Managed SOC: CHF 3’000 bis 15’000 pro Monat. Internes SOC: CHF 500’000 bis über CHF 1’000’000 pro Jahr. Für KMU unter 500 Mitarbeitenden ist ein internes SOC weder finanzierbar noch sinnvoll.
Der grösste Kostentreiber sind nicht die Tools. Es sind die Menschen. 24/7-Betrieb erfordert mindestens acht Spezialisten. Die Gehälter allein liegen bei CHF 800’000+ pro Jahr in der Schweiz. Die Frage ist strategisch, nicht technisch: Make or Buy?
Was ist ein Security Operations Center (SOC)?
Ein SOC ist die Kommandozentrale der Cyberabwehr: ein Team von Sicherheitsanalytikern, das kontinuierlich Sicherheitsereignisse überwacht, Angriffe erkennt, bewertet und koordiniert die Reaktion. Ein SOC arbeitet mit Tools wie SIEM (Security Information and Event Management), EDR (Endpoint Detection & Response), Threat Intelligence-Plattformen und Ticketingsystemen.
Die Kernaufgaben eines SOC:
- 24/7-Überwachung von Logs, Netzwerktraffic und Endpunkten
- Erkennung und Klassifizierung von Security Incidents
- Incident Response: Eindämmung, Analyse und Wiederherstellung
- Threat Hunting: aktive Suche nach verborgenen Angreifern
- Vulnerability Management und Patch-Monitoring
- Compliance-Reporting für Regulatoren und Verwaltungsrat
Laut einer Gartner-Analyse aus 2025 haben 78% der europäischen KMU mit unter 500 Mitarbeitenden keinen eigenen SOC. Von diesen setzen 41% auf einen Managed SOC-Anbieter, während 37% gar keine dedizierte Überwachungskapazität haben — ein erhebliches Risiko.
Internes SOC: Was es wirklich kostet
Viele KMU unterschätzen die Gesamtkosten eines internen SOC drastisch. Die Technologie ist nur ein Teil der Gleichung.
Personalkosten (grösster Kostenblock)
Ein voll funktionsfähiges internes SOC benötigt mindestens:
- SOC Manager (1x): CHF 130’000–160’000/Jahr
- Senior Security Analyst, Tier 3 (1x): CHF 110’000–140’000/Jahr
- Security Analyst, Tier 2 (2x): CHF 85’000–110’000/Jahr je Person
- Junior Analyst / SOC Analyst Tier 1 (3x für Schichtbetrieb): CHF 65’000–85’000/Jahr je Person
Minimalbesetzung für echten 24/7-Betrieb: 5–7 Vollzeitstellen Gesamte Personalkosten (Minimum): CHF 500’000–700’000/Jahr
Hinzu kommen Rekrutierungskosten (CHF 15’000–30’000 pro Stelle), Weiterbildung (CHF 5’000–15’000 pro Person/Jahr) und die Fluktuation: Erfahrene SOC-Analysten sind auf dem Schweizer Markt stark gefragt und wechseln häufig.
Technologiekosten
- SIEM-Plattform (Splunk, Microsoft Sentinel, IBM QRadar): CHF 30’000–120’000/Jahr je nach Datenmenge
- EDR-Lösung (CrowdStrike, SentinelOne, Microsoft Defender): CHF 15’000–50’000/Jahr für 200 Endpunkte
- Threat Intelligence-Feeds: CHF 10’000–40’000/Jahr
- SOAR-Plattform (Automatisierung): CHF 20’000–60’000/Jahr
- Infrastruktur (Server, Hardware, Netzwerk): CHF 30’000–80’000 einmalig, CHF 10’000–25’000/Jahr Betrieb
Technologiekosten gesamt: CHF 85’000–290’000/Jahr
Versteckte Kosten
- Compliance und Audits: CHF 15’000–40’000/Jahr
- Facility (physischer SOC-Raum, Sicherheitsbereich): CHF 20’000–60’000/Jahr
- Externe Experten für Incident Response, Threat Hunting: CHF 30’000–80’000/Jahr bei Bedarf
Gesamtkosten Internes SOC: CHF 600’000–1’100’000+ pro Jahr
“Wir haben den Business Case für ein internes SOC gerechnet — und schnell gemerkt, dass wir damit mehr als die Hälfte unseres gesamten IT-Budgets binden würden. Das Managed SOC-Modell war für uns die einzige vernünftige Option.” — IT-Leiter eines Schweizer Finanzdienstleisters mit 150 Mitarbeitenden
Managed SOC: Was es leistet und kostet
Ein Managed SOC (auch SOC-as-a-Service oder MSSP-SOC) ist ein ausgelagerter Dienst, bei dem ein spezialisierter Anbieter die Überwachungs-, Erkennungs- und Reaktionsaufgaben übernimmt. Sie profitieren von deren Expertise, Technologie und Skalierung.
Was ein Managed SOC typischerweise beinhaltet:
- 24/7-Überwachung Ihrer Systeme durch erfahrene Analysten
- SIEM-Technologie (als Teil des Services, kein eigener Kauf nötig)
- Incident Detection und erste Reaktion (Tier 1 und Tier 2)
- Monatliches Reporting und Executive Dashboards
- Threat Intelligence aus globalen Quellen
- SLA-gesicherte Reaktionszeiten (typisch: 15 Minuten für kritische Alerts)
Was Managed SOC typischerweise nicht beinhaltet:
- Tiefgehende Incident Response (oft separat buchbar)
- Forensische Untersuchungen nach Angriffen
- Penetrationstests oder Red Team-Übungen
- Anpassung von Unternehmensprozessen
Managed SOC Kosten für Schweizer KMU
| Unternehmensgrösse | Mitarbeitende | Endpunkte | Monatliche Kosten (CHF) | Jährliche Kosten (CHF) |
|---|---|---|---|---|
| Klein | 10–50 | 20–80 | CHF 2’500–5’000 | CHF 30’000–60’000 |
| Mittel | 50–200 | 80–300 | CHF 5’000–10’000 | CHF 60’000–120’000 |
| Grösser | 200–500 | 300–700 | CHF 10’000–20’000 | CHF 120’000–240’000 |
Die grosse Bandbreite erklärt sich durch die Anzahl überwachter Systeme, die SIEM-Datenmenge, den Service-Level (Standard vs. Premium) und ob eigene Technologie eingebracht wird.
Detaillierter Vergleich: Managed SOC vs. Internes SOC
| Dimension | Internes SOC | Managed SOC |
|---|---|---|
| Gesamtkosten/Jahr | CHF 600’000–1’100’000+ | CHF 36’000–240’000 |
| Anlaufzeit | 12–24 Monate | 4–12 Wochen |
| 24/7-Abdeckung | Möglich, aber teuer (Schichtbetrieb) | Standardmässig inbegriffen |
| Expertise-Niveau | Abhängig von Einstellungen | Sofort verfügbar (Spezialistenteam) |
| Skalierbarkeit | Langsam (Recruiting, Onboarding) | Schnell (Services hochskalieren) |
| Technologie-Aktualität | Eigene Investition und Pflege nötig | Anbieter aktualisiert kontinuierlich |
| Datenschutz / Datenhoheit | Vollständig intern | Vertragsabhängig, Daten verlassen Unternehmen |
| Branchenkenntnis | Hoch (interne Prozesskenntnis) | Variabel (je nach Anbieter und Onboarding) |
| Abhängigkeit | Keine Vendor-Abhängigkeit | Lock-in-Risiko beim Anbieter |
| Kontrolle | Maximum | Eingeschränkt (SLA-gebunden) |
| Regulatorische Compliance | Direkte Kontrolle | Anbieter muss zertifiziert sein (ISO 27001) |
| Empfohlen für | Unternehmen 500+ MA, kritische Infrastruktur | KMU unter 500 MA, alle regulierten Branchen |
Ab welcher Grösse lohnt sich ein internes SOC?
Die ehrliche Antwort: Für die meisten Schweizer KMU rechnet sich ein internes SOC nicht — auch nicht bei 300 oder 400 Mitarbeitenden. Der Break-even-Punkt liegt typischerweise bei Unternehmen mit:
- Mehr als 500 Mitarbeitenden und
- Hochgradig sensiblen Daten, die nicht den Bereich verlassen dürfen und
- Einem vorhandenen Sicherheitsteam, das als SOC-Kern dienen kann und
- Budget von CHF 800’000+/Jahr für Sicherheitsoperationen
Für Unternehmen darunter ist ein Managed SOC wirtschaftlich klarer überlegen. Die gesparten Mittel können gezielter eingesetzt werden — für Penetrationstests, Red Team-Übungen oder Security Awareness Training.
Laut einer Schweizer Marktstudie (2025) zahlen Unternehmen, die von einem internen auf einen Managed SOC-Ansatz gewechselt haben, im Schnitt 67% weniger für gleichwertige oder bessere Sicherheitsabdeckung.
Wichtige Entscheidungskriterien für Schweizer KMU
Datenschutz und regulatorische Anforderungen
Für Unternehmen mit besonders sensiblen Daten (Bankdaten, Gesundheitsdaten, Staatsgeheimnisse) stellt sich die Frage der Datenhoheit. Ein Managed SOC bedeutet, dass Log-Daten und Security-Events den eigenen Perimeter verlassen. Prüfen Sie:
- Wo sind die Rechenzentren des Anbieter (Schweiz? EU?)
- Ist der Anbieter nach ISO 27001 zertifiziert?
- Welche Daten werden gespeichert, wie lange und wo?
- Erfüllt der Vertrag die DSG-Anforderungen (Schweizer Datenschutzgesetz)?
FINMA-regulierte Institute sollten zusätzlich prüfen, ob ihr Managed SOC-Anbieter die FINMA-Outsourcing-Anforderungen erfüllt.
Reaktionszeiten und Incident Response
Ein Managed SOC bietet typischerweise SLA-gesicherte Erkennungszeiten. Prüfen Sie:
- Wie lange dauert es von der Erkennung bis zur Benachrichtigung? (Ziel: unter 15 Minuten für kritische Alerts)
- Übernimmt der Anbieter auch die aktive Eindämmung, oder informiert er nur?
- Was passiert ausserhalb der Kernzeiten (Nacht, Wochenende)?
- Gibt es dedizierte Analysten für Ihr Konto oder wird es pooled?
Integration mit Ihrer bestehenden Umgebung
Ein Managed SOC muss in Ihre bestehende IT-Infrastruktur integriert werden. Fragen Sie:
- Welche Konnektoren gibt es (Microsoft 365, Azure, AWS, on-premise)?
- Wie lange dauert das Onboarding typischerweise?
- Wer definiert die Alerting-Regeln und wie werden sie aktualisiert?
Das blinde Fleck beider Modelle: Proaktive Angriffssimulation
Sowohl internes als auch Managed SOC haben denselben blinden Fleck: Sie reagieren auf erkannte Bedrohungen. Beide Modelle setzen voraus, dass der Angreifer bei seinen Aktionen Spuren hinterlässt, die das SIEM erkennen kann.
Was aber, wenn ein fortgeschrittener Angreifer Ihre Detection-Mechanismen kennt und umgeht? Oder wenn er bereits seit Wochen in Ihrem Netzwerk ist, ohne Alarm ausgelöst zu haben?
Red Teaming testet genau das: Erfahrene Angreifer versuchen, unentdeckt in Ihr Netzwerk einzudringen — und zu bleiben. Die Ergebnisse zeigen Ihrem SOC-Team (intern oder managed), welche Angriffstechniken sie derzeit nicht erkennen würden. Das ist proaktive Sicherheitsvalidierung.
“Unser Managed SOC-Anbieter hat uns regelmässig grüne Dashboards gezeigt. Das Red Team-Engagement hat in drei Wochen gezeigt, dass ein Angreifer 14 Tage im Netzwerk gewesen wäre, ohne einen einzigen Alert auszulösen. Das war ein Wake-up-Call für uns und unseren Anbieter.” — CISO eines mittelgrossen Schweizer Industrieunternehmens
Das Red Team-Engagement testet Ihren SOC-Prozess unter realen Bedingungen — ob intern oder managed. Typische Erkenntnisse:
- Welche MITRE ATT&CK-Techniken werden nicht erkannt?
- Wie lange dauert es, bis ein Alert eskaliert wird?
- Reagiert das Incident-Response-Team korrekt auf einen echten Vorfall?
Ergänzen Sie Ihre SOC-Investition regelmässig durch Red Team-Tests. Mehr zur Grundlage in unserem Leitfaden Was ist Red Teaming? und zu den Kosten in unserem Red Team Kostenüberblick.
Hybride Modelle: Das Beste aus beiden Welten
Für KMU mit 100–500 Mitarbeitenden gibt es einen interessanten Mittelweg:
Co-Managed SOC: Sie haben intern 1–2 Sicherheitsexperten, die mit einem Managed SOC-Anbieter zusammenarbeiten. Ihr internes Team kennt die Geschäftsprozesse und bewertet Security-Alerts im Kontext. Der Anbieter liefert 24/7-Abdeckung, Technologie und Tier-1-Analyse. Kosten: CHF 4’000–8’000/Monat plus 1–2 Internalstellen.
Dieses Modell ist für viele Schweizer KMU die optimale Balance: Kontextkenntnis intern, Skalierung extern.
Praktische Empfehlung für Schweizer KMU nach Grösse
Unter 50 Mitarbeitende: Managed SOC ist die einzig sinnvolle Option. Fokussieren Sie auf einen etablierten Schweizer MSSP, prüfen Sie ISO 27001-Zertifizierung und SLA-Qualität. Budget: CHF 30’000–60’000/Jahr.
50–200 Mitarbeitende: Managed SOC, idealerweise mit einem dedizierten Security-Ansprechpartner intern (Security Engineer oder CISO-as-a-Service). Ergänzen Sie mit jährlichen Penetrationstests und alle 2 Jahre mit Red Team-Übungen.
200–500 Mitarbeitende: Co-Managed SOC oder premium Managed SOC-Modell mit starkem SLA. Prüfen Sie, ob der Anbieter Schweizer Rechenzentren nutzt und FINMA-Anforderungen erfüllt. Red Team-Übungen jährlich empfohlen.
Über 500 Mitarbeitende: Internes SOC wird wirtschaftlich und strategisch sinnvoll. Planen Sie 18–24 Monate Aufbauzeit, beginnen Sie mit dem Technologiestack und bauen Sie das Team schrittweise auf.
Fazit
Für nahezu alle Schweizer KMU unter 500 Mitarbeitenden ist ein Managed SOC die klar überlegene Wahl: günstigerer Einstieg, sofort verfügbare Expertise, 24/7-Abdeckung und keine Rekrutierungsrisiken auf dem angespannten Schweizer Sicherheitsmarkt. Ein internes SOC rechnet sich erst bei Unternehmen ab 500+ Mitarbeitenden mit besonderen Anforderungen an Datenhoheit.
Egal ob intern oder managed: Kein SOC ersetzt die proaktive Überprüfung Ihrer Abwehr. Ein Red Team-Engagement zeigt Ihnen, was Ihr SOC — egal welches Modell — tatsächlich erkennt und was nicht.
Testen Sie Ihre gesamte Sicherheitsverteidigung mit einem professionellen Red Team-Engagement. Unsere zertifizierten Experten simulieren echte Angriffe auf Ihre KMU-Umgebung und validieren Ihren SOC unter realen Bedingungen — diskret, strukturiert und mit klaren Handlungsempfehlungen.