Microsoft SC-900 in 30 Minuten: Die Einführung in die Grundlagen von Sicherheit und Compliance
SC-900 ist das einfachste Sicherheitszertifikat von Microsoft. Wer braucht es wirklich, wer sollte es zugunsten von SC-200 oder AZ-500 überspringen und was die 99 US-Dollar dafür bieten.
SC-900 – Microsoft Certified: Security, Compliance, and Identity Fundamentals – ist das einfachste der Microsoft-Sicherheitszertifikate, und das ist sowohl sein Verkaufsargument als auch seine Einschränkung. Es kostet 99 US-Dollar, Sie können sich in etwa 10 Stunden darauf vorbereiten, wenn Sie bereits mit Microsoft 365 oder Azure gearbeitet haben, und die Fragen sind konzeptioneller Natur: definieren Sie dies, ordnen Sie das zu, identifizieren Sie, welches Microsoft-Produkt welches Problem löst.
Wenn Sie ein technischer Sicherheitsexperte sind, können Sie wahrscheinlich aufhören zu lesen und stattdessen SC-200 oder AZ-500 ablegen. SC-900 ist nicht auf Sie zugeschnitten. Es richtet sich an Auditoren, Compliance-Analysten, Vertriebsingenieure, Projektmanager und Account Executives, die glaubwürdig über Microsofts Sicherheits-Stack sprechen müssen, ohne ihn selbst zu implementieren.
Was der Prüfungsinhalt wirklich ist
Der aktuelle SC-900-Prüfungsplan deckt vier Bereiche ab:
- Konzepte von Sicherheit, Compliance und Identität (~10–15%): die Grundlagen – Defense in Depth, gemeinsame Verantwortung, Zero Trust, Verschlüsselung im Ruhezustand vs. während der Übertragung, gängige Compliance-Frameworks (GDPR, HIPAA, ISO 27001 auf einem Wiedererkennungsniveau).
- Microsoft Entra-Funktionen (~25–30%): Entra ID (das umbenannte Azure AD), Authentifizierungsmethoden, MFA, Conditional Access, Identitäts-Governance, External Identities, PIM auf Vokabular-Ebene.
- Microsoft Sicherheitslösungen (~25–30%): Defender for Cloud, Defender for Endpoint, Defender for Office 365, Defender for Identity, Sentinel – was jedes einzelne tut, nicht wie man es konfiguriert. Plus Azure DDoS Protection, Azure Firewall, NSGs und Key Vault als Material auf Feature-Ebene.
- Microsoft Compliance-Lösungen (~25–30%): Purview (der Oberbegriff für Compliance-Tools seit 2022), Information Protection, Data Loss Prevention, Insider Risk Management, eDiscovery, Compliance Manager, das Service Trust Portal.
Die Prüfung umfasst 40–60 Fragen, 60 Minuten, Multiple-Choice und Multiple-Select. Keine Fallstudien, keine Labs, kein Drag-and-Drop-Sequenzieren. Die Bestehensmarke liegt bei 700/1000. Online über Pearson VUE OnVUE oder persönlich – Ihre Wahl.
Listenpreis 99 USD (regionale Preisgestaltung senkt ihn in einigen Märkten auf ca. 50 USD). Gültigkeit beträgt 1 Jahr, mit kostenloser Verlängerung durch eine Online-Bewertung mit 25 Fragen. Der Verlängerungsprozess von Microsoft für Fundamentals-Zertifikate ist wirklich problemlos.
Für wen SC-900 geeignet ist
Drei Zielgruppen, für die sich das Zertifikat auszahlt:
Nicht-technische Rollen in sicherheitsnahen Berufen. GRC-Analysten, Compliance-Beauftragte, interne Auditoren und Beschaffungsmitarbeiter, die die Sicherheitsaussagen von Anbietern validieren müssen. SC-900 vermittelt Ihnen das Vokabular, um eine Microsoft 365-Sicherheitsüberprüfung zu lesen und zu wissen, ob die beschriebenen Kontrollen real oder nur Marketing sind.
Pre-Sales- und Account-Teams bei Microsoft-Partnern. Dies ist die größte einzelne Gruppe. Der Microsoft Solutions Partner-Status erfordert zertifizierte Mitarbeiter, und SC-900 zählt zu den Partner-Tier-Mindestanforderungen. Vertriebsingenieure, die die Frage "Was ist der Unterschied zwischen Defender for Endpoint und Defender for Cloud Apps?" beantworten können, schließen mehr Geschäfte ab als diejenigen, die nur ausweichen.
Quereinsteiger, die es als Ausgangspunkt nutzen. Wenn Sie aus einem fachfremden Bereich in die IT oder Sicherheit wechseln, ist SC-900 eine risikofreie Möglichkeit, Ernsthaftigkeit zu demonstrieren, ohne 165 US-Dollar für eine rollenbasierte Prüfung auszugeben, für die Sie noch nicht bereit sind. Kombinieren Sie es mit AZ-900 für 198 US-Dollar und Sie haben ein respektables Zwei-Zertifikate-Signal: "Ich bin neu, aber kein Tourist".
Wer es überspringen sollte
Wenn Sie bereits Sicherheitsingenieur, SOC-Analyst, Identity-Administrator oder Cloud-Ingenieur mit Sicherheitsverantwortung sind – überspringen Sie SC-900. Der Inhalt ist das erste Kapitel der rollenbasierten Prüfungen. Sie werden nichts lernen, 99 US-Dollar ausgeben, und SC-900 auf einem Lebenslauf eines erfahrenen Sicherheitsexperten liest sich wie Füllmaterial.
Für technische Pfade, die Alternativen:
- SOC-Analysten-Pfad: SC-200 (Security Operations Analyst Associate), 165 US-Dollar, praktische Arbeit mit Sentinel und Defender.
- Cloud Security Engineer-Pfad: AZ-500 (Azure Security Engineer Associate), 165 US-Dollar, konfigurationsintensiv über Azure hinweg.
- Identity Admin-Pfad: SC-300 (Identity and Access Administrator Associate), 165 US-Dollar, tiefgehend zu Entra ID.
- Security Architect-Pfad: SC-100 (Cybersecurity Architect Expert), 165 US-Dollar, erfordert eines der oben genannten als Voraussetzung.
Die rollenbasierten Prüfungen decken alles ab, was SC-900 abdeckt, plus die eigentliche Implementierung. Das Überspringen der Grundlagen, wenn Sie die Erfahrung für rollenbasierte Prüfungen haben, ist keine Abkürzung – es ist die richtige Entscheidung.
Vorbereitungszeit, realistische Zahlen
| Hintergrund | Stunden | Kalender |
|---|---|---|
| Arbeiten täglich mit M365 / Azure-Sicherheit | 5–8 | Ein Wochenende |
| IT-Generalist, gelegentliche Microsoft-Exposition | 10–15 | 1–2 Wochen |
| Brandneu in der Microsoft Cloud | 20–30 | 3–4 Wochen |
| Quereinsteiger, kein IT-Hintergrund | 40–60 | 6–8 Wochen |
Der offizielle SC-900-Pfad auf Microsoft Learn ist kostenlos und aktuell – das ist die einzige Ressource, die die meisten Kandidaten benötigen. John Savills YouTube-Kanal bietet ein SC-900-Studien-Cram, das für auditive Lerntypen nützlich ist. Überspringen Sie die kostenpflichtigen Udemy-Kurse, es sei denn, sie kosten unter 15 US-Dollar – der offizielle Inhalt ist umfassend genug.
Das größte einzelne Hindernis ist die Produktbenennung. Microsoft hat zwischen 2020 und 2024 die Hälfte seiner Sicherheitsprodukte umbenannt. Azure AD wurde zu Entra ID. Microsoft Cloud App Security wurde zu Defender for Cloud Apps. Die Compliance-Tools wurden unter Purview zusammengefasst. Die Prüfung testet die aktuellen Namen, aber viele ältere Lernmaterialien verwenden alte Namen. Wenn Sie einen SC-900-Leitfaden von 2022 lesen, überprüfen Sie jeden Produktnamen vor der Prüfung auf learn.microsoft.com.
Auswirkungen auf das Gehalt
Es gibt keine. SC-900 erhöht die Gehälter nicht direkt. Es ist ein Vokabel-Zertifikat, kein Kompetenz-Zertifikat. levels.fyi hat keine Spalte dafür. Das BLS erfasst es nicht. Was es tun kann:
- Ihnen helfen, einen HR-Filter für eine Einstiegsposition im Bereich Sicherheit oder Compliance zu überwinden, bei der in der Stellenbeschreibung "Microsoft-Zertifizierung bevorzugt" steht.
- Einen Lebenslauf eines Vertriebsingenieurs auf Partnerseite stärken, bei dem Microsoft-Zertifikate direkte Auswirkungen auf Provisionsstufen haben.
- Als Sprungbrett zu SC-200 oder AZ-500 dienen, wo das Gehaltssignal real ist (Information Security Analysts, BLS OEWS Mai 2024: Median bei rund 124.000 US-Dollar, 90. Perzentil bei rund 182.000 US-Dollar – aber das gilt für den rollenbasierten Pfad, nicht für SC-900).
Wenn Ihr Ziel eine Gehaltserhöhung ist, wird SC-900 allein dies nicht liefern. Wenn Ihr Ziel ist, intelligent an Microsoft-Sicherheitsgesprächen teilzunehmen, wird es das aber definitiv.
Sollten Sie es ablegen?
Legen Sie SC-900 ab, wenn:
- Sie in einer nicht-technischen Rolle sind, die glaubwürdig über Microsoft-Sicherheit sprechen muss.
- Sie bei einem Microsoft-Partner arbeiten und das Zertifikat die Partnerstufe oder Provisionsstruktur beeinflusst.
- Sie brandneu in IT/Sicherheit sind und eine 99-Dollar-Startqualifikation wünschen, bevor Sie sich für einen rollenbasierten Pfad entscheiden.
Überspringen Sie SC-900, wenn:
- Sie bereits technisch versiert genug für SC-200, AZ-500 oder SC-300 sind – beginnen Sie dort.
- Sie nicht in oder an Microsoft-Umgebungen arbeiten oder verkaufen. Das Zertifikat ist anbieterspezifisch und bedeutet nichts in einer AWS- oder Google Cloud-Organisation.
- Sie auf Gehaltsjagd sind. SC-900 liefert keines.
Wenn SC-900 passt, durchsuchen Sie die SC-900-Übungsfragen auf CertLabPro oder starten Sie eine zeitgesteuerte Prüfung. Das Prüfungsmuster konzentriert sich stark auf das "Zuordnen des Produkts zum Problem" – das Üben mit realistischen Aufgaben ist der schnellste Weg, die Microsoft-Namensgebungstaxonomie zu verinnerlichen, die die meisten Menschen tatsächlich stolpern lässt.