Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

SOC und SIEM sind die Grundlage jeder professionellen Bedrohungserkennung. Dieser Artikel erklärt Aufbau und Betrieb eines SOC, SIEM-Architektur, Use Cases, Alert-Triage und die Frage: Eigenes SOC oder MSSP?

Inhaltsverzeichnis (8 Abschnitte)

Ein Security Operations Center (SOC) ist die Schaltzentrale für Cybersecurity-Überwachung und Incident Response. Das SOC kombiniert Menschen, Prozesse und Technologie - mit dem SIEM als technologischem Herzstück. Ohne funktionierendes SOC erkennen Unternehmen Angriffe durchschnittlich erst nach 194 Tagen (IBM Cost of a Data Breach 2024) - häufig nicht selbst, sondern durch externe Meldung.

Was ist ein SOC?

Ein SOC ist eine zentralisierte Funktion (Team + Infrastruktur) die kontinuierlich:

  1. Überwacht - alle IT-Systeme, Netzwerke, Cloud-Umgebungen
  2. Erkennt - Angriffe, Anomalien, Richtlinienverstöße
  3. Analysiert - Kontext, Relevanz und Schwere eines Alerts
  4. Reagiert - Eindämmung, Forensik, Wiederherstellung
  5. Verbessert - Lessons Learned, Detection-Regeln tunen

SOC-Rollen

SOC Tier 1 - Alert Triage Analyst: Überwacht die Alert-Queue 24/7, klassifiziert Alerts als True Positive oder False Positive und eskaliert komplexe Fälle an Tier 2.

SOC Tier 2 - Incident Responder: Führt tiefe Analysen eskalierter Incidents durch, klärt forensisch was passiert ist und wie weit ein Angriff reicht, und koordiniert die Remediation.

SOC Tier 3 - Threat Hunter / Senior Analyst: Sucht proaktiv nach versteckten Angreifern, entwickelt neue Detection-Regeln und integriert Threat Intelligence.

SOC Manager: Verantwortlich für KPIs und Reporting, Team-Entwicklung und Prozess-Optimierung.

Was ist ein SIEM?

Ein Security Information and Event Management (SIEM) ist die Plattform die alle Sicherheits-relevanten Logs zentralisiert und korreliert.

Log-Quellen die ein SIEM aggregiert:

  • Firewalls, IDS/IPS, WAF
  • Active Directory / Entra ID (Logon-Events)
  • Endpoint Security / EDR
  • Cloud-Logs (AWS CloudTrail, Azure Activity Log, GCP Audit)
  • Anwendungs-Logs (Web-Server, Datenbank, SAP)
  • DNS-Logs
  • E-Mail-Gateway-Logs
  • VPN-Logs

SIEM-Architektur

Log-Quellen (Firewall, EDR, Active Directory, Cloud-Logs, Endpoints) werden vom SIEM über einen Collector erfasst, normalisiert und angereichert. Eine Korrelations-Engine mit UEBA und ML-Engine analysiert die Daten und speist das Analysten-Interface mit Dashboards, Alert-Queue, Threat-Hunting-Oberfläche und Investigation-Workflows.

UEBA - User and Entity Behavior Analytics

Modernes Ergänzungsmodul zum SIEM:

  • Erstellt Baseline-Verhalten für jeden User und Host
  • Erkennt Abweichungen: "User greift nie auf Finanzserver zu - jetzt plötzlich ja"
  • Nützlich für Insider Threats und Stolen Credentials

SIEM Use Cases: Was wird erkannt?

Use Case 1: Brute Force / Credential Stuffing

Regel: Mehr als 10 fehlgeschlagene Logins eines Accounts innerhalb 5 Minuten und anschließend erfolgreicher Login. Alert: "Possible Brute Force + Successful Login". Sofortmaßnahme: Account sperren, User kontaktieren.

Use Case 2: DCSync-Angriff (Active Directory)

Regel: Replikations-Request vom DRSUAPI zu einem Domain Controller von einer Maschine, die kein Domain Controller ist. Alert: "Possible DCSync Attack (Golden Ticket Preparation)". Sofortmaßnahme: System isolieren, Forensik starten.

Use Case 3: Kerberoasting

Regel: Mehr als 20 TGS-Requests für verschiedene SPNs innerhalb von 2 Minuten von einem einzigen Account. Alert: "Possible Kerberoasting Activity". Sofortmaßnahme: Account analysieren, betroffene Service-Accounts prüfen.

Use Case 4: Lateral Movement

Korrelation über drei Log-Quellen: EDR meldet Mimikatz-ähnliche Aktivität auf Host A, das AD-Log zeigt Account X mit Pass-the-Hash als anderen User, die Firewall-Logs zeigen eine SMB-Verbindung von Host A zum DC01. Alert: "Confirmed Lateral Movement to Domain Controller". Sofortmaßnahme: P1 Incident, Netzwerksegmentierung aktivieren.

Use Case 5: Datenexfiltration

Regel: Mehr als 500 MB ausgehende Daten zu einer Domain, die unter 30 Tage alt ist, zwischen 02:00 und 05:00 Uhr. Alert: "Possible Data Exfiltration" mit Kontext zu betroffenem Host, User und Datenmenge.

SIEM-Markt: Führende Lösungen

LösungHerstellerPositionierung
Microsoft SentinelMicrosoftCloud-nativ, hervorragend für M365/Azure
Splunk Enterprise SecurityCisco/SplunkMächtiger Enterprise-Standard, teuer
IBM QRadarIBMEnterprise, on-premises Stärke
Google ChronicleGoogleCloud-native, AI-Integration
Elastic SIEMElasticOpen Source Basis, sehr flexibel
LogRhythmLogRhythmMid-Market SIEM + SOAR
WazuhWazuh (Open Source)Kostenlos, für KMU sehr geeignet

SOAR - Security Orchestration, Automation and Response

SOAR ergänzt das SIEM um automatische Reaktion:

# Beispiel SOAR Playbook: Phishing Alert
trigger: SIEM Alert "Phishing E-Mail erkannt"
actions:
  1. E-Mail automatisch unter Quarantäne stellen
  2. Alle ähnlichen E-Mails in Mailboxen suchen und löschen
  3. Absender-Domain auf Blacklist setzen
  4. Betroffene User benachrichtigen
  5. Ticket in ITSM erstellen
  6. SOC-Analyst über Slack informieren
# Manuell: Analyst bestätigt und schließt Ticket

SOAR reduziert Mean Time to Respond (MTTR) von Stunden auf Minuten.

SOC-Modelle: Eigenes SOC vs. MSSP

Eigenes SOC (In-House SOC)

Vorteile:

  • Vollständige Kontrolle und Datensouveränität
  • Tiefes Unternehmenswissen (Systeme, Prozesse, Business Context)
  • Keine Datenweitergabe an Dritte

Nachteile:

  • Hohe Kosten: 3-5 Vollzeit-Analysten für 24/7, plus SIEM-Lizenz
  • Schwieriges Recruiting (Fachkräftemangel)
  • Anfangsjahre oft mit hoher False-Positive-Rate (Tuning nötig)

Jahreskosten (Schätzung, Deutschland):

  • 3 Tier-1-Analysten (24/7 in Schichten): ~300.000 €/Jahr
  • 1 Tier-2/3-Analyst: ~90.000 €/Jahr
  • SIEM-Lizenz (Microsoft Sentinel / Splunk): 50.000-500.000 €/Jahr
  • Gesamt: 500.000 € - 1 Mio. € / Jahr

MSSP - Managed Security Service Provider

Vorteile:

  • Sofort operationell (Wochen statt Monate)
  • 24/7 ohne eigenes Recruiting-Problem
  • Umfassendes Threat Intelligence (Multi-Tenant Sichtbarkeit)
  • Planbare monatliche Kosten

Nachteile:

  • Datenweitergabe an Drittanbieter (Datenschutz beachten)
  • Weniger unternehmensspezifisches Wissen am Anfang
  • Abhängigkeit vom Anbieter

Marktführer DACH: Telekom Security, NTT Security, Atos, Controlware, DXC.

Hybrid-Modell (SOC-as-a-Service ergänzt intern)

Für Mittelstand oft optimal:

  • Interne IT/Security: Konfiguration, Asset Management, Business Context
  • MSSP: 24/7-Überwachung und Tier-1-Triage
  • Eskalation an interne Experten oder MSSP-Tier-2

KPIs für SOC-Performance

KPIBeschreibungZielwert
MTTDMean Time to Detect (Wie lange bis Angriff erkannt?)< 1 Stunde
MTTRMean Time to Respond (Wie lange bis Reaktion?)< 4 Stunden
False Positive RateAnteil von Alerts die kein echtes Problem sind< 10%
Alert BacklogUnbearbeitete Alerts in Queue0
Coverage% der Systeme die Logs senden> 95%
Dwell TimeWie lange war Angreifer unentdeckt?< 7 Tage

Compliance-Anforderungen

NIS2 Art. 21: Monitoring und Anomalie-Erkennung explizit gefordert für besonders wichtige Einrichtungen.

ISO 27001 A.8.15 (Logging): Aktivitätsaufzeichnung; A.5.25 (Incident Response) - SOC ist die organisatorische Umsetzung.

BSI IT-Grundschutz DER.1: Detektion von Sicherheitsvorfällen - detaillierte Anforderungen an Monitoring.

DORA (Finanzsektor): Art. 11 - kontinuierliches IKT-Monitoring als Pflicht für Finanzinstitute.

Aufbau-Roadmap: SOC in 12 Monaten

  • Monat 1-2: SIEM-Deployment, Log-Quellen anbinden (AD, Firewall, EDR)
  • Monat 3-4: Basis Use Cases entwickeln (15-20 Regeln), False Positive Rate senken
  • Monat 5-6: SOAR-Integration, erste Automatisierungen
  • Monat 7-9: Threat Hunting einführen, UEBA aktivieren
  • Monat 10-12: 24/7 Betrieb, Tier-1-Team ausgebildet

Alternativ: MSSP für erste 12-24 Monate, parallel intern Know-how aufbauen.

Quellen & Referenzen

  1. [1] NIST SP 800-61r3: Incident Response - NIST
  2. [2] MITRE ATT&CK for Enterprise - MITRE Corporation
  3. [3] Gartner Magic Quadrant for SIEM 2024 - Gartner
  4. [4] BSI: Empfehlungen zum Aufbau eines SIEM - BSI

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de