SC-200 vs AZ-500: Welches Microsoft Security-Zertifikat zuerst?
AZ-500 ist für Cloud Engineers, die Azure-Sicherheit konfigurieren. SC-200 ist für SOC-Analysten, die in Sentinel arbeiten. Hier erfahren Sie, welches Zertifikat wirklich zu Ihrem Job passt.
Wenn Sie ein Microsoft Security-Zertifikat wählen müssen und nicht wissen, welches, hier die Kurzversion: AZ-500, wenn Sie Azure-Ressourcen aufbauen und konfigurieren; SC-200, wenn Sie Alarme untersuchen und Bedrohungen jagen. Beide kosten 165 $, beide sind rollenbasierte Associate-Level-Zertifikate, beide sind einigermaßen schwer. Sie überschneiden sich in Bereichen — Identität, Netzwerk, Sentinel — aber die tägliche Arbeit, der sie zugeordnet sind, ist wirklich unterschiedlich, und die Wahl des falschen Zertifikats bedeutet, für den Job eines anderen zu lernen.
Ich bekomme diese Frage oft genug, dass sie einen ganzen Beitrag wert ist, anstatt einer Kurzantwort.
Was AZ-500 ist
AZ-500 — Microsoft Certified: Azure Security Engineer Associate — prüft Ihre Fähigkeit, Sicherheitskontrollen in Azure zu implementieren. Der aktuelle Prüfungsplan gliedert sich grob in:
- Identität und Zugriff verwalten (~25–30%): Entra ID, Conditional Access, PIM, Managed Identities, MFA-Konfiguration.
- Netzwerk absichern (~20–25%): NSGs, ASGs, Azure Firewall, WAF auf Front Door / App Gateway, Private Endpoints, DDoS-Schutz.
- Compute, Storage, Datenbanken absichern (~20–25%): Defender for Cloud, Festplattenverschlüsselung, Storage Hardening, Key Vault, SQL TDE / Always Encrypted.
- Security Operations verwalten (~25–30%): Sentinel-Grundlagen, Defender for Cloud Secure Score, Azure Policy, Dashboards für Compliance.
Es ist breit gefächert. Die Multiple-Choice-Fragen fühlen sich praxisnah an – Fallstudien zu Beginn der Prüfung zwingen Sie dazu, sich durch die Umgebung eines hypothetischen Unternehmens zu arbeiten. KQL ist leicht. Sentinel ist leicht. Der Schwerpunkt liegt auf dem „Konfigurieren von Azure-Ressourcen, um sie sicher zu machen“.
Was SC-200 ist
SC-200 — Microsoft Certified: Security Operations Analyst Associate — prüft Ihre Fähigkeit, einen Microsoft Security Stack im Tagesgeschäft zu betreiben. Aktueller Prüfungsplan:
- Bedrohungen mit Microsoft Defender XDR mindern (~25–30%): Defender for Endpoint, Office 365, Cloud Apps, Identity. Untersuchung, Triage, Reaktion.
- Bedrohungen mit Defender for Cloud mindern (~15–20%): Schutz von Cloud-Workloads, Secure Score, Compliance aus Analystenperspektive.
- Bedrohungen mit Microsoft Sentinel mindern (~50–55%): Datenkonnektoren, Analyseregeln, Hunting-Abfragen, Workbooks, Playbooks, SOAR, KQL — starkes KQL.
Der Schwerpunkt der Prüfung liegt auf Sentinel. Wenn Sie am Prüfungstag KQL nicht fließend schreiben oder lesen können, werden Sie Schwierigkeiten haben. Die Fallstudien geben Ihnen oft eine Abfrage und fragen, was sie zurückgibt, oder geben Ihnen ein Szenario und fragen, welchen KQL-Operator Sie zur Verfeinerung verwenden würden.
Die Rollenzuordnung
Das ist der Teil, den niemand auf der Marketingseite klar darstellt:
| Wenn Ihr Titel ist... | Nehmen Sie dies zuerst |
|---|---|
| Cloud Engineer / DevOps Engineer / Platform Engineer | AZ-500 |
| Security Engineer (konfigurationsorientiert) | AZ-500 |
| Azure Administrator, der sich spezialisieren möchte | AZ-500 |
| SOC Analyst / Tier 1–2 Analyst | SC-200 |
| Threat Hunter / Detection Engineer | SC-200 |
| Incident Responder | SC-200 |
| Generalist IT / möchte beide irgendwann | AZ-500 zuerst |
| Quereinsteiger in die Sicherheit | SC-200 (größere Nachfrage auf Junior-Niveau) |
Der Grund, warum AZ-500 für die meisten Cloud-Rollen zuerst in Betracht kommt, ist, dass es mehr Bereiche abdeckt, die eine Person, die nicht ausschließlich im Sicherheitsbereich tätig ist, tatsächlich wissen muss. Wenn Sie ein Cloud Engineer sind, der gelegentlich Sicherheitsfragen beantwortet, verbessert AZ-500 Sie in Ihrem täglichen Job. SC-200 zahlt sich nur aus, wenn Sie die meisten Tage vor Sentinel sitzen.
Schwierigkeitsgrad: ungefähr gleich, unterschiedlich geformt
Beide Prüfungen umfassen 40–60 Fragen, dauern 100 Minuten und kosten 165 USD Listenpreis (wobei die regionalen Preise in einigen Märkten auf ~80 $ sinken). Beide bieten eine kostenlose einjährige Verlängerung durch eine Online-Bewertung mit 30 Fragen. Beide verwenden Fallstudien sowie Standard-Multiple-Choice / Multi-Select / Drag-and-Drop.
Wo sie sich unterscheiden:
AZ-500 ist breiter, SC-200 ist tiefer. AZ-500 verlangt von Ihnen, ein wenig über vieles zu wissen – Identität, Netzwerk, Compute, Storage, Ops. SC-200 verlangt von Ihnen, viel über Sentinel und die Defender Suite im Speziellen zu wissen.
KQL ist das Unterscheidungsmerkmal von SC-200. AZ-500 verlangt von Ihnen, KQL-Abfragen zu lesen und Ausgaben zu verstehen. SC-200 verlangt von Ihnen, sie zu schreiben, zu optimieren und zu debuggen. Wenn Sie noch nie KQL verwendet haben, wird SC-200 Sie überraschen.
AZ-500 hat mehr Identitätsinhalte. Conditional Access, PIM, External Identities, Identity Protection – die ersten 25–30% von AZ-500 sind identitätslastig. SC-200 berührt Identität, aber hauptsächlich durch die Brille der Defender for Identity-Alarme.
Durchfallquoten werden von Microsoft nicht veröffentlicht, aber anekdotisch liegen beide beim ersten Versuch für vorbereitete Kandidaten im Bereich von 60–70%. Der KQL-Abschnitt von SC-200 ist der Bereich, in dem die meisten Punkte verloren gehen; bei AZ-500 sind es die Fallstudien.
Vorbereitungszeit
| Hintergrund | AZ-500 | SC-200 |
|---|---|---|
| Azure-erfahrener Security Engineer | 40–60 Std. | 50–80 Std. |
| Generalist Azure Engineer | 80–100 Std. | 100–130 Std. |
| SOC Analyst, Microsoft Stack | 80–100 Std. | 50–80 Std. |
| Neu bei Azure | 150+ Std. | 180+ Std. |
SC-200 tendiert dazu, etwas länger zu dauern, da der KQL-Muskel bei den meisten Kandidaten von Grund auf aufgebaut werden muss. Wenn Sie bereits fließend in KQL oder einer anderen Abfragesprache mit ähnlicher Syntax sind (Splunk SPL lässt sich einigermaßen gut übertragen), können Sie 20–30 Stunden abziehen.
Die offiziellen Lernpfade von Microsoft Learn für beide Prüfungen sind kostenlos und aktuell. John Savills YouTube-Kanal bietet Crash-Videos für beide. Speziell für SC-200 ist "KQL from scratch" von Rod Trent die kanonische kostenlose Ressource für den Sentinel-Inhalt. Für AZ-500 ist das Einrichten eines kostenlosen Azure-Abonnements und das eigenständige Durchklicken von Conditional Access, PIM, Defender for Cloud und Key Vault unerlässlich – Fallstudienfragen sind ohne Portalkenntnisse nahezu unmöglich zu beantworten.
Gehaltssignal
Keines der Zertifikate erhöht die Gehälter direkt im Sinne eines klaren A/B-Tests. Beide eröffnen Interviewmöglichkeiten. Gemäß BLS OEWS Mai 2024 liegt der Medianlohn für Information Security Analysts (15-1212) bei etwa 124.000 $, das 90. Perzentil bei etwa 182.000 $. Sicherheitsrollen in Microsoft-Shops liegen im oberen Bereich dieser Spanne.
levels.fyi Daten 2025–2026:
- Microsoft L62 Security Engineer Gesamtvergütung ~$230k.
- AWS L5 Security Specialist Gesamtvergütung ~$245k.
- Mid-tier Non-FAANG Security Engineer-Rollen (Capital One, Stripe, Atlassian) typischerweise 170.000 $–220.000 $ Grundgehalt.
Inhaber von SC-200-Zertifikaten in großen Unternehmen mit ausgereiften SOCs (Banken, Gesundheitswesen, Bundesauftragnehmer) verdienen oft mehr als der Gehaltsmedian, da 24/7-SOC-Rollen Schichtzulagen beinhalten. Inhaber von AZ-500-Zertifikaten tendieren zu Standard-Cloud-Engineering-Gehaltsspannen.
Die Zertifikatskombination, die 2026 am besten bezahlt wird, ist AZ-500 + SC-200 + AZ-104 – sie signalisiert, dass Sie Azure konfigurieren, absichern und die Reaktion betreiben können. Alle drei zu absolvieren dauert etwa 200 Stunden über 6–9 Monate und bringt Ihren Lebenslauf durch die Filter der meisten Arbeitgeber im Microsoft-Stack.
Was ich tun würde
Wenn Sie aus einem Cloud Engineering- oder Generalist-IT-Hintergrund kommen, nehmen Sie zuerst AZ-500. Es ist breiter aufgestellt, vermittelt Ihnen mehr über Azure als Plattform, und die meisten Jobs, die Microsoft-Sicherheitskenntnisse erfordern, fragen namentlich häufiger nach AZ-500 als nach SC-200.
Wenn Sie aus einem SOC- oder Analystenbereich kommen – Sie führen bereits Abfragen in einem SIEM aus, Sie untersuchen täglich Alarme – nehmen Sie zuerst SC-200. Die konfigurationslastigen Inhalte von AZ-500 werden sich wie ein Umweg anfühlen, den Sie noch nicht brauchen.
Wenn Sie beide irgendwann anstreben, ist die Reihenfolge weniger wichtig als der Abstand zwischen ihnen. Halten Sie den Abstand nicht größer als 6 Monate; die Überschneidungen bei Identität und Sentinel-Grundlagen belohnen eine aufeinanderfolgende Vorbereitung.
Wenn Sie bereit zum Üben sind, durchsuchen Sie die AZ-500-Übungsbank auf CertLabPro, starten Sie eine zeitgesteuerte SC-200-Prüfung oder nutzen Sie beides. Das Fallstudienformat von Microsoft ist einzigartig, und die Mustererkennung unter Zeitdruck ist der Teil, der am meisten von realitätsnahem Üben profitiert.