Was ist SOAR? 

30 Mai, 2025

Article updated on 29/06/26

Genau hier setzt Security Orchestration, Automation and Response (SOAR) an. Es verbindet diese isolierten Systeme zu einer koordinierten Reaktionsfähigkeit, automatisiert wiederkehrende Aufgaben und sorgt dafür, dass Sicherheitsvorfälle strukturiert, nachvollziehbar und schnell bearbeitet werden. Anders als SIEM-Systeme (Security Information and Event Management), die primär beobachten und melden, leitet SOAR aktive, automatisierte Gegenmaßnahmen ein.

Hinweis: Dieser Artikel behandelt SOAR im Kontext der Cybersicherheit (Security Orchestration, Automation and Response). Für andere Bedeutungen des Begriffs – etwa das US Army 160th SOAR oder den englischen Begriff „to soar“ – verweisen wir auf entsprechende Quellen.

In diesem Beitrag erklären wir im Detail, was genau SOAR ist, wie es funktioniert, welche konkreten Vorteile es Unternehmen bringt und wie es sich mit ITSM-Prozessen integrieren lässt. Auf dieser Basis lässt sich eine robuste und ganzheitliche Strategie entwickeln, um sich bei Vorfällen wie externen Angriffen zu verteidigen.

Was ist SOAR? Eine praxisnahe Definition

SOAR bezeichnet eine Plattform, die Sicherheitsteams dabei unterstützt, Sicherheitsvorfälle strukturiert, automatisiert und dokumentiert zu erkennen, zu analysieren sowie zu behandeln. Anders als klassische SIEM (Security Information and Event Management)-Systeme, die primär beobachten und melden, leitet SOAR aktive Handlungen koordiniert, übergreifend und technologiegestützt ein.

SOAR sammelt Informationen aus unterschiedlichsten Quellen, darunter Monitoring-Tools, Firewalls, Antivirenprogramme, Authentifizierungssysteme und Endgeräte. Es analysiert und korreliert diese Daten automatisch. Anschließend vergleicht es die Ergebnisse mit vordefinierten Playbooks — strukturierten Reaktionsplänen, die festlegen, welche automatisierten Schritte bei einem bestimmten Sicherheitsereignis ausgeführt werden sollen.

Bei Bedarf löst SOAR automatisch Gegenmaßnahmen aus. Dabei kann es zum Beispiel darum gehen, ein Gerät zu isolieren, eine verdächtige Sitzung zu schließen, Zugriffe zu entziehen, ein IT-Ticket zu eröffnen oder SOC-Analysten und Incident Manager sowie betroffene Service-Desk-Mitarbeiter, Netzwerkadministratoren und Compliance-Beauftragte zu benachrichtigen.

Doch damit nicht genug: SOAR leistet nicht nur Automatisierungen, sondern auch Folgendes:

  • Die Software standardisiert Reaktionen, um Fehler zu vermeiden und einheitliche Abläufe sicherzustellen.

  • Sie dokumentiert jeden Schritt; was für Sicherheitsteams ebenso wie für Audits und Compliance-Anforderungen besonders nützlich ist.

  • Sie leitet die Kollaboration zwischen IT- und Sicherheitsteams ein, damit diese gemeinsam und gut aufeinander abgestimmt Vorfälle bearbeiten können.

Im Folgenden werfen wir einen genaueren Blick auf die drei Kernfunktionen von SOAR, die sich bereits aus dem Akronym ergeben.

Die drei Säulen von SOAR: Orchestration, Automation, Response

1. Orchestration

Orchestration ist der strategische Kern von SOAR: Die Software verbindet sämtliche Systeme und Prozesse für Sicherheit zu einem einheitlichen Ganzen. Daraus entsteht so etwas wie eine Kommandozentrale, von der aus sich jede Phase des Incident-Response-Prozesses zentral steuern lässt — koordiniert über alle Sicherheitstools und Teams hinweg.

2. Automation

Hier handelt es sich um einen Schlüsselbegriff der aktuellen digitalen Transformation. Aber was bedeutet er konkret? Mithilfe vordefinierter Playbooks und Skripte kann SOAR automatisch auf erkannte Bedrohungen reagieren.

Beispiele dafür sind diese:

  • Endpunkt-Isolierung

  • Zugriffssperrung

  • automatisches Eröffnen von Tickets

  • Benachrichtigungen an das SOC (Security Operations Center)-Team

Welche Maßnahmen genau greifen, hängt ganz von den konkreten Anforderungen und der Konfiguration des Systems ab.

3. Response

Response bezeichnet die strukturierte Reaktion auf erkannte Sicherheitsvorfälle. Mit einem gut funktionierenden SOAR-System verwalten SOC-Analysten und Incident Manager sämtliche Reaktionen auf Sicherheitsvorfälle. Das reicht von der ersten Analyse über die Bearbeitung bis hin zur abschließenden Dokumentation. Jeder Schritt ist dabei nachvollziehbar, lässt sich optimieren und bildet den Ausgangspunkt für kontinuierliche Verbesserung.

SOAR und ITSM-Integration: Warum die Kombination Ihre Incident-Response-Fähigkeit verdoppelt

ITSM steht für IT Service Management, es handelt sich dabei um die Gesamtheit der Prozesse, Tools und Best Practices, um IT-Dienstleistungen effizient und strukturiert zu erbringen sowie stetig zu optimieren. ITSM bildet damit das Fundament sämtlicher IT-Aktivitäten eines Unternehmens.

SOAR lässt sich als natürliche Erweiterung dieses Ansatzes im Bereich der Cybersicherheit verstehen. Beide Konzepte folgen einem prozessorientierten, systemischen Denken. Genau deshalb bietet ihre Integration eine besonders schlagkräftige Strategie gegen Bedrohungen.

Warum sollten SOAR und ITSM integriert werden?

Gemeinsam bilden SOAR und ITSM eine nahezu „natürliche“ Synergie: Sie helfen, organisatorische Silos aufzubrechen, Compliance-Anforderungen zu erfüllen, die IT-Infrastruktur widerstandsfähiger zu machen und die Customer Experience zu verbessern.

  • ITSM liefert die nötige Methodik und Nachvollziehbarkeit in die Vorfallbearbeitung.

  • SOAR sorgt für Tempo und intelligente Automatisierungen.

In der Praxis verwandeln sich ohnehin viele Sicherheitsvorfälle in IT-Vorfälle: Wenn zum Beispiel Malware einen Server lahmlegt, muss der Service Desk aktiv werden. Eine koordinierte Reaktion beider Bereiche ist in diesem Fall essenziell, um Risiken zu reduzieren, Zeit zu sparen und Kosten zu senken.

Ein praktisches Beispiel

Wird eine Anomalie erkannt, erstellt SOAR automatisch ein IT-Ticket. Das zugehörige Playbook startet Maßnahmen im Bereich IT und Security. Hier geht es zum Beispiel darum, Passwörter zu ändern, Patches zu verteilen und Netzwerke zu isolieren. Jeder Schritt wird im ITSM-System dokumentiert, was sich als ideal für Audits und als Grundlage für Verbesserungen erweist.

Wie funktioniert die Integration?

Eine erfolgreiche Integration folgt in der Praxis einem strukturierten Vorgehen:

  1. Bestandsaufnahme vorhandener Systeme (SIEM, Ticketing, Monitoring) und Identifikation von Integrationslücken.

  2. Definition von Integrationszielen und Playbook-Anforderungen auf Basis der häufigsten Vorfalltypen.

  3. API-Verbindungen zwischen SOAR und ITSM konfigurieren — Lösungen wie EV Service Manager bieten offene APIs sowie volle ITIL-Kompatibilität (ITIL ist ein international anerkanntes Framework für IT-Service-Management-Prozesse) als Grundlage für maßgeschneiderte Integrationen.

  4. Workflows testen und validieren, bevor sie in den produktiven Betrieb übergehen.

  5. Kontinuierliche Optimierung auf Basis von Incident-Daten und Playbook-Performance.

Hinweis: Dieser Abschnitt enthält einen Verweis auf EasyVistas eigene Lösung EV Service Manager. Für einen herstellerneutralen Vergleich von SOAR-fähigen ITSM-Plattformen empfehlen wir die Marktübersichten von Gartner oder Forrester.

SOAR-Vorteile: Was Unternehmen konkret gewinnen – und was es kostet, es nicht einzusetzen

Wir haben bereits über die Funktionen und den Nutzen von SOAR gesprochen.

Hier finden sich nun kompakt die wichtigsten Vorteile:

  1. Schnellere Reaktionszeiten: Automatisierte Abläufe vereinfachen Analysen und verkürzen Entscheidungswege (z. B. Reduzierung der mittleren Reaktionszeit von Stunden auf Minuten bei Tier-1-Alerts). Laut dem IBM Cost of a Data Breach Report 2023 benötigen Unternehmen ohne Automatisierung durchschnittlich 277 Tage, um einen Datenschutzvorfall zu identifizieren und einzudämmen — Unternehmen mit automatisierten Sicherheitsprozessen verkürzen diesen Zeitraum signifikant und reduzieren dadurch auch die durchschnittlichen Kosten eines Datenlecks.

  2. Geringe Fehleranfälligkeit: Wiederkehrende Aufgaben (z.B. IP-Prüfungen, Geräteisolierung) laufen standardisiert und fehlerfrei ab (anstatt von der Tagesform einzelner Analysten abzuhängen).

  3. Bessere Übersicht: Alle Aktivitäten sind dokumentiert und nachvollziehbar, was Berichten und der Compliance zuträglich ist (einschließlich lückenloser Audit-Trails für regulierte Branchen).

  4. Effektivere Zusammenarbeit: IT und Security arbeiten enger zusammen, was zu schnelleren, nachhaltigeren Lösungen führt (und Eskalationen sowie Doppelarbeit reduziert).

Wann ist der richtige Zeitpunkt für SOAR?

Zum Abschluss wollen wir noch konkreter werden: In welchen Fällen lohnt sich der Einsatz eines SOAR-Systems?

Unter anderem kommen folgende Szenarien vor:

Fall #1: Zu viele Alerts

Bei Hunderten Alarmen täglich geht die Übersicht verloren. SOAR hilft, diese zu priorisieren und zu automatisieren.

Fall #2: Lange Reaktionszeiten

Wenn Entscheidungen manuell getroffen und genehmigt werden müssen, ist das Risiko hoch. SOAR beschleunigt den Prozess erheblich. Laut dem IBM Cost of a Data Breach Report 2023 können Unternehmen mit automatisierten Sicherheitsprozessen ihre Reaktionszeit auf Vorfälle signifikant verkürzen und dadurch die durchschnittlichen Kosten eines Datenlecks reduzieren — der globale Durchschnitt lag 2023 bei 4,45 Millionen US-Dollar.

Fall #3: Keine Standards

Wenn jeder Analyst frei „nach Gefühl“ arbeitet, entstehen Inkonsistenzen. SOAR sorgt für klare, nachvollziehbare Abläufe.

Fall #4: Hohe Compliance-Anforderungen

In regulierten Branchen wie im Finanzbereich, Gesundheitswesen oder in der Verwaltung sind Dokumentationen essenziell. Dafür hält SOAR lückenlose Nachweise parat.

Fall #5: Von reaktiv zu proaktiv

SOAR ermöglicht den Paradigmenwechsel, Bedrohungen nicht nur abzuwehren, sondern auch aktiv zu vermeiden.

Fazit

Laut dem ENISA Threat Landscape Report 2023 hat die Zahl und Komplexität von Cyberangriffen auf europäische Unternehmen weiter zugenommen — Ransomware, Phishing und Supply-Chain-Angriffe stehen dabei im Vordergrund. SOAR liefert eine unverzichtbare technologische und strategische Antwort auf diese Realität.

Und in Kombination mit modernen ITSM-Plattformen wächst dieses Potenzial enorm, was zu mehr Schutz, weniger Stress und zu einer deutlich höheren Resilienz führt.

FAQ

#1 Was bedeutet „SOAR“ auf Deutsch?

SOAR steht für Security Orchestration, Automation and Response — auf Deutsch: Sicherheitsorchestrierung, Automatisierung und Reaktion. Der Begriff beschreibt eine Plattformkategorie, die Sicherheitsteams dabei unterstützt, Bedrohungen schneller zu erkennen, koordiniert zu reagieren und wiederkehrende Aufgaben zu automatisieren. Im Deutschen wird der englische Begriff SOAR in der Regel unübersetzt verwendet, da er sich als Branchenstandard etabliert hat.

#2 Wofür steht die Abkürzung SOAR?

SOAR steht für Security Orchestration, Automation and Response. Jeder Buchstabe beschreibt eine Kernfunktion: Orchestration (die Vernetzung aller Sicherheitssysteme zu einem koordinierten Ganzen), Automation (die automatische Ausführung vordefinierter Reaktionsschritte per Playbook) und Response (die strukturierte, dokumentierte Bearbeitung von Sicherheitsvorfällen von der Erkennung bis zur Lösung). Zusammen bilden diese drei Funktionen eine Plattform, die reaktive Sicherheitsoperationen in proaktive, skalierbare Prozesse verwandelt.

#3 Was ist SOAR beim US-Militär (160th SOAR)?

Im militärischen Kontext steht SOAR für das 160th Special Operations Aviation Regiment der US Army – eine Spezialeinheit für Luftoperationen, die auch als „Night Stalkers“ bekannt ist. Dies ist eine völlig andere Verwendung des Akronyms und hat keine Verbindung zum IT-Sicherheitsbegriff SOAR. Dieser Artikel behandelt ausschließlich SOAR im Kontext der Cybersicherheit (Security Orchestration, Automation and Response).

#4 Wie schreibt man „soar“ – und was bedeutet das englische Wort?

Das englische Verb „to soar“ (geschrieben: s-o-a-r) bedeutet „aufsteigen“, „emporsteigen“ oder „in die Höhe schießen“. Es ist nicht zu verwechseln mit „sore“ (s-o-r-e), was „wund“ oder „schmerzhaft“ bedeutet. Im IT-Kontext ist SOAR ein Akronym für Security Orchestration, Automation and Response und hat mit dem englischen Verb keine inhaltliche Verbindung.

#5 Was ist der Unterschied zwischen SOAR und SIEM?

SIEM (Security Information and Event Management) und SOAR sind komplementäre, nicht konkurrierende Technologien. SIEM sammelt und korreliert Log-Daten aus der gesamten IT-Infrastruktur, erkennt Anomalien und generiert Alerts — es ist primär ein Beobachtungs- und Meldesystem.

SOAR hingegen geht einen Schritt weiter: Es empfängt diese Alerts, bewertet sie anhand vordefinierter Playbooks und leitet automatisch Gegenmaßnahmen ein. In der Praxis setzen reife Sicherheitsorganisationen beide Systeme gemeinsam ein: SIEM als Erkennungsschicht, SOAR als Reaktionsschicht. Wer nur SIEM einsetzt, sieht das Problem — wer SOAR hinzufügt, löst es auch.

#6 Ist SOAR auch für mittelständische Unternehmen geeignet?

Ja – und der Bedarf ist oft größer als angenommen. Mittelständische Unternehmen verfügen selten über ein vollbesetztes SOC-Team, was bedeutet, dass jeder manuelle Schritt in der Incident Response wertvolle Kapazität kostet. Gerade in regulierten Branchen wie dem Gesundheitswesen, der Finanzbranche oder der öffentlichen Verwaltung sind Dokumentationspflichten und Reaktionszeiten gesetzlich vorgeschrieben. SOAR-Plattformen, die sich nahtlos in bestehende ITSM-Systeme integrieren lassen, bieten auch kleineren IT-Teams die Möglichkeit, professionelle Sicherheitsoperationen zu betreiben – ohne die Ressourcen eines Großkonzerns.

#7 Welche Voraussetzungen braucht ein Unternehmen, um SOAR erfolgreich einzuführen?

Eine erfolgreiche SOAR-Einführung setzt drei Dinge voraus: erstens eine saubere, strukturierte Datenbasis aus den angebundenen Sicherheitstools (SOAR ist nur so gut wie die Daten, die es empfängt), zweitens klar definierte Incident-Response-Prozesse, die als Grundlage für Playbooks dienen, und drittens die Bereitschaft, bestehende manuelle Workflows zu überdenken.

Unternehmen, die SOAR als reine Technologieinvestition betrachten, ohne die Prozess- und Organisationsebene mitzudenken, erzielen in der Regel deutlich geringere Ergebnisse. Eine schrittweise Einführung – beginnend mit den häufigsten und am besten dokumentierten Vorfalltypen – hat sich in der Praxis als der zuverlässigste Weg erwiesen.

EasyVista
EasyVista
EasyVista is a global software provider of intelligent solutions for enterprise service management, remote support.

Get in touch with a salesperson!

Si sine causa, nollem me tamen laudandis maioribus meis corrupisti nec voluptas sit, a philosophis compluribus permulta dicantur, cur nec segniorem ad eam non ero tibique, si ob aliquam causam non existimant oportere nimium nos causae confidere, sed uti oratione perpetua malo quam interrogare aut.

INDUSTRY SPECIFIC EV SERVICE MANAGER SOLUTIONS

Our proven platform, strong values, and passionate team of professionals make up our identity. As IT loyalists, we are committed to providing superior ITSM and ITOM solutions that are innovative and sustainable.