Zum Inhalt springen
⚠️ Hybrid Geprüft: April 2026

Wazuh

Wazuh Inc.

3/5
Tool öffnen

Wazuh ist die meistgenutzte Open-Source-Sicherheitsplattform für SIEM und XDR. Sie sammelt Logs von Endgeräten, Netzwerken und Anwendungen, erkennt Anomalien mit ML-basierten Regeln und erzeugt priorisierte Security-Alerts. Für deutsche Unternehmen besonders interessant: vollständige Eigenkontrolle über Datenhaltung, On-Premise-Deployment im eigenen Rechenzentrum.

Kosten: Open Source (GPL 2.0), vollständig kostenlos. Wazuh Cloud ab ca. 250 USD/Monat für gemanagte Instanz. Eigener Betrieb auf eigenem Server kostenlos.

Stärken

  • Vollständig kostenlos (Open Source, GPL 2.0) — keine Lizenzkosten, kein Vendor-Lock-in
  • On-Premise-Deployment: Daten verlassen das Unternehmen nicht
  • Anomalieerkennung per ML-basierter Regelmaschine und statistischer Baseline-Analyse
  • Über 3.000 vorgefertigte Erkennungsregeln für häufige Angriffsmuster
  • Breite Log-Ingest-Fähigkeit: Syslog, Windows Event Logs, JSON-APIs, benutzerdefinierte Parser

Einschränkungen

  • Kein Plug-and-Play — Einrichtung und Betrieb erfordert Linux-Systemwissen
  • Keine native physische Zugangskontroll-Integration — Custom-Parser für RFID/Badge-Logs nötig
  • UEBA-Fähigkeiten begrenzt im Vergleich zu kommerziellen Lösungen (Exabeam, Sentinel)
  • Kein deutschsprachiger Support — Community-Forum auf Englisch
  • Wartungsaufwand für Updates, Indexmanagement und Regelanpassungen liegt beim eigenen Team

Passt gut zu

IT-Security-Teams, die On-Premise SIEM ohne Lizenzkosten betreiben wollen Unternehmen mit strikten Datenhaltungsanforderungen (keine Cloud, keine US-Dienste) Log-Aggregation und Anomalieerkennung für technische Infrastruktur

So steigst du ein

Schritt 1: Lade Wazuh als Docker-Compose-Stack herunter und starte die Indexer-, Server- und Dashboard-Komponenten auf einem Linux-Server mit mindestens 8 GB RAM. Die Quickstart-Dokumentation auf wazuh.com führt durch die Installation in ca. 30 Minuten.

Schritt 2: Installiere Wazuh-Agenten auf den zu überwachenden Systemen (Windows, Linux, macOS) oder konfiguriere Syslog-Ingest für Netzwerkgeräte und Zugangskontrollsysteme ohne Agent. Für physische Zugangskontrolle: Prüfe, ob dein RFID-System Logs per Syslog oder REST-API exportieren kann, und schreibe einen benutzerdefinierten Decoder in der Wazuh-Regelsprache.

Schritt 3: Aktiviere die ML-basierte Anomalieerkennung (Anomaly Detection) und passe die Alert-Schwellenwerte im Wazuh Dashboard an. Starte mit einem 30-tägigen Lernmodus, bevor du Alerts in die operative Auswertung nimmst.

Ein konkretes Beispiel

Ein mittelständisches Produktionsunternehmen mit 150 Mitarbeitenden betreibt Wazuh On-Premise, um Zugangslogs vom Werk-RFID-System, Windows-Event-Logs der Büro-PCs und Firewall-Logs zentral zu analysieren. Der Wazuh-Server läuft auf einem eigenen Linux-Host im Serverraum — keine Daten in der Cloud. Nach einer 60-tägigen Baselinephase erkennt das System nächtliche Zugangsversuche zu Lagerhallen außerhalb der Schichtzeiten und erzeugt automatisch einen priorisierten Alert. Gesamtlizenzkosten: null Euro; Betriebsaufwand: ca. 4 Stunden pro Monat für einen IT-Administrator.

Diesen Inhalt teilen:

LinkedIn X / Twitter E-Mail WhatsApp

Empfohlen in 1 Use Cases

Sicherheitsdienste

Redaktionell bewertet · Preise und Funktionen können sich ändern.

Stimmt etwas nicht?

Preise geändert, Feature veraltet oder etwas fehlt? Wir freuen uns über Hinweise und Ergänzungen.

Feedback geben

Weitere Tools

Exabeam

Exabeam Inc. (seit 2024 fusioniert mit Securonix)

Exabeam ist eine auf UEBA spezialisierte SIEM-Plattform, die Verhaltensmuster von Nutzern und Entitäten mit ML modelliert und Insider-Threats sowie kompromittierte Konten erkennt. Besonders stark: die Smart Timeline zeigt für jeden Nutzer eine vollständige Verhaltenschronologie. Seit der Fusion mit Securonix 2024 unter gemeinsamer Führung, aber weiterhin als eigenständige Produktlinie verfügbar.

Mehr erfahren

GitGuardian

GitGuardian

GitGuardian erkennt versehentlich im Code eingecheckte Secrets — API-Keys, Passwörter, Zertifikate — bevor sie ausgenutzt werden können. Mit Support für über 550 Secret-Typen und Scanning über die gesamte Git-History ist es der Standard für Secrets-Security in DevSecOps-Teams.

Mehr erfahren

Microsoft Sentinel

Microsoft

Microsoft Sentinel ist das Cloud-native SIEM von Microsoft mit integrierter UEBA (User and Entity Behavior Analytics). Es baut Verhaltensbaselines für Nutzer, Geräte und Entitäten auf und erkennt Abweichungen automatisch — inklusive physischer Zugangsdaten, wenn diese per Log-Connector eingebunden werden. Besonders stark für Unternehmen in Microsoft-365-Umgebungen mit EU-Datenhosting in deutschen Rechenzentren.

Mehr erfahren
Zurück zur Tool-Übersicht
Kostenloser Newsletter

Bleib auf dem neuesten
Stand der KI

Wähle deine Themen und erhalte relevante KI-News, Praxistipps und exklusive Inhalte direkt in dein Postfach – kein Spam, jederzeit abmeldbar.

Was interessiert dich? Wähle 1–3 Themen — du bekommst nur Inhalte dazu.

Mit der Anmeldung stimmst du unserer Datenschutzerklärung zu. Jederzeit abmeldbar.
Kostenlos
Kein Spam
Jederzeit abmeldbar