SIEM-Systeme sind leistungsfähig – aber nicht für jede Situation. Diese Seite zeigt, wann ein SIEM die richtige Wahl ist und wann eine Alternative schneller, günstiger und unabhängiger zur Antwort führt.
15 Minuten zur Einordnung. Wenn es nicht passt, sagen wir das.
Ein SIEM ist die Standardlösung für dauerhaftes Sicherheits-Monitoring in größeren Organisationen. Es korreliert Logs aus vielen Quellen, erkennt Muster und unterstützt Compliance-Anforderungen. Wenn Sie eine permanente Überwachung mit zentraler Datenhaltung brauchen, ist ein SIEM das richtige Werkzeug.
Diese Seite ist kein Argument gegen SIEM. Sie ist ein Argument dafür, das richtige Werkzeug für die jeweilige Situation zu wählen.
Es gibt aber Situationen, in denen ein SIEM zur falschen Antwort wird – entweder weil der Aufwand nicht zur Aufgabe passt, oder weil die Architektur des Systems eine bestimmte Frage nicht eindeutig beantworten kann.
In der Praxis sehen wir immer wieder dieselben Muster:
Implementierungszeit übersteigt den Bedarf
Ein SIEM benötigt typischerweise mehrere Monate von der Auswahl über die Integration bis zum produktiven Betrieb. Use-Case-Engineering, Log-Anbindung, Tuning und Schulung addieren sich. In Situationen, in denen Klarheit innerhalb weniger Tage gebraucht wird – etwa nach einem Sicherheitsvorfall – kommt diese Geschwindigkeit zu spät.
Lizenz, Implementierung, laufender Betrieb — drei Kostenblöcke, die sich addieren.
SIEM-Lizenzen werden typischerweise nach GB/Tag, Events-pro-Sekunde oder angebundenen Assets berechnet. Hinzu kommen Implementierungskosten für Use-Case-Engineering und Integration sowie laufender Personalbedarf für Wartung und Tuning. In Summe liegen SIEM-Projekte für mittelständische Organisationen schnell im fünf- bis sechsstelligen Bereich pro Jahr — ohne dass damit garantiert ist, dass nach einem Vorfall die richtigen Daten in den Logs stehen.
Personalbedarf für den laufenden Betrieb
Ein SIEM ist kein Werkzeug, das man installiert und stehen lässt. Es braucht laufende Pflege: neue Use Cases, Tuning gegen False Positives, Anpassung an neue Datenquellen. Im DACH-Raum fehlen Sicherheitsspezialisten – und gerade kleinere Unternehmen oder MSSPs ohne dediziertes SOC stoßen schnell an ihre Grenzen.
Schutz und Analyse aus derselben Quelle
Wenn Detection, Schutz und Bewertung im selben System erfolgen, fehlt eine zweite Perspektive. Ein System, das einen Angriff übersehen hat, wird denselben Angriff auch bei der Nachbewertung nicht zwingend finden. Insbesondere nach einem Vorfall – wo es darauf ankommt, ob noch Restaktivität läuft – ist eine unabhängige Sicht oft der entscheidende Punkt.
Detection-Lücken sind kein Einzelphänomen — sie sind systemisch.
Der BSI-Lagebericht 2025¹ dokumentiert: 48 Prozent der Betreiber Kritischer Infrastrukturen in Deutschland verfügen über kein System zur Angriffserkennung.
Aber auch dort, wo SIEMs im Einsatz sind, ist die Abdeckung begrenzt. Eine 2025 veröffentlichte Analyse von CardinalOps auf Basis von 13.000 Detection-Regeln und über 2,5 Millionen Log-Quellen zeigt: SIEM-Systeme decken im Durchschnitt nur 21 Prozent der von Angreifern verwendeten MITRE-ATT&CK-Techniken ab² — 79 Prozent bleiben unentdeckt.
Detection-Lücken existieren also auf zwei Ebenen: Systeme, die fehlen — und Systeme, die nicht alles sehen.
¹ Quelle: BSI-Lagebericht 2025
² Quelle: CardinalOps State of SIEM Detection Risk Report 2025
Es gibt klare Situationen, in denen ein SIEM der richtige Schritt ist.
Sie brauchen permanentes, zentral korreliertes Monitoring über viele Datenquellen
Compliance-Anforderungen verlangen eine durchgängige Log-Sammlung mit Aufbewahrungsfristen
Sie betreiben ein dediziertes SOC mit Personal für Use-Case-Engineering und Tuning
Sie wollen ein langfristiges Datenfundament für Bedrohungsanalyse und forensische Auswertung aufbauen
In diesen Fällen ist ein SIEM nicht nur die richtige Wahl – es ist alternativlos.
Wer eine Alternative zum SIEM sucht, hat in der Regel einen klaren Anlass: ein Vorfall, ein leiser Verdacht, eine offene Frage zur aktuellen Lage. Damit eine Alternative diesen Anlass bedienen kann, muss sie vier Eigenschaften erfüllen:
Kein mehrwöchiges Implementierungsprojekt. Anschluss und erste Erkenntnisse innerhalb von Tagen, nicht Monaten.
Die Netzwerksicht steht eigenständig und verändert nichts an Ihren bestehenden Systemen – deshalb liefert sie nach einem Vorfall eine echte zweite Perspektive. Auf Wunsch lassen sich weitere Quellen (z. B. EDR, Firewall) ergänzen, um das Bild zu vervollständigen.
Das Ziel ist nicht ein weiterer Datenstrom, sondern eine konkrete Antwort auf eine konkrete Frage.
Kontinuierlich als Subscription oder punktuell pro Einsatz – ohne Lizenz pro GB, ohne lange Bindung.
AEGYS Monitor ist eine passive Network-Detection-and-Response-Lösung (NDR) aus Deutschland. Die Appliance wird über SPAN oder TAP ans Netzwerk angebunden und liefert eine unabhängige Sicht auf die tatsächliche Netzwerkkommunikation — wahlweise als punktueller Reality-Check oder als kontinuierliche NDR-Subscription. Die ausführliche Produktbeschreibung steht auf der Monitor-Seite.
Erfassung passiv über SPAN-Port oder TAP. Keine Agenten, kein Eingriff in Ihre Systeme – die Netzwerksicht steht für sich. Weitere Quellen lassen sich bei Bedarf ergänzen.
Erste Auffälligkeiten meist innerhalb weniger Stunden. Eine belastbare Einschätzung je nach Netzwerkgröße und Aktivität — ohne mehrwöchiges Implementierungsprojekt.
AEGYS Monitor kann als punktueller Reality-Check oder als kontinuierliche NDR-Subscription (Network Detection and Response) genutzt werden — ohne Lizenz pro GB, ohne Mindestlaufzeit.
AEGYS Monitor ist der schnelle, unabhängige Einstieg über die Netzwerksicht — ohne SIEM-Projekt. Wo mehr gebraucht wird, lassen sich weitere Quellen ergänzen und bestehende Investitionen aufwerten, statt sie zu ersetzen.
| Kriterium | Klassisches SIEM | AEGYS |
|---|---|---|
| Ziel | Dauerhaftes Monitoring | Kontinuierliche Sicht — oder punktuelle Klarheit bei Bedarf |
| Time-to-Value | Wochen bis Monate | Stunden bis wenige Tage, ohne Implementierungsprojekt |
| Setup | Projekt mit Use-Case-Engineering | Anschließen, läuft |
| Datenbasis | Logs aus angebundenen Quellen | Direkte, passive Netzwerksicht als Basis — auf Wunsch ergänzt um weitere Quellen (z. B. Endpoint) |
| Datensouveränität | Daten in zentralem System, oft cloud-basiert | Erfassung passiv beim Kunden; Metadaten verschlüsselt zur Auswertung nach Deutschland — keine Drittstaaten, keine Hyperscaler-Cloud |
| Lizenzmodell | Pro GB / EPS / Asset, plus Implementierung und Betrieb | Einsatzbasiert oder Subscription, ohne Lizenz pro GB |
| Personalbedarf | Dediziertes SOC oder SIEM-Team | Kein eigenes SOC-Team nötig |
| Eignung Post-Incident | Eingeschränkt – nur wenn vorher angebunden | Sofort einsatzbereit |
| Typischer Einsatz | Permanente Sicherheitsinfrastruktur | NDR, Compromise Assessment, Zweitmeinung, Akut-Klärung |
Ziel
Klassisches SIEM
Dauerhaftes Monitoring
AEGYS
Kontinuierliche Sicht — oder punktuelle Klarheit bei Bedarf
Time-to-Value
Klassisches SIEM
Wochen bis Monate
AEGYS
Stunden bis wenige Tage, ohne Implementierungsprojekt
Setup
Klassisches SIEM
Projekt mit Use-Case-Engineering
AEGYS
Anschließen, läuft
Datenbasis
Klassisches SIEM
Logs aus angebundenen Quellen
AEGYS
Direkte, passive Netzwerksicht als Basis — auf Wunsch ergänzt um weitere Quellen (z. B. Endpoint)
Datensouveränität
Klassisches SIEM
Daten in zentralem System, oft cloud-basiert
AEGYS
Erfassung passiv beim Kunden; Metadaten verschlüsselt zur Auswertung nach Deutschland — keine Drittstaaten, keine Hyperscaler-Cloud
Lizenzmodell
Klassisches SIEM
Pro GB / EPS / Asset, plus Implementierung und Betrieb
AEGYS
Einsatzbasiert oder Subscription, ohne Lizenz pro GB
Personalbedarf
Klassisches SIEM
Dediziertes SOC oder SIEM-Team
AEGYS
Kein eigenes SOC-Team nötig
Eignung Post-Incident
Klassisches SIEM
Eingeschränkt – nur wenn vorher angebunden
AEGYS
Sofort einsatzbereit
Typischer Einsatz
Klassisches SIEM
Permanente Sicherheitsinfrastruktur
AEGYS
NDR, Compromise Assessment, Zweitmeinung, Akut-Klärung
SIEM-Projekte für mittelständische Organisationen verursachen je nach Umfang signifikante Kosten — neben Lizenz und Implementierung vor allem laufenden Personalbedarf für Use-Case-Engineering und Pflege. Die genaue Spanne hängt stark vom Datenvolumen, der Anzahl angebundener Systeme und dem Betriebsmodell ab. AEGYS arbeitet einsatzbasiert — konkrete Konditionen besprechen wir im Erstgespräch.
Beide Werkzeuge haben ihre Berechtigung. Die Frage ist nicht, welches besser ist, sondern welches zu Ihrer aktuellen Aufgabe passt.
Nach einem Sicherheitsvorfall oder bei einem leisen Verdacht: schnelle, unabhängige Bewertung der Netzwerkaktivität, ohne dass ein neues SIEM-Projekt gestartet werden muss. Auch als Zweitmeinung zur Bewertung der eigenen Sicherheitslage – ohne dass die bestehende Infrastruktur verändert wird.
Schnelle Klarheit bei Kunden, die kein eigenes SIEM betreiben oder bei denen ein SIEM-Einsatz nicht im Verhältnis zum Anlass steht. Ein zusätzlicher Service, ohne dass eigene Infrastruktur aufgebaut werden muss – und ohne dass der Kunde ein langfristiges Tool einführen muss.
15 Minuten Erstgespräch. Wir verstehen Ihre Situation und prüfen mit Ihnen, ob AEGYS die richtige Antwort ist – oder ob ein anderer Weg sinnvoller wäre. Wenn AEGYS passt, setzen wir den Einsatz zeitnah um.
15 Minuten zur Einordnung. Wenn es nicht passt, sagen wir das.
Auch für MSSPs und Security-Partner