Security Operations Center als Service: Warum SOCaaS für den Mittelstand Sinn macht

1 Min. Lesezeit

Ein eigenes Security Operations Center ist für die meisten Mittelständler unrealistisch: 24/7-Betrieb, mindestens 8-12 Analysten, SIEM-Infrastruktur und Threat Intelligence – das übersteigt Budget und Personalressourcen. SOCaaS (SOC as a Service) bietet dieselbe Capability als Managed Service. Der Markt reift, die Angebote werden besser, die Preise sinken.

Das Wichtigste in Kürze

Eigenes SOC: 1,5-3 Mio. EUR/Jahr Mindestkosten (Personalkosten dominieren)
SOCaaS: 80.000-300.000 EUR/Jahr für mittelständische Unternehmen
MTTD (Mean Time to Detect): 207 Tage ohne SOC, 28 Tage mit SOCaaS (IBM)
NIS2 fordert „kontinuierliche Überwachung“ – SOCaaS erfüllt diese Anforderung

Warum ein eigenes SOC für den Mittelstand nicht funktioniert

Die Rechnung ist ernüchternd: Für 24/7-Abdeckung braucht ein SOC mindestens 8-12 Analysten (Schichtbetrieb), einen SOC-Manager, SIEM-Lizenzkosten (100.000-500.000 EUR/Jahr), Threat-Intelligence-Feeds und kontinuierliche Weiterbildung. Personalkosten allein: über 1 Million EUR jährlich.

Dazu kommt das Recruiting-Problem: 3,4 Millionen unbesetzte Cybersecurity-Stellen weltweit. Selbst wenn das Budget da wäre – die Fachkräfte sind es oft nicht. Und ein SOC mit 3 Analysten, das nur tagsüber arbeitet, ist schlimmer als keins – es erzeugt ein falsches Sicherheitsgefühl.

Was SOCaaS konkret liefert

Ein SOCaaS-Provider übernimmt: 24/7-Monitoring aller relevanten Datenquellen (Endpoints, Netzwerk, Cloud, Identity), Alert-Triage und Priorisierung, Erstreaktion auf bestätigte Vorfälle (Containment), regelmäßige Threat-Hunting-Aktivitäten und monatliches Reporting.

Die Integration erfolgt typischerweise über einen Agenten auf Endpoints (EDR), Log-Forwarding aus Cloud-Diensten und Netzwerk-Sensoren. Onboarding dauert 2-4 Wochen. Der Provider bringt die Analysten, das SIEM/SOAR und die Threat Intelligence mit.

Auswahlkriterien: Worauf es ankommt

Nicht jeder SOCaaS-Anbieter ist gleich. Entscheidende Kriterien: Garantierte SLAs (MTTD, MTTR), Transparenz über eingesetzte Technologie und Prozesse, Escalation-Pfade und Kommunikationskanäle, regionale Datenverarbeitung (DSGVO), und die Fähigkeit, nicht nur zu alarmieren, sondern auch zu reagieren (Containment, Isolation).

Red Flag: Anbieter, die nur Alerts weiterleiten, ohne zu priorisieren und zu validieren. Das verschiebt das Problem nur – statt Alert-Flut im SIEM gibt es Alert-Flut per E-Mail. Ein guter SOCaaS-Provider liefert validierte, priorisierte Incidents mit Handlungsempfehlung.

SOCaaS und NIS2: Compliance-Aspekt

NIS2 fordert „Maßnahmen zur Erkennung und Bewältigung von Sicherheitsvorfällen“ und implizit eine kontinuierliche Überwachung. Ein SOCaaS-Vertrag dokumentiert diese Fähigkeit gegenüber der Aufsichtsbehörde. Der Provider liefert Compliance-Reports, die direkt in die NIS2-Dokumentation einfließen.

Wichtig: Der SOCaaS-Provider ist ein ICT-Dienstleister im Sinne von NIS2. Die vertragliche Gestaltung muss die Anforderungen an das Supply-Chain-Risikomanagement berücksichtigen – SLAs, Audit-Rechte, Meldepflichten und Exit-Strategie.

Key Facts

Eigenes SOC: 1,5-3 Mio. EUR/Jahr Mindestkosten (Personal + Technologie)

SOCaaS: 80.000-300.000 EUR/Jahr für den Mittelstand

MTTD-Verbesserung: Von 207 auf 28 Tage mit professionellem SOC (IBM Cost of a Data Breach)

Häufige Fragen

Verliere ich die Kontrolle mit SOCaaS?

Nein, wenn der Vertrag richtig gestaltet ist. Sie behalten die Hoheit über Daten, Entscheidungen und Eskalationsprozesse. Der Provider agiert als verlängerter Arm – alle kritischen Entscheidungen (z.B. System-Isolierung) werden in Abstimmung mit Ihnen getroffen.

Kann SOCaaS auch Cloud-Umgebungen überwachen?

Ja, und das ist einer der Vorteile gegenüber klassischen MSSP-Modellen. Moderne SOCaaS-Provider integrieren nativ mit AWS, Azure, GCP, M365, Google Workspace und gängigen SaaS-Diensten. Die Cloud-Expertise ist oft stärker als bei einem internen SOC.

Wie messe ich den Erfolg von SOCaaS?

KPIs: Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), False-Positive-Rate, Anzahl validierter Incidents pro Monat und Abdeckungsgrad (welche Datenquellen sind integriert). Der Provider sollte diese KPIs monatlich reporten.