Detection & Response · Wissen

MDR, SOC und SIEM: Was ist der Unterschied?

Drei Begriffe, die ständig verwechselt werden – dabei ist die Logik einfach: Das SIEM sammelt, das SOC analysiert, MDR reagiert. Was Ihr Unternehmen wirklich braucht, hängt von Team, Budget und Risiko ab.

Kurz erklärt

SIEM, SOC und MDR sind keine Konkurrenten, sondern drei Ebenen derselben Aufgabe: Ein SIEM ist die Technologie, die sicherheitsrelevante Daten sammelt und korreliert. Ein SOC ist das Team samt Prozessen, das diese Daten rund um die Uhr analysiert. MDR (Managed Detection & Response) ist der ausgelagerte Service, der Erkennung und Reaktion übernimmt – für Unternehmen ohne eigenes 24/7-Sicherheitsteam meist der schnellste Weg zu echter Abwehrfähigkeit.

Technologie

SIEM

Security Information & Event Management: sammelt Logs und Events aus Ihrer gesamten IT, korreliert sie und schlägt bei Auffälligkeiten Alarm. Ohne Menschen, die die Alarme bewerten, bleibt es aber nur ein sehr lautes Werkzeug.

Team & Prozesse

SOC

Das Security Operations Center ist die Leitstelle: Analysten bewerten Alarme, jagen Bedrohungen und eskalieren Vorfälle – 24/7. Ein eigenes SOC erfordert Personal im Schichtbetrieb und ist für die meisten Mittelständler unwirtschaftlich.

Managed Service

MDR / Managed XDR

Managed Detection & Response kombiniert Technologie (EDR/XDR, SIEM) mit einem externen 24/7-Team, das erkennt UND reagiert – inklusive Eindämmung. Sie erhalten SOC-Leistung als Service, ohne eigenes Team aufzubauen.

Wann brauchen Sie was?

Eine ehrliche Entscheidungshilfe – abhängig von Team, Reifegrad und Regulatorik.

  • Sie haben kein 24/7-Security-Team? Dann ist MDR / SOC as a Service der direkteste Weg – Aufbaukosten entfallen, Reaktionsfähigkeit ist sofort da.
  • Sie haben bereits ein SIEM, aber zu viele Alarme? Dann fehlt die Analyse-Ebene: ein SOC-Service, der Alarme bewertet und triagiert.
  • NIS2/DORA verlangen Erkennungs- und Meldefähigkeit? Managed Detection & Response deckt Erkennung, Reaktion und die 24h-Meldefähigkeit ab.
  • Sie wollen volle Kontrolle im eigenen Haus? Eigenes SOC mit SIEM/SOAR – realistisch ab ca. 8–10 Analysten für echten Schichtbetrieb.
  • Endpoints sind das Hauptrisiko? EDR/XDR mit Managed Response priorisieren – dort entscheiden Minuten.
  • Unsicher, wo Sie stehen? Ein Cyber Security Assessment zeigt Lücken und den sinnvollsten Einstieg.

Häufige Fragen zu MDR, SOC & SIEM

Kompakte Antworten für die Entscheidungsvorlage.

Ersetzt MDR ein SIEM?

Nein – MDR nutzt Technologien wie SIEM oder XDR als Datenbasis. Der Unterschied: Beim MDR-Service betreibt und bewertet ein externes Team diese Technik für Sie, inklusive Reaktion.

Was ist der Unterschied zwischen MDR und SOC as a Service?

In der Praxis überlappen sich beide stark. SOC as a Service betont die Leitstelle (Monitoring, Analyse, Eskalation), MDR die aktive Reaktion. Entscheidend ist, was vertraglich zugesichert wird – insbesondere die Response.

Lohnt sich ein eigenes SOC für den Mittelstand?

Selten: Ein echter 24/7-Betrieb erfordert 8–10 Analysten plus Technologie und Prozesse. Als Service erhalten Sie dieselbe Fähigkeit zu einem Bruchteil der Kosten – und sofort.

Wie schnell reagiert ein MDR-Service bei einem Angriff?

Gute Anbieter erkennen und reagieren in Minuten. Das Argos Cyber Defense Center arbeitet 24/7 aus München – mit Eindämmung direkt am Endpoint und Eskalation an Incident Response, wenn nötig.