Security Operations Center: Aufbau, Kosten und Alternativen für KMU\n\n> Key Takeaways\n> - Ein internes 24/7-SOC kostet KMU realistisch 1–2 Mio. € im ersten Jahr allein für Personal und Lizenzen.\n> - NIS-2 erzwingt kein SOC, macht strukturiertes Security-Monitoring aber faktisch obligatorisch.\n> - Co-Managed und Fully-Managed SOC über einen MSSP/MDR-Anbieter sind für die meisten KMU die wirtschaftlich und operativ sinnvollere Alternative.\n> - Open-Source-SIEM wie Wazuh senkt Lizenzkosten erheblich, erhöht aber den Betriebsaufwand.\n> - Die Wahl des Modells hängt von Größe, Risikoexposition und vorhandenen Inhouse-Kapazitäten ab.\n\n## Was ist ein Security Operations Center — und warum ist es für KMU relevant?\n\nEin Security Operations Center (SOC) ist eine zentrale organisatorische Einheit, die kontinuierlich IT-Sicherheitsereignisse überwacht, analysiert und auf Vorfälle reagiert. Es kombiniert Menschen, Prozesse und Technologie: Analysten arbeiten mit SIEM-Systemen (Security Information and Event Management), EDR-Lösungen (Endpoint Detection and Response) und Threat-Intelligence-Feeds, um Angriffe frühzeitig zu erkennen.\n\nBis vor wenigen Jahren galt ein SOC als Domäne von DAX-Konzernen und Behörden. Das hat sich geändert — aus zwei Gründen:\n\nErstens haben sich Ransomware-Gruppen und andere Bedrohungsakteure explizit auf KMU spezialisiert. Laut BSI-Lagebericht 2025 sind mittelständische Unternehmen inzwischen häufiger Ziel erfolgreicher Angriffe als Großunternehmen, weil sie attraktive Daten haben, aber schwächere Verteidigung.\n\nZweitens hat der europäische Gesetzgeber mit NIS-2 und der damit verbundenen KRITIS-Regulierung die Anforderungen an Incident Detection und Response auch für kleinere Unternehmen in relevanten Sektoren erheblich verschärft.\n\nDas Ergebnis: IT-Verantwortliche in KMU müssen sich heute ernsthaft mit der Frage befassen, wie sie Security-Monitoring organisieren — auch wenn ein klassisches internes SOC wirtschaftlich außer Reichweite liegt.\n\n## Die drei SOC-Modelle im Überblick\n\n### Internes SOC\n\nDas interne SOC ist die vollständige Eigenleistung: Eigenes Personal, eigene Infrastruktur, eigene Prozesse. Es bietet maximale Kontrolle und Datensouveränität, ist aber ressourcenintensiv.\n\nTypische Mindestausstattung für 8×5-Betrieb (kein 24/7):\n- 2–3 SOC-Analysten (Tier 1/2)\n- 1 SOC-Lead / Senior Analyst\n- SIEM-Plattform (On-Premises oder Cloud)\n- EDR auf allen Endpoints\n- Log-Aggregation aus Firewalls, Active Directory, Cloud-Diensten\n\nFür 24/7-Betrieb verdreifacht sich der Personalaufwand durch Schichtbetrieb. Urlaub, Krankheit und Fluktuation im Security-Bereich verschärfen das Problem — qualifizierte SOC-Analysten sind auf dem deutschen Arbeitsmarkt Mangelware.\n\n### Co-Managed SOC\n\nBeim Co-Managed-Modell betreibt das Unternehmen die SIEM-Infrastruktur selbst oder teilt sie mit einem Partner, die Analyse-Kapazität wird aber durch den MSSP ergänzt. Das ergibt Sinn, wenn bereits Inhouse-Know-how vorhanden ist, aber kein 24/7-Betrieb leistbar ist.\n\nTypisch: Ein Unternehmen betreibt Wazuh On-Premises, ein MSSP übernimmt Triage und Eskalation außerhalb der Bürozeiten.\n\n### Fully Managed SOC (MSSP/MDR)\n\nDer MSSP übernimmt vollständig: Technologie, Monitoring, Analyse, Reporting und Response. Das Unternehmen erhält definierten Service Level, Meldepflicht-Dokumentation und monatliche Reports — ohne eigenes Security-Personal aufbauen zu müssen.\n\nDieser Ansatz ist für KMU mit 50–500 Mitarbeitern oft die einzige realistische Option, um auf einem relevanten Schutzniveau zu operieren.\n\n## Kostenrealität: Was ein internes SOC wirklich kostet\n\nDie folgende Tabelle zeigt realistische Kostenpositionen für ein internes SOC mit 8×5-Betrieb (kein Wochenende, keine Nacht) in Deutschland, Stand 2026:\n\n| Position | Kostenschätzung p.a. |\n|---|---|\n| 3× SOC-Analyst (Gehalt inkl. Nebenkosten) | 270.000–360.000 € |\n| 1× SOC-Lead Senior | 110.000–140.000 € |\n| SIEM-Lizenz (kommerziell, z.B. Splunk/Sentinel) | 60.000–150.000 € |\n| EDR-Plattform (250 Endpoints) | 25.000–50.000 € |\n| Threat Intelligence Feeds | 15.000–40.000 € |\n| Schulungen / Zertifizierungen (GIAC, etc.) | 20.000–40.000 € |\n| Infrastruktur / Server / Storage | 30.000–80.000 € |\n| Gesamt (8×5) | ca. 530.000–860.000 € |\n\nFür 24/7-Betrieb sind mindestens 6–8 Vollzeitstellen erforderlich. Die Gesamtkosten steigen auf 1,2–2,0 Mio. € im ersten Jahr. Für ein Unternehmen mit 150 Mitarbeitern entspricht das 8.000–13.000 € pro Mitarbeiter und Jahr — allein für Security Monitoring.\n\nZum Vergleich: Ein Fully-Managed-SOC über einen MSSP liegt typischerweise bei 50–200 € pro Endpoint und Monat, je nach Servicelevel und Anbieter. Bei 150 Endpoints und einem mittleren Paket: ca. 135.000–250.000 € p.a. — inklusive 24/7-Monitoring, Incident Response und Compliance-Reporting.\n\n## Technische Grundlage: Was ein SOC braucht\n\n### Log-Aggregation und SIEM\n\nDas Herzstück jedes SOC ist ein SIEM-System, das Log-Daten aus allen relevanten Quellen zentralisiert, korreliert und auf verdächtige Muster prüft.\n\nTypische Quellen im KMU-Umfeld:\n\n\nWindows Event Logs (Security, System, Application)\nActive Directory / Entra ID (Logon-Events, Gruppenänderungen)\nMicrosoft 365 (Unified Audit Log, Defender-Alerts)\nFirewall / Next-Gen Firewall (Allow/Deny, GeoIP-Anomalien)\nVPN-Concentrator (Authentifizierungsversuche, Standortanomalien)\nEndpoint-Protection (Malware-Detections, Process-Events)\nAzure Activity Log (Ressourcenänderungen, Role Assignments)\n\n\nWazuh als Open-Source-Alternative:\n\nWazuh ist ein Open-Source-SIEM/XDR, das erheblich günstiger als kommerzielle Alternativen ist. Es bietet HIDS (Host-based Intrusion Detection), Vulnerability Management, File Integrity Monitoring und eine regelbasierte Korrelations-Engine.\n\nBeispiel: Wazuh-Regel zur Erkennung von Pass-the-Hash-Versuchen über Windows Event ID 4624 (Logon Type 3 mit NTLM):\n\n```xml\n<rule id=\