Jeder südafrikanische CISO steht irgendwann vor der gleichen Frage: Sollten wir unser eigenes Security Operations Centre aufbauen, an einen MSSP auslagern oder einen hybriden Mittelweg finden? Die Antwort ist weniger eindeutig, als beide Lager zugeben.
Von Neil Beulecke, Geschäftsführer — Layer7 Networking
Die Zahlen, Ehrlich Gesagt
Beginnen wir damit, was ein internes SOC in Südafrika im Jahr 2026 tatsächlich kostet.
Ein minimal funktionsfähiges 24/7-SOC erfordert mindestens acht Analysten für drei Schichten mit Redundanz, plus einen SOC-Manager und einen Threat-Intelligence-Analysten. Bei den aktuellen südafrikanischen Marktraten sprechen wir von:
- 8 x SOC-Analysten (L1/L2): R450.000 - R750.000 pro Person und Jahr
- 2 x Senior-Analysten (L3): R850.000 - R1.200.000 pro Person
- 1 x SOC-Manager: R1.000.000 - R1.500.000
- 1 x Threat-Intelligence-Analyst: R750.000 - R1.100.000
Das sind R7,5 - R12,5 Millionen allein an Gehältern — bevor Sie SIEM-Lizenzierung (R1,5 - R4 Millionen), SOAR-Tools, Threat-Intelligence-Feeds, Schulungen und die physische oder virtuelle Infrastruktur hinzurechnen. Die realistischen Vollkosten für ein internes SOC betragen R12 - R20 Millionen pro Jahr.
Und das nur, wenn Sie tatsächlich einstellen können. Die Cybersecurity-Fachkräftelücke in Südafrika ist gut dokumentiert — wir haben etwa 12.000 qualifizierte Cybersecurity-Fachkräfte bei einem geschätzten Bedarf von 40.000+. Ihre Analysten werden ständig abgeworben, und jeder Abgang kostet sechs Monate Produktivität.
Wann Intern Aufbauen
Trotz der Kosten ist ein internes SOC unter bestimmten Umständen sinnvoll:
Stark regulierte Branchen, in denen regulatorische Anforderungen eine direkte Kontrolle über Sicherheitsoperationen vorschreiben — bestimmte Anforderungen im Bank- und Finanzdienstleistungsbereich fallen in diese Kategorie.
Organisationen mit einzigartigen Bedrohungsprofilen, die tiefes, spezialisiertes Wissen über proprietäre Systeme erfordern. Bergbauoperationen mit komplexen OT-Umgebungen benötigen beispielsweise Analysten, die SCADA-Protokolle im Detail verstehen.
Sehr große Organisationen (5.000+ Mitarbeiter), bei denen die Kosten pro Benutzer eines internen SOC sich den Kosten des Outsourcings nähern und die Organisation über die Markenbekanntheit verfügt, um Talente anzuziehen und zu halten.
Wann Auslagern
Die Auslagerung an einen Managed-Security-Service-Provider ist sinnvoll, wenn:
Geschwindigkeit zur Einsatzbereitschaft zählt. Ein MSSP kann Sie innerhalb von Wochen überwachen. Der Aufbau eines internen SOC dauert 12-18 Monate bis zur operativen Reife. Wenn Sie eine unmittelbare Compliance-Frist haben oder kürzlich einen Vorfall erlebt haben, verschafft Outsourcing Ihnen Zeit.
Budgetbeschränkungen sind real. Ein Managed-SOC-Service kostet typischerweise R150.000 - R400.000 pro Monat, je nach Umfang — deutlich weniger als die interne Alternative für die meisten mittelständischen Unternehmen.
Ihr Kerngeschäft ist nicht Cybersecurity. Eine Einzelhandelskette, ein Logistikunternehmen, ein Fertigungsbetrieb — ihr Wettbewerbsvorteil liegt nicht in Sicherheitsoperationen. Outsourcing gibt der Führungsebene Raum für die Kerngeschäftsaktivitäten.
Das Hybridmodell
Der effektivste Ansatz für die meisten südafrikanischen Organisationen ist ein Hybridmodell, und genau das empfehlen wir zunehmend:
Intern: Governance, Risiko und strategische Sicherheit. Behalten Sie Ihren CISO, Ihren Sicherheitsarchitekten und ein kleines Team, das sich auf Richtlinien, Risikobewertung, Lieferantenmanagement und strategische Ausrichtung konzentriert. Diese Rollen erfordern tiefes organisatorisches Wissen, das ein MSSP nicht replizieren kann.
Extern: Operative Sicherheitsüberwachung und -reaktion. Lassen Sie einen Spezialisten die 24/7-Routine der Log-Analyse, Alert-Triage, Threat Hunting und Incident Response übernehmen. Sie haben die Skalierung, die Tools und die Talent-Pipeline, um dies effizient zu tun.
Gemeinsam: Incident Response und Threat Intelligence. Schwerwiegende Vorfälle erfordern Zusammenarbeit zwischen dem internen Team (das den Geschäftskontext versteht) und dem externen SOC (das die technische Tiefe und 24/7-Abdeckung hat). Gemeinsame Runbooks und regelmäßige Übungen halten diese Schnittstelle reibungslos.
Fragen an Ihren MSSP
Wenn Sie Managed-SOC-Anbieter evaluieren, trennen diese Fragen die Seriösen vom Marketing:
- Wie ist Ihr Analysten-zu-Kunden-Verhältnis? Alles über 1:15 bedeutet, dass Ihre Alerts mit zu vielen anderen Kunden um Aufmerksamkeit konkurrieren.
- Wo befinden sich Ihre Analysten? Zeitzonenausrichtung ist für die Incident Response entscheidend. Ein SOC auf der anderen Hemisphäre führt zu Kommunikationsverzögerungen im denkbar ungünstigsten Moment.
- Wie hoch ist Ihre mittlere Erkennungszeit und mittlere Reaktionszeit? Verlangen Sie vertragliche SLAs, keine Marketing-Zahlen. Und fragen Sie, wie diese Metriken gemessen werden.
- Wie gehen Sie mit False Positives um? Ein SOC, das jeden Alert an Ihr Team weiterleitet, bietet keinen Service — es liefert Rauschen. Fragen Sie nach dem Tuning-Prozess und der False-Positive-Rate.
- Kann ich Ihre Incident Reports des letzten Quartals sehen? Anonymisiert, natürlich. Aber die Qualität und Tiefe ihrer Berichterstattung sagt alles über ihre analytische Fähigkeit aus.
Das Fazit
Es gibt keine universell richtige Antwort auf Build versus Buy. Aber es gibt eine falsche Antwort: keines von beiden zu tun. Ohne kontinuierliches Sicherheitsmonitoring im Jahr 2026 zu operieren, ist keine Risikoakzeptanz — es ist Fahrlässigkeit. Ob Sie aufbauen, kaufen oder kombinieren, sorgen Sie für Abdeckung. Die Bedrohungslandschaft wartet nicht auf Budgetgenehmigungszyklen.
Layer7 Networking bietet Managed-Security-Services, die auf den südafrikanischen Markt zugeschnitten sind. Wir sind nicht die günstigste Option — wir sind die, die um 2 Uhr morgens am Sonntag ans Telefon geht, wenn Sie mit Ransomware zu kämpfen haben.