Inhalt
Sie haben bereits einen oder zwei Leute im Team, die sich um IT-Sicherheit kümmern. Aber 24/7-Abdeckung ist nicht drin, und die Komplexität nimmt zu.
Die Frage ist nicht, ob Sie Hilfe holen, sondern wie Sie die Aufgaben richtig aufteilen. Dieser Artikel zeigt, wie das geht.
Das Dilemma: Kompetenz vorhanden, Kapazität nicht
Viele Mittelständler haben ein internes Security-Team, das fachlich einiges auf dem Kasten hat. Ein IT-Sicherheitsbeauftragter, vielleicht noch ein Admin mit Security-Schwerpunkt. Die kennen Ihre Systeme, wissen was kritisch ist, sprechen die Sprache der Fachabteilungen.
Aber: Sie können nicht rund um die Uhr überwachen. Urlaub, Krankheit, Feierabend. Und selbst wenn die Kapazität da wäre, fehlt oft die Spezialisierung für komplexe Angriffsmuster oder die neuesten Bedrohungen.
Komplett auslagern? Will keiner. Das interne Know-how ist wertvoll. Also landet man beim Hybrid-Modell, oft ohne es so zu nennen.
Was ist ein Hybrid-SOC?
Kurz gesagt: Ihr internes Team behält bestimmte Aufgaben, ein externer SOCaaS-Anbieter übernimmt andere. Beide arbeiten zusammen, jeder in seiner Rolle.
Das ist kein neues Konzept. Es wird in der Fachliteratur manchmal auch Co-Managed SOC genannt. Der Begriff ist weniger wichtig als die klare Aufgabenteilung dahinter.
Für wen ist ein Hybrid-SOC sinnvoll?
Nicht jede Situation passt zum Hybrid-Modell. Hier ist eine einfache Entscheidungsmatrix:
Intern-only passt, wenn:
Vollständig ausgelagert passt, wenn:
Hybrid passt, wenn:
Wenn Sie gerade bei der dritten Variante genickt haben, lesen Sie weiter.
Aufgabenteilung konkret: Was bleibt intern, was wird ausgelagert?
Die Faustregel: Das, was Kontext braucht, bleibt intern. Das, was Spezialisierung und Dauerverfügbarkeit braucht, geht nach außen.
Was intern bleibt:
Was nach außen geht:
Was gemeinsam läuft:
Die häufigsten Fehler bei Hybrid-SOC-Einführungen
Ich sage es direkt: Die meisten Hybrid-Setups scheitern nicht an der Technik, sondern an unklaren Zuständigkeiten.
Fehler 1: Unklare Eskalationspfade
Wenn um 3 Uhr nachts ein Alarm kommt und niemand weiß, wer jetzt was tun soll, ist das kein SOC. Das ist Chaos mit Monitoring.
Definieren Sie vorher schriftlich: Bei welcher Alarmstufe wird wer informiert? Wer darf welche Entscheidungen treffen?
Fehler 2: Kein gemeinsames Ticketsystem
Der externe SOC nutzt sein System, Ihr internes Team nutzt ein anderes. Ergebnis: Vorfälle fallen zwischen die Stühle.
Sorgen Sie dafür, dass beide Seiten im selben System arbeiten oder zumindest nahtlos synchronisieren.
Fehler 3: Keine regelmäßigen gemeinsamen Reviews
Wenn Sie nur dann miteinander reden, wenn etwas brennt, läuft etwas falsch. Regelmäßige Reviews halten beide Seiten synchron.
Schnittstellen richtig definieren: Checkliste für IT-Leiter
Das Folgende sollten Sie vor dem Start klären:
Praxisbeispiel: Maschinenbauer mit 2 IT-Security-Mitarbeitern integriert SOCaaS
Ein mittelständischer Maschinenbauer, 220 Mitarbeitende, zwei interne IT-Sicherheitsverantwortliche. Einer davon Vollzeit, der andere als Teilaufgabe neben anderen Admin-Tätigkeiten. NIS-2-betroffen, also Meldepflicht bei Vorfällen.
Das Setup:
Was gut läuft:
Was anfangs nicht lief:
Fazit
Ein Hybrid-SOC ist keine Notlösung. Es ist für viele Mittelständler die realistischste und wirtschaftlich sinnvollste Option, vorausgesetzt, die Aufgabenteilung ist klar.
Ihr internes Team bleibt das strategische Hirn der IT-Sicherheit. Der externe SOC übernimmt das, was intern nicht darstellbar ist: Dauerverfügbarkeit, Spezialisierung, skalierbare Kapazität.
Wenn Sie wissen möchten, wie ein Hybrid-SOC konkret in Ihrer Situation aussehen könnte, sprechen Sie uns gerne an.

Der Artikel ist von
IT-Security Team
Unser IT-Security-Team schützt Mittelständler vor realen Bedrohungen und weiß, welche Maßnahmen im Alltag funktionieren. Namentlich bleiben unsere Security-Kollegen lieber im Hintergrund. ;)
FAQ
Was ist der Unterschied zwischen Hybrid-SOC und Co-Managed SOC?
Die Begriffe werden oft synonym verwendet. Beide beschreiben ein Modell, bei dem interne und externe Ressourcen zusammenarbeiten. Manche Anbieter verwenden "Co-Managed" speziell für Setups, bei denen beide Seiten Zugriff auf dieselbe Plattform haben. Praktisch ist der Unterschied weniger wichtig als die klare Aufgabenteilung.
Wie verhindere ich im Ernstfall, dass niemand zuständig ist?
Indem Sie Eskalationspfade und Verantwortlichkeiten vorher schriftlich festlegen. Eine RACI-Matrix hilft: Wer ist Responsible (führt aus), Accountable (entscheidet), Consulted (wird einbezogen), Informed (wird informiert)? Wenn das vor dem ersten Vorfall steht, gibt es im Ernstfall keine Unklarheiten.
Kann mein internes Team weiterhin eigene Untersuchungen durchführen?
Ja, absolut. Ihr internes Team behält Zugriff auf alle Systeme und Daten. Der externe SOC ergänzt, er ersetzt nicht. Wenn Ihr Team einen Verdacht hat oder tiefer graben will, kann es das jederzeit tun. Gute externe SOCs unterstützen das sogar aktiv.
Wie viel Zeit muss mein internes Team für die Koordination mit dem externen SOC einplanen?
Realistisch: 2-4 Stunden pro Monat für Reviews und Abstimmungen, plus ad-hoc Zeit bei Vorfällen. Wenn die Prozesse gut laufen, ist der Koordinationsaufwand überschaubar. Die Zeit, die Sie durch wegfallende False-Positive-Bearbeitung sparen, ist meist deutlich höher.
Was passiert, wenn der externe SOC-Anbieter einen Alarm auslöst und ich schlafe?
Das regeln Sie im Eskalationsplan. Typische Variante: Bei niedrigen Alarmstufen erfolgt die Eskalation per E-Mail oder Ticket, bei hohen Stufen per Anruf. Wenn die erste Kontaktperson nicht erreichbar ist, greift die zweite Eskalationsstufe. Definieren Sie das vorher, nicht im Ernstfall.





