Thought Leadership
NIS2, NISG 2026 und steigende Cyberrisiken zwingen den Mittelstand zum Handeln. Dieser Artikel analysiert, wann Open-Source-Plattformen wie Wazuh die bessere Wahl sind und wo kommerzielle SIEM-Lösungen punkten.
Warum Security Monitoring jetzt zur Pflichtdisziplin wird
Die regulatorischen Anforderungen an die IT-Sicherheit haben in der DACH-Region erheblich zugenommen. In Deutschland ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten. Schätzungsweise 30.000 bis 40.000 Unternehmen fallen damit unter neue Meldepflichten, darunter die Pflicht zur Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Österreich hat mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) einen vergleichbaren Rahmen geschaffen, der ab 1. Oktober 2026 für rund 4.000 bis 5.000 Einrichtungen gilt. Die Schweiz wiederum hat mit der Meldepflicht nach Art. 74a des Informationssicherheitsgesetzes (ISG) seit dem 1. April 2025 eine eigenständige Regelung eingeführt: Betreiber kritischer Infrastrukturen müssen Cyberangriffe innerhalb von 24 Stunden beim Bundesamt für Cybersicherheit (BACS) melden.
Der globale SIEM-Markt spiegelt diesen Druck wider: Laut Kings Research betrug das weltweite Marktvolumen 2024 rund 12,56 Milliarden US-Dollar und wird bis 2032 auf 31,45 Milliarden US-Dollar wachsen, was einer jährlichen Wachstumsrate (CAGR) von 12,1 Prozent entspricht. Der europäische Analystendienstleister KuppingerCole prognostiziert ergänzend, dass allein das klassische SIEM-Plattformsegment bis 2025 ein Volumen von 8,6 Milliarden US-Dollar erreichen wird.
Drei Entscheidungstreiber im Mittelstand
In Gesprächen mit IT-Dienstleistern und Sicherheitsberatern im DACH-Mittelstand kristallisieren sich drei Entscheidungsmuster heraus:
- Regulatorischer Druck: NIS2, KRITIS-Anforderungen und Vorgaben der Cyber-Versicherungen machen strukturiertes Security Monitoring zur Voraussetzung. Cyber-Versicherer verlangen zunehmend den Nachweis eines kontinuierlichen Monitorings als Bedingung für die Deckungszusage.
- Kostendruck durch bestehende SIEM-Lizenzen: Kommerzielle SIEM-Produkte arbeiten mit volumenbasierten Preismodellen, bei denen die Kosten proportional zum Log-Aufkommen steigen. Was in der Pilotphase noch kalkulierbar wirkte, entwickelt sich im produktiven Betrieb schnell zu einem erheblichen Budgetposten. Die Forrester Wave Security Analytics Platforms Q2 2025 bestätigt, dass Kunden seit Jahren über hohe Kosten und den enormen manuellen Aufwand beim Betrieb kommerzieller SIEM-Lösungen klagen.
- Konkreter Sicherheitsvorfall: Nach einem Incident ist die Investitionsbereitschaft am höchsten und die Anforderungen an die Lösung sind klarer als in jeder theoretischen Planung.
Was Security Monitoring leisten muss: Kernfunktionen im Überblick
Gartner definiert SIEM als konfigurierbares System, das Sicherheitsereignisdaten aus On-Premises- und Cloud-Umgebungen sammelt, aggregiert und analysiert, um Bedrohungen zu erkennen, Vorfälle zu untersuchen und auf diese zu reagieren. Die Mindestanforderungen umfassen:
- Zentrales Log-Management und Datenaggregation aus heterogenen Quellen
- Echtzeit-Erkennung und Alarmierung bei sicherheitsrelevanten Ereignissen
- Korrelation von Ereignissen über mehrere Systeme hinweg
- Compliance-Reporting für NIS2, ISO 27001 und DSGVO
- Auditfähige Dokumentation von Vorfällen und Reaktionsmaßnahmen
Wazuh: Open Source als vollständige SIEM/XDR-Plattform
Wazuh ist 2015 als Fork des hostbasierten Intrusion Detection Systems OSSEC entstanden und hat sich zur meistgenutzten Open-Source-Sicherheitsplattform weltweit entwickelt. Ein Fork bezieht sich rein auf den Quellcode einer Software. Da OSSEC ein Open-Source-Projekt ist, darf jeder den Code legal kopieren und etwas Eigenes daraus bauen. Das Team hinter Wazuh hat den ursprünglichen Code genommen und unabhängig weiterentwickelt. Es gab dabei in der Regel keine Absprache, keine geschäftliche Trennung und keine Erlaubnis, die vom ursprünglichen OSSEC-Team erteilt werden musste.
Nach Herstellerangaben schützt die Plattform heute mehr als 15 Millionen Endpunkte in über 100.000 Unternehmensinstallationen.
Die Architektur basiert auf einem schlanken Agenten, der auf den überwachten Endpunkten läuft und Daten an zentrale Server-Komponenten liefert. Die Speicherung und Indexierung erfolgt über OpenSearch, eine strategische Entscheidung, die Wazuh nach der Lizenzänderung von Elasticsearch im Jahr 2021 traf. Damit ist die Plattform dauerhaft unabhängig von proprietären Lizenzmodellen.
Der Funktionsumfang ist für eine lizenzfreie Plattform bemerkenswert breit: File Integrity Monitoring, proaktives Schwachstellenmanagement durch Abgleich mit CVE-Datenbanken, Security Configuration Assessment gegen CIS Benchmarks, ISO 27001 und DSGVO gehören zum Standard. Mit Version 4.14 wurde das IT-Hygiene-Modul erheblich erweitert: Die Plattform liefert nun detaillierte Inventardaten zu installierten Browser-Erweiterungen, laufenden Systemdiensten, Software-Repositories und aktiven Benutzerkonten.
Besonders relevant für den Mittelstand: Wazuh unterstützt die Anbindung an Threat-Intelligence-Feeds wie AbuseIPDB, ermöglicht strukturierte Incident-Response-Workflows und verfügt über eine Active-Response-Funktion, die auf definierte Ereignisse automatisch reagiert, beispielsweise durch die Sperrung einer IP-Adresse nach wiederholten fehlgeschlagenen Anmeldeversuchen.
Der SIEM-Markt im Überblick: Produkte, Stärken und Schwächen
Neben Wazuh stehen Unternehmen eine Reihe weiterer Plattformen zur Verfügung, die sich in Lizenzmodell, Funktionsumfang und Betriebsaufwand erheblich unterscheiden. Die folgende Tabelle gibt einen strukturierten Überblick:
| Produkt | Typ | Stärken | Schwächen | Preismodell |
|---|---|---|---|---|
| Wazuh | Open Source | Keine Lizenzkosten; vollständige SIEM/XDR-Plattform; große Community; NIS2-/ISO-27001-Unterstützung; digitale Souveränität | Hoher Betriebsaufwand; Tuning und Infrastruktur selbst verantworten; Reporting im Vergleich eingeschränkter | Kostenlos (Support-Pakete verfügbar) |
| Splunk Enterprise | Kommerziell | Marktführer; umfangreiche App-Bibliothek; starke Analysen und ML-Funktionen; breites Partnernetz | Sehr hohe volumenbasierte Lizenzkosten; Vendor Lock-in; nach Cisco-Übernahme (2024) Strategieunsicherheit | Volumenbasiert (Ingest GB/Tag); Enterprise-Verträge ab 6-stellig |
| Microsoft Sentinel | SaaS/Cloud | Tief in Azure/M365-Ökosystem integriert; KI-gestützte Erkennung; 150 % Workload-Wachstum 2025 (Mordor Intelligence) | Vendor Lock-in (Azure); Kosten bei hohem Log-Volumen stark steigend; Datenhaltung in US-Cloud | Pay-as-you-go (GB Ingest) oder Capacity Reservations |
| IBM QRadar SIEM | Kommerziell | Enterprise-reif; starke Korrelationsregeln; breite Integrationsbasis; UEBA-Funktionen | Komplex in Betrieb und Pflege; SaaS-Assets 2024 an Palo Alto Networks verkauft; unsichere Roadmap | Lizenz + Appliance oder SaaS |
| Elastic Security | Open-Core | Flexibler Datenstapel (ELK); gute Skalierbarkeit; kostenloser Basis-Tier; starke Suche und Dashboards | Lizenzänderung 2021 spaltete Community; komplexes Cluster-Management; Observability-Fokus überwiegt | Free Tier + kostenpflichtige Security-Features |
| Graylog | Open-Core | Einfachere Administration als Wazuh; gute Log-Management-Stärken; SIEM-Modul in Enterprise-Version | Schwächere XDR-/Endpoint-Detection; kleinere DACH-Community; Enterprise-Features kostenpflichtig | Open Source kostenlos; Enterprise ab Benutzeranzahl |
| LogRhythm / Exabeam | Kommerziell | KI-gestützte UEBA; starke Threat-Intelligence-Integration; vertikal auf Analysten ausgerichtet | Kostenintensiv; nach Fusion 2024 Integrationsunsicherheiten; mittelständische Kunden oft überfordert | Lizenz pro Nutzer + Events Per Second (EPS) |
Tabelle 1: Marktübersicht SIEM-Plattformen 2025. Quellen: Gartner Peer Insights, Forrester Wave Security Analytics Platforms Q2 2025, Mordor Intelligence (2025).
Open Source vs. kommerzielle SIEM: Die Entscheidungsmatrix
Der grundlegende Unterschied zwischen Open-Source- und kommerziellen SIEM-Lösungen ist nicht primär ein technischer, sondern ein betriebswirtschaftlicher. Die folgende Tabelle stellt die wichtigsten Entscheidungskriterien gegenüber:
| Kriterium | Open Source (z.B. Wazuh) | Kommerzielles SIEM |
|---|---|---|
| Lizenzkosten | Keine (Community) | Hoch; volumenbasiert (EPS/GB/Tag) |
| Betriebsaufwand | Hoch: Infrastruktur, Tuning, Regelpflege | Mittel bis hoch (je nach Modell) |
| Vendor Lock-in | Keiner; vollständig offener Quellcode | Hoch; proprietäre Formate & APIs |
| Digitale Souveränität | Vollständig gegeben; On-Premises möglich | Eingeschränkt; oft US-Cloud-Pflicht |
| Skalierbarkeit | Gut; erfordert eigene Infrastrukturplanung | Gut bis sehr gut; managed Services |
| Compliance-Reporting | Funktional; NIS2, ISO 27001, GDPR | Umfangreich; vorkonfigurierte Reports |
| Ökosystem-Integration | Offen; REST-APIs, Threat-Intel-Feeds | Herstellerspezifisch; App-Marktplätze |
| Support | Community + kostenpflichtige Partner | Herstellersupport inkludiert |
| Marktverbreitung | >100.000 Installationen (Wazuh, 2025) | Top-5 kontrollieren ca. 55 % Markt |
Tabelle 2: Entscheidungsmatrix Open Source vs. kommerzielle SIEM-Lösungen. Quelle: Eigene Einschätzung auf Basis von Gartner, KuppingerCole, Forrester (2025).
Das Lizenzkosten-Problem: Wenn Skalierung zur Kostenfalle wird
Ein zentrales Argument für Open-Source-SIEM ist die Entkoppelung der Betriebskosten vom Datenvolumen. Kommerzielle Anbieter berechnen in der Regel pro GB ingestierter Daten oder pro Events per Second (EPS). Was im Pilotbetrieb mit einem Bruchteil der Produktionsdaten noch budgetierbar wirkt, kann sich im Vollbetrieb um ein Vielfaches multiplizieren.
Mordor Intelligence beschreibt, wie dezentralisierte Speicher-Compute-Architekturen die Infrastrukturausgaben um bis zu 60 Prozent reduzieren können. Cisco hat Splunk im März 2024 für 28 Milliarden US-Dollar übernommen, was bei Bestandskunden die Unsicherheit über die künftige Preisstrategie erhöht hat. Microsoft Sentinel verzeichnete 2025 ein Workload-Wachstum von 150 Prozent und bündelt SIEM, XDR und generative KI in einer Lizenz, was die Einstiegshürde für Azure-affine Unternehmen senkt, die Abhängigkeit jedoch erhöht.
Für den Mittelstand ohne dediziertes SOC-Team und ohne nennenswerte Public-Cloud-Strategie bietet Open Source einen strukturellen Kostenvorteil: Die Lizenzkosten sind null, die Betriebskosten sind planbar und hängen nicht vom Log-Aufkommen ab.
TCO-Vergleich: Wazuh vs. Splunk bei 500 Endpunkten über 3 Jahre
Ein konkretes Rechenbeispiel verdeutlicht die Kostenunterschiede. Ausgangslage: Mittelständisches Unternehmen, 500 Endpunkte, ca. 50 GB Log-Daten pro Tag, kein eigenes SOC-Team.
Wazuh (Open Source) über 3 Jahre: Serverinfrastruktur (3 Nodes, On-Premises oder Cloud-VMs): ca. 15.000–25.000 Euro. Erstimplementierung durch externen Partner: ca. 10.000–20.000 Euro (je nach Komplexität). Laufendes Tuning/Administration: ca. 0,5 FTE intern oder ca. 12.000–18.000 Euro/Jahr Partnervertrag. Gesamtkosten 3 Jahre: ca. 60.000–95.000 Euro.
Splunk Enterprise über 3 Jahre: Lizenzkosten (50 GB/Tag, volumenbasiert): ca. 80.000–120.000 Euro/Jahr. Implementierung und Konfiguration: ca. 20.000–40.000 Euro. Laufender Betrieb (internes Team oder Partner): ca. 15.000–25.000 Euro/Jahr. Gesamtkosten 3 Jahre: ca. 330.000–490.000 Euro.
Der Kostenvorteil von Wazuh liegt damit über drei Jahre bei einem Faktor von 4 bis 5 – allerdings nur dann, wenn der Betriebsaufwand realistisch eingeplant ist. Wer diesen unterschätzt, verliert den Vorteil schnell durch versteckte Personalkosten. Die Zahlen sind Richtwerte auf Basis von Marktpreisen für DACH (2025); individuelle Angebote können abweichen.
Analysten-Perspektive: Was Gartner, Forrester und KuppingerCole empfehlen
Die Forrester Wave Security Analytics Platforms Q2 2025 beschreibt einen Wendepunkt im Markt: XDR-Anbieter wie CrowdStrike und Palo Alto Networks beanspruchen ein neues Zeitalter der SIEM-Fähigkeiten mit starkem Fokus auf Erkennung und Reaktion. Klassische SIEM-Lösungen punkten hingegen mit Flexibilität bei der Datenaufnahme und breiten Compliance-Anwendungsfällen.
Gartner konstatiert, dass SIEM-Technologie sich durch multiple Funktionen und Bereitstellungsmodelle zu einem umfassenden Sicherheitssystem weiterentwickelt, das Threat Detection, Investigation und Response integriert. Der globale Sicherheitssoftwaremarkt erreichte 2024 ein Volumen von 95 Milliarden US-Dollar, wobei SIEM zu den wachstumstreibenden Segmenten zählt.
KuppingerCole betont die Stabilität des klassischen SIEM-Markts mit einem CAGR von 5,1 Prozent und einem Volumen von 8,6 Milliarden US-Dollar bis 2025. Gleichzeitig empfehlen die Analysten Unternehmen, Open-Source-Alternativen ernsthaft zu evaluieren, insbesondere wenn Datensouveränität und Kostenkontrolle Priorität haben.
Stimmen aus der DACH-Praxis
„Viele unserer Kunden in regulierten Umgebungen suchen nach einer SIEM/XDR-Plattform, die ihnen volle Souveränität über ihre Daten gibt. Wazuh liefert das. Bei connecT stellen wir die ISO-zertifizierten Prozesse, das 24/7-Management und die Integration in die Gesamtstrategie von IT bis OT bereit. Die Kombination aus Open-Source-Technologie und strukturierter Governance ist eine wirksame Antwort für den deutschen Mittelstand, da Komplexität und Bedrohungen zunehmen.“
David Zinzius, Managing Consultant, connecT SYSTEMHAUS AG (ISO 27001-zertifizierter Wazuh-Partner, Siegen) – Quelle: wazuh.com, November 2025
„Der größte Fehler, den ich bei Open-Source-SIEM-Projekten beobachte: Unternehmen installieren Wazuh und glauben, die Arbeit sei damit getan. Tatsächlich beginnt die Arbeit erst danach. Wer kein Budget für laufendes Tuning hat, bekommt entweder Alert-Fatigue oder er übersieht echte Vorfälle. Das ist nicht ein Wazuh-Problem – das ist ein Betriebsreife-Problem.“
CISO eines regionalen IT-Dienstleisters, DACH (Name der Redaktion bekannt)
Betrieb und Implementierung: Die unterschätzte Herausforderung
Wazuh ist schnell installiert. Die eigentliche Arbeit beginnt danach und wird häufig unterschätzt. Die Plattform generiert in der Standardkonfiguration eine erhebliche Menge an Alarmen. Ohne kontinuierliches Tuning der Erkennungsregeln verliert sich das Security-Team schnell in der Masse der Daten.
NIS2 und vergleichbare Regelwerke fordern kein installiertes Tool. Sie fordern ein funktionierendes Sicherheitsmanagement: Welche Assets werden überwacht? Wie werden Alarme bewertet und priorisiert? Wie wird auf einen Vorfall reagiert und wie wird das dokumentiert?
Erfahrene Implementierungspartner empfehlen einen schrittweisen Ansatz: Zunächst werden die kritischsten Assets identifiziert und in das Monitoring einbezogen, Regeln werden auf die eigene Umgebung abgestimmt, False Positives werden reduziert. Erst wenn dieser Kern stabil läuft, wird der Scope sukzessive erweitert. Die Anbindung an CMDB-Systeme wie DataGerry oder i-doit ist entscheidend, um aus isolierten Log-Daten verwertbare Security Insights zu generieren.
Praxisbeispiel (fiktiv, illustrativ): Maschinenbauer führt Wazuh nach NIS2 ein
Hinweis: Das folgende Szenario ist ein fiktives, illustratives Beispiel. Es verdichtet typische Implementierungsmuster aus öffentlich verfügbaren Erfahrungsberichten von Wazuh-Partnern, ist aber keinem realen Einzelunternehmen zuzuordnen. Ein mittelständischer Maschinenbauer aus Bayern mit rund 800 Mitarbeitern stand nach Inkrafttreten des NIS2UmsuCG vor der Entscheidung: bestehende Perimeter-Security ergänzen oder ein vollständiges Security Monitoring einführen. Das Unternehmen fiel als Zulieferer in der Automobilbranche unter die NIS2-Anforderungen und benötigte einen nachweisbaren Prozess für die Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden.
Die Entscheidung fiel auf Wazuh, umgesetzt durch einen regionalen IT-Sicherheitsdienstleister. Innerhalb von sechs Wochen wurden 420 Windows-Endpunkte, zwölf Server und die Firewall-Infrastruktur in das Monitoring eingebunden. Die größte Herausforderung war nicht die Installation, sondern die Kalibrierung: In den ersten Wochen erzeugte die Standardkonfiguration täglich mehrere hundert Alarme, von denen nach gezieltem Tuning weniger als zehn pro Tag übrig blieben – darunter zwei ernsthafte Ereignisse, die ohne Monitoring unbemerkt geblieben wären. Heute verfügt das Unternehmen über eine auditfähige Logging-Infrastruktur und kann im Prüfungsfall nachweisen, welche Assets überwacht werden und wie auf Vorfälle reagiert wurde.
NIS2 konkret: Was müssen DACH-Unternehmen technisch nachweisen können?
NIS2 nennt keine Tool-Namen – aber die Anforderungen sind technisch konkret genug, um daraus eine Mindest-Log-Architektur abzuleiten. Ein CISO oder IT-Leiter, der eine Prüfung vorbereitet, sollte folgende Log-Quellen mindestens eingebunden haben:
• Active-Directory- und IAM-Logs (Anmeldeversuche, Rechteänderungen, Gruppenänderungen) – für Nachweis von Zugriffskontrolle nach Art. 21 NIS2
• Firewall- und Netzwerk-Perimeter-Logs (eingehende/ausgehende Verbindungen, geblockte Traffic-Quellen) – für Incident-Detection
• Endpunkt-Systemlogs (Windows Event Logs, Syslog Linux) – für File Integrity Monitoring und Anomalie-Erkennung
• Backup- und Recovery-Logs – für Nachweis von Business-Continuity-Maßnahmen nach Art. 21 Abs. 2 lit. c NIS2
• E-Mail-Security-Logs und DNS-Logs – für Phishing-Erkennung und Supply-Chain-Vorfallsnachweis
Wazuh kann alle genannten Log-Quellen nativ verarbeiten. Entscheidend für eine NIS2-Prüfung ist zusätzlich die Dokumentation: Wer hat wann auf welche Systeme zugegriffen? Welche Alarme wurden ausgelöst, und wie wurde reagiert? Diese Audit-Trail-Funktionalität ist in Wazuh über die Dashboard-Historisierung und Incident-Response-Module abbildbar – setzt aber eine konsequente Konfiguration voraus.
Fazit: Die richtige SIEM-Entscheidung treffen
Die Entscheidung zwischen Open Source und kommerzieller SIEM-Lösung ist keine technische, sondern eine strategische. Unternehmen mit knappem Budget, hohem Datenschutzbedarf und der Bereitschaft, Betriebskompetenz aufzubauen, fahren mit Wazuh oder ähnlichen Open-Source-Plattformen oft besser. Unternehmen mit starker Azure-Bindung und Bedarf an vorkonfigurierten Compliance-Reports können mit Microsoft Sentinel schneller produktiv werden.
Was alle Lösungen verbindet: Sie funktionieren nur, wenn sie ernsthaft betrieben werden. Die Installation allein schafft keine Compliance. Wer glaubt, mit der Bereitstellung eines Tools die regulatorischen Anforderungen zu erfüllen, wird enttäuscht werden, unabhängig davon, ob er 0 Euro oder 100.000 Euro pro Jahr für die Lizenz ausgibt.
Nächste Schritte für Ihr Security Monitoring
Sie planen die Einführung eines SIEM oder evaluieren Wazuh konkret für Ihre Umgebung? Diese Ressourcen helfen Ihnen weiter:
• NIS2-Ressourcen & Checklisten: Drei empfohlene Quellen für den Soforteinstieg: (1) it-daily.net NIS2-Checkliste –10 Schritte (2) it-daily.net NIS2-Hub (alle Artikel, Whitepaper, Webinare) (3) DriveLock NIS2-Compliance-Check (kostenloses Self-Assessment)
• Wazuh-Demo und Partnersuche: Auf wazuh.com finden Sie eine Live-Demo und eine Liste zertifizierter DACH-Implementierungspartner.
• Weiterführende Fachbeiträge auf it-daily.net: Lesen Sie unsere aktuellen Analysen zu NIS2-Compliance, Zero Trust und Cybersecurity im Mittelstand
