SOC Kompendium · Edition 2026

Drei Wege zum 24/7-SOC.
Eine Entscheidungsmatrix.

Open-Source-SIEM, Managed SOC als Service oder unsere eigene KI-SOC-Plattform mit Engine-Arena? Diese Seite vergleicht alle drei, zeigt welche Lösung für welches Profil passt — und hilft Ihnen, in zwei Minuten die richtige zu finden.

Wazuh · Open Source Managed SOC 24/7 KI-SOC-Plattform · Engine-Arena on-prem DE · NIS2 · DORA · KRITIS
Drei Lösungs-Pfeiler

Von Open Source bis eigener KI-Arena — drei Stufen, ein Ziel.

Jede Lösung hat ihre Berechtigung. Welche passt: hängt von Größe, Branche, Compliance-Anforderungen und Team-Stärke ab.

Open Source · Basis

Wazuh SIEM

Managed Open-Source-SIEM

Die bewährte Open-Source-SIEM-Plattform, professionell von uns betrieben. Log-Management, FIM, Vulnerability-Assessment, MITRE-ATT&CK-Detection. Ohne Lizenzkosten.

  • Über 3.200 Detection-Regeln out-of-the-box
  • NIS2 / ISO 27001 / PCI-DSS Compliance-Reports
  • File Integrity Monitoring, Vulnerability Assessment
  • Tuning, Rule-Entwicklung & Patch-Management durch uns
  • Deutsches Rechenzentrum, DSGVO-konform
Wazuh-Lösung ansehen
Am besten für: KMU 10–100 Arbeitsplätze · NIS2-Einstieg · budget-bewusst · ohne eigenes SOC-Team, aber mit IT-Admin
Service · 24/7

Managed SOC

24/7 Analysten-Team aus Deutschland

Unser Security Operations Center als Service. Zertifizierte Analysten überwachen Ihre Infrastruktur rund um die Uhr, eskalieren nur bestätigte Bedrohungen und begleiten Meldepflichten an BSI, BaFin, BNetzA.

  • 24/7 besetztes Analysten-Team (MTTR < 15 min)
  • Incident Response mit forensischer Spurensicherung
  • NIS2-, DORA- und KRITIS-Meldepflicht-Begleitung
  • Monatliche Executive-Reports + Quartals-Reviews
  • Läuft optional auf Wazuh oder unserer KI-Plattform
Managed SOC ansehen
Am besten für: regulierte Mittelständler · Versicherungen · Banken-Tochtergesellschaften · alle mit NIS2-/DORA-Pflicht, die kein eigenes 24/7-Team bauen wollen
Eigene KI-Plattform · Top

KI-SOC-Plattform

Engine-Arena · on-prem vLLM

Unsere eigenentwickelte SOC-Plattform mit drei parallelen vLLM-KI-Engines: KI-SPEZIAL SecOps, SIEM LLAMA, MiniMax. Honey-Canary-Früh­warnung, DEFCON-Automatik, gerichtsfeste PDF-Exporte. 100 % on-prem in Deutschland.

  • Engine-Arena: 3 vLLM-Engines parallel, RAG auf Playbooks
  • Honey-Canary-Endpunkte · Insider-Erkennung
  • DEFCON-Automatik mit fünf Eskalations-Stufen
  • SHA-512 + HMAC signierte PDFs — gerichtsfest
  • Mandantenfähig ab Tag 1 (MSP & Konzern)
SOC-Plattform ansehen
Am besten für: KRITIS-Betreiber · Energieversorger · Banken mit DORA · MSPs mit Mandantenfähigkeit · alle mit harten On-Prem- und Datenhoheits-Anforderungen
Decision-Matrix

In drei Klicks zur passenden Lösung.

Wählen Sie Unternehmensgröße, Compliance-Anforderung und Security-Team-Größe — die Matrix schlägt die passende Lösung vor.

Welche SOC-Lösung passt zu Ihnen?

Keine Pflichtfelder, kein Registrieren. Alle Berechnungen laufen lokal in Ihrem Browser.

1. Unternehmensgröße
2. Compliance-Anforderung
3. Eigenes Security-Team?
Empfehlung
Bitte Auswahl treffen

Wählen Sie oben Größe, Compliance und Team-Stärke. Die Matrix schlägt die passende Lösung vor — mit kurzer Begründung.

Capability-Matrix

Was kann welche Lösung wirklich?

30 Kernfähigkeiten über vier Kategorien — Detection, KI & Automation, Compliance und Betrieb. Kein Marketing-Tabellensalat, sondern ehrlich: wo ist Wazuh stark, wo das Managed SOC, wo die eigene Plattform?

Fähigkeit Wazuh SIEM Managed SOC KI-SOC-Plattform
Detection & Monitoring
Log-Management & RetentionSIEM-Grundfunktion Solide Erweitert Skalierend
MITRE ATT&CK Coverageaktives Mapping der Detection-Regeln
File Integrity MonitoringWazuh-Stärke Native Betreut Integriert
Vulnerability Assessment Built-in Gemanaged Korreliert
Honey-Canary-FrühwarnungKöder-Endpunkte für Insider & Lateral Movement
OT / SCADA-Integrationread-only Telemetrie
KI & Automation
KI-Engines parallel (Arena)mehrere vLLMs in Konsens/Dissens 3 Engines on-prem
Explainable AI / RAGZitate aus eigenen Playbooks
Automatisierte Playbooks (SOAR)
DEFCON-Automatikfünf Eskalations-Stufen automatisch
Suspicion-Score & Actor-Profile
Rule-Quality-Scoring / Blindspot
Compliance & Reporting
NIS2-/KRITIS-Meldepflicht-Workflow Reporting Begleitet Signiert
DORA 4h-Meldung (Banken)
SHA-512 + HMAC signierte PDFsgerichtsfeste Dokumentation
ISO 27001 / 27019 / B3S-Ready Basis Begleitet Audit-Ready
Betrieb & Personal
24/7-Analysten-Team
MandantenfähigkeitMSP / Konzern-Tochter-Szenario
Time-to-Value 2–6 Wochen 2–4 Wochen 2–4 Wochen
Eigene Hardware / Lizenzkosten keine inklusive inklusive
100 % on-prem in Deutschland
voll unterstützt optional / teilweise nicht in dieser Stufe Basis — Grundfunktion out-of-the-box Adv. — durch Team gemanaged Pro — mit KI-Orchestrierung
Capability-Radar

Jede Lösung hat ihr Stärke-Profil.

Sechs Dimensionen — Detection, KI, Automation, Compliance, 24/7-Ops, Kosteneffizienz. Die Radare zeigen visuell, wo welche Lösung glänzt.

Wazuh SIEM

Open Source · Managed
Detection KI Automation Compliance 24/7-Ops Cost-Eff.
Detection80
KI30
Automation50
Compliance70
24/7-Ops40
Cost-Eff.95

Managed SOC

Service · 24/7-Team
Detection KI Automation Compliance 24/7-Ops Cost-Eff.
Detection90
KI65
Automation80
Compliance90
24/7-Ops100
Cost-Eff.70

KI-SOC-Plattform

Engine-Arena · on-prem
Detection KI Automation Compliance 24/7-Ops Cost-Eff.
Detection95
KI100
Automation95
Compliance100
24/7-Ops100
Cost-Eff.60
KI-Beratung · Experimentell

Frag die Matrix-KI.

Beschreiben Sie kurz Ihre Situation. Unsere lokale Matching-Logik schlägt eine passende Lösung vor — läuft komplett im Browser, ohne Datenversand.

Matrix-Matching

Lokale Heuristik, keine externe KI. Datenschutzfreundlich by design.

> Bereit. Beschreiben Sie Ihre Situation oder klicken Sie eine der Vorlagen oben.
Architektur-Dreiklang

Die Lösungen sind kombinierbar — nicht exklusiv.

Sie können mit Wazuh einsteigen, später Managed SOC dazubuchen und bei KRITIS-Eintritt auf die KI-Plattform skalieren. Ohne Rip-and-Replace.

1

Basis-Layer · Wazuh SIEM

Log-Collection, Detection, Vulnerability Assessment
Open Source 3.200+ Rules FIM
Die bewährte SIEM-Engine als Fundament. Sammelt alle Logs, wendet Detection-Regeln an, führt FIM und Vulnerability-Scans durch. Bleibt im Stack auch dann, wenn man später aufstockt — kein Lock-in.
2

Service-Layer · Managed SOC

24/7 Analysten-Team, Incident Response, Meldepflicht
24/7 MTTR < 15 min NIS2/DORA
Über die Detection-Basis legt sich unser SOC-Team. Analysten triagieren Alerts, führen Incident Response durch, begleiten Meldepflichten. Nutzt Wazuh, unsere eigene Plattform oder beliebiges SIEM Ihrer Wahl.
3

Intelligence-Layer · KI-SOC-Plattform

Engine-Arena, Honey-Canary, DEFCON-Automatik, RAG, signierte PDFs
3× vLLM on-prem DE SHA-512 Mandantenfähig
Die eigentliche KI-Schicht. Engine-Arena bewertet jeden Alert durch drei unabhängige vLLM-Engines. Honey-Canary-Endpunkte erkennen Insider und laterale Bewegung. DEFCON-Automatik eskaliert nach klaren Regeln. SHA-512-signierte PDFs machen jede Meldung gerichtsfest.
Use-Cases · Branchen

Welche Lösung für welche Situation?

Fünf typische Profile. Für jedes eine klare Empfehlung — mit Begründung, nicht mit Marketing.

Mittelständisches Maschinenbau-Unternehmen, 80 MA

NIS2 wird ab 2025 zur Pflicht. Kein eigenes Security-Team, aber ein engagierter IT-Admin. Log-Quellen: Windows-Server, Firewall, M365, vereinzelt Linux. Budget begrenzt. Ziel: dokumentiertes Monitoring, Erkennung von Ransomware und Phishing.

Die Situation ist klassisch: Eine Cloud-SIEM mit Pay-per-EPS ist für 80 MA schon teuer, ein Managed SOC erscheint zunächst überdimensioniert. Das Managed Wazuh SIEM bringt alles Wichtige: Detection, Compliance-Reports, FIM. Wir betreiben und tunen es, der IT-Admin kann eskalieren wenn nötig.

Empfehlung
Managed Wazuh SIEM
Open-Source ohne Lizenzkosten, NIS2-Reports out-of-the-box, flexibel erweiterbar. Später ggf. Managed SOC dazubuchen, wenn 24/7-Reaktion nötig wird.
NIS2 günstig skalierbar
Wazuh SIEM ansehen

Versicherungskonzern mit drei Tochtergesellschaften (Life, Kranken, Sach)

VAIT, DORA, DSGVO Art. 9 auf Gesundheitsdaten. Jede Tochter hat eigene Policen-DBs. Ein Incident in einer Tochter darf die anderen nicht treffen. Reporting muss pro Tochter an BaFin und Landesdatenschutzbehörden gehen.

Die Anforderung ist klar: Mandantenfähigkeit ab Tag 1, Art.-9-Schutz, DORA-Meldekette. Das Managed SOC auf unserer KI-SOC-Plattform trennt die Töchter auf DB-, Netzwerk- und KI-Inferenz-Ebene. Engine-Arena erkennt Claims-Manipulation und Honey-Canary-Zugriffe auf VIP-Policen.

Empfehlung
Managed SOC + KI-Plattform
Kombination aus Service und Plattform nötig wegen Mandantenfähigkeit, DSGVO-Art.-9 und DORA. Tochter-Containment ohne Konzern-Übergriff.
VAIT DORA DSGVO Art. 9
SOC-Plattform ansehen

Regionalbank, DORA ab Januar 2025 pflichtig

BAIT, MaRisk AT 7.2, SWIFT CSP. Eigenes kleines Security-Team, aber ohne 24/7-Besetzung. Transaktions-Monitoring auf SWIFT-Gateway ist geschäftskritisch. Meldepflicht an BaFin innerhalb 4 Stunden bei schwerwiegenden Vorfällen.

Die 4-Stunden-Frist ist das Pain-Point. Unsere KI-SOC-Plattform mit Engine-Arena analysiert MT-Messages in Echtzeit, erkennt Korrespondenzbank-Anomalien, startet automatisch den DORA-Entwurf und liefert SHA-512-signierte PDFs. Das Bank-Team bestätigt und reicht ein — in der Regel weit unterhalb der 4-Stunden-Frist.

Empfehlung
KI-SOC-Plattform (Service + Software)
DORA-4h-Workflow, SWIFT-Fraud-Detection, gerichtsfeste PDFs. Das eigene Team bleibt erhalten, wir bringen 24/7-Abdeckung und KI-Orchestrierung.
DORA BAIT SWIFT CSP
SOC-Plattform ansehen

Verteilnetzbetreiber Strom, 600 MA, KRITIS

§8a BSIG, IT-Sicherheitskatalog BNetzA, ISO 27019, B3S Strom. Bedrohungslage: Nation-State (Sandworm, Volt-Typhoon). IT- und OT-Netze getrennt, Leittechnik mit SCADA und IEC 61850. Fernwartungs-VPN von Anlagenherstellern.

Hier ist kein Spielraum für Experimente. Die KI-SOC-Plattform bringt IoC-Feeds mit Nation-State-Fokus, read-only OT-Telemetrie (Leittechnik bleibt unberührt), DEFCON-Automatik mit Versorgungsprio und die zweistufige BNetzA-Meldekette (unverzüglich + 24h-Folgebericht).

Empfehlung
KI-SOC-Plattform
Nur die Plattform deckt die OT-Integration, Nation-State-IoCs, Meldeketten und Versorgungsprio ab. Keine Experimente bei KRITIS.
KRITIS §8a BSIG IEC 62443
SOC-Plattform ansehen

MSP mit 20 Endkunden zwischen 10 und 200 MA

Endkunden aus gemischten Branchen: Produktion, Handel, Dienstleister. Einige NIS2-pflichtig, andere freiwillig. Der MSP will eine zentrale Plattform, auf der er alle Kunden sauber getrennt überwacht — ohne für jeden Kunden eine eigene Infrastruktur aufzubauen.

Die Mandantenfähigkeit ist das Herzstück. Unsere KI-SOC-Plattform ist ab Tag 1 mandantenfähig: Tenant-Isolation auf DB-, Netzwerk- und Inferenz-Ebene, je Mandant eigene Regeln und Playbooks. Der MSP behält die Kundenbeziehung, wir liefern Plattform und optional SOC-Analysten.

Empfehlung
KI-SOC-Plattform (Mandantenmodus)
Weiße-Label-fähig, saubere Tenant-Trennung, Background-Queue skaliert pro Mandant. Managed SOC optional dazubuchbar.
MSP-ready Multi-Tenant White-Label
SOC-Plattform ansehen
Häufige Fragen

Entscheidungs-FAQ

Die sechs Fragen, die jedes Gespräch zu diesem Thema eröffnen.

Mittelstand unter 50 Arbeitsplätzen ohne eigenes Security-Team: Managed Wazuh SIEM reicht meist aus. Regulierte Unternehmen mit NIS2- / DORA-Pflicht: Managed SOC mit 24/7-Analysten-Team. KRITIS, Banken, Energieversorger und MSPs mit Mandantenfähigkeit: unsere eigene KI-SOC-Plattform mit Engine-Arena. Die drei Lösungen lassen sich auch kombinieren.

Wazuh ist eine bewährte Open-Source-SIEM-Plattform für Log-Management, Detection und Compliance. Unsere SOC-Plattform geht darüber hinaus: drei parallele vLLM-KI-Engines (KI-SPEZIAL SecOps, SIEM LLAMA, MiniMax) in der Arena, Honey-Canary-Endpunkte, DEFCON-Automatik, SHA-512-signierte PDF-Exporte, Mandantenfähigkeit ab Tag 1. Unsere Plattform nutzt Wazuh-Komponenten intern, erweitert sie aber um KI- und Orchestrierungs-Logik.

Ja. Wir übernehmen Ihr bestehendes Wazuh oder SIEM als Managed-Service und setzen unsere SOC-Analysten drauf. Optional kann unsere SOC-Plattform als zusätzliche KI-Layer über Ihr Bestandssystem gelegt werden — ohne Rip-and-Replace.

Drei spezialisierte vLLM-Engines bewerten jeden Alert parallel: KI-SPEZIAL SecOps als Security-Spezialmodell, SIEM LLAMA für Log-Kontext, MiniMax als unabhängige Audit-Engine. Konsens über 85 % triggert Automatik, Dissens eskaliert an den Analysten. Alles 100 % on-premises, keine Daten an OpenAI, Anthropic oder DeepSeek.

NIS2 / NIS2UmsuCG, DORA (ab 2025 für Finanzdienstleister), KRITIS nach §8a BSIG, DSGVO inkl. Art. 9, ISO 27001, ISO 27019, BAIT, VAIT, BSI-Grundschutz, IT-Sicherheitskatalog der BNetzA, IEC 62443 und B3S Strom / Wasser. Meldeworkflows sind automatisiert und gerichtsfest signiert.

Managed Wazuh SIEM ist der günstigste Einstieg, weil ohne Lizenzkosten und mit geringem Integrationsaufwand. Managed SOC kostet mehr, bringt aber 24/7-Analysten. Die KI-SOC-Plattform ist die Top-Variante für KRITIS-Betreiber mit DORA- / NIS2-Pflicht. Konkretes Angebot nach unverbindlichem Assessment.

Sprechen Sie mit unseren Analysten.

30 Minuten Live-Demo mit echten Daten aus allen drei Lösungen — Wazuh, Managed SOC, KI-SOC-Plattform. Anschließend individuelles Angebot basierend auf Ihrem Schutzbedarf.

Beratung anfragen Kompendium als PDF