Managed SOC &
KI-SIEM-Plattform
Die Gesamtlösung: 24/7 Security Operations Center als Service — angetrieben durch unsere eigene SIEM-Plattform mit drei vLLM-Engines in der Arena. On-prem in Deutschland. DSGVO, KRITIS, NIS2, DORA-ready.
Engine-Arena · Live
KI-SPEZIAL SecOps
94
SIEM LLAMA
91
MiniMax
87
Konsens 90,7 %
Lateral Movement (T1021) — Automatik läuft
DEFCON · 2 Aktive Bedrohung
Playbook contain_lateral ausgeführt · SHA-512 signiertes PDF an BSI in 47 Min.
24/7 SOC DORA ready NIS2 konform KRITIS tauglich
Ausgabe 2026 Stand: April 2026 Dokument-Nr. HSP-SOC-2026 www.hostspezial.de/managed-soc.html
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
Übersicht

Inhaltsverzeichnis

HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 2
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
01
Die Gesamtlösung

Ein Service. Eine Plattform. Ein Schutz.

Wir verkaufen nicht Software oder Dienstleistung — sondern beides untrennbar. Der Managed-SOC-Service mit rund-um-die-Uhr besetzten Analysten läuft auf unserer eigenentwickelten KI-SIEM-Plattform. Das bedeutet: Wir kennen jede Regel, jede Engine, jedes Playbook — weil wir sie selbst schreiben.

Warum Service und Plattform zusammen?

Ein Managed SOC ohne eigene Plattform ist ein Wiederverkäufer. Eine SIEM-Plattform ohne Analysten ist ein Schrank voller Alarme. Erst die Kombination liefert das, was NIS2, DORA und §8a BSIG wirklich fordern: dokumentiertes, bewertbares, signiertes Monitoring in Echtzeit.

Managed SOC · der Service

  • 24/7 besetztes Analysten-Team in deutschen Rechenzentren
  • MTTD < 5 Min, MTTR < 15 Min bei kritischen Alerts
  • Eigene Sigma-Regeln und Playbooks pro Mandant
  • Monatliche Executive Reports und Quartals-Reviews
  • Incident Response inkl. forensischer Spurensicherung
  • Meldepflicht-Begleitung an BSI, BaFin, BNetzA, Datenschutzbehörden

KI-SIEM-Plattform · die Software

  • Engine-Arena mit drei parallelen vLLM-Engines, on-prem
  • Honey-Canary-Frühwarnung für Insider & Lateral Movement
  • DEFCON-Automatik mit fünf Eskalations-Stufen
  • SHA-512 + HMAC signierte PDFs mit Verify-URL (gerichtsfest)
  • Mandantenfähigkeit ab Tag 1, MSP-ready
  • RAG auf eigenen Playbooks — explainable AI
24/7
Überwachung
<15 min
MTTR kritisch
100 %
on-prem DE
SHA-512
signierte Exporte
Für wen ist das gemacht?

Mittelstand, MSPs, NIS2-pflichtige Unternehmen, KRITIS-Betreiber (Banken, Versicherungen, Stadtwerke, Energieversorger). Überall dort, wo ein eigenes 24/7-SOC unwirtschaftlich ist — ein Outsourcing an Hyperscaler-KI aber aus Compliance-Gründen ausscheidet.

HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 3
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
02
Engine-Arena · das Herz der Plattform

Drei KI-Engines. Live-Duell bei jedem Alert.

Nicht OpenAI. Nicht Anthropic. Nicht DeepSeek. Drei spezialisierte vLLM-Engines in unserer eigenen GPU-Cloud in Deutschland — die sich gegenseitig prüfen und widersprechen dürfen. Der Analyst sieht jede Stimme, jeden Score, jede Quelle.

Security-Spezialmodell
KI-SPEZIAL SecOps

Auf Security-Korpora trainiert: MITRE ATT&CK, CVE-Datenbanken, Sigma-Regeln, Phishing-Patterns, Ransomware-IoCs. Primärer Verdict-Geber für die klassische Detection.

Detectionon-prem DE
Kontext & Logs
SIEM LLAMA

Breites Sprach- und Kontextverständnis. Spezialisiert auf Log-Normalisierung, Semantik und Zusammenhänge zwischen Quellen. Ergänzt die Sicht durch Business-Kontext.

KontextLog-Analyse
Audit · Cross-Check
MiniMax

Unabhängige Audit-Engine. Prüft die Urteile der anderen zwei, markiert Bias, hebt Dissens hervor und zwingt die Plattform bei Unstimmigkeit zum Analysten-Review.

AuditBias-Check
So funktioniert ein Arena-Durchlauf

1. Alert entsteht (Sigma-Regel, Anomalie-Detection oder Honey-Canary). 2. Alle drei Engines erhalten parallel den angereicherten Alert-Kontext. 3. Jede Engine liefert Score 0–100, MITRE-Klassifikation und RAG-zitierte Begründung. 4. Konsens > 85 % → Automatik; Dissens > 15 % → Analyst-Review. 5. Jede Entscheidung im Audit-Log, unveränderbar.

Warum drei Engines statt einer?

Transparenz

  • Analyst sieht drei Stimmen — nicht ein Orakel
  • Jeder Score mit Quellenangabe aus Playbooks
  • Audit-Log aller Engine-Votes unveränderbar
  • Rule-Quality-Scoring deckt Blindspots auf

Datenhoheit

  • 100 % on-premises in deutschen RZs
  • Kein Traffic zu OpenAI, Anthropic, DeepSeek
  • KRITIS- und DSGVO-tauglich by design
  • Eigene GPU-Inferenz pro Tenant isoliert
HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 4
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
03
Die Plattform in Aktion

Vom Dashboard zum signierten PDF — in einem Tool.

Acht ausgewählte Screenshots aus dem produktiven Betrieb: Cockpit, Fallakte, Engine-Arena, Containment, Meldepflicht-Workflow. Alles auf einer Plattform, ohne Tool-Jonglieren.

Dashboard-Cockpit
Dashboard-CockpitLive-Lage aller Mandanten: DEFCON, offene Alerts, Meldepflicht-Timer, Suspicion-Scores.
Fallakte Ransomware
Fallakte RansomwareTimeline, IoCs, betroffene Assets, Containment-Schritte, forensische Artefakte.
Engine-Arena Konsens
Engine-Arena · KonsensAlle drei Engines einig → Automatik greift, kein Analyst nötig.
Engine-Arena Dissens
Engine-Arena · DissensΔ > 15 % → Analyst bekommt alle Scores, Begründungen, Quellen.
Containment-Cockpit
Containment-CockpitHost-Isolation, Account-Disable, Session-Kill — Playbook-getrieben, Audit-Trail.
Meldepflicht-Alerts
Meldepflicht-AlertsNIS2- und DSGVO-relevante Vorfälle markiert, inkl. 24h-Frist-Timer.
Meldungs-Entwurf
Meldungs-EntwurfBSI-Vorlage, vorausgefüllt mit Fall-Daten — Analyst prüft, signiert.
Meldung signiert
Meldung signiertSHA-512 + HMAC-signiertes PDF mit Verify-URL — beweiswertig.
HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 5
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
04
Detection-Pipeline & DEFCON-Automatik

Fünf Stages. Fünf Eskalations-Stufen. Keine Blackbox.

Jedes Event durchläuft die gleiche transparente Pipeline. Der DEFCON-Status wird aus Suspicion-Score, Engine-Arena-Votes und Actor-Profil berechnet — nicht gefühlt, sondern nachvollziehbar aus Eingabedaten abgeleitet.

Pipeline · vom Log zum signierten PDF

STAGE 01
Ingest
syslog, JSON, Windows Event, Cloud-APIs, EDR-Telemetrie, SCADA read-only
ingest.normalize()
STAGE 02
Enrichment
GeoIP, Threat-Intel, Asset-Kontext, User-Behavior, Actor-Profil
enrich.actor()
STAGE 03
Detection
Sigma-Regeln, Anomalie-Detection, Honey-Canary-Trigger, Baseline-Vergleich
detect.sigma()
STAGE 04
Arena
Drei vLLM-Engines, Konsens-Vote, RAG-Begründung, Audit-Log
arena.evaluate()
STAGE 05
Respond
DEFCON-Shift, Playbook-Ausführung, signierte Meldung an BSI/BaFin
respond.playbook()

DEFCON-Automatik · fünf Stufen

5
Normalbetrieb

Baseline-Logging, passive Telemetrie, Engine-Arena im Background-Modus.

Suspicion < 30
4
Erhöhte Aufmerksamkeit

Anomalien vorhanden, keine akute Bedrohung. Retention auf 90 Tage erhöht.

Suspicion 30–50
3
Verdachtslage

Actor-Profil aktiv, Analyst alarmiert, zusätzliche Honey-Canaries deployt.

Suspicion 50–70
2
Aktive Bedrohung

Laterale Bewegung bestätigt, Teil-Containment greift automatisch, SOC-Team voll besetzt.

Suspicion 70–90
1
Kritischer Vorfall

Tenant-weites Containment, Meldekette aktiv (BSI, BaFin), Forensik-Snapshot aller VMs.

Suspicion > 90
Playbook-Beispiel: DEFCON 2 → 1

Bei DEFCON 1 läuft automatisch: Tenant-weites Network-Lockdown · Privileged Sessions gekillt · BSI-Meldung initiiert (NIS2-Frist 24 h) · Customer-CISO direkt kontaktiert · Forensik-Snapshot aller kritischen VMs. Alle Aktionen SHA-512-signiert im Audit-Archiv.

HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 6
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
05
Branchen · Finanzwirtschaft

Banken & Versicherungen

DORA, BAIT, MaRisk, VAIT, Solvency II — die Aufsichtsdichte ist hoch, die Bedrohungslage ebenfalls. Unsere Plattform mappt jede Meldepflicht auf automatisierte Workflows mit SHA-512-Signatur.

Banken & Finanzdienstleister
DORABAITMaRisk AT 7.2KWGZAGSWIFT CSPPSD2TIBER-DEMaCompPCI DSSGwG / AMLBaFin
Typische Bedrohungen
  • SWIFT-Fraud (Carbanak-Pattern)
  • APT-Gruppen (Lazarus, FIN7)
  • Ransomware auf Kernbanken-Systemen
  • Insider-Fraud auf Treasury-Konten
Plattform-Antwort
  • Engine-Arena auf Transaktions-Anomalien (MT-Messages)
  • Honey-Canary auf Treasury- und Admin-Accounts
  • DORA-4h-Meldekette mit automatisiertem BaFin-Entwurf
  • 10-Jahre-Retention revisionssicher (WORM-kompatibel)
Versicherungen
VAITVAG §23–26Solvency IIMaGoORSADORADSGVO Art. 9IDDVVGBSI-GrundschutzISO 27001BaFin
Typische Bedrohungen
  • Ransomware auf Bestandssystemen
  • Gesundheitsdaten-Diebstahl (Art. 9 DSGVO)
  • Claims-Manipulation durch Insider
  • Makler-Phishing & Credential-Stuffing
Plattform-Antwort
  • Mandantenfähigkeit für Konzerntöchter (Life, Kranken, Sach)
  • Claims-Anomalie-Detection via Engine-Arena
  • DSGVO-72h-Entwurf automatisch, gerichtsfest
  • Honey-Canary in Policy-DBs für Datendiebstahl-Früherkennung
Praxis-Szenario — Banken: SWIFT-MT103 um 03:17 Uhr

Engine-Arena erkennt MT103 mit ungewöhnlichem Korrespondenzbank-Pfad. KI-SPEZIAL SecOps: 96, SIEM LLAMA: 94, MiniMax: 91 — Konsens 93,7 %. Playbook contain_swift_fraud aktiviert: MT-Gateway pausiert, Treasury-CISO alarmiert, DORA-Entwurf an BaFin vorausgefüllt, SHA-512-PDF eingereicht nach 2h 12m — deutlich unterhalb der 4h-Frist.

HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 7
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
06
Branchen · Energie & Versorgung

Stadtwerke & Energieversorger

KRITIS nach §8a BSIG, IT-Sicherheitskatalog der BNetzA, ISO 27019, B3S Strom/Wasser, IEC 62443 — und eine Bedrohungslage auf Nation-State-Niveau (Sandworm, Volt-Typhoon).

Stadtwerke & kommunale Versorger
KRITIS-DachG§8a BSIGEnWG §11 Abs. 1a/1bISO 27019ISO 27001IT-Sicherheitskatalog BNetzANIS2UmsuCGB3S WasserMsbGTSM
Typische Bedrohungen
  • OT-Angriffe via IT-Brückenkopf
  • Ransomware auf Kunden- und Billing-Systemen
  • Supply-Chain via SCADA-Hersteller
  • Fernwartungs-VPN als Einfallstor
Plattform-Antwort
  • Read-only OT-Telemetrie via passive Taps — Leittechnik bleibt unberührt
  • IT/OT-Korrelation via Engine-Arena (Brückenkopf-Pattern)
  • Zwei-Phasen BNetzA/BSI-Meldung (unverzüglich + 24h)
  • Containment nur IT-seitig — OT-Versorgung redundant
Energieversorger (ÜNB/VNB/EVU)
KRITIS Strom/Gas§8a BSIGEnWG §11IT-Sicherheitskatalog BNetzAISO 27019NIS2UmsuCGB3S StromSMGW-BSI (TR-03109)IEC 62443IEC 61850REMIT/ACER
Typische Bedrohungen
  • Sandworm & BlackEnergy (APT Nation-State)
  • Volt-Typhoon auf Jumphosts der Leittechnik
  • Ransomware auf Marktprozess-IT (MaBiS, REMIT)
  • Supply-Chain über Smart-Meter-Gateways
Plattform-Antwort
  • Nation-State-IoC-Feeds (Sandworm, Volt-Typhoon) permanent
  • SMGW-Telemetrie — Massen-Anomalien erkennbar
  • DEFCON-Automatik mit Versorgungsprio — kein Blackout-Risiko
  • 24/7 BSI-KRITIS-Meldekette, signiert, per Kurier einreichbar
Praxis-Szenario — Energieversorger: Volt-Typhoon auf Jumphost

Ein bekannter Volt-Typhoon-C2-Host wird vom Leittechnik-Jumphost kontaktiert. Engine-Arena-Konsens: 98 % → DEFCON 1. Jumphost wird isoliert, alle Fernwartungs-Sessions terminiert. Die Leittechnik bleibt über redundante Pfade erreichbar — Netzstabilität ist ungefährdet. BSI-KRITIS-Meldung binnen 47 Min., BNetzA-Folgebericht nach 18 h. Alle Artefakte SHA-512-signiert.

HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 8
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
07
Kostenvergleich

Eigenes SOC vs. Managed SOC

Der nüchterne Vergleich: Ein eigenes 24/7-SOC erfordert 5+ FTE, SIEM-Lizenzen, Hardware und bindet jährlich Budgets im sechsstelligen Bereich — plus Personalrisiko. Unser Managed SOC deckt dieselben Anforderungen ab, ohne diese Aufbauarbeit.

MerkmalEigenes SOCManaged SOC · HostSpezial
Kosten & Investition
Setup-Investitionsechsstellig einmaligkein Setup-Fee
SIEM/EDR-Lizenzen p.a.eigene Lizenzierunginklusive
Personalkosten 24/7 p.a.5+ FTE, sechsstelliganteilig im Service
Kosten-Gesamtbild Jahr 1hoch sechsstelligschlüsselfertig
Personal & Expertise
24/7-Besetzung5+ FTE nötigimmer besetzt
Recruiting-Dauer pro Analyst6–12 Monatekein Recruiting
Incident-Erfahrungnur eigene Fälleüber viele Mandanten
Technik & Betrieb
Time-to-Value6–12 Monate2–4 Wochen
KI-Engineseigenes Training nötig3 Engines in Arena
Datenhoheitbei Eigenbetrieb100 % on-prem DE
Compliance & Reporting
NIS2/DORA-MeldeworkflowEigenentwicklungaudit-ready
Gerichtsfeste Exporteselbst erstellenSHA-512 + HMAC
Cyber-Versicherungaufwändige Nachweiseanerkannt
Ergebnis: signifikante Einsparung bei besserer Abdeckung

Bei gleicher Abdeckung und besseren Response-Zeiten als die meisten Inhouse-Teams — weil wir Plattform und Service unter einem Dach entwickeln. Inhouse sinnvoll für Konzerne > 1.000 MA mit eigenem Security-Team; für den Mittelstand und KRITIS-Betreiber unterhalb dieser Größe wirtschaftlich selten darstellbar. Konkretes Angebot nach unverbindlichem Assessment.

HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 9
HOSTSPEZIALManaged SOC & KI-SIEM-Plattform 2026
08
Onboarding & Kontakt

In 2–4 Wochen zum 24/7-Betrieb.

Keine monatelangen Projekte, keine Berater-Armee. Fünf klare Schritte — am Ende steht ein voll überwachtes SOC, signierte Meldepflicht-Workflows und ein CISO, der nachts schlafen kann.

Live-Demo der Plattform — 30 Minuten

Kein PowerPoint. Engine-Arena, DEFCON-Automatik, Honey-Canary, signierter NIS2-PDF-Export — alles live an echten Daten. Danach individuelles Angebot basierend auf Ihrem Schutzbedarf.

Telefon

+49 9571 873149
Mo–Fr · 8–18 Uhr

E-Mail

info@hostspezial.de
Antwort < 24 h

Web

hostspezial.de
/soc-plattform.html

© 2026 HostSpezial GmbH · Vertraulich · Stand: April 2026 · Dokument: HSP-SOC-2026 · www.hostspezial.de/managed-soc.html

HostSpezial GmbH · Managed SOC & KI-SIEM-Plattform 2026Seite 10