BEKOM MANAGEDSecurity-Betrieb nach EinsatzmodellOn-Premise, Cloud oder Hybrid
BEKOM betreibt SOC und SIEM in der eigenen Betriebsstätte, aus deutschen Rechenzentren oder standortübergreifend kombiniert – mit identischen Betriebsprozessen und definierten Service-Levels.
Security-Betrieb unabhängig vom Standort – warum das Einsatzmodell entscheidend ist
Die übergeordnete Seite BEKOM MANAGED Security & Compliance beschreibt, welche Security-Leistungen BEKOM im Rahmen von BEKOM MANAGED Security erbringt – von SOC (Security Operations Center) über SIEM (Security Information and Event Management) bis zu Vulnerability Management. Die Kernfrage hier lautet: In welchem Einsatzmodell erbringt BEKOM diese Leistungen – in der eigenen Betriebsstätte des Kunden, aus deutschen Rechenzentren oder in kombinierten Szenarien?
Security-Betriebsmodelle sind geschäftskritisch, da sie die Compliance-Anforderungen branchenspezifischer Regulierung direkt beeinflussen – von KRITIS-Vorgaben bis zur Finanzaufsicht. Der operative Betrieb standortübergreifender Security-Services muss auditfähig dokumentiert werden, damit Geschäftsprozesse wie die Auftragsverarbeitung regelkonform ablaufen können.
Für Betriebsmodelle auf Infrastruktur-Ebene siehe Infrastruktur-Betriebsmodelle. Für Plattformdienste siehe Plattform-Betriebsmodelle. Für Geschäftsanwendungen siehe Anwendungs-Betriebsmodelle.
Datensouveränität und Log-Verarbeitung
Security-Betrieb erzeugt große Mengen an Protokolldaten. Wo diese Daten gespeichert und ausgewertet werden, hat direkte Auswirkungen auf Compliance und Datenschutz.
Standort der Log-Verarbeitung:
- Branchenspezifische Vorgaben (z. B. KRITIS, Finanzaufsicht) können vorschreiben, dass Protokolldaten die eigene Betriebsstätte nicht verlassen
- Die DSGVO stellt Anforderungen an die Verarbeitung personenbezogener Daten in Log-Einträgen – etwa IP-Adressen, Benutzernamen oder Zugriffsprotokolle
- Bei physisch getrennten Umgebungen (sogenannten Air-Gapped-Netzen) ist eine lokale Log-Verarbeitung ohne externe Netzwerkverbindung erforderlich
- Vertragliche Vereinbarungen mit Geschäftspartnern oder Auftraggebern können zusätzliche Einschränkungen für den Speicherort von Protokolldaten definieren – unabhängig von gesetzlichen Vorgaben
- BEKOM dokumentiert pro Einsatzmodell, welche Daten wo verarbeitet und wie lange aufbewahrt werden
Inzidenz-Response und Erreichbarkeit
Im Ernstfall entscheidet die Reaktionsfähigkeit über das Ausmaß eines Sicherheitsvorfalls. Das gewählte Einsatzmodell beeinflusst, wie schnell BEKOM auf Alarme reagieren kann.
Reaktionsfähigkeit nach Modell:
- On-Premise-Betrieb erfordert gesicherte Remote-Zugänge für das BEKOM-Team – bei physisch getrennten Umgebungen zusätzlich abgestimmte Zugangsverfahren
- Cloud-basierter Betrieb ermöglicht direkten Zugriff auf alle Systeme ohne Abhängigkeit von der Netzwerkinfrastruktur des Kunden
- Hybrid-Szenarien erfordern koordinierte Reaktionspfade: lokale Systeme und Cloud-Systeme müssen in einem gemeinsamen Eskalationsprozess zusammengefasst werden
- Bei Sicherheitsvorfällen mit hoher Priorität ist die Erreichbarkeit der Security-Systeme ausschlaggebend für die tatsächliche Reaktionsdauer
- BEKOM definiert die Reaktionszeiten pro Einsatzmodell und Prioritätsstufe im Service-Level-Agreement
Compliance-Anforderungen und Nachweisführung
Regulatorische Anforderungen bestimmen häufig, welches Einsatzmodell überhaupt in Frage kommt. BEKOM berücksichtigt diese Vorgaben bei der Modellwahl.
Regulatorik als Rahmen:
- KRITIS-Unternehmen unterliegen besonderen Anforderungen an die Dokumentation und Nachweisführung von Security-Maßnahmen – einschließlich der Frage, wer den Security-Betrieb durchführt
- ISO 27001 und BSI IT-Grundschutz fordern nachvollziehbare Prozesse für Monitoring, Inzidenz-Response und Log-Management – unabhängig vom Betriebsort
- Branchenspezifische Aufsichtsbehörden können den Standort von Security-Systemen oder die Qualifikation des Betriebspersonals vorschreiben
- Die Nachweispflicht umfasst regelmäßige Berichte über erkannte Vorfälle, durchgeführte Maßnahmen und die Wirksamkeit der Security-Prozesse
- BEKOM unterstützt die Nachweisführung durch strukturiertes Reporting und Audit-Dokumentation in allen drei Einsatzmodellen
Drei Einsatzmodelle für den Security-Betrieb
BEKOM betreibt Security Operations in allen drei Einsatzmodellen im Rahmen von BEKOM MANAGED Security. Die Betriebsprozesse – Monitoring, Alerting, Inzidenz-Response, Reporting – sind identisch. Der Unterschied liegt im Standort der Systeme und in der Art der Datenverarbeitung. Die Wahl des Einsatzmodells ist keine technische Grundsatzentscheidung, sondern eine organisatorische: Sie richtet sich nach Compliance-Vorgaben, vorhandener Infrastruktur und den Verfügbarkeitsanforderungen der Organisation.
On-Premise – Security-Betrieb in eigener Betriebsstätte
SOC- und SIEM-Systeme laufen auf Servern in der eigenen Betriebsstätte des Kunden. Protokolldaten werden lokal gesammelt, korreliert und ausgewertet. Das BEKOM-Team übernimmt den Betrieb per gesichertem Remote-Zugang.
Vorteile
- Log-Daten verlassen die eigene Betriebsstätte nicht – relevant für KRITIS, Finanzaufsicht und vertragliche Auflagen
- Physisch getrennte Umgebungen sind möglich – BEKOM stimmt die Zugangsverfahren individuell ab
- Die Organisation behält die volle Kontrolle über Hardware und physischen Zugang zu den Security-Systemen
- Änderungen an der Security-Konfiguration erfolgen nach abgestimmtem Change-Prozess
- Organisationen mit strengen regulatorischen Anforderungen an den Speicherort von Protokolldaten
- Umgebungen mit physisch getrennten Netzsegmenten, die keine externe Netzwerkverbindung erlauben
- Unternehmen mit vorhandener Server-Infrastruktur und dediziertem IT-Betriebsteam
Fazit
On-Premise-Betrieb erfordert eigene Hardware und deren laufenden Unterhalt. BEKOM betreibt die Security-Systeme per gesichertem Remote-Zugang – die Hardware-Verantwortung verbleibt bei der Organisation.
Cloud – Security-Betrieb aus deutschen Rechenzentren
SOC- und SIEM-Systeme laufen auf Infrastruktur in deutschen Rechenzentren. Protokolldaten werden über gesicherte Verbindungen gesammelt und zentral ausgewertet. Die Organisation benötigt keine eigene Hardware für den Security-Betrieb.
Vorteile
- Kein eigener Hardware-Aufwand für Security-Systeme – BEKOM stellt die Infrastruktur bereit
- Schnelle Skalierung der SIEM-Kapazität bei steigendem Log-Aufkommen ohne Beschaffungsvorlauf
- Standort der Datenverarbeitung in deutschen Rechenzentren mit dokumentiertem Datenschutzniveau
- Direkter Zugriff des BEKOM-Teams auf alle Security-Systeme ohne Abhängigkeit von der Netzwerkinfrastruktur des Kunden
- Organisationen ohne eigene Server-Infrastruktur für den Security-Betrieb
- Unternehmen, die IT-Betriebsaufwände reduzieren und Security-Kapazität bedarfsgerecht skalieren möchten
- Standortverteilte Organisationen, die Protokolldaten zentral auswerten lassen
Fazit
Cloud-basierter Betrieb wandelt Investitionskosten in planbare Betriebskosten um. Die Verantwortung für Infrastruktur und Verfügbarkeit der Security-Systeme liegt bei BEKOM.
Hybrid – kombinierter Security-Betrieb
Teile der Security-Infrastruktur laufen in der eigenen Betriebsstätte, andere in Cloud-Umgebungen. Ein zentrales SIEM aggregiert Daten aus verteilten Quellen. BEKOM koordiniert den Betrieb über alle Standorte hinweg.
Vorteile
- Zentrales SIEM mit verteilten Datenquellen – Log-Sammlung an mehreren Standorten, Korrelation an einer zentralen Stelle
- Pro Datenquelle konfigurierbar, ob Logs lokal verbleiben oder zentral verarbeitet werden
- Einheitliches Monitoring über alle Standorte hinweg in einem gemeinsamen Dashboard
- Schrittweise Migration möglich – einzelne Komponenten können ohne Betriebsunterbrechung verlagert werden
- Organisationen mit gemischten Compliance-Anforderungen: Teile der Logs dürfen die eigene Betriebsstätte nicht verlassen, andere können zentral verarbeitet werden
- Unternehmen in der Cloud-Transition, die Security-Systeme schrittweise verlagern
- Standortverteilte Organisationen mit On-Premise-Infrastruktur an einem und Cloud-Workloads an einem anderen Standort
Fazit
Hybrid-Betrieb erfordert koordinierte Prozesse für Inzidenz-Response über Standortgrenzen hinweg. BEKOM dokumentiert die Verantwortungsverteilung pro Komponente und Standort.
| On-Premise – Security-Betrieb in eigener Betriebsstätte | Cloud – Security-Betrieb aus deutschen Rechenzentren | Hybrid – kombinierter Security-Betrieb | |
|---|---|---|---|
Fokus | SOC- und SIEM-Systeme laufen auf Servern in der eigenen Betriebsstätte des Kunden. Protokolldaten werden lokal gesammelt, korreliert und ausgewertet. Das BEKOM-Team übernimmt den Betrieb per gesichertem Remote-Zugang. | SOC- und SIEM-Systeme laufen auf Infrastruktur in deutschen Rechenzentren. Protokolldaten werden über gesicherte Verbindungen gesammelt und zentral ausgewertet. Die Organisation benötigt keine eigene Hardware für den Security-Betrieb. | Teile der Security-Infrastruktur laufen in der eigenen Betriebsstätte, andere in Cloud-Umgebungen. Ein zentrales SIEM aggregiert Daten aus verteilten Quellen. BEKOM koordiniert den Betrieb über alle Standorte hinweg. |
Vorteile |
|
|
|
Geeignet für |
|
|
|
Fazit | On-Premise-Betrieb erfordert eigene Hardware und deren laufenden Unterhalt. BEKOM betreibt die Security-Systeme per gesichertem Remote-Zugang – die Hardware-Verantwortung verbleibt bei der Organisation. | Cloud-basierter Betrieb wandelt Investitionskosten in planbare Betriebskosten um. Die Verantwortung für Infrastruktur und Verfügbarkeit der Security-Systeme liegt bei BEKOM. | Hybrid-Betrieb erfordert koordinierte Prozesse für Inzidenz-Response über Standortgrenzen hinweg. BEKOM dokumentiert die Verantwortungsverteilung pro Komponente und Standort. |
Entscheidungsmatrix: Welches Modell für welche Anforderung?
Die Wahl des Einsatzmodells ist keine einmalige Festlegung. BEKOM erarbeitet gemeinsam mit dem Kunden das passende Einsatzmodell im Rahmen von BEKOM MANAGED Security und dokumentiert die Entscheidungsgrundlagen, sodass eine spätere Anpassung auf nachvollziehbarer Basis erfolgen kann.
On-Premise
Log-Daten verlassen die eigene Betriebsstätte nicht. BEKOM betreibt SOC und SIEM auf Servern vor Ort per gesichertem Remote-Zugang.
Vorteile
- Direkter Nachweis der Datenresidenz für KRITIS, Finanzaufsicht und vertragliche Auflagen
- Physisch getrennte Umgebungen möglich – keine externe Netzwerkverbindung erforderlich
- Volle Kontrolle der Organisation über Hardware und physischen Zugang
- Organisationen mit strengen Standortanforderungen für Protokolldaten (KRITIS, BaFin, Gesundheitswesen)
- Umgebungen mit physisch getrennten Netzsegmenten
- Unternehmen mit eigener Server-Infrastruktur und Redundanzkonzepten
Fazit
Erfordert eigene Investitionen in Hardware, Redundanz und Netzwerkanbindung. Kapazitätserweiterungen setzen Beschaffungsvorlauf voraus.
Cloud
BEKOM betreibt SOC und SIEM aus deutschen Rechenzentren. Keine eigene Hardware erforderlich, redundante Infrastruktur und bedarfsgerechte Skalierung.
Vorteile
- Redundante Infrastruktur ohne eigenen Aufwand für Ausfallschutz
- SIEM-Kapazität bei steigendem Log-Aufkommen ohne Beschaffungsvorlauf erweiterbar
- Investitionskosten werden in planbare Betriebskosten umgewandelt
- Direkter Zugriff des BEKOM-Teams ohne Abhängigkeit von der Netzwerkinfrastruktur des Kunden
- Organisationen ohne eigene Server-Infrastruktur für den Security-Betrieb
- Unternehmen, die IT-Betriebsaufwände reduzieren und Security-Kapazität skalieren möchten
- Standortverteilte Organisationen mit zentraler Protokollauswertung
Fazit
Setzt voraus, dass Protokolldaten das Unternehmen verlassen dürfen. DSGVO-Konformität über vertragliche Vereinbarungen und dokumentierte Schutzmaßnahmen.
Hybrid
Teile der Security-Infrastruktur lokal, andere in der Cloud. Pro Datenquelle konfigurierbar, ob Logs in der eigenen Betriebsstätte verbleiben oder zentral verarbeitet werden.
Vorteile
- Regulatorisch kritische Logs lokal, andere zentral – Compliance-Anforderungen pro Quelle abbildbar
- Lokale Verfügbarkeit kombiniert mit Cloud-basiertem Failover bei Standortausfall
- Schrittweise Migration möglich – einzelne Komponenten ohne Betriebsunterbrechung verlagerbar
- Organisationen mit gemischten Compliance-Anforderungen pro Datenquelle
- Unternehmen in der Cloud-Transition, die Security-Systeme schrittweise verlagern
- Standortverteilte Organisationen mit On-Premise- und Cloud-Workloads
Fazit
Kosten verteilen sich auf beide Modelle. BEKOM erstellt im Security-Assessment eine Gegenüberstellung der Kostentreiber pro Einsatzmodell und Komponente. Verwandte Themen: Security-Betriebsmodelle verzahnen sich mit Managed SOC und Managed Compliance; auf Open-Source-Ebene ergänzt Netzwerksicherheit & Firewall das Bild.
| On-Premise | Cloud | Hybrid | |
|---|---|---|---|
Fokus | Log-Daten verlassen die eigene Betriebsstätte nicht. BEKOM betreibt SOC und SIEM auf Servern vor Ort per gesichertem Remote-Zugang. | BEKOM betreibt SOC und SIEM aus deutschen Rechenzentren. Keine eigene Hardware erforderlich, redundante Infrastruktur und bedarfsgerechte Skalierung. | Teile der Security-Infrastruktur lokal, andere in der Cloud. Pro Datenquelle konfigurierbar, ob Logs in der eigenen Betriebsstätte verbleiben oder zentral verarbeitet werden. |
Vorteile |
|
|
|
Geeignet für |
|
|
|
Fazit | Erfordert eigene Investitionen in Hardware, Redundanz und Netzwerkanbindung. Kapazitätserweiterungen setzen Beschaffungsvorlauf voraus. | Setzt voraus, dass Protokolldaten das Unternehmen verlassen dürfen. DSGVO-Konformität über vertragliche Vereinbarungen und dokumentierte Schutzmaßnahmen. | Kosten verteilen sich auf beide Modelle. BEKOM erstellt im Security-Assessment eine Gegenüberstellung der Kostentreiber pro Einsatzmodell und Komponente. Verwandte Themen: Security-Betriebsmodelle verzahnen sich mit Managed SOC und Managed Compliance; auf Open-Source-Ebene ergänzt Netzwerksicherheit & Firewall das Bild. |
Häufige Fragen zu Security-Betriebsmodellen
Kann BEKOM Security-Systeme in eigener Infrastruktur betreiben?
BEKOM betreibt SOC- und SIEM-Systeme auf Servern in der eigenen Betriebsstätte des Kunden. Das BEKOM-Team übernimmt Monitoring, Alerting und Inzidenz-Response per gesichertem Remote-Zugang. Die Hardware bleibt im Besitz der Organisation. Protokolldaten verlassen die eigene Betriebsstätte nicht. Die Verantwortungsaufteilung – wer welche Aufgaben übernimmt – ist vertraglich definiert und im Betriebshandbuch dokumentiert.
Betreibt BEKOM SOC und SIEM auch aus der Cloud?
BEKOM betreibt Security Operations aus deutschen Rechenzentren. Die Organisation benötigt keine eigene Hardware für den Security-Betrieb. Protokolldaten werden über gesicherte Verbindungen gesammelt und zentral ausgewertet. Die SIEM-Kapazität lässt sich bei steigendem Log-Aufkommen kurzfristig erweitern, ohne dass Beschaffungsprozesse für Hardware erforderlich sind. Standort und Datenschutzniveau der Rechenzentren sind dokumentiert und vertraglich vereinbart.
Was bedeutet Hybrid-Security-Betrieb konkret?
Im Hybrid-Modell laufen Teile der Security-Infrastruktur in der eigenen Betriebsstätte und andere in Cloud-Umgebungen. Ein zentrales SIEM aggregiert Daten aus verteilten Quellen. On-Premise-Logs bleiben lokal, Cloud-Logs werden zentral verarbeitet. BEKOM überwacht alle Standorte in einem gemeinsamen Dashboard und koordiniert Inzidenz-Response standortübergreifend. Das Hybrid-Modell eignet sich für Organisationen, die Teile ihrer Infrastruktur schrittweise in die Cloud verlagern.
Kann ich später zwischen Betriebsmodellen wechseln?
Ein Wechsel des Einsatzmodells ist möglich. BEKOM dokumentiert den Portabilitätsgrad pro Security-Komponente und die konkreten Abhängigkeiten, die einen Wechsel beeinflussen – etwa Log-Volumen, Netzwerkanbindung und Compliance-Vorgaben. Der Wechselprozess umfasst eine Vorab-Analyse, die Verlagerung in einem definierten Wartungsfenster und die Validierung nach Abschluss. Einzelne Komponenten können auch schrittweise und unabhängig voneinander verlagert werden.
Wo werden die Log-Daten gespeichert und verarbeitet?
Der Speicher- und Verarbeitungsort hängt vom gewählten Einsatzmodell ab. Im On-Premise-Betrieb verbleiben alle Protokolldaten in der eigenen Betriebsstätte. Im Cloud-Betrieb werden Daten in deutschen Rechenzentren verarbeitet und gespeichert. Im Hybrid-Modell ist pro Datenquelle konfigurierbar, ob Logs lokal verbleiben oder zentral verarbeitet werden. BEKOM dokumentiert den vollständigen Datenfluss pro Komponente im Betriebshandbuch.
Was kostet der Security-Betrieb in verschiedenen Modellen?
Die Kostenstruktur unterscheidet sich je nach Einsatzmodell. On-Premise-Betrieb erfordert Investitionen in Hardware, Netzwerkanbindung und deren laufenden Unterhalt. Cloud-Betrieb wandelt diese Investitionskosten in planbare monatliche Betriebskosten um. Hybrid-Szenarien kombinieren beide Kostenmodelle pro Komponente. BEKOM erstellt im Security-Assessment eine Gegenüberstellung der Kostentreiber pro Einsatzmodell, sodass die Organisation auf dokumentierter Grundlage entscheiden kann.
Wie unterscheidet sich BEKOM von reinen Cloud-SOC-Anbietern?
BEKOM betreibt Security Operations in allen drei Einsatzmodellen – nicht ausschließlich aus der Cloud. Organisationen mit Standortbindung für Protokolldaten erhalten On-Premise-Betrieb mit identischen Prozessen. BEKOM dokumentiert die Verantwortungsaufteilung pro Komponente und Standort. Die Betriebsprozesse – Monitoring, Alerting, Inzidenz-Response, Reporting – sind in allen Modellen identisch. Der Wechsel zwischen Modellen ist möglich.
Wie werden Bedrohungen automatisiert erkannt und analysiert?
BEKOM setzt automatisierte Erkennungsmechanismen ein: regelbasierte Korrelation, Anomalie-Erkennung und Threat-Intelligence-Feeds. Die automatisierte Analyse filtert Fehlalarme und priorisiert relevante Ereignisse für die qualifizierte Bewertung durch Sicherheitsanalysten. Die Erkennungsregeln werden kontinuierlich an aktuelle Bedrohungsmuster angepasst. Im Service-Design-Dokument ist dokumentiert, welche Erkennungsmethoden für die jeweilige Umgebung konfiguriert sind.
Nächste Schritte: Security-Assessment anfragen
BEKOM erarbeitet gemeinsam mit dem Kunden das passende Einsatzmodell im Rahmen von BEKOM MANAGED Security. Die Grundlage ist eine strukturierte Analyse der bestehenden Security-Infrastruktur, der Compliance-Anforderungen und der organisatorischen Rahmenbedingungen. Das Ergebnis ist eine dokumentierte Empfehlung pro Security-Komponente.
Das Assessment verschafft Klarheit über die regulatorischen Anforderungen Ihrer Branche und liefert eine strukturierte Bestandsaufnahme Ihrer aktuellen Log-Verarbeitungsstandorte. BEKOM erstellt eine Architektur-Empfehlung für Security-Betriebsmodelle, die Datensouveränität und Compliance-Vorgaben berücksichtigt. Das Service-Design dokumentiert den Betriebsumfang für On-Premise-, Cloud- oder Hybrid-Szenarien und schafft einen Überblick über die erforderlichen Standort-Kombinationen.
Bestandsaufnahme der Security-Infrastruktur
Im ersten Schritt erfasst BEKOM gemeinsam mit dem Kunden die bestehenden Security-Systeme: vorhandene SIEM-Instanzen, Log-Quellen, Monitoring-Werkzeuge und deren aktuelle Standorte. Parallel dokumentiert BEKOM die regulatorischen Anforderungen, die den Standort von Protokolldaten beeinflussen.
Einsatzmodell pro Komponente bewerten
Auf Basis der Bestandsaufnahme bewertet BEKOM pro Security-Komponente das geeignete Einsatzmodell: On-Premise, Cloud oder Hybrid. Die Bewertung berücksichtigt Compliance-Vorgaben, Verfügbarkeitsanforderungen, vorhandene Netzwerkanbindung und die Kostenstruktur der einzelnen Varianten.
Betriebshandbuch und Verantwortungsaufteilung
Nach Freigabe der Modellentscheidungen erstellt BEKOM das Betriebshandbuch. Dieses dokumentiert Service-Levels, Datenfluss pro Komponente, Inzidenz-Response-Pfade und die Verantwortungsaufteilung pro Security-Komponente und Standort. Das Betriebshandbuch dient als verbindliche Referenz für den laufenden Betrieb und als Grundlage für Audits und Compliance-Nachweise.