SIEM kostet Schweizer KMU CHF 1’000 bis 15’000 pro Monat. Bei 50 bis 150 Mitarbeitenden: CHF 18’000 bis 80’000 pro Jahr, inklusive Lizenzen, Implementierung und Betrieb. Das hängt von Plattform (Splunk, Microsoft Sentinel, Elastic), Datenvolumen und Betriebsmodell ab.
Ohne SIEM oder vergleichbares Monitoring dauert es durchschnittlich 207 Tage, bis ein Einbruch entdeckt wird (IBM, 2024). 43% aller gemeldeten Cybervorfälle bei Schweizer Unternehmen hätten durch besseres Monitoring früher erkannt werden können (BACS, 2024). Nachfolgend der Preisvergleich nach Plattform, Datenvolumen und Betriebsmodell.
Was ist ein SIEM – und brauchen KMU es wirklich?
Ein SIEM aggregiert sicherheitsrelevante Ereignisse (Events) und Informationen (Informations) aus der gesamten IT-Infrastruktur an einem zentralen Ort. Es korreliert Ereignisse, erkennt Angriffsmuster und löst Alarme aus, bevor ein Schaden entsteht.
Gemäss dem Bericht zur Lage der Informationssicherheit in der Schweiz 2024 des Bundesamts für Cybersicherheit (BACS) haben rund 43% aller gemeldeten Cybervorfälle bei Schweizer Unternehmen durch besseres Monitoring verhindert oder früher erkannt werden können. Ohne ein SIEM oder vergleichbares Monitoring dauert es im Schnitt 207 Tage, bis ein Einbruch in ein Unternehmensnetzwerk entdeckt wird (IBM Cost of a Data Breach Report 2024).
Für KMU, die regulatorischen Anforderungen wie ISO 27001, DSGVO/DSG oder FINMA-Rundschreiben unterliegen, ist ein SIEM oft keine Kür, sondern Pflicht. Auch Unternehmen, die am NIS2-Äquivalent der Schweiz orientiert arbeiten, müssen nachweislich Security-Monitoring betreiben.
“Für KMU ist nicht die Frage, ob sie ein SIEM brauchen – sondern in welcher Form. Die richtige Lösung muss zum internen Know-how und zum Budget passen.” — Sicherheitsarchitekt, Schweizer IT-Beratungsunternehmen, 2025
SIEM-Kosten im Überblick: Die wichtigsten Preistreiber
Die Kosten einer SIEM-Lösung hängen von mehreren Faktoren ab:
- Datenvolumen (Events per Second / GB pro Tag): Die meisten Lizenzen skalieren mit dem Volumen der gesammelten Log-Daten.
- Anzahl Datenquellen (Data Sources): Mehr Systeme bedeuten höhere Lizenz- und Implementationskosten.
- Betriebsmodell: Self-Hosted on-premise, Cloud-native oder Managed Service – die Kosten unterscheiden sich erheblich.
- Retentionszeitraum: Regulatorische Vorgaben (oft 12–24 Monate) erhöhen die Speicherkosten.
- Personalaufwand: Ein SIEM ohne geschultes Personal ist wertlos. Für den 24/7-Betrieb braucht es mindestens 1–2 FTE im eigenen SOC oder einen externen Anbieter.
SIEM-Kostenvergleich: Grosse Plattformen für Schweizer KMU
Detaillierte Kostentabelle: SIEM-Plattformen 2026
| Plattform | Preismodell | Kosten KMU (50–150 MA) | Einmalige Setup-Kosten | Gesamtkosten Jahr 1 |
|---|---|---|---|---|
| Microsoft Sentinel | Pay-per-GB (ca. CHF 2.60–4.50/GB/Tag) | CHF 1’500–5’000/Monat | CHF 8’000–20’000 | CHF 26’000–80’000 |
| Splunk Enterprise/Cloud | Ingest-basiert (ca. CHF 1’800–3’500/GB/Tag) | CHF 3’000–12’000/Monat | CHF 15’000–40’000 | CHF 51’000–184’000 |
| Elastic SIEM (Elasticsearch) | Subscription (Bronze–Platinum) | CHF 800–4’000/Monat | CHF 10’000–25’000 | CHF 19’600–73’000 |
| IBM QRadar | Ereignis-basiert (EPS) | CHF 2’500–8’000/Monat | CHF 20’000–50’000 | CHF 50’000–146’000 |
| Wazuh (Open Source) | Kostenlos (Infrastruktur & Support kostenpflichtig) | CHF 500–2’000/Monat | CHF 5’000–15’000 | CHF 11’000–39’000 |
| Managed SIEM (Schweizer MSP) | All-inclusive Flatrate | CHF 2’500–8’000/Monat | CHF 2’000–6’000 | CHF 32’000–102’000 |
Alle Preise in CHF, inklusive geschätzter Personalkosten für Betrieb. Preise variieren je nach Vertragsvolumen und Konfiguration.
Microsoft Sentinel: Der Favorit für Microsoft-Umgebungen
Microsoft Sentinel ist für viele Schweizer KMU der naheliegendste Einstieg, da die meisten bereits Microsoft 365 und Azure nutzen. Das Preismodell basiert auf dem täglich ingerierten Datenvolumen.
Microsoft Sentinel – Kostenkalkulation KMU
| Unternehmensgrösse | Geschätztes Datenvolumen | Kosten/Monat (Pay-as-you-go) | Kosten/Monat (Commitment Tier) | Ersparnis |
|---|---|---|---|---|
| Klein (10–30 MA) | 1–5 GB/Tag | CHF 780–3’510 | CHF 650–2’800 | ~20% |
| Mittel (30–100 MA) | 5–20 GB/Tag | CHF 3’510–14’040 | CHF 2’600–9’800 | ~25–30% |
| Mittelgross (100–250 MA) | 20–50 GB/Tag | CHF 14’040–35’100 | CHF 9’800–22’000 | ~30–37% |
Wichtig: Microsoft Sentinel beinhaltet kostenlose Datenquellen für Microsoft-Produkte (Office 365-Logs, Azure AD, Microsoft Defender). Wer hauptsächlich im Microsoft-Ökosystem arbeitet, zahlt deutlich weniger als bei drittherstellerspezifischen Deployments.
Stärken für KMU:
- Native Integration in bestehende Microsoft-Infrastruktur
- Kein On-Premise-Server notwendig
- MSSP-Partner (Managed Security Service Provider) in der Schweiz verfügbar
- Compliance-Berichte für ISO 27001 und DSG vorinstalliert
Splunk: Marktführer mit entsprechendem Preis
Splunk gilt als die mächtigste SIEM-Plattform auf dem Markt, richtet sich aber mit ihrem Preismodell primär an grössere Unternehmen. Für KMU empfiehlt sich Splunk Cloud mit dem Splunk Enterprise Security Add-on.
Splunk – Jahreslizenz KMU (Richtwerte)
| Paket | Ingest-Volumen | Jahreskosten (Lizenz) | Implementation | Betrieb (intern) |
|---|---|---|---|---|
| Splunk Cloud Starter | bis 5 GB/Tag | CHF 28’000–42’000 | CHF 15’000–25’000 | CHF 30’000–60’000 |
| Splunk Cloud Standard | bis 20 GB/Tag | CHF 65’000–95’000 | CHF 20’000–40’000 | CHF 40’000–80’000 |
| Splunk ES (Enterprise Sec.) | nach Volumen | CHF 90’000+ | CHF 30’000–60’000 | CHF 60’000+ |
Splunk eignet sich für KMU in erster Linie dann, wenn sie über ein eigenes Sicherheitsteam oder SOC verfügen und Splunk über einen MSSP beziehen. Die Eigenkosten ohne externe Unterstützung übersteigen das Budget der meisten KMU.
Open-Source-Alternative: Wazuh als kosteneffiziente Lösung
Wazuh ist eine quelloffene SIEM- und XDR-Plattform, die bei Schweizer IT-Dienstleistern zunehmend für KMU eingesetzt wird. Die Software selbst ist kostenlos, der Betrieb erfordert jedoch Know-how.
Wazuh – Gesamtkostenberechnung (TCO)
| Kostenkomponente | Einmalig | Monatlich | Anmerkung |
|---|---|---|---|
| Software-Lizenz | CHF 0 | CHF 0 | Open Source, Apache 2.0 |
| Server-Infrastruktur (Cloud) | CHF 500–2’000 | CHF 200–800 | AWS/Azure-VM je nach Grösse |
| Wazuh Cloud (SaaS) | — | CHF 250–1’500 | Managed Wazuh-Hosting |
| Implementierung & Konfiguration | CHF 5’000–15’000 | — | Einmaliger Aufwand |
| Tuning & Regelwartung | — | CHF 500–2’000 | Laufender Betrieb |
| Support (externer Partner) | — | CHF 800–3’000 | Optional aber empfohlen |
| Gesamt | CHF 5’500–17’000 | CHF 1’750–7’300 | TCO Jahr 1: ~CHF 26’500–105’600 |
“Wazuh ist für viele KMU der pragmatische Kompromiss: Professionelle SIEM-Funktionalität ohne die prohibitiven Lizenzkosten der grossen Anbieter – vorausgesetzt, man hat oder holt sich das nötige technische Know-how.” — CISO, Schweizer Finanzdienstleister, 2025
Managed SIEM: Die KMU-freundlichste Option
Für die meisten Schweizer KMU ohne eigenes Sicherheitsteam ist ein Managed SIEM die wirtschaftlichste und sicherste Wahl. Ein externer Anbieter (MSSP) betreibt das SIEM, überwacht die Alarme rund um die Uhr und eskaliert bei echten Vorfällen.
Managed SIEM – Preisübersicht Schweiz
| Anbietertyp | Inklusivleistungen | Kosten/Monat | Vertragslaufzeit |
|---|---|---|---|
| MSSP Basispaket | SIEM-Plattform, 8x5-Monitoring, monatliche Reports | CHF 1’800–3’500 | 12–24 Monate |
| MSSP Standard | SIEM + SOC 24/7, Alarmierung, quartalsweise Review | CHF 3’500–6’500 | 12–24 Monate |
| MSSP Premium | SIEM + SOC 24/7, IR-Unterstützung, Compliance-Reporting | CHF 6’500–12’000 | 12–24 Monate |
| Schweizer Boutique-Anbieter | Massgeschneidert, lokale Präsenz | CHF 4’000–10’000 | 12 Monate |
Vorteile Managed SIEM:
- Keine Investition in eigene Hardware oder Schulungen
- 24/7-Überwachung durch erfahrene Security-Analysten
- Sofortige Eskalation bei echten Vorfällen
- Compliance-Nachweise für Auditoren schlüsselfertig
- Skalierbar mit Unternehmenswachstum
Nachteile Managed SIEM:
- Laufende Kosten dauerhaft, keine Eigenentwicklung
- Abhängigkeit vom Anbieter
- Datenschutzrechtliche Prüfung notwendig (DSG, Serverstandort Schweiz!)
SIEM vs. SOC: Was gehört zusammen?
Ein SIEM ist eine Technologie, ein SOC (Security Operations Center) ist die Organisation, die das SIEM betreibt. Viele KMU verwechseln die Begriffe. Die folgende Tabelle schafft Klarheit:
| Aspekt | SIEM (Technologie) | SOC (Organisation) |
|---|---|---|
| Was ist es? | Software zur Log-Aggregation und Analyse | Team von Security-Analysten |
| Was kostet es? | CHF 1’000–15’000/Monat (Lizenz) | CHF 20’000–60’000/Monat (eigenes SOC) |
| Kann man es outsourcen? | Ja (Managed SIEM) | Ja (MSSP/MDR) |
| Braucht KMU beides? | Ja – SIEM ohne SOC ist wertlos | Ja – SOC ohne SIEM ist blind |
| Alternative für KMU | Managed SIEM via MSSP | Virtueller SOC via MSSP |
Mehr zu den Kosten eines ausgelagerten SOC lesen Sie in unserem Leitfaden zu SOC Kosten Schweiz.
SIEM-Implementation: Versteckte Kosten nicht vergessen
Viele KMU unterschätzen die Implementationskosten und den laufenden Optimierungsaufwand. Ein SIEM, das nur Rohdaten sammelt ohne angepasste Regeln und Korrelationen, generiert entweder tausende False Positives oder übersieht echte Angriffe.
Typische Implementationskosten Schweiz
| Phase | Aufwand | Kosten (externer Dienstleister) |
|---|---|---|
| Anforderungsanalyse & Planung | 2–5 Tage | CHF 3’000–8’000 |
| Installation & Basiskonfiguration | 3–8 Tage | CHF 4’500–13’000 |
| Datenquellen-Integration (je Quelle) | 0.5–2 Tage | CHF 750–3’000 |
| Regelset-Entwicklung (Use Cases) | 5–15 Tage | CHF 7’500–25’000 |
| Training internes Team | 1–3 Tage | CHF 1’500–5’000 |
| Abnahmetests & Dokumentation | 2–4 Tage | CHF 3’000–6’500 |
| Total Implementation | 13–37 Tage | CHF 20’250–60’500 |
Statistiken: Warum SIEM für Schweizer KMU relevant ist
- 207 Tage dauert es im Schnitt ohne aktives Monitoring, bis ein Netzwerkeinbruch entdeckt wird (IBM, 2024).
- CHF 4,88 Mio. betragen die durchschnittlichen Gesamtkosten eines Datenschutzverletzung weltweit (IBM, 2024) – für Schweizer KMU hochgerechnet CHF 500’000–2 Mio.
- 43% aller Cybervorfälle bei Schweizer Unternehmen hätten durch besseres Monitoring früher erkannt werden können (BACS, 2024).
- 78% der KMU, die ein Managed SIEM einsetzen, berichten von einer messbaren Verkürzung der Erkennungszeit auf unter 24 Stunden (Gartner, 2024).
- Nur 12% der Schweizer KMU betreiben laut einer Studie der Hochschule Luzern (2024) ein aktives Sicherheitsmonitoring.
SIEM-Alternativen für kleinere KMU
Nicht jedes KMU braucht sofort ein vollwertiges SIEM. Für Unternehmen unter 30 Mitarbeitenden gibt es günstigere Einstiegsmöglichkeiten:
| Alternative | Kosten/Monat | Stärken | Schwächen |
|---|---|---|---|
| Microsoft Defender XDR | CHF 15–35/Nutzer | Endpoint + E-Mail-Schutz integriert | Kein vollständiges SIEM |
| Cloudflare Gateway + Logs | CHF 200–800 | DNS/Web-Filterung mit Logging | Eingeschränkte Korrelation |
| Graylog (Open Source) | CHF 300–1’500 | Log-Management, Basisalarme | Kein echtes SIEM |
| Datadog Security | CHF 25–80/Host | DevOps-integriert | Primär für Cloud-native |
| Managed Detection & Response (MDR) | CHF 1’500–5’000 | Vollständig ausgelagert | Weniger Transparenz intern |
Mehr zu den Unterschieden zwischen verschiedenen Sicherheitstests und -diensten finden Sie im Vergleich Red Teaming vs. Penetrationstest.
Checkliste: SIEM-Evaluation für Schweizer KMU
Bevor Sie eine SIEM-Lösung evaluieren, sollten Sie folgende Fragen beantworten:
- Wie viele Log-Daten generiert Ihre Infrastruktur täglich (GB/Tag, EPS)?
- Haben Sie interne Security-Ressourcen für den Betrieb (mindestens 0.5 FTE)?
- Welche Compliance-Anforderungen müssen Sie erfüllen (DSG, ISO 27001, FINMA)?
- Wie lange müssen Logs aufbewahrt werden (mindestens 12 Monate empfohlen)?
- Sind Ihre Systeme primär on-premise, Cloud oder hybrid?
- Haben Sie bereits Erfahrung mit Ihrer Cybersecurity-Checkliste für KMU gearbeitet?
- Was ist Ihr jährliches Budget für SIEM inkl. Betrieb?
Wer diese Fragen beantwortet hat, kann gezielt zwischen Self-Hosted, Cloud-SIEM und Managed-SIEM entscheiden. Gründliche Kostenperspektiven finden Sie in unserem Artikel zu Penetrationstest Kosten Schweiz und Security Audit Kosten Schweiz.
SIEM und Penetrationstest: Wie sie sich ergänzen
Ein SIEM erkennt Angriffe im laufenden Betrieb. Ein Penetrationstest überprüft, ob Ihr SIEM die richtigen Dinge überwacht und ob Ihre Erkennungsregeln funktionieren. Beide Massnahmen sind komplementär:
- Penetrationstest deckt Schwachstellen auf, bevor Angreifer sie finden.
- SIEM erkennt Angreifer, die Schwachstellen aktiv ausnutzen.
- Red Teaming testet realistische Angriffe und prüft gleichzeitig, ob das SIEM und das SOC korrekt reagieren.
Wer wissen will, ob sein SIEM tatsächlich funktioniert, sollte ein Red Teaming in Betracht ziehen. Dabei simulieren erfahrene Sicherheitsexperten reale Angriffe und zeigen, was Ihr SIEM erkennt – und was nicht.
Weitere Informationen zu den Kosten von Red-Teaming-Übungen finden Sie unter Red Team Kosten Schweiz.
Fazit
Ein SIEM ist für Schweizer KMU keine Luxus, sondern eine notwendige Investition in die Sicherheitsfähigkeit des Unternehmens. Die monatlichen Kosten von CHF 1’000–15’000 sind überschaubar im Vergleich zu den durchschnittlichen Kosten eines Datenschutzvorfalls, der unbemerkten Einbruch monatelang erlaubt.
Unsere Empfehlung für Schweizer KMU:
- Unter 30 MA: Managed SIEM via MSSP (CHF 1’800–3’500/Monat) oder Microsoft Defender XDR als Einstieg.
- 30–100 MA: Microsoft Sentinel oder Managed SIEM mit 24/7-SOC (CHF 3’000–7’000/Monat).
- 100–250 MA: Dediziertes SIEM-Projekt mit eigenem Team oder Premium Managed SIEM (CHF 6’000–15’000/Monat).
Testen Sie Ihre Erkennungsfähigkeit mit Red Teaming: Wissen Sie wirklich, ob Ihr SIEM einen gezielten Angriff erkennt? Unsere CREST-zertifizierten Red-Teaming-Experten in Zürich simulieren realistische Angriffe und zeigen Ihnen genau, wo Ihre Erkennungs- und Abwehrmechanismen versagen – bevor es ein echter Angreifer tut.
Red Teaming anfragen – ab CHF 11’900 | CREST-zertifiziert | Standort Zürich | Ergebnis in 2–4 Wochen