1. Was ist Wazuh? – Ein Überblick

Wazuh ist eine quelloffene Sicherheitsplattform, die Unternehmen jeder Größe dabei unterstützt, Cyberangriffe zu erkennen, IT-Systeme zu überwachen und regulatorische Anforderungen nachzuweisen. Die Plattform vereint zwei zentrale Disziplinen der modernen IT-Sicherheit: SIEM (Security Information and Event Management) und XDR (Extended Detection and Response). Das Besondere an Wazuh: Die gesamte Kerntechnologie steht unter einer Open-Source-Lizenz zur Verfügung, ist frei nutzbar und kann On-Premises, in der Cloud oder in hybriden Infrastrukturen betrieben werden.

Entwickelt wurde Wazuh ursprünglich als Fork des bewährten Host-IDS OSSEC. Heute ist Wazuh eine eigenständige, weltweit eingesetzte Lösung mit aktiver Community, professionellem Support durch die Wazuh Inc. und einem stetig wachsenden Funktionsumfang. Gerade für mittelständische Unternehmen in Deutschland, die vor dem Hintergrund von NIS2, DORA und ISO 27001 eine skalierbare und wirtschaftliche Sicherheitslösung suchen, ist Wazuh eine ernstzunehmende Alternative zu kostenintensiven kommerziellen SIEM-Produkten.

2. SIEM und XDR einfach erklärt – die Konzepte hinter Wazuh

Bevor wir tiefer in die Architektur und den Funktionsumfang eintauchen, lohnt ein kurzer Blick auf die beiden Kerndisziplinen, die Wazuh abdeckt.

SIEM – Security Information and Event Management

Ein SIEM sammelt Logs und Sicherheitsereignisse aus allen relevanten Systemen eines Unternehmens – Server, Arbeitsplätze, Netzwerkkomponenten, Anwendungen, Cloud-Dienste – und korreliert diese zentral. Ziel ist es, Angriffe oder Anomalien zu erkennen, die auf einzelnen Systemen isoliert nicht auffallen würden. Klassische SIEM-Produkte sind Splunk, IBM QRadar oder Microsoft Sentinel.

XDR – Extended Detection and Response

XDR erweitert das klassische Endpoint Detection & Response (EDR) um zusätzliche Telemetrie-Quellen wie Netzwerk, Cloud-Workloads oder E-Mail-Systeme. Entscheidend ist: XDR konzentriert sich nicht nur auf die Erkennung, sondern auch auf die aktive Reaktion – etwa das automatische Isolieren eines kompromittierten Endpoints oder das Blockieren einer verdächtigen IP-Adresse.

Wazuh vereint beide Welten in einer Plattform: Die SIEM-Funktionen sammeln und korrelieren Events, die XDR-Funktionen ermöglichen die automatisierte Reaktion auf erkannte Bedrohungen. Das macht Wazuh zu einer sogenannten Unified XDR- und SIEM-Plattform.

3. Die Architektur von Wazuh

Wazuh besteht aus vier zentralen Komponenten, die zusammenspielen:

Der Wazuh Agent

Der Agent wird auf den zu überwachenden Systemen installiert – egal ob Windows-Client, Linux-Server, macOS-Arbeitsplatz, Container oder Cloud-Instanz. Er erfasst Logdaten, überwacht Dateiintegrität, prüft die Sicherheitskonfiguration und meldet Auffälligkeiten an den zentralen Server. Wazuh-Agents sind ressourcenschonend und unterstützen eine breite Palette an Betriebssystemen.

Der Wazuh Server

Der Server empfängt und analysiert die Daten der Agents. Er wendet Regeln und Decoder an, führt Korrelationen durch und löst bei Bedarf aktive Reaktionen aus. Bei größeren Installationen lässt sich der Server als Cluster betreiben, um hohe Verfügbarkeit und Skalierbarkeit zu gewährleisten.

Der Wazuh Indexer

Der Indexer basiert auf OpenSearch und speichert sämtliche Events und Alarme. Er ermöglicht das schnelle Durchsuchen großer Datenmengen – eine wichtige Voraussetzung für forensische Analysen nach Sicherheitsvorfällen und für Compliance-Nachweise.

Das Wazuh Dashboard

Das webbasierte Dashboard liefert die visuelle Oberfläche: Übersichten, Reports, Suchfunktionen und das Management der gesamten Plattform. Administratoren können hier Alarme analysieren, Regeln anpassen und Compliance-Reports generieren.

Dieses modulare Architekturmodell erlaubt sowohl kompakte Single-Node-Installationen für kleinere Umgebungen als auch verteilte Deployments mit mehreren Servern und Indexer-Knoten für große Unternehmen.

4. Welche Funktionen bietet Wazuh?

Wazuh adressiert praktisch alle zentralen Themenfelder, die eine moderne Sicherheitslösung abdecken sollte:

Log-Analyse und Korrelation

Wazuh sammelt Logs aus unterschiedlichsten Quellen – Windows Event Logs, Syslog, Anwendungs-Logs, Firewall-Logs, Cloud-Audit-Logs – und analysiert sie in Echtzeit. Integrierte Regeln und ein Mapping auf das MITRE-ATT&CK-Framework helfen, Angriffe systematisch zu erkennen und einzuordnen.

File Integrity Monitoring (FIM)

FIM überwacht kritische Dateien und Verzeichnisse auf Veränderungen. Wird eine Systemdatei manipuliert oder eine sensitive Konfigurationsdatei verändert, schlägt Wazuh sofort Alarm. Das ist nicht nur für die Erkennung von Ransomware und Rootkits wichtig, sondern auch für Compliance-Vorgaben wie PCI DSS und ISO 27001.

Security Configuration Assessment (SCA)

SCA prüft Systeme regelmäßig gegen Härtungs-Baselines und liefert Policies, die sich an etablierten Standards wie den CIS Benchmarks orientieren. Damit erkennt Wazuh Fehlkonfigurationen, fehlende Sicherheitspatches oder zu laxe Einstellungen, bevor diese ausgenutzt werden können.

Vulnerability Detection

Die Schwachstellenerkennung scannt alle überwachten Systeme auf bekannte CVEs. Wazuh nutzt hierfür die eigene Threat-Intelligence-Plattform Wazuh CTI, die Daten aus vertrauenswürdigen Quellen wie Herstellerfeeds und öffentlichen Datenbanken aggregiert und normalisiert.

Active Response

Wazuh kann auf Bedrohungen nicht nur hinweisen, sondern aktiv reagieren: IPs blockieren, Prozesse beenden, kompromittierte Konten sperren, Anti-Malware-Scans anstoßen. Diese Reaktionen lassen sich individuell konfigurieren.

Compliance-Reporting

Für Standards wie PCI DSS, HIPAA, DSGVO, NIS2, ISO 27001 und TSC liefert Wazuh vorgefertigte Dashboards und Reports. Das erleichtert nicht nur den operativen Betrieb, sondern auch die Vorbereitung auf Audits und Zertifizierungen erheblich.

Cloud Workload Protection

Wazuh lässt sich nahtlos in AWS, Microsoft Azure, Google Cloud und Microsoft 365 integrieren und überwacht dort Aktivitäten, Konfigurationen und Auffälligkeiten. Damit wird auch die Cloud-Ebene Teil der zentralen Sicherheitssicht.

5. Für wen eignet sich Wazuh?

Wazuh richtet sich an Unternehmen, die ein umfassendes, wirtschaftliches und flexibles Sicherheits-Monitoring etablieren möchten. Besonders interessant ist die Plattform für:

  • Mittelständische Unternehmen, die erstmals ein SIEM einführen und dabei Kosten und Komplexität im Griff behalten möchten.
  • Betreiber kritischer Infrastrukturen, die unter NIS2 fallen und ein nachweislich wirksames Monitoring benötigen.
  • Organisationen mit heterogenen IT-Landschaften (Windows, Linux, macOS, Cloud, Container), die eine plattformübergreifende Lösung suchen.
  • Unternehmen mit ISO-27001- oder BSI-Grundschutz-Ambitionen, die ihre Nachweisführung automatisieren wollen.
  • IT-Dienstleister und Managed-Service-Provider, die ihren Kunden eine zuverlässige Monitoring-Plattform bereitstellen möchten.

6. Warum Wazuh? – Die wichtigsten Gründe

Keine Lizenzkosten, voller Funktionsumfang

Anders als bei vielen kommerziellen Anbietern gibt es bei Wazuh keine Einschränkung nach Datenvolumen, Agent-Anzahl oder Nutzerzahl. Die Plattform ist quelloffen, vollständig nutzbar und erlaubt damit auch das Monitoring großer Umgebungen ohne exponentiell steigende Lizenzkosten.

Transparenz und Herstellerunabhängigkeit

Offener Quellcode bedeutet Transparenz. Unternehmen können genau prüfen, welche Daten gesammelt werden, wohin sie fließen und wie sie verarbeitet werden. Gerade für deutsche Unternehmen mit datenschutzrechtlich sensiblen Daten ist das ein gewichtiges Argument.

Breite Funktionsabdeckung

SIEM, XDR, FIM, Vulnerability Management, Compliance, Cloud-Monitoring – Wazuh bringt Funktionen mit, für die in anderen Welten oft mehrere Einzelprodukte lizenziert und integriert werden müssen.

Skalierbarkeit

Vom Single-Node-Betrieb für 50 Agents bis zum Cluster mit mehreren tausend Endpunkten – Wazuh skaliert mit den Anforderungen.

Compliance-Unterstützung

Mit integrierten Mappings zu NIS2, PCI DSS, HIPAA, ISO 27001 und anderen Standards liefert Wazuh die Nachweise, die Audits erfordern.

Aktive Community und professioneller Support

Neben der lebhaften Open-Source-Community gibt es offizielle Supportangebote der Wazuh Inc. sowie spezialisierte Partnerdienstleister – so lassen sich auch kritische Produktionsumgebungen abgesichert betreiben.

7. Wazuh im Vergleich zu kommerziellen SIEM-Produkten

Wie schlägt sich Wazuh im Vergleich zu etablierten kommerziellen Lösungen?

Splunk ist extrem leistungsfähig und hat ein riesiges Ökosystem, wird allerdings rasch teuer, weil die Lizenzierung am verarbeiteten Datenvolumen hängt. Für mittelständische Unternehmen ist das wirtschaftlich oft schwer darstellbar.

IBM QRadar bietet ebenfalls einen starken Funktionsumfang, ist in Einführung und Betrieb jedoch komplex und personalintensiv.

Microsoft Sentinel ist für Unternehmen mit starker Microsoft-Cloud-Bindung attraktiv, erzeugt aber Abhängigkeiten zu Azure und rechnet verbrauchsabhängig ab – was bei wachsenden Datenmengen ebenfalls zu hohen Kosten führen kann.

Wazuh ist in puncto Funktionsumfang absolut konkurrenzfähig, kostet in der Kernplattform aber keine Lizenzgebühren. Der Hauptaufwand liegt in Einrichtung, Betrieb und kontinuierlichem Tuning – und genau hier macht ein erfahrener Implementierungs- und Betriebspartner den Unterschied.

8. Wie gelingt die Einführung? – Wazuh mit einem erfahrenen Partner

Trotz des Kostenvorteils ist Wazuh kein „Install-and-Forget“-Produkt. Eine produktive Einführung umfasst typischerweise folgende Schritte:

  1. Anforderungsanalyse: Welche Systeme sollen überwacht werden? Welche Compliance-Ziele sind relevant? Welche Ereignisvolumina sind zu erwarten?
  2. Architektur-Design: Single-Node oder Multi-Node-Cluster? On-Premises, Cloud oder hybrid? Welche Speicherdauer ist nötig?
  3. Deployment: Installation von Manager, Indexer, Dashboard und Agents – inklusive Zertifikaten, Härtung und Netzwerk-Design.
  4. Regelwerk und Use Cases: Definition der relevanten Detection-Regeln, Active-Response-Mechanismen und Alarmierungswege.
  5. Integration: Anbindung an Firewalls, Mail-Gateways, Microsoft 365, Active Directory, Cloud-Accounts und weitere Systeme.
  6. Betrieb und Tuning: Laufende Anpassung an neue Bedrohungen, Reduzierung von False Positives, Auswertung der Reports.

Die SCI Systems GmbH unterstützt Unternehmen aus Ostwestfalen und darüber hinaus bei der Planung, Einführung und dem laufenden Betrieb von Wazuh – ob als Projektleistung, als Managed Service oder als Schulungspartner für interne IT-Teams.

9. Häufig gestellte Fragen (FAQ)

Was kostet Wazuh?

Die Wazuh-Kernplattform ist vollständig quelloffen und kostenfrei. Kosten entstehen für Hardware bzw. Cloud-Ressourcen, für die Einführung durch einen Dienstleister und für den laufenden Betrieb. Optional bietet Wazuh Inc. kostenpflichtigen Enterprise-Support, der aber für viele Umgebungen nicht zwingend erforderlich ist, wenn ein kompetenter Partner den Betrieb übernimmt.

Ist Wazuh auch für kleine Unternehmen geeignet?

Ja. Wazuh lässt sich als schlanke Single-Node-Installation betreiben und eignet sich auch für Unternehmen mit 20 bis 100 Mitarbeitenden. Entscheidend ist weniger die Größe als die Bereitschaft, sich mit dem Thema IT-Sicherheit strategisch auseinanderzusetzen.

Welche Betriebssysteme unterstützt der Wazuh-Agent?

Wazuh-Agents sind für Windows (inkl. Server), alle gängigen Linux-Distributionen (Ubuntu, Debian, RHEL, SUSE, Oracle Linux u. a.), macOS, Solaris, AIX und HP-UX verfügbar. Zusätzlich gibt es agentlose Integrationen für Netzwerkgeräte, Firewalls und Cloud-Dienste.

Wie unterscheidet sich Wazuh von einem klassischen Antivirus-Programm?

Ein Antivirus prüft primär Dateien auf bekannte Schadsoftware. Wazuh ist deutlich umfassender: Es analysiert Logs, überwacht Konfigurationen, erkennt Schwachstellen, korreliert Events systemübergreifend und ermöglicht forensische Analysen. Wazuh ersetzt nicht den Virenschutz, sondern ergänzt ihn um eine übergreifende Sicherheitsschicht.

Ist Wazuh DSGVO-konform einsetzbar?

Ja. Wazuh kann vollständig On-Premises betrieben werden, sodass alle Sicherheits- und Logdaten im Unternehmen oder bei einem deutschen Dienstleister verbleiben. Für Umgebungen mit besonders strengen Datenschutzanforderungen ist Wazuh eine sehr gute Wahl.

 

10. Fazit und Ausblick

Wazuh hat sich in den vergangenen Jahren von einem Nischenprodukt zu einer ernstzunehmenden XDR- und SIEM-Plattform entwickelt, die gerade für mittelständische Unternehmen viele Vorteile bietet: keine Lizenzkosten, vollständige Transparenz, breite Funktionsabdeckung und hohe Flexibilität. Wer heute eine Sicherheitsplattform einführt oder ein bestehendes SIEM ablösen möchte, kommt an Wazuh kaum noch vorbei.

In den nächsten beiden Artikeln dieser Serie vertiefen wir zwei besonders aktuelle Aspekte:

Sie möchten wissen, ob Wazuh zu Ihrer IT-Landschaft passt und welche Vorteile eine Einführung in Ihrem Unternehmen bringen würde? Vereinbaren Sie einen IT Security Check oder kontaktieren Sie uns direkt – wir beraten Sie gerne zu Ihren Möglichkeiten.

Persönliche Beratung

Willkommen in Ihrer digitalen Transformation.

Weitere Beiträge

Wazuh 5.0: Was sich ändert und wie Sie jetzt migrationsbereit werden

Wazuh 5.0: Was sich ändert und wie Sie jetzt migrationsbereit werden

2026-04-20
NIS2 und Wazuh: Wie mittelständische Unternehmen mit Open-Source-SIEM die neuen Pflichten erfüllen

NIS2 und Wazuh: Wie mittelständische Unternehmen mit Open-Source-SIEM die neuen Pflichten erfüllen

2026-04-20
Managed Patchmanagement: IT-Sicherheit und Stabilität als Service

Managed Patchmanagement: IT-Sicherheit und Stabilität als Service

2025-07-15
Desaster Recovery as a Service: Wie unser Rechenzentrum Ihre IT sichert

Desaster Recovery as a Service: Wie unser Rechenzentrum Ihre IT sichert

2025-07-15
Microsoft Fabric – Die umfassende Plattform für Datenmanagement und Analytics im Detail erklärt

Microsoft Fabric – Die umfassende Plattform für Datenmanagement und Analytics im Detail erklärt

2025-03-24
VMware Abschied von Perpetual Licenses: Das bringt das neue Lizenzmodell 2024

VMware Abschied von Perpetual Licenses: Das bringt das neue Lizenzmodell 2024

2025-03-24