Wazuh

Kurzfazit

Wazuh ist die ernstzunehmende Open-Source-Alternative zu kommerziellen SIEM-Lösungen wie Microsoft Sentinel, Splunk oder QRadar, und mit Abstand die meistdeployte freie SIEM-Plattform weltweit. Wer Lizenzkosten von fünf- bis sechsstelligen Jahresgebühren vermeiden und seine Sicherheitsdaten im eigenen Rechenzentrum behalten will, bekommt mit Wazuh eine ausgereifte XDR/SIEM-Lösung mit über 3.000 Erkennungsregeln, ML-basierter Anomalieerkennung und seit 2025 einem KI-Security-Analyst. Im Gegenzug nimmst du echtes Linux- und SIEM-Know-how als Pflicht in Kauf, Wazuh ist kein Out-of-the-Box-Produkt, sondern eine Plattform, die jemand kennen und pflegen muss. Wer dieses Know-how hat (oder günstig einkaufen kann), spart erheblich.

Für wen ist Wazuh?

IT-Security-Teams in mittelständischen Unternehmen: Wer ein eigenes SOC oder mindestens ein dediziertes Security-Team aufbaut und nicht in jährliche Sentinel- oder Splunk-Lizenzen investieren will, bekommt mit Wazuh die solide Grundlage. Linux-Kompetenz im Team vorausgesetzt, sonst wird der Betrieb teurer als die gesparte Lizenz.

Compliance-getriebene Branchen: Finanzdienstleister, Gesundheitsversorger, kritische Infrastrukturbetreiber. Wazuh bringt PCI-DSS-, HIPAA-, GDPR- und ISO-27001-Reporting-Templates mit, das spart Audit-Vorbereitung erheblich. Für die KRITIS-Verordnung in Deutschland sind die mitgelieferten Compliance-Dashboards eine realistische Basis.

Behörden und Forschungseinrichtungen: Wer aus Souveränitätsgründen keine US-Cloud-SIEM nutzen will (Lieferkettenrisiko, Cloud Act, BSI-Empfehlungen für sensible Bereiche), kommt um On-Premise-Lösungen kaum herum. Wazuh ist hier eine der wenigen erwachsenen Optionen.

MSPs und Security-Dienstleister: Multi-Tenant-fähig, einfach zu lizenzieren (es gibt nichts zu lizenzieren), ausreichend dokumentiert für eigene Ausbildungs- und Onboarding-Pipelines. Wer Security-as-a-Service anbietet, kann Wazuh als Backend nutzen, ohne dass Lizenzkosten skalierungslimitierend werden.

Hochschulen und Lehrumgebungen: Voller SIEM-Funktionsumfang ohne Lizenzgebühr, ideal für Lehre und studentische Forschungsprojekte rund um Cybersecurity.

Weniger geeignet für: Unternehmen ohne dediziertes IT-Security-Personal (für KMU ohne SOC ist eine gemanagte Lösung wie Sentinel realistischer), Workflows, die deutschsprachigen Profi-Support voraussetzen (Community und kommerzieller Support sind englisch), Use-Cases, die fortgeschrittenes User-Behavior-Analytics (UEBA) brauchen (für die Tiefe von Splunk UBA reicht Wazuh nicht).

Preise im Detail

Variante	Preis	Was du bekommst
Self-Hosted (Open Source)	0 €, dauerhaft	Vollständiger Funktionsumfang, GPL 2.0, eigene Hardware, eigener Betrieb
Wazuh Cloud Small	ab ca. 571 USD/Monat	Bis 100 Agenten, gemanagte Cloud, Wazuh AI Security Analyst, Updates inklusive
Wazuh Cloud Medium	ab ca. 923 USD/Monat	Bis 250 Agenten, alles aus Small
Wazuh Cloud Large	ab ca. 1.467 USD/Monat	Bis 500 Agenten, alles aus Medium
Wazuh Cloud Custom	Auf Anfrage	Mehr als 500 Agenten, Hochverfügbarkeit, individuelle Retention
Trial	0 USD für 14 Tage	Vollständige Cloud-Variante ohne Kreditkarte

Einordnung: Die Self-Hosted-Variante ist und bleibt der zentrale Wertbeitrag von Wazuh, wer Linux-Know-how und einen passenden Server hat, betreibt eine vollwertige SIEM-Lösung für null Lizenzkosten. Die einzigen Kosten sind Hardware (mindestens 16 GB RAM, schneller Storage) und die Arbeitszeit eines kundigen Administrators. Wazuh Cloud ist eine eigene Wertproposition: Wer den Setup- und Wartungsaufwand outsourcen will, bekommt eine gemanagte Variante, die Eintrittspreise sind aber deutlich gestiegen und liegen mit 571 USD/Monat ab 100 Agenten in einer Liga, in der direkte Vergleiche mit kommerziellen SIEMs wieder Sinn ergeben. Faustregel: Self-Hosted, sobald ein kompetenter IT-Mitarbeiter wenigstens 20% Zeitkontingent dafür hat; Cloud, wenn jemand schnellen Start ohne Personalbindung braucht.

Stärken im Detail

Vollständige Datenhoheit beim Self-Hosting. Logs, Alerts und Index-Daten liegen ausschließlich auf der eigenen Infrastruktur. Für Behörden, kritische Infrastrukturen und Finanzdienstleister mit strikten Datenresidenz-Vorgaben ist das oft der einzige praktikable Weg. Cloud-SIEMs erfordern hier komplexe Sonderverträge mit oft enttäuschendem Ergebnis (US-Cloud bleibt US-Cloud, auch mit AVV).

Über 3.000 vorgefertigte Erkennungsregeln. Wazuh kommt mit einem umfangreichen Regelwerk für gängige Angriffsmuster (Brute Force, Privilege Escalation, Lateral Movement, Ransomware-Signaturen) und Compliance-Frameworks. Statt von null zu starten, kannst du sofort sinnvolle Alerts erzeugen, und im Lauf der Zeit eigene Regeln dazustellen.

Wazuh AI Security Analyst. Seit 2025 integriert: Ein KI-Assistent, der Alerts in natürlicher Sprache erklärt, Zusammenhänge zwischen Ereignissen herstellt und konkrete Untersuchungs- und Behebungsschritte vorschlägt. Das senkt die Einstiegshürde für Junior-Analysten erheblich und macht das System für kleinere Teams nutzbarer. Aktuell vorrangig in der Cloud-Variante verfügbar, die On-Premise-Integration ist im Ausbau.

ML-basierte Anomalieerkennung. Zusätzlich zu Regelbasiertem erkennt Wazuh statistische Ausreißer, ungewöhnliche Login-Zeiten, ungewöhnliche Datenmengen, ungewöhnliche Befehlsmuster. Die ML-Engine ist nicht so ausgereift wie bei spezialisierten UEBA-Tools, aber sie schließt eine echte Lücke gegenüber rein signaturbasierten Ansätzen.

Compliance-Reporting eingebaut. PCI-DSS, HIPAA, GDPR, ISO 27001, NIST 800-53, die mitgelieferten Reports decken die gängigen Frameworks ab und sparen externen Beratungsaufwand für Audit-Vorbereitung. Für die KRITIS-Anforderungen lassen sich die Templates anpassen, komplett abnahmefähig sind sie meist nicht, aber ein guter Ausgangspunkt.

XDR-Funktionalität. Wazuh ist nicht nur SIEM (Log-Aggregation und -Analyse), sondern auch XDR, also aktive Endpunkt-Telemetrie und Reaktion. Agents überwachen Datei-Integrität, Prozesse, Netzwerkverbindungen und können automatisch reagieren (Datei blockieren, Verbindung trennen, Account sperren). Das hebt Wazuh klar von reinen Log-Sammlern wie Elasticsearch oder Graylog ab.

Schwächen ehrlich betrachtet

Steile Lernkurve. Wer noch nie ein SIEM betrieben hat, braucht für Wazuh ein paar Wochen bis zum produktiven Stand. Die Doku ist solide, aber die Komplexität ist real, Indexer-Tuning, Regelanpassung, Agent-Verteilung, Speicherwachstum, Performance-Optimierung. Wazuh ist kein Tool, das man „nebenbei” lernt.

Wazuh Cloud ist deutlich teurer geworden. Die Cloud-Variante startet inzwischen bei rund 571 USD/Monat für 100 Agenten, eine Größenordnung, in der direkte Vergleiche mit kommerziellen Lösungen wieder lohnen. Wer Self-Hosting nicht stemmen kann, sollte vor der Wahl von Wazuh Cloud auch Microsoft Sentinel und andere Managed-SIEMs nüchtern preislich vergleichen.

UEBA hinter spezialisierten Tools. User Behavior Analytics, also Verhaltensanalyse einzelner User über lange Zeiträume, ist bei Wazuh vorhanden, aber nicht der Hauptfokus. Splunk UBA und Exabeam liefern hier tiefere Modelle, mehr Vortraining und bessere Visualisierungen. Für Insider-Threat-Detection-Workflows ist Wazuh nur die zweite Wahl.

Kein deutschsprachiger Support. Community-Forum und kommerzieller Support arbeiten ausschließlich auf Englisch. Im Mittelstand ist das eine echte Hürde, gerade in Stress-Situationen (akuter Sicherheitsvorfall) ist „muttersprachlich” wertvoll. Wer Wazuh produktiv einsetzt, sollte ein deutschsprachiges Service-Partnernetzwerk im Hintergrund haben.

AI Security Analyst ist Cloud-zentriert. Die KI-gestützte Alert-Interpretation ist aktuell vor allem in Wazuh Cloud verfügbar. Self-Hosting-Anwender bekommen die KI-Funktionen verzögert oder mit Mehraufwand (eigene LLM-Anbindung). Das verschiebt einen Teil der modernen Nutzererfahrung in die teurere Cloud-Variante.

Wartungsaufwand wird oft unterschätzt. Index-Wachstum, Indexer-Performance, Regelpflege, Agent-Updates, wer das nicht stetig betreibt, hat nach einem Jahr einen schwer beherrschbaren Datenberg. Der vermeintliche Kostenvorteil gegenüber kommerziellen SIEMs relativiert sich, wenn man die FTE-Last des Betriebs realistisch beziffert.

Begrenzte Out-of-the-Box-Integration mit Cloud-Diensten. Wazuh hat Konnektoren für AWS, Azure und GCP, aber sie sind weniger tief als bei nativen Cloud-SIEMs (Sentinel für Azure, Security Hub für AWS). Wer hybride oder Multi-Cloud-Umgebungen tief integrieren will, kommt mit Wazuh manchmal an die Grenzen.

Alternativen im Vergleich

Wenn du…	…nimm stattdessen
Eine cloudnative SIEM-Lösung mit tiefer Azure-Integration brauchst	Microsoft Sentinel
Spezialisierte User-Behavior-Analytics willst	Splunk UBA
Eine reine Log-Plattform ohne SIEM-Overhead brauchst	Elasticsearch
KI-/ML-gestützte Anomalieerkennung auf Elasticsearch-Basis willst	Elastic AI

Erwähnenswert ohne eigene Tool-Seite: Splunk Enterprise Security (Premium-Referenz im SIEM-Markt, sehr teuer), QRadar von IBM (etabliert in Großkonzernen), Graylog (Open-Source-Log-Plattform, kein vollwertiges SIEM), Securonix (UEBA- und SIEM-Cloud) und LimaCharlie (modernes EDR/SIEM mit pay-per-use). Wazuh ist im Open-Source-SIEM-Segment praktisch alternativlos, wer Open Source will, kommt hier vorbei. Die kommerziellen Alternativen ergeben Sinn, wenn Managed-Service, deeperer KI-Funktionsumfang oder direkte Cloud-Anbieter-Integration wichtiger sind als Lizenzkosten.

So steigst du ein

Schritt 1: Lade das Wazuh-Docker-Compose-Setup von github.com/wazuh herunter und starte die Indexer-, Server- und Dashboard-Komponenten auf einem Linux-Server (mindestens 8 GB RAM, besser 16 GB für Produktion). Die Quickstart-Doku auf wazuh.com führt durch die Installation in etwa 30 Minuten. Plane parallel: Wo sollen die Daten liegen? Wie lange Retention? Wie wird Backup gemacht?

Schritt 2: Installiere Wazuh-Agenten auf den zu überwachenden Systemen (Windows, Linux, macOS) oder konfiguriere Syslog-Ingest für agentenlose Quellen (Firewalls, Netzwerkgeräte, Zugangskontrollsysteme). Beginne mit einem Pilot-Scope von 10–20 Endgeräten, bevor du flächendeckend ausrollst. Das hilft, Regelqualität und Storage-Verbrauch realistisch einzuschätzen.

Schritt 3: Aktiviere die ML-basierte Anomalieerkennung und passe die Alert-Schwellenwerte im Wazuh Dashboard an. Starte mit einem 30-tägigen Lernmodus, bevor Alerts in die operative Auswertung gehen, sonst ertrinkst du in False Positives. Parallel: Definiere Verantwortlichkeiten („wer schaut Alerts an?”, „wer eskaliert?”, „wer pflegt Regeln?”) schriftlich fest.

Schritt 4 (optional): Aktiviere den Wazuh AI Security Analyst, wenn du die Cloud-Variante nutzt. Er erklärt Alerts in natürlicher Sprache und schlägt Untersuchungsschritte vor, ein nennenswerter Produktivitätshebel gerade für Junior-Analysten und kleinere SOC-Teams. On-Premise: prüfe, ob du eine eigene LLM-Anbindung (z. B. selbst gehostetes Llama oder Mistral) für ähnliche Workflows einsetzen kannst.

Ein konkretes Beispiel

Ein mittelständisches Produktionsunternehmen mit 150 Mitarbeitenden betreibt Wazuh Self-Hosted, um Zugangslogs vom Werk-RFID-System, Windows-Event-Logs der Büro-PCs, VPN-Logs und Firewall-Logs zentral zu analysieren. Der Wazuh-Server läuft auf einem eigenen Linux-Host im Serverraum, keine Daten in der Cloud. Nach einer 60-tägigen Baseline-Phase erkennt das System nächtliche Zugangsversuche zur Lagerhalle außerhalb der Schichtzeiten und erzeugt automatisch einen priorisierten Alert. Der IT-Administrator nutzt zusätzlich eine selbst gehostete LLM (Llama 3, lokal), um Alerts in natürlicher Sprache zu erklären, ein Workflow, der den AI Security Analyst aus Wazuh Cloud zumindest funktional approximiert. Gesamtlizenzkosten: 0 €. Betriebsaufwand: ca. 4–6 Stunden pro Monat für den IT-Administrator. Im Vergleich: Eine Sentinel-Lizenz für vergleichbare Datenmenge läge bei rund 1.500–2.500 € monatlich.

DSGVO & Datenschutz

• Datenhosting (Self-Hosted): Vollständig in der eigenen Infrastruktur. Logs, Alerts und Index-Daten verlassen das Unternehmen nicht, saubere DSGVO-Lage ohne Drittlandtransfer.
• Datenhosting (Wazuh Cloud): AWS-Infrastruktur, Region nach Vertragsabschluss wählbar. Für EU-Datenresidenz die EU-Region auswählen und vertraglich fixieren.
• Auftragsverarbeitung (AVV): Self-Hosted: nicht erforderlich (kein Auftragsverarbeiter). Wazuh Cloud: AVV nach DSGVO verfügbar, vor Vertragsabschluss prüfen.
• Personenbezogene Daten in Logs: SIEM-Logs enthalten zwangsläufig personenbezogene Daten (User-IDs, IP-Adressen, Geräte-Identifier). Vor Rollout eine Datenschutz-Folgenabschätzung erstellen, die Betriebsratseinbindung klären und Speicherfristen schriftlich festlegen.
• Betriebsratsbeteiligung: In Deutschland ist SIEM-Einführung in der Regel mitbestimmungspflichtig (§ 87 BetrVG). Eine Betriebsvereinbarung über Zweck, Speicherfristen und Auswertungsregeln vor Rollout ist Pflicht, auch bei Open-Source-Tools.
• Quellcode-Transparenz: Wazuh ist GPL 2.0 lizenziert, der Code ist offen einsehbar. Für sicherheitsbewusste Einsätze erlaubt das eigene Audits, die bei proprietären SIEMs nicht möglich sind.

Gut kombiniert mit

• Elasticsearch, Wazuh basiert intern auf der Elasticsearch-/OpenSearch-Familie. Wer parallel weitere Logdaten in Elasticsearch hat (z. B. Anwendungs-Logs aus dem ELK-Stack), kann beide Stacks koppeln und Wazuh-Alerts in das umgebende Log-Ökosystem integrieren.
• Microsoft Sentinel, für hybride Setups: Wazuh deckt On-Premise-Last ab, Sentinel die Microsoft-365- und Azure-Welt. Eine Forwarder-Brücke zwischen beiden Systemen ist mit Standardmitteln einrichtbar.
• Theoretisch jeder Self-Hosted-LLM-Stack (Ollama mit Llama 3 oder Mistral), wer den Wazuh AI Security Analyst nicht in der Cloud nutzen will, kann selbst gehostete LLMs mit den Wazuh-Alerts koppeln und so eine eigene Erklärungsschicht in natürlicher Sprache aufbauen.

Unser Testurteil

Wazuh verdient 3 von 5 Sternen. Im Open-Source-SIEM-Segment ist es praktisch alternativlos, und die Tatsache, dass ein vollständiges, produktionsreifes SIEM/XDR-System ohne Lizenzkosten existiert, ist für die Sicherheitslandschaft ein echter Wert. Den vierten Stern verliert Wazuh an die hohe Einstiegshürde (Linux- und SIEM-Know-how Pflicht), die spürbar gestiegenen Cloud-Preise (bei denen direkte Vergleiche mit kommerziellen SIEMs sinnvoll werden), den noch Cloud-zentrierten AI Security Analyst, das Fehlen von deutschsprachigem Support und die im Vergleich zu spezialisierten Tools begrenzte UEBA-Tiefe. Wer Personal und Wissen hat, oder einen guten Service-Partner, bekommt mit Wazuh ein Top-System ohne Lizenzkosten. Wer das nicht hat, sollte vor der Entscheidung nüchtern durchrechnen, ob nicht ein Managed-SIEM unter dem Strich günstiger und planbarer ist.

Was wir bemerkt haben

• 2025, Wazuh hat den AI Security Analyst eingeführt: einen KI-Assistenten, der Alerts in natürlicher Sprache interpretiert, Zusammenhänge zwischen Ereignissen herstellt und konkrete Untersuchungsschritte vorschlägt. Das ist ein deutliches Signal, dass auch im Open-Source-SIEM-Segment KI-gestützte Bedienführung Standard wird. Aktuell vorrangig in der Cloud-Variante verfügbar.
• 2024–2025, Die Wazuh-Cloud-Preise sind deutlich gestiegen. Der Small-Tarif liegt jetzt bei rund 571 USD/Monat (bis 100 Agenten), früher waren vergleichbare Setups deutlich günstiger. Damit ist Wazuh Cloud kein „Open Source mit kleinem Aufschlag” mehr, sondern ein eigenständiges kommerzielles Angebot, das im direkten Preisvergleich mit Microsoft Sentinel und anderen Managed-SIEMs steht.
• 2025, PCI-DSS- und SOC-2-Zertifizierung für Wazuh Cloud erteilt. Das macht den Cloud-Service für regulierte Branchen (Finanzdienstleister, Zahlungsanbieter) einsatzfähig, die vorher zwingend auf zertifizierte Lösungen angewiesen waren.
• Mai 2026, Eine deutschsprachige Oberfläche oder offizieller deutschsprachiger Support fehlt weiterhin. Das ist im Open-Source-Bereich nicht ungewöhnlich, bleibt aber für deutsche Mittelständler ein realer Reibungspunkt, gerade bei akuten Sicherheitsvorfällen.
• Mai 2026, Die Self-Hosted-Variante bleibt vollständig GPL 2.0 und ohne funktionale Beschneidung. Wazuh ist eines der wenigen Beispiele, wo eine Cloud-Monetarisierung neben einem ungeschmälerten Open-Source-Core funktioniert, bemerkenswert in einer Zeit, in der viele Open-Source-Projekte zu „Open Core” mit eingeschränkten Free-Tiers gewechselt sind.