Sicherheitsmanagement-Tools sind die Technologien, die ein Security Operations Center (SOC) einsetzt, um Telemetriedaten zu erfassen, Bedrohungen zu erkennen, Vorfälle zu untersuchen und Maßnahmen über Endgeräte, Netzwerk, Identitäten und cloud hinweg zu ergreifen. Jede Liste von SOC-Tools deckt in etwa dieselben Kategorien ab. Kaum eine beantwortet jedoch die beiden Fragen, die über den Erfolg entscheiden: Erkennt das Tool nach seiner Bereitstellung tatsächlich Angriffe, und funktioniert es weiterhin, wenn ein Angreifer versucht, es außer Betrieb zu setzen? Für beide Fragen liegen nun Daten vor. Aktuelle Erkennungsstudien zeigen eine anhaltende Diskrepanz zwischen dem, was Tools protokollieren, und dem, worauf sie Alarm schlagen. Und im April 2026 hat MITRE ATT&CK der Manipulation von Tools eine eigene Taktik zugewiesen. Dieser Leitfaden gibt einen Überblick über die Kernkategorien, die Erkenntnisse darüber, was tatsächlich funktioniert, und wie man Sicherheitsmanagement-Tools auswählt, die dem Angriff eines Angreifers standhalten.
Sicherheitsmanagement-Tools sind die integrierten Technologien, die ein SOC einsetzt, um Telemetriedaten zu erfassen, Bedrohungen aufzudecken, Warnmeldungen zu untersuchen und auf Vorfälle an Endgeräten, im Netzwerk, im Identitätsmanagement und cloud zu reagieren. Ein SOC kombiniert diese Tools mit Mitarbeitern und Prozessen, um Überwachung, Triage, Untersuchung und Reaktion als ein einziges System zu betreiben – kein einzelnes Tool kann diese Aufgaben allein bewältigen.
Zunächst eine Klarstellung: In diesem Leitfaden steht SOC für „Security Operations Center“ (Sicherheitsoperationszentrum). Es handelt sich weder um SOC 2, das Rahmenwerk für Compliance-Prüfungen, noch um die damit nicht in Zusammenhang stehende Produktreihe „SOC Tools“ aus der Industrie, die in den Suchergebnissen denselben Namen trägt. Die Begriffe „SOC-Tools“, „SecOps-Tools“ und „Security Operations Center-Tools“ beziehen sich hier alle auf dasselbe: die Software, die ein Sicherheitsteam einsetzt.
Die Kernkategorien sind Sicherheitsinformations- und Ereignismanagement (SIEM), endpoint erweiterte Erkennung und Reaktion (EDR/XDR), Netzwerk-Erkennung und Reaktion (NDR), Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR) sowie Threat-Intelligence-Plattformen (TIPs), ergänzt durch Schwachstellenmanagement, Identitätsanalyse und cloud . Zusammen dienen sie einem Ziel: der zuverlässigen Erkennung von Bedrohungen und der entsprechenden Reaktion darauf. Tools allein machen jedoch noch kein SOC aus – sie statten es lediglich aus. Die umfassendere Praxis des Sicherheitsbetriebs umfasst die Menschen und Prozesse, die dahinter stehen; diese Seite konzentriert sich auf die technologische Ebene.
Diese Sichtweise ist wichtig, da es den meisten Unternehmen nicht an Tools mangelt – ihnen fehlt vielmehr der Nachweis, dass diese Tools tatsächlich Erkennungen liefern. Die nachstehende Kategorisierung ist das Mindeste, was man erwarten kann; fast jeder Leitfaden im Internet enthält eine solche. Was die meisten jedoch auslassen, sind Belege: Daten zur Zufriedenheit der Anwender, die Frage der Manipulationssicherheit und die gemessene Erkennungswirksamkeit. Diese drei Themen ziehen sich durch den Rest dieses Leitfadens. Das Ziel am Ende ist praxisorientiert: Sie sollen wissen, welche Kategorien Ihr Team tatsächlich benötigt, welche Betriebskosten jeweils anfallen und wie Sie testen können, ob die bereits vorhandenen Lösungen tatsächlich Erkennungserfolge erzielen.
Die nachstehende Taxonomie ist nach der Einschätzung der Praktiker geordnet, nicht nach dem Marketing der Anbieter. In der SANS 2025 SOC-Umfrage – gesponsert von Elastic, eine erwähnenswerte Information – war EDR/XDR die einzige Tool-Kategorie, die auf der 4-Punkte-Zufriedenheitsskala der Umfrage über 3 bewertet wurde, während KI-/ML-gestützte Tools das Schlusslicht bildeten. Diese Reihenfolge weicht von den meisten Listen der Anbieter ab, und genau deshalb ist sie so nützlich.
Tabelle: Die wichtigsten Kategorien von Tools für den Sicherheitsbetrieb, geordnet nach EDR/XDR an erster Stelle und KI-/ML-gestützten Analysen an letzter Stelle, entsprechend dem SANS-Zufriedenheitsmodell für 2025.
Endpoint and Response (EDR) überwacht endpoint und das Verhalten endpoint und eindämmt Bedrohungen direkt auf dem Host. Extended Detection and Response (XDR) erweitert dieses Modell auf zusätzliche Telemetriequellen. Laut SANS 2025 die von Fachleuten am besten bewertete Kategorie. Nachteil: Alles, worauf kein Agent ausgeführt werden kann – nicht verwaltete Geräte, IoT-Geräte, Appliances – bleibt außerhalb des Erfassungsbereichs. Manipulationsrisiko: EDR-Agenten sind das Hauptziel der im nächsten Abschnitt behandelten „EDR-Killer“-Tools.
Network Detection and Response (NDR) erkennt das Verhalten von Angreifern anhand des Netzwerkverkehrs und arbeitet dabei „out of band“. Sein Status als erstklassige Lösung beruht auf Fakten, nicht auf Selbstdarstellung: Es vervollständigt neben SIEM und EDR die Triade der SOC-Transparenz, und die Netzwerktelemetrie fließt auch dann weiter, wenn ein endpoint deaktiviert wird. Nachteil: Es kann einen Host nicht eigenständig unter Quarantäne stellen, und die Platzierung der Sensoren sowie der verschlüsselte Datenverkehr erfordern technische Aufmerksamkeit. Manipulationsrisiko: Die Kategorie, die sich von einem kompromittierten Host aus am schwersten unterdrücken lässt.
SIEM aggregiert Protokolle aus der gesamten Umgebung, korreliert sie und löst Warnmeldungen aus. Es ist das gängige Rückgrat eines SOC – gängig, aber nicht zwingend erforderlich. Teams können ein SOC auch ohne SIEM betreiben – was gelegentlich auch geschieht –, indem sie stattdessen auf XDR oder einen Data Lake mit „Detection-as-Code“ setzen. Nachteil: Die Kosten für die Datenerfassung steigen mit dem Datenvolumen, und die Korrelationsregeln erfordern eine kontinuierliche Feinabstimmung. Manipulationsrisiko: Eine Manipulation der Protokolle im vorgelagerten Bereich macht das SIEM völlig blind, und seine Verwaltungsebene ist selbst ein Angriffsziel.
SOAR führt Playbooks aus, die Triage-, Anreicherungs- und Reaktionsmaßnahmen über den gesamten Stack hinweg koordinieren. Nachteil: Das System automatisiert genau die Qualität, die man ihm zuführt – die im weiteren Verlauf dieses Leitfadens vorgestellten, von Fachkollegen geprüften Erkenntnisse zeigen, dass die Genauigkeit sogar sinken kann, während sich die Geschwindigkeit verbessert. Ausführliche Informationen zur Automatisierungsstrategie finden Sie unter „SOC-Automatisierung“. Manipulationsrisiko: Eine kompromittierte SOAR-Plattform überlässt einem Angreifer Ihre eigenen Reaktionsmechanismen.
Threat-Intelligence-Tools und -Plattformen (TIPs) aggregieren Indikatoren und Informationen zum Angreifer und leiten die angereicherten Daten anschließend an das SIEM-System und den Triage-Workflow weiter. Nachteil: Unkuratierte Datenmengen sorgen eher für Rauschen als für Kontext, und der Nutzen hängt vollständig von der nachgelagerten Integration ab. Manipulationsrisiko: Ein TIP ist nicht dafür ausgelegt, eine eigene Kompromittierung oder eine manipulierte Datenpipeline zu erkennen – dies muss durch entsprechende Kontrollmaßnahmen gewährleistet werden.
Das Schwachstellenmanagement ermittelt Ressourcen, scannt diese auf Schwachstellen und priorisiert deren Behebung. Nachteil: Es handelt sich eher um einen präventiven als um einen detektiven Ansatz – es entdeckt zwar das offene Fenster, sieht aber nicht, wie jemand hindurchklettert. Manipulationsrisiko: Der Umfang des Scans lässt sich leicht und unbemerkt einschränken, und nicht gescannte Ressourcen werden als „sauber“ statt als „unbekannt“ ausgewiesen.
Das Cloud Posture Management (CSPM) überprüft cloud anhand von Richtlinien, während cloud and Response (CDR) die Laufzeitaktivitäten in cloud und Workloads überwacht. Nachteil:cloud führt zu Lücken in der Abdeckung, und den Ergebnissen zur Sicherheitslage fehlt oft der Laufzeitkontext. Manipulationsrisiko: Angreifer deaktivieren cloud , um diese Tools auszuschalten – die Manipulation cloud wird im Rahmen der ATT&CK-Technik behandelt, die als Nächstes erläutert wird.
Das Identitäts- und Zugriffsmanagement (IAM) regelt, wer auf welche Ressourcen zugreifen darf, während die Analyse des Benutzer- und Entitätsverhaltens (UEBA) Verhaltens-Baselines erstellt, um anomale Zugriffe zu erkennen. Nachteil: Die Erstellung von Verhaltens-Baselines erfordert eine kontinuierliche Feinabstimmung und klare Zuständigkeiten – ein operativer Aufwand, den viele Teams unterschätzen. Manipulationsrisiko: Die UEBA ist von der Integrität der ihr zugeführten Protokollquellen abhängig – manipulierte Protokolle führen zu einer manipulierten Baseline.
Jahrelang betrachteten Sicherheitsteams die Manipulation von Tools als Ausnahmefall. MITRE ATT&CK v19, veröffentlicht am 28. April 2026, machte daraus eine Taktik erster Ordnung: Das Framework unterteilte die alte Taktik „Defense Evasion“ in „Stealth“ (TA0005) und „Defense Impairment“ (TA0112). Die neue Taktik beschreibt Angreifer, die „Sicherheitsmechanismen, Pipelines und Tools außer Kraft setzen, sodass Verteidiger nicht erkennen oder vertrauen können, was gerade geschieht“ – eine ganze ATT&CK-Taktik, die sich mit Angriffen auf Tools für den Sicherheitsbetrieb befasst.
In TA0112 ist T1685 enthalten : „Tools deaktivieren oder modifizieren“ – die übergeordnete Technik, die das Deaktivieren von Tools und Agenten selbst abdeckt – mit sechs Untertechniken, die manipulierte Windows-, Linux- und cloud , gefälschte Tool-Oberflächen und gelöschte Protokolle umfassen. Die nachstehende Übersichtstabelle ordnet die Tool-Kategorien diesen Techniken zu.
Das ist keineswegs reine Theorie. Im Jahr 2025 dokumentierten Forscher ein einziges EDR-Killer-Tool, das von acht verschiedenen ransomware genutzt wurde, wobei laut dem Bericht „bei jedem Angriff eine andere Version zum Einsatz kam“. Die ransomware wird nun routinemäßig so eingesetzt, dass der endpoint vor Beginn der Verschlüsselung außer Gefecht gesetzt wird.
Die bevorzugte Angriffsmethode ist „Bring Your Own Vulnerable Driver“ (BYOVD) – dabei wird ein signierter , aber ausnutzbarer Treiber missbraucht, um die erforderlichen Berechtigungen zum Beenden von Sicherheitsprozessen zu erlangen. Das Projekt „Living Off The Land Drivers“ listet mittlerweile mehr als 1.700 anfällige Treiber auf , und ESET-Forscher stellten im Jahr 2025 einen „steilen Anstieg“ bei deren Missbrauch fest. Eine ausführliche Analyse dieser Angriffstechnik aus defensiver Sicht finden Sie unter „EDR-Umgehung“.
Dieses Muster setzte sich im Jahr 2026 durch. Die Analyse eines „EDR-Killer“-Frameworks durch ESET dokumentierte acht Varianten, die auf über 400 Prozesse in 48 Sicherheitsprodukten abzielten und über den Missbrauch von BYOVD-Treibern verbreitet wurden. Ransomware zudem damit begonnen, den anfälligen Treiber direkt in die Payload einzubetten (2026), sodass er nicht mehr zur Laufzeit abgerufen werden muss.
Auch die Verwaltungsebenen der Tools sind von Angriffen betroffen. Im Jahr 2026 gab eine marktführende SIEM-Plattform eine Schwachstelle mit einem CVSS-Wert von 9,8 bekannt, die es nicht authentifizierten Angreifern ermöglichte, beliebige Dateien zu erstellen oder zu kürzen; diese Schwachstelle wurde aktiv ausgenutzt und in den Katalog der bekannten ausgenutzten Schwachstellen der CISA aufgenommen. Eine führende SOAR/SIEM-Plattform gab im selben Jahr eine kritische Schwachstelle in der Zugriffskontrolle mit einem CVSS-Wert von 9,1 bekannt. Die Tools, die eigentlich dazu dienen, Angriffe zu erkennen, stellen selbst eine Angriffsfläche dar.
Die Verteidigung ist mehrschichtig und streng defensiv ausgerichtet: Man sollte den Manipulationsschutz überall dort aktivieren, wo der Agent ihn anbietet, Blocklisten für anfällige Treiber durchsetzen, den Zustand der Datenerfassung überwachen, damit eine stummgeschaltete Protokollquelle einen Alarm auslöst, und Out-of-Band-Netzwerktelemetrie nutzen, die ein kompromittierter Host nicht deaktivieren kann. Außerdem wird eine direkte Bewertungsfrage hinzugefügt, die in wenigen Checklisten enthalten ist: Wird dieses Tool den Kontakt mit einem Angreifer überstehen, und wird es bemerkt, wenn dies nicht der Fall ist?
Tabelle: Anfälligkeit der Tool-Kategorien für Sicherheitslücken im Verteidigungsbereich gemäß MITRE ATT&CK (April 2026).
Die beunruhigendsten Daten im Sicherheitsbetrieb stammen aus der Simulation von Sicherheitsverletzungen und Angriffen (BAS). Im „Picus Blue Report 2025“ – veröffentlicht von einem BAS-Anbieter, basierend auf dessen eigenen Kundenumgebungen und auf simulierten statt realen Angriffen – wurden 54 % der getesteten Angriffsaktivitäten protokolliert, aber nur 14 % lösten einen Alarm aus. Derselbe Datensatz verzeichnete einen Rückgang der Präventionswirksamkeit von 69 % im Jahr 2024 auf 62 % im Jahr 2025. Auch wenn man diese Erkenntnis unter Berücksichtigung der offen gelegten Verzerrung betrachtet, bleibt die Schlussfolgerung bestehen: Ein Tool, das Ereignisse protokolliert, ohne Warnmeldungen auszulösen, ist ein forensisches Archiv und keine Erkennungsmaßnahme. Und Simulationen stellen noch den harmlosesten Fall dar – echte Angreifer können kreativ werden.
Die Daten aus der Praxis bestätigen dies. Die SANS-Umfrage aus dem Jahr 2025 ergab, dass 42 % der SOCs alle eingehenden Daten an ein SIEM-System weiterleiten, ohne über einen Plan für deren Abruf oder Verwaltung zu verfügen. Wie es in der Umfrage heißt: „Daten zu sammeln ist einfach; sie sinnvoll zu nutzen, ist der schwierige Teil.“
Ergebnisdaten liefern die notwendigen Nuancen – und zwar in beide Richtungen zugleich. Der „M-Trends 2026“-Bericht von Mandiant, der auf über 500.000 Stunden an Untersuchungen von Vorfällen basiert, zeigt, dass die globale mittlere Verweildauer von 11 auf 14 Tage gestiegen ist, während sich der Anteil der intern entdeckten Eindringversuche von 43 % auf 52 % verbessert hat. Immer mehr Unternehmen entdecken Angreifer selbst, anstatt erst von Außenstehenden davon zu erfahren – und diese Angreifer verbleiben dennoch länger im System. Beachten Sie die Stichprobe: Die Fallzahlen eines Anbieters für Incident-Response-Dienstleistungen sind zwangsläufig auf Unternehmen ausgerichtet, die bereits kompromittiert wurden. Widerstehen Sie der verallgemeinernden Darstellung; die ehrliche Interpretation lautet, dass sich die Eigenverantwortung bei der Erkennung verbessert, die Geschwindigkeit der Entfernung jedoch nicht – und das gleichzeitig.
Die praktische Schlussfolgerung lautet: eine neue Herangehensweise. Die meisten SOC-Teams verfügen bereits über die richtigen Kategorien; die offene Frage ist, ob diese Kontrollmaßnahmen im Testfall auch tatsächlich greifen. Erkennung ist eine Eigenschaft, die man misst, und keine Funktion, die man kauft – durch Abdeckungsmessungen anhand von ATT&CK, Purple-Team-Übungen, die den Stack durchgängig testen, und Erkennungsengineering, das Protokolldaten in Warnmeldungen umwandelt. Auch die Validierung erfolgt kontinuierlich und nicht nur einmal jährlich: Führen Sie nach größeren Konfigurationsänderungen erneute Tests durch, verfolgen Sie die Genauigkeit der Warnmeldungen und beobachten Sie den Anteil der Techniken, die Ihr Stack nachweislich erkennt. Der Kauf einer weiteren Kategorie erweitert die Abdeckung auf dem Papier; nur Messungen belegen dies in der Produktion.
Kategoriechecklisten lassen den Kauf einfach erscheinen. Die oben genannten Argumente sprechen für strengere Kriterien – solche, die prüfen, ob ein Tool in Ihrer Umgebung Signale erzeugt und der Aufmerksamkeit eines Angreifers standhält. Die besten SOC-Tools für Ihr Team erfüllen folgende Anforderungen:
Ordnen Sie Ihre Anschaffungen nach Reifegrad statt nach Katalog: an erster Stelle steht die Transparenz (endpoint Netzwerkabdeckung), an zweiter Stelle die Korrelation (SIEM oder Data Lake) und an letzter Stelle die Automatisierung – SOAR steigert die bereits vorhandene Erkennungsqualität um ein Vielfaches. Match Anschaffung an die Personalstärke Match , denn ein schlankes Team kann nicht alle Bereiche gleichzeitig gut abdecken.
Auch die Auswahl findet in einer fragmentierten Realität statt. Eine Panaseer-Umfrage unter 400 Sicherheitsverantwortlichen aus dem Jahr 2026 ergab, dass ein durchschnittliches Unternehmen 61 Sicherheitstools einsetzt. Andere Studien kommen zu anderen Ergebnissen – die folgende Tabelle zeigt die Bandbreite –, und die Unterschiede sagen mehr über die Stichproben und Definitionen aus als über einen Trend. In einem Punkt sind sich die Studien jedoch einig: Die Tools sind vorhanden, aber die Integration, die sie gemeinsam nutzbar macht, fehlt oft.
Tabelle: Die Zahlen zur Anzahl beliebter Unternehmens-Tools stellen eine umstrittene Spanne dar und keine Zeitreihe.
Bei der Automatisierung ist Vorsicht geboten. Die einzige kontrollierte Anwenderstudie zu kommerziellen SOAR-Tools – die zwar einem Peer-Review unterzogen wurde, mittlerweile aber bereits mehr als zwei Jahre alt ist – ließ 24 Teilnehmer mit sechs verschiedenen Tools realistische Ermittlungsaufgaben bearbeiten (Bridges et al., 2023). Die Effizienz verbesserte sich zwar, doch „die Genauigkeit und Vollständigkeit der Tickets … nahmen mit dem Einsatz von SOAR ab“, und erfahrene Analysten wiesen auf die Überautomatisierung als Risiko hin. Setzen Sie auf Automatisierung, um Entscheidungen zu beschleunigen, und übertragen Sie die Verantwortung für die Qualität weiterhin den Menschen.
Zwei Fehler bei der Auswahl treten immer wieder auf. Erstens: Der Einsatz von Tools, für die keine Ressourcen zur Verfügung stehen – die SANS-Umfrage von 2025 bringt es auf den Punkt : „Wenn die Unternehmensführung nicht bereit ist, die Ressourcen in vollem Umfang bereitzustellen … wäre es besser, das Tool gar nicht erst einzusetzen.“ Zweitens: Der Kauf einer Produktkategorie und die Annahme, dass damit das gewünschte Ergebnis erzielt wird. Die Beschaffung schließt die Lücke auf dem Papier, doch die Reaktion auf Vorfälle scheitert um 2 Uhr morgens immer noch, wenn keine Warnmeldung vorliegt.
Warum Sie diesem Leitfaden vertrauen können: Wir ordnen die Kategorien nach Anbieterdaten, datieren jede Statistik, geben die Quelle für jede Zahl an, weisen auf etwaige Interessenkonflikte von Sponsoren hin (z. B. Datensatz eines BAS-Anbieters, von Elastic gesponserte Umfrage, Fallzahlen eines Anbieters für Incident-Response) und nennen keine kommerziellen Anbieter. Wenn die Belege in zwei Richtungen weisen, zeigen wir beide auf.
Ein funktionsfähiger SOC-Stack lässt sich aus Open-Source-SOC-Tools zusammenstellen, und für manche Teams ist dies auch empfehlenswert. Wazuh übernimmt die SIEM/XDR-Aufgaben. Security Onion und Graylog kümmern sich um die Überwachung der Netzwerksicherheit und das Protokollmanagement. Suricata und Zeek sorgen für die Erkennung von Netzwerkbedrohungen. TheHive verwaltet Fälle und Untersuchungen, während Velociraptor, osquery und GRR endpoint und die forensische Analyse unterstützen. Alle werden aktiv gepflegt, die meisten auf GitHub, und werden von echten Praxis-Communities unterstützt.
Tabelle: Open-Source-Bausteine für einen SOC-Stack, nach Funktionen gruppiert.
Der ehrliche Kompromiss verdient ebenso Beachtung. Ein Open-Source-Stack kann Ihnen zwar eine funktionsfähige Abdeckung ermöglichen, aber Sie werden Entwicklungszeit für die Integration und Wartung aufwenden müssen – Lizenzkosten werden gegen Entwicklungskosten eingetauscht, ohne dass ein Anbieter-SLA im Hintergrund steht. Planen Sie ehrlich die Kosten für die Bereiche ein, die eine Lizenzgebühr ohnehin nie abgedeckt hat: Wartung der Erkennungsinhalte, Versions-Upgrades, Sensoroptimierung und den damit verbundenen Bereitschaftsdienst. Kostenlose Tools, hinter denen keine Entwicklungsarbeit steckt, scheitern genauso wie „Shelfware“ – still und leise. Für eine umfassendere, Funktion für Funktion durchgeführte Anleitung bietet ein weit verbreitetes Referenzwerk für Open-Source-SOC-Tools eine detaillierte Übersicht über das Ökosystem.
Für wen es geeignet ist: Teams mit echten technischen Kapazitäten sowie Teams, die zunächst einen Testrahmen nutzen möchten, bevor sie kommerzielle Investitionen tätigen. Es eignet sich auch für gemischte Umgebungen – viele SOCs setzen Zeek oder Suricata neben kommerziellen Plattformen ein, um den Rest des Stacks unabhängig und außerhalb des regulären Betriebsablaufs zu überprüfen.
Tools für Security Operations Center (SOC) sind nur innerhalb eines Betriebsmodells von Bedeutung, das ihren Einsatz ermöglicht, und die erste Entscheidung betrifft die Frage, wer den Betrieb übernimmt: Ihr Team, ein Dienstleister oder beide. Ein internes SOC bietet ein Höchstmaß an Kontrolle und Umgebungskontext, doch die Personalausstattung stellt eine große Herausforderung dar – 79 % der SOCs sind rund um die Uhr im Einsatz (SANS 2025), und eine durchgehende Abdeckung erfordert den Einsatz mehrerer Schichten mit den ohnehin knappen Analysten.
Managed-Modelle – Managed Detection and Response (MDR) und SOC as a Service – ermöglichen eine schnelle Abdeckung und senken die Fixkosten, allerdings auf Kosten von Kontext und Kontrolle. Bei gemeinsam verwalteten SOCs wird ein Mittelweg eingeschlagen: Die Triage oder die technische Umsetzung erfolgt weiterhin intern, während ein Anbieter die Überwachung über Nacht übernimmt. Dieser Mittelweg eignet sich für schlanke Teams, insbesondere für solche, die die Sicherheit mit weniger als fünf Vollzeitkräften gewährleisten.
Tabelle: Der Kompromiss zwischen internen und extern verwalteten Sicherheitsabläufen im Betriebsmodell.
Was die Arten von Security Operations Centern betrifft, so dominieren vier Modelle: das einzelne, zentralisierte SOC – mit einem Anteil von rund 38 % (SANS 2025) nach wie vor das häufigste – sowie virtuelle, gemeinsam verwaltete und SOC-as-a-Service-Modelle. Match Modell an die Teamgröße, den Reifegrad und das Budget Match , nicht an die Präferenzen eines Anbieters. Und egal, für welches Modell Sie sich entscheiden: Behalten Sie die Validierung der Erkennung im eigenen Haus – die Auslagerung der Überwachung ist vertretbar, die Auslagerung der Verantwortlichkeit hingegen nicht.
Drei Trends verändern derzeit die Art und Weise, wie Unternehmen diese Technologieplattform erwerben und betreiben. Konsolidierung und Plattformkonvergenz, da Käufer der zunehmenden Tool-Flut entgegenwirken wollen. KI-basierte SOC-Tools und -Agenten, die eine automatisierte Triage versprechen. Und eine Verlagerung vom reinen Einkauf hin zur kontinuierlichen Validierung – Detection Engineering, Purple Teaming und die Messung der Abdeckung als fester Bestandteil der Praxis statt als jährliches Audit.
Halten Sie die KI auf dem neuesten Stand. Praktiker stufen KI-/ML-gesteuerte Tools derzeit am unteren Ende der Zufriedenheitsskala ein , wobei generative Sprachtools 2 von 4 Punkten erzielen (SANS 2025) – was größtenteils strukturelle Gründe hat, da neue Tools ohne klare Zuständigkeiten, Budget oder Integrationsmöglichkeiten eingeführt werden. Kategorien mit niedrigen Bewertungen haben sich in der Vergangenheit bereits weiterentwickelt; in derselben Umfragereihe kletterte die Asset-Erkennung von ihrem letzten Platz im Jahr 2017 ins Mittelfeld. Betrachten Sie die KI-basierte Bedrohungserkennung als einen aufstrebenden und noch unausgereiften Bereich: wirklich vielversprechend, aber in den Daten der Praktiker noch nicht bewährt. Für einzelne Analysten, die sich fragen, welche Tools sie zuerst erlernen sollten: Beginnen Sie mit den SIEM- und EDR-Konsolen, die Ihr Team bereits einsetzt – die Seite für SOC-Analysten behandelt die berufliche Perspektive.
Compliance-Rahmenwerke gehen mittlerweile von diesen Tools aus. NIST SP 800-61r3, das im April 2025 als erste Überarbeitung seit 2012 veröffentlicht wurde, passt die Leitlinien zur Reaktion auf Vorfälle an die Funktionen „Detect“ und „Respond“ des NIST CSF 2.0 an. MITRE ATT&CK dient als Arbeitsreferenz für den Erfassungsumfang, einschließlich TA0112.
Tabelle: Rahmenwerke, die für Entscheidungen bezüglich der Tools für den Sicherheitsbetrieb relevant sind.
Vectra AI den oben genannten Erkenntnissen eine Lehre: Datenerfassung ist nicht gleichbedeutend mit Erkennung. Wenn ein BAS-Datensatz aus dem Jahr 2025 zeigt, dass 54 % der Angriffsaktivitäten protokolliert, aber nur 14 % gemeldet wurden, und SANS feststellt, dass 42 % der SOCs Daten ohne einen Plan horten, dann ist die knappe Ressource das Signal, nicht die Telemetrie. Die Methodik Vectra AI räumt daher Angriffssignalen Vorrang vor dem reinen Datenvolumen ein – mit einer Abdeckung über Netzwerk und Identitäten hinweg, also den Angriffsflächen, die weiterhin Meldungen liefern, wenn ein Angreifer den endpoint deaktiviert.
Nein. Ein SIEM ist ein einzelnes Tool – es aggregiert und korreliert Protokolldaten und gibt entsprechende Warnmeldungen aus. Ein SOC (Security Operations Center) umfasst hingegen die Mitarbeiter, die Prozesse und den gesamten Tool-Stack, der ein SIEM zusammen mit EDR/XDR-, NDR-, SOAR- und Threat-Intelligence-Plattformen nutzt.
Ja, auch wenn dies eher selten vorkommt. Einige Teams stützen ihre Abläufe stattdessen auf XDR oder einen Data Lake mit „Detection-as-Code“. Ein SIEM ist eher ein gängiges Rückgrat als eine Voraussetzung – und laut der SANS-Studie 2025 leiten 42 % der SOCs alle Daten ohne einen Plan zur Datenwiederherstellung an ein SIEM weiter.
Die Telemetriedaten, auf die Sie sich verlassen haben, gehen verloren – oft ohne dass Sie es bemerken. Ransomware setzen zunehmend sogenannte „Bring-your-own-vulnerable-driver“ (BYOVD)-EDR-Killer ein, um endpoint vor der Verschlüsselung außer Gefecht zu setzen – ein Verhalten, das in MITRE ATT&CK als TA0112 und T1685 formalisiert wurde. Zu den Abhilfemaßnahmen zählen Manipulationsschutz, Treiber-Blocklisten und Out-of-Band-Netzwerk-Telemetrie.
EDR/XDR. In der von Elastic gesponserten SANS-Umfrage „SOC Survey 2025“ war dies die einzige Kategorie, die auf einer 4-Punkte-Zufriedenheitsskala mit mehr als 3 bewertet wurde, während KI-/ML-Tools das Schlusslicht bildeten und generative Sprachtools 2 von 4 Punkten erzielten. Die Bewertungen der Praktiker weichen oft von den Listen der Anbieter ab.
Zu den gängigen Bausteinen zählen Wazuh (SIEM/XDR), Security Onion und Graylog (Überwachung und Protokollverwaltung), Suricata und Zeek (Netzwerkerkennung), TheHive (Fallmanagement) sowie Velociraptor und osquery (endpoint ). Open-Source-Lösungen ersparen Lizenzkosten, erfordern jedoch Entwicklungsaufwand für die Integration und Wartung.
Ein internes SOC wird von Ihrem eigenen Team besetzt und betrieben, wodurch Sie ein Höchstmaß an Kontrolle und Kenntnis des Umfelds gewährleisten. Bei einem verwalteten SOC – MDR oder SOC as a Service – werden die Überwachung und die Reaktion an einen Anbieter ausgelagert. Viele schlanke Teams entscheiden sich für einen gemeinsam verwalteten Mittelweg zwischen diesen beiden Optionen.
Vier Modelle dominieren: zentralisiertes internes SOC, virtuelles SOC, gemeinsam verwaltetes SOC und SOC-as-a-Service. Die SANS-Umfrage 2025 ergab, dass das einzelne, zentralisierte SOC mit rund 38 % nach wie vor das am häufigsten genutzte Modell ist. Match Modell an die Teamgröße, den Reifegrad und das Budget Match , anstatt sich von der Präferenz eines Anbieters leiten zu lassen.