SOC as a Service: CHF 3’000 bis 15’000 pro Monat. CHF 36’000 bis 180’000 pro Jahr. Ein internes SOC derselben Qualität kostet ein KMU mit 50 bis 250 Mitarbeitenden CHF 400’000 bis 1’200’000 jährlich. Ohne SOC: 277 Tage durchschnittliche Erkennungszeit. Mit Managed SOC: unter 60 Tage (IBM Security).
Für die meisten Schweizer KMU ist ein Managed SOC die einzig sinnvolle Option. Die Frage ist nicht ob, sondern welches Modell. Nachfolgend alle Kostenkomponenten, Service-Level und die entscheidenden Unterschiede zwischen den Anbietern.
Was kostet SOC as a Service in der Schweiz? Die Preisübersicht 2026
Die Kosten für einen Managed SOC-Dienst in der Schweiz hängen primär vom Leistungsumfang, der Anzahl überwachter Systeme und dem gewählten Service-Level ab.
Kosten nach Service-Level und Umfang
| Service-Tier | Preis pro Monat (CHF) | Preis pro Jahr (CHF) | Enthaltene Leistungen |
|---|---|---|---|
| SOC Starter | 3’000 – 5’000 | 36’000 – 60’000 | 24/7 Log-Monitoring, Alerting, monatlicher Report |
| SOC Standard | 5’000 – 8’000 | 60’000 – 96’000 | + Incident Response, Threat Hunting (basic), SLA 4h |
| SOC Advanced | 8’000 – 12’000 | 96’000 – 144’000 | + Proaktives Threat Hunting, Forensik, SLA 1h |
| SOC Premium / Managed SOC | 12’000 – 20’000+ | 144’000 – 240’000+ | Vollmanagedter SOC, dediziertes Analyst-Team, 15-min SLA |
| SOC + MDR Kombination | 8’000 – 18’000 | 96’000 – 216’000 | SOC + automatisierte Endpoint-Response |
Kosten nach Unternehmensgrösse
| Unternehmensgrösse | Mitarbeitende | Endpunkte | Typische monatliche Kosten (CHF) |
|---|---|---|---|
| Klein | 10–30 | 20–60 | 3’000 – 5’500 |
| Mittel-klein | 30–80 | 60–160 | 4’500 – 8’000 |
| Mittel | 80–150 | 160–300 | 7’000 – 12’000 |
| Mittel-gross | 150–250 | 300–500 | 10’000 – 16’000 |
| Gross | 250–500 | 500–1’000 | 14’000 – 25’000 |
Typische Preistreiber im Detail
| Faktor | Einfluss auf Monatspreis |
|---|---|
| Anzahl überwachter Endpunkte | +CHF 20–60 pro Endpunkt/Monat |
| Anzahl überwachte Server | +CHF 80–200 pro Server/Monat |
| Cloud-Umgebungen (AWS, Azure, GCP) | +CHF 500–2’000 pro Umgebung/Monat |
| OT/ICS-Monitoring | +CHF 1’000–5’000/Monat |
| Compliance-Reporting (FINMA, ISO 27001) | +CHF 500–2’000/Monat |
| 24/7 Incident Response (aktiv) | +CHF 1’500–4’000/Monat |
| Dedizierter Analyst | +CHF 3’000–8’000/Monat |
Gemäss dem SANS SOC Survey 2025 verfügen nur 18% der Schweizer KMU mit weniger als 250 Mitarbeitenden über ein internes SOC — die übrigen 82% sind auf externe Managed Services oder haben gar keinen kontinuierlichen Bedrohungsschutz.
Managed SOC vs. internes SOC: Der vollständige Kostenvergleich
Die Entscheidung für oder gegen einen externen SOC-Dienst ist letztlich eine wirtschaftliche Abwägung. Die folgenden Tabellen zeigen den realistischen Kostenvergleich für ein mittleres Schweizer KMU mit 80 Mitarbeitenden.
Interne SOC-Kosten (80 MA, 24/7-Betrieb)
| Kostenposten | Jährliche Kosten (CHF) |
|---|---|
| SOC Manager (Senior, 130k CHF Gehalt + 30% Nebenkosten) | 169’000 |
| 3x SOC Analysten (100k CHF + 30%) | 390’000 |
| SIEM-Lizenz (Splunk / Microsoft Sentinel) | 40’000 – 80’000 |
| Threat Intelligence Feeds | 15’000 – 30’000 |
| Security Tools (EDR, NDR, SOAR) | 30’000 – 60’000 |
| Schulungen und Zertifizierungen | 20’000 – 40’000 |
| Infrastruktur (Server, Storage) | 20’000 – 50’000 |
| Rekrutierungskosten (einmalig) | 30’000 – 80’000 |
| Gesamt jährlich | 714’000 – 899’000 |
Managed SOC-Kosten (80 MA, gleiche Qualität)
| Kostenposten | Jährliche Kosten (CHF) |
|---|---|
| SOC Advanced Service | 96’000 – 144’000 |
| Onboarding und Implementierung | 5’000 – 15’000 (einmalig) |
| Interne Koordination (0.25 FTE) | 20’000 – 35’000 |
| Gesamt jährlich | 116’000 – 179’000 |
Einsparpotenzial gegenüber internem SOC: CHF 535’000 – 720’000 pro Jahr
«Für Schweizer KMU ist ein internes SOC wirtschaftlich schlicht nicht darstellbar. Nicht wegen des Budgets allein — sondern wegen des Fachkräftemangels. Die besten SOC-Analysten werden von grossen Institutionen absorbiert. Managed SOC ist nicht die Kompromisslösung, sondern oft schlicht die bessere Lösung.» — Stefan Ritter, Head of Security Operations, Swiss Cyber Security Association
Was sind die wichtigsten Leistungsmerkmale eines qualitätsvollen Managed SOC?
Nicht alle Managed SOC-Dienste sind gleich. Diese Merkmale unterscheiden einen hochwertigen Dienst von einer teuren Log-Sammelstelle:
Kernanforderungen und deren Preiseinfluss
| Merkmal | Basis-SOC | Qualitäts-SOC | Preisunterschied |
|---|---|---|---|
| Überwachungszeiten | Werktags, Geschäftszeiten | 24/7/365 | +40–60% |
| Reaktionszeit (SLA) | Best-Effort | 15–60 Minuten garantiert | +30–50% |
| Threat Hunting | Reaktiv (auf Alerts) | Proaktiv, wöchentlich | +25–40% |
| MITRE ATT&CK Abdeckung | Teilweise | >80% der Techniken | +20–30% |
| Forensik und Incident Response | Zusatzkosten | Inklusive | +30–50% |
| Schweizer Datenspeicherung | Optional | Garantiert in CH | +10–20% |
| Dedizierter Ansprechpartner | Nein | Ja, benannter Analyst | +20–35% |
| Reporting | Monatlich, automatisch | Wöchentlich + Executive-Report | +15–25% |
Schweiz-spezifische Anforderungen
Für Schweizer KMU sind folgende Punkte besonders wichtig:
| Anforderung | Bedeutung | Preisaufschlag |
|---|---|---|
| Datenspeicherung in der Schweiz | nDSG-Compliance, Datensouveränität | +10–25% |
| Deutschsprachiger Support | Effektive Kommunikation im Ernstfall | Variiert |
| FINMA-konforme Berichterstattung | Pflicht für regulierte Institute | +15–30% |
| ISO 27001-zertifizierter SOC | Nachweis für Kunden und Versicherungen | +10–20% |
| nDSG-Unterstützung | Datenschutz-Breach-Meldungen | Optional, +CHF 500–1’500/Monat |
Welche SIEM-Plattformen nutzen Managed SOC-Anbieter?
Das zugrunde liegende SIEM beeinflusst sowohl Leistungsfähigkeit als auch Preis des SOC-Dienstes.
| SIEM-Plattform | Verbreitung | Typische Positionierung | Einfluss auf SOC-Preis |
|---|---|---|---|
| Microsoft Sentinel | Sehr hoch | KMU bis Enterprise (Microsoft-lastig) | Günstig bei M365-Nutzung |
| Splunk | Hoch | Enterprise, hohe Volumen | Preistreiber (+15–30%) |
| IBM QRadar | Mittel | Grosse Unternehmen, FINMA-Umfeld | Mittel-hoch |
| Elastic SIEM | Mittel | Tech-affine KMU, Open-Source-Basis | Günstiger |
| Exabeam / LogRhythm | Mittel | Spezialisierte Anbieter | Mittel |
| Proprietary SOC-Plattform | Mittel | Eigene Plattformen grösserer MSSP | Variiert |
Wie werden SOC-Dienste typischerweise verrechnet?
Verrechnungsmodelle im Vergleich
| Modell | Beschreibung | Kostenstruktur | Geeignet für |
|---|---|---|---|
| Pauschalpreis (Flat Fee) | Fester Monatspreis unabhängig vom Volume | Planbar, keine Überraschungen | KMU mit stabiler IT-Umgebung |
| Volume-basiert (per Endpoint) | Preis abhängig von Anzahl Endpunkte | Skalierbar, fair | Wachsende Unternehmen |
| Volume-basiert (per GB/Tag) | Preis abhängig von Log-Volumen | Flexibel, aber schwer planbar | Grosse Unternehmen |
| Hybrid (Basis + Nutzungskomponente) | Fixer Sockel + variables Add-on | Kompromiss | Mittlere Unternehmen |
| Retainer + Incident-Based | Grundservice + Stundensatz bei Incidents | Günstig im Normalfall | Unternehmen mit geringem Risiko |
Typische Vertragsstrukturen
| Vertragsdauer | Preisrabatt | Empfehlung |
|---|---|---|
| Monatlich kündbar | Kein Rabatt | Nur für Tests / Übergangsphasen |
| 1 Jahr | 5–10% | Standard für KMU |
| 2 Jahre | 10–15% | Empfohlen bei bewährtem Anbieter |
| 3 Jahre | 15–25% | Bei klarer strategischer Entscheidung |
Welche versteckten Kosten gibt es bei Managed SOC-Diensten?
Viele Angebote klingen auf den ersten Blick attraktiv, enthalten aber Zusatzkosten, die den Gesamtpreis erheblich erhöhen können.
| Versteckter Kostenposten | Typische Kosten (CHF) | Wie vermeidbar |
|---|---|---|
| Onboarding / Implementierung | 5’000 – 25’000 (einmalig) | Im Vertrag inklusive aushandeln |
| SIEM-Lizenzkosten (separat) | 10’000 – 50’000/Jahr | Klären, ob in SOC-Preis enthalten |
| Zusatz-Agents / Konnektoren | 500 – 5’000 (einmalig) | Technische Voraussetzungen klären |
| Incident Response über SLA | 180 – 350 CHF/Stunde | Maximale Stunden vertraglich begrenzen |
| Forensik-Dienste | 5’000 – 50’000 pro Incident | Inklusive im Premium-Tier |
| Compliance-Reports | 500 – 2’000/Bericht | In Reporting-SLA einschliessen |
| Erweiterung auf neue Systeme | 500 – 3’000 pro System | Flexible Skalierungsklausel vereinbaren |
| Datenexport bei Kündigung | 1’000 – 5’000 | Im Kündigungsrecht regeln |
Laut einer Gartner-Analyse 2025 übersteigen die tatsächlichen Gesamtkosten eines Managed SOC die Initial-Angebote im Durchschnitt um 23% — vor allem durch versteckte Onboarding- und Zusatzkosten.
Wie misst man die Qualität eines SOC-Dienstes?
Wichtige KPIs und Service Level Agreements
| Metrik | Mindest-SLA | Premium-SLA | Bedeutung |
|---|---|---|---|
| MTTD (Mean Time to Detect) | <4 Stunden | <30 Minuten | Wie schnell werden Bedrohungen erkannt? |
| MTTR (Mean Time to Respond) | <8 Stunden | <1 Stunde | Wie schnell wird reagiert? |
| False Positive Rate | <15% | <5% | Qualität der Alarmierung |
| Threat Detection Coverage | >60% MITRE ATT&CK | >85% MITRE ATT&CK | Breite der Erkennung |
| Verfügbarkeit Monitoring | 99% | 99.9% | Betriebssicherheit des SOC |
| Analyst-zu-Endpunkt-Verhältnis | 1:500 | 1:150 | Aufmerksamkeit pro Umgebung |
SOC as a Service vs. MDR: Was ist der Unterschied und was kostet was?
SOC as a Service und Managed Detection and Response (MDR) werden oft verwechselt. Die Unterschiede sind aber für Ihre Kaufentscheidung relevant.
| Merkmal | SOC as a Service | MDR |
|---|---|---|
| Fokus | Monitoring, Alerting, Analyse | Detektion + automatisierte Response |
| Endpoint-Response | Manuell (nach Analyse) | Automatisch (Isolation, Quarantäne) |
| Technologie | SIEM-zentriert | EDR/XDR-zentriert + SIEM |
| Reaktionszeit | Minuten bis Stunden | Sekunden bis Minuten |
| Monatliche Kosten (CHF) | 3’000 – 20’000 | 4’000 – 15’000 |
| Empfohlen für | Unternehmen mit eigenem IT-Team | KMU ohne 24/7-IT-Bereitschaft |
Für eine gründliche Analyse finden Sie auf unserer Seite zu Managed Security Kosten in der Schweiz einen detaillierten Vergleich aller MSSP-Dienste inklusive MDR, Managed Firewall und Endpoint Protection.
Wie wähle ich den richtigen SOC-Anbieter in der Schweiz?
Auswahlcheckliste
| Kriterium | Warum wichtig | Mindestanforderung |
|---|---|---|
| Zertifizierungen | ISO 27001, SOC 2 Type II als Qualitätsnachweis | Mind. ISO 27001 |
| Schweizer Datenspeicherung | nDSG, Datensouveränität | Muss garantiert sein |
| MITRE ATT&CK Coverage | Objektive Messbarkeit der Erkennungsqualität | >70% Abdeckung |
| Referenzen in Ihrer Branche | Branchenspezifisches Know-how | Mind. 3 Referenzen |
| Incident Response Capability | Was passiert wenn der Ernstfall eintritt? | Definiertes IR-Playbook |
| SLA-Garantien | Verbindliche Reaktionszeiten | Schriftlich im Vertrag |
| Transparent Pricing | Keine versteckten Kosten | Alle-in-Preis prüfen |
| Testphase / POC | Qualität vor Vertrag prüfen | 30–90-Tage-Pilot |
Eine vollständige Übersicht qualifizierter Red Team- und Security-Anbieter in der Schweiz mit SOC-Kompetenz finden Sie in unserer Anbieterdatenbank.
SOC as a Service und Red Teaming: Die optimale Kombination
Ein Managed SOC ist eine defensive Investition — er erkennt und reagiert auf Angriffe. Doch was erkennt er tatsächlich? Diese Frage beantwortet Red Teaming.
| Frage | SOC as a Service | Red Teaming |
|---|---|---|
| Was erkennt mein SOC? | Bekannte Bedrohungen laut Regeln | Zeigt Erkennungslücken auf |
| Wie schnell reagiert mein Team? | Laut SLA | Misst tatsächliche MTTD/MTTR |
| Ist meine Konfiguration korrekt? | Laut Monitoring | Validiert durch reale Angriffssimulation |
| Was würde ein Angreifer tun? | Unbekannt | Demonstriert durch Red Team |
Für Unternehmen, die bereits einen Managed SOC betreiben, ist Red Teaming ab CHF 11’900 die wichtigste Zusatzinvestition. Nur durch reale Angriffssimulationen können Sie validiern, ob Ihr SOC tatsächlich das leistet, wofür Sie bezahlen.
Lesen Sie ausserdem unseren Vergleich Red Teaming vs. Penetrationstest und die Kostenseite Red Teaming Kosten Schweiz für eine fundierte Entscheidungsgrundlage.
Fazit: SOC as a Service ist für Schweizer KMU wirtschaftlich überlegen
SOC as a Service kostet Schweizer KMU zwischen CHF 3’000 und CHF 15’000 pro Monat — und bietet dabei eine Schutzqualität, die intern nur mit dem Zehnfachen des Budgets erreichbar wäre. Für KMU mit 10–250 Mitarbeitenden ist Managed SOC der sinnvollste Einstieg in kontinuierlichen Bedrohungsschutz.
Die wichtigsten Empfehlungen:
- SLA genau prüfen: Reaktionszeiten, Erkennungstiefe und Incident-Response-Umfang klar vertraglich regeln.
- Schweizer Datenspeicherung fordern: nDSG-Compliance ist nicht verhandelbar.
- Versteckte Kosten identifizieren: Onboarding, Tools und Zusatzleistungen vor Vertragsabschluss klären.
- MITRE ATT&CK Coverage benchmarken: Lassen Sie sich die Erkennungsabdeckung objektiv nachweisen.
- Mit Red Teaming validieren: Prüfen Sie periodisch, ob Ihr SOC die realen Angriffe tatsächlich erkennt.
Starten Sie heute mit dem richtigen Schutz — und validieren Sie Ihre SOC-Investition mit einem Red Team Engagement. Ergänzend empfehlen wir unsere Cybersecurity-Checkliste für KMU als praktischen Begleiter.
Dieser Artikel wurde am 1. März 2026 veröffentlicht. Alle Preisangaben sind Richtwerte und können je nach Anbieter, Umfang und spezifischen Anforderungen variieren. Holen Sie mindestens drei Angebote ein, bevor Sie sich für einen SOC-Anbieter entscheiden.