fairlane.systems

WAZUH · TECH

Wazuh: SIEM, EDR und Compliance-Plattform für regulierte Mittelstand

Wazuh ist die GPL-2-SIEM-Plattform mit File-Integrity, Vulnerability-Detection und PCI-DSS-/HIPAA-Reports. Mai 2026 die Wahl für 50+ Mitarbeitende-Kanzleien.

Recherche & Faktencheck: · Stand: 2026-05

Was ist Wazuh?

Wazuh ist eine umfangreiche, GPL-2-lizensierte SIEM- und Endpoint-Detection-and-Response-Plattform (EDR), die seit 2015 aus dem OSSEC-Fork entwickelt wird. Sie wird vom US-Unternehmen Wazuh Inc. mit Sitz in San Jose betrieben und ist Mai 2026 die führende Open-Source-Alternative zu kommerziellen SIEM-Plattformen wie Splunk Enterprise Security, IBM QRadar und Microsoft Sentinel.

Die Plattform deckt drei Kern-Bereiche ab: (1) Security Information and Event Management (SIEM) mit zentraler Log-Aggregation, Korrelation und Alert-Engine; (2) Endpoint Detection and Response (EDR) mit Agent-basierter Echtzeit-Überwachung von Datei-Integrität, Konfigurationsänderungen, ungewöhnlichen Prozessen, Rootkits; (3) Compliance-Automation mit vorgefertigten Reports für PCI-DSS, HIPAA, GDPR/revFADP, NIST 800-53, TSC SOC 2, ISO 27001.

Die Architektur besteht aus vier Komponenten. Der Wazuh-Agent läuft auf jedem überwachten Endpunkt (Linux, Windows, macOS, Solaris, AIX, HP-UX), sammelt Logs und Events, führt Vulnerability-Scans aus, prüft Datei-Integrität via Syscall-Hooks. Der Wazuh-Manager empfängt Events von allen Agents, führt Korrelation aus und entscheidet Alerts. Wazuh-Indexer (basierend auf OpenSearch) speichert die Events für Search und Forensik. Wazuh-Dashboard (basierend auf OpenSearch Dashboards) liefert die UI mit Dashboards, Reports, Compliance-Status-Views.

Im Mai 2026 ist Wazuh in Version 4.x stabil mit aktiver Entwicklung. Die Setup-Zeit für ein produktives Setup liegt bei 2-5 Arbeitstagen je nach Anzahl Agents und Compliance-Anforderungen. Hardware-Bedarf: Manager und Indexer brauchen bei 50 Agents etwa 8 GB RAM, 4 vCPU, 200 GB Speicher für Log-Retention. Bei 500 Agents skaliert das auf Cluster-Setup mit 3+ Indexer-Nodes und dediziertem Manager.

Die GPL-2-Lizenz erlaubt vollen kommerziellen Eigenbetrieb. Wazuh Inc. bietet zusätzlich Wazuh Cloud (managed Hosting) ab USD 1500 pro Monat für 25 Agents -- für CH-KMU mit Compliance-Pflicht oft die pragmatische Wahl gegenüber Eigenbetrieb.

Warum es für regulierte CH-Treuhand und Kanzleien zählt

Wazuh wird Mai 2026 für drei konkrete CH-KMU-Szenarien zur richtigen Wahl.

Compliance-Pflicht mit Audit-Trail-Anforderung: Eine 50+ Mitarbeitende Kanzlei mit Mandanten aus dem Pharma-, Banken- oder Versicherungs-Sektor unterliegt indirekt deren Compliance-Pflichten (PCI-DSS bei Kreditkartendaten, HIPAA bei US-Pharma-Mandanten, ISO 27001 wenn Mandanten das verlangen). Wazuh liefert vorgefertigte Compliance-Dashboards mit Mapping der Sicherheits-Events auf die jeweiligen Kontroll-Anforderungen. Auditoren akzeptieren Wazuh-Reports als Nachweis. Ein selbstgebauter Audit-Trail mit Loki/Grafana erfordert deutlich mehr Mapping-Aufwand.

File-Integrity-Monitoring für Mandantenakten: Anwaltskanzleien mit Berufsgeheimnis nach StGB Art. 321 müssen nachweisen können, wer wann auf welche Mandantenakte zugegriffen oder sie modifiziert hat. Wazuh-Agent überwacht Dateisystem-Pfade via Syscall-Hooks und alarmiert bei jeder Änderung. Bei einem Verdachtsfall (verdächtige Änderung um 3 Uhr morgens, Zugriff durch Account ohne Mandant-Berechtigung) wird sofort ein Alert generiert. Das ist die Substanz hinter der Sorgfaltspflicht des Art. 717 OR.

Vulnerability-Detection auf Endpoint-Ebene: Wazuh scannt täglich alle Agents auf bekannte CVEs in installierten Paketen (apt, yum, npm, pip) und vergleicht mit National Vulnerability Database. Bei einem Treuhand-Büro mit 30 Workstations, 5 Servern und diversen Software-Stacks ist das die einzige praktische Möglichkeit, einen Patch-Status pro Maschine kontinuierlich zu pflegen. EU-DORA verlangt explizit ein dokumentiertes Vulnerability-Management, ISO 27001 ebenfalls.

Kritisch ist die Grenze nach unten: ein 10-Personen-Treuhand-Büro ohne Banken- oder Pharma-Mandate braucht Wazuh nicht. CrowdSec plus Lynis plus Grafana/Loki liefern 80 Prozent der Funktionalität bei 10 Prozent des Aufwands. Wazuh wird sinnvoll bei 50+ Mitarbeitenden, externer Compliance-Pflicht oder mit Mandanten aus regulierten Branchen. Der Schwellenwert ist Mai 2026 stabil -- die Cloud-Variante hat zwar die Eintrittsbarriere gesenkt, aber operativ-konzeptionell bleibt Wazuh ein anspruchsvolles Werkzeug.

Architektur und Docker-Compose-Setup

Wazuh läuft Mai 2026 produktiv als Docker-Compose-Stack mit vier Containern. Die offizielle wazuh-docker-Distribution liefert das fertige Setup.

```yaml version: "3.8" services: wazuh-manager: image: wazuh/wazuh-manager:4.9.0 hostname: wazuh-manager restart: always ulimits: memlock: { soft: -1, hard: -1 } nofile: { soft: 655360, hard: 655360 } ports: - "1514:1514" - "1515:1515" - "514:514/udp" - "55000:55000" environment: - INDEXER_URL=https://wazuh-indexer:9200 - INDEXER_USERNAME=admin - INDEXER_PASSWORD=SecretAdminPass2026 - FILEBEAT_SSL_VERIFICATION_MODE=full volumes: - wazuh_api_configuration:/var/ossec/api/configuration - wazuh_etc:/var/ossec/etc - wazuh_logs:/var/ossec/logs - wazuh_queue:/var/ossec/queue - wazuh_var_multigroups:/var/ossec/var/multigroups - wazuh_integrations:/var/ossec/integrations - wazuh_active_response:/var/ossec/active-response/bin - wazuh_agentless:/var/ossec/agentless - wazuh_wodles:/var/ossec/wodles - filebeat_etc:/etc/filebeat - filebeat_var:/var/lib/filebeat wazuh-indexer: image: wazuh/wazuh-indexer:4.9.0 hostname: wazuh-indexer restart: always ports: - "9200:9200" environment: - OPENSEARCH_JAVA_OPTS=-Xms2g -Xmx2g ulimits: memlock: { soft: -1, hard: -1 } volumes: - wazuh-indexer-data:/var/lib/wazuh-indexer wazuh-dashboard: image: wazuh/wazuh-dashboard:4.9.0 hostname: wazuh-dashboard restart: always ports: - "443:5601" environment: - INDEXER_USERNAME=admin - INDEXER_PASSWORD=SecretAdminPass2026 - DASHBOARD_USERNAME=kibanaserver - DASHBOARD_PASSWORD=SecretKibanaPass2026 - WAZUH_API_URL=https://wazuh-manager depends_on: - wazuh-indexer ```

Agent-Installation auf einem zu überwachenden Server (Ubuntu-Beispiel): ```bash WAZUH_MANAGER="wazuh-manager.treuhand-müller.ch" apt install wazuh-agent systemctl enable --now wazuh-agent ```

Die wichtigsten Module pro Agent: (1) Log Analysis liest /var/log/auth.log, /var/log/nginx, /var/log/postfix; (2) File Integrity Monitoring überwacht /etc, /usr/bin, /var/www mit Syscall-Hooks; (3) Rootcheck prüfen auf bekannte Rootkit-Muster; (4) Vulnerability Detector vergleicht installierte Pakete mit NVD; (5) System Configuration Assessment prüft CIS-Benchmark-Konformität (300+ Checks).

Compliance-Dashboards sind out-of-the-box dabei. Im Dashboard unter Modules > PCI DSS sieht man alle Events, die auf eine PCI-Requirement mappen (z.B. Requirement 10.2.1 -- Audit-Trail bei Datenzugriff). Ähnlich für HIPAA, GDPR, NIST 800-53.

Integrationen: VirusTotal-API bei Datei-Hashes, AlienVault OTX für Threat-Intel, Slack/Telegram/Email für Alerts, ServiceNow/Jira für Incident-Ticketing.

Wazuh-Setup in 5 Schritten

  1. 01Hardware-Planung: Manager und Indexer dedizierter VM mit 8 GB RAM, 4 vCPU, 500 GB SSD pro 50 Agents; bei 100+ Agents Cluster mit 3 Indexer-Nodes.
  2. 02Stack-Deployment via wazuh-docker oder Pakete; TLS-Zertifikate für Manager-Agent-Kommunikation generieren; Dashboard-Login auf Authentik/Authelia-SSO umstellen.
  3. 03Agents installieren auf allen zu überwachenden Servern und Workstations; Manager-Adresse setzen; Module aktivieren: log_analysis, syscheck (FIM), rootcheck, vulnerability_detector, sca.
  4. 04Compliance-Dashboards konfigurieren: PCI-DSS/HIPAA/GDPR/ISO-27001 je nach Pflicht; Custom-Regeln für Schweizer Recht (revFADP, StGB Art. 321, Art. 957a OR) ergänzen.
  5. 05Alert-Tuning und Integration: Alerts auf Telegram/Slack senden, ServiceNow/Jira-Ticketing anbinden, 1-2 Wochen Observe-Mode mit Severity-Schwellen einstellen, dann scharf schalten.

Wann Wazuh die richtige Wahl ist

Wazuh wird Mai 2026 in vier konkreten Szenarien empfohlen.

Mittelständische Kanzlei oder Treuhand mit 50+ Mitarbeitenden: Hier reichen die einfachen Tools (CrowdSec, Lynis) nicht mehr aus -- der Audit-Aufwand für Compliance-Reports wird zur Vollzeitstelle, wenn er manuell gepflegt wird. Wazuh automatisiert die PCI-DSS-/ISO-27001-Dokumentation. ROI realistisch ab Jahr 2 mit Cyber-Versicherungs-Pramien-Reduktion und vermiedener Audit-Kosten.

Mandanten in regulierten Branchen: Anwaltskanzlei mit Banken-Mandanten unterliegt FINMA-Auditeur-Anforderungen indirekt -- die Mandanten verlangen Nachweise. Treuhand mit Pharma-Mandanten muss HIPAA-Konformität zumindest in den Bereichen vorweisen, in denen Mandantendaten berührt werden. Wazuh liefert die Compliance-Dashboards als integralen Bestandteil.

ISO-27001-Zertifizierung als Ziel: ISO 27001 verlangt explizit Monitoring (Annex A.12.4), Vulnerability Management (Annex A.12.6), Incident Management (Annex A.16). Wazuh deckt alle drei in einem Tool ab. Ein Auditor sieht das Wazuh-Dashboard und akzeptiert die Nachweise -- ein selbstgebauter Stack aus Grafana plus Custom-Skripten erfordert deutlich mehr Erläuterung.

File-Integrity-Monitoring für Mandantenakten: Sobald Sie nachweisen müssen, dass eine bestimmte Datei seit X nicht modifiziert wurde, oder dass nur autorisierte Personen Zugriff hatten, brauchen Sie File-Integrity-Monitoring mit Syscall-Hooks. Wazuh liefert das mit einem Setup-Aufwand von wenigen Stunden pro Pfad-Konfiguration.

Für Mai-2026-CH-KMU-Setups unter 50 Mitarbeitenden ohne externe Compliance-Pflicht: nicht empfohlen. Setup-Aufwand 2-5 Tage plus monatlich 8-15 Stunden Wartung übersteigt den Nutzen. CrowdSec plus Lynis plus Grafana/Loki ist die richtige Wahl.

Wann Wazuh überproportional ist

Drei Fälle, in denen Wazuh die falsche Wahl ist.

Kleines Treuhand-Büro unter 20 Mitarbeitenden: Setup-Zeit 2-5 Tage, laufende Wartung 8-15 Stunden pro Monat -- das ist 1-2 Tage zusätzliche Arbeit pro Monat. Bei einem 10-Personen-Büro entspricht das 10 Prozent eines IT-Verantwortlichen-Pensums, was bei dieser Grösse meist nicht vorhanden ist. CrowdSec plus Lynis ist die passende Schicht: 4-6 Stunden Setup, 2-4 Stunden Wartung pro Monat.

Solo-Selbständig oder 1-3-Personen-Setup: hier ist Wazuh komplett überdimensioniert. Das Toolset (Manager plus Indexer plus Dashboard) braucht 8 GB RAM und 4 vCPU nur für sich selbst, bevor ein einziger Agent verbunden ist. Auf einem Solo-Mandantenportal-Server ist das nicht vertretbar.

Compliance-strenge Offline-Pflicht ohne Cloud-Index-Anbindung: Wazuh-Indexer (OpenSearch) braucht in produktiven Setups idealerweise einen 3-Node-Cluster. Wer das in einem strikt isolierten Datenraum aufsetzen muss, hat einen hohen Operations-Aufwand. Alternative: Wazuh Manager mit lokalem Single-Node-Indexer reicht funktional, ist aber kein Hochverfügbarkeits-Setup.

Generelle Fallen bei Wazuh-Deployments: (a) Indexer-Storage nicht ausreichend geplant -- bei 50 Agents kommen schnell 5-10 GB Logs pro Tag, Index-Retention von 90 Tagen braucht 500-1000 GB. (b) Alert-Tuning vernachlässigen -- Wazuh ist out-of-the-box sehr gesprächig, Hunderte Alerts pro Tag, Burnout der Security-Verantwortlichen ist realistisch. (c) Agent-Updates nicht automatisiert -- bei 100 Agents wird die manuelle Pflege zur Vollzeitstelle. (d) Compliance-Dashboards ohne Customizing für Schweizer Recht -- die out-of-the-box Reports sind auf US/EU-Recht ausgelegt, revFADP-Mapping muss man selber bauen.

Vor- und Nachteile

STÄRKEN

  • GPL-2-Lizenz, voll kommerziell nutzbar, keine Vendor-Lock-In
  • Out-of-the-box Compliance-Dashboards für PCI-DSS, HIPAA, ISO 27001, GDPR
  • File-Integrity-Monitoring via Syscall-Hooks für Mandantenakten
  • Vulnerability-Detection auf Endpoint-Ebene mit NVD-Abgleich

SCHWÄCHEN

  • Setup-Aufwand 2-5 Tage, laufende Wartung 8-15 Stunden pro Monat
  • Hardware-Bedarf 8 GB RAM und 4 vCPU pro 50 Agents -- überproportional für Solo/Mini-KMU
  • Out-of-the-box sehr gesprächig, Alert-Tuning 1-2 Wochen Pflicht
  • Schweizer-Recht-Mapping (revFADP) muss als Custom-Rules ergänzt werden

Häufige Fragen

Was kostet Wazuh für ein 50-Mitarbeitende-Büro?

Self-Hosted: Hardware/VM ca. CHF 200 pro Monat (Hetzner Dedicated AX-Linie), Setup-Aufwand bei externem Partner CHF 8000-15000 einmalig, Wartung CHF 800-1500 pro Monat. Cloud-Variante (Wazuh Cloud): ab USD 1500 pro Monat für 25 Agents, USD 2800 für 50 Agents. Bei Compliance-Pflicht meist Cloud-Variante günstiger gerechnet, weil ISO-27001-Audit-Vorbereitung intern stark reduziert wird.

Wazuh vs. CrowdSec -- wann welches?

CrowdSec ist Layer-7-Intrusion-Detection mit Crowd-Blocklist. Wazuh ist SIEM/EDR mit Compliance-Reports und File-Integrity-Monitoring. Sie lösen unterschiedliche Probleme und werden parallel betrieben: CrowdSec blockt aktive Angriffe an der Anwendungs-Schicht; Wazuh dokumentiert Sicherheits-Events für Compliance und Forensik. Unter 20 Mitarbeitenden: nur CrowdSec. Über 50: beides parallel.

Sind Wazuh-Compliance-Reports auditor-tauglich?

Ja für PCI-DSS, HIPAA, NIST 800-53, ISO 27001, GDPR -- diese sind out-of-the-box gemappt. Für Schweizer Recht (revFADP, Art. 957a OR, StGB Art. 321) muss man Custom-Mapping ergänzen: Custom-Rules schreiben, die Events auf Schweizer Kontrollen mappen. Aufwand 4-8 Stunden pro Compliance-Framework. Auditoren in der CH akzeptieren Wazuh-Reports, wenn das Mapping plausibel dokumentiert ist.

Wie unterscheidet sich Wazuh von kommerziellem SIEM?

Funktional 70-80 Prozent von Splunk Enterprise Security oder IBM QRadar, ohne deren Lizenz-Kosten (USD 50000-200000 pro Jahr). Schwächer in: User-Behavior-Analytics (UEBA), SOAR-Automation, ML-basierte Threat-Hunting. Stärker in: Open-Source-Pflegbarkeit, kein Vendor-Lock-In, GPL-2-Lizenz, aktive Community. Für CH-KMU-Mittelstand klar die richtige Wahl; für 500+-Mitarbeitende-Konzerne kommt man eher zu Splunk oder Sentinel.

Verwandte Themen

SECURITY-VERGLEICH · TOOL-VERGLEICHSecurity-Hardening-Tools im Vergleich: CrowdSec, Fail2ban, Wazuh, UFW, Vault, Authentik, WireGuard, Lynis, rkhunter, ClamAVFIREWALL · SICHERHEIT & BETRIEBFirewall und CrowdSec: mehrschichtiger Schutz für KMU-Server 2026CROWDSEC · TECHCrowdSec: Open-Source-WAF mit kollaborativer Blocklist für KMU-ServerFAIL2BAN · TECHFail2ban: klassisches Log-basiertes IP-Banning für Linux-ServerAUDIT-TRAIL · AI-KONZEPTAI-Audit-Trail-Design: Was Sie loggen müssen, damit eine KI-Antwort revisionsfähig bleibtrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutet

Quellen

  1. Wazuh Documentation -- Architecture and Setup · 2026-05
  2. Wazuh GitHub -- v4.9 release notes · 2026-04
  3. CIS Benchmarks -- Wazuh SCA module reference · 2026-03
  4. NIST National Vulnerability Database · 2026-05
  5. ISO/IEC 27001:2022 -- Annex A controls · 2026-02

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen