SOC einführen: Die komplette Anleitung für den Mittelstand 2026

Die kurze Antwort: Ein Security Operations Center (SOC) ist die zentrale Einheit, die rund um die Uhr Sicherheitsereignisse in Ihrer IT überwacht, Angriffe erkennt und auf Vorfälle reagiert. Für den deutschen Mittelstand ist ein SOC ab etwa 50 bis 100 Endgeräten wirtschaftlich sinnvoll, mit NIS-2 für viele Unternehmen sogar regulatorisch erforderlich. Die zentrale Frage lautet selten "ob", sondern "wie": eigenes SOC, SOC as a Service oder Co-Managed Modell. Diese Anleitung zeigt Bausteine, Kosten und den realistischen Weg zum produktiven Betrieb.

Als Palo Alto Networks Silver Partner und ISO-27001-zertifiziertes Unternehmen betreibt Blueteam SOC-Dienste auf Basis der Cortex-Plattform für mittelständische Kunden in Deutschland, einschließlich KRITIS-naher Umgebungen. Dieser Beitrag richtet sich an IT-Leiter, CISOs und Geschäftsführer, die einschätzen wollen, was ein SOC kostet, leistet und wann sich der Aufbau eines eigenen SOC im Vergleich zum Managed-Service-Modell rechnet.

Was ist ein SOC und für wen lohnt sich der Aufbau?

Ein Security Operations Center (SOC) ist die organisatorische und technische Einheit, die kontinuierlich Sicherheitstelemetrie aus Ihrer IT auswertet, Anomalien erkennt, Angriffe analysiert und Gegenmaßnahmen einleitet. Der Begriff umfasst dabei drei Dimensionen: Menschen (Analysten), Prozesse (Playbooks, Eskalationsstufen) und Technologie (SIEM, EDR, XDR, SOAR). Wer eine dieser Dimensionen weglässt, betreibt kein SOC, sondern ein Tool.

Im Mittelstand lohnt sich ein SOC ab etwa 50 verwalteten Endgeräten. Unterhalb dieser Schwelle reichen oft Endpoint-Schutz und manuelle Analyse. Oberhalb wird die Angriffsfläche so groß, dass ohne durchgängige Überwachung kritische Vorfälle systematisch übersehen werden. Die durchschnittliche Erkennungszeit (Mean Time to Detect, MTTD) eines Angriffs ohne SOC liegt branchenweit bei mehreren Wochen, mit professionellem SOC bei wenigen Stunden.

Die fünf Bausteine eines modernen SOC

Ein produktiver SOC-Stack besteht aus fünf abgestimmten Komponenten. Jede Komponente löst ein spezifisches Problem, fehlende Bausteine reißen Lücken in die Erkennungskette.

1. SIEM (Security Information and Event Management)

Das SIEM ist die zentrale Logaggregation. Es sammelt Ereignisdaten aus Firewalls, Servern, Endpoints, Applikationen und Identity-Providern und korreliert sie zu Alerts. Marktführer im Mittelstand sind aktuell Microsoft Sentinel, Elastic Security, Palo Alto XSIAM und Splunk. Open-Source-Alternativen wie Wazuh sind technisch tragfähig, erfordern aber deutlich mehr Eigenbetrieb.

2. EDR (Endpoint Detection and Response)

EDR sitzt direkt auf jedem Endgerät und erkennt Angreifer-Verhalten auch dann, wenn klassische Signaturen versagen. Cortex XDR von Palo Alto, Microsoft Defender for Endpoint und SentinelOne sind die häufigsten Lösungen in unseren Projekten. EDR ohne SIEM-Anbindung bleibt eine Insellösung.

3. XDR (Extended Detection and Response)

XDR erweitert EDR um Daten aus Netzwerk, Cloud und Identitäten. Statt isolierter Endpoint-Sicht entsteht eine korrelierte Sicht auf den gesamten Angriffsverlauf. Cortex XSIAM ist die XDR-Plattform, mit der Blueteam die meisten SOC-Projekte umsetzt, weil sie SIEM-, EDR- und SOAR-Funktionen in einer Plattform bündelt.

4. SOAR (Security Orchestration, Automation and Response)

SOAR automatisiert die Reaktion auf wiederkehrende Vorfälle. Ein typisches Playbook: Phishing-Mail erkennen, betroffenen Anhang automatisch in der Sandbox detonieren, Mailbox-Suche nach weiteren Empfängern, Quarantäne-Move, Ticket im ITSM-System anlegen. Was ein Analyst manuell in 30 Minuten erledigt, schafft ein SOAR-Playbook in 30 Sekunden.

5. Threat Intelligence

Threat Intelligence speist Indicators of Compromise (IOCs) und Angreifer-Taktiken (TTPs) ins SIEM. Ohne aktuelle Bedrohungsdaten erkennt das beste SIEM nur, was es schon einmal gesehen hat. Quellen reichen von kommerziellen Feeds (Mandiant, Recorded Future) über kostenlose Quellen (CISA, BSI) bis zu Vendor-eigenen Feeds wie Unit 42 von Palo Alto Networks.

In-House SOC, SOC as a Service oder Co-Managed: Welches Modell passt?

Diese Entscheidung treibt 80 Prozent der Projektkosten und sollte vor jeder Toolauswahl getroffen werden.

In-House SOC

Ein eigenes 24/7-SOC erfordert mindestens 8 bis 12 Vollzeitanalysten in mehreren Schichten plus Schichtleitung, Engineering und Threat Hunting. Personalkosten allein liegen bei 800.000 bis 1,5 Mio. EUR pro Jahr. Lohnt sich erst ab etwa 1.000 Mitarbeitern oder bei besonders hohen Compliance-Anforderungen (TISAX Level 3, BAIT, KRITIS).

SOC as a Service (SOCaaS)

Hier übernimmt ein externer Dienstleister Tools, Personal und Prozesse. Vorteil: planbare Kosten, sofortige 24/7-Abdeckung, keine eigene Personalbindung. Nachteil: Kontextwissen über Ihre IT muss sich erst aufbauen, sensible Daten verlassen das Haus. Realistisch ab 30 EUR pro Endgerät und Monat in Mittelstandsumgebungen.

Co-Managed SOC

Das Modell, das in unseren Projekten am häufigsten gewählt wird. Plattform und 24/7-Betrieb liegen beim Partner, der Kunde behält den Tier-1-Filter, das Asset-Wissen und die finale Entscheidung über Reaktionen. Geeignet für Unternehmen ab etwa 100 Mitarbeitern mit eigener IT-Abteilung. Kosten typisch 20 bis 35 EUR pro Endgerät und Monat plus initiale Plattform-Lizenz.

Was kostet ein SOC realistisch?

Die Frage lässt sich nur mit Kontext beantworten. Hier eine ehrliche Größenordnung für eine typische Mittelstandsumgebung mit 250 Endpunkten, 30 Servern und einem Standort.

• SOC as a Service mit Cortex XSIAM: 8.000 bis 14.000 EUR pro Monat netto, alles inklusive (Plattform, 24/7-Monitoring, Incident Response, Reporting)
• Co-Managed SOC: 5.000 bis 9.000 EUR pro Monat netto, plus eine einmalige Onboarding-Investition zwischen 15.000 und 30.000 EUR
• In-House SOC mit Microsoft Sentinel: 80.000 bis 150.000 EUR pro Jahr Sentinel-Kosten plus Personalkosten von 800.000 EUR aufwärts für 24/7-Schichten

Vergleichen Sie diese Zahlen mit den Kosten eines Sicherheitsvorfalls: Der durchschnittliche Schaden eines Ransomware-Vorfalls im deutschen Mittelstand liegt laut BSI-Lagebericht bei 250.000 bis 1,2 Mio. EUR plus Reputationsschaden. Ein SOC amortisiert sich häufig schon mit dem ersten verhinderten Vorfall.

NIS-2, KRITIS und DORA: SOC als regulatorische Pflicht

Mit der NIS-2-Richtlinie weiten sich die Pflichten zur Vorfallserkennung erheblich aus. Betroffen sind in Deutschland nicht mehr nur klassische KRITIS-Sektoren, sondern alle Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in 18 Sektoren, darunter Maschinenbau, Lebensmittel, Chemie, Logistik und IT-Dienstleister.

NIS-2 verlangt ausdrücklich: kontinuierliche Überwachung, Vorfallserkennung mit angemessenen Reaktionszeiten, Meldepflicht innerhalb von 24 Stunden und Nachweis der Wirksamkeit der eingesetzten Maßnahmen. Diese Anforderungen sind ohne SOC oder vergleichbare Strukturen kaum erfüllbar. Wer NIS-2 mit reinem Antivirus und Backup begegnen will, riskiert Bußgelder von bis zu 10 Mio. EUR oder 2 Prozent des Jahresumsatzes.

Für Finanzdienstleister gilt zusätzlich DORA, für KRITIS-Betreiber das BSI-Gesetz mit Paragraph 8a-Pflichten. In all diesen Regelwerken ist eine SOC-Funktion zwar nicht namentlich vorgeschrieben, aber faktisch notwendig.

Wie ein SOC-Projekt typischerweise verläuft

Ein realistisches SOC-Onboarding läuft in vier Phasen über etwa drei bis fünf Monate.

Phase 1: Discovery und Use-Case-Workshop (2 bis 3 Wochen)

Bestandsaufnahme der Logquellen, Definition der Top-10-Use-Cases (zum Beispiel Lateral Movement, verdächtige Privilegieneskalation, Datenexfiltration), Festlegung der MTTD- und MTTR-Ziele.

Phase 2: Plattform-Onboarding (3 bis 6 Wochen)

Anbindung der Logquellen ans SIEM/XDR, EDR-Rollout auf alle relevanten Endpoints und Server, initiales Tuning der Korrelationsregeln, Aufbau erster SOAR-Playbooks für die häufigsten Reaktionen.

Phase 3: Tuning und Schulung (4 bis 8 Wochen)

Reduktion der False Positives, Anpassung der Alert-Schwellen an die individuelle Umgebung, Schulung der internen IT auf die neuen Eskalationsprozesse, Tabletop-Exercise mit simulierten Vorfällen.

Phase 4: Go-Live und kontinuierliche Verbesserung

Übergang in den 24/7-Regelbetrieb. Monatliche Service-Reviews mit Reporting zu erkannten Vorfällen, MTTD/MTTR-Entwicklung, neuen IOCs und Vorschlägen für zusätzliche Use-Cases.

Welche SOC-Plattform passt zu welchem Unternehmen?

Die Wahl der Plattform entscheidet über fünf bis zehn Jahre Architektur. Die wichtigsten Optionen für den Mittelstand:

• Palo Alto Cortex XSIAM: Konsolidierte Plattform für SIEM, EDR, XDR und SOAR. Stärken: hohe Automatisierung, exzellente Cloud-Performance, native Integration mit Palo Alto Firewalls. Geeignet für Unternehmen mit bestehendem Palo-Alto-Stack oder hohem Anspruch an Reaktionsgeschwindigkeit.
• Microsoft Sentinel: Cloud-natives SIEM auf Azure, sehr starke Integration mit Microsoft 365 und Defender. Geeignet für Microsoft-zentrierte Umgebungen, allerdings mit nutzungsbasierter Abrechnung, die bei hohem Logvolumen schnell teuer wird.
• Elastic Security: Open-Core-Lösung mit hervorragender Such- und Visualisierungs-Engine. Geeignet für Unternehmen mit eigener Engineering-Kompetenz und dem Wunsch nach maximaler Datenkontrolle. Höherer Eigenaufwand.
• Splunk Enterprise Security: Etablierte Enterprise-Lösung mit umfangreichen Inhalten. In der Anschaffung am teuersten, im Mittelstand selten erste Wahl.

Wann lohnt sich die SOC-Einführung mit einem Partner?

Die technischen Fähigkeiten lassen sich erlernen, der Schichtbetrieb nicht. Ein 24/7-SOC erfordert mindestens acht qualifizierte Analysten, dauerhafte Weiterbildung in einem schnell wachsenden Bedrohungsumfeld und einen Bereitschaftsdienst, der psychisch tragfähig bleibt. Für 95 Prozent der Mittelständler ist der eigene Aufbau weder wirtschaftlich noch personell realistisch.

Ein Partner-SOC bringt drei Vorteile, die intern kaum aufgebaut werden können:

• Sichtbarkeit über mehrere Kundenumgebungen hinweg, wodurch Angriffsmuster früher erkannt werden
• Eingespielte Reaktionsplaybooks aus echten Vorfällen statt Theorie
• Skaleneffekte bei Lizenzen, Threat Intelligence und Schichtbetrieb

Blueteam betreibt SOC-Dienste auf Cortex-Basis für mittelständische Kunden in Deutschland, einschließlich KRITIS-naher Umgebungen wie Untergrundgasspeicher, Pharmalogistik und produzierendes Gewerbe. Standardprojekte sind innerhalb von drei bis fünf Monaten produktiv, mit vollständiger Use-Case-Abdeckung, dokumentierten Reaktionsprozessen und monatlichem Reporting.

Häufige Fragen zum Security Operations Center

Was ist der Unterschied zwischen SOC, SIEM und MDR?

Ein SIEM ist die Software, die Logs aggregiert und Alerts erzeugt. Ein SOC ist die organisatorische Einheit aus Menschen, Prozessen und Technologie, die mit dem SIEM (und weiteren Tools) arbeitet. MDR (Managed Detection and Response) ist eine Dienstleistung, bei der ein externer Anbieter die SOC-Funktion übernimmt, oft auf eigener Plattform.

Was ist der Unterschied zwischen EDR, XDR und MDR?

EDR überwacht Endpunkte. XDR überwacht Endpunkte plus Netzwerk plus Cloud plus Identitäten in einer korrelierten Sicht. MDR ist die Dienstleistung darauf, also EDR oder XDR plus 24/7-Personal. Vereinfacht: EDR und XDR sind Werkzeuge, MDR ist ein Service.

Wie viele Mitarbeiter braucht ein eigenes 24/7-SOC?

Realistisch sind acht bis zwölf Vollzeitkräfte für reinen Tier-1-Schichtbetrieb (drei Schichten pro Tag mal sieben Tage plus Urlaubs- und Krankheitsabdeckung), dazu ein Schichtleiter und ein bis zwei Engineers für Tuning und Plattformbetrieb. Inklusive Threat Hunting eher zwölf bis fünfzehn Personen.

Wie lange dauert die Einführung eines SOC?

Bei sauberem Projektvorgehen drei bis fünf Monate von Auftrag bis produktivem 24/7-Betrieb. Die ersten Use-Cases liefern bereits nach vier bis sechs Wochen Erkennungswert. Die volle Reife mit getuntem Alerting und stabilen Playbooks ist nach etwa neun Monaten erreicht.

Welche Logquellen muss ein SOC mindestens überwachen?

Die fünf wichtigsten sind: Active Directory und Identity Provider, Firewalls, Endpoints (über EDR), E-Mail-Gateway und Cloud-Workloads (Microsoft 365, Azure, AWS). Wer diese fünf nicht durchgängig hat, betreibt eine Lücken-Erkennung. Empfehlenswert sind zusätzlich Webproxy, DNS-Logs und VPN-Konzentratoren.

Reicht für NIS-2 ein internes Monitoring oder braucht es ein SOC?

NIS-2 verlangt keine SOC-Bezeichnung, aber die Funktion: kontinuierliche Erkennung, Reaktion und Meldung innerhalb 24 Stunden. Praktisch ist das nur mit SIEM, EDR und 24/7-Bereitschaft erfüllbar, also einer SOC-Funktion. Pures Antivirus plus tägliche Logsichtung wird im Audit nicht standhalten.

Wann lohnt sich SOAR im Mittelstand?

SOAR rechnet sich ab etwa 50 sicherheitsrelevanten Alerts pro Tag. Darunter ist der Engineering-Aufwand für Playbooks oft höher als der manuelle Bearbeitungsaufwand. Im Co-Managed-Modell mit Cortex XSIAM ist SOAR allerdings standardmäßig integriert und liefert auch bei kleineren Volumina Mehrwert.

Kann ein SOC Cloud-Workloads in Azure und AWS überwachen?

Ja, modernes XDR ist genau dafür gebaut. Die wichtigsten Datenquellen sind dabei Activity Logs, IAM-Events, GuardDuty-Alerts (AWS) und Defender-for-Cloud-Alerts (Azure) sowie Workload-Telemetrie über Cloud-Workload-Protection-Plattformen.

Was passiert, wenn ein Vorfall um 3 Uhr nachts erkannt wird?

Bei einem produktiv eingerichteten SOC läuft das nach einem festgelegten Playbook: Tier-1-Analyst bewertet den Alert, eskaliert bei Bestätigung an Tier 2, Tier 2 leitet sofortige Eindämmungsmaßnahmen ein (Host-Isolation, Account-Sperrung), informiert den Notfallkontakt beim Kunden. Die meisten Eindämmungen sind innerhalb von 30 Minuten umgesetzt.

Fazit

Ein SOC ist im deutschen Mittelstand 2026 keine Kür mehr, sondern Pflicht. NIS-2, steigende Bedrohungslage und die einfache betriebswirtschaftliche Rechnung machen den Aufbau einer Erkennungs- und Reaktionsfunktion zu einer der wirtschaftlich vernünftigsten Sicherheitsinvestitionen. Die offene Frage ist nicht "ob", sondern "wie": ein eigenes SOC ist nur für die größten Mittelständler realistisch, SOC as a Service oder Co-Managed sind für 95 Prozent der Unternehmen das passende Modell.

Wer den Schritt richtig gehen will, beginnt mit einem ehrlichen Blick auf vorhandene Logquellen, klarer Zielsetzung über MTTD und MTTR und der Auswahl einer Plattform, die zur eigenen Infrastruktur passt. Eine Cortex-XSIAM-basierte Lösung im Co-Managed-Modell ist im Mittelstand inzwischen der Standard, weil sie 24/7-Betrieb, Automatisierung und planbare Kosten in einer Plattform vereint.

• Ein SOC ist die Kombination aus Menschen, Prozessen und Technologie für 24/7-Sicherheitsüberwachung
• Ab etwa 50 Endgeräten wirtschaftlich, mit NIS-2 ab 50 Mitarbeitern faktisch verpflichtend
• Co-Managed SOC ist im Mittelstand das passende Modell, typische Kosten 20 bis 35 EUR pro Endpoint und Monat
• Die fünf Bausteine sind SIEM, EDR, XDR, SOAR und Threat Intelligence
• Cortex XSIAM von Palo Alto ist die führende konsolidierte SOC-Plattform für mittelständische Umgebungen
• Blueteam betreibt SOC-Dienste als Palo Alto Networks Silver Partner für mittelständische und KRITIS-nahe Kunden in Deutschland

Offizielle Quellen und weiterführende Dokumentation

• BSI-Lagebericht zur IT-Sicherheit in Deutschland: bsi.bund.de
• NIS-2-Umsetzungsgesetz und Hinweise: bsi.bund.de/NIS-2
• Palo Alto Cortex XSIAM: paloaltonetworks.com
• MITRE ATT&CK Framework: attack.mitre.org

Jetzt kostenloses SOC-Erstgespräch vereinbaren →