Security Operations Center: Made in Germany

8 Min. Lesezeit

Das Master SOC der Deutschen Telekom in Bonn verarbeitet 95 Millionen Angriffsversuche pro Tag. 250 Cybersecurity-Experten arbeiten rund um die Uhr, vernetzt mit Zentren in 13 Ländern. Die DCSO, gegründet von Allianz, BASF, Bayer und Volkswagen, teilt Bedrohungsinformationen zwischen Unternehmen und dem BSI. Und G DATA betreibt sein Managed SOC ausschließlich in Deutschland – als bewusstes Gegenmodell zu US-Anbietern. Security Operations Center Made in Germany sind kein Nischenprodukt. Sie sind die Antwort auf eine Bedrohungslage, die 309.000 neue Malware-Varianten pro Tag produziert.

95 Millionen Angriffe pro Tag: Das Telekom Master SOC

Im September 2024 eröffnete die Deutsche Telekom ihr neues KI-gesteuertes Master SOC in Bonn – eines der größten integrierten Cyber-Defense-Center in Europa. Die Zahlen zeigen die Dimension: 30.000 bis 40.000 Angriffsversuche pro Minute, bis zu 95 Millionen pro Tag. 70 Millionen Angriffe täglich treffen auf die Honeypot-Systeme der Telekom – bewusst gesetzte Fallen, die Angreifer identifizierbar machen, bevor sie echte Infrastruktur erreichen.

Mehr als 250 Cybersecurity-Experten arbeiten rund um die Uhr in Bonn, vernetzt mit SOC-Zentren in 13 weiteren Ländern. Rund eine Milliarde sicherheitsrelevante Datenpunkte aus circa 3.000 Datenquellen werden täglich mit KI-Unterstützung ausgewertet. Der Sicherheitstacho der Telekom (sicherheitstacho.eu) visualisiert Cyberangriffe in Echtzeit und ist öffentlich einsehbar – ein Transparenz-Signal, das kein US-Anbieter in dieser Form bietet.

Thomas Tschersich, Head of Telekom Security, beschrieb sinngemäß die Motivation hinter dem neuen SOC: Heutige Cyberangriffe erfordern eine Reaktion innerhalb von Stunden oder Minuten, nicht Tagen. KI im SOC ist dabei kein Ersatz für menschliche Analysten, sondern der Skalierungshebel, der 95 Millionen Ereignisse pro Tag überhaupt bearbeitbar macht. Kein menschliches Team kann diese Menge sichten – KI übernimmt die Vorselektion und Korrelation, die Analysten konzentrieren sich auf die kritischen Fälle.

Quellen: Telekom Pressemitteilung September 2024, Statista MSS 2024, BSI Lagebericht 2024

DCSO: Intelligence-Sharing als Geschäftsmodell

Die Deutsche Cyber-Sicherheitsorganisation (DCSO) verfolgt ein anderes Modell als klassische SOC-Anbieter. 2015 von Allianz, BASF, Bayer und Volkswagen zu gleichen Anteilen gegründet, operiert die DCSO mit einer Non-Profit-Logik: Gewinne werden reinvestiert, nicht ausgeschüttet. Alle Produkte sind eigenentwickelt – keine Abhängigkeit von Drittanbieter-Technologie.

Die Besonderheit liegt im Community-Ansatz: Mitglieder teilen Bedrohungsinformationen untereinander sowie mit Behörden, darunter das BSI. Das kombiniert Intelligence-Sharing mit operativen Security Services – Managed Detection and Response, Incident Response, Internet Exposure Monitoring und Threat Intelligence. Die Mission: „Europa als Wirtschaftsraum und Gesellschaftsmodell vor digitalen Angriffen schützen.“

Die DCSO trägt das TeleTrusT-Gütezeichen „IT Security Made in Germany“ und ist ISO 27001 zertifiziert. Für Industrieunternehmen, die ihre Bedrohungslage nicht allein bewältigen können, aber auch nicht einem kommerziellen US-Anbieter vertrauen wollen, ist die DCSO eine strukturell einzigartige Alternative: gemeinschaftlich getragen, gemeinnützig orientiert und in deutscher Jurisdiktion verankert.

G DATA und Eviden: SOC-Betrieb ausschließlich in Deutschland

G DATA Advanced Analytics aus Bochum hat im Februar 2026 sein Managed SOC lanciert – mit einem klaren Versprechen: SOC-Betrieb und Service-Erbringung ausschließlich in Deutschland. Datenspeicherung auf Servern in Bochum, Frankfurt und Berlin. Direkter 24/7-Support am Hauptsitz. G DATA ist qualifizierter APT-Response-Dienstleister gemäß BSI – eine Qualifikation, die nur ausgewählte Anbieter halten.

Das Standortversprechen ist kein Marketing-Gag, sondern ein regulatorisches Differenzierungsmerkmal. Für Unternehmen, die unter NIS2 oder KRITIS fallen und nachweisen müssen, dass ihre Sicherheitsdaten nicht in Jurisdiktionen mit extraterritorialen Zugriffsrechten verarbeitet werden, ist ein SOC in Deutschland eine Compliance-Vereinfachung. Der US CLOUD Act von 2018 erlaubt US-Behörden Zugriff auf Daten von US-Unternehmen – auch wenn diese Daten physisch in Europa liegen. Ein SOC, das von einem deutschen Unternehmen in Deutschland betrieben wird, unterliegt diesem Zugriff nicht.

Eviden (die Security-Marke von Atos) ergänzt das deutsche SOC-Ökosystem mit globaler Reichweite: 6.500 dedizierte Security-Experten, 16 Next-Generation-SOCs weltweit und die eigene KI-Plattform AIsaac für Threat Detection. Laut ISG Provider Lens 2025 ist Eviden Leader in allen drei Cybersecurity-Kategorien in Deutschland: Strategic Security Services, Next-Generation SOC/MDR und Technical Security Services. Eviden leitet zudem das EU-Forschungsprojekt CYDERCO für das European Cybersecurity Competence Center.

DSGVO als SOC-Wettbewerbsvorteil

Der zentrale Konflikt zwischen europäischem Datenschutz und US-Recht betrifft SOC-Betrieb direkt: Ein Security Operations Center verarbeitet die sensibelsten Unternehmensdaten überhaupt – Netzwerktraffic, Log-Daten, Incident-Reports und oft auch personenbezogene Daten. Wenn ein US-Unternehmen dieses SOC betreibt, unterliegen diese Daten potenziell dem CLOUD Act – unabhängig davon, wo die Server physisch stehen.

Für europäische Unternehmen unter DSGVO bedeutet das: Ein SOC bei einem US-Anbieter erzeugt eine permanente Grauzone zwischen europäischem Datenschutzrecht und US-Zugriffsgesetzen. Die Standardvertragsklauseln und das EU-US Data Privacy Framework mildern das Problem, lösen es aber nicht vollständig. Ein SOC bei einem deutschen Anbieter eliminiert diese Grauzone: deutsche Jurisdiktion, keine CLOUD-Act-Exposition und keine Nutzung von Kundendaten für eigene Zwecke (zum Beispiel KI-Training) ohne explizite Einwilligung.

Dieser Vorteil wird unter NIS2 noch relevanter: Die 30.000 regulierten Unternehmen müssen ihre Supply-Chain-Sicherheit dokumentieren – und dazu gehört auch der SOC-Anbieter. Wenn der SOC-Provider unter einer Jurisdiktion operiert, die europäischem Datenschutz widerspricht, wird das zum Audit-Problem. Ein deutscher SOC-Anbieter mit BSI-Anerkennung und TeleTrusT-Siegel vereinfacht den Compliance-Nachweis erheblich.

NIS2 als SOC-Nachfrage-Treiber

Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Rund 30.000 Unternehmen in Deutschland sind betroffen – ab 50 Mitarbeitern und 10 Millionen Euro Umsatz in 18 festgelegten Sektoren. Die 24-Stunden-Meldefrist für Sicherheitsvorfälle ist die Anforderung mit den größten operativen Konsequenzen: Ohne technische Detection-and-Response-Systeme ist diese Frist praktisch nicht einhaltbar.

Für die meisten der 30.000 betroffenen Unternehmen bedeutet das: Sie brauchen ein SOC. Aber ein eigenes SOC aufzubauen ist für den typischen Mittelständler weder finanzierbar noch personell umsetzbar. Ein internes SOC kostet für ein Unternehmen mit 1.000 Mitarbeitern zwischen 1,0 und 1,6 Millionen Euro pro Jahr und braucht mindestens fünf bis acht Fachkräfte für den 24/7-Betrieb. Der Aufbau dauert 12 bis 24 Monate. Ein Managed SOC startet ab circa 60.000 Euro pro Jahr und ist in zwei bis vier Monaten einsatzbereit. Der Faktor liegt bei 15 bis 20.

Der NIS2-Audit prüft unter anderem, ob ein Unternehmen eine funktionsfähige Detection-Infrastruktur betreibt. Ein Managed SOC mit dokumentierten SLAs (Service Level Agreements) und regelmäßigen Reports erfüllt diese Anforderung. Ein Excel-Spreadsheet mit händischen Log-Einträgen nicht. NIS2 treibt damit direkt die Nachfrage nach professionellen SOC-Services – und deutsche Anbieter sind die natürlichen Gewinner, weil sie den Compliance-Nachweis gleich mitliefern.

Build vs. Buy: Wann lohnt sich ein Managed SOC?

Die Kostenrechnung ist für die meisten Unternehmen eindeutig. Ein internes SOC erfordert neben der Infrastruktur (SIEM, SOAR, Endpoint Detection, Log-Management) vor allem Personal – und das ist in Deutschland kaum zu bekommen. 149.000 offene IT-Stellen, Cloud Security (52 Prozent) und Cyber Threat Intelligence (40 Prozent) sind die am dringendsten benötigten Kompetenzen. Selbst wenn ein Unternehmen das Budget hat, findet es die Leute nicht.

Der Managed-SOC-Markt in Deutschland umfasst laut Statista 970 Millionen Euro (2024) und wächst auf über eine Milliarde Euro bis 2028. Die durchschnittlichen Ausgaben pro Mitarbeiter liegen bei 22,60 Euro. Der ISG Provider Lens 2024 bewertete 109 Anbieter in acht Quadranten – eine Marktdichte, die zeigt, dass die Nachfrage real ist und das Angebot wächst.

Für Unternehmen mit mehr als 5.000 Mitarbeitern und kritischer Infrastruktur kann ein internes SOC sinnvoll sein – vorausgesetzt, sie können die Fachkräfte rekrutieren und halten. Für den typischen Mittelständler mit 200 bis 2.000 Mitarbeitern ist ein Managed SOC von einem deutschen Anbieter mit BSI-Anerkennung die pragmatischste Lösung: schneller aufgesetzt, günstiger betrieben und compliance-konform aus einer Hand.

Was SOC Made in Germany einzigartig macht

Die Kombination von vier Faktoren macht den deutschen SOC-Markt international einzigartig. Erstens: die regulatorische Dichte (DSGVO, NIS2, BSI-Grundschutz, KRITIS-Verordnung) erzwingt ein Sicherheitsniveau, das in vielen anderen Märkten freiwillig ist. Zweitens: die BSI-Anerkennung als APT-Response-Dienstleister und das TeleTrusT-Siegel „IT Security Made in Germany“ schaffen Qualitätsstandards, die über ISO 27001 hinausgehen. Drittens: die CLOUD-Act-Freiheit gibt deutschen Anbietern einen strukturellen Vorteil bei jedem Kunden, der europäische Datensouveränität nachweisen muss. Viertens: das Intelligence-Sharing-Modell der DCSO (Unternehmen teilen Bedrohungsinformationen untereinander und mit dem BSI) ist ein kooperativer Ansatz, den kein anderer europäischer Markt in dieser Form hat.

Die Bedrohungslage unterstreicht die Dringlichkeit: Der BSI-Lagebericht 2024 dokumentiert 309.000 neue Malware-Varianten pro Tag (plus 26 Prozent), 726 KRITIS-Meldungen (deutlicher Anstieg gegenüber 490 im Vorjahr) und 22 aktive APT-Gruppen in Deutschland. Ransomware-Lösegelder weltweit: über 1,1 Milliarden Dollar. DDoS-Angriffe haben sich im ersten Halbjahr 2024 verdoppelt. Diese Zahlen machen klar: SOC ist keine Option, sondern eine Notwendigkeit. Und ein SOC aus Deutschland bietet den zusätzlichen Vorteil, dass Compliance und Security aus einer Hand kommen.

Die Reife deutscher SOCs lässt sich am SOC-CMM (Security Operations Center Capability Maturity Model) messen – dem globalen De-facto-Standard für SOC-Bewertungen. Das Modell bewertet fünf Domänen (Business, People, Process, Technology, Services) auf einer Skala von 0 bis 5. Der 2025 SOC Maturity Report des SOC-CMM Institute zeigt: 49 Prozent der befragten SOCs interessieren sich an einer formalen CMM-Zertifizierung, getrieben durch interne Qualitätsziele und den NIS2-Compliance-Druck in der EU. Deutsche SOCs wie das Telekom Master SOC oder die DCSO arbeiten nachweislich auf höheren Reifegraden (Level 3 bis 4), erkennbar an automatisierter Detection, strukturiertem Intelligence-Sharing und systematischem Incident-Response-Prozess. Für KRITIS-Betreiber ist dieser Reifegrad nicht freiwillig, sondern alle zwei Jahre per Audit gegenüber dem BSI nachzuweisen.

Das secunet-Modell ergänzt das Bild: Mit einem Umsatz von 406,4 Millionen Euro (2024, elfter Rekordumsatz in Folge) und dem Status als IT-Sicherheitspartner der Bundesrepublik zeigt secunet, dass Cybersecurity Made in Germany ein skalierbares Geschäftsmodell ist – nicht nur im SOC-Bereich, sondern auch in Post-Quantum-Kryptografie, SINA Cloud und E-Government. Das deutsche SOC-Ökosystem ist breiter aufgestellt als jedes andere in Europa und verbindet kommerzielle Anbieter (Telekom, G DATA, Eviden), gemeinschaftliche Organisationen (DCSO) und staatliche Infrastruktur (BSI, CERT-Bund).

Für CEOs und CISOs gibt es eine klare Handlungsempfehlung: Wer unter NIS2 fällt und noch kein SOC hat, muss jetzt handeln. Die 24-Stunden-Meldefrist gilt bereits. Das BSI prüft aktiv. Und ein Managed SOC von einem deutschen Anbieter ist nicht die teuerste Lösung – es ist die effizienteste. Made in Germany bedeutet im SOC-Kontext: regulatorische Sicherheit, nachweisbare Datensouveränität und ein Qualitätsversprechen, das sich nicht nur in Marketingbroschüren findet, sondern in BSI-Testaten und TeleTrusT-Siegeln.

Häufige Fragen

Was kostet ein SOC in Deutschland?

Ein internes SOC für ein Unternehmen mit 1.000 Mitarbeitern kostet 1,0 bis 1,6 Millionen Euro pro Jahr und braucht 12 bis 24 Monate Aufbauzeit. Ein Managed SOC startet ab circa 60.000 Euro pro Jahr und ist in 2 bis 4 Monaten einsatzbereit.

Warum ist ein deutsches SOC besser als ein US-Anbieter?

Deutsche SOC-Anbieter unterliegen nicht dem US CLOUD Act, der US-Behörden Zugriff auf Daten von US-Unternehmen erlaubt – auch wenn die Daten in Europa liegen. Für DSGVO- und NIS2-pflichtige Unternehmen vereinfacht ein deutsches SOC den Compliance-Nachweis erheblich.

Was ist die DCSO?

Die Deutsche Cyber-Sicherheitsorganisation wurde 2015 von Allianz, BASF, Bayer und Volkswagen gegründet. Sie betreibt Managed Detection and Response, Threat Intelligence und Incident Response mit einer Community-Logik: Mitglieder teilen Bedrohungsinformationen untereinander und mit dem BSI.

Braucht mein Unternehmen ein SOC für NIS2?

Wenn Ihr Unternehmen unter NIS2 fällt (ab 50 Mitarbeitern und 10 Mio. Euro Umsatz in 18 Sektoren), ist eine Detection-Infrastruktur Pflicht. Die 24-Stunden-Meldefrist für Sicherheitsvorfälle ist ohne technische Detection-Systeme praktisch nicht einhaltbar. Ein Managed SOC ist für die meisten Mittelständler die kosteneffizienteste Lösung.

Wie groß ist der SOC-Markt in Deutschland?

Der Managed Security Services Markt in Deutschland umfasst laut Statista 970 Millionen Euro (2024) mit einem prognostizierten Wachstum auf über 1 Milliarde Euro bis 2028. Der ISG Provider Lens 2024 bewertete 109 Anbieter in acht Quadranten.

Weiterlesen

• KI in der Cyberabwehr: Hype vs. Realität im SOC
• Das NIS2-Audit: So bereiten sich Unternehmen auf die erste Prüfung vor
• Reboot Germany: 735 Milliarden, drei Mittelständler und die Frage, ob die Krise wirklich so schlimm ist

Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380655)

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer