1. Wazuh 5.0 im Kontext: Die nächste Generation der Open-Source-Sicherheit

Wazuh hat sich in den letzten Jahren als ernstzunehmende Alternative zu kommerziellen SIEM- und XDR-Lösungen etabliert. Die aktuelle Version 4.14.x ist stabil und wird kontinuierlich mit kleineren Security- und Funktions-Updates weiterentwickelt. Mit dem kommenden Release Wazuh 5.0 steht jedoch ein großer Sprung bevor – und dieser bringt architektonische Änderungen, die weit über ein normales Minor-Release hinausgehen.

Wazuh 5.0 befindet sich derzeit in aktiver Entwicklung. Einen offiziellen Veröffentlichungstermin hat Wazuh Inc. noch nicht kommuniziert. Der Fortschritt lässt sich öffentlich über das GitHub-Projektboard und die Pre-Releases verfolgen. Für Unternehmen, die heute produktiv Wazuh einsetzen oder eine Einführung planen, ist jetzt der richtige Zeitpunkt, sich mit den anstehenden Änderungen vertraut zu machen – denn einige davon betreffen grundlegende Komponenten der Architektur.

2. Die wichtigsten Neuerungen im Überblick

Wazuh 5.0 ist kein reines Bugfix-Release. Die Entwickler räumen mit vielen Altlasten auf, vereinfachen die Architektur und führen strategisch wichtige neue Funktionen ein. Die Highlights:

• Cluster-Betrieb wird zum Standardmodell
• Filebeat wird als Log-Shipper abgelöst
• Umfassende Überarbeitung des Rollen- und Rechtekonzepts (RBAC)
• Deutlich erweiterte Threat-Intelligence-Plattform Wazuh CTI
• Entfernung zahlreicher Legacy-Komponenten und Daemons
• Windows-Agent nur noch als MSI-Paket
• Neuer Synchronisations-Algorithmus für die Vulnerability Detection

Schauen wir uns die wichtigsten Punkte im Detail an.

3. Architektonische Änderungen

Cluster-Betrieb als Standard

Bislang unterschied Wazuh zwischen Stand-alone-Installationen und Cluster-Deployments. In Wazuh 5.0 fällt diese Unterscheidung weg: Jede Wazuh-Server-Installation läuft ab Version 5.0 als Cluster-Knoten. Die Konfigurationsoption cluster.disabled wird entfernt. Das klingt zunächst nach Mehraufwand, vereinfacht aber langfristig den Betrieb und das Upgrade-Verhalten erheblich, weil es nur noch ein Deployment-Modell gibt.

Für Bestandskunden mit Single-Node-Installationen bedeutet das: Die Migration muss sorgfältig geplant werden. Auch ein „Cluster“ mit nur einem Knoten ist ab Wazuh 5.0 formal ein Cluster – die Umstellung ist also nicht disruptiv, erfordert aber geänderte Konfigurationsdateien.

Filebeat wird abgelöst

Eine der spürbarsten Änderungen: Filebeat fällt weg. Bisher nutzte Wazuh Filebeat als Log-Shipper, um Events vom Wazuh-Server zum Wazuh-Indexer (OpenSearch) zu transportieren. In Wazuh 5.0 übernimmt der neue indexer-connector diese Aufgabe direkt über nativen Wazuh-Server-Code – ohne Filebeat als Zwischenkomponente.

Das reduziert den Wartungsaufwand, eliminiert eine potenzielle Fehlerquelle und verbessert die Performance. Gleichzeitig müssen Bestandsinstallationen angepasst werden, weil vorhandene Filebeat-Konfigurationen, -Module und -Templates entfallen.

Aufräumen bei den Daemons

Wazuh 5.0 entfernt eine ganze Reihe veralteter Komponenten, darunter die Daemons ossec-authd, wazuh-agentlessd, wazuh-maild und wazuh-dbd. Auch die C-basierten CLI-Tools manage_agents und agent-auth sowie das serverseitige OpenSCAP-Modul werden entfernt. Unternehmen, die Skripte oder Automatisierungen auf diese Komponenten aufgebaut haben, sollten ihre Prozesse entsprechend überarbeiten.

Windows-Agent ausschließlich als MSI

Der bisherige NSIS-basierte Windows-Installer wird entfernt. Der Wazuh-Agent für Windows wird ab Version 5.0 ausschließlich als MSI-Paket ausgeliefert. Das ist eine gute Nachricht für Unternehmen mit etablierten Deployment-Prozessen via Group Policy, Microsoft Intune oder SCCM – MSI-Pakete lassen sich dort wesentlich sauberer integrieren.

4. Neue Sicherheits- und Bedienfunktionen

Überarbeitetes RBAC-Konzept

Rollenbasierte Zugriffskontrollen (RBAC) werden in Wazuh 5.0 grundlegend überarbeitet. Das neue Modell ermöglicht feingranularere Berechtigungen, einen sauberen Upgrade-Mechanismus für bestehende RBAC-Konfigurationen und eine insgesamt übersichtlichere Verwaltung. Gerade für größere Organisationen mit mandantenähnlichen Strukturen oder klaren Trennungen zwischen Plattform-Admins und Security-Analysten ist das ein wichtiger Schritt.

Wazuh CTI: Threat Intelligence auf einer neuen Stufe

Die Threat-Intelligence-Plattform Wazuh CTI spielte bisher vor allem für die Vulnerability Detection eine Rolle. Mit Wazuh 5.0 wird sie deutlich ausgebaut: Ab der neuen Version umfasst CTI auch Indicators of Compromise (IOCs) wie IP-Adressen, Datei-Hashes und URLs. Zusätzlich werden die Wazuh-Detection-Regeln künftig direkt über die CTI-Plattform ausgeliefert.

Für Unternehmen bedeutet das: eine deutlich schnellere Reaktion auf neue Bedrohungen, ohne dass Wazuh-Server-Updates abgewartet werden müssen. Das nähert Wazuh funktional weiter an kommerzielle Threat-Intelligence-Angebote an.

Neuer Synchronisations-Algorithmus

Die Vulnerability-Detection-Pipeline wurde an einen neuen Sync-Algorithmus angepasst, der First-Scan-, Inventory-Change- und Feed-Update-Szenarien sauberer abbildet. Das Ergebnis: konsistentere Vulnerability-Scans, geringere Netzwerklast und weniger Fehler bei inkrementellen Updates.

5. Auswirkungen auf Bestandsinstallationen

Für Unternehmen, die heute Wazuh 4.x produktiv einsetzen, ergeben sich mehrere konkrete Handlungsfelder:

• Skripte und Automatisierungen überprüfen: Alles, was auf entfernte Daemons, Filebeat oder die alten CLI-Tools zugreift, muss angepasst werden.
• Deployment-Prozesse für Windows-Agents auf MSI umstellen, falls bisher NSIS-basierte Installer verwendet wurden.
• RBAC-Konfigurationen dokumentieren und auf die neue Rollen-Semantik vorbereiten.
• Monitoring- und Alerting-Integrationen an die neue Log-Transport-Architektur anpassen.
• Backup- und Disaster-Recovery-Pläne für die Cluster-by-default-Architektur aktualisieren.

Die gute Nachricht: Wazuh 5.0 bringt einen offiziellen Upgrade-Pfad und Migrationswerkzeuge. Die Weichenstellungen sollten aber vor dem Release sinnvoll überlegt werden – nicht erst beim eigentlichen Upgrade.

6. Migrations-Checkliste: Was Sie jetzt vorbereiten sollten

Auch wenn Wazuh 5.0 noch nicht finalisiert ist, lohnt es sich, bereits heute Vorbereitungen zu treffen. Eine pragmatische Checkliste für IT-Verantwortliche:

1. Bestandsaufnahme: Welche Wazuh-Version wird aktuell eingesetzt? Welche Agents, welche Integrationen, welche Anpassungen?
2. Abhängigkeiten dokumentieren: Wo greifen Skripte, Monitoring-Tools oder SIEM-Integrationen auf Wazuh-Komponenten zu?
3. Architektur-Review: Ist die aktuelle Installation auf den Cluster-Betrieb vorbereitet? Gibt es Single-Points-of-Failure, die jetzt adressiert werden sollten?
4. Testumgebung aufbauen: Eine dedizierte Test- oder Staging-Umgebung erlaubt das risikofreie Erproben von Pre-Releases.
5. Rollout-Plan für Windows-MSI: Falls das Agent-Deployment bislang manuell oder via NSIS erfolgt, Umstieg auf MSI-basierte Verteilung (z. B. via Intune, GPO, SCCM) vorbereiten.
6. RBAC-Audit: Bestehende Rollen und Berechtigungen bereinigen – ein frisches RBAC-Modell ist die bessere Ausgangsbasis für die Migration.
7. Schulungsbedarf ermitteln: Welche Admins und Analysten benötigen Updates zu den neuen Konzepten?

7. Häufig gestellte Fragen (FAQ) zu Wazuh 5.0

8. Fazit: Strategisch planen statt reagieren

Wazuh 5.0 ist mehr als ein Update – es ist ein strategisches Release, das die Plattform für die nächsten Jahre positioniert. Die Kombination aus vereinfachter Architektur, überarbeitetem RBAC, erweiterter Threat Intelligence und klaren Deployment-Modellen macht Wazuh für mittelständische Unternehmen und Betreiber kritischer Infrastrukturen noch attraktiver.

Gleichzeitig gilt: Wer heute Wazuh produktiv einsetzt, sollte den Release nicht unvorbereitet auf sich zukommen lassen. Die hier beschriebenen Änderungen – Cluster-Default, Filebeat-Ablösung, Daemon-Cleanup – sind grundlegend genug, um ein strukturiertes Migrationsprojekt zu rechtfertigen.

Die SCI Systems GmbH unterstützt Unternehmen bei der Planung und Durchführung solcher Migrationsprojekte – von der initialen Bewertung über den Aufbau einer Staging-Umgebung bis zum produktiven Upgrade. Kontaktieren Sie uns, wenn Sie Ihren Migrationspfad frühzeitig abstimmen möchten.

Weitere Artikel aus unserer Wazuh-Serie:

• Was ist Wazuh? Die Open-Source-Plattform für SIEM und XDR im Überblick
• NIS2 und Wazuh: Wie mittelständische Unternehmen mit Open-Source-SIEM die neuen Pflichten erfüllen

1. Was ist Wazuh? – Ein Überblick

Wazuh ist eine quelloffene Sicherheitsplattform, die Unternehmen jeder Größe dabei unterstützt, Cyberangriffe zu erkennen, IT-Systeme zu überwachen und regulatorische Anforderungen nachzuweisen. Die Plattform vereint zwei zentrale Disziplinen der modernen IT-Sicherheit: SIEM (Security Information and Event Management) und XDR (Extended Detection and Response). Das Besondere an Wazuh: Die gesamte Kerntechnologie steht unter einer Open-Source-Lizenz zur Verfügung, ist frei nutzbar und kann On-Premises, in der Cloud oder in hybriden Infrastrukturen betrieben werden.

Entwickelt wurde Wazuh ursprünglich als Fork des bewährten Host-IDS OSSEC. Heute ist Wazuh eine eigenständige, weltweit eingesetzte Lösung mit aktiver Community, professionellem Support durch die Wazuh Inc. und einem stetig wachsenden Funktionsumfang. Gerade für mittelständische Unternehmen in Deutschland, die vor dem Hintergrund von NIS2, DORA und ISO 27001 eine skalierbare und wirtschaftliche Sicherheitslösung suchen, ist Wazuh eine ernstzunehmende Alternative zu kostenintensiven kommerziellen SIEM-Produkten.

2. SIEM und XDR einfach erklärt – die Konzepte hinter Wazuh

Bevor wir tiefer in die Architektur und den Funktionsumfang eintauchen, lohnt ein kurzer Blick auf die beiden Kerndisziplinen, die Wazuh abdeckt.

SIEM – Security Information and Event Management

Ein SIEM sammelt Logs und Sicherheitsereignisse aus allen relevanten Systemen eines Unternehmens – Server, Arbeitsplätze, Netzwerkkomponenten, Anwendungen, Cloud-Dienste – und korreliert diese zentral. Ziel ist es, Angriffe oder Anomalien zu erkennen, die auf einzelnen Systemen isoliert nicht auffallen würden. Klassische SIEM-Produkte sind Splunk, IBM QRadar oder Microsoft Sentinel.

XDR – Extended Detection and Response

XDR erweitert das klassische Endpoint Detection & Response (EDR) um zusätzliche Telemetrie-Quellen wie Netzwerk, Cloud-Workloads oder E-Mail-Systeme. Entscheidend ist: XDR konzentriert sich nicht nur auf die Erkennung, sondern auch auf die aktive Reaktion – etwa das automatische Isolieren eines kompromittierten Endpoints oder das Blockieren einer verdächtigen IP-Adresse.

Wazuh vereint beide Welten in einer Plattform: Die SIEM-Funktionen sammeln und korrelieren Events, die XDR-Funktionen ermöglichen die automatisierte Reaktion auf erkannte Bedrohungen. Das macht Wazuh zu einer sogenannten Unified XDR- und SIEM-Plattform.

3. Die Architektur von Wazuh

Wazuh besteht aus vier zentralen Komponenten, die zusammenspielen:

Der Wazuh Agent

Der Agent wird auf den zu überwachenden Systemen installiert – egal ob Windows-Client, Linux-Server, macOS-Arbeitsplatz, Container oder Cloud-Instanz. Er erfasst Logdaten, überwacht Dateiintegrität, prüft die Sicherheitskonfiguration und meldet Auffälligkeiten an den zentralen Server. Wazuh-Agents sind ressourcenschonend und unterstützen eine breite Palette an Betriebssystemen.

Der Wazuh Server

Der Server empfängt und analysiert die Daten der Agents. Er wendet Regeln und Decoder an, führt Korrelationen durch und löst bei Bedarf aktive Reaktionen aus. Bei größeren Installationen lässt sich der Server als Cluster betreiben, um hohe Verfügbarkeit und Skalierbarkeit zu gewährleisten.

Der Wazuh Indexer

Der Indexer basiert auf OpenSearch und speichert sämtliche Events und Alarme. Er ermöglicht das schnelle Durchsuchen großer Datenmengen – eine wichtige Voraussetzung für forensische Analysen nach Sicherheitsvorfällen und für Compliance-Nachweise.

Das Wazuh Dashboard

Das webbasierte Dashboard liefert die visuelle Oberfläche: Übersichten, Reports, Suchfunktionen und das Management der gesamten Plattform. Administratoren können hier Alarme analysieren, Regeln anpassen und Compliance-Reports generieren.

Dieses modulare Architekturmodell erlaubt sowohl kompakte Single-Node-Installationen für kleinere Umgebungen als auch verteilte Deployments mit mehreren Servern und Indexer-Knoten für große Unternehmen.

4. Welche Funktionen bietet Wazuh?

Wazuh adressiert praktisch alle zentralen Themenfelder, die eine moderne Sicherheitslösung abdecken sollte:

Log-Analyse und Korrelation

Wazuh sammelt Logs aus unterschiedlichsten Quellen – Windows Event Logs, Syslog, Anwendungs-Logs, Firewall-Logs, Cloud-Audit-Logs – und analysiert sie in Echtzeit. Integrierte Regeln und ein Mapping auf das MITRE-ATT&CK-Framework helfen, Angriffe systematisch zu erkennen und einzuordnen.

File Integrity Monitoring (FIM)

FIM überwacht kritische Dateien und Verzeichnisse auf Veränderungen. Wird eine Systemdatei manipuliert oder eine sensitive Konfigurationsdatei verändert, schlägt Wazuh sofort Alarm. Das ist nicht nur für die Erkennung von Ransomware und Rootkits wichtig, sondern auch für Compliance-Vorgaben wie PCI DSS und ISO 27001.

Security Configuration Assessment (SCA)

SCA prüft Systeme regelmäßig gegen Härtungs-Baselines und liefert Policies, die sich an etablierten Standards wie den CIS Benchmarks orientieren. Damit erkennt Wazuh Fehlkonfigurationen, fehlende Sicherheitspatches oder zu laxe Einstellungen, bevor diese ausgenutzt werden können.

Vulnerability Detection

Die Schwachstellenerkennung scannt alle überwachten Systeme auf bekannte CVEs. Wazuh nutzt hierfür die eigene Threat-Intelligence-Plattform Wazuh CTI, die Daten aus vertrauenswürdigen Quellen wie Herstellerfeeds und öffentlichen Datenbanken aggregiert und normalisiert.

Active Response

Wazuh kann auf Bedrohungen nicht nur hinweisen, sondern aktiv reagieren: IPs blockieren, Prozesse beenden, kompromittierte Konten sperren, Anti-Malware-Scans anstoßen. Diese Reaktionen lassen sich individuell konfigurieren.

Compliance-Reporting

Für Standards wie PCI DSS, HIPAA, DSGVO, NIS2, ISO 27001 und TSC liefert Wazuh vorgefertigte Dashboards und Reports. Das erleichtert nicht nur den operativen Betrieb, sondern auch die Vorbereitung auf Audits und Zertifizierungen erheblich.

Cloud Workload Protection

Wazuh lässt sich nahtlos in AWS, Microsoft Azure, Google Cloud und Microsoft 365 integrieren und überwacht dort Aktivitäten, Konfigurationen und Auffälligkeiten. Damit wird auch die Cloud-Ebene Teil der zentralen Sicherheitssicht.

5. Für wen eignet sich Wazuh?

Wazuh richtet sich an Unternehmen, die ein umfassendes, wirtschaftliches und flexibles Sicherheits-Monitoring etablieren möchten. Besonders interessant ist die Plattform für:

• Mittelständische Unternehmen, die erstmals ein SIEM einführen und dabei Kosten und Komplexität im Griff behalten möchten.
• Betreiber kritischer Infrastrukturen, die unter NIS2 fallen und ein nachweislich wirksames Monitoring benötigen.
• Organisationen mit heterogenen IT-Landschaften (Windows, Linux, macOS, Cloud, Container), die eine plattformübergreifende Lösung suchen.
• Unternehmen mit ISO-27001- oder BSI-Grundschutz-Ambitionen, die ihre Nachweisführung automatisieren wollen.
• IT-Dienstleister und Managed-Service-Provider, die ihren Kunden eine zuverlässige Monitoring-Plattform bereitstellen möchten.

6. Warum Wazuh? – Die wichtigsten Gründe

Keine Lizenzkosten, voller Funktionsumfang

Anders als bei vielen kommerziellen Anbietern gibt es bei Wazuh keine Einschränkung nach Datenvolumen, Agent-Anzahl oder Nutzerzahl. Die Plattform ist quelloffen, vollständig nutzbar und erlaubt damit auch das Monitoring großer Umgebungen ohne exponentiell steigende Lizenzkosten.

Transparenz und Herstellerunabhängigkeit

Offener Quellcode bedeutet Transparenz. Unternehmen können genau prüfen, welche Daten gesammelt werden, wohin sie fließen und wie sie verarbeitet werden. Gerade für deutsche Unternehmen mit datenschutzrechtlich sensiblen Daten ist das ein gewichtiges Argument.

Breite Funktionsabdeckung

SIEM, XDR, FIM, Vulnerability Management, Compliance, Cloud-Monitoring – Wazuh bringt Funktionen mit, für die in anderen Welten oft mehrere Einzelprodukte lizenziert und integriert werden müssen.

Skalierbarkeit

Vom Single-Node-Betrieb für 50 Agents bis zum Cluster mit mehreren tausend Endpunkten – Wazuh skaliert mit den Anforderungen.

Compliance-Unterstützung

Mit integrierten Mappings zu NIS2, PCI DSS, HIPAA, ISO 27001 und anderen Standards liefert Wazuh die Nachweise, die Audits erfordern.

Aktive Community und professioneller Support

Neben der lebhaften Open-Source-Community gibt es offizielle Supportangebote der Wazuh Inc. sowie spezialisierte Partnerdienstleister – so lassen sich auch kritische Produktionsumgebungen abgesichert betreiben.

7. Wazuh im Vergleich zu kommerziellen SIEM-Produkten

Wie schlägt sich Wazuh im Vergleich zu etablierten kommerziellen Lösungen?

Splunk ist extrem leistungsfähig und hat ein riesiges Ökosystem, wird allerdings rasch teuer, weil die Lizenzierung am verarbeiteten Datenvolumen hängt. Für mittelständische Unternehmen ist das wirtschaftlich oft schwer darstellbar.

IBM QRadar bietet ebenfalls einen starken Funktionsumfang, ist in Einführung und Betrieb jedoch komplex und personalintensiv.

Microsoft Sentinel ist für Unternehmen mit starker Microsoft-Cloud-Bindung attraktiv, erzeugt aber Abhängigkeiten zu Azure und rechnet verbrauchsabhängig ab – was bei wachsenden Datenmengen ebenfalls zu hohen Kosten führen kann.

Wazuh ist in puncto Funktionsumfang absolut konkurrenzfähig, kostet in der Kernplattform aber keine Lizenzgebühren. Der Hauptaufwand liegt in Einrichtung, Betrieb und kontinuierlichem Tuning – und genau hier macht ein erfahrener Implementierungs- und Betriebspartner den Unterschied.

8. Wie gelingt die Einführung? – Wazuh mit einem erfahrenen Partner

Trotz des Kostenvorteils ist Wazuh kein „Install-and-Forget“-Produkt. Eine produktive Einführung umfasst typischerweise folgende Schritte:

1. Anforderungsanalyse: Welche Systeme sollen überwacht werden? Welche Compliance-Ziele sind relevant? Welche Ereignisvolumina sind zu erwarten?
2. Architektur-Design: Single-Node oder Multi-Node-Cluster? On-Premises, Cloud oder hybrid? Welche Speicherdauer ist nötig?
3. Deployment: Installation von Manager, Indexer, Dashboard und Agents – inklusive Zertifikaten, Härtung und Netzwerk-Design.
4. Regelwerk und Use Cases: Definition der relevanten Detection-Regeln, Active-Response-Mechanismen und Alarmierungswege.
5. Integration: Anbindung an Firewalls, Mail-Gateways, Microsoft 365, Active Directory, Cloud-Accounts und weitere Systeme.
6. Betrieb und Tuning: Laufende Anpassung an neue Bedrohungen, Reduzierung von False Positives, Auswertung der Reports.

Die SCI Systems GmbH unterstützt Unternehmen aus Ostwestfalen und darüber hinaus bei der Planung, Einführung und dem laufenden Betrieb von Wazuh – ob als Projektleistung, als Managed Service oder als Schulungspartner für interne IT-Teams.

9. Häufig gestellte Fragen (FAQ)

10. Fazit und Ausblick

Wazuh hat sich in den vergangenen Jahren von einem Nischenprodukt zu einer ernstzunehmenden XDR- und SIEM-Plattform entwickelt, die gerade für mittelständische Unternehmen viele Vorteile bietet: keine Lizenzkosten, vollständige Transparenz, breite Funktionsabdeckung und hohe Flexibilität. Wer heute eine Sicherheitsplattform einführt oder ein bestehendes SIEM ablösen möchte, kommt an Wazuh kaum noch vorbei.

In den nächsten beiden Artikeln dieser Serie vertiefen wir zwei besonders aktuelle Aspekte:

• NIS2 und Wazuh: Wie mittelständische Unternehmen mit Open-Source-SIEM die neuen Pflichten erfüllen
• Wazuh 5.0: Was sich ändert und wie Sie jetzt migrationsbereit werden

Sie möchten wissen, ob Wazuh zu Ihrer IT-Landschaft passt und welche Vorteile eine Einführung in Ihrem Unternehmen bringen würde? Vereinbaren Sie einen IT Security Check oder kontaktieren Sie uns direkt – wir beraten Sie gerne zu Ihren Möglichkeiten.

1. NIS2 in Kürze: Was ändert sich für den Mittelstand?

Mit der NIS2-Richtlinie (Network and Information Security Directive 2) hat die Europäische Union die Anforderungen an Cybersicherheit grundlegend verschärft und den Anwendungsbereich deutlich ausgeweitet. Während die ursprüngliche NIS-Richtlinie nur wenige Branchen umfasste, fallen unter NIS2 zusätzlich Sektoren wie Postdienste, Abfallwirtschaft, Lebensmittelproduktion, Maschinenbau, Chemie, digitale Infrastrukturen und Hersteller kritischer Produkte. In Deutschland setzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) die EU-Vorgaben in nationales Recht um.

Für viele mittelständische Unternehmen ist NIS2 damit die erste formale regulatorische Anforderung im IT-Sicherheitsbereich überhaupt. Die Pflichten reichen von systematischem Risikomanagement über die Meldung von Sicherheitsvorfällen bis zur Lieferkettensicherheit. Wer nicht liefert, riskiert empfindliche Bußgelder – bei „wesentlichen Einrichtungen“ bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes – und persönliche Haftung der Geschäftsführung.

2. Die zehn Mindestanforderungen der NIS2-Richtlinie

NIS2 definiert in Artikel 21 zehn Mindestanforderungen an das Risikomanagement. Diese umfassen:

1. Konzepte zur Risikoanalyse und zur Sicherheit von Informationssystemen
2. Behandlung von Sicherheitsvorfällen
3. Aufrechterhaltung und Wiederherstellung des Betriebs (Business Continuity)
4. Sicherheit der Lieferkette
5. Sicherheit bei Beschaffung, Entwicklung und Wartung von Systemen
6. Verfahren zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen
7. Cyber-Hygiene und Schulungen
8. Kryptographie und Verschlüsselung
9. Sicherheit der Personalressourcen, Zugriffsrechte und Asset-Management
10. Multi-Faktor-Authentifizierung und sichere Kommunikation

Das klingt nach viel – und das ist es auch. Wichtig ist aber: NIS2 schreibt nicht jede konkrete Maßnahme detailliert vor. Gefordert werden nachvollziehbare, risikobasierte und dokumentierte Prozesse und Werkzeuge.

3. Warum klassische Antivirus-Lösungen nicht mehr ausreichen

Viele mittelständische Unternehmen verlassen sich bislang auf ein Firewall-Antivirus-Backup-Dreiergespann – ergänzt um gelegentliche Mitarbeiterschulungen. Unter NIS2 reicht das nicht mehr. Die Richtlinie fordert:

• Eine systematische Erkennung von Sicherheitsvorfällen, nicht nur die Abwehr bekannter Bedrohungen.
• Eine dokumentierte Reaktion auf Vorfälle mit definierten Meldewegen und Eskalationsstufen.
• Die Nachweisführung, dass Sicherheitsmaßnahmen tatsächlich wirken und kontinuierlich überprüft werden.
• Die Lieferkettensicherheit, also auch die Kontrolle über Dienstleister und deren Zugriffe.

An dieser Stelle kommen SIEM- und XDR-Plattformen ins Spiel – und genau hier liegt die Stärke von Wazuh.

4. Wazuh als pragmatische Antwort auf NIS2

Wazuh ist eine Open-Source-Plattform für Security Information and Event Management (SIEM) und Extended Detection and Response (XDR). Sie sammelt Logdaten und Sicherheitsereignisse aus allen überwachten Systemen, analysiert diese zentral und liefert Audit-Reports – genau die Funktionen, die NIS2 explizit oder implizit fordert. Wer einen Einstieg in die Plattform sucht, findet ihn in unserem Artikel „Was ist Wazuh? Die Open-Source-Plattform für SIEM und XDR im Überblick“.

Drei Eigenschaften machen Wazuh für mittelständische Unternehmen besonders attraktiv, wenn es um NIS2 geht:

1. Keine Lizenzkosten: Die Kernplattform ist frei nutzbar – Investitionen fließen in Einführung, Betrieb und Schulungen, nicht in Lizenzgebühren.
2. Vollständige Compliance-Reports: Wazuh liefert vorgefertigte Mappings zu NIS2, ISO 27001, PCI DSS, HIPAA und DSGVO.
3. On-Premises-Betrieb möglich: Die Datenhoheit bleibt im Unternehmen oder beim deutschen IT-Dienstleister – wichtig für Unternehmen mit sensiblen Daten oder Kundenanforderungen an die Datenresidenz.

5. Mapping: Wazuh-Funktionen und NIS2-Anforderungen

Wie konkret unterstützt Wazuh die zehn Mindestanforderungen der NIS2? Die folgende Übersicht zeigt das Mapping:

Wazuh ersetzt natürlich keine organisatorischen Maßnahmen wie Schulungen oder Prozesse. Es liefert aber die technische Grundlage, mit der Sie Ihre NIS2-Pflichten dokumentiert und nachweisbar erfüllen können.

6. Typische NIS2-Nachweise, die Wazuh liefert

Im Audit kommt es nicht nur darauf an, dass Sicherheitsmaßnahmen existieren – sie müssen nachgewiesen werden können. Wazuh liefert diese Nachweise in Form von:

• Compliance-Dashboards: Übersichten zu definierten Standards mit Ampel-Logik.
• Event-Historien: Vollständige, manipulationssicher gespeicherte Protokolle aller Sicherheitsereignisse über konfigurierbare Zeiträume.
• Incident-Reports: Detaillierte Auswertungen zu einzelnen Vorfällen inklusive Zeitverlauf, betroffener Systeme und getroffener Gegenmaßnahmen.
• Asset- und Vulnerability-Reports: Aktuelle Übersichten zum Patch-Stand und zu bekannten Schwachstellen pro System.
• Audit-Trails: Nachverfolgung aller administrativen Aktivitäten auf überwachten Systemen.

7. Umsetzung in der Praxis: Eine Roadmap für den Mittelstand

Wie lässt sich eine Wazuh-basierte NIS2-Lösung konkret einführen? Eine typische Roadmap für mittelständische Unternehmen umfasst fünf Phasen:

Phase 1: Gap-Analyse

Zuerst wird geprüft, welche Systeme und Prozesse unter NIS2 fallen, welche Sicherheitsmaßnahmen bereits existieren und wo die größten Lücken liegen. Ergebnis ist ein priorisierter Maßnahmenplan. Ein strukturierter IT Security Check liefert hier die Grundlage.

Phase 2: Wazuh-Einführung

Installation und Grundkonfiguration der Plattform – in der Regel als Multi-Node-Cluster bei mittleren und größeren Umgebungen, um Ausfallsicherheit zu gewährleisten. Dies kann On-Premises, in einem deutschen Rechenzentrum oder als Managed Service erfolgen.

Phase 3: Rollout der Agents

Die Agents werden schrittweise auf Windows-Clients, Linux-Servern, Cloud-Instanzen und weiteren relevanten Systemen ausgerollt. Je nach Größe dauert diese Phase einige Tage bis mehrere Wochen.

Phase 4: Use-Case-Entwicklung

Die generischen Wazuh-Regeln werden an die spezifische Umgebung und die NIS2-Anforderungen angepasst. Typische Use Cases: Erkennung von Anmeldemissbrauch, Ransomware-Aktivität, unautorisierten Konfigurationsänderungen und Datenabflüssen.

Phase 5: Betrieb und kontinuierliche Verbesserung

Nach dem Go-live beginnt der eigentliche Betrieb: Alarme auswerten, False Positives reduzieren, Regeln aktualisieren, Reports generieren. Viele mittelständische Unternehmen wählen hierfür einen Managed-Service-Ansatz, um interne Ressourcen zu schonen.

8. Häufig gestellte Fragen (FAQ) zu NIS2 und Wazuh

9. Fazit: NIS2 als Chance nutzen

NIS2 mag auf den ersten Blick wie eine weitere regulatorische Belastung wirken. Richtig angegangen eröffnet die Richtlinie aber auch eine strategische Chance: ein deutlich höheres Sicherheitsniveau, belastbare Prozesse, Wettbewerbsvorteile bei Ausschreibungen und nicht zuletzt Schutz vor realen Cyberangriffen.

Mit Wazuh steht eine wirtschaftliche, flexible und nachweislich leistungsfähige Plattform zur Verfügung, die den Großteil der technischen NIS2-Anforderungen abdeckt. In Kombination mit einem erfahrenen Implementierungspartner wird aus NIS2 kein Hindernis, sondern ein Baustein einer zukunftsfähigen IT-Sicherheitsstrategie.

Sie möchten wissen, wie betroffen Ihr Unternehmen von NIS2 ist und welche Rolle Wazuh in Ihrem individuellen Fall spielen kann? Wir beraten Sie gerne. Kontaktieren Sie uns oder starten Sie mit unserem IT Security Check.

Weitere Artikel aus unserer Wazuh-Serie:

• Was ist Wazuh? Die Open-Source-Plattform für SIEM und XDR im Überblick
• Wazuh 5.0: Was sich ändert und wie Sie jetzt migrationsbereit werden