Die Bedrohungslage im Cyberraum nimmt kontinuierlich zu, insbesondere für mittelständische Unternehmen. Ein Security Operations Center (SOC) auf Basis eines modernen SIEM-Systems bietet Schutz, aber auch Herausforderungen: Personalbedarf, Technologieinvestitionen und Betriebsaufwand. Wir zeigen, wie hoch die Kosten für ein Unternehmen mit rund 1.000 Mitarbeitenden tatsächlich sind, wenn es ein eigenes SOC aufbauen und betreiben möchte.
Was bedeutet 1.700 EPS für Ihr Unternehmen?
Bei ca. 1.000 Mitarbeitenden erzeugen Ihre Firewalls, Server, Clients, Cloud-Dienste und Sicherheitstools etwa 1.700 Events pro Sekunde (EPS). Das entspricht rund 147 Millionen Events pro Tag.
Diese Zahl ist entscheidend für das SIEM-Sizing und beeinflusst sowohl die Infrastrukturkosten als auch den Aufwand für die Analyse und Bearbeitung sicherheitsrelevanter Ereignisse.
Wie viele Incidents müssen Sie manuell bearbeiten?
Ein gut konfiguriertes SIEM-System mit Use Cases und Automatisierung reduziert die Masse der Events auf:
- Alerts pro Tag: ca. 150 (aus 147 Mio. Events)
- Manuell zu bearbeitende Incidents: ca. 10 bis 25 pro Tag
Jeder dieser Incidents (z. B. verdächtige Anmeldungen, Malware-Aktivitäten, verdächtiger Datenabfluss) erfordert durchschnittlich 10 Minuten Bearbeitungszeit durch Analysten.
FTE-Bedarf für den Eigenbetrieb eines SOC
Um diese Incidents rund um die Uhr (24×7) zu überwachen und zu bearbeiten, benötigen Sie:
- L1 Analysten (Triage, Erstbewertung): 4 bis 6 FTE
- L2 Analysten (Validierung, Eskalation): 1 bis 2 FTE
- Use Case-Entwicklung / Tuning / Reporting: 1 FTE
- Teamlead SOC: 1 FTE
Gesamtbedarf: ca. 6 bis 9 FTE, je nach Schichtmodell und Automatisierungsgrad.
Was kostet ein internes SOC?
Personal (inkl. Nebenkosten):
- L1 Analyst (70.000 € p.a.) × 5 = 350.000 €
- L2 Analyst (95.000 € p.a.) × 2 = 190.000 €
- SOC Engineer / Use Case Dev (110.000 €) = 110.000 €
- Summe Personal: ca. 650.000 € pro Jahr
Infrastruktur & Tools (Microsoft Sentinel als Beispiel)
- SIEM-Lizenzen für 150 GB/Tag (Commitment Tier): ca. 28.000 € / Monat = 336.000 € / Jahr
- SOAR & Automation-Plattform: 50.000 € / Jahr
- Ticketing-System & Monitoring-Dashboards: 40.000 € / Jahr
- Langzeit-Log-Storage (> 90 Tage): 10.000 € / Jahr (abhängig vom Volumen)
Summe Infrastruktur & Tools: ca. 436.000 € pro Jahr
Gesamtkosten pro Jahr:
~1.086.000 € / Jahr oder ca. 90.500 € pro Monat
Interner Betrieb vs. externer MSSP: Was ist wirtschaftlicher?
Ein MSSP bietet dieselbe Leistung (oder mehr) meist zu fixen monatlichen Preisen. Die Marktpreise für 24×7 Monitoring mit Incident Response, Reporting und Use-Case-Management liegen je nach Umfang bei 10.000 bis 25.000 € / Monat.
| Betrieb | Kosten / Monat | Vorteile |
| Intern | ca. 90.500 € | Volle Kontrolle, individuelle Prozesse |
| MSSP | ca. 15.000 € | Geringere Fixkosten, keine Personalbindung |
Optimierungsmöglichkeiten im Eigenbetrieb
Falls Sie sich für ein internes SOC entscheiden, helfen folgende Strategien Kosten und Ressourcen zu optimieren:
- Teilautomatisierung mit SOAR: Weniger Analysten für Routine-Aufgaben notwendig
- Flexible Betriebszeit (8×5 statt 24×7): Reduziert Personalbedarf erheblich
- Logfilterung & Priorisierung: Nicht alles muss in Echtzeit ins SIEM
- Near-/Offshoring einzelner Rollen: z. B. für L1-Analysten
Fazit
Ein internes SOC für ein Unternehmen mit 1.000 Mitarbeitenden ist technisch und personell realisierbar, verursacht aber erhebliche laufende Kosten von rund 1 Mio. Euro pro Jahr. Die Entscheidung für Eigenbetrieb oder Outsourcing hängt von der strategischen Ausrichtung, internen Kompetenzen und Compliance-Anforderungen ab.
Wer langfristig Kontrolle behalten, Know-how aufbauen und tiefe Integration in die IT erreichen möchte, ist mit einem eigenen SOC gut beraten – muss aber bereit sein, signifikant zu investieren.
Für viele mittelständische Unternehmen bleibt der Managed Security Service Provider (MSSP) daher die wirtschaftlichere und skalierbarere Lösung.
Eigenes SOC oder MSSP? Lassen Sie uns gemeinsam rechnen – wir beraten Sie transparent zu den besten Optionen für Ihr Unternehmen.
FAQ
Ein eigenes SOC bietet maximale Kontrolle, individuelles Incident-Handling und ermöglicht den gezielten Know-how-Aufbau im Unternehmen. Allerdings sind die laufenden Kosten hoch (ca. 1 Mio. Euro pro Jahr) und erfordern erfahrenes Personal. Für viele mittelständische Unternehmen ist der Betrieb daher wirtschaftlich nur sinnvoll, wenn spezielle Compliance-Anforderungen, besonders hohe Schutzbedarfe oder eine langfristige IT-Strategie mit Eigenbetrieb bestehen.
Ein professioneller MSSP übernimmt die 24×7-Überwachung, Incident Response, Reporting sowie die kontinuierliche Weiterentwicklung von Use Cases – meist zu deutlich geringeren Fixkosten als ein internes SOC. Allerdings gibt es Unterschiede bei der Tiefe der Integration, bei individuellen Prozessen oder beim direkten Zugriff auf Rohdaten. Für viele Unternehmen bietet ein MSSP die ideale Balance aus Sicherheit, Wirtschaftlichkeit und Flexibilität.
