Zum Hauptinhalt springen
Sicherheit14 min Lesezeit

Wazuh statt teurer EDR-Lizenz: Wie Sie die geforderte Angriffserkennung kostenlos nachweisen

Ihr Cyberversicherer verlangt EDR auf allen Geräten. Kaufen oder selbst betreiben? Ein nüchternes Entscheidungs-Framework für KMU.

B
Berkan Demir
|

Ihr Cyberversicherer hat im Risikofragebogen ein Kreuz gesetzt, das Sie Geld kosten wird: EDR auf allen Endgeräten. EDR steht für Endpoint Detection and Response, also eine Software, die auf jedem Rechner verdächtiges Verhalten erkennt und im Ernstfall selbst eingreift. Und jetzt stehen Sie vor einer Entscheidung, die kein Vertriebler ehrlich für Sie beantwortet: Kaufen Sie eine kommerzielle Lizenz pro Gerät und Jahr, oder betreiben Sie ein quelloffenes Werkzeug selbst?

Es gibt darauf nicht die eine richtige Antwort. Es kommt auf Ihren Betrieb an. Auf Ihre Gerätezahl, Ihre IT-Mannschaft, Ihr Risiko und darauf, wie viel laufenden Aufwand Sie tragen wollen. Dieser Beitrag gibt Ihnen kein Patentrezept, sondern ein Entscheidungsraster. Am Ende wissen Sie, in welche Schublade Ihr Unternehmen gehört.

Ich schreibe das bewusst nüchtern. Sie werden im Netz genug Stimmen finden, die Ihnen entweder die teure Lizenz oder die kostenlose Open-Source-Lösung als alleinige Wahrheit verkaufen. Beide haben ein Interesse. Mein Interesse ist, dass Sie nach diesem Text wissen, welche Frage Sie sich stellen müssen, bevor Sie irgendeinen Vertrag unterschreiben oder irgendeine Software installieren.

Die kurze Antwort zuerst

Das quelloffene Wazuh liefert funktional genau die Erkennung, die Versicherer verlangen, und das ohne Lizenzkosten pro Endpunkt. Der Haken liegt nicht im Preis der Software, sondern im Betrieb: Wer Alarme nicht organisiert sichtet, hat zwar ein Werkzeug installiert, aber keinen Schutz, den der Versicherer im Schadenfall anerkennt. Die Entscheidung lautet deshalb nicht "teuer gegen kostenlos", sondern "Lizenz kaufen gegen Betriebsaufwand tragen". Genau das wird gern übersehen.

Hinweis

Wazuh ist quelloffen unter der GPLv2-Lizenz; es gibt keine Lizenzkosten pro Endpunkt. Der Agent erkennt Schadsoftware, überwacht Datei-Integrität, liest Endpunkt-Telemetrie, bewertet Schwachstellen, prüft die Systemkonfiguration und reagiert automatisch auf Bedrohungen.

Worauf es bei der Entscheidung ankommt

Bevor Sie über Wazuh oder eine gekaufte Lizenz nachdenken, klären Sie die Dimensionen, an denen die Entscheidung wirklich hängt. Keine davon ist technisch. Alle sind unternehmerisch.

1. Was Ihr Versicherer wörtlich verlangt

Lesen Sie den Risikofragebogen genau. Steht dort "EDR auf allen Endgeräten", "kontinuierliche Überwachung", "aktive Reaktionsfähigkeit" und "Protokollierung"? Genau diese Begriffe müssen Sie später belegen können. Laut SecurityToday prüfen Versicherer nach einem Vorfall, ob die angegebenen Schutzmaßnahmen zum Zeitpunkt des Angriffs tatsächlich aktiv waren. Waren sie es nicht, entfällt der Schutz. Die bloße Installation reicht also nie.

Das ist der Punkt, an dem aus einer technischen Frage eine Haftungsfrage wird. Wenn Sie im Antrag ankreuzen, dass Sie kontinuierliche Überwachung betreiben, gehen Sie eine Obliegenheit ein. Halten Sie die nicht ein, riskieren Sie nicht nur den Schutz für diesen einen Vorfall, sondern unter Umständen den Vorwurf, falsche Angaben gemacht zu haben. Deshalb gilt: Kreuzen Sie nur an, was Sie auch nachweisbar leben. Lieber eine Anforderung ehrlich mit dem Versicherer verhandeln als eine Zusage geben, die im Ernstfall nicht trägt.

2. Ihre Gerätezahl

Kommerzielle EDR-Anbieter rechnen pro Endpunkt und Jahr ab. Bei zehn Geräten fällt das kaum ins Gewicht. Bei hundert Arbeitsplätzen, Servern und Notebooks summiert sich der Lizenzposten Jahr für Jahr. Wazuh dagegen kostet pro Gerät nichts, dafür skaliert der Betriebsaufwand mit der Komplexität, nicht linear mit jedem einzelnen Rechner.

Praktisch heißt das: Die Kostenkurve der gekauften Lizenz steigt mit jedem neuen Mitarbeiter, jedem neuen Laptop. Die Kostenkurve des Eigenbetriebs ist flacher, dafür hat sie einen Sockel: den Aufwand für Server, Pflege und Sichtung, der auch bei wenigen Geräten anfällt. Es gibt einen Punkt, an dem sich die beiden Kurven schneiden. Wo genau, hängt von Ihren Stundensätzen ab, aber die Logik ist eindeutig: Je mehr Geräte, desto eher spricht die Rechnung für den Eigenbetrieb, vorausgesetzt, die Hand zum Sichten ist da.

3. Ihre eigene IT-Kapazität

Das ist die wichtigste Dimension. Haben Sie jemanden im Haus, der Alarme sichtet und Regeln pflegt? Oder ist Ihre IT eine externe Firma, die zweimal im Monat vorbeischaut? Ein selbst betriebenes Erkennungswerkzeug ist nur so gut wie die Hand, die es bedient. Ohne diese Hand kaufen Sie sich besser eine betreute Lösung ein.

Seien Sie bei dieser Frage ehrlich gegen sich selbst. Viele Geschäftsführer sagen mir, ihre IT könne das nebenbei machen. In den meisten meiner Bestandsaufnahmen bei Betrieben dieser Größe stellt sich dann heraus, dass die eine IT-Kraft ohnehin am Limit läuft. Sicherheits-Alarme verlangen tägliche, verlässliche Aufmerksamkeit, nicht den Blick zwischen zwei anderen Tickets. Nebenbei geht das nicht. Eine Erkennung, die nur dann gesichtet wird, wenn gerade Zeit ist, ist im Sinne des Versicherers keine kontinuierliche Überwachung.

4. Ihr tatsächlicher Schutzbedarf

Ein Steuerberater mit Mandantendaten, ein Maschinenbauer mit Konstruktionsplänen und ein Handwerksbetrieb mit ein paar Bürorechnern tragen sehr unterschiedliche Risiken. Je höher der Schaden bei einem Ausfall, desto weniger dürfen Sie die Erkennung dem Zufall überlassen. Wie es jemand treffend gesagt hat: Glück ist keine dokumentierte Risikomanagementmaßnahme.

Übersetzen Sie den Schutzbedarf in eine Zahl, die Sie als Unternehmer verstehen: Was kostet Sie ein Tag Stillstand? Was passiert, wenn Kundendaten abfließen und Sie Ihre Auftraggeber informieren müssen? Wer hier auf einen sechsstelligen Schaden kommt, sollte bei der Erkennung nicht am falschen Ende sparen. Wer realistisch mit überschaubarem Schaden rechnet, darf die Lösung schlanker wählen. Der Schutz muss zum Risiko passen, nicht umgekehrt.

5. Ihre Datenhoheit

Wazuh läuft im eigenen Haus. Die Alarmdaten und Protokolle verlassen Ihr Netz nicht. Bei manchen kommerziellen Cloud-Diensten wandern Telemetriedaten zum Anbieter. Für Betriebe mit strengen Datenschutzauflagen ist das ein echtes Abwägungskriterium, kein technisches Detail.

6. Was Sie an Aufwand dauerhaft tragen wollen

Lizenz kaufen heißt: zahlen und weitgehend Ruhe haben, der Anbieter pflegt. Selbst betreiben heißt: nichts zahlen, aber Server und Agenten aktuell halten, Regeln tunen, Alarme sichten. Beides ist legitim. Wer diese Frage nicht ehrlich beantwortet, trifft die falsche Wahl.

Quelloffen heißt kostenlos in der Lizenz, nicht kostenlos im Betrieb. Das ist der Satz, der die meisten Fehlentscheidungen verhindert. Der Server will gepatcht werden, die Agenten auf den Endgeräten wollen aktuell gehalten werden, die Erkennungsregeln wollen an Ihren Betrieb angepasst sein, damit nicht jede harmlose Änderung einen Alarm auslöst. Diesen wiederkehrenden Aufwand müssen Sie als ehrlichen Gegenposten zur gesparten Lizenz auf den Tisch legen, entweder als interne Stunden oder als feste Pauschale eines Dienstleisters. Tun Sie das nicht, verfällt die Erkennung still, und Sie merken es erst, wenn es zu spät ist.

7. Datenschutz und Compliance als Treiber

Die Pflicht zu nachweisbaren Schutzmaßnahmen kommt nicht nur vom Versicherer. Datenschutz und neuere Vorgaben zur Cybersicherheit verlangen von Betrieben ebenfalls, dass sie technische und organisatorische Maßnahmen treffen und belegen können. Ich mache keine Rechtsberatung, und die genaue Auslegung gehört in die Hände Ihres Datenschutzbeauftragten oder Anwalts. Aber als Entscheidungsdimension gilt: Eine Lösung, die ohnehin Protokolle erzeugt, die Sie vorzeigen können, zahlt auf mehrere Pflichten gleichzeitig ein. Das ist ein Argument für eine sauber dokumentierte Erkennung, egal ob gekauft oder selbst betrieben.

Achtung

Der häufigste Denkfehler: "Installiert ist erfüllt." Versicherer prüfen, ob die Erkennung zum Angriffszeitpunkt aktiv und überwacht war. Ohne organisierte Alarmbearbeitung gilt der Schutz als nicht vorhanden, und die Police kann im Schadenfall leistungsfrei werden.

Profil A: Kleiner Betrieb ohne eigene IT, hoher Schutzbedarf

Stellen Sie sich einen Steuerberater oder eine Arztpraxis mit fünfzehn Arbeitsplätzen vor. Sensible Daten, keine eigene IT-Abteilung, ein externer Dienstleister im Hintergrund. Hier wäre es ein Fehler, Wazuh einfach hinzustellen und sich auf das Beste zu verlassen.

Meine Empfehlung für dieses Profil: Wazuh ja, aber als betreuter Dienst. Die Software spart die Lizenz, die laufende Überwachung gibt der Betrieb an einen Dienstleister, der die Alarme sichtet und im Ernstfall reagiert. So entsteht der Nachweis, den der Versicherer sehen will, ohne dass Sie selbst zum Sicherheitsanalysten werden müssen. Die Alternative, eine voll betreute kommerzielle Lösung zu kaufen, ist nicht falsch, kostet aber Lizenz plus Betreuung statt nur Betreuung.

Der entscheidende Vorteil für diesen Betriebstyp: Die Daten bleiben im eigenen Haus, und der Dienstleister kümmert sich um genau den Teil, für den Ihnen die Kapazität fehlt. Sie zahlen für die Überwachung, nicht für die Software, und behalten die Datenhoheit. Für einen Steuerberater oder eine Praxis, die ohnehin strenge Auflagen hat, ist das oft das bessere Gesamtpaket als ein reines Lizenzmodell, bei dem Telemetrie zum Anbieter abfließt.

Profil B: Mittlerer Betrieb mit eigener IT, viele Geräte

Stellen Sie sich ein Fertigungsunternehmen mit achtzig Arbeitsplätzen, zehn Servern und einer kleinen, aber vorhandenen IT-Mannschaft vor. Hier rechnet sich der Eigenbetrieb am deutlichsten. Die gesparten Lizenzkosten pro Gerät sind über achtzig, neunzig Endpunkte erheblich, und es ist Personal da, das die Erkennung pflegen kann.

Wazuh ist für diese Größenordnung schlank. Der Server kommt mit minimal 2 GB RAM und 2 CPU-Kernen aus; für 80 Arbeitsplätze, 10 Server und 10 Netzwerkgeräte fallen über 90 Tage rund 6 GB Speicher für Alarmdaten an. Das läuft auf einer kleinen internen Maschine, die Ihre IT in überschaubarem Aufwand bereitstellt. Meine Empfehlung: Eigenbetrieb, mit klar zugewiesener Verantwortung für die Alarmbearbeitung und einem festen Zeitfenster pro Tag, in dem jemand draufschaut.

Tipp

Rechnen Sie den Eigenbetrieb ehrlich. Die ersparte Lizenz ist die eine Seite. Auf die andere Seite gehören die internen Stunden für Pflege und Alarmsichtung. Erst wenn beide Seiten auf dem Tisch liegen, sehen Sie, ob sich der Eigenbetrieb für Sie rechnet.

Profil C: Betrieb ohne IT, niedriger Schutzbedarf, knappes Budget

Stellen Sie sich einen kleinen Handwerksbetrieb mit acht Bürorechnern vor, keine eigene IT, ein schmales Budget, die Cyberversicherung als Auflage des Auftraggebers. Hier ist die Versuchung groß, Wazuh zu nehmen, weil es nichts kostet. Doch ohne jemanden, der es betreut, entsteht kein anerkannter Schutz, sondern eine Scheinsicherheit.

Meine Empfehlung für dieses Profil ist die ehrlichste: Wenn niemand die Alarme sichtet, ist auch das kostenlose Werkzeug die falsche Wahl. Entweder Sie geben die Erkennung als kleinen betreuten Dienst an einen Dienstleister, oder Sie prüfen eine schlanke kommerzielle Lösung mit eingebauter Betreuung. Die reine Lizenzersparnis hilft Ihnen nicht, wenn am Ende der Nachweis fehlt.

Was Sie in diesem Fall nicht tun sollten: die Auflage formal abhaken, indem Sie irgendeine Software installieren und das Kreuzchen im Antrag setzen. Das fühlt sich günstig an und ist im Schadenfall die teuerste Variante überhaupt, weil dann der Versicherungsschutz wackelt. Bei knappem Budget ist die ehrliche Frage nicht "Wie erfülle ich die Auflage am billigsten?", sondern "Welches Mindestmaß an echter, betreuter Erkennung kann ich mir leisten?". Das ist ein Unterschied ums Ganze.

Wo kommerzielle EDR gegenüber Wazuh punktet

Damit dieses Framework ehrlich bleibt, gehört die Gegenseite genauso auf den Tisch. Ein quelloffenes Werkzeug ist nicht in jeder Hinsicht die überlegene Wahl, und ein guter Berater verschweigt das nicht.

Kommerzielle Anbieter liefern in der Regel eine fertig eingerichtete, betreute Plattform, oft mit einem Bereitschaftsdienst, der rund um die Uhr auf Alarme schaut. Genau dieser Dienst ist es, der bei Wazuh erst organisiert werden muss. Wer keine eigene IT hat und auch keinen Dienstleister beauftragen will, bekommt diese Betreuung bei kommerziellen Modellen mitgeliefert, wenn auch gegen Aufpreis. Auch beim Erstaufwand sind gekaufte Lösungen oft schneller produktiv, weil weniger Eigenkonfiguration nötig ist.

Die ehrliche Abwägung lautet also nicht "Open Source ist gut, kommerziell ist schlecht". Sie lautet: Bei Wazuh kaufen Sie Datenhoheit und Lizenzfreiheit und zahlen mit Betriebsaufwand. Bei kommerziellen Lösungen kaufen Sie Bequemlichkeit und mitgelieferte Betreuung und zahlen mit der Lizenz und meist mit etwas weniger Kontrolle über Ihre Daten. Welche Währung Ihnen lieber ist, hängt von Ihrem Betrieb ab, nicht von einer Glaubensfrage. Beides ist eine ehrliche Wahl.

So sieht der Weg in den Eigenbetrieb konkret aus

Wenn Sie sich nach diesem Raster für Wazuh entscheiden, läuft die Umsetzung in einer klaren Reihenfolge ab. Sie als Geschäftsführer treffen die Entscheidungen, die technische Ausführung delegieren Sie an Ihre IT oder an mich.

  1. Anforderung schriftlich klären: Prüfen, welche Begriffe der Versicherer wörtlich verlangt, damit später genau diese belegbar sind.
  2. Server bereitstellen: Wazuh in der aktuellen Stable-Version 4.14.5 auf einer kleinen Linux-Maschine im eigenen Haus aufsetzen, Größe nach Gerätezahl.
  3. Agenten ausrollen: Auf jedem Windows-, Mac- und Linux-Gerät die Erkennung installieren und mit dem Server verbinden, am besten automatisiert.
  4. Erkennung scharf schalten: Datei-Integritätsprüfung und Schwachstellenbewertung aktivieren, damit Veränderungen und bekannte Lücken auffallen.
  5. Automatische Reaktion einrichten: Regeln definieren, die bei einem Treffer selbst eingreifen, etwa den Zugriff einer Angriffsquelle blockieren.
  6. Alarmbearbeitung organisieren: Festlegen, wer die Alarme sieht, wie schnell reagiert wird und wer dokumentiert. Das ist der Kern, nicht die Technik.
  7. Nachweise sichern: Dashboards und Protokolle revisionssicher aufbewahren, damit Sie im Schadenfall die Beweislast tragen können.
  8. Aufwand dauerhaft einplanen: Pflege, Updates und Alarmsichtung als festen Posten kalkulieren, intern oder als Dienstleister-Pauschale.

Sie sehen: Sieben von acht Schritten sind Routine, einer ist entscheidend. Schritt sechs, die Alarmbearbeitung, trennt den echten Schutz von der Scheinsicherheit. Genau dort scheitern die meisten Eigenbetriebe.

Ein Wort zur automatischen Reaktion, weil sie oft missverstanden wird. Wazuh kann bei einem Regeltreffer selbst eingreifen und etwa den Netzwerkzugriff einer Angriffsquelle blockieren. Das klingt verlockend, ist aber mit Vorsicht zu konfigurieren. Eine zu scharf eingestellte automatische Sperre kann im Eifer auch legitime Nutzer oder produktive Systeme aussperren und so selbst zum Betriebsausfall führen. Deshalb gehören solche Regeln getestet und stufenweise scharf geschaltet, nicht am ersten Tag voll aufgedreht. Das ist ein gutes Beispiel dafür, warum Eigenbetrieb Fachverstand braucht.

Achtung

Automatische Gegenmaßnahmen sind ein zweischneidiges Schwert. Zu scharf konfiguriert, sperren sie im Ernstfall auch Ihre eigenen Mitarbeiter oder wichtige Systeme aus. Regeln erst testen, dann schrittweise scharf schalten, nie ungeprüft im Vollbetrieb starten.

Was bei dieser Entscheidung oft unterschätzt wird

Der erste unterschätzte Punkt ist die Beweislast. Im Schadenfall muss nicht der Versicherer beweisen, dass Ihr Schutz lückenhaft war. Sie müssen beweisen, dass er aktiv war. Die Wazuh-Protokolle sind genau dieser Nachweis, aber nur, wenn sie über die geforderte Frist hinweg revisionssicher vorliegen. Ein Werkzeug, das läuft, aber nichts dokumentiert aufbewahrt, nützt Ihnen im Ernstfall nichts.

Der zweite Punkt steckt im Wort "alle" im Begriff "alle Endgeräte". Es ist wörtlich gemeint. Ein einziger unüberwachter Außendienst-Laptop, ein vergessener Server, ein privates Gerät im Firmennetz kann den Versicherungsschutz aushebeln. In meinen Bestandsaufnahmen sehe ich bei den meisten Betrieben dieser Größe genau solche blinden Flecken: Geräte, von denen niemand mehr wusste, dass sie noch im Netz hängen. Bevor Sie über Erkennung reden, müssen Sie wissen, was Sie überhaupt überwachen.

Manche sagen, mit einem kostenlosen Werkzeug ist die Versicherungsauflage erledigt. Das ist zu viel versprochen. Wazuh schließt die Erkennungs-Lücke, die wichtigste, aber nicht jede Anforderung. Versicherer verlangen 2026 zusätzlich Mehrfaktor-Anmeldung für externe Zugänge, zeitnahes Einspielen kritischer Updates, getestete Backups, ein dokumentiertes Berechtigungskonzept und einen getesteten Notfallplan. Wazuh ist ein wichtiger Baustein, nicht das ganze Haus.

Der dritte unterschätzte Punkt ist die Dauerhaftigkeit. Eine Erkennung ist kein Projekt mit Anfang und Ende, sondern Infrastruktur. Ich sehe immer wieder, dass die Aufmerksamkeit in den ersten Wochen nach der Einrichtung hoch ist und dann langsam abebbt. Nach einem halben Jahr schaut keiner mehr in die Dashboards, Updates bleiben liegen, und auf dem Papier ist alles in Ordnung. Im Schadenfall fällt genau das auf. Wer den Eigenbetrieb wählt, muss die laufende Pflege so fest verankern wie die Lohnbuchhaltung, nicht als gut gemeinten Vorsatz.

Hinweis

Eine Randnotiz zur Aktualität: Eine Wazuh-Version 5.0 ist angekündigt und wird in der Branche für Mitte 2026 erwartet, ist aber zum heutigen Stand noch nicht freigegeben. Wer heute startet, setzt auf die gepflegte Linie 4.14.5. Lassen Sie sich keine unveröffentlichte Version als verfügbar verkaufen.

Mein Fazit

Wazuh ist kein Wundermittel und keine Mogelpackung, sondern ein ehrliches Werkzeug. Es nimmt Ihnen die Lizenzkosten ab, nicht den Betrieb. Ob es die richtige Wahl ist, hängt nicht von der Software ab, sondern von Ihnen: von Ihrer Gerätezahl, Ihrer IT-Kapazität und davon, ob jemand die Alarme verlässlich sichtet.

Die saubere Entscheidung ist abwägend, nicht ideologisch. Quelloffen ist nicht automatisch besser, kommerziell nicht automatisch sicherer. Wer viele Geräte und Personal hat, spart mit dem Eigenbetrieb spürbar. Wer wenige Geräte und niemanden zum Hinsehen hat, fährt mit einer betreuten Lösung besser, ob quelloffen betreut oder gekauft. Der Fehler ist nicht die eine oder andere Wahl, sondern eine Wahl ohne ehrliche Rechnung.

Diagnose-Checkliste: In welche Schublade gehören Sie?

Ich kenne den wörtlichen Wortlaut der EDR-Anforderung in meinem Versicherungsantrag.
Ich weiß genau, wie viele Endgeräte in meinem Betrieb laufen, inklusive Notebooks und Außendienst.
Ich habe jemanden, der Sicherheits-Alarme täglich sichten und bewerten kann, intern oder extern.
Ich kann beziffern, was eine kommerzielle EDR-Lizenz für meine Gerätezahl pro Jahr kosten würde.
Ich kann beziffern, wie viele interne Stunden der Eigenbetrieb pro Monat binden würde.
Ich weiß, wie hoch der Schaden wäre, wenn mein Betrieb mehrere Tage stillsteht.
Ich kann sicherstellen, dass Protokolle revisionssicher über die geforderte Frist aufbewahrt werden.
Ich habe geklärt, ob meine Daten das Haus verlassen dürfen oder im eigenen Netz bleiben müssen.
Mir ist klar, dass Erkennung nur ein Baustein ist und Mehrfaktor-Anmeldung, Updates und Backups dazugehören.

Nächste Schritte

Den Risikofragebogen Ihres Versicherers heraussuchen und die geforderten Schutzmaßnahmen markieren.
Eine vollständige Liste aller Endgeräte im Betrieb erstellen lassen, ohne Ausnahme.
Beide Kostenseiten gegenrechnen: kommerzielle Lizenz gegen interne Betriebsstunden.
Entscheiden, wer die Alarmbearbeitung verbindlich übernimmt, bevor irgendeine Technik installiert wird.