SOC im Mittelstand: Kaufen, selbst aufbauen oder hybrid?

Die Frage, ob ein Unternehmen ein Security Operations Center braucht, ist für die meisten mittelständischen Unternehmen längst beantwortet. Cyberangriffe werden häufiger, regulatorische Anforderungen wie NIS2 fordern nachweisbare Erkennungs- und Reaktionsfähigkeiten, und Versicherer verlangen zunehmend ein kontinuierliches Monitoring.

Die eigentliche Frage lautet: Wie?

Modell 1: Eigenes SOC aufbauen

Ein internes SOC bietet maximale Kontrolle und tiefes Verständnis der eigenen Umgebung. Analysten, die ausschließlich für Ihr Unternehmen arbeiten, kennen die Eigenheiten Ihrer Infrastruktur und können Auffälligkeiten besser einordnen.

Die Realität: Ein funktionierendes SOC im 24/7-Betrieb erfordert mindestens sechs bis acht qualifizierte Analysten — allein um Schichtbetrieb und Urlaubs- sowie Krankheitsvertretung abzudecken. Bei aktuellen Gehältern für Security-Analysten bedeutet das Personalkosten von 600.000 bis 800.000 Euro jährlich, zuzüglich Technologie, Tooling und Infrastruktur.

Für die meisten mittelständischen Unternehmen ist das weder wirtschaftlich noch praktisch umsetzbar. Der Fachkräftemangel im Security-Bereich macht die Personalgewinnung zusätzlich schwierig.

Modell 2: Managed SOC / MDR

Ein Managed SOC oder Managed Detection and Response Dienst lagert die operative Sicherheitsüberwachung an einen spezialisierten Dienstleister aus. Der Anbieter betreibt die Technologie, stellt die Analysten und übernimmt die Ersterkennung und Triage von Sicherheitsereignissen.

Die Vorteile sind offensichtlich: sofortige Betriebsbereitschaft, kein eigenes Personal erforderlich, planbare Kosten und Zugang zu Expertise, die intern schwer aufzubauen wäre.

Die Risiken sind weniger offensichtlich: Abhängigkeit von einem einzelnen Anbieter, potenziell geringeres Verständnis Ihrer spezifischen Umgebung, und die Frage, wie gut die Übergabe bei kritischen Vorfällen funktioniert. Ein Managed SOC übernimmt typischerweise die Erkennung und erste Bewertung — die Reaktion und Behebung bleibt in der Regel beim Unternehmen selbst.

Modell 3: Hybrid

Das hybride Modell kombiniert die Stärken beider Ansätze. Eine kleine interne Kernmannschaft — typischerweise zwei bis drei Personen — übernimmt die strategische Steuerung, das Threat Intelligence Management und die Reaktion bei kritischen Vorfällen. Die operative 24/7-Überwachung und Alarmtriage wird an einen Managed-SOC-Anbieter ausgelagert.

Dieses Modell bietet einen guten Kompromiss: Die interne Kompetenz stellt sicher, dass Sicherheitsentscheidungen mit Kenntnis der eigenen Umgebung getroffen werden, während der externe Partner die Skalierung und den Dauerbetrieb sicherstellt.

Entscheidungskriterien

Die Wahl hängt von mehreren Faktoren ab:

Budget: Ein eigenes SOC ist die teuerste Option. Managed SOC die günstigste. Das hybride Modell liegt dazwischen.

Interne Kompetenz: Wenn Sie bereits Security-Expertise im Haus haben, kann das hybride Modell diese sinnvoll nutzen. Ohne bestehende Kompetenz ist ein Managed SOC der schnellere Weg.

Regulatorische Anforderungen: Manche Branchen verlangen, dass bestimmte Funktionen intern abgebildet werden. Prüfen Sie, ob Ihre Regulierung Einschränkungen für Outsourcing vorsieht.

Unternehmensperspektive: Wollen Sie langfristig eigene Security-Kompetenz aufbauen? Dann ist das hybride Modell ein sinnvoller Einstieg.

Der erste Schritt

Unabhängig vom gewählten Modell: Beginnen Sie mit einer klaren Definition dessen, was Sie erkennen und worauf Sie reagieren können müssen. Ohne diese Grundlage wird jedes SOC-Modell ineffizient.

Wenn Sie die richtige SOC-Strategie für Ihr Unternehmen erarbeiten möchten, sprechen Sie uns gerne an.

Haeufig gestellte Fragen

Was übernimmt ein Managed SOC, und was bleibt beim Unternehmen?

Ein Managed SOC übernimmt typischerweise die 24/7-Überwachung, Ersterkennung und Triage von Sicherheitsereignissen. Die eigentliche Reaktion — also die Eindämmung eines Angriffs, die Kommunikation mit Betroffenen und die Wiederherstellung — bleibt in der Regel beim Unternehmen selbst. Diese Aufteilung muss im Vertrag klar geregelt sein, insbesondere die Eskalationswege bei kritischen Vorfällen.

Wie lange dauert der Aufbau eines internen SOC?

Ein funktionierendes internes SOC ist kein Projekt von wenigen Monaten. Allein die Personalgewinnung von qualifizierten Security-Analysten kann sechs bis zwölf Monate dauern. Dazu kommt der Aufbau der Technologie-Plattform, die Entwicklung von Detection-Regeln und die Prozessetablierung. Realistisch sind zwölf bis achtzehn Monate bis zur vollständigen Betriebsbereitschaft.

Welche internen Kompetenzen brauche ich für ein hybrides SOC-Modell?

Im hybriden Modell benötigen die internen zwei bis drei Personen Kenntnisse in Threat Intelligence, Incident Response und der eigenen Umgebung. Sie müssen in der Lage sein, Escalations vom Managed-SOC-Partner zu bewerten, kritische Vorfälle eigenständig zu steuern und die strategische Ausrichtung der Sicherheitsüberwachung zu definieren. Tiefes Detection-Engineering-Wissen ist hingegen primär beim externen Anbieter angesiedelt.

Welche SLAs sollte ich mit einem Managed-SOC-Anbieter vereinbaren?

Mindestens drei Punkte sollten vertraglich definiert sein: die Reaktionszeit bei kritischen Alerts (typischerweise unter 15 Minuten), der Prozess für die Eskalation bei schwerwiegenden Vorfällen und die Verfügbarkeit eines dedizierten Ansprechpartners. Außerdem sollten Reporting-Frequenz und die Qualität der gelieferten Informationen (False-Positive-Rate, Detection Coverage) messbar definiert sein.