SIEM selbst betreiben oder auslagern? Eine Kostenrechnung
SIEM selbst hosten oder auslagern? Wir rechnen TCO, Personalbedarf und Break-Even durch — damit Sie eine fundierte Entscheidung treffen können.
SIEM selbst betreiben oder auslagern? Eine Kostenrechnung
Key Takeaways
- SIEM im Eigenbetrieb kostet ein KMU realistisch 120.000 bis 250.000 Euro pro Jahr
- Der größte Kostentreiber ist Personal — nicht Technologie
- Managed SOC ist für KMU unter 500 Mitarbeitern in fast allen Szenarien wirtschaftlicher
- NIS-2 macht kontinuierliches Monitoring zur Pflicht — die Frage ist nicht ob, sondern wie
- Break-Even zwischen Eigenbetrieb und Managed SOC liegt für die meisten KMU jenseits von 500 Endpunkten
Die Frage hinter der Frage
Wenn IT-Verantwortliche fragen, ob sie ein SIEM selbst betreiben oder auslagern sollen, steckt dahinter meist eine konkretere Frage: Wie viel Sicherheit kann ich mir leisten, und welches Modell gibt mir das beste Verhältnis von Schutz zu Kosten?
NIS-2 hat die Antwort auf das „Ob" bereits gegeben. Kontinuierliches Monitoring, Anomalieerkennung und Incident-Response sind Pflicht für alle wesentlichen und wichtigen Einrichtungen. Wer das ignoriert, riskiert Bußgelder bis 10 Mio. Euro. Die eigentliche Entscheidung lautet: selbst aufbauen oder einkaufen?
Diese Frage lässt sich mit Zahlen beantworten.
Was ein SIEM im Eigenbetrieb wirklich kostet
Die Versuchung beim Eigenbetrieb ist groß: Open-Source-Tools wie Wazuh oder Elastic sind in der Basisversion kostenlos. Das täuscht über die tatsächlichen Kosten hinweg.
Technologiekosten
| Komponente | Jährliche Kosten (100 Endpunkte) |
|---|---|
| SIEM-Lizenz (kommerziell, z. B. Splunk, QRadar) | 40.000–120.000 € |
| SIEM-Lizenz (Open Source + Support, z. B. Wazuh Enterprise) | 8.000–25.000 € |
| Server-Hardware oder Cloud-Infrastruktur | 10.000–30.000 € |
| Speicher für Log-Retention (12 Monate) | 5.000–15.000 € |
| Netzwerk-Infrastruktur (Collector, Forwarder) | 3.000–8.000 € |
Technologiekosten gesamt (Open Source): 26.000–78.000 €/Jahr
Personalkosten — der entscheidende Posten
Ein produktiv betriebenes SIEM braucht mindestens zwei Positionen:
SIEM-Engineer / SOC-Analyst (Vollzeit): Zuständig für Onboarding neuer Logquellen, Pflege von Korrelationsregeln, Incident-Response und Reporting. Gehaltsspanne in Deutschland: 65.000–90.000 € brutto. Mit Arbeitgeberanteil (ca. 20 %) ergibt das 78.000–108.000 €.
Bereitschaftsdienst (24/7): Sicherheitsvorfälle passieren selten zwischen 9 und 17 Uhr. Wenn Sie wirklich rund um die Uhr reagieren wollen, brauchen Sie entweder ein Rotationsmodell mit mindestens drei Personen oder einen Rufbereitschaftsvertrag. Realistischer Zusatzkostenblock: 30.000–60.000 €/Jahr.
Weiterbildung: SIEM-Technologien entwickeln sich schnell. Zertifizierungen (GCIA, CEH, SIEM-spezifisch) kosten 3.000–8.000 € pro Person und Jahr.
Personalkosten gesamt: 111.000–176.000 €/Jahr (ein Engineer plus Bereitschaft, ohne zweiten Analysten)
Versteckte Kosten
- Implementierungsaufwand: 6–12 Monate interner Aufwand für Rollout und Tuning
- False-Positive-Management: Schlecht getuntes SIEM produziert hunderte Alerts täglich — jeder muss triagiert werden
- Urlaubsvertretung und Krankheitsausfälle: Ein Sicherheits-Engineer ist schwer zu ersetzen
- Technologienwechsel: Wenn das SIEM-Produkt deprecated wird oder Sie wachsen, entsteht Migrationsaufwand
Gesamt-TCO Eigenbetrieb (100 Endpunkte): 150.000–280.000 €/Jahr
Was Managed SOC kostet
Managed-Security-Anbieter unterscheiden sich stark in Preismodellen und Leistungsumfang. Die Spanne reicht von einfachem Log-Management bis zu vollständigem SOC-as-a-Service mit dedizierten Analysten, Incident-Response und Compliance-Reporting.
Typische Preismodelle für KMU (100 Endpunkte, 12 Monate Laufzeit):
| Tier | Leistungsumfang | Monatliche Kosten |
|---|---|---|
| Basic | Log-Aggregation, vorkonfigurierte Alerts, monatliches Report | 500–1.500 € |
| Standard | Managed SIEM + Analyst-Triage, Incident-Notification 24/7 | 1.500–4.000 € |
| Professional | Vollständiger SOC, Incident-Response inklusive, SLA <15 min | 4.000–10.000 € |
| Enterprise | Dedizierter Analyst, Custom Playbooks, regulatorische Reports | 10.000–30.000 € |
Vyrex bietet Managed SIEM ab 299 €/Monat für kleine Umgebungen, mit skalierbaren Paketen für größere Installationen. Betrieben wird die Plattform in deutschen Rechenzentren (Hetzner Falkenstein/Nürnberg) mit DSGVO-konformer Datenhaltung — ein Argument, das bei deutschen Kunden und Behörden zunehmend explizit gefragt wird.
Managed-SOC-Kosten (Standard-Tier, 100 Endpunkte): 18.000–48.000 €/Jahr
Der Break-Even-Vergleich
| Szenario | Eigenbetrieb | Managed SOC | Differenz |
|---|---|---|---|
| 50 Endpunkte | 140.000–220.000 € | 12.000–30.000 € | Managed SOC deutlich günstiger |
| 100 Endpunkte | 150.000–280.000 € | 18.000–48.000 € | Managed SOC günstiger |
| 250 Endpunkte | 180.000–320.000 € | 30.000–80.000 € | Managed SOC günstiger |
| 500 Endpunkte | 200.000–350.000 € | 50.000–120.000 € | Managed SOC noch günstiger |
| 1.000 Endpunkte | 250.000–400.000 € | 80.000–180.000 € | Managed SOC oft noch günstiger |
Der Eigenbetrieb wird erst dann wirtschaftlich konkurrenzfähig, wenn Sie ein eigenes Security-Team von 3–5 Personen vollständig auslasten können — das entspricht einer Umgebung von etwa 500–1.000 Endpunkten und einem SIEM, das auch für andere interne Zwecke (Compliance-Reporting, forensische Analysen, Produktionsmonitoring) genutzt wird.
Für KMU unter 500 Mitarbeitern ist das selten der Fall.
Was ein gutes Managed-SOC-Modell leisten muss
Nicht jeder Managed-SOC-Anbieter ist gleich. Achten Sie bei der Auswahl auf:
Datenhaltung in Deutschland: DSGVO-Compliance ist Grundvoraussetzung. Logdaten enthalten häufig personenbezogene Daten. Ein Anbieter mit US-amerikanischen Rechenzentren oder unklaren Subauftragsverarbeiterketten schafft Compliance-Risiken.
Reaktionszeit-SLAs: Was passiert, wenn das SIEM einen kritischen Alert auslöst? Ein SLA von 15 Minuten für kritische Incidents ist angemessen; 24-Stunden-SLAs sind für aktive Angriffe wertlos.
Transparenz in der Methodik: Können Sie die Korrelationsregeln einsehen? Erhalten Sie nachvollziehbare Incident-Reports? Ein Black-Box-Dienst macht Sie blind gegenüber Ihrem eigenen Sicherheitszustand.
Exit-Strategie: Was passiert, wenn Sie den Anbieter wechseln? Gehören die Korrelationsregeln, historischen Daten und Konfigurationen Ihnen?
NIS-2-Reporting: Liefert der Anbieter compliance-fähige Reports, die Sie für BSI-Nachweise nutzen können?
Mehr zum Vergleich der SIEM-Technologien unter der Haube finden Sie in unserem Artikel Wazuh vs Splunk vs Elastic: Welches SIEM für den Mittelstand?.
Die hybride Option
Es gibt einen Mittelweg zwischen vollständigem Eigenbetrieb und vollständigem Outsourcing: ein Co-Managed-SIEM-Modell. Der Anbieter stellt Plattform und Basismonitoring bereit; Ihr internes Team verwaltet eigene Regeln und hat vollen Zugriff auf die Daten.
Dieses Modell eignet sich für Unternehmen, die internen Security-Know-how aufbauen wollen, ohne sofort die vollen Eigenbetrieb-Kosten zu tragen. Es ist auch die natürliche Brücke für den späteren Übergang in den Eigenbetrieb, wenn das Team gewachsen ist.
Vyrex unterstützt beide Betriebsmodelle — vollständig verwaltet oder co-managed mit API-Zugang für Ihr Team.
FAQ
Was kostet ein SIEM im Eigenbetrieb für ein KMU mit 100 Endpunkten? Die Total Cost of Ownership liegt typischerweise zwischen 120.000 und 250.000 Euro pro Jahr. Der größte Posten sind Personalkosten: Ein erfahrener SIEM-Engineer kostet 70.000 bis 90.000 Euro Bruttojahresgehalt, dazu kommen Weiterbildung, Krankheits- und Urlaubsvertretung sowie 24/7-Bereitschaft. Lizenzen und Hardware kommen obendrauf.
Ab welcher Unternehmensgröße lohnt sich ein SIEM im Eigenbetrieb? Die meisten Analysten (Gartner, IDC) nennen 500 bis 1.000 Endpunkte als Untergrenze, ab der ein SIEM im Eigenbetrieb wirtschaftlich vertretbar ist — vorausgesetzt, Sie haben ein dediziertes Security-Team. Für KMU unter 500 Mitarbeitern ist ein Managed-SOC-Modell in der Regel deutlich wirtschaftlicher.
Was ist der Unterschied zwischen SIEM und SOC as a Service? Ein SIEM ist eine Technologie — es sammelt, korreliert und alarmiert. Ein SOC (Security Operations Center) ist die Mannschaft und die Prozesse, die hinter dem SIEM stehen und Alerts bewerten, priorisieren und auf Vorfälle reagieren. SOC as a Service liefert beides als verwalteten Dienst.
Wie lange dauert die Implementierung eines SIEM-Eigenbetriebs? Von der Evaluierung bis zum produktiven Betrieb dauert ein SIEM-Eigenprojekt typischerweise 6 bis 12 Monate. Das Onboarding aller relevanten Logquellen, das Tuning von Korrelationsregeln und die Reduktion von False-Positives auf ein handhabbares Niveau beanspruchen weitere 3 bis 6 Monate.
Kann ich von einem Managed SOC zu einem Eigenbetrieb wechseln? Ja. Ein guter Managed-SOC-Vertrag enthält Klauseln zur Übergabe von Konfigurationen, Korrelationsregeln und historischen Daten. Viele Unternehmen starten mit Managed SOC und bauen über 2 bis 3 Jahre internen Know-how auf, bevor sie den Betrieb übernehmen.
Möchten Sie Ihre konkrete Situation durchrechnen? Fordern Sie einen kostenlosen TCO-Vergleich an oder sprechen Sie direkt mit unserem Team.
Frequently asked
Was kostet ein SIEM im Eigenbetrieb für ein KMU mit 100 Endpunkten?
Die Total Cost of Ownership liegt typischerweise zwischen 120.000 und 250.000 Euro pro Jahr. Der größte Posten sind Personalkosten: Ein erfahrener SIEM-Engineer kostet 70.000 bis 90.000 Euro Bruttojahresgehalt, dazu kommen Weiterbildung, Krankheits- und Urlaubsvertretung sowie 24/7-Bereitschaft. Lizenzen und Hardware kommen obendrauf.
Ab welcher Unternehmensgröße lohnt sich ein SIEM im Eigenbetrieb?
Die meisten Analysten (Gartner, IDC) nennen 500 bis 1.000 Endpunkte als Untergrenze, ab der ein SIEM im Eigenbetrieb wirtschaftlich vertretbar ist — vorausgesetzt, Sie haben ein dediziertes Security-Team. Für KMU unter 500 Mitarbeitern ist ein Managed-SOC-Modell in der Regel deutlich wirtschaftlicher.
Was ist der Unterschied zwischen SIEM und SOC as a Service?
Ein SIEM ist eine Technologie — es sammelt, korreliert und alarmiert. Ein SOC (Security Operations Center) ist die Mannschaft und die Prozesse, die hinter dem SIEM stehen und Alerts bewerten, priorisieren und auf Vorfälle reagieren. SOC as a Service liefert beides als verwalteten Dienst.
Wie lange dauert die Implementierung eines SIEM-Eigenbetriebs?
Von der Evaluierung bis zum produktiven Betrieb dauert ein SIEM-Eigenprojekt typischerweise 6 bis 12 Monate. Das Onboarding aller relevanten Logquellen, das Tuning von Korrelationsregeln und die Reduktion von False-Positives auf ein handhabbares Niveau beanspruchen weitere 3 bis 6 Monate.
Kann ich von einem Managed SOC zu einem Eigenbetrieb wechseln?
Ja. Ein guter Managed-SOC-Vertrag enthält Klauseln zur Übergabe von Konfigurationen, Korrelationsregeln und historischen Daten. Viele Unternehmen starten mit Managed SOC und bauen über 2 bis 3 Jahre internen Know-how auf, bevor sie den Betrieb übernehmen.