SOC as a Service: Eigenbetrieb vs. Outsourcing — Vollständiger Entscheidungsleitfaden 2026
📄 Download Full Article
Get this 14 min read article as a markdown file for offline reading
SOC as a Service: Eigenbetrieb vs. Outsourcing — Vollständiger Entscheidungsleitfaden 2026
Jede Organisation steht vor derselben Frage: Sollten wir ein eigenes Security Operations Center aufbauen oder an einen Managed-SOC-Anbieter auslagern? Die Antwort hängt von der Größe Ihrer Organisation, dem Budget, den regulatorischen Anforderungen und dem Sicherheitsreifegrad ab.
Dieser Leitfaden bietet ein strukturiertes Entscheidungsframework mit realen Kostendaten, Personalmodellen und Technologievergleichen, um Ihnen bei der richtigen Wahl zu helfen.
Inhaltsverzeichnis
- Was ist ein SOC?
- Eigenbetrieb vs. Outsourcing: Entscheidungsframework
- Kostenvergleich
- Personalanforderungen
- Technologie-Stack
- Hybridmodelle
- Kriterien für die Anbieterauswahl
- Implementierungs-Roadmap
Was ist ein SOC?
Ein Security Operations Center (SOC) ist eine zentralisierte Funktion, die Cybersicherheitsvorfälle rund um die Uhr überwacht, erkennt, analysiert und darauf reagiert. Es kombiniert Menschen, Prozesse und Technologie, um die digitalen Vermögenswerte einer Organisation zu schützen.
Kernfunktionen eines SOC:
- Echtzeit-Sicherheitsüberwachung und Alarmierung
- Bedrohungserkennung mittels SIEM- und EDR-Tools
- Untersuchung und Priorisierung von Vorfällen
- Reaktion auf Vorfälle und Eindämmung
- Threat Hunting (proaktive Erkennung)
- Koordination des Schwachstellenmanagements
- Compliance-Berichterstattung und Audit-Unterstützung
SOC-Reifegrade:
| Stufe | Bezeichnung | Fähigkeiten |
|---|---|---|
| 1 | Reaktiv | Grundlegende Überwachung, alarmgesteuerte Reaktion |
| 2 | Proaktiv | Threat Hunting, IOC-Korrelation, grundlegende Automatisierung |
| 3 | Fortgeschritten | ML-basierte Erkennung, automatisierte Reaktion (SOAR), Threat Intelligence |
| 4 | Optimiert | Prädiktive Analysen, vollständige Automatisierung, kontinuierliche Verbesserung |
Entscheidungsframework
Wann ein eigenes SOC sinnvoll ist
Der Aufbau eines eigenen SOC ist sinnvoll, wenn:
- Regulatorische Anforderungen Datenresidenz oder einen internen Sicherheitsbetrieb vorschreiben (Banken, Verteidigung, öffentliche Verwaltung)
- Organisationsgröße über 5.000 Mitarbeitende mit komplexer Infrastruktur liegt
- Budget eine jährliche Investition von 2–5 Mio. € ermöglicht
- Vorhandenes Fachpersonal — Sie haben bereits ein Sicherheitsteam, das skaliert werden kann
- Einzigartige Bedrohungslandschaft — branchenspezifische Bedrohungen, die generische SOC-Anbieter möglicherweise nicht verstehen
Wann SOC as a Service sinnvoll ist
Outsourcing ist sinnvoll, wenn:
- Budgetbeschränkungen — Gesamtkosten unter 500.000 €/Jahr
- Schnelle Wertschöpfung — ein betriebsbereites SOC innerhalb von Wochen statt Monaten benötigt wird
- Fachkräftemangel — nicht genügend Sicherheitsanalysten eingestellt oder gehalten werden können
- 24/7-Abdeckung — ein kleines Team den Rund-um-die-Uhr-Betrieb nicht aufrechterhalten kann
- Technologiezugang — Enterprise-grade SIEM/SOAR ohne Lizenzkosten gewünscht wird
Entscheidungsmatrix
| Faktor | Eigenbetrieb | Outsourcing | Hybrid |
|---|---|---|---|
| Zeit bis zur Betriebsbereitschaft | 6–12 Monate | 2–6 Wochen | 3–6 Monate |
| Jährliche Kosten (mittelgroß) | 1,5–3 Mio. € | 300–800 Tsd. € | 600 Tsd.–1,5 Mio. € |
| Kontrollniveau | Vollständig | Eingeschränkt | Ausgewogen |
| Anpassbarkeit | Unbegrenzt | Vorlagenbasiert | Moderat |
| Skalierbarkeit | Langsam (Einstellung) | Schnell (elastisch) | Moderat |
| Personalabhängigkeit | Hoch | Niedrig | Mittel |
Kostenvergleich
Aufbau eines eigenen SOC — Jährliche Kosten
| Kategorie | Minimum | Typisch | Enterprise |
|---|---|---|---|
| Personal (10–15 FTEs) | 800 Tsd. € | 1,2 Mio. € | 2 Mio. €+ |
| SIEM-Plattform | 150 Tsd. € | 300 Tsd. € | 500 Tsd. €+ |
| EDR/XDR | 50 Tsd. € | 150 Tsd. € | 300 Tsd. € |
| SOAR-Plattform | 80 Tsd. € | 150 Tsd. € | 250 Tsd. € |
| Threat Intelligence | 30 Tsd. € | 80 Tsd. € | 150 Tsd. € |
| Infrastruktur | 100 Tsd. € | 200 Tsd. € | 400 Tsd. € |
| Schulung & Zertifizierungen | 50 Tsd. € | 100 Tsd. € | 200 Tsd. € |
| Jährliche Gesamtkosten | 1,26 Mio. € | 2,18 Mio. € | 3,8 Mio. €+ |
SOC as a Service — Jährliche Kosten
| Service-Stufe | Abdeckung | Kosten/Jahr |
|---|---|---|
| Basis (nur Überwachung) | 8x5 | 120–200 Tsd. € |
| Standard (Überwachung + Reaktion) | 24x7 | 300–500 Tsd. € |
| Premium (vollständiges MDR) | 24x7 + Threat Hunting | 500–800 Tsd. € |
| Enterprise (dediziertes Team) | 24x7 + dedizierte Analysten | 800 Tsd.–1,5 Mio. € |
Gesamtbetriebskosten (5 Jahre)
| Modell | Jahr 1 | Jahr 2–5 | 5-Jahres-TCO |
|---|---|---|---|
| Eigenbetrieb | 3,5 Mio. € (Aufbau + Betrieb) | 2,2 Mio. €/Jahr | 12,3 Mio. € |
| Managed SOC | 400 Tsd. € | 400 Tsd. €/Jahr | 2,0 Mio. € |
| Hybrid | 1,5 Mio. € | 1,0 Mio. €/Jahr | 5,5 Mio. € |
Personalanforderungen
Teamstruktur eines eigenen SOC
Für eine 24/7-Abdeckung benötigen Sie mindestens 10–12 FTEs:
Tier 1 — SOC-Analysten (4–6 FTEs)
- Alarmüberwachung, erste Priorisierung
- Zertifizierungen: CompTIA Security+, CEH
- Gehaltsspanne: 45.000–65.000 €
Tier 2 — Senior-Analysten (2–3 FTEs)
- Tiefgehende Untersuchung, Incident Response
- Zertifizierungen: GCIH, GCIA, CySA+
- Gehaltsspanne: 70.000–95.000 €
Tier 3 — Threat Hunter (1–2 FTEs)
- Proaktives Threat Hunting, Malware-Analyse
- Zertifizierungen: GREM, GCFA, OSCP
- Gehaltsspanne: 90.000–120.000 €
SOC-Manager (1 FTE)
- Betriebsmanagement, Berichterstattung, Strategie
- Zertifizierungen: CISSP, CISM
- Gehaltsspanne: 100.000–140.000 €
Die Herausforderung bei der Fachkräftegewinnung
Die Fachkräftelücke in der Cybersicherheit erreichte 2025 weltweit 4 Millionen unbesetzte Stellen (ISC2). Durchschnittliche Zeit bis zur Besetzung einer SOC-Analysten-Stelle: 6–9 Monate. Durchschnittliche Verweildauer: 2–3 Jahre.
Dies macht die Mitarbeiterbindung zum größten betrieblichen Risiko bei einem eigenen SOC.
Technologie-Stack
Kerntechnologien eines SOC
1. SIEM (Security Information and Event Management)
Das zentrale Nervensystem jedes SOC. Sammelt, korreliert und analysiert Protokolldaten.
| Plattform | Am besten geeignet für | Preismodell |
|---|---|---|
| Splunk Enterprise Security | Große Unternehmen | Nach Ingestion-Volumen |
| Microsoft Sentinel | Azure-Umgebungen | Pro GB Ingestion |
| Elastic Security | Kostenbewusste Organisationen | Open Source + Support |
| Google Chronicle | Google-Cloud-Nutzer | Pro Endpunkt |
| IBM QRadar | Compliance-intensive Branchen | Pro EPS |
Beispiel: Splunk-Erkennungsregel für Brute-Force-Angriffe:
index=auth sourcetype=windows:security EventCode=4625
| stats count by src_ip, dest, user
| where count > 10
| sort -count
2. EDR/XDR (Endpoint Detection and Response)
Echtzeit-Endpunkttransparenz und automatisierte Reaktion:
- CrowdStrike Falcon (Marktführer)
- Microsoft Defender for Endpoint
- SentinelOne Singularity
- Palo Alto Cortex XDR
3. SOAR (Security Orchestration, Automation and Response)
Automatisiert wiederkehrende SOC-Aufgaben:
- Palo Alto XSOAR
- Splunk SOAR (Phantom)
- IBM Resilient
- Tines (No-Code)
Beispiel: Automatisiertes Phishing-Response-Playbook:
playbook: phishing_response
trigger: email_alert_from_siem
steps:
- extract_iocs:
action: parse_email_headers_and_body
output: urls, attachments, sender_ip
- check_reputation:
action: virustotal_lookup
input: extracted_iocs
- quarantine_email:
condition: reputation_score > 70
action: exchange_delete_email
- block_sender:
condition: confirmed_malicious
action: add_to_blocklist
- notify_user:
action: send_awareness_notification
- create_ticket:
action: jira_create_incident
Hybridmodelle
Der Hybridansatz kombiniert interne Fähigkeiten mit ausgelagerten Dienstleistungen. Dies ist zunehmend das bevorzugte Modell für mittelgroße Organisationen.
Gängige Hybridkonfigurationen
1. Eigenes SIEM + Ausgelagerte Überwachung
- Sie besitzen und verwalten die SIEM-Plattform
- Der MDR-Anbieter übernimmt die 24/7-Überwachung und Tier-1-Priorisierung
- Ihr Team übernimmt die Tier-2-3-Untersuchung und -Reaktion
- Am besten geeignet für: Organisationen mit bestehender SIEM-Investition
2. Co-Managed SOC
- Geteilte Verantwortung zwischen Ihrem Team und dem Anbieter
- Der Anbieter ergänzt Ihr Team außerhalb der Geschäftszeiten
- Gemeinsame Playbooks und Eskalationsverfahren
- Am besten geeignet für: Wachsende Sicherheitsteams, die Abdeckungslücken schließen müssen
3. Ausgelagertes SOC + Internes Threat Hunting
- Der Anbieter übernimmt die gesamte operative Überwachung
- Ihr Team konzentriert sich ausschließlich auf proaktives Threat Hunting
- Am besten geeignet für: Ausgereifte Sicherheitsprogramme mit fortgeschrittenen Fähigkeiten
Kriterien für die Anbieterauswahl
Bei der Bewertung von Managed-SOC-Anbietern verwenden Sie dieses Bewertungsframework:
| Kriterium | Gewichtung | Zu stellende Fragen |
|---|---|---|
| Erkennungsfähigkeit | 25 % | Welche Erkennungsregeln? Wie hoch ist die Falsch-Positiv-Rate? |
| Reaktionszeit-SLA | 20 % | MTTD- und MTTR-Garantien? Vertragsstrafen? |
| Branchenexpertise | 15 % | Erfahrung in Ihrer Branche? Relevante Fallstudien? |
| Technologie-Stack | 15 % | Welches SIEM/EDR? Integration mit Ihren Tools? |
| Compliance-Unterstützung | 10 % | ISO 27001, SOC 2, NIS2-Berichterstattung? |
| Skalierbarkeit | 10 % | Können sie mit Ihnen wachsen? Multi-Region-Unterstützung? |
| Transparenz | 5 % | Dashboard-Zugang? Regelmäßige Berichterstattung? |
Warnzeichen
- Kein klares SLA mit finanziellen Vertragsstrafen
- Keine Bereitschaft, die Erkennungsregel-Bibliothek zu teilen
- Kein dedizierter Account Manager
- Ausschließlich Ticket-basierte Kommunikation (kein direkter Zugang zu Analysten)
- Keine Bereitschaft für einen Proof-of-Concept
Implementierungs-Roadmap
Zeitplan für den Aufbau eines eigenen SOC
Phase 1: Grundlagen (Monat 1–3)
- SOC-Charta, Umfang und Governance definieren
- SIEM-Plattform auswählen und beschaffen
- Einstellung von SOC-Manager und Tier-2-Analysten beginnen
- Architektur für die Log-Erfassung entwerfen
Phase 2: Aufbau (Monat 4–6)
- SIEM bereitstellen und Log-Quellen konfigurieren
- Erste Erkennungsregeln entwickeln (Top 50 Anwendungsfälle)
- Incident-Response-Playbooks erstellen
- Tier-1-Analysten einstellen, Schulung beginnen
Phase 3: Betrieb (Monat 7–9)
- Go-live mit eingeschränktem Umfang (Geschäftszeiten)
- Erkennungsregeln optimieren (Falsch-Positive reduzieren)
- SOAR für erste Automatisierung bereitstellen
- Auf 24/7 mit Schichtrotation erweitern
Phase 4: Optimierung (Monat 10–12)
- Vollständiger 24/7-Betrieb
- Start des Threat-Hunting-Programms
- Metriken-Dashboard und Berichterstattung
- Erste Reifegradbeurteilung
Zeitplan für das Onboarding eines Managed SOC
Woche 1–2: Vertrag, Datenaustauschvereinbarungen, Zugriffsbereitstellung Woche 3–4: Integration der Log-Quellen, Baseline-Abstimmung Woche 5–6: Anpassung der Erkennungsregeln, Playbook-Abstimmung Woche 7–8: Go-live mit paralleler Überwachung, Feinabstimmung Woche 8+: Vollständige betriebliche Übergabe
Fazit
Die Entscheidung zwischen Eigenbetrieb und Outsourcing ist nicht binär. Die meisten Organisationen profitieren von einem Hybridansatz, der externes Fachwissen für die 24/7-Abdeckung nutzt und gleichzeitig interne Fähigkeiten für den strategischen Sicherheitsbetrieb beibehält.
Beginnen Sie mit einer ehrlichen Bewertung Ihres aktuellen Reifegrads, Budgets und der verfügbaren Fachkräfte. Das richtige SOC-Modell ist dasjenige, das die besten Sicherheitsergebnisse innerhalb Ihrer Rahmenbedingungen liefert.
Brauchen Sie Unterstützung bei der Entscheidung? Unsere SOC-Berater haben Security Operations Center für Organisationen in ganz Europa aufgebaut und betrieben. Kontaktieren Sie uns für eine kostenlose SOC-Bewertung oder erfahren Sie mehr über unsere SOC-Dienstleistungen.
Verwandte Artikel:
Need Expert Cybersecurity Consulting?
Our team of certified security professionals can help implement the strategies discussed in this article.
Schedule a Consultation