Azure Security Engineer (AZ-500): Lohnt es sich, die Prüfung im Jahr 2026 abzulegen?

Ja, AZ-500 lohnt sich im Jahr 2026 – wenn Ihr Job die Konfiguration der Azure-Sicherheit betrifft. Nein, wenn Sie ein SOC-Analyst sind (SC-200 passt besser) oder ein Sicherheitsarchitekt (SC-100 passt besser). Die Microsoft-Sicherheitszertifizierungsfamilie überschneidet sich auf verwirrende Weise, und viele Leute zahlen für die falsche, weil die Marketingseiten die Unterschiede nicht deutlich machen.

Schnelle Einstufung: Sind Sie die Person, die Azure-Ressourcen sicher konfiguriert? AZ-500. Sind Sie die Person, die Warnungen in Microsoft Defender / Sentinel untersucht? SC-200. Sind Sie die Person, die die Sicherheitsarchitektur für ein Unternehmen entwirft? SC-100. Es gibt Überschneidungen bei allen dreien, aber der Arbeitsalltag, auf den sie vorbereiten, ist tatsächlich unterschiedlich.

Was AZ-500 tatsächlich testet

AZ-500 — Microsoft Certified: Azure Security Engineer Associate — ist eine rollenbasierte Zertifizierung, die sich auf die Implementierung von Azure-Sicherheit konzentriert. Der aktuelle Lehrplan (Stand Anfang 2026, die Prüfung wurde zuletzt Ende 2025 aktualisiert) gliedert sich grob in:

• Identität und Zugriff verwalten (~25–30%): Entra ID (das umbenannte Azure AD), bedingter Zugriff, PIM (Privileged Identity Management), Dienstprinzipale, verwaltete Identitäten, Identitätsschutz, MFA-Konfiguration.
• Netzwerke sichern (~20–25%): NSGs, ASGs, Azure Firewall, Web Application Firewall auf Front Door / App Gateway, DDoS-Schutz, Private Endpoints, Service Endpoints, Network Watcher.
• Compute, Storage und Datenbanken sichern (~20–25%): Defender for Cloud, Defender for Containers, Festplattenverschlüsselung, Härtung von Speicherkonten, SQL Always Encrypted / TDE, Key Vault.
• Sicherheitsoperationen verwalten (~25–30%): Sentinel-Grundlagen, Alarmregeln, KQL-Abfragen (leicht), Defender for Cloud Secure Score, Dashboards für die Einhaltung gesetzlicher Vorschriften, Sicherheitsrichtlinien über Azure Policy.

Er ist breit gefächert. Er fühlt sich auch bemerkenswert praxisnah an für eine Multiple-Choice-Prüfung – Microsoft hat sich in den letzten rollenbasierten Prüfungen verstärkt auf Fallstudien und laborgestützte Szenarien konzentriert. AZ-500 bietet immer noch hauptsächlich Multiple-Choice-/Mehrfachauswahl-/Drag-and-Drop-Fragen, aber die Fallstudienabschnitte am Anfang (im Wert von 40–60 Minuten) erfordern die Bearbeitung der Umgebung eines hypothetischen Unternehmens und die Beantwortung von Fragen dazu.

Die Prüfung kostet in den USA 165 USD, mit regionalen Preisen, die in einigen Märkten auf ca. 80 USD sinken. 40–60 Fragen. 100 Minuten. Online über Pearson VUE OnVUE oder persönlich in einem Testzentrum, Ihre Wahl. Die Gültigkeit beträgt 1 Jahr, mit kostenloser Verlängerung durch eine Online-Bewertung mit 30 Fragen danach. Der Verlängerungsprozess ist tatsächlich einfacher als bei CNCF- oder HashiCorp-Rezertifizierungen.

AZ-500 vs. SC-200

SC-200 — Microsoft Certified: Security Operations Analyst Associate — ist die Prüfung für SOC-Analysten. Sie testet Ihre Fähigkeit, zu:

• Warnungen in Microsoft Defender (Endpoint, Office 365, Cloud Apps, Identity) zu untersuchen.
• Sentinel für SIEM/SOAR zu konfigurieren und zu nutzen (dieser Bereich ist bei SC-200 ausgeprägter; bei AZ-500 weniger).
• KQL-Abfragen zu schreiben (wesentlich schwieriger, als AZ-500 erwartet).
• Proaktiv nach Bedrohungen zu suchen.
• Incident-Response-Workflows zu verwalten.

SC-200 setzt voraus, dass Sie die meiste Zeit vor Sentinel und Defender sitzen. AZ-500 setzt voraus, dass Sie Azure-Ressourcen konfigurieren und gelegentlich den Defender for Cloud Secure Score überprüfen. Beide berühren Identität, beide berühren Netzwerke, beide berühren Sentinel – aber die Rolle, der sie zugeordnet sind, ist unterschiedlich.

Wenn Ihr Titel „Security Engineer“ oder „Cloud Engineer mit Sicherheitsaufgaben“ lautet, dann AZ-500. Wenn Ihr Titel „SOC Analyst“, „Security Analyst“ oder „Threat Hunter“ lautet, dann SC-200.

Meiner Erfahrung nach stellen Organisationen mit ausgereiften Sicherheitsprogrammen für beide Rollen separat ein, und die Zertifizierungen passen dazu. Kleinere Organisationen fassen sie zu einer „Sicherheitsperson“ zusammen, die alles erledigt. In diesem Fall sind beide Zertifikate nützlich, aber AZ-500 ist normalerweise das erste, das man sich holt, da es mehr Konfigurationsbereiche abdeckt.

AZ-500 vs. SC-100

SC-100 — Microsoft Certified: Cybersecurity Architect Expert — ist die höhere Stufe. Es ist nicht „AZ-500 plus mehr“; es ist eine völlig andere Prüfung, die sich an Sicherheitsarchitekten richtet, die Strategien für Azure, Microsoft 365 und Hybridumgebungen entwerfen.

SC-100 setzt voraus, dass Sie bereits eine der folgenden Zertifizierungen besitzen: AZ-500, SC-200, MS-500 (veraltet) oder Identity and Access Administrator (SC-300). Sie ist als krönender Abschluss für den Microsoft-Sicherheitsstack positioniert. Der Inhalt konzentriert sich stark auf die Zero-Trust-Strategie, Compliance-Frameworks (NIST, ISO 27001, GDPR), Unternehmenssicherheitsarchitektur und Incident-Response-Strategie auf Programmebene.

SC-100 ist schwieriger als AZ-500. Die Fragen sind szenariobasiert und erfordern oft, dass Sie Kompromisse zwischen Lösungen abwägen, anstatt die „richtige“ zu identifizieren. Sie zahlt sich in Rollen aus, in denen „Cybersecurity Architect“ die tatsächliche Berufsbezeichnung ist – was laut levels.fyi Berichten 2025–2026 und BLS OEWS-Daten für Information Security Analysts (15-1212) in großen US-Metropolen normalerweise ein Grundgehalt von über 180.000 USD bedeutet, wobei das 90. Perzentil für Mai 2024 bei etwa 180.000 USD liegt.

Wenn Sie seit über 5 Jahren im Sicherheitsbereich tätig sind und Architektenrollen anstreben, ist SC-100 die Zertifizierung mit hohem Nutzen. Wenn Sie noch auf dem Niveau eines Individual Contributors sind, ist AZ-500 der richtige Ausgangspunkt.

Gehaltssignal

Microsoft veröffentlicht nicht, was ihre Zertifizierungen „wert“ sind, und es gibt keinen sauberen A/B-Test auf dem Arbeitsmarkt. Was ich anbieten kann:

• BLS OEWS, Mai 2024: Information Security Analysts (15-1212) Medianlohn um 124.000 USD, 90. Perzentil um 182.000 USD. AZ-500-Inhaber tendieren zur oberen Hälfte dieser Verteilung, da Cloud-Sicherheit besser bezahlt wird als Legacy-On-Premises-Sicherheit.
• levels.fyi 2025–2026: Microsoft L62 Security Engineer Gesamtvergütung um 230.000 USD. AWS L5 Security Specialist um 245.000 USD. Anbieterübergreifende Cloud-Security-Rollen bei Nicht-FAANG-Unternehmen (Capital One, Stripe, Atlassian) typischerweise 170.000–220.000 USD Grundgehalt.
• (ISC)² Cybersecurity Workforce Study: Zertifikatsinhaber berichten konsistent über Gehaltsprämien von 10–15% gegenüber gleichwertigen nicht-zertifizierten Kollegen, aber diese Zahl ist selbstberichtet und mit Erfahrung verknüpft. Betrachten Sie sie als Richtwert.
• Stellenanzeigen: AZ-500 erscheint in etwa 30–40% der Stellenanzeigen für Azure Security Engineer als erforderlich oder bevorzugt. Ohne sie werden Sie nicht herausgefiltert, aber Sie konkurrieren mit Personen, die sie haben.

Die Zertifizierung allein erhöht Ihr Gehalt nicht um einen festen Betrag von $X. Sie öffnet Türen zu Vorstellungsgesprächen und signalisiert aktuelles Wissen. Wenn Sie in einem Azure-Umfeld arbeiten, ist das Vorhandensein von AZ-500 eher zu erwarten als beeindruckend – sein Fehlen in einem Lebenslauf eines erfahrenen Sicherheitsexperten wird als Lücke interpretiert.

Lernzeit

Realistische Vorbereitungszeit:

• Azure-erfahrene Sicherheitsingenieure: 40–60 Stunden über 5–6 Wochen. Konzentrieren Sie sich auf die Teile des Lehrplans, die Sie nicht täglich nutzen (PIM, Sentinel KQL, Defender for Containers, wenn Sie nicht in K8s sind).
• Generalistische Azure-Ingenieure: 80–100 Stunden über 8–10 Wochen. Die Tiefe des Identitätsinhalts überrascht viele; verbringen Sie zusätzliche Zeit mit Entra ID Conditional Access und PIM.
• Neu bei Azure: Über 150 Stunden über 3–4 Monate. AZ-104 (Azure Administrator Associate) ist eine sinnvolle Voraussetzung, auch wenn sie nicht zwingend erforderlich ist. Direkt zu AZ-500 ohne Azure-Betriebserfahrung zu gehen, lässt Sie beim Thema Ressourcensicherheit schwach zurück.

Ressourcen, die ich empfehlen würde: Der offizielle AZ-500-Pfad auf Microsoft Learn ist kostenlos und aktuell – beginnen Sie dort. John Savills YouTube-Kanal bietet ein mehrstündiges AZ-500-Lernprogramm, das wirklich gut ist. Erstellen Sie ein Azure-Abonnement mit dem kostenlosen Guthaben von 200 USD und richten Sie Sentinel, Defender for Cloud, Key Vault und Conditional Access-Richtlinien ein; nur darüber zu lesen, ohne sich durch das Portal zu klicken, lässt Sie bei Fallstudienfragen im Stich.

Der Inhalt zu Microsoft Sentinel ist der größte Stolperstein für AZ-500-Kandidaten. KQL ist bei AZ-500 leicht (bei SC-200 ausgeprägter), aber Sie müssen KQL-Abfragen lesen und verstehen, was sie zurückgeben. Wenn Sie noch nie KQL gesehen haben, verbringen Sie ein Wochenende damit, bevor Sie die Prüfung ablegen.

Sollten Sie sie ablegen?

Legen Sie AZ-500 ab, wenn:

• Ihr Job die Konfiguration von Azure-Sicherheit beinhaltet (Conditional Access, NSGs, Key Vault, Defender for Cloud).
• Sie ein Generalist-Ingenieur in einem Azure-Shop sind, der sich auf Sicherheit spezialisieren möchte.
• Ihr Arbeitgeber ein Microsoft Solutions Partner ist – der Partnerstatus erfordert eine Mindestanzahl zertifizierter Mitarbeiter, und AZ-500 zählt dazu.

Überspringen Sie AZ-500, wenn:

• Sie ein SOC-Analyst sind – SC-200 passt besser zu Ihrer Aufgabe.
• Sie bereits ein erfahrener Sicherheitsarchitekt sind – SC-100 ist der nächste Schritt.
• Ihr Stack hauptsächlich AWS ist – AWS Security Specialty (SCS-C02) ist das Äquivalent und in Ihrer Umgebung nützlicher.

Wenn Sie sie ablegen möchten, durchsuchen Sie die AZ-500-Übungsfragen auf CertLabPro oder starten Sie eine zeitgesteuerte Prüfung. Microsofts Fragetyp ist unverwechselbar – Fallstudien, Drag-and-Drop-Sequenzierung, „wählen Sie alle zutreffenden aus“ – und die Mustererkennung unter Zeitdruck ist der Teil, der am meisten vom Üben mit realistischen Aufgaben profitiert.

Die Zertifizierung zahlt sich aus, wenn Azure-Sicherheit Ihr Hauptberuf ist oder sein wird. Sie zahlt sich nicht als generisches Zeugnis aus, das Sie Ihrem Stack hinzufügen.