Splunk User Behavior Analytics (UBA)

Kurzfazit

Splunk UBA war über Jahre eine der reifsten UEBA-Lösungen am Markt, tief in Splunk Enterprise Security integriert, mit über 70 ML-Threat-Modellen und einer Threat Review Workbench, die viele Wettbewerber bis heute nicht erreichen. Entscheidend für 2026: Splunk UBA als eigenständiges Produkt hat im Dezember 2025 das End of Sale erreicht und wird bis Januar 2027 supportet. Die UEBA-Funktionen leben in Splunk Enterprise Security Premier weiter, sind dort aber kein separates Modul mehr, sondern nativer Bestandteil der teuersten ES-Tarifstufe. Für Bestandskunden bedeutet das: Migrationspfad jetzt planen. Für Neukunden: Splunk UBA als Stand-Alone nicht mehr beziehbar, die Wahl liegt zwischen ES Premier oder einer Wettbewerbslösung wie Microsoft Sentinel, Exabeam oder Elastic AI.

Für wen ist Splunk UBA?

Bestandskunden im Migrationspfad: Wer Splunk UBA bereits einsetzt, braucht jetzt einen Plan. Bis Januar 2027 läuft der Support, danach ist Selbstbetrieb riskant. Die saubere Migration führt zu Splunk ES Premier, wo die UEBA-Funktionen als Native Capability weiterlaufen. Wer schon im Splunk-Universum ist, hat hier den geringsten Reibungsverlust.

Splunk-ES-Premier-Nutzer: Wer bereits die Premier-Stufe lizenziert hat, bekommt UEBA quasi geschenkt. Behavioral Detection, Risk Scoring und Multi-Entity Correlation sind Teil des Premier-Pakets, eine separate UBA-Lizenz ist weder nötig noch möglich.

Large-Enterprise-SOC-Teams: Splunk-UEBA-Funktionen brauchen Bedienpersonal mit SPL-Kompetenz und Splunk-Architektur-Verständnis. Banken, Versicherungen und große Konzerne mit etablierter Splunk-Praxis profitieren am meisten, die Lernkurve haben sie bereits hinter sich.

Hybride Log-Landschaften: Wer On-Prem-Logs (AD, VPN, Endpoint), Cloud-Logs (AWS, Azure, GCP) und OT-Daten in einer Plattform korrelieren will, profitiert von der Breite der Splunk-Connectoren. Wenige Wettbewerber decken diese Bandbreite ähnlich tief ab.

Industrien mit Insider-Threat-Fokus: Versicherungen, Finanzdienstleister, kritische Infrastrukturen, überall, wo Insider-Bedrohung systematisch überwacht werden muss, sind die Splunk-UEBA-Threat-Modelle (Data Exfiltration, Account Compromise, Lateral Movement) belastbar einsetzbar.

Weniger geeignet für: Neukunden ohne Splunk-Bestandsinvestment (Stand-Alone-Produkt ist End-of-Sale), Mittelstand mit Logvolumen unter 100 GB/Tag, Unternehmen mit strenger EU-Hosting-Anforderung und Teams ohne Splunk-Know-how. In diesen Konstellationen sind Microsoft Sentinel oder Elastic AI die wirtschaftlichere Wahl.

Preise im Detail

Pfad	Preis	Was du bekommst
Bestand (Splunk UBA Stand-Alone)	Auslaufend	Support bis Januar 2027, kein Neuvertrieb seit Dezember 2025
Splunk ES Premier (UEBA inklusive)	Auf Anfrage, typisch hoch sechsstellig p. a.	Splunk Enterprise Security + native UEBA-Capabilities (Behavioral Detection, Risk Scoring, Multi-Entity Correlation)
Splunk ES Essentials	Auf Anfrage	SIEM-Kernfunktionen, keine UEBA, wer Anomalie-Erkennung braucht, muss auf Premier wechseln
Splunk Cloud Platform	Volumenbasiert (Workload Pricing oder GB-Modell)	Hosting in regionalen Rechenzentren, EU-Region seit 2023 verfügbar

Einordnung: Splunk-Lizenzierung ist nach wie vor eine der komplexesten in der SIEM-Welt. Reale Jahreskosten für Splunk ES Premier inkl. UEBA-Funktionen liegen für mittelgroße Unternehmen typisch im hohen fünf- bis sechsstelligen Bereich, bei Großkonzernen leicht siebenstellig. Bestandskunden, die nur Splunk UBA als Add-on lizenziert hatten, müssen mit dem Wechsel auf ES Premier oft einen signifikanten Lizenzaufschlag einplanen. Wer mit dem Migrationsentscheid hadert, sollte gleich auch Microsoft Sentinel und Exabeam in die Evaluation nehmen, beide haben in den letzten Jahren technologisch aufgeholt und sind bei vergleichbarem Funktionsumfang oft günstiger im Total Cost of Ownership.

Stärken im Detail

Reife Threat-Modell-Bibliothek. Über 70 vordefinierte ML-Modelle decken die wichtigsten UEBA-Anwendungsfälle ab: Insider-Threat-Detection, Account-Compromise, Lateral Movement, Data Exfiltration (USB, Cloud, E-Mail), Malware-Detection. Diese Bibliothek ist das Ergebnis von zehn Jahren UEBA-Produktarbeit, viele neuere Wettbewerber haben hier deutlich weniger Tiefe.

Tiefe Splunk-ES-Integration. Alerts aus UEBA fließen direkt in den Investigation-Workflow von Splunk Enterprise Security ein. SPL (Search Processing Language) erlaubt forensische Folgeabfragen direkt auf den Rohdaten. Wer Splunk schon nutzt, bekommt einen nahtlosen End-to-End-Workflow von Anomalie-Detection bis Beweissicherung.

Threat Review Workbench. Die Aggregation ähnlicher Anomalien zu einer einzigen Threat-Review-Karte spart SOC-Analysten massiv Zeit. Statt 50 Einzel-Alerts zu bewerten, sieht der Analyst eine konsolidierte Bedrohungssicht mit allen verwandten Aktivitäten, das ist Alert-Fatigue-Prävention auf hohem Niveau.

Unsupervised Learning ohne händisches Labeling. Die ML-Modelle lernen Baselines automatisch aus historischen Daten, kein manuelles Labeling nötig. In der Praxis bedeutet das: nach 4–8 Wochen Lernphase produziert das System sinnvolle Alerts auch ohne dedizierten Data-Scientist im Team.

Multi-Entity Correlation. Anomalien werden nicht nur pro Nutzer, sondern auch pro Device, Application und sogar Cloud-Service berechnet, und über diese Achsen korreliert. Das deckt komplexe Angriffsketten auf, die Single-Entity-UEBA-Tools übersehen.

Cisco-Backing seit 2024. Die Übernahme durch Cisco bringt Splunk in einen größeren Sicherheits-Ökosystem-Kontext (Talos Threat Intelligence, Cisco Secure Endpoint, Duo). Für bestehende Cisco-Kunden ergeben sich zunehmend integrierte Workflows, auch wenn die Integration noch ein laufendes Projekt ist.

Schwächen ehrlich betrachtet

End of Sale für Stand-Alone seit Dezember 2025. Das ist der wichtigste Punkt: Splunk UBA als eigenständiges Produkt wird nicht mehr verkauft. Bestandskunden bekommen Support bis Januar 2027, danach Selbstbetrieb auf eigenes Risiko oder Migration. Neukunden müssen direkt zu Splunk ES Premier greifen, was wirtschaftlich ein anderes Kaliber ist als das frühere UBA-Add-on.

Volumenabhängige Lizenzkosten. Splunk-Pricing skaliert mit dem indexierten Datenvolumen (GB/Tag), bei großen Log-Mengen wird das schnell teuer. Wer DLP-, Endpoint- und Cloud-Logs vollständig indexiert, landet leicht bei sechsstelligen Jahreskosten. Splunks neuere Workload-Pricing-Modelle entschärfen das teilweise, sind aber komplex in der Kalkulation.

Datenhosting historisch US-zentriert. Splunk Cloud bietet seit 2023 eine EU-Region, aber Verfügbarkeit und Tarifkonditionen sollten explizit geprüft werden. Wer DSGVO-streng arbeitet, muss die Hosting-Region vertraglich fixieren, Default ist nicht automatisch EU.

Komplexität in Setup und Betrieb. Splunk UBA bzw. ES Premier ist kein Plug-and-Play. Modell-Tuning, Datenanbindung, Alert-Schwellen, SPL-Suchen, all das erfordert dediziertes Splunk-Know-how. Wer das Team nicht aufgebaut hat, braucht externe Beratungsdienstleister, was die TCO weiter erhöht.

Eingeschränkter Wert für Mittelstand. Bei Logvolumen unter 100 GB/Tag und ohne dediziertes SOC-Team rechnet sich Splunk in der Regel nicht. Die Lizenzkosten, der Betriebsaufwand und der Skill-Bedarf sind für Mittelständler oft nicht tragbar, Microsoft Sentinel (mit M365 E5 vorhanden) oder Elastic sind hier wirtschaftlicher.

Migrations-Unsicherheit nach Cisco-Übernahme. Die Cisco-Übernahme (abgeschlossen März 2024) hat strategische Auswirkungen, die noch nicht alle ausgespielt sind. Pricing-Modelle, Produktkonsolidierung und Integration mit Cisco Secure Endpoint entwickeln sich weiter, Bestandskunden sollten Verträge mit Kündigungsoptionen prüfen.

Alternativen im Vergleich

Wenn du…	…nimm stattdessen
Eine moderne, cloud-native SIEM mit UEBA aus M365-Stack brauchst
UEBA als dediziertes, fokussiertes Produkt willst
Open-Source-Stack mit AI-Detection bevorzugst

Erwähnenswert ohne eigene Tool-Seite: IBM QRadar (klassischer SIEM-Wettbewerber mit eigener UEBA-Komponente), Google Chronicle (Cloud-native, sehr schnell bei großen Datenmengen), Securonix (UEBA-First-Architektur), Rapid7 InsightIDR (SIEM/UEBA-Hybrid für mittlere Größen) und CrowdStrike Falcon Identity Threat Detection (für Identitäts-fokussierte Szenarien). Wer mit dem Migrationsentscheid hadert, sollte mindestens drei Anbieter parallel evaluieren, die UEBA-Landschaft hat sich 2024–2026 spürbar bewegt, und Splunks Lock-in-Vorteil schmilzt mit dem End-of-Sale.

So steigst du ein

Schritt 1 (Bestandskunde): Prüfe deinen aktuellen UBA-Lizenzvertrag und das End-of-Support-Datum (spätestens Januar 2027). Kontaktiere deinen Splunk-Account-Manager und lass dir den Migrationspfad zu Splunk ES Premier kalkulieren. Plane parallel eine kompetitive Evaluation, der Lock-in-Effekt ist mit dem End-of-Sale geschwächt, und du verhandelst besser mit Alternativen in der Hand.

Schritt 2 (Splunk-ES-Nutzer): Wer bereits Splunk Enterprise Security im Einsatz hat (Essentials oder Premier), prüft den Upgradepfad zu Premier, UEBA ist dort native enthalten. Für die ersten 4–8 Wochen lernt das System Baselines aus deinen Daten auf, bevor sinnvolle Alerts produziert werden. Plane diese Lernphase als bewusste Vorbereitung, nicht als produktive Detection.

Schritt 3 (Neukunde): Splunk UBA als Stand-Alone gibt es nicht mehr, die Frage ist eher: passt Splunk ES Premier zu meiner Architektur, oder ist eine Alternative (Microsoft Sentinel, Exabeam, Elastic AI) wirtschaftlicher? Mache eine kalkulatorische Gegenüberstellung über drei Jahre TCO, inklusive Lizenz, Hosting, Personal und Beratungsaufwand. Splunk gewinnt fast immer in Tiefe, verliert oft in Kostentransparenz.

Ein konkretes Beispiel

Eine deutsche Versicherungsgruppe mit 4.500 Mitarbeitenden nutzt Splunk Enterprise Security seit 2019, hatte Splunk UBA als Add-on seit 2021 lizenziert. Im Frühjahr 2026 plant das Security-Team die Migration zu Splunk ES Premier, weil der UBA-Vertrag im 2027er-Jahr ausläuft. Die Threat Review Workbench produziert seit 6 Wochen einen validen Alert: Ein Sachbearbeiter im Schadensregulierungsteam exportiert nach 19 Uhr ungewöhnlich viele Vertragsdaten zu einer einzelnen Kundengruppe, ein Muster, das in seinen letzten 12 Monaten nie aufgetreten ist. Die Workbench zeigt drei verwandte Aktivitäten der Vorwoche. Ergebnis: bestätigter Versuch, Daten zur ehemaligen Lebensgefährtin (Konkurrenzversicherer) abzuziehen. Lizenzkosten 2026 ca. 95.000 € jährlich für ES + UBA-Add-on; mit dem Wechsel auf ES Premier rechnet das Team mit einem Aufschlag von 30–40 Prozent, weil Premier die teurere Tarifstufe ist. Parallel evaluiert das Team Microsoft Sentinel als Alternative, ohne Migrationsdruck, aber als Verhandlungshebel im Splunk-Vertragsgespräch.

DSGVO & Datenschutz

• Datenhosting: Splunk Cloud bietet seit 2023 eine EU-Region (Frankfurt). Standard-Hosting ist US, bei Vertragsabschluss explizit Region fixieren. On-Premise-Splunk läuft auf eigener Infrastruktur (volle Datensouveränität).
• Datennutzung: Splunk verarbeitet die indexierten Logs ausschließlich im Auftrag des Kunden, nutzt sie nicht für eigene ML-Trainingszwecke (Standard Cloud-AVV). Telemetrie der Plattform geht aggregiert an Splunk.
• AVV: Standard verfügbar für Splunk Cloud, On-Premise nicht erforderlich. Bei Cisco-Integrationen ggf. zusätzlicher Cisco-AVV nötig.
• Account & Zugriffsmanagement: SSO/SAML, SCIM, RBAC, granulare Audit-Logs Standard. Multi-Tenancy für große Organisationen verfügbar.
• Empfehlung für Unternehmen: Für regulierte Branchen (BaFin, KRITIS, Krankenkassen) ist On-Premise oder explizit EU-gehostete Splunk-Cloud Pflicht. Aufbewahrungsfristen für UEBA-Daten (Identifikation natürlicher Personen) müssen mit Betriebsrat und Datenschutzbeauftragten abgestimmt werden, UEBA berührt Beschäftigtendatenschutz unmittelbar.

Gut kombiniert mit

• , viele Großunternehmen betreiben Sentinel parallel für M365- und Azure-zentrierte Detection und Splunk für On-Prem-Tiefe. Splunk übernimmt Forensik und Compliance-Reporting, Sentinel die Cloud-Detection.
• , als dedizierte UEBA-Lösung sinnvoll, wenn Splunk im SIEM-Layer bleibt, aber UEBA-Funktionen unabhängig betrieben werden sollen. Manche Organisationen entkoppeln SIEM und UEBA strategisch.
• , Elastic eignet sich als kostengünstigerer Layer für hohe Log-Volumina; Splunk übernimmt dann die kritische Sicherheits-Use-Cases mit voller Tiefe.

Unser Testurteil

Splunk UBA verdient 3 von 5 Sternen, und das mit klarer Begründung. Technisch ist die Lösung weiterhin top: reife Threat-Modelle, ausgezeichnete Visualisierung, tiefe Splunk-Integration. Der zentrale Punkt 2026 ist aber das End of Sale. Als Stand-Alone-Produkt nicht mehr beziehbar, mit Support nur bis Januar 2027, ist die Empfehlung für Neukunden klar eingeschränkt: Entweder du gehst direkt auf Splunk ES Premier (mit den entsprechenden Lizenzkosten), oder du wählst eine Alternative. Für Bestandskunden ist die Migration jetzt ein Pflichttermin im Roadmap-Kalender. Den vierten Stern verlieren wir wegen End of Sale und Lizenzkomplexität; den fünften ohnehin wegen US-Hosting-Default und der hohen Eintrittshürde für nicht-Splunk-affine Organisationen. Wer im Splunk-Ökosystem zuhause ist, bleibt gut versorgt, wer nicht, sollte 2026 unbedingt Wettbewerber evaluieren.

Was wir bemerkt haben

• März 2024, Cisco hat Splunk für 28 Mrd. USD übernommen. Die Folgen für Produktstrategie und Pricing sind 2026 noch nicht vollständig sichtbar, aber die zunehmende Integration mit Cisco Secure (Talos Threat Intelligence, Cisco Secure Endpoint) wird in den Produktankündigungen sichtbar.
• 2023, Splunk hat eine EU-Cloud-Region eingeführt. Davor war Splunk Cloud praktisch US-only, was viele europäische Unternehmen, besonders im regulierten Umfeld, zu On-Premise-Splunk oder Wettbewerbern wie Elastic gedrängt hat.
• Dezember 2025, End of Sale für Splunk UBA als eigenständiges Produkt. Funktional gehen die UEBA-Capabilities in Splunk Enterprise Security Premier auf, als nativer Bestandteil, nicht als optionales Add-on. Das ist eine bemerkenswerte Konsolidierung, die die Eintrittshürde für UEBA-Nutzung in der Splunk-Welt erhöht: Wer früher mit UBA-Add-on starten konnte, muss jetzt direkt die teure Premier-Stufe lizenzieren.
• Januar 2027, End of Support angekündigt. Bestandskunden haben damit einen klaren Migrationsdruck, wer den Pfad zu Splunk ES Premier nicht gehen will, muss bis Anfang 2027 auf eine Alternative migriert haben.
• Mai 2026, Workload Pricing als alternatives Lizenzmodell zum klassischen GB-basierten Modell wird weiter ausgebaut. Theoretisch besser kalkulierbar für variable Lasten, in der Praxis aber selbst für erfahrene Splunk-Architekten anspruchsvoll zu modellieren.