Wozu Wazuh?

Die regulatorischen Anforderungen an die IT-Sicherheit haben in der DACH-Region in den vergangenen Monaten erheblich zugenommen. In Deutschland ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten. Schätzungsweise 30.000 bis 40.000 Unternehmen fallen damit unter die neuen Pflichten, darunter Meldepflichten bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). (1) Österreich hat mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) einen vergleichbaren Rahmen geschaffen. Die Pflichten gelten ab 1. Oktober 2026 für rund 4.000 bis 5.000 betroffene Einrichtungen. (2) Die Schweiz ist als Nicht-EU-Mitglied nicht an NIS2 gebunden, hat jedoch mit der Meldepflicht nach Art. 74a des Informationssicherheitsgesetzes (ISG) seit dem 1. April 2025 eine eigenständige Regelung eingeführt: Betreiber kritischer Infrastrukturen müssen Cyberangriffe innerhalb von 24 Stunden beim Bundesamt für Cybersicherheit (BACS) melden. (3)

Für Stadtwerke, Kommunen, mittelständische Produktionsbetriebe und Dienstleister, die bislang ohne strukturiertes Security Monitoring gearbeitet haben, bedeutet das: Sie müssen handeln. Und sie müssen das mit Ressourcen tun, die in den wenigsten Häusern üppig vorhanden sind.

Drei Treiber, ein Entscheidungsdruck

Wer heute bei IT-Dienstleistern und Sicherheitsberatern im DACH-Mittelstand nachfragt, bekommt ein konsistentes Bild. Die Unternehmen, die sich für Wazuh interessieren, kommen aus drei Richtungen:

Die erste Gruppe steht unter direktem regulatorischem Druck. NIS2, KRITIS-Anforderungen und die Vorgaben der Cyber-Versicherungen haben aus einer bislang freiwilligen Maßnahme eine Pflichtaufgabe gemacht. Letztere verlangen zunehmend den Nachweis eines kontinuierlichen Security Monitorings als Voraussetzung für die Deckungszusage. (4) Ohne ein zentrales System zur Log-Aggregation und Ereigniskorrelation lassen sich weder Meldepflichten erfüllen noch Nachweise für Prüfer erbringen.

Die zweite Gruppe hat bereits ein SIEM-Tool im Einsatz, aber die Lizenzkosten sind zum Problem geworden. Lizenz-Lösungen arbeiten mit volumenbasierten Preismodellen, bei denen die Kosten mit dem Log-Aufkommen steigen. Was in der Pilotphase noch kalkulierbar wirkte, entwickelt sich im produktiven Betrieb schnell zu einem erheblichen Budgetposten.

Die dritte Gruppe hat einen konkreten Sicherheitsvorfall erlebt. Nach einem Incident ist die Bereitschaft, in strukturiertes Monitoring zu investieren, erfahrungsgemäß am höchsten und die Anforderungen an die Lösung sind klarer als in jeder theoretischen Planung.

Alle drei Gruppen verbindet: Sie haben Wazuh meist schon auf dem Radar. Die Plattform hat sich in der Fachcommunity einen soliden Ruf erarbeitet. Was fehlt, ist die Sicherheit in der Umsetzung und ein erfahrener Partner, der Best Practices mitbringt.

Mehr als Log-Sammler: Was Wazuh im Standard liefert

Wazuh ist 2015 als Fork des Host-basierten Intrusion Detection Systems OSSEC entstanden und hat sich seitdem zu einer vollständigen SIEM/XDR-Plattform entwickelt. Nach Angaben des Herstellers schützt die Plattform heute mehr als 15 Millionen Endpunkte in über 100.000 Unternehmensinstallationen weltweit.

Die Architektur basiert auf einem schlanken Agenten, der auf den überwachten Endpunkten läuft und Daten an zentrale Server-Komponenten liefert. Die Speicherung und Indexierung erfolgt über OpenSearch, eine Entscheidung, die Wazuh nach der Lizenzänderung von Elasticsearch im Jahr 2021 getroffen hat und die dem Projekt langfristige Unabhängigkeit von proprietären Lizenzmodellen sichert.

Der Funktionsumfang ist für eine lizenzfreie Plattform bemerkenswert breit: File Integrity Monitoring, proaktives Schwachstellenmanagement durch Abgleich mit CVE-Datenbanken, Security Configuration Assessment gegen CIS Benchmarks, ISO 27001 und GDPR gehören zum Standard. Mit Version 4.14 wurde das IT Hygiene Modul erheblich erweitert: Die Plattform liefert nun detaillierte Inventardaten zu installierten Browser-Erweiterungen, laufenden Systemdiensten, Software-Repositories und aktiven Benutzerkonten auf jedem überwachten Endpunkt.

Dieser Überblick ist die Grundlage für das, was NIS2 und vergleichbare Regelwerke fordern: Transparenz darüber, was im eigenen Netz läuft. Nicht freigegebene Tools, veraltete Software-Versionen, unbekannte Browser-Erweiterungen. All das sind potenzielle Einfallstore, die erst sichtbar werden müssen, bevor sie adressiert werden können. In Kombination mit einer CMDB wie der Open Source Lösung DataGerry lässt sich aus diesen Inventardaten ein vollständiges Vulnerability Management aufbauen, das auch die Anforderungen an ein ISMS nach ISO 27001 erfüllt.

Das offene SOC: Wazuh im Ökosystem

Ein SIEM ist kein Inselsystem. Sein Wert entfaltet sich erst, wenn es in ein breiteres Sicherheitsökosystem eingebettet ist. Hier bietet Open Source den Unternehmen einen strukturellen Vorteil:

Wazuh lässt sich mit Threat Intelligence Feeds wie AbuseIPDB verbinden: Bekannte Angreifer-IPs werden automatisch gegen öffentliche Reputationsdatenbanken geprüft, Ereignisse erhalten Kontext, Entscheidungen werden schneller und sicherer. Die Anbindung an Incident Response Plattformen ermöglicht strukturierte Workflows bei der Bearbeitung von Sicherheitsvorfällen, vom ersten Alarm bis zur dokumentierten Reaktion.

Die Active Response Funktion geht noch einen Schritt weiter: Auf definierte Ereignisse kann die Plattform automatisch reagieren, etwa durch die Sperrung einer IP-Adresse nach wiederholten fehlgeschlagenen Anmeldeversuchen oder das Isolieren eines kompromittierten Endpunkts. In Umgebungen, in denen Security-Personal nicht rund um die Uhr verfügbar ist, kann diese Automatisierung den Unterschied machen, etwa wenn sich eine Malware in der Nacht auszubreiten beginnt.

Die Korrelation von Ereignissen aus unterschiedlichen Quellen, klassische Server-Logs, Microsoft 365, Cloud-Workloads auf AWS oder Azure, schließt die Blindstellen, die entstehen, wenn jede Infrastrukturkomponente isoliert betrachtet wird. Ein einzelnes Ereignis kann harmlos wirken; erst das Zusammenspiel zweier Ereignisse aus verschiedenen Systemen macht den Angriff sichtbar.

Die eigentliche Herausforderung: Logs verstehen, nicht nur sammeln

Wazuh ist schnell installiert. Die eigentliche Arbeit beginnt danach und sie wird häufig unterschätzt. Die Plattform generiert in der Standardkonfiguration eine erhebliche Menge an Alarmen. Ohne kontinuierliches Tuning der Erkennungsregeln und ein Verständnis dafür, welche Ereignisse in der eigenen Umgebung tatsächlich relevant sind, verliert sich das Security-Team schnell in der Masse der Daten.

NIS2 und vergleichbare Regelwerke fordern kein installiertes Tool. Sie fordern ein funktionierendes Sicherheitsmanagement: Welche Assets werden überwacht? Wie werden Alarme bewertet und priorisiert? Wie wird auf einen Vorfall reagiert, und wie wird das dokumentiert? Diese Fragen erfordern ein Verständnis der eigenen Infrastruktur und Risikolage. Wazuh liefert die technische Grundlage, die Betriebskompetenz muss das Unternehmen aufbauen.

Der Aufbau dieser Kompetenz ist ein Prozess, kein Projekt. Erfahrene Implementierungspartner wie becon empfehlen einen schrittweisen Ansatz: Zunächst werden die kritischsten Assets identifiziert und in das Monitoring einbezogen, Regeln werden auf die eigene Umgebung abgestimmt, False Positives werden reduziert. Erst wenn dieser Kern stabil läuft, wird der Scope sukzessive erweitert. Die Projektdauer hängt dabei von der Komplexität der Umgebung ab, von der Anzahl der Assets über die Tiefe der Ereignisbewertung bis hin zur gewünschten Automatisierungstiefe.

Vom Konzept zum Betrieb: Die Rolle des Implementierungspartners

Die technische Bereitstellung einer Open Source Plattform wie Wazuh ist lediglich der erste Schritt. Die weitaus größere Herausforderung für den Mittelstand liegt in der strategischen Einbettung und dem kontinuierlichen Betrieb. Hier setzen spezialisierte Dienstleister wie die becon GmbH an, die als offizieller Wazuh Gold Partner in Deutschland agiert. Das Leistungsspektrum umfasst dabei nicht nur die initiale Architekturplanung und Implementierung, sei es On Premises, in der Cloud oder als hybrides Modell, sondern auch die essenzielle Integration in bestehende IT-Landschaften. Die Anbindung an CMDB-Systeme wie DataGerry oder i-doit ist entscheidend, um aus isolierten Log Daten verwertbare Security Insights zu generieren. Darüber hinaus unterstützen solche Partnerschaften Unternehmen bei der kontinuierlichen Sicherheitsüberwachung, der Feinjustierung von Alarmierungsregeln sowie der Etablierung automatisierter Incident Response Prozesse. Gerade im Hinblick auf regulatorische Vorgaben wie NIS2 oder ISO 27001 wird deutlich, dass nicht das Tool allein, sondern erst die Kombination aus Technologie und tiefgehender Betriebsexpertise eine revisionssichere Compliance gewährleistet.

Von SIEM zu XDR: Die Plattform wächst mit

Wazuh ist nicht mehr nur ein SIEM. Die Plattform entwickelt sich in Richtung einer vollständigen XDR-Lösung, einem Ansatz, der Telemetriedaten aus Endpunkten, Netzwerk, Cloud und Identitätssystemen in einem zentralen System zusammenführt und korreliert. Die Erweiterung der Automatisierungsfähigkeiten und der Ausbau der Security Configuration Assessment-Funktionen stehen auf der Roadmap.

Das Ziel ist ein einzelnes Tool, in das alle sicherheitsrelevanten Ereignisse einfließen, und das die digitale Souveränität der Betreiber wahrt. Für Unternehmen, die heute mit dem Aufbau beginnen, bedeutet das: Sie investieren in eine Plattform, die mit ihren Anforderungen mitwächst.

Wazuh funktioniert, wenn es ernsthaft betrieben wird

Ob Wazuh für ein Unternehmen die richtige Wahl ist, hängt weniger von der Plattform ab als von der Bereitschaft, sie ernsthaft zu betreiben. Unternehmen, die die Implementierung sauber planen, die die eigene Infrastruktur und Risikolage verstehen, die Plattform schrittweise aufbauen und sie laufend weiterentwickelen, bei Bedarf mit einem erfahrenen Partner, erhalten ein Werkzeug, das die Anforderungen aus NIS2, NISG 2026 oder dem schweizerischen ISG ebenso erfüllen kann wie die Vorgaben von ISO 27001 und von Cyber-Versicherern.

Unternehmen, die hingegen erwarten, mit der Installation allein compliant zu sein, werden enttäuscht werden, unabhängig davon, ob Wazuh oder eine kommerzielle Lösung eingesetzt wird.

Quellen

(1) https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-FAQ/NIS-2-FAQ-allgemein/FAQ-zu-NIS-2.html

(2) https://www.wko.at/it-sicherheit/nis2-uebersicht

(3) https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2025/meldepflicht.html

(4) https://www.blumira.com/blog/the-role-of-siem-in-meeting-cyber-insurance-requirements

(5) https://www.tecracer.com/blog/opensearch-vs-elasticsear