Kaum ein Bereich der IT-Sicherheit ist begrifflich so unscharf wie Security Operations. EDR, MDR und SOC werden in Angeboten oft in einen Topf geworfen – und am Ende zahlt der Mittelständler für ein Tool, das niemand auswertet, oder plant einen eigenen Betrieb, der sich nie rechnet. Dieser Beitrag schafft Klarheit: Was ist was, wer reagiert wann, was kostet es realistisch – und welche Variante passt zu welcher Unternehmensgröße?
Wir betreiben selbst Security Operations für mittelständische Kunden und kennen beide Seiten der Rechnung. Entsprechend nüchtern fällt die Einordnung aus – ohne den Reflex, die teuerste Lösung zu empfehlen.
Drei Begriffe, die ständig verwechselt werden
Der einfachste Weg, die drei Ebenen zu trennen, ist die Frage: Wer oder was reagiert auf einen Alarm? EDR ist ein Werkzeug. MDR ist ein Werkzeug plus ein Team, das damit arbeitet. Ein Managed SOC ist die ganzheitliche Sicht über alle Datenquellen hinweg, betrieben von Menschen mit definierten Prozessen. Alle drei können sinnvoll sein – aber sie lösen unterschiedliche Probleme und kosten entsprechend unterschiedlich.
Die Kernunterscheidung: EDR erzeugt Alarme. MDR und SOC sorgen dafür, dass jemand diese Alarme rund um die Uhr auswertet und reagiert. Ein Tool ohne Auswertung ist im Ernstfall ein Rauchmelder, den niemand hört.
EDR — der Sensor, nicht die Lösung
EDR (Endpoint Detection and Response) ist die Weiterentwicklung des klassischen Virenschutzes. Statt nur bekannte Signaturen zu blockieren, beobachtet EDR das Verhalten auf Endpunkten – Server, Notebooks, Workstations – und schlägt bei verdächtigen Mustern Alarm: ungewöhnliche Prozessketten, verdächtige PowerShell-Aufrufe, Anzeichen von lateraler Bewegung.
Das ist wertvoll, aber EDR hat einen blinden Fleck: Es erzeugt Alarme, beantwortet sie aber nicht selbst. Jeder Alert braucht eine menschliche Bewertung – ist das ein echter Angriff oder ein False Positive? In der Praxis sehen wir regelmäßig Unternehmen, deren EDR nachts und am Wochenende fleißig Alarme produziert, die niemand liest. Genau in diesen Fenstern schlagen Angreifer bevorzugt zu.
Praxis: Ein Mittelständler mit 150 Mitarbeitern hatte ein modernes EDR ausgerollt – aber niemanden, der die Alerts außerhalb der Bürozeiten auswertet. Statt drei Analysten einzustellen, wurde die Lücke über ein Managed-Modell geschlossen. Das Tool war nie das Problem, die fehlende Auswertung schon.
MDR — EDR plus Menschen, die reagieren
MDR (Managed Detection and Response) schließt genau diese Lücke. Ein externer Dienstleister übernimmt die 24/7-Überwachung der EDR-Alarme, trennt echte Bedrohungen von Fehlalarmen (Alert Triage) und leitet im Ernstfall Gegenmaßnahmen ein – von der Isolierung eines Endpunkts bis zur Eskalation an den Kunden.
MDR ist stark endpunktzentriert: Die Datenbasis sind primär die EDR-Telemetrie und ergänzende Quellen. Das ist für viele KMU der pragmatische Einstieg in eine echte Reaktionsfähigkeit, ohne ein vollständiges Security Operations Center aufzubauen. Wo MDR an Grenzen stößt: Bedrohungen, die sich nicht auf Endpunkten abspielen – etwa Angriffe auf Netzwerk-, Cloud- oder Identitätsebene – erfasst ein reines MDR nur eingeschränkt.
Managed SOC / SOCaaS — die ganzheitliche Sicht
Ein Security Operations Center (SOC) hebt die Perspektive von einzelnen Endpunkten auf das gesamte Unternehmen. Es korreliert Daten aus EDR, Firewalls, Servern, Cloud-Diensten und Identitätssystemen, erkennt zusammenhängende Angriffsketten und reagiert prozessgesteuert. Als SOCaaS (SOC as a Service) wird dieser Betrieb extern bereitgestellt – inklusive der Menschen, die ihn rund um die Uhr besetzen.
SIEM als Datenbasis (Wazuh)
Das Herzstück eines SOC ist ein SIEM (Security Information and Event Management), das Logdaten aus allen Quellen sammelt, normalisiert und korreliert. Wir setzen dabei auf Wazuh, eine offene SIEM-/XDR-Plattform. Sie liefert die Datenbasis für Detektion, Korrelation und Compliance-Reporting – ersetzt aber niemals die menschliche Analyse. Mehr dazu in unserem Beitrag zur Wazuh-Sicherheitsplattform und zur SIEM-Einführung im KMU.
Threat Hunting und SOAR
Ein reifes SOC wartet nicht nur auf Alarme, sondern sucht aktiv nach Angreifern (Threat Hunting), oft entlang des MITRE-ATT&CK-Frameworks. Wiederkehrende Reaktionsschritte werden über SOAR (Security Orchestration, Automation and Response) automatisiert, sodass sich die Analysten auf die wirklich kniffligen Fälle konzentrieren können. Die Detektionskette lässt sich vereinfacht so skizzieren: Agents auf den Systemen → SIEM (Wazuh) → Analyst-Triage → Reaktion.
Der direkte Vergleich
Die folgende Matrix stellt die drei Ansätze entlang der entscheidenden Kriterien gegenüber:
| Kriterium | EDR | MDR | Managed SOC / SOCaaS |
|---|---|---|---|
| Scope | Endpunkte | Endpunkte + Telemetrie | Gesamtes Unternehmen |
| 24/7-Abdeckung | Tool ja, Auswertung nein | Ja (Dienstleister) | Ja (Dienstleister) |
| Wer reagiert? | Sie selbst | Externes Team | Externes SOC-Team |
| Datenquellen | Endpoint | Endpoint-zentriert | EDR, Netz, Cloud, Identität |
| Preislogik | pro Endpoint | pro Endpoint | Plattform + Service |
| NIS2-Fit | unzureichend allein | gut | sehr gut |
| Typische Reaktionszeit | abhängig vom eigenen Team | Minuten bis Stunden | Minuten |
Was kostet was? Realistische Zahlen
Bei den Kosten trennt sich Marketing von Realität. Wir nennen Zahlen, statt zu verschleiern – mit dem klaren Hinweis, dass es sich um Größenordnungen handelt, die je nach Leistungsumfang stark schwanken.
Warum ein eigener 24/7-SOC unter 500 MA unrealistisch ist
Der Kostentreiber bei einem eigenen SOC ist nicht die Technik, sondern das Personal. Ein echter 24/7-Schichtbetrieb lässt sich nicht mit zwei Personen abdecken: Für lückenlose Schichten inklusive Urlaub, Krankheit und Wochenenden braucht es realistisch mehrere qualifizierte Security Analysts.
Grobe Kalkulation: Schon drei Analysten für einen 24/7-Schichtbetrieb schlagen mit rund 180–220 k€ pro Jahr zu Buche – und das nur an Personalkosten, ohne SIEM-Lizenzen, Tooling, Schulungen und Recruiting (grobe Kalkulation). Für einen wirklich lückenlosen Betrieb sind eher noch mehr Köpfe nötig. Unter 500 Mitarbeitern steht dieser Aufwand in keinem sinnvollen Verhältnis zum Nutzen.
Preislogik MDR und SOCaaS
MDR wird typischerweise pro Endpoint und Monat abgerechnet. Marktüblich liegen mittelständische Angebote etwa bei 7–25 USD pro Endpoint und Monat (Branchenschätzung, stark vom Leistungsumfang abhängig). Bei 150 Endpunkten ergibt das eine Größenordnung, die deutlich unter den Personalkosten eines eigenen Teams liegt – bei gleichzeitig echter 24/7-Reaktionsfähigkeit. SOCaaS kombiniert eine Plattformgebühr (SIEM-Betrieb) mit einer Servicekomponente und skaliert mit Datenmenge und Quellenzahl.
Der NIS2-Faktor — 24-Stunden-Meldepflicht
NIS2 macht aus der Security-Frage eine Pflichtfrage. Betroffene Unternehmen müssen einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden als Erstmeldung an das BSI melden (Quelle: BSIG/NIS2-Umsetzung). Diese Frist setzt voraus, dass Vorfälle überhaupt zeitnah erkannt werden – auch nachts und am Wochenende.
Das Gesetz schreibt nicht den Begriff „SOC" vor, wohl aber die Fähigkeit dahinter: kontinuierliche Detektion und Reaktion. Ein reines EDR, dessen Alarme niemand auswertet, erfüllt das faktisch nicht – ein Vorfall, der erst Montagmorgen auffällt, sprengt die 24-Stunden-Frist regelmäßig. MDR oder SOCaaS sind damit für viele betroffene KMU der pragmatische Weg zu einer NIS2-tauglichen Capability. Wie die NIS2-Pflichten insgesamt aussehen, lesen Sie in unserem Beitrag NIS2 ist in Kraft – Frist verpasst, was jetzt?.
Praxis: Ein Energieversorger mit 220 Mitarbeitern fällt unter NIS2 und muss eine nachweisbare 24/7-Detektion samt Meldefähigkeit innerhalb von 24 Stunden vorhalten. Ein eigener SOC wäre wirtschaftlich nicht darstellbar – ein Wazuh-basiertes SOCaaS liefert die geforderte Capability zu einem Bruchteil der Personalkosten.
Entscheidungshilfe nach Unternehmensgröße
Es gibt keine pauschal richtige Antwort – aber klare Tendenzen entlang von Größe, Branche und Regulierung:
- Bis ca. 50 Mitarbeiter, nicht NIS2-betroffen: EDR mit klar geregelter Reaktion ist oft ausreichend – sofern jemand die Alerts tatsächlich auswertet. Andernfalls MDR.
- 50–250 Mitarbeiter: MDR ist meist der wirtschaftliche Sweet Spot. Bei NIS2-Betroffenheit oder heterogener IT-Landschaft lohnt der Schritt zu SOCaaS.
- 250–500 Mitarbeiter, NIS2-betroffen: SOCaaS mit SIEM-Basis – die ganzheitliche Sicht und die nachweisbare 24/7-Capability werden hier zur Pflicht, ein eigener SOC bleibt unwirtschaftlich.
- Über 500 Mitarbeiter / kritische Infrastruktur: Ein hybrider Ansatz (eigenes Team + externer 24/7-Betrieb) kann sich rechnen – hier beginnt die Make-or-Buy-Frage offen zu sein.
Fazit und Empfehlung
EDR, MDR und SOC sind keine Synonyme, sondern aufeinander aufbauende Reifegrade. EDR liefert die Sensorik, MDR die Reaktion auf Endpunktebene, ein Managed SOC die ganzheitliche Sicht. Wer nur ein Tool kauft, ohne die Auswertung zu sichern, hat Geld ausgegeben, aber kein Risiko reduziert.
Ehrlich: Ein eigener 24/7-SOC rechnet sich unter 500 Mitarbeitern in den seltensten Fällen – die Personalkosten allein übersteigen den Nutzen. Für die meisten KMU ist ein Wazuh-basiertes SOCaaS oder MDR der pragmatische Weg zu NIS2-tauglicher Detektion. Als ISO/IEC 27001:2022 zertifizierter MSP (Zertifikat Nr. 202787) betreiben wir die Plattform und liefern die menschliche Auswertung, die EDR-Tools nicht ersetzen können. Welche Variante zu Ihrer Größe und Ihren Pflichten passt, lässt sich in einem kurzen Gespräch sauber einordnen.
Häufige Fragen
Ist EDR dasselbe wie ein SOC?
Nein. EDR ist ein Endpoint-Sensor mit Alarmierung; ein SOC ist der Betrieb mit Menschen, Prozessen und SIEM, die diese Alarme auswerten und darauf reagieren.
Was kostet MDR pro Endpoint?
Marktüblich liegen mittelständische MDR-Angebote etwa bei 7–25 USD pro Endpoint und Monat (Branchenschätzung, stark vom Leistungsumfang abhängig).
Lohnt sich ein eigener SOC für 200 Mitarbeiter?
In der Regel nicht. Ein 24/7-Schichtbetrieb erfordert mehrere Analysten (Personalkosten grob 180–220 k€/Jahr) plus Tooling – für die meisten KMU ist ein Managed-Modell wirtschaftlicher.
Brauche ich für NIS2 zwingend einen SOC?
Das Gesetz schreibt keinen „SOC" vor, aber die 24-Stunden-Meldepflicht setzt eine kontinuierliche Detektions- und Reaktionsfähigkeit voraus, die reines EDR ohne Auswertung nicht leistet.
Welche Rolle spielt Wazuh?
Wazuh ist eine offene SIEM-/XDR-Plattform, die als Datenbasis für Detektion, Korrelation und Compliance-Reporting dient – sie ersetzt aber nicht die menschliche Analyse.