Kurz vorweg: SIEM ist 2026 kein Enterprise-Thema mehr. Cyber-Versicherungen verlangen Log-Aggregation, das ISG zwingt zur 24h-Meldung an die BACS, Lieferanten EU-Unternehmen erwarten NIS2-Kompatibilität. Für die meisten Schweizer KMU heisst die Antwort nicht "Sentinel selbst betreiben", sondern "Sentinel-Lite + MDR-Service". Selber bauen lohnt nur, wenn ein eigenes Security-Team etabliert ist.
SIEM, EDR, XDR, SOAR – Begriffsordnung
| Begriff | Bedeutung | Beispiel-Produkt | Wer braucht es? |
|---|---|---|---|
| EDR | Endpoint Detection and Response – schützt einzelne Geräte, erkennt Verhalten | Defender for Business, CrowdStrike Falcon, SentinelOne | Jedes KMU ab 5 Endpoints |
| SIEM | Sammelt & korreliert Logs aus mehreren Quellen, Alarme nach Regeln/ML | Microsoft Sentinel, Splunk, Wazuh, Elastic Security | KMU ab ~20 Usern oder mit Compliance-Pflicht |
| XDR | Extended Detection & Response – EDR + Mail + Identity + Cloud korreliert | Microsoft Defender XDR, CrowdStrike Falcon, Trellix XDR | M365-zentrierte KMU – meist im Bundle |
| SOAR | Security Orchestration, Automation, Response – Playbooks bei Incidents | Sentinel Logic Apps, Splunk SOAR, Tines, Torq | Reife Teams mit wiederkehrenden Incidents |
| MDR / MSSP | Managed Detection & Response – externer 24/7-Betrieb | InfoGuard, Open Systems, Arctic Wolf, Sophos MDR, Eset MDR | KMU ohne eigenes SOC (Mehrheit) |
| SOC | Security Operations Center – eigenes Team, das überwacht | Inhouse (10+ Personen) oder Co-managed | Konzerne oder regulierte KMU |
Warum SIEM 2026 auch für Schweizer KMU zählt
- 24h-Meldepflicht ans BACS seit April 2025: Wer einen Cyber-Vorfall innert 24 h melden muss, braucht Logs, die belegen, was passiert ist. Ohne SIEM gibt es oft kein vollständiges Bild.
- Cyber-Versicherungen verlangen Log-Aggregation: Underwriter fragen 2026 nach SIEM oder mindestens M365-Audit-Log-Aufbewahrung > 90 Tage. Wer "nein" sagt, zahlt Aufschlag oder verliert Deckung.
- NIS2 (EU) trifft Schweizer Lieferanten: Auch wenn die Schweiz nicht unter NIS2 fällt – Schweizer KMU mit EU-Kunden werden vertraglich zur Log-Aufbewahrung und Incident-Response verpflichtet.
- Mean Time to Detect (MTTD): Ohne SIEM dauert die Erkennung im Median 200+ Tage (IBM Cost of Data Breach Report 2025). Mit SIEM und MDR < 24 h.
- M365 als Hauptangriffsfläche: 70–80% der KMU-Angriffe 2026 nutzen M365 (Token-Diebstahl, OAuth-Phishing, MFA-Bypass). M365 Audit Log + Sentinel deckt das auf, klassisches AV nicht.
- Schatten-IT und SaaS-Wildwuchs: CASB-Funktionalität in Sentinel (via Defender for Cloud Apps) erkennt unautorisierte SaaS-Logins.
- Regulatorisch (FINMA, FADP-Empfehlungen, ISO 27001, TISAX): Log-Management ist Pflichtkomponente.
Microsoft Sentinel im Detail
- Cloud-natives SIEM auf Azure Log Analytics + KQL (Kusto Query Language).
- 350+ vorbereitete Daten-Konnektoren: M365, Defender XDR, Entra, Azure, AWS, GCP, Cisco, Fortinet, Palo Alto, Sophos, SonicWall, etc.
- Eingebaute Analytics: ML-basierte Anomalie-Erkennung, MITRE ATT&CK-Mapping, hunderte vorgefertigte Hunting-Queries.
- SOAR-Funktionen via Azure Logic Apps: automatische Response-Playbooks (User sperren, Mail abrufen, Slack/Teams-Alert).
- Integration mit Defender XDR – Defender-Alerts werden mit Sentinel-Vorfällen korreliert, ein "Incident" statt 20 Alerts.
- Kosten: USD 2.46/GB pay-as-you-go oder Commitment-Tier mit Rabatt (ab USD 50/Tag = 100 GB Commit). M365 E5 Customer Connection für M365-Daten teilweise frei.
- Datenstandort: Sentinel läuft auf Azure-Region "Switzerland North/West" oder "West Europe" wählbar. Für DSG-konformen Betrieb Schweiz-Region empfohlen.
- Aufbewahrung: bis 90 Tage in Logs Standard kostenlos, danach Archive Tier (USD 0.026/GB-Monat) oder Auxiliary Logs (neu 2024) für Kostenoptimierung.
SIEM-Lösungen für KMU im Vergleich
| Lösung | Modell | Preis (50 User KMU) | Stärke |
|---|---|---|---|
| Microsoft Sentinel | SaaS (Azure) | CHF 400–1500/Mt nur Daten | Tiefste M365/Defender-Integration, KQL, Schweiz-Region |
| Splunk Enterprise/Cloud | SaaS oder On-Prem | Ab CHF 2000/Mt | Marktstandard Enterprise, sehr mächtig |
| Elastic Security | Open Source / SaaS | CHF 200–800/Mt (Cloud) | Open Source, gut für Linux/DevOps-Teams |
| Wazuh | Open Source (self-hosted) | Lizenz CHF 0, Hosting CHF 100–400/Mt | Vollständig kostenlos, Wazuh.cloud als Managed Option |
| Sophos Central / Managed Threat Response | SaaS | CHF 30–60/User/Mt (Managed) | Einfach, integriert in Sophos-Stack |
| Eset PROTECT MDR Ultimate | SaaS | CHF 40–70/User/Mt | Schweizer Reseller-Netzwerk gross |
| Crowdstrike Falcon Complete | SaaS | CHF 80–150/User/Mt (Managed) | Premium MDR + EDR, sehr schnell |
| SentinelOne Singularity | SaaS | CHF 40–80/User/Mt | AI-First-Plattform, MDR Vigilance |
MDR-Anbieter mit Schweizer Standort
- InfoGuard – Baar (ZG), Schweizer Marktführer, eigener SOC, KMU bis Grossunternehmen.
- Open Systems – Zürich, Mission Control für Sentinel + Defender, Schweizer Datenstandort.
- Eraneos / United Security Providers – Zürich, MDR + Penetration Testing.
- Sophos MDR – via Schweizer Partner (boll, Avantec, AlphaWill, GAW), schnelle Einführung.
- Eset MDR Ultimate – via Eset-Partner-Netz in der Schweiz.
- Arctic Wolf – mit Schweizer Vertrieb, EU-Datenstandort wählbar, breite Tool-Integration.
- CrowdStrike Falcon Complete – via Schweizer Reseller, Premium, hoch automatisiert.
- Bechtle Clinic, Swisscom Cyber Defense, Cloudflight – nationale Anbieter mit Sentinel-Co-Managed-Angeboten.
Sentinel in 8 Wochen einführen
Woche 1–2 – Use Cases & Lizenz-Modell
Bedrohungs-Use-Cases pro Branche definieren (Phishing, Ransomware, Privilege Escalation, Datendiebstahl). Lizenz-Modell wählen: Pay-as-you-go vs. Commitment Tier. Workspace in Azure (Region Switzerland North) anlegen.
Woche 3–4 – Daten-Connectoren aktivieren
M365, Entra ID, Defender XDR, Defender for Cloud Apps, Firewall (Fortinet/Sophos/Watchguard), Server (Windows Security, Linux Syslog), Netzwerk (DNS, DHCP), NAS-Logs. Pro Connector Datenvolumen messen.
Woche 5–6 – Analytics & Playbooks
Microsoft-Standard-Detections (Fusion, MS-Security-Rules) aktivieren. Custom KQL-Queries für branchenspezifische Risiken. Logic-Apps-Playbooks: User-Sperre, Mail-Forensik abrufen, Teams-Alert an Security-Owner.
Woche 7–8 – Workflow & Tabletop
Incident-Response-Prozess: Wer triagiert, wer eskaliert, an wen melden (BACS). MDR-Anbieter (falls extern) onboarden. Tabletop-Übung: simuliertes Ransomware-Szenario durchspielen.
Typische Stolpersteine
- Kostenfalle Daten-Ingest: Unbeschränktes Logging von Verbose-Diagnostic-Logs sprengt das Budget. Pflicht: Filter im Connector, Auxiliary Logs für Low-Value-Logs nutzen.
- Sentinel ohne MDR: Wer ein SIEM einrichtet, aber niemanden hat, der Alerts triagiert, hat ein teures Logging-Tool. Pflicht: entweder eigene 24/7-Bereitschaft oder MDR-Service.
- Defender XDR vs. Sentinel-Duplikate: Wer beides aktiviert, ohne Bi-directional Sync zu konfigurieren, erzeugt doppelte Incidents. Pflicht: M365-Defender-Connector im "BIDI"-Modus.
- Aufbewahrung zu kurz: Default 30 Tage in Workspace reicht oft nicht. Cyber-Versicherungen und ISG erwarten 90–365 Tage. Lösung: Archive Tier (günstig) oder Long-term Storage.
- Falscher Workspace-Region: Sentinel-Workspace ausserhalb der Schweiz konfiguriert (US, West Europe), obwohl Daten Schweizer Personenbezug haben. Datenschutzpanne vermeidbar.
- Keine MITRE-ATT&CK-Abdeckung gemessen: Mit nur 20 Detections fehlen oft ganze Tactics (Lateral Movement, Privilege Escalation). Sentinel-Coverage-Workbook nutzen.
- Playbooks ungetestet: Auto-Response, die im Ernstfall nicht greift oder False-Positives lähmt, ist schlimmer als gar nichts. Pflicht: monatliche Test-Trigger.
- Alarm-Müdigkeit: 200+ Alerts pro Tag ohne Priorisierung führen zu Ignorieren. Pflicht: Severity-Modell, Watchlist, Suppression-Rules, Fusion aktivieren.
Fazit: SIEM lohnt sich – mit MDR
SIEM ist 2026 für Schweizer KMU ab 20 Usern oder mit Compliance-Pflicht keine Option mehr, sondern Standard. Microsoft Sentinel ist die natürliche Wahl für M365-zentrierte Unternehmen, weil die Defender-XDR-Integration konkurrenzlos tief ist. Für Open-Source-affine Teams sind Wazuh oder Elastic Security ernsthafte Alternativen.
Der entscheidende Punkt: SIEM ohne MDR ist Logging ohne Reaktion. Die meisten KMU brauchen einen Schweizer/EU-MDR-Anbieter (InfoGuard, Open Systems, Sophos MDR, Eset, Arctic Wolf) – nicht weil sie es selbst nicht könnten, sondern weil 24/7 betrieblich nicht abbildbar ist. Mit CHF 30–80 pro User und Monat ist das ein vertretbarer Aufwand für deutlich kürzere Erkennungszeiten und nachweisbare Reaktionsfähigkeit.
SIEM- und MDR-Strategie definieren
Wir bewerten Ihre Anforderungen (Branche, Compliance, M365-Reife), wählen das richtige SIEM (Sentinel, Wazuh, Elastic), evaluieren MDR-Anbieter und begleiten den Aufbau von Use Cases, Konnektoren und Playbooks.
Beratung anfragen