Wazuh vs Splunk vs Elastic: Welches SIEM für den Mittelstand?
Wazuh, Splunk oder Elastic SIEM? Funktionsvergleich, Lizenzkosten und Skalierbarkeit für KMU mit 50–500 Endpunkten — neutral bewertet.
Wazuh vs Splunk vs Elastic: Welches SIEM für den Mittelstand?
Key Takeaways
- Splunk ist Enterprise-Standard, aber für KMU oft zu teuer und zu komplex
- Elastic SIEM bietet starke Funktionen, aber die Lizenzkosten für Security-Features sind erheblich
- Wazuh ist für KMU bis 500 Endpunkte die wirtschaftlich überzeugendste Option — mit Einschränkungen
- Die Kombination Wazuh + OpenSearch ist eine bewährte Alternative zu proprietären Lösungen
- Entscheidend ist nicht nur die Technologie, sondern wer sie betreibt
Warum dieser Vergleich jetzt wichtig ist
NIS-2 und die steigende Bedrohungslage zwingen immer mehr mittelständische Unternehmen, sich erstmals ernsthaft mit SIEM-Technologie auseinanderzusetzen. Gleichzeitig ist der Markt unübersichtlich: Dutzende Anbieter versprechen vollständige Sichtbarkeit, einfache Bedienung und niedrige Kosten — selten halten alle drei Versprechen gleichzeitig.
Dieser Vergleich fokussiert auf drei Plattformen, die in der deutschen KMU-Landschaft am häufigsten evaluiert werden: Splunk, Elastic SIEM und Wazuh. Wir bewerten sie nach vier Kriterien: Funktionsumfang, Lizenzkosten, Betriebsaufwand und Eignung für den Mittelstand.
Splunk: Enterprise-Standard mit Enterprise-Preisen
Splunk ist seit Jahren der Quasi-Standard in großen SOC-Umgebungen. Die Plattform ist ausgereift, hat einen enormen Community-Wissenpool und unterstützt hunderte native Integrationen.
Stärken:
- Ausgereiftes SPL-Abfrageformat (Search Processing Language) mit hoher Flexibilität
- Breites Ökosystem an Apps und Integrationen (Splunkbase mit 2.000+ Apps)
- Enterprise-Security-Framework mit vorgefertigten Playbooks und MITRE ATT&CK-Mapping
- Starker kommerzieller Support und SLA-Garantien
Schwächen für KMU:
- Lizenzkosten: Splunk berechnet nach ingestiertem Datenvolumen. Bei 100 Endpunkten mit normalem Log-Aufkommen (ca. 10–50 GB/Tag) liegen die Lizenzkosten bei 40.000 bis 120.000 Euro jährlich.
- Komplexität: Eine produktive Splunk-Umgebung zu betreiben erfordert spezialisierten Know-how. Einfache Konfiguration ist kein Splunk-Merkmal.
- Ressourcenbedarf: Splunk-Infrastruktur ist hardware-intensiv und schwer auf kleinen Umgebungen zu betreiben.
Fazit Splunk: Exzellent ab 500+ Endpunkten mit dediziertem Security-Team. Für KMU unter 250 Mitarbeitern selten die richtige Wahl — es sei denn, Sie nutzen Splunk Cloud mit einem Managed-SOC-Wrapper.
Elastic SIEM: Technisch stark, Lizenzmodell komplex
Elastic hat sich mit dem ELK-Stack (Elasticsearch, Logstash, Kibana) als populäre Open-Source-Alternative zu Splunk positioniert. Die Security-Features in Elastic SIEM gehen jedoch weit über den kostenlosen Stack hinaus.
Stärken:
- Elastic Common Schema (ECS) ermöglicht konsistente Datenstrukturierung über alle Logquellen
- Stark in der Anomalieerkennung durch ML-Module
- Gute Integration mit Endpoint Security (Elastic Agent)
- Modulares Preismodell
Schwächen für KMU:
- Die sicherheitsrelevanten Features (SIEM-Regeln, Case-Management, Entity Analytics, Threat Intelligence) sind nur in der Platinum- oder Enterprise-Lizenz enthalten — ab ca. 25.000 Euro jährlich für mittlere Umgebungen.
- Konfiguration und Tuning sind anspruchsvoll. Die Lernkurve ist hoch.
- Elastic hat sein Lizenzmodell mehrfach geändert (SSPL-Wechsel 2021 war umstritten), was Planungssicherheit erschwert.
Fazit Elastic: Gute Wahl für Teams mit Elasticsearch-Erfahrung und moderatem Budget. Das Gesamtpaket ist teurer als es auf den ersten Blick erscheint, weil Security-Features eine kommerzielle Lizenz erfordern.
Wazuh: Open Source, KMU-tauglich, mit Stärken und Grenzen
Wazuh ist ein Open-Source-SIEM, das ursprünglich als Fork von OSSEC entstanden ist und sich zur vollständigen SIEM/EDR-Plattform entwickelt hat. Es wird heute von CISA (US-Behörde für Cybersicherheit) und BSI als prüfbares Sicherheitswerkzeug anerkannt.
Stärken:
- Kostenlos in der Basis — keine nutzungsabhängigen Lizenzgebühren
- Wazuh-Agents für Windows, Linux, macOS, Docker und Cloud-Dienste
- Integriertes Schwachstellenmanagement, Compliance-Checks (PCI-DSS, HIPAA, GDPR, NIS-2) und File-Integrity-Monitoring
- MITRE ATT&CK-Mapping out of the box
- OpenSearch-Integration für Visualisierung und Langzeitspeicherung
- Aktive Community, regelmäßige Updates
Schwächen:
- Kein kommerzieller Enterprise-Support ohne separaten Supportvertrag
- Korrelationsregeln weniger ausgereift als bei Splunk (XML-basiert, weniger flexibel als SPL)
- Hochvolumige Umgebungen (>5.000 Endpunkte) erfordern sorgfältiges Tuning der Indexer-Cluster
- Dashboard-Erfahrung in OpenSearch ist weniger poliert als Kibana oder Splunk UI
Fazit Wazuh: Für KMU bis 500 Endpunkte mit beschränktem Sicherheitsbudget die überzeugendste Option. Wazuh liefert 80 % des Funktionsumfangs von Splunk bei 10 % der Lizenzkosten — wenn Sie den Betrieb selbst übernehmen oder an einen spezialisierten Managed-Dienstleister delegieren.
Direktvergleich: Die vier wichtigsten Dimensionen
Lizenzkosten (100 Endpunkte, 1 Jahr)
| Plattform | Lizenz | Infrastruktur | Gesamt |
|---|---|---|---|
| Splunk (Cloud) | 60.000–120.000 € | Inklusive | 60.000–120.000 € |
| Elastic (Platinum) | 25.000–50.000 € | 10.000–20.000 € | 35.000–70.000 € |
| Wazuh (Open Source) | 0–8.000 € (Support) | 8.000–20.000 € | 8.000–28.000 € |
Betriebsaufwand
| Plattform | Implementierung | Laufender Betrieb/Jahr |
|---|---|---|
| Splunk | 3–6 Monate | 0,5–1 FTE |
| Elastic | 3–6 Monate | 0,5–1 FTE |
| Wazuh | 1–3 Monate | 0,25–0,5 FTE |
Funktionsvergleich Security
| Feature | Splunk | Elastic | Wazuh |
|---|---|---|---|
| MITRE ATT&CK-Mapping | Ja | Ja | Ja |
| Schwachstellenscan | Über Apps | Über Agent | Integriert |
| File Integrity Monitoring | Ja | Über Agent | Integriert |
| Compliance-Reports (NIS-2) | Ja | Teils | Ja (vorkonfiguriert) |
| Automatisierte Response | Ja (SOAR) | Ja | Basis-Playbooks |
| ML-Anomalieerkennung | Ja | Ja | Eingeschränkt |
Eignung für KMU (50–500 Mitarbeiter)
| Kriterium | Splunk | Elastic | Wazuh |
|---|---|---|---|
| Einstiegshürde | Hoch | Mittel | Niedrig |
| Wirtschaftlichkeit | Schlecht | Mittel | Gut |
| Skalierbarkeit | Sehr gut | Sehr gut | Gut |
| Community/Support | Sehr gut | Gut | Gut |
| DSGVO/DE-Datenhaltung | Möglich (Cloud-Region) | Möglich | Ja (self-hosted) |
Wazuh als Managed Service: Das Beste aus beiden Welten
Der Hauptnachteil von Wazuh — Betriebsaufwand und fehlender Enterprise-Support — lässt sich durch einen spezialisierten Managed-Anbieter ausräumen. Sie profitieren von den niedrigen Lizenzkosten von Wazuh, ohne den operativen Aufwand zu tragen.
Vyrex setzt Wazuh als technische Basis für das Managed SIEM ein, ergänzt um eigene Korrelationsregeln, automatisiertes Alert-Triage durch deutsche Analysten und NIS-2-fähige Compliance-Reports. Die Plattform läuft in Hetzner-Rechenzentren in Falkenstein und Nürnberg — ausschließlich auf deutschem Boden, DSGVO-konform. Mehr zum Setup auf /products/edge und /products/node.
Wenn Sie die SIEM-Auswahl noch im Zusammenhang mit der Build-vs-Buy-Entscheidung betrachten möchten, lesen Sie SIEM selbst betreiben oder auslagern? Eine Kostenrechnung.
FAQ
Ist Wazuh wirklich kostenlos? Wazuh selbst ist Open Source und kostenlos. Sie bezahlen jedoch für Infrastruktur (Server, Speicher), interne Arbeitszeit für Betrieb und Pflege sowie optional für kommerziellen Support und Managed-Service-Schichten. Wer Wazuh vollständig selbst betreibt, spart Lizenzkosten, trägt aber vollen Betriebsaufwand.
Wie viele Endpunkte kann Wazuh verarbeiten? Wazuh skaliert auf zehntausende Endpunkte, wenn es auf ausreichend dimensionierter Infrastruktur läuft. Für bis zu 500 Endpunkte reicht eine mittelgroße VM oder ein physischer Server. Ab 1.000 Endpunkten empfiehlt sich ein Cluster-Setup mit getrennten Manager- und Indexer-Knoten.
Für wen empfiehlt sich Splunk trotz der höheren Kosten? Splunk lohnt sich für Unternehmen mit komplexen, heterogenen IT-Landschaften, bestehenden Splunk-Investitionen oder spezifischen Enterprise-Integrationen, die Splunk besser abdeckt als Open-Source-Alternativen. Auch Unternehmen mit dedizierten SOC-Teams, die von Splunks breitem Community-Wissenpool profitieren, sind gut aufgestellt.
Was ist der Unterschied zwischen Elastic SIEM und dem ELK-Stack? Der ELK-Stack (Elasticsearch, Logstash, Kibana) ist die technische Grundlage. Elastic SIEM ist eine darauf aufbauende Produktschicht mit spezifischen Security-Features: SIEM-Regeln, Entity-Analytics, Threat-Intelligence-Integration und Case-Management. Elastic SIEM erfordert eine kommerzielle Platinum- oder Enterprise-Lizenz.
Kann man Wazuh und Elastic kombinieren? Ja, und das ist eine verbreitete Architektur. Wazuh übernimmt die Endpunkt-Telemetrie und Korrelation; Elastic (OpenSearch) dient als Indexing- und Visualisierungsschicht. Diese Kombination bietet die Stärken beider Plattformen und wird auch von Vyrex als Basis genutzt.
Möchten Sie Wazuh als Managed Service testen? Starten Sie mit einem kostenlosen Security-Check oder sprechen Sie mit unserem Technik-Team.
Frequently asked
Ist Wazuh wirklich kostenlos?
Wazuh selbst ist Open Source und kostenlos. Sie bezahlen jedoch für Infrastruktur (Server, Speicher), interne Arbeitszeit für Betrieb und Pflege sowie optional für kommerziellen Support und Managed-Service-Schichten. Wer Wazuh vollständig selbst betreibt, spart Lizenzkosten, trägt aber vollen Betriebsaufwand.
Wie viele Endpunkte kann Wazuh verarbeiten?
Wazuh skaliert auf zehntausende Endpunkte, wenn es auf ausreichend dimensionierter Infrastruktur läuft. Für bis zu 500 Endpunkte reicht eine mittelgroße VM oder ein physischer Server. Ab 1.000 Endpunkten empfiehlt sich ein Cluster-Setup mit getrennten Manager- und Indexer-Knoten.
Für wen empfiehlt sich Splunk trotz der höheren Kosten?
Splunk lohnt sich für Unternehmen mit komplexen, heterogenen IT-Landschaften, bestehenden Splunk-Investitionen oder spezifischen Enterprise-Integrationen, die Splunk besser abdeckt als Open-Source-Alternativen. Auch Unternehmen mit dedizierten SOC-Teams, die von Splunks breitem Community-Wissenpool profitieren, sind gut aufgestellt.
Was ist der Unterschied zwischen Elastic SIEM und dem ELK-Stack?
Der ELK-Stack (Elasticsearch, Logstash, Kibana) ist die technische Grundlage. Elastic SIEM ist eine darauf aufbauende Produktschicht mit spezifischen Security-Features: SIEM-Regeln, Entity-Analytics, Threat-Intelligence-Integration und Case-Management. Elastic SIEM erfordert eine kommerzielle Platinum- oder Enterprise-Lizenz.
Kann man Wazuh und Elastic kombinieren?
Ja, und das ist eine verbreitete Architektur. Wazuh übernimmt die Endpunkt-Telemetrie und Korrelation; Elastic (OpenSearch) dient als Indexing- und Visualisierungsschicht. Diese Kombination bietet die Stärken beider Plattformen und wird auch von Vyrex als Basis genutzt.