Vyrex Security
Back to blog
Vyrex Security Team

Wazuh erklärt: Das Open-Source-SIEM für den Mittelstand

Was Wazuh kann, wie die Architektur funktioniert und warum es das bevorzugte SIEM für mittelständische Unternehmen ohne Millionenbudget ist.

Wazuh MittelstandOpen Source SIEMWazuh SIEM KMUWazuh Self-HostingWazuh Vulnerability Detection

Wazuh erklärt: Das Open-Source-SIEM für den Mittelstand

Key Takeaways

  • Wazuh ist ein vollwertiges Open-Source-SIEM mit Schwachstellenerkennung, Dateiintegritätsprüfung und Compliance-Modulen
  • Die Software ist kostenlos — Betriebskosten entstehen durch Infrastruktur und Wartung
  • Self-Hosting erfordert deutliches technisches Know-how; für KMU ohne IT-Team ist verwaltetes Hosting sinnvoller
  • Wazuh erfüllt wesentliche NIS-2 und DSGVO-Anforderungen aus einer Plattform
  • Vyrex betreibt Wazuh mandantenfähig für Kunden — ohne eigene Server-Administration

Was ist Wazuh?

Wazuh ist eine Open-Source-Sicherheitsplattform, die Unternehmen bei der Bedrohungserkennung, Compliance-Überwachung und Incident-Response unterstützt. Sie entstand aus dem OSSEC-Projekt und hat sich über die letzten Jahre zur am weitesten verbreiteten Open-Source-SIEM-Lösung weltweit entwickelt.

SIEM steht für „Security Information and Event Management" — gemeint ist die zentrale Sammlung, Korrelation und Analyse von sicherheitsrelevanten Ereignissen aus der gesamten IT-Infrastruktur. Was kommerzielle Anbieter wie Splunk oder IBM QRadar für fünfstellige Jahreslizenzen anbieten, liefert Wazuh ohne Lizenzkosten.

Für mittelständische Unternehmen ist das relevant: Cyberversicherungen fragen zunehmend nach aktivem Monitoring und Logging. NIS-2 schreibt Schwachstellenmanagement und Vorfallserkennung vor. Wer dafür nicht 80.000 Euro Jahresbudget aufwenden kann, war bisher auf schwache Alternativen angewiesen.

Architektur: Wie Wazuh funktioniert

Wazuh besteht aus drei Hauptkomponenten:

Wazuh Agent Ein leichtgewichtiger Dienst, der auf jedem überwachten System läuft — Windows, Linux, macOS. Der Agent sammelt Logs, überwacht Dateiänderungen, prüft Systemkonfigurationen und leitet alle Daten verschlüsselt an den Manager weiter. Der Performance-Einfluss auf das Hostsystem ist gering (unter 1 % CPU-Last im Normalbetrieb).

Wazuh Manager Der zentrale Server empfängt, analysiert und korreliert alle Daten von den Agents. Er wendet Regeln an, generiert Alerts und speichert Ereignisse. Bei größeren Umgebungen kann der Manager als Cluster betrieben werden.

Wazuh Indexer und Dashboard Der Indexer (basierend auf OpenSearch) speichert und indiziert alle Ereignisdaten. Das Dashboard liefert die Weboberfläche für die Auswertung, Visualisierung und Konfiguration. Hier sehen Administratoren Alerts, Compliance-Status und Schwachstellen auf einen Blick.

Die Kommunikation zwischen Agents und Manager ist verschlüsselt und authentifiziert. Agents können auch in isolierten Netzwerkbereichen betrieben werden.

Die wichtigsten Features im Detail

Schwachstellenerkennung (Vulnerability Detection)

Wazuh inventarisiert automatisch alle installierten Pakete und vergleicht sie mit CVE-Datenbanken (National Vulnerability Database, Red Hat CVE-Datenbank u. a.). Das Ergebnis ist ein tagesaktueller Report: Welche Systeme haben kritische Schwachstellen? Welche CVEs sind seit mehr als 30 Tagen ungepatcht?

Das allein ist für NIS-2-Compliance wertvoll — der Nachweis eines aktiven Schwachstellenmanagements ist eine der zehn Pflichten.

Dateiintegritätsüberwachung (File Integrity Monitoring, FIM)

FIM überwacht definierte Verzeichnisse und Dateien auf Änderungen. Wird eine kritische Systemdatei, eine Konfiguration oder ein Zertifikat verändert, erzeugt Wazuh sofort einen Alert — inklusive Angabe, welcher Nutzer die Änderung vorgenommen hat und wann.

Praxisfall: Ransomware beginnt typischerweise damit, Dateien umzubenennen und zu verschlüsseln. FIM erkennt diese Muster in den ersten Sekunden und ermöglicht eine schnelle Reaktion.

Security Configuration Assessment (SCA)

SCA überprüft die Konfiguration von Systemen anhand von Best-Practice-Standards: CIS Benchmarks, DSGVO-Anforderungen, BSI-Empfehlungen. Jedes System bekommt einen Compliance-Score.

Ergebnis: Sie sehen auf einen Blick, welche Server eine unsichere RDP-Konfiguration haben, wo Passwort-Policies nicht den Anforderungen entsprechen oder wo Dienste laufen, die nicht benötigt werden.

Log-Analyse und MITRE ATT&CK Mapping

Wazuh analysiert System-Logs, Anwendungs-Logs und Security-Logs in Echtzeit. Die eingebaute Regelengine erkennt Muster, die auf bekannte Angriffstechniken aus dem MITRE ATT&CK Framework hinweisen. Ein fehlgeschlagener Login-Versuch ist eine Warnung. Tausend fehlgeschlagene Logins in zehn Minuten gefolgt von einem erfolgreichen Login ist ein Incident.

Compliance-Module

Wazuh liefert vorgefertigte Dashboards und Berichte für: PCI-DSS, HIPAA, GDPR (DSGVO), NIST, TSC. Für NIS-2 und ISO 27001 existieren Community-Regelsets. Compliance-Reports lassen sich direkt aus der Oberfläche exportieren.

Self-Hosting vs. verwaltetes Wazuh

Self-Hosting

Wer Wazuh selbst betreiben möchte, braucht:

  • Einen dedizierten Server (mind. 8 GB RAM, 4 vCPUs für bis zu 50 Agents)
  • Erfahrung mit Linux-Administration
  • Zeit für initiale Konfiguration: 2 bis 3 Arbeitstage für eine saubere Grundinstallation
  • Regelmäßige Wartung: Updates, Speicherverwaltung, Regelsets aktualisieren

Für Unternehmen mit einer eigenen IT-Abteilung und Linux-Kenntnissen ist Self-Hosting eine solide Option. Die Lizenzkosten entfallen, Datensouveränität bleibt vollständig beim Unternehmen.

Realistischer Aufwand: Viele Unternehmen unterschätzen den laufenden Betriebsaufwand. Wazuh läuft nicht von selbst — Regelsets müssen angepasst werden, False Positives müssen kalibriert werden, Log-Speicher muss verwaltet werden. Ohne regelmäßige Wartung wird das System unbrauchbar.

Verwaltetes Wazuh-Hosting

Ein MSSP (Managed Security Service Provider) betreibt Wazuh im Auftrag des Kunden. Der Kunde bekommt:

  • Fertig eingerichtete Umgebung ohne eigene Serveradministration
  • Laufende Wartung, Updates, Regel-Tuning
  • Optionales 24/7-Monitoring durch Sicherheitsanalysten
  • Sofortige Compliance-Reports auf Abruf

Kosten liegen typischerweise zwischen 8 und 25 Euro pro Endpunkt monatlich — deutlich weniger als vergleichbare kommerzielle SIEM-Lösungen.

Vyrex: Wazuh als verwalteter Dienst

Vyrex nutzt Wazuh als technische Grundlage für das kontinuierliche Monitoring aller angebundenen Systeme. Die Besonderheit: Wazuh ist bei Vyrex mandantenfähig konfiguriert. Jeder Kunde sieht ausschließlich seine eigenen Daten, das Regelset wird individuell kalibriert.

Der Vorteil gegenüber einem Standard-MSSP: Vyrex kombiniert Wazuh-Monitoring mit dem Vyrex Node-Agent, der zusätzliche Asset-Inventarisierung, Patch-Status und Geräteverwaltung liefert. Das Ergebnis ist eine vollständige Sicht auf die Sicherheitslage — nicht nur Logs, sondern auch Geräte, Nutzer und Konfigurationen.

→ Vyrex Edge (SIEM-Ebene): /products/edge → Vyrex Node (Endpunkt-Agent): /products/node → NIS-2-Compliance mit Vyrex: /nis2 → TwoPixels Implementierungspartner: /partner/twopixels

FAQ

Ist Wazuh wirklich kostenlos? Die Wazuh-Software selbst ist Open Source und kostenlos. Die Kosten entstehen beim Betrieb: Server-Infrastruktur, Speicher für Log-Daten, Wartung und Updates. Wer Wazuh selbst betreiben will, braucht mindestens einen dedizierten Server mit 8 GB RAM für kleinere Umgebungen. Größere Installationen mit mehr als 50 Agents brauchen deutlich mehr Ressourcen und Betriebsaufwand.

Wie unterscheidet sich Wazuh von Splunk oder IBM QRadar? Splunk und QRadar sind kommerzielle SIEM-Plattformen mit Lizenzkosten, die für KMU schnell fünfstellige Jahresbeträge erreichen. Wazuh bietet einen vergleichbaren Funktionsumfang ohne Lizenzkosten, ist aber in der Konfiguration anspruchsvoller. Für Unternehmen ohne dediziertes Security-Team ist ein verwaltetes Wazuh-Hosting oft der beste Mittelweg.

Welche Betriebssysteme unterstützt Wazuh? Wazuh-Agents gibt es für Windows (ab Server 2008), Linux (alle gängigen Distributionen), macOS, Solaris, AIX und HP-UX. Der Agent läuft als Systemdienst und hat minimalen Performance-Einfluss auf das Hostsystem.

FAQ

Frequently asked

Ist Wazuh wirklich kostenlos?

Die Wazuh-Software selbst ist Open Source und kostenlos. Die Kosten entstehen beim Betrieb: Server-Infrastruktur, Speicher für Log-Daten, Wartung und Updates. Wer Wazuh selbst betreiben will, braucht mindestens einen dedizierten Server mit 8 GB RAM für kleinere Umgebungen. Größere Installationen mit mehr als 50 Agents brauchen deutlich mehr Ressourcen und Betriebsaufwand.

Wie unterscheidet sich Wazuh von Splunk oder IBM QRadar?

Splunk und QRadar sind kommerzielle SIEM-Plattformen mit Lizenzkosten, die für KMU schnell fünfstellige Jahresbeträge erreichen. Wazuh bietet einen vergleichbaren Funktionsumfang ohne Lizenzkosten, ist aber in der Konfiguration anspruchsvoller. Für Unternehmen ohne dediziertes Security-Team ist ein verwaltetes Wazuh-Hosting oft der beste Mittelweg.

Welche Betriebssysteme unterstützt Wazuh?

Wazuh-Agents gibt es für Windows (ab Server 2008), Linux (alle gängigen Distributionen), macOS, Solaris, AIX und HP-UX. Der Agent läuft als Systemdienst und hat minimalen Performance-Einfluss auf das Hostsystem.