Exabeam

Kurzfazit

Exabeam ist eine der führenden Plattformen für User and Entity Behavior Analytics und richtet sich klar an große Security-Operations-Center, die mehr brauchen als regelbasierte Korrelation. Die Stärke liegt im Verhaltensprofiling per Machine Learning: Was tut ein Konto normalerweise, und wann weicht es davon ab? Für Insider-Threats, kompromittierte Admin-Accounts und schleichende laterale Bewegung ist das deutlich präziser als ein klassisches SIEM. Den Preis dafür zahlst du in Lizenzkosten, in fehlender deutschsprachiger Betreuung und in einer Produktstrategie, die nach der LogRhythm-Fusion 2024 noch in Bewegung ist.

Für wen ist Exabeam?

Großunternehmen und Konzerne mit eigenem SOC: Ab etwa 1.000 Mitarbeitenden und einem dedizierten Security-Operations-Center spielt Exabeam seine Stärken aus. Die Smart Timeline zahlt sich nur aus, wenn Analysten regelmäßig forensische Untersuchungen fahren.

Banken, Versicherungen, Pharma: Branchen mit harten Insider-Threat-Anforderungen, BaFin, MaRisk, FDA Part 11, bekommen vorgefertigte Use-Case-Pakete. Privilegierte-Konten-Überwachung und Datenexfiltrations-Detection sind Kerngeschäft.

Betreiber kritischer Infrastruktur: KRITIS-Betreiber unter NIS2- und IT-SiG-2.0-Pflicht profitieren vom Behavior-Profiling für OT- und IT-übergreifende Anomalie-Erkennung. Voraussetzung: ein Team, das die Alerts auch verarbeiten kann.

Reife Security-Teams nach der SIEM-Phase: Wer bereits ein klassisches SIEM (Splunk, Sentinel, QRadar) im Einsatz hat und merkt, dass regelbasierte Detection an Grenzen stößt, findet in Exabeam die Verhaltens-Schicht obendrauf. Häufig parallel zum Bestand betrieben, nicht als Ablösung.

Weniger geeignet für: KMU unter 500 Mitarbeitenden (Lizenzkosten und Komplexität sprengen den Rahmen), Teams ohne dediziertes SOC (die Smart Timeline braucht jemanden, der sie liest), Organisationen ohne Englischkenntnisse im Security-Team (UI, Support, Doku komplett englisch), und alle, die ein günstiges Einstiegs-SIEM suchen, dafür ist Wazuh oder Microsoft Sentinel die bessere Wahl.

Preise im Detail

Plan	Preis	Was du bekommst
New-Scale SIEM	Auf Anfrage	Cloud-natives SIEM mit Log-Ingestion, Korrelation, Compliance-Reports, Einstiegs-Modul
New-Scale Analytics	Auf Anfrage	UEBA-Modul mit Verhaltens-Baselines, Smart Timeline, Risk Scoring, meist Add-on
New-Scale Fusion	Auf Anfrage	Komplettpaket: SIEM + Analytics + SOAR + Nova AI Agent
LogRhythm SIEM	Auf Anfrage	Self-hosted Variante (übernommen aus dem LogRhythm-Portfolio) für Air-Gap-Umgebungen

Einordnung: Exabeam veröffentlicht keine Listenpreise, und das ist branchentypisch für Enterprise-SIEM. Realistische Größenordnung nach unseren Marktbeobachtungen: ab etwa 40.000 € im Jahr für ein mittleres Setup mit 500–1.000 überwachten Identitäten, schnell sechsstellig bei Großunternehmen. Anders als Splunk wird Exabeam nicht pro ingestiertem GB abgerechnet, sondern pro überwachter Entität, das macht die Kosten besser planbar, kann aber bei vielen Service-Accounts und IoT-Geräten teuer werden. Vor jeder Evaluierung lohnt sich ein klares Mengengerüst: Wie viele Nutzer, wie viele Server, wie viele Service-Accounts? Ohne das ist jedes Angebot Glücksspiel.

Stärken im Detail

UEBA als Kernkompetenz, nicht als Add-on. Exabeam wurde 2013 als reines UEBA-Tool gegründet, lange bevor klassische SIEM-Anbieter Verhaltensanalyse als Feature aufgesetzt haben. Das merkst du in der Tiefe der Verhaltens-Modelle: Hunderte vorgebaute Detection-Modelle für Identity-, Device- und Application-Anomalien sind von Tag eins produktiv. Bei generischen SIEMs musst du diese Modelle selbst bauen.

Smart Timeline macht Forensik auswertbar. Statt Log-Zeilen manuell zu korrelieren, baut Exabeam für jede verdächtige Identität eine vollständige Aktivitätschronologie der letzten Tage oder Wochen, angereichert mit Risk Scores pro Event. Ein Analyst sieht auf einen Blick, was ein Konto wann gemacht hat, statt sich durch SIEM-Queries zu kämpfen. Das ist der größte produktivitätssichtbare Vorteil gegenüber klassischen SIEM-Lösungen.

Flat-Rate-Lizenzmodell statt GB-Abrechnung. Der größte Pain bei Splunk Enterprise Security sind die Lizenzkosten pro ingestiertem GB, was bei Cloud-Workloads schnell explodiert. Exabeam berechnet pro überwachter Entität (Nutzer, Server, Service-Account). Das macht die Planung einfacher und belohnt verbose Logging statt es zu bestrafen.

Vorgefertigte Compliance- und Use-Case-Pakete. Für gängige Compliance-Frameworks (PCI DSS, HIPAA, ISO 27001, NIST) und konkrete Bedrohungsszenarien (Insider Exfiltration, Lateral Movement, Privilege Abuse) gibt es fertige Detection-Pakete. Das verkürzt den Time-to-Value im POC erheblich, du musst nicht erst Wochen Detection-Engineering machen, um Ergebnisse zu sehen.

Schwächen ehrlich betrachtet

Kein deutschsprachiger Support, keine deutsche Niederlassung. UI, Dokumentation, Support-Tickets, alles englisch. Vertrieb läuft über internationale Partner (häufig aus den Benelux-Ländern oder UK). Für deutsche SOCs mit Junior-Analysten ist das eine Hürde, gerade wenn unter Stress eskaliert werden muss. Workaround: Über deutsche Reseller wie Computacenter, Bechtle oder Controlware mit deutschsprachiger 1st-Level-Unterstützung gehen.

Post-Merger-Roadmap-Unsicherheit. Die Fusion mit LogRhythm 2024 unter dem Investor LightSpeed Venture Partners ist für die langfristige Strategie vielversprechend, hinterlässt aber Übergangsfragen: Werden LogRhythm-Kunden auf die New-Scale-Plattform migriert? Wie lange wird die alte Exabeam-Architektur (Advanced Analytics) noch unterstützt? Bei Vertragsabschluss explizit Roadmap-Commitments einfordern, sonst kann die Plattform unter dir wegmigriert werden.

Komplexes Tuning, hohe Total Cost of Ownership. Das Verhaltens-Profiling ist nur so gut wie die Datenqualität. Ohne sauberes Identity-Mapping (Active Directory, IAM) und vollständige Log-Quellen produziert Exabeam False Positives in Hülle und Fülle. Realistisch: 6–12 Monate, bis ein Setup wirklich produktiv läuft, plus mindestens ein dedizierter Engineer für Tuning und Use-Case-Entwicklung.

Kein Self-Service-Pricing, langer Vertriebszyklus. Vor jeder echten Evaluierung steht das Sales-Gespräch, kein „mal kurz testen”. Trial-Lizenzen sind möglich, brauchen aber Vertriebs-Sponsoring. Für agile Security-Teams, die schnell vergleichen wollen, ist das ein klarer Nachteil gegenüber Microsoft Sentinel (Pay-as-you-go in Azure) oder Elasticsearch Security (Open-Source-Einstieg).

Alternativen im Vergleich

Wenn du…	…nimm stattdessen
Schon stark in Microsoft 365/Azure investiert bist und ein integriertes Cloud-SIEM willst	Microsoft Sentinel
Bereits ein Splunk-SIEM betreibst und UEBA als Add-on suchst	Splunk User Behavior Analytics
Maximale Daten-Souveränität auf eigener Infrastruktur willst (Self-Hosted, Open-Source)	Elasticsearch (Elastic Security)
Ein vollständig kostenloses Open-Source-SIEM für KMU brauchst	Wazuh

Securonix ist der direkte UEBA-Wettbewerber und in Gartner-Vergleichen oft auf Augenhöhe, wir haben aktuell keine eigene Bewertungsseite dazu. CrowdStrike Falcon LogScale (ehemals Humio) ist eine Alternative für Teams, die EDR und SIEM unter einem Dach wollen. IBM QRadar bleibt im klassischen Enterprise-Umfeld relevant, gilt aber als wartungsintensiv. Für reine Compliance-SIEMs ohne UEBA-Anspruch reicht oft schon Microsoft Sentinel oder Wazuh, Exabeam lohnt sich erst, wenn Verhaltensanalyse das primäre Ziel ist.

So steigst du ein

Schritt 1: Kontaktiere das Exabeam-Vertriebsteam für eine Demo und ein Angebot. Vor dem Evaluierungsgespräch: Zähle deine Nutzer, Service-Accounts und die wichtigsten Log-Quellen, das bestimmt das Lizenzmodell. Wenn möglich, einen deutschen Reseller einbinden (Computacenter, Bechtle, Controlware), das vereinfacht Vertrag und Support.

Schritt 2: Im POC (Proof of Concept, typisch 30 Tage) werden die wichtigsten Log-Quellen verbunden und das System baut erste Verhaltensbaselines auf. Plane realistisch: Eine seriöse Baseline braucht zwei bis vier Wochen Lerndaten, vorher sind die Detection-Ergebnisse nicht aussagekräftig. Nutze die vorgefertigten Use-Case-Pakete (z.B. Insider-Exfiltration, Privileged Account Abuse), um schnell sichtbare Ergebnisse zu produzieren.

Schritt 3: Nach der Baseline-Periode aktivierst du die priorisierten Alert-Regeln und konfigurierst das Scoring-Modell für dein Unternehmen. Die Smart Timeline zeigt für jeden Nutzer mit auffälligem Score die vollständige Aktivitätschronologie, das ist das Kernfeature für forensische Untersuchungen. Plane zusätzlich einen dedizierten Detection Engineer ein, der laufend Use Cases pflegt; ohne diese Rolle veraltet das Setup binnen Monaten.

Ein konkretes Beispiel

Eine deutsche Großbank mit 3.000 Mitarbeitenden setzt Exabeam ein, um privilegierte Konten (Admins, API-Keys) zu überwachen. Das System erkennt innerhalb von 48 Stunden, dass ein Netzwerkadministrator nach einem Disziplinargespräch beginnt, ungewöhnlich viele Konfigurationsdateien zu exportieren, ein bekanntes Exfiltrationsmuster. Die Smart Timeline zeigt den vollständigen Verlauf der letzten 72 Stunden inklusive VPN-Logins, Citrix-Sessions, Netzwerk-Konfigurationszugriffe und USB-Aktivität. Das Security-Team kann den Fall ohne manuelle Log-Auswertung rekonstruieren. Der Analyst braucht 20 Minuten statt 8 Stunden für die forensische Einschätzung, und kann den Bericht direkt an Compliance und HR weitergeben.

DSGVO & Datenschutz

• Datenhosting: EU-Region verfügbar (AWS Frankfurt) für die New-Scale-Cloud-Plattform; Self-Hosted-Variante (LogRhythm SIEM) komplett im eigenen Rechenzentrum betreibbar
• Auftragsverarbeitung: AVV nach Art. 28 DSGVO verfügbar, wird im Enterprise-Vertrag verhandelt, nicht standardisiert online abrufbar
• Zertifizierungen: ISO 27001, SOC 2 Type II für die Cloud-Plattform; Privacy-Shield-Nachfolge über Standardvertragsklauseln (SCC) abgesichert
• Datennutzung: Telemetrie-Daten zur Produktverbesserung können kontraktuell ausgeschlossen werden, explizit im Vertrag fixieren
• Mitarbeiterüberwachung: Exabeam profiliert per Definition Mitarbeiter-Verhalten, vor Einführung zwingend Betriebsrat einbinden und Betriebsvereinbarung schließen (BetrVG §87 Abs. 1 Nr. 6); ohne diese Vereinbarung ist der Einsatz in deutschen Unternehmen rechtlich angreifbar
• Empfehlung: Für Banken, Versicherungen und KRITIS-Betreiber EU-Hosting wählen und einen klaren Use-Case-Katalog mit dem Datenschutzbeauftragten abstimmen

Gut kombiniert mit

• Microsoft Sentinel, Sentinel als Daten-Sammler für die Microsoft-365-Welt, Exabeam für tieferes UEBA-Profiling auf den priorisierten Identitäten; viele Großkunden fahren beide parallel und füttern Sentinel-Logs in Exabeam ein
• Splunk User Behavior Analytics, wenn ein bestehendes Splunk-SIEM erhalten bleiben soll, Exabeam als zweite UEBA-Schicht für die Identitäten, die Splunk UBA nicht abdeckt; nur sinnvoll bei sehr großen Setups
• Elasticsearch, Elastic Security als günstiger Long-Term-Storage für Roh-Logs, Exabeam als High-Value-Detection-Layer für die letzten 90 Tage; spart erheblich Lizenzkosten

Unser Testurteil

Exabeam verdient solide 3 von 5 Sternen. Die UEBA-Tiefe ist unter den führenden Plattformen am Markt, die Smart Timeline ein echter Produktivitätshebel für Forensik, und das nutzerbasierte Lizenzmodell macht Kosten planbarer als bei Splunk. Mehr Sterne kostet das Tool die enge Zielgruppe (nur Großunternehmen mit dediziertem SOC), das fehlende deutschsprachige Support-Modell, und die Roadmap-Unsicherheit nach der LogRhythm-Fusion. Wer ein generisches SIEM sucht, ist mit Microsoft Sentinel oder Wazuh besser bedient. Wer gezielt UEBA als strategische Investition aufbaut und das Budget mitbringt, findet hier eine der ausgereiftesten Optionen.

Was wir bemerkt haben

• Mai 2026, Korrektur: In früheren Versionen dieser Seite stand fälschlich, Exabeam sei mit Securonix fusioniert. Tatsächlich ist die Fusion 2024 mit LogRhythm erfolgt, finanziert durch LightSpeed Venture Partners. Securonix bleibt ein eigenständiger Wettbewerber.
• 2025, Exabeam hat den Nova AI Agent als generative KI-Komponente in die New-Scale-Plattform eingeführt. Der Agent unterstützt Analysten bei Triage und Untersuchung, laut Hersteller mit dem Ziel, Junior-Analysten produktiver zu machen. Praxis-Erfahrungen aus deutschen SOCs sind noch dünn.
• 2024, Plattform-Rebrand: Aus „Exabeam Fusion” und „Exabeam Advanced Analytics” wurde „New-Scale Fusion” / „New-Scale Analytics”. Bestandskunden behalten ihre alten Produktnamen in Verträgen, neue Angebote nennen die New-Scale-Marke.
• 2024, Die Fusion mit LogRhythm bringt Self-Hosted-Optionen ins Portfolio, die Exabeam vorher nur eingeschränkt anbot. Für Air-Gap-Umgebungen und KRITIS-Betreiber ein relevanter Zugewinn.