Inhalt

Sie haben bereits einen oder zwei Leute im Team, die sich um IT-Sicherheit kümmern. Aber 24/7-Abdeckung ist nicht drin, und die Komplexität nimmt zu.

Die Frage ist nicht, ob Sie Hilfe holen, sondern wie Sie die Aufgaben richtig aufteilen. Dieser Artikel zeigt, wie das geht.

Das Dilemma: Kompetenz vorhanden, Kapazität nicht

Viele Mittelständler haben ein internes Security-Team, das fachlich einiges auf dem Kasten hat. Ein IT-Sicherheitsbeauftragter, vielleicht noch ein Admin mit Security-Schwerpunkt. Die kennen Ihre Systeme, wissen was kritisch ist, sprechen die Sprache der Fachabteilungen.

Aber: Sie können nicht rund um die Uhr überwachen. Urlaub, Krankheit, Feierabend. Und selbst wenn die Kapazität da wäre, fehlt oft die Spezialisierung für komplexe Angriffsmuster oder die neuesten Bedrohungen.

Komplett auslagern? Will keiner. Das interne Know-how ist wertvoll. Also landet man beim Hybrid-Modell, oft ohne es so zu nennen.

Was ist ein Hybrid-SOC?

Kurz gesagt: Ihr internes Team behält bestimmte Aufgaben, ein externer SOCaaS-Anbieter übernimmt andere. Beide arbeiten zusammen, jeder in seiner Rolle.

Das ist kein neues Konzept. Es wird in der Fachliteratur manchmal auch Co-Managed SOC genannt. Der Begriff ist weniger wichtig als die klare Aufgabenteilung dahinter.

Für wen ist ein Hybrid-SOC sinnvoll?

Nicht jede Situation passt zum Hybrid-Modell. Hier ist eine einfache Entscheidungsmatrix:

Intern-only passt, wenn:

  • Sie mindestens 3-4 dedizierte Security-Mitarbeiter haben 

  • 24/7-Abdeckung über Schichtmodelle realistisch ist 

  • Ihr Budget ein vollständig internes SOC erlaubt (grob: ab 1 Mio. Euro pro Jahr) 

  • Sie die Kontrolle komplett behalten müssen (z.B. hochregulierte Branchen)

Vollständig ausgelagert passt, wenn:

  • Kein internes Security-Personal vorhanden ist

  • Keine Pläne bestehen, eigenes Personal aufzubauen

  • Budget für externe Dienstleister vorhanden, aber nicht für Vollzeitstellen

  • Schneller Aufbau ohne lange Rekrutierung gewünscht ist

Hybrid passt, wenn:

  • 1-2 interne Security-Mitarbeiter vorhanden sind

  • Fachliche Kompetenz da ist, aber Kapazität fehlt

  • Unternehmens-spezifisches Know-how intern bleiben soll

  • 24/7-Abdeckung nötig ist, aber intern nicht darstellbar

Wenn Sie gerade bei der dritten Variante genickt haben, lesen Sie weiter.

Aufgabenteilung konkret: Was bleibt intern, was wird ausgelagert?

Die Faustregel: Das, was Kontext braucht, bleibt intern. Das, was Spezialisierung und Dauerverfügbarkeit braucht, geht nach außen.

Was intern bleibt:

  • Asset-Management und Systemkenntnis. Ihr Team weiß, welche Systeme geschäftskritisch sind, wer welche Zugriffe hat und warum Server X jede Nacht um 2 Uhr neustartet.

  • Compliance-Dokumentation und Audit-Vorbereitung. ISO 27001, NIS-2, branchenspezifische Anforderungen: Das kennt Ihr Team am besten.

  • Kommunikation mit der Geschäftsführung. Wenn ein Vorfall eskaliert, will die Geschäftsführung mit jemandem sprechen, der das Unternehmen kennt.

  • Entscheidungen im Ernstfall. Ob ein System isoliert wird, ob die Produktion gestoppt wird: Das entscheidet Ihr internes Team.

Was nach außen geht:

  • 24/7-Monitoring und Tier-1-Alarmbearbeitung. Der externe SOC filtert False Positives und eskaliert nur Relevantes.

  • Threat Intelligence und Use-Case-Entwicklung. Welche neuen Angriffsmuster gibt es? Das macht der externe SOC.

  • Tier-2-Analyse bei komplexen Vorfällen. Wenn ein Alarm nicht eindeutig ist, analysiert der externe SOC tiefer.

  • Reporting und Dashboards. Der externe SOC liefert monatliche Reports und Trend-Analysen.

Was gemeinsam läuft:

  • Incident Response im Ernstfall. Der externe SOC erkennt und meldet. Ihr internes Team entscheidet und koordiniert.

  • Eskalationspfade. Wer wird wann informiert? Das definieren Sie gemeinsam.

  • Regelmäßige Reviews. Einmal im Monat setzen sich beide Seiten zusammen.

Die häufigsten Fehler bei Hybrid-SOC-Einführungen

Ich sage es direkt: Die meisten Hybrid-Setups scheitern nicht an der Technik, sondern an unklaren Zuständigkeiten.

Fehler 1: Unklare Eskalationspfade

Wenn um 3 Uhr nachts ein Alarm kommt und niemand weiß, wer jetzt was tun soll, ist das kein SOC. Das ist Chaos mit Monitoring.

Definieren Sie vorher schriftlich: Bei welcher Alarmstufe wird wer informiert? Wer darf welche Entscheidungen treffen?

Fehler 2: Kein gemeinsames Ticketsystem

Der externe SOC nutzt sein System, Ihr internes Team nutzt ein anderes. Ergebnis: Vorfälle fallen zwischen die Stühle.

Sorgen Sie dafür, dass beide Seiten im selben System arbeiten oder zumindest nahtlos synchronisieren.

Fehler 3: Keine regelmäßigen gemeinsamen Reviews

Wenn Sie nur dann miteinander reden, wenn etwas brennt, läuft etwas falsch. Regelmäßige Reviews halten beide Seiten synchron.

Schnittstellen richtig definieren: Checkliste für IT-Leiter

Das Folgende sollten Sie vor dem Start klären:

  • Eskalationspfade schriftlich festgelegt: Wer wird bei welcher Alarmstufe wie informiert?

  • Gemeinsames Ticketsystem oder nahtlose Synchronisation zwischen Systemen

  • RACI-Matrix erstellt: Wer ist Responsible, Accountable, Consulted, Informed?

  • Regelmäßiger Review-Rhythmus vereinbart (mindestens monatlich)

  • Klare Trennung: Wer entscheidet über Gegenmaßnahmen im Ernstfall?

  • Dokumentation: Wo liegen Asset-Inventare, Netzwerkpläne, Kontaktlisten?

  • Kommunikationswege definiert: Slack, Teams, Telefon, E-Mail?

  • Vertragliche Regelung: Was passiert bei Kündigungen, Anbieterwechsel?

Praxisbeispiel: Maschinenbauer mit 2 IT-Security-Mitarbeitern integriert SOCaaS

Ein mittelständischer Maschinenbauer, 220 Mitarbeitende, zwei interne IT-Sicherheitsverantwortliche. Einer davon Vollzeit, der andere als Teilaufgabe neben anderen Admin-Tätigkeiten. NIS-2-betroffen, also Meldepflicht bei Vorfällen.

Das Setup:

  • Intern: Asset-Management, Systemdokumentation, Compliance-Nachweise, Kommunikation mit Geschäftsführung

  • Extern (SOCaaS): 24/7-Monitoring, Alarmbearbeitung, Threat Intelligence, monatliche Reports

  • Gemeinsam: Monatliches Review-Meeting, vierteljährliche Anpassung der Erkennungsregeln

Was gut läuft:

  • Alarme werden extern gefiltert, nur relevante Meldungen kommen intern an

  • Das interne Team kann sich auf strategische Themen konzentrieren

  • Bei einem Phishing-Versuch lief die Eskalation sauber

Was anfangs nicht lief:

  • Ticketsystem-Synchronisation hat zwei Wochen gebraucht

  • Eskalationspfade waren zunächst nur mündlich abgestimmt

  • Das interne Team hatte anfangs das Gefühl, Kontrolle zu verlieren

Fazit

Ein Hybrid-SOC ist keine Notlösung. Es ist für viele Mittelständler die realistischste und wirtschaftlich sinnvollste Option, vorausgesetzt, die Aufgabenteilung ist klar.

Ihr internes Team bleibt das strategische Hirn der IT-Sicherheit. Der externe SOC übernimmt das, was intern nicht darstellbar ist: Dauerverfügbarkeit, Spezialisierung, skalierbare Kapazität.

Wenn Sie wissen möchten, wie ein Hybrid-SOC konkret in Ihrer Situation aussehen könnte, sprechen Sie uns gerne an.

Der Artikel ist von

IT-Security Team

Unser IT-Security-Team schützt Mittelständler vor realen Bedrohungen und weiß, welche Maßnahmen im Alltag funktionieren. Namentlich bleiben unsere Security-Kollegen lieber im Hintergrund. ;)

FAQ

Was ist der Unterschied zwischen Hybrid-SOC und Co-Managed SOC?

Die Begriffe werden oft synonym verwendet. Beide beschreiben ein Modell, bei dem interne und externe Ressourcen zusammenarbeiten. Manche Anbieter verwenden "Co-Managed" speziell für Setups, bei denen beide Seiten Zugriff auf dieselbe Plattform haben. Praktisch ist der Unterschied weniger wichtig als die klare Aufgabenteilung. 

Wie verhindere ich im Ernstfall, dass niemand zuständig ist?

Indem Sie Eskalationspfade und Verantwortlichkeiten vorher schriftlich festlegen. Eine RACI-Matrix hilft: Wer ist Responsible (führt aus), Accountable (entscheidet), Consulted (wird einbezogen), Informed (wird informiert)? Wenn das vor dem ersten Vorfall steht, gibt es im Ernstfall keine Unklarheiten. 

Kann mein internes Team weiterhin eigene Untersuchungen durchführen?

Ja, absolut. Ihr internes Team behält Zugriff auf alle Systeme und Daten. Der externe SOC ergänzt, er ersetzt nicht. Wenn Ihr Team einen Verdacht hat oder tiefer graben will, kann es das jederzeit tun. Gute externe SOCs unterstützen das sogar aktiv. 

Wie viel Zeit muss mein internes Team für die Koordination mit dem externen SOC einplanen?

Realistisch: 2-4 Stunden pro Monat für Reviews und Abstimmungen, plus ad-hoc Zeit bei Vorfällen. Wenn die Prozesse gut laufen, ist der Koordinationsaufwand überschaubar. Die Zeit, die Sie durch wegfallende False-Positive-Bearbeitung sparen, ist meist deutlich höher. 

Was passiert, wenn der externe SOC-Anbieter einen Alarm auslöst und ich schlafe?

Das regeln Sie im Eskalationsplan. Typische Variante: Bei niedrigen Alarmstufen erfolgt die Eskalation per E-Mail oder Ticket, bei hohen Stufen per Anruf. Wenn die erste Kontaktperson nicht erreichbar ist, greift die zweite Eskalationsstufe. Definieren Sie das vorher, nicht im Ernstfall. 

IT-Wissen für den Mittelstand

Mehr von dem Autor und SAC