Ein SIEM (Security Information and Event Management) ist heute Pflichtbestandteil eines belastbaren Sicherheitskonzepts – nicht zuletzt, weil NIS2 Protokollierung und Detektion als Teil der Risikomanagement-Maßnahmen verlangt. Doch sobald es an die Kalkulation geht, wird es unübersichtlich: Die drei meistgenannten Plattformen – Microsoft Sentinel, Wazuh und Elastic Security – arbeiten mit grundverschiedenen Preismodellen, die sich kaum direkt vergleichen lassen.
Dieser Artikel rechnet den vollständigen 3-Jahres-TCO (Total Cost of Ownership) durch – inklusive Betrieb, Speicher und Personal, nicht nur des nackten GB-Preises. Belegte Listenpreise trennen wir konsequent von geschätzten Betriebskosten. Stand der Preisangaben: Juni 2026.
Die Kernerkenntnis vorweg: Bei Cloud-SIEM wie Sentinel entscheidet nicht der Listenpreis über die Rechnung, sondern wie viel Sie täglich an Logdaten hineinkippen. Wer High-Volume-Quellen nicht in günstige Tiers auslagert, zahlt schnell das Drei- bis Fünffache des kalkulierten Budgets.
Warum SIEM-Kosten so schwer kalkulierbar sind
Das Grundproblem aller modernen SIEM-Plattformen: Sie rechnen nach Datenmenge pro Tag (GB/Tag Ingest) ab, nicht nach Nutzern oder Servern. Und das tägliche Log-Volumen ist genau die Größe, die im Vorfeld am schwersten zu schätzen ist. Eine einzige zu gesprächige Firewall, ein aktivierter Debug-Modus oder ein neuer NetFlow-Sensor können das Volumen über Nacht verdoppeln.
Hinzu kommen Faktoren, die in keinem Eröffnungsangebot stehen: Wie lange müssen Logs aufbewahrt werden (Retention)? Wie viel Speicher kostet die warme und die kalte Ablage? Wer schreibt und pflegt die Detektionsregeln? Und wer reagiert nachts um drei auf einen Alarm? Der GB-Preis ist nur die Spitze des Eisbergs.
Microsoft Sentinel – Preismodell 2026 im Detail
Microsoft Sentinel ist das Cloud-native SIEM in Azure und sitzt technisch auf einem Log Analytics Workspace auf. Es ist tief in das Microsoft-Ökosystem integriert, bringt MITRE-ATT&CK-Mapping und SOAR-Automatisierung mit und ist für M365-/Entra-lastige Umgebungen oft die naheliegendste Wahl. Der Preis ist es, der differenziert betrachtet werden will.
Pay-as-you-go, Commitment Tiers und Simplified Pricing
Im Pay-as-you-go-Modell (PAYG) kosten klassische Analytics Logs laut Microsoft Learn rund 4,30 USD pro aufgenommenem GB. Wer ein stabiles Grundvolumen hat, kann über Commitment Tiers (feste GB-Pakete pro Tag) deutlich günstiger einkaufen – je höher die zugesicherte Menge, desto niedriger der effektive GB-Preis. Der seit 2025 verfügbare Simplified-Pricing-Tier bündelt Sentinel- und Log-Analytics-Gebühren in einem Posten und vereinfacht die Kalkulation.
Auxiliary Logs und Data Lake – der Hebel gegen die Kostenexplosion
Der entscheidende 2026er Hebel, den viele Vergleichsartikel übersehen: Nicht jedes Log muss teuer durchsuchbar vorgehalten werden. Mit Auxiliary Logs bietet Microsoft einen Low-Cost-Tier für selten abgefragte, hochvolumige Quellen – laut Microsoft Learn rund 0,15 USD/GB und damit etwa 96 Prozent günstiger als Analytics Logs. Der Microsoft Sentinel Data Lake geht für reine Archiv- und Langzeitanalyse mit ca. 0,05 USD/GB noch weiter herunter.
In der Praxis bedeutet das: Firewall-Logs, NetFlow, Proxy- und DNS-Daten – die typischen Volumentreiber – wandern in Auxiliary Logs, während sicherheitskritische, häufig korrelierte Quellen in den teuren Analytics-Tier gehen. Genau diese Trennung entscheidet über die Höhe der Monatsrechnung.
Die häufigste Beschwerde: unkontrollierter Ingest
In Branchenforen und Analystenberichten ist die „Sentinel-Kostenexplosion" ein wiederkehrendes Thema (Tendenzaussage auf Basis öffentlicher Community-Diskussionen). Die Ursache ist fast nie der Listenpreis, sondern dass High-Volume-Quellen ungefiltert in den Analytics-Tier laufen. Ohne Ingest-Governance – also bewusste Filterung, Tiering und Volumenkontrolle – wird Sentinel teuer, unabhängig davon, wie günstig der GB-Preis auf dem Papier aussieht.
Rechenbeispiel (Branchenrechnung): Ein Maschinenbauer mit 180 Mitarbeitern und rund 50 GB/Tag Logs zahlt im reinen PAYG-Analytics-Modell etwa 50 GB × 30 Tage × 4,30 USD ≈ 6.450 USD bzw. rund 4.450 €/Monat (Wechselkurs gerundet, Stand 06/2026). Werden 60–70 Prozent des Volumens – typischerweise Firewall und NetFlow – in Auxiliary Logs ausgelagert, sinkt der Betrag erheblich. Das ist kein Lizenztrick, sondern reine Mengensteuerung.
Elastic Security – ressourcen- und volumenbasierte Kosten
Elastic Security baut auf dem bekannten Elastic-Stack (Elasticsearch, Kibana) auf und ist besonders dort attraktiv, wo bereits Elastic für Logging oder Observability im Einsatz ist. Das Preismodell ist volumen- bzw. ressourcenbasiert: Laut Elastic-Pricing liegen die Kosten je nach Tier und Storage-Klasse bei etwa 0,55 bis 1,10 USD pro GB und Jahr – auf den ersten Blick günstig, weil hier pro Jahr statt pro Tag gerechnet wird.
Der Haken: Elastic verlangt deutlich mehr Plattform-Know-how. Index-Management, Shard-Sizing, Hot-Warm-Cold-Architektur und Cluster-Tuning sind kein Selbstläufer. Elastic lohnt sich, wenn das Team die Plattform ohnehin betreibt und die Detection-Engine produktiv nutzt – als reines „SIEM von der Stange" ist der Betriebsaufwand nicht zu unterschätzen.
Wazuh – Open Source ohne Lizenzkosten, aber mit Betriebsaufwand
Wazuh ist eine vollständig quelloffene Sicherheitsplattform, die SIEM- und XDR-Funktionen vereint: Log-Analyse, Intrusion Detection, File Integrity Monitoring, Vulnerability Detection und MITRE-ATT&CK-Mapping. Es gibt keine Lizenzkosten pro GB, pro Agent oder pro Nutzer – bezahlt werden ausschließlich Infrastruktur und Betrieb.
Das macht Wazuh besonders interessant für datensouveräne Szenarien: Die gesamte Plattform läuft on-premise oder im deutschen Rechenzentrum, Logdaten verlassen das Haus nicht. Für Kanzleien, Steuerberater oder Gesundheitsdienstleister, bei denen Mandanten- oder Patientendaten nicht in eine US-Cloud sollen, ist das oft das ausschlaggebende Argument.
Die ehrliche Kehrseite: „Kostenlos" bezieht sich auf die Lizenz, nicht auf den Aufwand. Wazuh will installiert, gehärtet, skaliert und vor allem mit guten Regeln gepflegt werden. Ohne kontinuierliches Tuning produziert jedes SIEM – auch Wazuh – Alarmrauschen statt verwertbarer Detektion. Der Aufwand verschiebt sich also vom Lizenzbudget ins Personal oder zu einem Managed-Betrieb.
Preis pro GB im direkten Vergleich
Die folgende Tabelle stellt die belegten Richtpreise der vier Plattformen (inkl. Splunk als Vergleichsanker) gegenüber. Alle USD-Angaben sind Listenpreise mit Stand Juni 2026.
| Plattform / Tier | Preismodell | Richtpreis |
|---|---|---|
| Sentinel Analytics Logs | Pay-as-you-go | ~4,30 USD/GB (Microsoft Learn) |
| Sentinel Auxiliary Logs | Low-Cost-Tier | ~0,15 USD/GB (~96 % günstiger) |
| Sentinel Data Lake | Archiv / Analyse | ~0,05 USD/GB |
| Elastic Security | volumen-/ressourcenbasiert | ~0,55–1,10 USD/GB/Jahr |
| Wazuh | Open Source | 0 USD Lizenz (nur Infrastruktur/Betrieb) |
3-Jahres-TCO im direkten Vergleich
Der GB-Preis allein sagt wenig. Entscheidend ist der TCO über drei Jahre inklusive Betrieb. Die folgenden Werte sind (Branchenschätzung) auf Basis typischer Mittelstandsumgebungen (50–200 MA, moderates Log-Volumen) und dienen der Größenordnung, nicht der centgenauen Angebotskalkulation. Methodik: Infrastruktur + Betrieb/Personal bzw. Managed-Service-Gebühren über 36 Monate, ohne einmalige Projektkosten.
| Lösung | 3-Jahres-TCO (Richtwert) | Hauptkostentreiber |
|---|---|---|
| Wazuh (Eigen-/Managed-Betrieb) | ~60.000–95.000 € (Branchenschätzung) | Personal/Betrieb, Infrastruktur |
| Microsoft Sentinel | stark ingest-abhängig (siehe Rechenbeispiel) | tägliches Log-Volumen, Tiering |
| Elastic Security | volumenabhängig + Betrieb (Branchenschätzung) | Plattform-Know-how, Volumen |
| Splunk (Vergleichsanker) | ~330.000–490.000 € (Branchenschätzung) | Lizenz pro GB, Premium-Features |
Ehrlich: Die Spanne zwischen Wazuh und Splunk ist kein Tippfehler. Bei moderatem Volumen liegt ein gemanagtes Wazuh nach unserer Erfahrung oft bei einem Fünftel bis einem Achtel der Splunk-Kosten – bei vergleichbarer Detektionsabdeckung für KMU-Anforderungen. Splunk spielt seine Stärken erst bei sehr großen, komplexen Umgebungen mit hohem Automatisierungsgrad aus.
Entscheidungsmatrix nach Unternehmensgröße
Welches SIEM passt, hängt weniger vom Preis allein ab als von Cloud-Affinität, Datensouveränitäts-Anforderung, Inhouse-Skills und Compliance-Druck. Die folgende Matrix gibt eine erste Orientierung:
| Unternehmensgröße | Typische Empfehlung | Ausschlaggebendes Kriterium |
|---|---|---|
| ≤ 50 MA | Gemanagtes Wazuh | kalkulierbare Kosten, kein eigenes SOC, Datensouveränität |
| 50–200 MA | Wazuh (managed) oder Sentinel (bei M365-Fokus) | Cloud-Affinität vs. Datensouveränität |
| 200–500 MA | Sentinel oder Elastic mit eigenem Team / Wazuh-SOC | Inhouse-Skills, Integrationsbreite, Compliance |
Versteckte Kosten, die jeder unterschätzt
Egal welche Plattform – diese Posten tauchen im ersten Angebot selten auf, entscheiden aber über den realen TCO:
- Retention & Storage-Tiering: Lange Aufbewahrungsfristen (oft 6–24 Monate) treiben den Speicherbedarf. Warmer, durchsuchbarer Speicher kostet ein Vielfaches der kalten Archivablage.
- Personal: Ein SIEM ohne jemanden, der Alarme bewertet, ist Theater. Entweder eigenes Personal (knapp und teuer) oder ein Managed-SOC.
- SOAR-Automatisierung: Playbooks für automatische Reaktion sparen Personalzeit, kosten aber Einrichtung und – bei Sentinel – zusätzliche Logic-App-Ausführungen.
- Regel-Pflege: Detektionsregeln veralten. Kontinuierliches Tuning gegen False Positives ist laufender Aufwand, kein Einmalprojekt.
- Ingest-Wachstum: Jeder neue Server, jede neue Quelle erhöht das Volumen – bei ingest-basierten Modellen direkt die Rechnung.
Unsere Empfehlung nach Szenario
In der Praxis sehen wir drei klare Muster:
Datensouveräner Mittelständler ohne SOC-Team (Kanzlei, Beratung, 40 MA, geringes Volumen): Wazuh on-premise oder als Managed-Service. Mandantendaten bleiben im Haus, die Kosten sind kalkulierbar, kein Ingest-Risiko. Das ist die wirtschaftlichste und DSGVO-robusteste Wahl.
M365-zentriertes Unternehmen mit Azure-Affinität (100–300 MA): Sentinel kann hier die bessere Option sein – vorausgesetzt, Ingest-Governance wird von Tag eins mitgedacht und High-Volume-Quellen landen in Auxiliary Logs. Die native Integration in Entra ID und M365 spart echte Korrelationsarbeit.
Team mit vorhandenem Elastic-Stack und Plattform-Skills: Elastic Security nutzen, statt ein zweites Tool einzuführen. Die Synergie mit bestehendem Logging rechtfertigt den Betriebsaufwand.
In der Praxis: Wir betreiben Wazuh als Managed SOC aus deutschen Rechenzentren und sehen regelmäßig, dass Sentinel-Rechnungen nicht am Lizenzpreis, sondern am unkontrollierten Ingest scheitern. Für datensouveräne Mittelständler ist ein gemanagtes Wazuh meist die wirtschaftlichere und DSGVO-robustere Wahl – aber wir sagen offen, wann Sentinel die bessere Option ist. Unsere ISO/IEC 27001:2022-Zertifizierung (Nr. 202787) gilt auch für unseren SOC-Betrieb.
DSGVO und NIS2 – der rechtliche Rahmen
Logdaten enthalten regelmäßig personenbezogene Daten (IP-Adressen, Benutzernamen, Zugriffszeiten). Bei einem Cloud-SIEM wie Sentinel sind Speicherort und Auftragsverarbeitung sauber zu prüfen – inklusive der Frage, ob Daten in die EU-Region beschränkt bleiben. Aufbewahrungs- und Löschfristen für Logdaten gehören dokumentiert.
NIS2 verlangt über § 30 BSIG Protokollierung und Detektion als Teil der Risikomanagement-Maßnahmen; ein SIEM unterstützt diese Nachweispflichten unmittelbar. Welche Plattform Sie wählen, ist dabei zweitrangig – dass Sie überhaupt detektieren und nachweisbar protokollieren, zählt.
Häufige Fragen
Was kostet Microsoft Sentinel pro Monat bei 50 GB/Tag?
Im Pay-as-you-go-Modell rund 4.450 €/Monat (Branchenrechnung auf Basis ca. 4,30 USD/GB Analytics Logs, Quelle: Microsoft Learn). Durch Commitment Tiers und das Auslagern von High-Volume-Quellen wie Firewall und NetFlow in Auxiliary Logs lässt sich der Betrag deutlich reduzieren.
Ist Wazuh wirklich kostenlos?
Lizenzfrei ja, aber Betrieb, Infrastruktur und Tuning verursachen Aufwand. Im 3-Jahres-TCO liegt Wazuh dennoch meist deutlich unter kommerziellen SIEMs – nach Branchenschätzung rund 60.000 bis 95.000 € gegenüber 330.000 bis 490.000 € bei Splunk.
Was sind Auxiliary Logs?
Ein günstiger Sentinel-Tier (ca. 0,15 USD/GB laut Microsoft Learn) für selten abgefragte, hochvolumige Logs – bis zu rund 96 Prozent günstiger als Analytics Logs. Ideal für Firewall-, NetFlow- oder DNS-Daten, die selten korreliert, aber lange aufbewahrt werden müssen.
Wann lohnt sich Elastic Security?
Wenn bereits ein Elastic-Stack existiert und das Team die Plattform betreiben kann. Die Kosten sind volumenabhängig (laut Elastic-Pricing etwa 0,55 bis 1,10 USD/GB/Jahr), der Betriebsaufwand ist jedoch nicht zu unterschätzen.
Welches SIEM für einen 100-MA-Betrieb ohne eigenes SOC-Team?
In der Regel ein gemanagtes Wazuh, da die Kosten kalkulierbar sind und der Betrieb betreut erfolgt – ohne das Risiko einer unkontrollierten Ingest-Rechnung. Wer stark im Microsoft-Ökosystem arbeitet, sollte parallel Sentinel mit konsequenter Ingest-Governance prüfen.