nexalign

Decision guide · Security

SIEM-Plattform und SOC-Aufbau: strukturierter Entscheidungs-Guide

SIEM- und SOC-Entscheidungen werden zu oft als Tool-Kauf geführt und zu selten als strategische Architektur-Entscheidung. Die richtige Struktur trennt drei Fragen: Welche Logs müssen erfasst werden (Scope)? Welche Analytics-Plattform bündelt und alarmiert (SIEM)? Wer reagiert 24/7 (SOC)? Jede dieser Fragen hat eigene Dealbreaker und eigene Stakeholder. Wer sie bündelt, kauft zu viel Lizenz und zu wenig Reaktionsfähigkeit.

TL;DR

SIEM, SOC-Betrieb und Log-Scope sind drei Entscheidungen, nicht eine.

Who owns this decision

CISO als Entscheidungsträger, SOC-Lead, IT-Operations, Netzwerk-Lead, Datenschutzbeauftragter und CFO als Mit-Entscheider.

Key criteria to weight

  • Log-Scope und Ingest-Volumen

    Identity, Endpoint, Perimeter, Cloud, Application. Das realistische tägliche Volumen (GB/Tag) treibt 40%+ der TCO.

  • Detection-Engineering-Tiefe

    Eigene Use Cases vs. Out-of-the-box-Regeln. Wer Detection nicht selbst entwickelt, bezahlt für MSSP-Kompetenz oder lebt mit Lücken.

  • Betriebsmodell: intern, MSSP, MDR, hybrid

    Die Kostenstruktur, Kontrolle, Reaktionszeit und Haftung unterscheiden sich fundamental. Die Entscheidung ist nicht reversibel ohne Migrationsschmerz.

  • Integrationstiefe mit EDR und IAM

    SIEM ohne tiefe EDR- und Identity-Integration ist Log-Aggregation, kein Threat Detection. Schnittstellen vor Lizenz prüfen.

  • Compliance-Nachweis (NIS2, DORA, ISO 27001)

    Logging-Aufbewahrung, Zugriffsprotokollierung, Incident-Reporting-Daten. Die regulatorischen Anforderungen bestimmen Mindest-Architektur.

  • TCO über 3 Jahre inkl. Personal

    Lizenz ist ein Bruchteil. Ingest-/Storage-Kosten, 6 bis 8 FTE für eigenen SOC, Tuning und Use-Case-Entwicklung dominieren.

Step-by-step decision flow

  1. 1

    Log-Scope definieren

    Welche Quellen müssen rein (NIS2 Art. 21, ISO 27001 A.8.15)? Welche wollen wir (MDR/Hunting)? Scope ist Dealbreaker für Plattformwahl.

  2. 2

    Betriebsmodell entscheiden

    Eigener SOC, MSSP, MDR-Bundle oder Hybrid. Die Entscheidung vor der Plattformwahl, sie determiniert Architektur und Lizenztyp.

  3. 3

    Use-Case-Bibliothek planen

    MITRE ATT&CK-basiert. Welche Taktiken sind für eure Bedrohungslage relevant? Use Cases sind der Wert des SOC, nicht die Plattform.

  4. 4

    SIEM-Shortlist und PoC

    3 bis 4 Plattformen mit echten Logs testen, Ingest-Kosten realistisch messen, Dashboards gegen echte Use Cases validieren.

  5. 5

    Integration und Exit prüfen

    EDR-Feed, IAM, ITSM, SOAR, Cloud-Audit. Plus: Datenexport, API-Breite, Migration zu anderer Plattform, DORA Art. 28 erwartet Exit-Pfad.

  6. 6

    Scoren, dokumentieren, entscheiden

    Gewichtete Bewertung, Evidenz pro Zelle, Restrisiken aus Log-Lücken dokumentieren. Decision Memo wird Eingangsdokument für NIS2-Nachweis.

Compliance note

Unter NIS2 Art. 21 gehört Protokollierung zu den verpflichtenden Risikomanagementmaßnahmen. Das BSI empfiehlt 12 Monate Aufbewahrung sicherheitsrelevanter Logs. Unter DORA Art. 11 gelten strengere Anforderungen für Finanzdienstleister inkl. Incident-Reporting an die Aufsicht. ISO 27001:2022 Controls A.8.15 (Logging), A.8.16 (Monitoring) und A.5.7 (Threat Intelligence) bilden den technischen Rahmen.

Common pitfalls

  • !Plattformwahl vor Betriebsmodell, führt regelmäßig zu Lizenz-Mismatch.
  • !Ingest-Kosten unterschätzen, Cloud-Audit-Logs und EDR-Telemetrie explodieren schnell.
  • !MSSP ohne klare SLA und Eskalationspfade beauftragen, Haftung bleibt beim Unternehmen (NIS2 Art. 21).
  • !Detection Engineering nicht intern aufbauen, macht abhängig von MSSP-Qualität.
  • !Use Cases erst nach Go-Live entwickeln, SOC läuft 6 Monate ohne echten Wert.

FAQ

Interner SOC, MSSP oder MDR, welche Struktur passt?

Interner SOC rechnet sich ab ca. 2000 Mitarbeitern oder kritischer Infrastruktur mit 24/7-Regulierungsdruck. MSSP für Mid-Market mit stabilen Runbooks. MDR wenn Tool+Response zusammen gebündelt werden soll. Die Entscheidung ist keine Kostenfrage, sie ist eine Kontroll- und Haftungsfrage unter NIS2 Art. 21.

Welche SIEM-Architektur für NIS2-konformes Logging?

NIS2 Art. 21 fordert Protokollierung sicherheitsrelevanter Ereignisse mit angemessener Aufbewahrung (BSI empfiehlt 12 Monate). SIEM muss mindestens: Identity-Logs (AD/Entra), Endpoint-Telemetrie (EDR-Feed), Perimeter (FW/Proxy), Cloud-Audit-Logs abdecken. Sovereign-Hosting und EU-Datenresidenz sind häufige Dealbreaker.

Was kostet ein SOC wirklich?

Licence ist der kleinste Kostenblock. Realistische TCO über 3 Jahre: SIEM-Lizenz 20%, Ingest-/Storage-Kosten 15%, 24/7-Personal (6 bis 8 FTE für echten internen SOC) 50%, Tuning und Use-Case-Entwicklung 10%, Integration 5%. Die FTE-Frage dominiert, genau deshalb outsourcen viele zu MSSP.

Related decisions

Security

How to choose an EDR or XDR platform in 2026

Compliance

How to reach NIS2 readiness as a mid-market or enterprise operator

Compliance

ISO 27001:2022 Re-Zertifizierung: strukturierte Migration und Erneuerung

Run this decision in DecisionOS →What is DecisionOS?