SOC as a Service oder MDR – was Schweizer KMU wirklich brauchen
Managed SOC und MDR werden oft im selben Atemzug genannt – sind aber zwei unterschiedliche Ansätze. Ein pragmatischer Leitfaden für die Wahl des passenden Sicherheitsdienstes.
Autor: MineData GmbH
Die kurze Antwort
Managed Detection and Response (MDR) konzentriert sich auf Endpoint-Telemetrie und automatisierte Reaktion. Ein Security Operations Center (SOC) as a Service integriert zusätzlich Netzwerk-, Cloud- und Identitäts-Events in einem SIEM und reagiert menschlich. Für die meisten Schweizer KMU mit mehr als 50 Mitarbeitenden ist SOC-as-a-Service der robustere Weg – gerade weil Angriffe heute selten nur auf Endpoints sichtbar sind.
Was steckt jeweils dahinter
MDR
MDR-Anbieter verkaufen eine Kombination aus:
- einer Endpoint-Detection-and-Response-Lösung (EDR oder XDR)
- einem Hersteller-Backend, das Alarme automatisiert triagiert
- einer Reaktionsschicht mit standardisierten Playbooks (Host isolieren, Prozess beenden, Datei löschen)
- meist einem angegliederten Analysten-Team für komplexere Fälle
Das Modell ist schnell aufsetzbar, preislich klar definiert (pro Endpoint und Monat) und liefert gute Baseline-Abdeckung für Ransomware und Standard-Malware.
SOC as a Service
Ein Managed SOC bringt dieselben Endpoint-Fähigkeiten mit, erweitert sie aber um:
- Log-Aggregation aus Firewall, Server, Cloud-APIs (Microsoft 365, Azure, AWS), Identity-Providern und Branchen-Applikationen
- Korrelation über mehrere Datenquellen – typisches Beispiel: Phishing-Mail + erfolgreicher Login aus unerwartetem Land + Download aus SharePoint
- Detektions-Use-Cases, die spezifisch für eure Umgebung konfiguriert werden
- menschliches Threat Hunting, das proaktiv nach Mustern sucht
- forensische Fähigkeiten nach Vorfällen
Der Aufwand ist grösser, der Preis höher – aber die Abdeckung reicht über den Endpoint hinaus.
Wann reicht MDR, wann braucht es ein SOC?
| Situation | Empfehlung |
|---|---|
| < 50 Endpoints, kaum Cloud-Workloads, standardisierte Abläufe | MDR reicht |
| Produzierendes KMU mit Windows-Servern, Microsoft 365, Fernzugriff | SOC (MDR übersieht Netzwerk- und Identity-Events) |
| ISO 27001 oder NIS2 in Arbeit | SOC (Compliance-Nachweis erfordert Log-Retention und Incident-Reports) |
| Bereits mehrere echte Phishing-Vorfälle erlebt | SOC (menschliche Korrelation entscheidet bei zielgerichteten Angriffen) |
| Keine interne IT-Sicherheitsrolle | SOC mit klar definiertem Eskalationskontakt |
Die Kostenfrage – in der Schweiz
Für 100 Endpoints in einem mittelständischen Betrieb bewegen sich die Preispunkte grob:
- MDR: CHF 15–25 pro Endpoint pro Monat, also CHF 1'500–2'500 pro Monat.
- SOC as a Service: abhängig vom Log-Volumen und der Anzahl angebundener Systeme, typischerweise CHF 4'000–12'000 pro Monat.
Die Differenz entspricht ungefähr einem halben internen Mitarbeitenden – aber einem Mitarbeitenden, der 24/7 verfügbar ist, über Sprachen und Zeitzonen hinweg. Für die meisten KMU rechnet sich das spätestens beim ersten nicht eingetretenen Schaden.
Worauf ihr bei der Auswahl achten solltet
- Data Residency: Wo werden Logs verarbeitet? Für Schweizer Unternehmen mit Compliance-Pflichten muss die Antwort "Schweiz" oder mindestens "EU" lauten.
- Response-SLAs: Wie schnell handelt der Anbieter? 15 Minuten Time-to-Response für kritische Alarme rund um die Uhr sind ein guter Benchmark.
- Forensik: Werden Vorfälle bis zum schriftlichen Abschlussbericht aufgearbeitet, oder endet der Service beim Containment?
- Transparenz: Erhaltet ihr monatliche Reports mit Mean-Time-to-Detect, Mean-Time-to-Respond und erkannten Angriffsmustern?
- Integration: Wie tief lässt sich der Service in eure bestehende IT einbinden? Pauschale Lösungen passen selten – eine individuelle Anbindung an euer Ticketsystem, euer AD und eure Dokumentation spart später viel Reibung.
Der pragmatische Einstieg
Wenn ihr heute weder MDR noch SOC betreibt, lohnt sich ein gestufter Einstieg:
- Zuerst ein Security Assessment, das die aktuellen Blind-Spots identifiziert – oft sind 60 % der Risiken mit Konfigurations-Hardening zu beseitigen.
- Danach entweder MDR als schnelle Baseline oder direkt SOC, wenn die Organisation entsprechende Reife und Compliance-Anforderungen hat.
- Nach 12 Monaten Review der ersten 12 Incident-Reports und Service-Metriken: was wurde abgewehrt, was hätte man früher sehen müssen, wo braucht es Anpassungen?
Wir beraten bei beiden Varianten herstellerunabhängig. Falls du unsicher bist, welche Kategorie zu eurer Situation passt, sprich uns an – eine ehrliche halbstündige Einschätzung kostet euch nichts.
Hat dich das Thema angesprochen?
Wir sprechen gerne in einem 30-minütigen, unverbindlichen Gespräch über eure konkrete Situation.