Zusammenfassung – Angesichts der Flut an Alerts und der 24/7-Detektion erfordert ein internes SOC hohe Personalkosten, Schulungen sowie Nacht-/Wochenendsupport und führt zu Alarmmüdigkeit, während SOC-as-a-Service externe Expertise, Skalierbarkeit und definierte SLAs liefert. Das hybride Modell vereint Governance, maßgeschneiderte Playbooks und ausgelagerte L1/L2-Überwachung für optimale Kontrolle und Reaktionsfähigkeit. Lösung: Reifegrad-Audit, Festlegung des SOC-Modells (intern, ausgelagert oder hybrid), Auswahl von SIEM/EDR/XDR, Automatisierung der Workflows und kontinuierliches Monitoring.
Das Security Operations Center (SOC) ist eine strategische Einrichtung, die sich der Überwachung, Analyse und Reaktion auf IT-Bedrohungen widmet.
Mehr als ein Werkzeug ist es ein spezialisiertes Team, das Prozesse definiert, Playbooks erstellt und Plattformen wie SIEM, EDR oder XDR nutzt, um Vorfälle rund um die Uhr zu erkennen, zu bewerten und einzudämmen.
Angesichts der zunehmenden Alarmflut und der geforderten Reaktionsfähigkeit stellt sich die Frage: Ein internes SOC aufbauen oder auf ein SOC-as-a-Service setzen, das von einem externen Anbieter betrieben wird? Diese Entscheidung ist weit mehr als ein bloßer interner vs. externer Vergleich, sondern erfordert eine sorgfältige Analyse der verfügbaren personellen, finanziellen und organisatorischen Ressourcen. Für viele KMU, mittelständische Unternehmen oder MSP erweist sich die Auslagerung oft als die pragmatischste und effektivste Lösung.
Was ist ein SOC und warum es für die Cybersicherheit unverzichtbar ist
Ein Security Operations Center ist ein Zusammenspiel aus Team, Prozessen und Werkzeugen, das der Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle dient. Zu seinen Aufgaben gehören die Überwachung rund um die Uhr, die Analyse von Alarmen, die Reduzierung von Fehlalarmen und die Koordination der Behebung.
Zusammensetzung und Funktionen eines SOC
Ein SOC vereint Analysten der Stufen 1 bis 3, klar definierte Prozesse und spezialisierte Tools. Level-1-Analysten übernehmen das initiale Triage der Alarme, während höhere Level die weiterführende Untersuchung durchführen und die Reaktion koordinieren. Threat-Intelligence-Spezialisten ergänzen die Meldungen mit Daten zu den Taktiken, Techniken und Verfahren (TTP) der Angreifer.
Zu den zentralen Prozessen gehört die Definition von Playbooks für jeden Vorfallstyp, die Priorisierung kritischer Assets und die teilweise Automatisierung mittels SOAR-Lösungen. Diese Playbooks beschreiben detailliert Aktionssequenzen, Eskalationsschwellen und verantwortliche Rollen, um ein standardisiertes und schnelles Vorgehen im Ernstfall zu gewährleisten.
Die Orchestrierung dieser Aktivitäten hilft, die Alert Fatigue zu reduzieren, indem die Erkennungsregeln kontinuierlich verfeinert werden. Ein ausgereiftes SOC passt seine Korrelationsregeln an, testet neue Signaturen und misst die Entwicklung seiner Leistungskennzahlen, um die Abdeckung und Zuverlässigkeit der Überwachung zu verbessern.
SOC-Reife: Prozesse, Playbooks und Kennzahlen
Ein reifes SOC begnügt sich nicht damit, Alarme zu empfangen, sondern dokumentiert jeden Vorfall und erfasst Kennzahlen wie die durchschnittliche Zeit bis zur Erkennung (MTTD) und die durchschnittliche Reaktionszeit (MTTR). Diese Metriken speisen eine kontinuierliche Verbesserungsschleife für Prozesse und Regeln.
Die Playbooks werden regelmäßig weiterentwickelt, um Erfahrungen einzubeziehen, neue Bedrohungen zu berücksichtigen und die Verfahren an regulatorische Anforderungen anzupassen. Jede Aktualisierung wird vor der Produktivsetzung getestet und simuliert.
Die Reduzierung von Fehlalarmen und die Verbesserung der Erkennungsrate stehen im Mittelpunkt dieses Reifungsprozesses. Ein ausgereiftes SOC segmentiert Alarme nach der Kritikalität der Assets, versieht jedes Ereignis mit Kontext und liefert klare Handlungsempfehlungen für die Behebung.
Die Bedeutung von SIEM und Log-Retention
Das SIEM bildet das technische Herzstück des SOC, indem es Logströme von Endpunkten, Firewalls, Servern, Cloud-Anwendungen und IAM-Lösungen zentralisiert. Es korreliert diese Ereignisse, um verdächtige Verhaltensweisen aufzudecken, die einzeln nicht erkennbar wären.
Die Log-Retention über mehrere Monate bis hin zu Jahren, je nach Branche, ist essenziell für Post-Incident-Untersuchungen, die Rekonstruktion des Angriffsablaufs und die Erfüllung von Compliance-Anforderungen (ISO 27001, NIS2, PCI DSS …).
Diese langzeitige Speicherung verursacht Volumen- und Archivierungskosten, die gegen das verfügbare Budget und den tatsächlichen Mehrwert für die Abwehr abzuwägen sind. Zu geringe Retention schränkt die Langzeituntersuchung ein, zu viele Logs treiben die Kosten in die Höhe, ohne die Erkennung wesentlich zu verbessern.
Beispiel: Ein mittelgroßes Schweizer Finanzdienstleistungsunternehmen stellte fest, dass eine auf 30 Tage begrenzte Log-Retention es unmöglich machte, die Quelle eines ransomwarebedingten Eindringens nachzuverfolgen. Durch eine Verlängerung der Aufbewahrungsfrist im SIEM auf 180 Tage konnte es die ursprüngliche Schwachstelle identifizieren und einen Patch für sein CRM-System implementieren – ein direkter Beleg für die Bedeutung der Retention-Strategie für die Untersuchungskapazität.
Internes SOC: Wann ein hausinternes Sicherheitszentrum aufgebaut werden sollte
Ein internes SOC bietet umfassende Kontrolle und tiefgehendes Fachwissen. Sein Aufbau erfordert jedoch spezialisierte Analysten, eine vollständige Infrastruktur und eine strikte 24/7-Organisation.
Vorteile eines internen SOC
Ein internes SOC gewährt vollständige Transparenz über die Tools und Daten des Unternehmens. Es ermöglicht, die Erkennungsregeln präzise an die Geschäftsprozesse anzupassen und strategische Assets je nach Unternehmenspriorität zu priorisieren.
Die Nähe zu den IT-Teams erleichtert die Zusammenarbeit und Eskalation, insbesondere bei der schnellen Aktualisierung von Signaturen oder der Anpassung von EDR-/Firewall-Einstellungen. Diese Flexibilität führt zu höherer Reaktionsgeschwindigkeit in kritischen Situationen.
Schließlich stärkt ein internes SOC die Governance und Compliance, indem Sicherheit direkt in die Unternehmenspolitik integriert wird. Die Steuerungskomitees der IT-Leitung/CISO erhalten maßgeschneiderte Dashboards für eine kontinuierliche und transparente Überwachung.
Kosten und personelle Herausforderungen
Der Aufbau eines internen SOC beschränkt sich nicht auf den Kauf eines SIEM oder die Ernennung eines Sicherheitsverantwortlichen. Es gilt, Analysten zu rekrutieren und auszubilden, Bereitschaftsdienste für Nacht- und Wochenenddienst zu regeln und Vertretungspläne für Ausfälle zu erstellen.
Fluktuation und Burnout-Risiko sind angesichts des ständigen Drucks und der Bewältigung eines hohen Alarmsaufkommens real. Alert Fatigue entsteht, wenn Analysten eine Vielzahl von Fehlalarmen bearbeiten müssen, was die Qualität der Untersuchung schwerwiegender Vorfälle beeinträchtigt.
Personalkosten, fortlaufende Weiterbildung und die Verwaltung von Bereitschaftsdiensten können die Budgetprognosen rasch überschreiten. Für ein KMU oder ein mittelständisches Unternehmen werden diese personellen und organisatorischen Aufwendungen schnell unverhältnismäßig.
Beispiel: Ein schweizerisches Industrie-KMU versuchte, mit zwei Analysten und einem Open-Source-SIEM ein internes SOC aufzubauen. Bereits nach weniger als sechs Monaten war das Team durch einen 150 %igen Alarmanstieg nach der Einführung einer neuen EDR-Lösung überfordert. Ausfallzeiten aufgrund von Erschöpfung und zusätzliche Ausbildungskosten führten schließlich dazu, dass das Unternehmen das Projekt auf Eis legte und zu einem gemanagten SOC-Angebot wechselte.
Betriebliche Risiken und Alert Fatigue
Ohne einen klaren Prozess zur Reduzierung von Fehlalarmen leitet ein internes SOC häufig eine Flut nicht priorisierter Alarme an die IT-Teams weiter. Diese neigen dazu, bestimmte Benachrichtigungen zu ignorieren, wodurch das Risiko steigt, einen echten Angriff zu übersehen.
Fehlendes Threat Hunting und kontextuelle Anreicherung von Ereignissen schränken die Fähigkeit ein, schwache Signale zu erkennen. Ein anfängerhaftes SOC, das sich auf grundlegende Erkennung beschränkt, bleibt anfällig gegenüber fortgeschrittenen und leisen Bedrohungen.
Regelmäßige Updates des SIEM und der Playbooks, interne Audits und Incident-Simulationen sind ohne dedizierte Ressourcen schwer aufrechtzuerhalten. Das operationelle Risiko bleibt hoch, und das Unternehmen kann zu spät feststellen, dass ein kritischer Bereich unzureichend abgedeckt war.
Edana: Strategischer Digitalpartner in der Schweiz
Wir begleiten Unternehmen und Organisationen bei ihrer digitalen Transformation.
Ausgelagertes SOC und MDR: Ein Modell für KMU, mittelständische Unternehmen und MSP
Ein SOC-as-a-Service bietet 24/7-Überwachung, Alarm-Triage, Investigation und Reporting, ohne massive interne Investitionen. Es basiert auf gemanagten Tools und externen Analysten, um eine flexible und skalierbare SOC-Kapazität bereitzustellen.
Funktionen und Abdeckung eines SOC-as-a-Service
Das SOC-as-a-Service stellt eine von Experten gehostete und überwachte SIEM/EDR/XDR-Plattform bereit, die eine durchgehende Überwachung der gesamten Infrastruktur gewährleistet. Alarme werden in Echtzeit triagiert und gemäß mit dem Unternehmen abgestimmter Playbooks eskaliert.
Zu diesem Service gehören häufig proaktives Threat Hunting, initiale forensische Analysen, Eskalationsmanagement und regelmäßiges Reporting mit personalisierten Dashboards. Einige Angebote umfassen auch gemanagte Remediation, zum Beispiel die Isolation eines Endpoints oder die Deaktivierung eines kompromittierten Kontos.
Das monatliche Abonnement deckt die Überwachung, die Anwendungspflege des SIEM, Updates der Erkennungsregeln und den Zugriff auf ein Team zertifizierter Analysten ab. Der Anbieter übernimmt die Bereitschaftsdienst-rotationen, wodurch die Notwendigkeit interner Rekrutierung entfällt.
MDR vs. SOC-as-a-Service: Nuancen und Vergleichspunkte
Das MDR (Managed Detection and Response) konzentriert sich in der Regel auf Endpunkte über EDR/XDR und stützt sich auf das Verhaltensanalyse von Arbeitsstationen und Servern. Der Umfang kann auf Endpunkt- und Identitätssignale beschränkt erscheinen.
Das SOC-as-a-Service deckt einen breiteren Bereich ab, indem es SIEM, Cloud-Logs, Firewalls und Business-Anwendungen korreliert. Es umfasst auch Log-Retention, Compliance, einheitliche Dashboards und vollständige SOC-Prozesse von L1 bis L3.
In der Praxis überschneiden sich die Angebote häufig. Die Entscheidung sollte auf den tatsächlichen Triage-Fähigkeiten, dem Threat Hunting, der 24/7-Abdeckung, dem Automatisierungsgrad und der Qualität der Analysten basieren, nicht auf Marketingakronymen.
Anwendungsfälle für MSP und wiederkehrende Vorteile
Für MSP ist es unrealistisch, für jeden Kunden ein internes SOC bereitzustellen. Das SOC-as-a-Service ermöglicht es, eine einheitliche Plattform zu betreiben und jedem Kunden eine 24/7-Überwachung zu bieten, ohne ein Heer an Spezialisten einstellen zu müssen.
Der MSP kann ein Paketangebot für gemanagte Sicherheit entwickeln, das wiederkehrende Umsätze generiert und den steigenden Compliance-Anforderungen gerecht wird. Gemeinsames Reporting für Kunden erleichtert die Kommunikation von Ergebnissen und Cybersicherheits-KPIs.
Ein Schweizer MSP, der IT-Dienstleistungen für rund zwanzig KMU anbietet, hat ein SOC-as-a-Service in sein Portfolio aufgenommen. Dank dieses Angebots hat er seine wiederkehrenden Umsätze innerhalb von 12 Monaten verdoppelt und die Erkennungsrate kritischer Vorfälle um 40 % gesteigert. Dieser Fall zeigt, wie ein ausgelagertes SOC für einen Dienstleister zum Wachstumstreiber werden kann.
Auswahl und hybride Modelle: Die Balance zwischen Kontrolle und Expertise finden
Die Bewertung eines externen SOC erfordert den Vergleich tatsächlicher Fähigkeiten und die klare Definition von SLA und Verantwortlichkeiten. Ein hybrides Modell ermöglicht es, interne Governance und externe Abdeckung zu kombinieren, um Ressourcen und Resilienz zu optimieren.
Bewertungskriterien für SOC-Anbieter
Die erste Anforderung betrifft die durchgehende 24/7-Abdeckung ohne Unterbrechungen und die Reaktionsfähigkeit beim Triage kritischer Alarme. Es empfiehlt sich, KPIs zur effektiven Steuerung eines ausgelagerten Projekts zu verfolgen, insbesondere die durchschnittliche Eingangsbestätigungszeit und die in den SLA dokumentierte Eskalationsdauer.
Ein hybrides Modell aufbauen: Governance und Verantwortlichkeiten
In einem hybriden Modell behält das Unternehmen die strategische Governance, definiert prioritäre Playbooks und behält bestimmte Schlüsselrollen intern. Es lagert die L1/L2-Überwachung, das Threat Hunting und das Triage an externe Experten aus.
Der Vertrag legt die Verantwortlichkeiten fest: Wer entscheidet über die Isolation eines Endpoints, wer genehmigt die Löschung eines Kontos, wer informiert die Geschäftsführung und den Cyber-Versicherer. Diese Regelungen verhindern Grauzonen im Falle eines schwerwiegenden Vorfalls.
Die Zusammenarbeit erfolgt in Form regelmäßiger Incident-Review-Sitzungen, der Aktualisierung der Playbooks und der Bewertung der MTTD-/MTTR-Metriken, um den Umfang und die Prozesse kontinuierlich anzupassen.
Integration, Automatisierung und Incident-Preparedness
Ein leistungsfähiges hybrides SOC basiert auf maßgeschneiderten Integrationen zwischen SIEM, EDR, IAM-Lösungen und Business-Tools. Skripte oder Workflows automatisieren die Ticket-Erstellung, Benachrichtigungen über Teams/Slack und Containment-Maßnahmen.
Das Runbook beschreibt kritische Szenarien (Ransomware, Phishing, Cloud-Compromise, Exfiltration) inklusive Verantwortlichkeiten, Eskalationsschwellen und Kommunikationswegen. Diese Vorbereitung verkürzt die Reaktionszeiten und minimiert operative Auswirkungen.
KI-gestützt spielt eine Rolle bei der Anreicherung von Alarmen, der Erkennung von Anomalien und der Empfehlung von Maßnahmen, aber die menschliche Hand bleibt unersetzlich, um Produktionsunterbrechungen abzuwägen und Krisen im Geschäftskontext zu managen.
Beispiel: Ein Schweizer Gesundheitsdienstleister hat ein hybrides Modell zum Schutz seiner Krankenhausinfrastruktur eingeführt. Die internen Teams definieren die klinischen Prioritäten und überlassen die 24/7-Überwachung einem externen SOC. Diese Konfiguration hat die durchschnittliche Erkennungszeit um 60 % gesenkt und gleichzeitig die interne medizinische Governance gewahrt, was die Vorteile eines Mixed-Modells unterstreicht.
Bauen Sie eine pragmatische und zugleich resiliente Cyberabwehr auf
Die Einführung eines SOC – ob intern, ausgelagert oder hybrid – beruht auf einer strategischen Abwägung zwischen Kontrolle, Kosten und Expertise. Ein internes SOC eignet sich für reife und regulierte Strukturen mit dedizierten Ressourcen, während ein SOC-as-a-Service KMU, mittelständischen Unternehmen und MSP eine schnelle und skalierbare Abdeckung bietet. Das hybride Modell erlaubt es, die fachliche Governance zu bewahren und gleichzeitig von einer 24/7-Expertisenüberwachung zu profitieren.
Unsere Edana-Experten begleiten Sie bei der Auditierung Ihrer Cybersicherheitsreife, der Auswahl der optimalen SOC-Lösung – intern, ausgelagert oder hybrid –, der Tool-Auswahl (SIEM, EDR/XDR) und der Automatisierung Ihrer Workflows. Gemeinsam entwickeln wir eine agile, skalierbare und Ihren Performance- und Budgetanforderungen entsprechende Verteidigungsstrategie.
Besprechen Sie Ihre Herausforderungen mit einem Edana-Experten







Ansichten: 19












