden von 2,3 Mrd. € in Deutschland.

Die Folge: Laut Bitkom Cybersecurity-Report 2025 planen 68% der befragten deutschen Unternehmen den Ausbau ihrer SOC-Kapazitäten, 43% wollen 2026 interne SOCs aufbauen oder vergrößern. Der SANS State of the SOC Survey 2025 dokumentiert einen durchschnittlichen Bedarf von +22% mehr SOC-Analysten pro Unternehmen bis Ende 2026. Diese Nachfrage übersetzt sich direkt in Gehälter: Das Year-over-Year-Wachstum der SOC-Gehälter liegt 2024 → 2026 bei +8 bis +12%, bei Detection-Engineer-Profilen sogar +12 bis +16%. Laut ADVERGY-Vermittlungsdaten erzielen wechselwillige SOC-Analysten im Schnitt +20% Gehaltssprung gegenüber internen Gehaltsrunden – typische Sprünge: 52k → 65k (Tier 1 → Tier 2), 65k → 85k (Tier 2 → Tier 3), 85k → 105k (Tier 3 → SOC Lead).

Für dich als SOC-Analyst bedeutet das konkret: Schichtmodelle sind weiterhin Standard (3-Schicht-Rotation bei 24/7-SOCs), bringen aber nennenswerte Zulagen von 15–25% des Grundgehalts. Ein Tier-2-Analyst mit 65k Grundgehalt erreicht inkl. Schichtzulagen und Bonus typisch 78–82k Gesamtvergütung. Besonders gefragt sind drei Profile: Microsoft-Sentinel-Spezialisten mit KQL-Tiefe (+14–18% Premium), Splunk-Core-Certified-Analysten in Banking (+12–16% Premium) und Detection Engineers mit Sigma-Rule-Entwicklungserfahrung (+18–25% Premium). Der strukturelle Engpass: Laut (ISC)² Cybersecurity Workforce Study fehlen in Deutschland ca. 137.000 Security-Fachkräfte, davon mindestens 18.000 SOC-spezifisch.

Welche Faktoren bestimmen das Gehalt eines SOC-Analyst?

Tier-Niveau: Tier 1 zu Tier 3 ist +60% Sprung

Das SOC-3-Tier-Modell ist der stärkste Gehaltshebel. Tier 1 (Alert-Triage) verdient im Median 52.000€ inkl. Schichtzulagen. Tier 2 (Incident Response) liegt bei 65.000€ mit weniger Schichtlast. Tier 3 (Threat Hunting, Malware-Analyse) erreicht 85.000€ in meist Tagdienst-Modellen. SOC Leads ohne Schichtpflicht erreichen 102–115k. Sprung von Tier 1 zu Tier 3: +63% Grundgehalt, plus Wegfall der Schichtbelastung – das ist der wirkungsvollste Karriere-Invest.

SIEM-Plattform: Sentinel und Splunk als Gehalts-Premium

Microsoft-Sentinel- und Splunk-Enterprise-Security-Kenntnisse sind 2026 die gefragtesten SIEM-Profile. Sentinel durch Microsoft-365-Marktdominanz in DE-Mittelstand, Splunk durch Banking-Präsenz. Laut ADVERGY-Daten: Sentinel-Spezialisten mit AZ-500 + SC-200 verdienen +14–18% über Standard-SOC-Analysten, Splunk-Core-Certified-Admins +12–16%. QRadar (IBM) und Elastic Security ergeben je nach Marktfokus +5–10% Premium. Chronicle (Google) explodiert 2026 in der Nachfrage – frühe Expertise wird zum CV-Booster.

Branche: Banking und Big Tech als Gehaltsführer

Ein Senior SOC-Analyst bei Deutsche Bank oder Allianz verdient im Median 78.000€ – rund 10% über DAX-Industrie (71.000€) und 26% über Mittelstand/KRITIS (62.000€). Banking-Treiber: DORA-Incident-Reporting mit BaFin-Fristen, 24/7-SOC-Aufbauten in Frankfurt. Big Tech (Microsoft MSTIC, AWS Security Response, Google Chronicle) zahlt mit 92k Median nochmals 18% über Banking, dafür höhere Anforderungen an Detection Engineering und Automatisierung. Beratung (KPMG, Accenture) liegt mit 70k im Mittelfeld, kompensiert durch Karrieregeschwindigkeit.

Schichtzulagen: 15–25% Gehalts-Extra oft übersehen

Schichtzulagen sind die am häufigsten übersehene Gehaltskomponente bei SOC-Analysten. Typische Zulagen nach TV-EF oder TVöD: Spätdienst +10%, Nachtdienst +25–35%, Samstag +20%, Sonntag +50%, Feiertage +125–135%. Bei einem 3-Schicht-Modell mit durchschnittlich 5 Nachtschichten und 3 Wochenend-Schichten pro Monat summiert sich das auf 12–18% des Grundgehalts – bei 60k Grundgehalt sind das 7.200–10.800€ zusätzlich. Wichtig: Explizit im Arbeitsvertrag festhalten, nicht als 'mitverdient' hinnehmen.

Zertifizierungen: GCIH und GCFA als Tier-Gatekeeper

CompTIA Security+ ist 2026 Markt-Einstieg, GCIH (GIAC Certified Incident Handler) der Standard für den Tier-2-Sprung und GCFA (Certified Forensic Analyst) der Gatekeeper für Tier 3. Laut ADVERGY-Daten bringt GCIH +8–12% Gehaltseffekt, GCFA zusätzlich +12–18%. Microsoft-Stack: AZ-500 + SC-200 sind Pflicht für Sentinel-SOCs und bringen bei Microsoft-Partnern +14–18%. CySA+ (CompTIA Cybersecurity Analyst) als günstigere Alternative zu GCIH gewinnt 2026 an Relevanz im Mittelstand.

Karrierepfad: Vom Junior zum Top-Verdiener

Stufe 1: Tier 1 SOC-Analyst
45.000 – 58.000 € + Schichtzulagen 8–15%
1–3 Jahre

Einstieg nach Studium oder Quereinstieg aus IT-Support/Administration. 24/7-Schichtbetrieb, SIEM-Alert-Triage nach Standard-Playbooks, Erstbewertung von Phishing-Meldungen, Eskalation an Tier 2. Erste Zertifizierung: CompTIA Security+ oder BSI-Grundschutz-Praktiker.

Stufe 2: Tier 2 SOC-Analyst / Incident Responder
58.000 – 75.000 €
3–5 Jahre

Deep-Dive-Investigations, MITRE-ATT&CK-Mapping, SOAR-Playbook-Entwicklung, Incident-Lead bei Medium-Severity-Cases. Wechsel von 24/7-Schicht zu Rufbereitschafts-Modellen möglich. GCIH in Vorbereitung, erste Detection-Engineering-Aufgaben.

Stufe 3: Tier 3 SOC-Analyst / Threat Hunter
75.000 – 95.000 €
5–8 Jahre

Threat Hunting mit proaktiven Queries, Malware-Analyse (Sandbox, statisch + dynamisch), Detection Engineering (Sigma, KQL, SPL). Meist Tagdienst-Modelle. GCFA + GCFE zertifiziert, Teilnahme an Incident-Response-Retainern, Mentoring Tier-1/2-Kollegen.

Stufe 4: Senior Detection Engineer / SOC Lead
90.000 – 115.000 €
8–11 Jahre

Detection-Engineering-Lead, Sigma-Regel-Kuration für 80+ Detections, SOAR-Architektur-Entscheidungen, Team-Koordination 4–8 Analysten. CISSP oder CISM in Vorbereitung, Shift-Scheduling und Capacity Planning, CISO-Reporting.

Stufe 5: Head of SOC / SOC Manager
110.000 – 145.000 € + Bonus 15–25%
11+ Jahre

Head of SOC, Team 15–50 Analysten, Budget-Verantwortung 2–8 Mio. €/Jahr, Follow-the-Sun-Modelle koordinieren, Vorstands-Reporting mit Incident-Statistiken, Retainer-Management mit IR-Dienstleistern, M&A-SOC-Integration.

Verhandlungstipp

SOC-spezifische Verhandlungstaktik in drei konkreten Szenarien: (1) Szenario 'Tier 1 zu Tier 2' (3–4 Jahre Erfahrung): Dein Gehaltssprung 52k → 68k rechtfertigst du mit quantifizierten SOC-Outcomes. Beispiel: 'Ich habe in den letzten 18 Monaten 2.400 Tickets bearbeitet, 34 echte Incidents eigenständig gecontained, ein SOAR-Playbook für Phishing-Containment entwickelt, das die MTTR von 48 auf 7 Minuten senkte, und drei Sigma-Regeln für unsere Splunk-Umgebung kuratiert.' Solche Zahlen öffnen Türen bei Banken oder DAX-SOCs. Fordere zusätzlich: GCIH-Prüfungs-Übernahme (ca. 1.900€ plus Vorbereitungskurs 4.500€, Gesamtwert 6.400€), ein Zertifizierungsbudget von 6.000€/Jahr, Teilnahme an SANS-Summits (z.B. DFIR Summit Prag, Wert 3.500€ inkl. Reise), klare Schichtzulagen-Regelung im Vertrag (nicht mündlich) und einen gesicherten Pfad aus der 24/7-Schicht in Rufbereitschaft binnen 6 Monaten. (2) Szenario 'Tier 2 zu Tier 3' (5–7 Jahre): Der Sprung 68k → 88k hängt an Threat-Hunting-Erfahrung plus GCFA oder vergleichbarem Nachweis. Quantifiziere Business Impact: Wie viele proaktive Hunt-Cases hast du erfolgreich gefahren (z.B. 12 Hunts, davon 3 mit echten TTPs-Findings)? Welche Detections hast du entwickelt (z.B. 18 Sigma-Regeln, davon 5 in MITRE-ATT&CK T1055 Process Injection)? Welche Incidents hast du als Lead gemanaged (z.B. 2 Ransomware-Intrusionen ohne Datenabfluss)? Diese Zahlen rechtfertigen 15–20% über Erstangebot plus 15% Zielbonus. Verhandle zusätzlich: Wegfall der 24/7-Schicht (Tagdienst mit Rufbereitschaft), Home-Office-Anteil 50–70%, Research-Time 10–15% für eigene Threat-Hunting-Hypothesen, SANS-Training-Budget (GCFA 8.000€, GCFE 8.000€), Teilnahme an FIRST-Konferenz (TI-Community-Netzwerk). Banking-Wechsel-Hebel: Wer von MSSP zu Banking-Internal-SOC wechselt (Deutsche Bank, Commerzbank, Allianz), verhandelt strukturell 15–20% mehr wegen DORA-Relevanz. (3) Szenario 'Tier 3 zu Detection Engineer / SOC Lead' (8–10 Jahre): Hier zählt nachweisbare Detection-Engineering-Ownership. Ein dokumentierter Detection-Content-Katalog (50+ kuratiert, in Produktiv), ein automatisierter Onboarding-Prozess für neue Log-Quellen oder ein SOAR-Orchestration-Framework sind je 12–18% wert. Verhandle zum Grundgehalt (98–115k): garantierter Bonus (nicht performance-abhängig, mindestens 18%), On-Call-Pauschale außerhalb Rufbereitschaft (400–700€/Monat), Konferenz-Budget für Black Hat EU / SANS / FIRST (12.000€/Jahr), Aktienoptionen bei Tech-Scale-ups mit SOC-Produkt (typisch 30–80k RSUs über 4 Jahre). Konkrete Verhandlungs-Skripte: Beim Counter-Offer nie mit 'ich arbeite Nachtschichten' argumentieren, sondern mit 'Die 18 Sigma-Regeln, die ich im letzten Jahr in unseren Produktiv-Splunk gebracht habe, detektieren aktuell 34% unserer True-Positive-Incidents. Für vergleichbare Detection-Engineering-Ownership in einem DAX-SOC ist der Marktpreis 95–110k plus Bonus. Unter 95k macht der Wechsel keinen Sinn.' Nutze gezielt Wettbewerbs-Angebote: Sobald du ein schriftliches Angebot von Arctic Wolf, Orange Cyberdefense oder T-Systems CERT hast, legt dein aktueller Arbeitgeber oft 8–12% nach. Anti-Pattern: Nenne nie dein aktuelles Gehalt zuerst. Stattdessen: 'Ich prüfe aktuell Positionen im Bereich 85–100k für Tier-3- oder Detection-Engineer-Rollen. Wie ist euer Paket strukturiert?'

Zertifizierungs-Roadmap für SOC-Analyst

Welche Zertifizierungen bringen wirklich Gehalt? Kosten, Dauer und realistischer Gehaltsimpact.

CompTIA Security+
CompTIA
Leicht-Mittel
Kosten
~800 € (Prüfung 380€ + Selbstlern-Kurs 420€)
Dauer
2–3 Monate
Gehalt+
+5–10%

Der Markt-Einstieg für SOC-Analysten 2026. Deckt Security-Grundlagen ab (Network Security, Threats & Vulnerabilities, Identity Management, Cryptography). Praktisch Standard für Tier-1-Bewerbungen, oft explizit in Stellenausschreibungen genannt. Gute Vorbereitung auf SSCP oder CySA+.

CySA+ – CompTIA Cybersecurity Analyst
CompTIA
Mittel
Kosten
~1.200 € (Prüfung + Kurs)
Dauer
3–4 Monate
Gehalt+
+8–12%

Die nächste Stufe nach Security+ mit SOC-Fokus: Threat & Vulnerability Management, Security Operations, Incident Response, Compliance. Günstige Alternative zu GCIH für Tier-1-zu-Tier-2-Sprung. Im deutschen Mittelstand zunehmend akzeptiert, bei Banken und MSSPs wird GCIH bevorzugt.

GCIH – GIAC Certified Incident Handler
SANS / GIAC
Mittel-Schwer
Kosten
~6.400 € (SANS-Kurs SEC504 + Prüfung)
Dauer
3–4 Monate
Gehalt+
+8–12%

Die SOC-Standardzertifizierung für den Tier-2-Sprung. Deckt Incident Response nach NIST SP 800-61 ab: Detection, Containment, Eradication, Recovery. SANS-Kurse sind Premium-Preis (4.500–6.000€), liefern aber Community-Netzwerk und Hands-on-Labs. Bei Banking und DAX-Konzernen faktisch Pflicht ab Tier 2.

GCFA – GIAC Certified Forensic Analyst
SANS / GIAC
Schwer
Kosten
~8.000 € (SANS-Kurs FOR508 + Prüfung)
Dauer
4–6 Monate
Gehalt+
+12–18%

Die Advanced-Zertifizierung für Tier-3-Threat-Hunter. Deckt Advanced Incident Response, Memory Forensics, Timeline-Analyse und Living-off-the-Land-Detektion ab. Perfekt kombiniert mit FOR572 (Network Forensics) oder FOR578 (Cyber Threat Intelligence). Türöffner zu Banking-Threat-Hunting-Rollen mit 85–95k Median.

AZ-500 + SC-200 (Microsoft Sentinel Stack)
Microsoft
Mittel
Kosten
~900 € (2 Prüfungen je 170€ + Vorbereitungsmaterialien)
Dauer
3–4 Monate
Gehalt+
+14–18%

Die Microsoft-Sentinel-Doppelkombi: AZ-500 (Azure Security Engineer) als Fundament, SC-200 (Security Operations Analyst) als SOC-Fokus. Unschlagbares Preis-Leistungs-Verhältnis für SOC-Analysten in Microsoft-365-getriebenen Umgebungen (Standard im Mittelstand). Bei Microsoft-Partnern (M&M, Arineo, Campana&Schott) faktisch Voraussetzung.

Splunk Core Certified User / Power User
Splunk Inc.
Mittel
Kosten
~500 € pro Prüfung (User + Power User)
Dauer
2–3 Monate
Gehalt+
+8–14% (in Splunk-Umgebungen)

Die Splunk-Zertifizierungspipeline ist Standard in Banking-SOCs (Deutsche Bank, Commerzbank, DZ Bank nutzen Splunk Enterprise Security). Die Kombination Core Certified User + Power User + Enterprise Security Certified Admin bringt im Banking-Kontext strukturell +12–16% Premium. Splunk-Alumni-Netzwerk als Zusatzvorteil.

BSI IT-Grundschutz-Praktiker
BSI / BSI-zertifizierte Schulungsanbieter
Leicht-Mittel
Kosten
~1.500 € (Kurs + Prüfung)
Dauer
3–5 Tage + Selbststudium
Gehalt+
+5–8%

Pflichtnachweis für KRITIS-SOCs, BSI CERT-Bund und Bundeswehr CIR. Bei Banken und öffentlichen Auftraggebern erwarteter Methodik-Nachweis. Kombiniert mit CISSP oder CISM ideal für den Sprung in KRITIS-SOC-Lead-Rollen.

CISSP – Certified Information Systems Security Professional
(ISC)²
Schwer
Kosten
~4.400 € (Prüfung 900€ + Kurs 3.500€)
Dauer
6–9 Monate
Gehalt+
+12–18%

Der Governance-Nachweis für den Sprung von Tier 3 in SOC-Lead- oder Head-of-SOC-Rollen. 8 Domains, Pflicht ab Senior-Level bei Banken und DAX-Konzernen. Amortisiert sich bei Führungsrollen in 6–9 Monaten. Ideal kombiniert mit GCFA für Führungskarriere im SOC-Umfeld.

Typische Projekte: Was ein SOC-Analyst wirklich macht

Diese Projekt-Archetypen dominieren den Alltag – mit Volumen, Dauer und konkreten Lernpunkten.

SIEM/SOAR-Aufbau Banking-Holding (DORA-Scope)
Volumen:4,2 Mio € Projektvolumen
Dauer:16 Monate
Splunk Enterprise SecuritySplunk SOAR (ehemals Phantom)CrowdStrike FalconMISP (Threat Intelligence)ServiceNow ITSM

Vollständiger Neuaufbau eines DORA-konformen SOCs für eine Banking-Holding mit 14.000 MA und 8 Tochterbanken. Als SOC-Engineer im Aufbauteam: Onboarding von 280 Log-Quellen (AD, Azure, Firewalls, Proxies, Banking-Core-Systeme), Entwicklung von 145 Detection-Regeln gemappt auf MITRE ATT&CK, SOAR-Playbooks für Top-20-Incident-Typen (Phishing, Ransomware, Credential-Abuse, Insider-Threat), Integration zwischen SIEM, SOAR und BaFin-Meldesystem für automatische DORA-Incident-Notification (2h-Fristen). Besonderheit: Kombiniert mit TLPT-Red-Team-Tests zur Detection-Verifikation. CV-Wert: Premium-Referenz für Senior-Detection-Engineer-Rollen mit 95–115k Gehaltsperspektive.

Microsoft Sentinel Migration DAX-40 Industrie
Volumen:2,4 Mio € Budget
Dauer:11 Monate
Microsoft SentinelMicrosoft Defender for EndpointMicrosoft Defender for IdentityAzure Logic Apps (Playbooks)KQL (Kusto Query Language)

Migration von Legacy-SIEM (ArcSight) zu Microsoft Sentinel für einen DAX-40-Industriekonzern mit 52.000 MA und 45 Werken weltweit. Als Tier-2-/Tier-3-Analyst: Portierung von 220 Detection-Regeln aus CEF-Syntax in KQL, Aufbau einer Workbook-Sammlung für Management-Reporting, Automatisierung von 40 Alert-Typen via Logic-Apps-Playbooks, Integration mit Defender for Endpoint für Auto-Remediation. Besonderheit: Multi-Tenant-Setup für 45 Werke mit zentraler Sentinel-Workspace-Konsolidierung. Ideal für Analysten mit 4–7 Jahren Erfahrung und Microsoft-Stack-Kenntnissen. CV-Wert: +14–18% beim Wechsel in Sentinel-Spezialist-Rollen.

Incident-Response-Engagement Ransomware KRITIS
Volumen:1,8 Mio € Krisenbudget
Dauer:4 Wochen Krisenmodus + 8 Wochen Hardening
CrowdStrike Falcon CompleteMicrosoft SentinelMandiant Threat IntelligenceVelociraptor (Forensik)KAPE (Kroll Artifact Parser)

Incident-Response-Einsatz als externer Tier-3-Analyst nach LockBit-Ransomware-Angriff bei einem KRITIS-Stadtwerk (Energie-/Wasser-Versorger) mit 2.800 MA. Phase 1 (Woche 1): Forensische Triage via Velociraptor, Identifikation des Initial-Access-Vektors (kompromittierter RDP-Zugang), Containment über Network-Isolation von 420 Endgeräten. Phase 2 (Woche 2–3): Timeline-Rekonstruktion via KAPE, Extraktion von Indicators of Compromise (IoCs), Eradication der Persistence-Mechanismen (Scheduled Tasks, Run Keys, WMI Event Subscriptions). Phase 3 (Woche 4): BSI-Meldung mit forensischem Abschlussbericht, Restore aus Offline-Backups, Empfehlungs-Katalog für Hardening. Ergebnis: Wiederinbetriebnahme nach 19 Tagen ohne Lösegeld-Zahlung. Ideal für Threat Hunter mit GCFA und 5+ Jahren IR-Erfahrung. CV-Wert: Top-Referenz für Incident-Response-Retainer-Rollen bei Mandiant oder KPMG Cyber.

Threat-Hunting-Programm-Aufbau Versicherungskonzern
Volumen:680.000 € Programm-Budget
Dauer:9 Monate
Splunk Enterprise SecurityJupyter NotebooksSigma-RulesetMITRE ATT&CK NavigatorATT&CK FlowOpenCTI

Aufbau eines proaktiven Threat-Hunting-Programms für einen Versicherungskonzern mit 18.000 MA. Als Tier-3-Lead: Entwicklung eines Hunt-Hypothesen-Katalogs mit 60 Hypothesen basierend auf MITRE ATT&CK und Branchenspezifischen TTPs (Kerberoasting, Living-off-the-Land-Binaries, Cloud-Credential-Theft), Programmierung von Jupyter-Notebooks zur automatisierten Daten-Exploration, Integration mit OpenCTI für CTI-Kontextualisierung. Ergebnis nach 9 Monaten: 14 True-Positive-Findings bisher unentdeckter Persistent-Access, 42 neue Sigma-Regeln in Produktiv-SIEM überführt, MTTD (Mean Time to Detect) um 58% gesenkt. Karriere-Booster für Tier-3-Analysten mit Ambitionen Richtung Detection Engineering oder Head of SOC.

24/7-MSSP-SOC-Onboarding für Mittelstand-Portfolio
Volumen:3,2 Mio € Setup + 1,8 Mio €/Jahr Betrieb
Dauer:14 Monate Rollout
Microsoft Sentinel (Multi-Tenant)Azure LighthouseSentinel Content HubDefender for CloudAzure Logic Apps

Onboarding von 28 Mittelstands-Kunden in einen MSSP-Multi-Tenant-Sentinel-SOC. Als Tier-2-SOC-Analyst und Detection Engineer: Standardisiertes Onboarding-Framework entwickelt (Log-Sources, Data-Connectors, Analytics-Rules), Kunden-spezifische Detections in Azure-Lighthouse-Architektur deployed, 3-Schicht-Dienstplan mit 12 Analysten koordiniert, SLA-Reporting (P1 MTTR <30 Minuten, P2 <4 Stunden, P3 <24 Stunden). Besonderheit: Kombiniert mit NIS2-Beratungsangebot für Kunden – SOC als Compliance-Baustein. Typischer Aufstiegspfad für Tier-2-Analysten bei Arctic Wolf, Orange Cyberdefense oder T-Systems CERT. CV-Wert: +10–14% beim Wechsel in Detection-Engineering-Rollen oder Banking-Internal-SOC.

Freelancer-Tagessätze als SOC-Analyst

Selbstständig als SOC-Analyst arbeiten? Hier die realistischen Tagessätze nach Erfahrungsstufe.

Tagessätze als Freelance-SOC-Analyst

Basierend auf ADVERGY-Vermittlungsdaten und Marktbeobachtung 2026.

Junior (2–5 J.)
400–550 €/Tag (Tier 1/2 Interim)
€/Tag (netto)
Senior (5–10 J.)
600–850 €/Tag (Tier 3 / Threat Hunter)
€/Tag (netto)
Lead / Principal
900–1.300 €/Tag (Detection Engineer / SOC Lead Interim)
€/Tag (netto)
Typische Auslastung: 160–180 verrechenbare Tage/Jahr (ca. 72–80% Auslastung). SOC-Freelancing ist stark projektgetrieben (SIEM-Migration, Threat-Hunting-Aufbau, Detection-Engineering-Sprints). Bei 850€/Tag und 170 Tagen ergibt das 144.500€ Jahresumsatz vor Steuern.

Vorteile

  • Hohe Nachfrage bei SIEM-Migrations- und Detection-Engineering-Projekten
  • Keine Schichtarbeit nötig – Freelance-Mandate sind typischerweise Tagdienst mit Projektfokus
  • Projektauswahl-Freiheit: Banking, Mittelstand, MSSPs, KRITIS – alle bauen 2026 SOCs aus
  • Steuerliche Optimierung über UG/GmbH, besonders bei 130k+ Umsatz
  • Lukrative Incident-Response-Retainer-Mandate: 1.500–2.200 €/Tag während Krisenphasen
  • Internationale Mandate möglich (EU-weit), Remote-First üblich außer bei Banking-On-Premises-Engagements

Nachteile

  • NDA-Komplexität: Incident-Response-Engagements erfordern strikte Verschwiegenheit
  • Security-Clearance-Pflichten bei KRITIS- und Öffentlichem-Dienst-Mandaten (Ü2/Ü3, 6–18 Monate)
  • Starke Konkurrenz zu spezialisierten Beratungen (KPMG Cyber, Accenture, HiSolutions)
  • Keine bezahlte Krankheit/Urlaub (min. 15k€/Jahr Puffer einplanen)
  • On-Call-Druck bei Incident-Response-Retainern: 24/7-Bereitschaft mit wenig Vorlauf
  • Scheinselbstständigkeits-Risiko bei Dauer-SOC-Mandaten (>18 Monate)

Remote-Work-Anteil als SOC-Analyst

Wie viel Homeoffice ist branchenüblich? Unterschiede nach Arbeitgebertyp im Überblick.

ArbeitgebertypRemote-Anteil
Große Beratungshäuser
Accenture, Deloitte, PwC, EY		40–70%
End-Kunden / Industrie
Projektarbeit vor Ort häufig gewünscht		30–60%
Inhouse-Konzerne
BMW, Siemens, BASF, Deutsche Bahn		20–50%
Freelancer
Eigenverantwortlich mit Kunden verhandelt		60–85%
Gehalts-Impact: Vollständig remote arbeitende SOC-Analysten akzeptieren im Schnitt 2–5% weniger Grundgehalt als Hybrid-Modelle. Aber Schichtzulagen (15–25%) gelten weiter, weil Schichten auch remote sind. Bei Big Tech ist Remote Standard und bietet tendenziell Premium (+3–5%). Banking-Internal-SOCs zahlen 5–8% Präsenz-Zulagen, besonders in Frankfurt. Bei BSI und Bundeswehr sind Gehälter tarifvertraglich fix.

Fach- oder Führungskarriere? Zwei Wege zum Top-Gehalt

Als SOC-Analyst hast du zwei Hauptpfade – jeder mit eigenem Gehaltsniveau und Anforderungsprofil.

Fachkarriere
Senior Detection Engineer / Principal Threat Hunter / Incident Response Specialist
95.000 – 135.000 €ab 8 Jahren Erfahrung
Deepdive in technische SOC-Spezialisierung: Du wirst zum Go-To-Experten für Sigma-Regel-Kuration, MITRE-ATT&CK-Mapping, Advanced Threat Hunting oder Incident Response. Keine Personalführung, dafür CVE-Research-Beiträge, Konferenz-Vorträge (SANS, FIRST, Hack.lu), Open-Source-Contributions (z.B. Sigma-Ruleset, MITRE ATT&CK Navigator). In Deutschland primär bei Banking-SOCs (DB, CB, DZ Bank), Big Tech (Microsoft MSTIC, Google Chronicle) und spezialisierten MSSPs.
  • GCFA + GCFE oder äquivalente Forensik-Tiefe, CISSP als Governance-Grundlage
  • Minimum 20 Sigma-Regeln oder Detection-Inhalte in öffentlichem Produktiv-Einsatz (GitHub, Corelight, SigmaHQ)
  • Konferenz-Vorträge auf mindestens 2 Top-Security-Konferenzen (SANS, FIRST, BSides, Hack.lu)
  • Publikationen in Fachmedien oder Blog mit 10k+ monatlichen Lesern
  • Netzwerk in Threat-Intelligence-Communities (MISP, OpenCTI, Trust Groups)
Führungskarriere
Head of SOC / SOC Manager / Director Cyber Defense
110.000 – 175.000 € + Bonus 15–25%ab 10 Jahren Erfahrung
Personal-, Budget- und SLA-Verantwortung: Du führst ein SOC-Team von 15–50 Analysten (Head of) oder eine Gesamt-Cyber-Defense-Organisation (Director). Budget-Verantwortung 2–8 Mio. €/Jahr, Verantwortlich für SLAs (MTTD, MTTR, Detection Coverage), Shift-Scheduling, Tool-Procurement. Reporting-Linie typisch an CISO. Bei MSSPs: P&L-Verantwortung für Multi-Tenant-SOC-Portfolios.
  • Mindestens 3 Jahre disziplinarische Führung (8+ Security-Personen)
  • Nachgewiesenes Budget-Management (>2 Mio. € SOC-Ausgaben/Jahr)
  • CISSP oder CISM, bevorzugt ergänzt durch Führungs-Qualifikation (TÜV-Führungskräfte-Programm)
  • Verantwortung für SOC-KPI-Reporting an CISO/Vorstand
  • Experience mit Follow-the-Sun-Koordination oder multi-site-SOC-Setup
  • Track-Record in SIEM-Tool-Evaluation und Vendor-Management

Aktuelle IT-Positionen

Offene Stellen im Bereich SOC-Analyst – jetzt bewerben und Gehalt steigern.

DORA
Tier 2 SOC-Analyst (m/w/d) – Banking
📍 Frankfurt · 🏢 Top-10 Bank · 💰 72–88k + Schichtzulagen
72 – 88k €/Jahr
Bewerben als Tier 2 SOC-Analyst
Top-Gehalt
Threat Hunter / Tier 3 Analyst (m/w/d) – Versicherung
📍 München · 🏢 Top-5 Versicherung · 🏠 60% Remote
85 – 100k €/Jahr
Bewerben als Threat Hunter / Tier 3 An
Sentinel
Detection Engineer (m/w/d) – Microsoft Sentinel
📍 100% Remote · 🏢 MSSP · 💰 AZ-500 + SC-200 Prämie
88 – 108k €/Jahr
Bewerben als Detection Engineer
Einstieg
SOC-Analyst Tier 1 (m/w/d) – 24/7-Einstieg
📍 Hamburg · 🏢 DAX-Industrie · 💰 Tarifvertrag + 18% Schichtzulage
52 – 62k €/Jahr
Bewerben als SOC-Analyst Tier 1
Führung
SOC Lead (m/w/d) – Head of Detection
📍 Stuttgart · 🏢 DAX-40 Industrie · 💰 115–135k + Bonus
115 – 135k €/Jahr
Bewerben als SOC Lead
IR
Incident Responder (m/w/d) – Retainer
📍 Bundesweit · 🏢 Cyber-Beratung · 💰 GCFA-Bonus
95 – 118k €/Jahr
Bewerben als Incident Responder

Erfolgsgeschichten: So haben andere ihr Tech-Gehalt gesteigert

Vermittlung Q1/2026
52.000 €72.000 €

Tier-1-SOC-Analyst (m, 28), 3 Jahre Erfahrung bei einem MSSP in Köln. Wechsel als Tier-2-SOC-Analyst zu einer Top-10-Bank in Frankfurt mit DORA-SOC-Ausbau-Mandat. Entscheidend waren GCIH plus ein dokumentiertes SOAR-Playbook für Phishing-Containment, das die MTTR von 48 auf 7 Minuten senkte. Neues Paket: 72.000€ Grundgehalt, 15% Zielbonus, Tarifvertrag, 30 Urlaubstage, Rufbereitschaft statt 24/7-Schicht, Schichtzulagen 12% (ca. 8.600€/Jahr), BAV-Zuschuss 6%. Gesamtvergütung Jahr 1 ca. 92.000€. Gehaltssprung Base +38%, gesamt +45%. Vermittlungsdauer: 6 Wochen, 3 Gespräche.

Vermittlung Q4/2025
68.000 €92.000 €

Tier-2-SOC-Analystin (w, 33), 6 Jahre Erfahrung, zuletzt bei DAX-30-Industrie-SOC. Wechsel zu Microsoft Detection and Response Team DACH als Detection Engineer. Neues Paket: 92.000€ Grundgehalt + RSU-Aktien (28.000€/Jahr über 4 Jahre Vesting) + 15% Zielbonus, 30 Urlaubstage, 100% Remote, Workation 30 Tage/Jahr, Weiterbildungsbudget 8.000€. Gesamtvergütung Jahr 1: ca. 125.000€ inkl. RSU-Vesting. Ausschlaggebend: AZ-500 + SC-200 + GCFA plus Portfolio mit 18 Sigma-Regeln in Produktiv-Splunk, GitHub-Contributions zu SigmaHQ. Vermittlungsdauer: 8 Wochen, 5 Gespräche inkl. technisches Interview-Loop.

Vermittlung Q2/2025
92.000 €125.000 €

Senior-Detection-Engineer / Tier-3-Analyst (m, 41), 11 Jahre Erfahrung. Spezialisierung: Threat Hunting, Detection Engineering bei Banking-Umgebungen. Wechsel von einer Top-5-Versicherung zu Head of SOC bei einer Banking-Holding (Top-10 DE) in Frankfurt. Neues Paket: 125.000€ Grundgehalt + 20% Zielbonus + Firmenwagen E-Klasse + 12.000€ Weiterbildungsbudget + 35 Urlaubstage + 60% Remote. Ausschlaggebend: CISSP + GCFA + zwei dokumentierte Ransomware-IR-Cases ohne Lösegeld-Zahlung + Team-Führungs-Erfahrung mit 6 Analysten. Gesamtvergütung Jahr 1: ca. 165.000€. Vermittlungsdauer: 10 Wochen.

Verwandte IT-Berufsbilder

Diese IT-Profile passen thematisch zu SOC-Analyst – vergleiche Gehälter und Karrierewege.

Senior Security Engineer
98.000 €
Median-Gehalt 2026
Senior Security Engineer Gehalt →
CISO
180.000 €
Median-Gehalt 2026
CISO Gehalt →
Cloud-Architekt AWS
115.000 €
Median-Gehalt 2026
Cloud-Architekt AWS Gehalt →
Teilen: LinkedIn

Häufig gestellte Fragen zum SOC-Analyst Gehalt

Tier 1 vs. Tier 2 vs. Tier 3 – welche SOC-Stufe soll ich anstreben?
Das SOC-3-Tier-Modell ist der stärkste Karriere-Hebel. Tier 1 (Alert-Triage, 1–3 Jahre): Einstieg nach Studium oder Quereinstieg, 45–58k€ inkl. Schichtzulagen, 24/7-Schicht-Standard. Gute Startposition, aber körperlich belastend. Tier 2 (Incident Response, 3–5 Jahre): 58–75k€, Wechsel in Rufbereitschaft möglich, GCIH als Qualifikation. Hier beginnt der echte Karriere-Take-off. Tier 3 (Threat Hunting, Malware-Analyse, 5–8 Jahre): 75–95k€, meist Tagdienst, GCFA + GCFE zertifiziert, proaktive Detection-Arbeit. Idealer Zielpunkt für die meisten SOC-Analysten. Detection Engineer / SOC Lead (8+ Jahre): 90–115k€ mit Führungs- oder Ownership-Verantwortung. Der Sprung von Tier 1 zu Tier 3 bedeutet +63% Grundgehalt plus Wegfall der Schichtbelastung – das ist der wirkungsvollste Karriere-Invest im SOC.
Wie viel Schichtzulage bekommt ein SOC-Analyst wirklich?
Schichtzulagen sind die am häufigsten übersehene Gehaltskomponente. Typische Zulagen nach TV-EF oder TVöD 2026: Spätdienst +10%, Nachtdienst +25–35%, Samstag +20%, Sonntag +50%, Feiertage +125–135%. Bei einem 3-Schicht-Modell mit durchschnittlich 5 Nachtschichten und 3 Wochenend-Schichten pro Monat summiert sich das auf 12–18% des Grundgehalts. Konkretes Beispiel: Bei 60.000€ Grundgehalt sind das 7.200–10.800€ zusätzlich – das ist mehr als eine typische Gehaltserhöhung. Banken zahlen meist nach TV-EF (Tarifvertrag-Energie/Finanzwirtschaft) mit sehr klaren Zulagen-Regelungen. DAX-Konzerne nach TV-Stahl oder Metall-IG. MSSPs meist nach eigenen Betriebsvereinbarungen, bei Arctic Wolf und Orange Cyberdefense sind die Zulagen auf Markt-Niveau. Big Tech arbeitet im Follow-the-Sun-Modell, daher selten klassische Zulagen – kompensiert durch höhere Grundgehälter. Wichtig: Explizit im Arbeitsvertrag festhalten, nicht als 'mitverdient' hinnehmen.
GCIH vs. CySA+ vs. Microsoft SC-200 – welche SOC-Zertifizierung lohnt sich?
Es kommt auf die Ziel-Umgebung an. GCIH (SANS, ca. 6.400€ inkl. Kurs): Banking- und DAX-Standard ab Tier 2. Premium-Preis, aber unschlagbare Community-Kontakte und Hands-on-Labs. Gehaltseffekt +8–12%. CySA+ (CompTIA, ca. 1.200€): Günstigere Alternative mit ähnlicher SOC-Fokussierung. Im Mittelstand und bei kleineren MSSPs zunehmend akzeptiert. Gehaltseffekt +8–10%. Microsoft SC-200 + AZ-500 (ca. 900€ zusammen): Unschlagbares Preis-Leistungs-Verhältnis für Sentinel-SOCs (Microsoft-365-Standard im Mittelstand). Gehaltseffekt +14–18% in Microsoft-Umgebungen. Splunk Core Certified User + Power User (ca. 1.000€): Standard in Banking-SOCs (Deutsche Bank, Commerzbank nutzen Splunk Enterprise Security). Pragmatische Empfehlung: Start mit CompTIA Security+ (Markt-Einstieg, 800€). Je nach Zielumgebung dann GCIH (Banking), Microsoft SC-200+AZ-500 (Mittelstand-Sentinel) oder Splunk-Pipeline (Banking-Splunk).
Wie realistisch ist SOC-Freelancing?
Bedingt realistisch, stärker projektgetrieben als Festanstellung. Typische Tagessätze 2026: Tier-1-/Tier-2-Interim 400–550 €/Tag, Tier-3-Threat-Hunter 600–850 €/Tag, Detection Engineer 900–1.300 €/Tag, Incident-Response-Retainer-Mandate während Krise 1.500–2.200 €/Tag. Bei 170 verrechenbaren Tagen und 850€ Tagessatz ergibt das 144.500€ Jahresumsatz vor Steuern, ca. 88.000€ netto (GmbH-Struktur). Das entspricht ca. 125.000€ Bruttogehalt-Äquivalent – 30–40% mehr als Festanstellung. Typische Mandate: SIEM-Migrationen (Splunk zu Sentinel), Threat-Hunting-Programm-Aufbau, Detection-Engineering-Sprints, Incident-Response-Einsätze nach Ransomware. Risiken: NDA-Komplexität, Clearance-Pflicht bei KRITIS (6–18 Monate), 24/7-Bereitschaft bei IR-Retainern, Scheinselbstständigkeit bei Dauer-SOC-Mandaten. Ideal für den Sprung: Tier 3 mit GCFA, 7+ Jahre Erfahrung, 2–3 Stammkunden aus der Festanstellung. Nicht empfehlenswert für Tier-1-/Tier-2-Analysten mit weniger als 5 Jahren Erfahrung.
SOC-Analyst Gehalt netto – was bleibt übrig?
Bei einem Bruttojahresgehalt von 65.000€ (Median) bleibt einem ledigen Tier-2-SOC-Analysten in Steuerklasse 1 ca. 40.000–41.500€ netto pro Jahr (ca. 3.350–3.460€/Monat). In Steuerklasse 3 (verheiratet) sind es ca. 44.500–46.000€ netto. Plus Schichtzulagen: Bei 3-Schicht-Modell und typisch 12% Schichtzulage kommen zusätzlich ca. 4.800€ netto/Jahr dazu (Schichtzulagen sind teils steuerfrei nach §3b EStG). Bei 105.000€ Brutto (Top-Wert, Tier 3 / SOC Lead) liegt der Netto-Betrag bei 58.000–60.000€ (Steuerklasse 1). Hinzu kommen oft: Weiterbildungsbudget (6–10k/Jahr), BAV bei Banken/DAX (6% vom Brutto Arbeitgeber-Zuschuss), On-Call-Pauschale bei Rufbereitschaft (400–800€/Monat), Firmenlaptop mit Home-Office-Ausstattung. In Summe liegt das effektive Nettoeinkommen bei vielen Tier-2-/Tier-3-Analysten 12–18% über dem reinen Gehaltsnetto.
Was verdient ein SOC-Analyst mit 5 Jahren Erfahrung?
Mit 5 Jahren SOC-Erfahrung bist du typisch an der Schwelle Tier 2 zu Tier 3. Realistische Bandbreite 2026: Bei einem MSSP ohne Zertifizierungen 58–68.000€ als Tier 2. Bei einem DAX-Industriekonzern mit GCIH 68–78.000€. Bei einer Bank oder Versicherung mit GCIH + erster Detection-Engineering-Erfahrung 75–88.000€. Bei Big Tech (Microsoft MSTIC, Google Chronicle) als Detection Engineer 85–100.000€. Spezialisierungs-Aufschläge: Microsoft-Sentinel-Expertise mit AZ-500 + SC-200 (+14–18%), Splunk-Core-Certified-Admin (+12–16%), Threat-Hunting-Portfolio mit 10+ Sigma-Regeln in Produktiv-Einsatz (+10–14%). Tipp: Mit 5 Jahren ist der ideale Zeitpunkt für den Banking-Wechsel (DORA-SOC-Aufbau sucht genau diese Seniority) oder den Sprung zu Microsoft-365-Detection-Engineering. Der wichtigste Karriere-Entscheid in diesem Zeitraum: Bleibe ich in Schichtarbeit (+15–20% Gehalt durch Zulagen) oder wechsle ich in Tagdienst-Rollen (Detection Engineering, Threat Hunting, SOC Lead)? Die meisten langfristig erfolgreichen SOC-Profile wählen ab Jahr 5 den Tagdienst-Pfad.

SOC-Analyst Gehalt nach Stadt

Finde heraus, was ein SOC-Analyst in deiner Stadt verdient.

Berlin Hamburg München Köln Frankfurt am Main Stuttgart Düsseldorf Leipzig Dortmund Essen Bremen Dresden Hannover Nürnberg Duisburg Bochum Wuppertal Bielefeld Bonn Münster
In welchem IT-Bereich arbeitest du?

Wähle dein Fachgebiet – wir finden passende Positionen.

Tier 1 SOC-Analyst (Alert-Triage)
Tier 2 SOC-Analyst / Incident Responder
Tier 3 SOC-Analyst / Threat Hunter
Detection Engineer (Sigma, KQL, SPL)
Incident Response Specialist
SOC Lead / Shift Manager
Head of SOC / SOC Manager
MSSP / Managed Security Provider
Erzähl uns mehr über dich

Damit wir dir die besten Angebote machen können.

Fast geschafft!

Noch eine letzte Frage – was ist dein aktuelles Gehalt?

Vielen Dank!

Wir melden uns schnellstmöglich bei dir mit einer persönlichen Gehaltseinschätzung.

Optional: Noch bessere Ergebnisse

Mit Lebenslauf können wir dir sofort passende Positionen vorschlagen – vertraulich und kostenlos.

Jetzt anrufen WhatsApp

Quellen & Methodik

Unsere Gehaltsdaten basieren auf mehreren unabhängigen Quellen. Mehr zu unserer Methodik

  • Entgeltatlas – Bundesagentur für Arbeit, Mediandaten 2025 für IT-Sicherheitsberufe / SOC (Entgeltatlas)
  • StepStone Gehaltsreport – Gehaltsreport 2025/2026, Bereich Security Operations & Incident Response (StepStone Gehaltsreport)
  • (ISC)² Cybersecurity Workforce Study – Globale Gehaltsstudie 2025, Abschnitt SOC & Security Operations ((ISC)² Cybersecurity Workforce Study)
  • BSI-Lagebericht zur IT-Sicherheit – Bundesamt für Sicherheit in der Informationstechnik, Lagebericht 2025, Incident-Statistik (BSI-Lagebericht zur IT-Sicherheit)
  • SANS SOC Survey – SANS State of the SOC Survey 2025, globale Analyse inkl. DACH-Gehaltsdaten (SANS SOC Survey)
  • Bitkom Cybersecurity-Report – Bitkom Studie 2025 zu Cyber-Angriffen und SOC-Bedarf in DE (Bitkom Cybersecurity-Report)
  • ADVERGY Vermittlungsdaten – Eigene Daten aus SOC- und Incident-Response-Vermittlungen (n=32+, 2024–2026)
Fragen? Schreib uns!
Gehalt checken