nexalign

Decision guide · Security Operations und Managed Detection & Response

SOC oder MDR auswählen: Build vs. Buy unter NIS2 und DORA

Die Wahl zwischen eigenem SOC, Managed Detection & Response (MDR) oder hybridem Setup ist eine der teuersten und langfristigsten Sicherheits-Entscheidungen. Eigene Teams kosten 1,5-3 Mio EUR pro Jahr für 24/7-Abdeckung, MDR-Verträge starten bei 150-400 TEUR. Die Entscheidung haengt an Skalierungs-Erwartung, Compliance-Pflichten, regulierter Eskalations-Pfad und Talent-Verfügbarkeit, nicht nur am Preis.

TL;DR

SOC-Build lohnt sich ab rund 5000 Endpoints und reifer Detection-Engineering-Kultur. Darunter ist MDR oder Hybrid fast immer wirtschaftlicher.

Who owns this decision

CISO ist Owner. CIO, COO, CFO im Lenkungskreis. Bei regulierten Sektoren CRO und Audit.

Key criteria to weight

  • Coverage 24/7/365

    NIS2 Art. 21 und DORA Art. 17 verlangen kontinuierliche Erkennung, nicht nur Tages-Coverage.

  • MTTD und MTTR mit SLA

    Pflicht-Messung. Ohne SLA kein vertraglicher Hebel im Incident.

  • EU-Hosting der Log-Daten

    Bei Drittland-MDR kann Log-Daten-Abfluss zum Compliance-Bruch werden.

  • Threat-Hunting vs. Alerting

    Reine Alert-Triage liefert wenig Value. Proaktives Hunting differenziert die Top-Anbieter.

  • Integration in vorhandenes EDR und SIEM

    Kein Doppelt-Tooling. Stack-Konsolidierung ist Kosten-Hebel.

  • Eskalations- und Kommunikations-Pfad

    Im Vorfall muss der MDR-Anbieter rechtsverbindlich und schnell eskalieren, nicht nur ticket-orientiert.

Step-by-step decision flow

  1. 1

    Threat-Modell und Detection-Use-Cases

    Welche Angriffsfälle müssen erkannt werden? Mapping auf MITRE ATT&CK.

  2. 2

    Build-vs-Buy-Kalkulation

    5-Jahres-TCO Eigenes SOC vs. MDR. Personal, Tooling, Hosting, Compliance, Skill-Risk.

  3. 3

    Anbieter-Longlist

    Global: SentinelOne Vigilance, CrowdStrike Falcon Complete, Microsoft Defender Experts, Sophos MDR, Arctic Wolf. DACH: G DATA, indevis, r-tec, secunet.

  4. 4

    Shortlist + PoC

    3 Anbieter, 60-Tage-Trial mit echten Use-Cases. Eskalations-Test (Incident-Simulation) ist Pflicht.

  5. 5

    Memo und Vertrag

    Decision Memo plus Pflichtklauseln nach DORA Art. 30 (bei Finanzunternehmen): Audit-Rechte, Sub-Outsourcing, Exit-Strategie.

Compliance note

NIS2 Art. 21 Buchstabe b verlangt Incident-Handling. DORA Art. 17-23 verlangt definierten Vorfalls-Prozess mit Klassifizierung und Meldewegen. DORA Art. 28-30 gilt für MDR als ICT-Drittanbieter: Eignungsprüfung, Pflichtklauseln, Exit-Strategie, Concentration-Risk.

Common pitfalls

  • !MDR wird gekauft, ohne Detection-Use-Cases zu definieren. Output bleibt generisch.
  • !Log-Hosting im Drittland wird übersehen. Schrems-II- und Sektor-Compliance-Risiko.
  • !Eskalations-SLA fehlt. Anbieter eskaliert per E-Mail, der CISO erfährt es zu spät.
  • !Exit-Strategie nicht getestet. Bei Anbieter-Wechsel sind Logs und Detections nicht übernehmbar.

FAQ

Wann lohnt sich ein eigenes SOC?

Empirisch ab rund 5000 verwalteten Endpoints oder ab regulierter Pflicht zur Hoheit über Detection-Inhalte. Darunter ist MDR oder Hybrid fast immer wirtschaftlicher. Bei sehr regulierten Banken oder Behörden kann ein hybrider Aufbau (interne L1/L2, externer L3 plus Hunt) der Goldstandard sein.

Was ist der Unterschied zwischen MDR und MSSP?

MSSP managt Security-Tools, MDR fokussiert Erkennung und Reaktion mit eigenen Analysten, eigenem Threat-Intel und proaktivem Hunting. MDR ist outcome-orientierter und teurer. Der Markt verschwimmt zunehmend.

Wie wird MDR unter DORA bewertet?

MDR ist ICT-Drittanbieter. Bei kritischer oder wichtiger Funktion gelten die erweiterten Art-30-Klauseln: vollständige Audit-Rechte, Sub-Outsourcing-Kontrolle, getestete Exit-Strategie. Das Decision Memo dokumentiert die Eignungsprüfung.

Run this decision in DecisionOS →What is DecisionOS?