SOC as a Service oder MDR – was Schweizer KMU wirklich brauchen

Die kurze Antwort

Managed Detection and Response (MDR) konzentriert sich auf Endpoint-Telemetrie und automatisierte Reaktion. Ein Security Operations Center (SOC) as a Service integriert zusätzlich Netzwerk-, Cloud- und Identitäts-Events in einem SIEM und reagiert menschlich. Für die meisten Schweizer KMU mit mehr als 50 Mitarbeitenden ist SOC-as-a-Service der robustere Weg – gerade weil Angriffe heute selten nur auf Endpoints sichtbar sind.

Was steckt jeweils dahinter

MDR

MDR-Anbieter verkaufen eine Kombination aus:

• einer Endpoint-Detection-and-Response-Lösung (EDR oder XDR)
• einem Hersteller-Backend, das Alarme automatisiert triagiert
• einer Reaktionsschicht mit standardisierten Playbooks (Host isolieren, Prozess beenden, Datei löschen)
• meist einem angegliederten Analysten-Team für komplexere Fälle

Das Modell ist schnell aufsetzbar und liefert gute Baseline-Abdeckung für Ransomware und Standard-Malware.

SOC as a Service

Ein Managed SOC bringt dieselben Endpoint-Fähigkeiten mit, erweitert sie aber um:

• Log-Aggregation aus Firewall, Server, Cloud-APIs (Microsoft 365, Azure, AWS), Identity-Providern und Branchen-Applikationen
• Korrelation über mehrere Datenquellen – typisches Beispiel: Phishing-Mail + erfolgreicher Login aus unerwartetem Land + Download aus SharePoint
• Detektions-Use-Cases, die spezifisch für eure Umgebung konfiguriert werden
• menschliches Threat Hunting, das proaktiv nach Mustern sucht
• forensische Fähigkeiten nach Vorfällen

Der Aufbau ist aufwendiger – aber die Abdeckung reicht über den Endpoint hinaus.

Wann reicht MDR, wann braucht es ein SOC?

Aufwand-Unterschied zwischen den beiden Ansätzen

MDR skaliert linear mit der Anzahl der Endpoints – der Aufwand ist gut kalkulierbar. SOC as a Service ist aufwendiger aufzubauen und zu betreiben: es beinhaltet SIEM-Tuning, Use-Case-Entwicklung, 24/7-Schichtbetrieb und forensische Kapazität.

Der Unterschied ist spürbar. Aber: Ein Managed SOC bedeutet nicht einen einzelnen Menschen, sondern ein Team, das 24/7 verfügbar ist, über Sprachen und Zeitzonen hinweg. Für die meisten KMU ist das die erste realistische Form von Rund-um-die-Uhr-Abdeckung überhaupt – insbesondere beim ersten ernsthaften Vorfall.

Worauf ihr bei der Auswahl achten solltet

1. Data Residency: Wo werden Logs verarbeitet? Für Schweizer Unternehmen mit Compliance-Pflichten muss die Antwort "Schweiz" oder mindestens "EU" lauten.
2. Response-SLAs: Wie schnell handelt der Anbieter? 15 Minuten Time-to-Response für kritische Alarme rund um die Uhr sind ein guter Benchmark.
3. Forensik: Werden Vorfälle bis zum schriftlichen Abschlussbericht aufgearbeitet, oder endet der Service beim Containment?
4. Transparenz: Erhaltet ihr monatliche Reports mit Mean-Time-to-Detect, Mean-Time-to-Respond und erkannten Angriffsmustern?
5. Integration: Wie tief lässt sich der Service in eure bestehende IT einbinden? Pauschale Lösungen passen selten – eine individuelle Anbindung an euer Ticketsystem, euer AD und eure Dokumentation spart später viel Reibung.

Der pragmatische Einstieg

Wenn ihr heute weder MDR noch SOC betreibt, lohnt sich ein gestufter Einstieg:

1. Zuerst ein Security Assessment, das die aktuellen Blind-Spots identifiziert – oft sind 60 % der Risiken mit Konfigurations-Hardening zu beseitigen.
2. Danach entweder MDR als schnelle Baseline oder direkt SOC, wenn die Organisation entsprechende Reife und Compliance-Anforderungen hat.
3. Nach 12 Monaten Review der ersten 12 Incident-Reports und Service-Metriken: was wurde abgewehrt, was hätte man früher sehen müssen, wo braucht es Anpassungen?

Wir beraten bei beiden Varianten herstellerunabhängig. Falls du unsicher bist, welche Kategorie zu eurer Situation passt, sprich uns an – eine ehrliche halbstündige Einschätzung gibt es von uns unverbindlich.