22. April 2026 | Artikel drucken |

Security Data Fabric im Mittelstand: Wie SIEM, XDR und SOAR-Stacks 2026 zu einer Datenschicht zusammenwachsen

7 Min. Lesezeit

Stand: 22.04.2026

Security-Anbieter bauen 2026 keine Tool-Suiten mehr, sondern Datenschichten. SIEM, XDR und SOAR wachsen zur gemeinsamen Security Data Fabric zusammen – mit Routing-Layern wie Cribl, Plattformen wie Panther und Next-Gen-SIEMs wie Microsoft Sentinel oder Cortex XSIAM. Für Security-Teams im Mittelstand ändert das die Kaufentscheidung: Lizenz-Vergleich reicht nicht mehr, die Architektur-Frage entscheidet.

Das Wichtigste in Kürze

  • Drei Marktgenerationen überlagern sich: Legacy-SIEM (Splunk, QRadar), Cloud-native XDR (Sentinel, Cortex XSIAM) und Security Data Platforms (Panther, Hunters, Dassana) konkurrieren 2026 nicht nebeneinander, sondern verzahnen sich.
  • Routing-Layer als neuer Pflichtbaustein: Cribl, Tenzir und Vector trennen Log-Ingestion von Speicher-Backend und werden zur Schaltzentrale im SOC-Stack – Lizenzkosten-Optimierung inklusive.
  • Daten-Volumen bleibt der Preistreiber: SIEM-Kosten skalieren mit GB/Tag, nicht mit Sicherheitswert. Eine Fabric mit Tiered Storage, Deduplizierung und bewusstem Routing halbiert den SIEM-Index ohne Sicherheitsverlust.
  • Integration bleibt die Hürde: Neue Plattformen versprechen Zero-Config-Connectors, die Realität sind Custom-Parser, Felder-Mappings und Detection-Rules pro Tool – nach wie vor die größte Zeitsenke im SOC.

Was ist eine Security Data Fabric? Eine Security Data Fabric ist eine Architektur, die Log-Sammlung, Detektion, Analyse und Response über mehrere Tools und Datenbestände hinweg als eine gemeinsame Datenschicht behandelt. Statt SIEM, EDR, Cloud-Monitoring und Identitäts-Logs in getrennten Silos zu betreiben, werden Daten zentral geroutet, normalisiert und an spezialisierte Analyse-Engines verteilt. Die Fabric trennt bewusst zwischen Ingestion, Speicherung und Query, sodass jede Schicht nach Kosten und Sicherheitswert unabhängig optimiert werden kann.

Warum die Tool-Silos nicht mehr tragen

Die Security-Tooling-Landschaft der letzten zehn Jahre war eine Ansammlung von Silos. SIEM für Log-Korrelation, EDR für Endpoint-Signale, NDR für Netzwerkdaten, CSPM für Cloud-Konfiguration, IAM-Logs für Identity. Jedes Tool hatte eigene Parser, eigene Detection-Rules, eigene Dashboards. Im SOC-Alltag bedeutete das: ein Analyst wechselt bei jedem Alert zwischen drei und fünf Oberflächen, um den Kontext zusammenzusetzen. Die Zeit pro Ticket liegt in mittelständischen SOCs im Schnitt zwischen 45 und 90 Minuten – ein Großteil davon fließt in Oberflächen-Navigation, nicht in Analyse.

Das Datenvolumen verschärft das Problem. SIEM-Anbieter rechnen weiterhin pro ingestiertem GB ab, auch wenn 80 Prozent der Logs nie abgefragt werden. Microsoft Sentinel liegt bei rund 2 Euro pro GB, Splunk deutlich höher, QRadar im Mittelfeld. Für einen Mittelständler mit 500 Endpoints, hybrider Cloud und einem kompletten Microsoft-365-Stack summiert sich das schnell auf sechsstellige Jahreskosten – für Logs, von denen der Großteil reine Compliance-Aufzeichnung ist und kein aktives Detection-Asset.

Die dritte Bruchstelle sind Detection-Rules. Jedes SIEM, jede XDR-Plattform, jeder CSPM-Anbieter bringt eigene Regel-Sätze mit. Die Doppelungen sind hoch, die Lücken aber ebenfalls. Wer zwei Plattformen parallel betreibt, pflegt effektiv zwei Detection-Engineering-Teams in Miniformat – oder einen Regel-Wildwuchs, in dem niemand mehr die Bedeutung einzelner Alerts sauber zuordnen kann.

40-60 %
Typische SIEM-Volumenreduktion nach Einführung eines Routing-Layers wie Cribl – ohne Sicherheitsverlust, nur durch bewusstes Drop und Tiered Storage.
Quelle: Gartner Market Guide for Security Event Management, 2026

Wer auf dem Markt 2026 wirklich mitspielt

Der Markt teilt sich 2026 in drei Generationen. Die Legacy-Schicht (Splunk, IBM QRadar, LogRhythm) ist ausgereift, teuer und operativ solide. Splunk dominiert weiter in großen Konzernen, Enterprise-Security-Teams bleiben oft aus Migrationsaufwand, nicht aus Überzeugung. Die Cloud-Natives – Microsoft Sentinel, Palo Alto Cortex XSIAM, Google Chronicle – greifen mit integrierter XDR-Logik, Cloud-Billing und engerer Anbindung an die eigenen Ökosysteme an. Für Microsoft-365-lastige Mittelständler ist Sentinel die Default-Wahl, für Palo-Alto-Haushalte ist XSIAM das naheliegende Upgrade.

Die dritte Generation sind Security Data Platforms wie Panther, Hunters und Dassana. Sie bauen nicht primär eine Detection-Engine, sondern eine offene Datenschicht auf Data Lakehouses – typischerweise Snowflake oder Databricks. Detection-as-Code wird Bestandteil der Plattform, die SQL-nahe Abfragesprache ersetzt proprietäre SIEM-Syntax. Für Teams mit Data-Engineering-Kompetenz lohnt der Blick, für klassisch aufgestellte SOCs ist die Lernkurve real.

Die bindende Schicht ist der Routing-Layer. Cribl Stream dominiert im Enterprise-Segment, Tenzir positioniert sich als Open-Source-Alternative, Vector von Datadog ist im Log-Pipeline-Bereich etabliert. Die Funktion ist identisch: Logs werden an einer Stelle gesammelt, normalisiert, angereichert, gefiltert und an das jeweils passende Backend geroutet. Compliance-Daten wandern in kostengünstigen Cold Storage, Security-relevante Events in den teureren SIEM-Index, rohe Netzwerkdaten in das eigene Data Lake.

Die wichtigste Entscheidung 2026 ist nicht SIEM oder XDR, sondern wie viele Datenschichten das Team operativ tragen kann. Drei Produkte sind die Obergrenze für einen SOC mit fünf Analysten. Alles darüber wird zum Integrationsprojekt ohne Abschlusstermin.

Der realistische Umbaupfad

Migrationspfad zur Security Data Fabric
Monat 0-2
Log-Inventar aufstellen. Welche Quellen liefern welches Volumen, wie viele davon sind reine Compliance-Reserve, welche sind aktive Detection-Datenquellen.
Monat 3-4
Routing-Layer einziehen. Cribl oder Tenzir als Stream zwischen Quellen und SIEM. Erste Drop- und Reduction-Regeln basierend auf Log-Inventar.
Monat 5-8
Tiered Storage aufsetzen. Compliance-Daten in S3 oder Azure Blob, Detection-Hot-Path in SIEM-Index, historische Analytik in Data Lake. Kostenkurve messen.
Monat 9-12
Detection-Engineering konsolidieren. Regeln aus EDR und SIEM zusammenziehen, Sigma-Format als gemeinsame Basis, Test-Runs mit Atomic Red Team.
Monat 13-18
SOAR-Automatisierung. Wiederholbare Response-Patterns in Playbooks, Human-in-the-Loop für kritische Aktionen. Ergebnisse gegen MTTR messen.

Was Mittelstands-SOCs operativ ändern sollten

Die Fabric-Architektur spielt ihren Wert nur aus, wenn das Team organisatorisch mitzieht. Drei Veränderungen sind dabei entscheidend – und keine davon betrifft die Tool-Wahl, sondern die Arbeitsweise des SOC.

1
Detection-Engineering als eigene Rolle. Tier-1-Alert-Triage und Tier-3-Threat-Hunting bleiben getrennt. Dazwischen baut sich die Rolle Detection-Engineer auf: pflegt Regeln, bewertet False-Positive-Raten, orchestriert Content-Packs. Ohne diese Rolle bleibt die Fabric eine Tool-Verschiebung.
2
Data Dictionary als Single Source of Truth. Jedes Feld, jeder Log-Typ, jede Event-ID dokumentiert, mit Mapping-Regel zur Normalisierung. Ohne dieses Dokument verläuft sich jede Detection-Regel in Syntax-Varianten.
3
Kosten-Review im Quartalsrhythmus. SIEM-Volumen, Data-Lake-Queries, Cloud-Egress – alle drei werden monatlich gemessen, quartalsweise bewertet, halbjährlich gegen den Sicherheitswert gespiegelt. Kein Automatismus darf ohne Review verlängert werden.

Der operative Effekt einer funktionierenden Fabric zeigt sich nicht in der Feature-Liste, sondern in drei Zahlen. Mittlere Reaktionszeit auf kritische Alerts, False-Positive-Rate der Detection-Rules und monatliche Infrastrukturkosten pro analysiertes Event. Wer diese drei Zahlen im Quartalsbericht stehen hat und die Entwicklung über zwei Jahre zeigen kann, argumentiert im Budget-Gespräch mit Substanz.

Die Falle, in die viele SOCs 2026 laufen, ist das Erwartungs-Management. Security Data Fabrics versprechen Architektur-Vereinheitlichung, aber keine Reduktion der täglichen Arbeit in den ersten 18 Monaten. Im Gegenteil: die Umbauphase erhöht die Komplexität, weil das neue System parallel zum alten betrieben wird. Wer dem Vorstand zu früh „weniger Aufwand“ verspricht, baut sich eine Erwartungsschleife, die operativ nicht einlösbar ist. Realistisch: drei bis fünf Quartale, bis der Aufwand unter den Ausgangswert sinkt.

Die dritte praktische Frage ist die Auswahl des ersten Fabric-Layers. Fast jede erfolgreiche Umstellung beginnt mit dem Routing-Layer, nicht mit dem SIEM-Wechsel. Grund: ein Routing-Layer ist additiv, reduziert sofort Kosten und verändert keine bestehenden Detection-Regeln. Ein SIEM-Wechsel ist hingegen ein Migrations-Großprojekt mit vollem Regelwerk-Umzug. Wer mit Cribl oder Tenzir startet, schafft sich Luft für die folgenden Entscheidungen – ohne den operativen Betrieb zu unterbrechen.

Am Ende entscheidet die Team-Größe mit. SOCs mit weniger als fünf Analysten tragen keine drei Plattformen. Für diese Größenordnung sind Managed-XDR-Modelle oder die integrierte Next-Gen-SIEM-Lösung eines Anbieters realistischer als eine voll orchestrierte Eigen-Fabric. Erst ab etwa acht Vollzeit-Analysten und einer eigenen Detection-Engineering-Rolle lohnt der architekturelle Eigenbau.

Compliance als Hebel für die Umbau-Freigabe

Der zweite Hebel, der 2026 in Vorstandsgesprächen zieht, ist Compliance. NIS-2 verlangt nachvollziehbare Sicherheitsüberwachung mit belastbaren Protokollen, DORA fordert für Finanzinstitute Ende-zu-Ende-Transparenz zwischen Cloud-Providern und Inhouse-Teams. Eine Security Data Fabric liefert beide Anforderungen strukturell mit – weil Log-Inventar, Data Dictionary und Kostenreview ohnehin integrale Bausteine sind. Wer diese Dokumente für die Fabric aufsetzt, hat sie für das nächste Audit bereits in der Hand.

Interessant ist auch die Schnittstelle zur Cyber-Versicherung. Versicherer verlangen ab 2026 zunehmend Nachweise zu MTTR, False-Positive-Rate und Detection-Coverage. Wer diese Zahlen aus einer einheitlichen Fabric zieht, liefert sie in wenigen Stunden – wer sie aus drei bis vier Tool-Exports zusammensetzen muss, braucht Tage und liefert oft widersprüchliche Werte. Das beeinflusst die Prämien-Kalkulation messbar.

Was 2027 voraussichtlich kommt

Die Roadmap der wichtigsten Anbieter macht klar, wohin der Markt sich entwickelt. Microsoft Sentinel integriert KI-gestützte Agenten-Runtimes für autonome Triage, Palo Alto Cortex XSIAM orientiert sich in ähnliche Richtung. Panther und Hunters erweitern Detection-as-Code um generative Komponenten für Regel-Neuerstellung, Cribl baut neben dem Stream-Produkt eine eigene Analytics-Schicht. Die Unterschiede zwischen Plattform, Routing und Datenbank verwischen zunehmend.

Für Security-Teams heißt das: Wer heute eine Fabric aufbaut, legt eine Architektur für mindestens drei Jahre an. Die Flexibilität, einzelne Schichten auszutauschen, ohne das Gesamtsystem zu brechen, ist mehr wert als jedes Feature-Highlight im aktuellen Release. Das Prinzip gleicht dem Cloud-Design: lose gekoppelt, klar geschnittene Verantwortlichkeiten, bewusste Schichtgrenzen.

Die dritte Beobachtung betrifft das Ökosystem. Sigma als Community-Standard für Detection-Rules setzt sich durch, OCSF als gemeinsames Event-Schema für Security-Logs gewinnt an Reichweite, OpenTelemetry schiebt sich aus Observability in den Security-Bereich hinein. Wer diese drei Standards als Leitplanken setzt, reduziert Vendor-Lock-in automatisch. Wer sich dem verweigert, baut sich in die Sackgasse der nächsten Migration hinein.

Am praktischsten hilft der Blick auf die Zeitachse. Kein Team baut 2026 eine perfekte Fabric. Realistisch ist ein gestaffelter Weg: Routing-Layer bis Jahresende, Tiered Storage im ersten Halbjahr 2027, Detection-Engineering-Konsolidierung bis Ende 2027, SOAR-Orchestrierung als letzten Schritt. Wer diesen Pfad dokumentiert und gegen messbare Ziele spiegelt, hat 2028 ein SOC, das inhaltlich stärker und betriebswirtschaftlich leichter ist als die Ausgangssituation. Die Fabric ist kein Produktkauf, sondern eine architekturelle Disziplin, die das Team in die Lage versetzt, Toolentscheidungen rational und nicht unter akutem, operativem und unkalkulierbarem Zeitdruck zu treffen.

Häufige Fragen

Ist eine Security Data Fabric nur für Großunternehmen?

Nein. Der architekturelle Ansatz skaliert nach unten, aber die Teamgröße setzt die Grenze. Ab etwa fünf aktiven SOC-Analysten mit einer eigenen Detection-Engineering-Rolle lohnt der Aufbau. Unter dieser Schwelle bleibt Managed XDR oder eine integrierte Plattform eines einzigen Anbieters meist wirtschaftlicher.

Was bringt ein Routing-Layer konkret?

Er trennt Log-Ingestion von Speicher-Backend und ermöglicht Filterung, Anreicherung und Tiered Storage vor dem SIEM. Typische Effekte: 40 bis 60 Prozent weniger SIEM-Volumen, gleichbleibende Detection-Abdeckung und deutlich günstigere Compliance-Archivierung. Tools wie Cribl Stream, Tenzir und Vector von Datadog sind die Marktführer.

Ersetzen Security Data Platforms klassische SIEMs?

Nicht vollständig. Panther, Hunters und Dassana bauen auf Data Lakehouses und setzen Detection-as-Code um. Sie brauchen ein Data-Engineering-Team oder die Bereitschaft, sich SQL-nahe Abfragen anzueignen. In klassischen SOC-Organisationen ergänzen sie SIEMs zunächst, bevor sie sie ersetzen.

Was ist der größte Fehler beim Umbau?

Der Versuch, mehrere Fabric-Schichten gleichzeitig einzuführen. Routing-Layer, SIEM-Wechsel und neue Detection-Engineering-Rolle gemeinsam starten heißt Integration plus Learning-Curve plus Governance gleichzeitig – kaum ein Team übersteht das ohne Ausfälle in der täglichen Alarm-Bearbeitung. Die pragmatische Regel: eine Schicht pro zwei Quartale.

Wie spiele ich den Business-Case gegenüber dem CFO?

Drei Zahlen entscheiden: monatliche SIEM-Kosten, mittlere Reaktionszeit auf Incidents und False-Positive-Rate. Alle drei werden vor und nach dem Umbau gemessen. Realistisch sind 30 bis 50 Prozent Kostenreduktion bei gleicher oder besserer Detection-Abdeckung, allerdings erst nach der kompletten Umbauphase von 12 bis 18 Monaten. Vor diesem Zeitraum lohnt keine Budgetdiskussion auf Basis von Einsparungen.

Mehr aus dem MBF Media Netzwerk

cloudmagazin: AWS EC2 C8in und C8ib – Netzwerk als Architekturentscheidung
mybusinessfuture: Bitkom-KI-Studie 2026
digital-chiefs: Sustainable IT 2026 für CSRD

Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380582)

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH