Das Problem

Dein Microsoft 365 warnt dich bereits. Es fehlt jemand, der die Warnungen liest und handelt.

Teams, SharePoint, Exchange und OneDrive tragen dein Tagesgeschäft. Genau dort setzen Phishing und kompromittierte Identitäten an. Microsoft Defender erkennt vieles davon und schlägt Alarm. Nur bewertet in vielen KMU niemand diese Alarme, und Vorfälle bleiben in unserer Erfahrung oft wochenlang unbemerkt.


Bisher hattest du die Wahl zwischen zwei Extremen: einem 24/7-SOC mit Enterprise-Preisschild, gebaut für Banken und Spitäler, und gar nichts. Für ein Unternehmen mit 20 bis 150 Mitarbeitenden passt beides nicht. Das Security Operations Center von ODCUS füllt diese Lücke.

Bezahlt
Defender steckt bereits in deinen Microsoft-365-Lizenzen. Die Werkzeuge sind da.
Ungelesen
Ohne definierten Prozess bewertet niemand die Warnungen, die dort auflaufen.
Dein M365 erzeugt laufend Sicherheitswarnungen. Wer liest sie?
Ohne zuständiges SOC bleiben kritische Defender-Alerts liegen.

Leistungen

Was das Microsoft 365 Security Operations Center übernimmt

Wir verbinden uns mit deinem Defender XDR-Tenant und übernehmen Überwachung und Reaktion auf Sicherheitsvorfälle in Microsoft 365.

Kritische Warnungen bleiben nicht mehr liegen

Die automatisierte Erkennung in Defender XDR läuft rund um die Uhr. Unsere Analysten bewerten jede Warnung zu Bürozeiten nach definierten Playbooks und melden sich bei dir, bevor du nachfragen musst.

Bei kritischen Vorfällen reagieren wir innert 30 Minuten (SLA zu Bürozeiten)

Zu Bürozeiten übernehmen unsere Analysten innerhalb der vertraglichen Reaktionszeit und begrenzen die Ausbreitung. Nachts stoppen automatisierte Playbooks den Angriff, bis wir am Morgen übernehmen. Die Reaktionszeiten stehen im Vertrag.

Du bekommst zu jedem Incident konkrete Massnahmen

Welche Sofortmassnahmen wir direkt ausführen dürfen, legst du im Onboarding fest, etwa das Sperren eines kompromittierten Kontos. Alles andere kommt als konkrete, priorisierte Empfehlung zu dir oder deinem IT-Partner. Die Kontrolle über deinen Tenant bleibt bei dir.

Du siehst monatlich, was in deinem M365 passiert

Monatlicher Service Delivery Report plus quartalsweises Service-Meeting. Ein Bericht, den du der Geschäftsleitung zeigen und als Monitoring-Nachweis für deine Cyber-Versicherung verwenden kannst.

Technologie

Defender XDR und Sentinel: deine Daten bleiben im Microsoft-Stack

Das Security Operations Center basiert auf dem nativen Microsoft-Sicherheitsstack. Deine Sicherheitsdaten bleiben im Microsoft-Stack, ohne Drittanbieter-SIEM und ohne zusätzliche Datenabflüsse.


Microsoft Defender XDR

Zentrale Überwachungsplattform für Endpoints, Identitäten, E-Mail und Cloud Apps.

Microsoft Sentinel (SIEM/SOAR)

Log-Aggregation, Threat Intelligence und automatisierte Reaktionen auf Basis von Analytics Rules.

Microsoft Entra ID

Identitätssignale, Conditional Access und Risikoerkennung für Benutzerkonten.

Defender for Endpoint & Office 365

Schutz für Geräte und E-Mail. Anti-Phishing, Safe Links, EDR, ASR-Regeln.

Datenfluss im Security Operations Center

M365-Tenant (Teams, SharePoint, Exchange)
Defender XDR Connectors
Defender XDR Portal
SIEM
Cross-Tenant Sync
ODCUS Security Operations Center
SOC
Incident Response + Reporting
Dein Unternehmen, geschützt
LIVE

Für wen

SOC ohne 24/7-Nachtschicht: die Grösse, die dein Unternehmen braucht

Wir sagen dir offen, ob dieses Modell zu deinem Betrieb passt. Das spart dir Zeit und uns auch.

Das SOC passt zu dir, wenn ...

  • dein Unternehmen auf Microsoft 365 arbeitet (Business Standard oder Premium)
  • eine einzelne Person intern oder ein generalistischer IT-Partner deine IT betreut, ohne Security-Spezialisierung
  • dein Betrieb keine Nachtschichten kennt, verlängerte Tagesschichten eingeschlossen
  • Cyber-Versicherung, Kunden oder Verwaltungsrat einen Nachweis für Monitoring und Incident Response erwarten

Es passt nicht, wenn ...

  • dein Betrieb rund um die Uhr produziert und jede Minute Reaktionszeit zählt
  • regulatorische Vorgaben eine 24/7-Reaktion durch Menschen verlangen
  • deine Umgebung nicht auf Microsoft 365 basiert

In diesen Fällen brauchst du ein 24/7-SOC. Das sagen wir dir im Erstgespräch offen und nennen dir passende Alternativen.

Onboarding

Von der Anfrage zum laufenden SOC-Betrieb in 2–3 Monaten

Strukturiertes Onboarding stellt sicher, dass das Security Operations Center auf deine M365-Umgebung abgestimmt ist, bevor es in den Vollbetrieb geht.

1

2 Wochen

Technisches Onboarding

M365 Tenant Review und Risikoanalyse. Aufbau der Cross-Tenant-Verbindung zwischen deiner Umgebung und dem ODCUS Security Operations Center.

2

1 Monat

Crawl Phase

Funktionstest der Incident-Überwachung. Wir lernen deine Organisation kennen und starten die Zusammenarbeit mit deinem IT-Team.

3

1 Monat

Walk Phase

Konfigurationsanpassungen und Feinabstimmung der Defender-Erkennung auf deine spezifische M365-Umgebung.

4

Ab Monat 3

Run Phase

Vollständiger SOC-Betrieb mit monatlichem Reporting, quartalsweisen Service-Meetings und laufender Optimierung.

Preise

Transparente Preise nach Risikolevel

Du bezahlst für dein Risikoprofil, nicht für eine Nachtschicht. Das Risikolevel wird durch einen M365 Tenant Review ermittelt. Ein tieferes Risikolevel bedeutet einen tieferen Monatspreis und ist durch Konfigurationsverbesserungen erreichbar.

Risikolevel Niedrig
1'850 CHF / Mt.
exkl. MwSt.
  • Defender XDR Monitoring
  • Incident Response
  • Monatlicher Report
  • Quartalsweises Service-Meeting
  • Schutz vor Datenabfluss (DLP), abgesicherte Admin-Zugriffe (PIM), Phishing-resistente Anmeldung (MFA)
Risikolevel Moderat
2'450 CHF / Mt.
exkl. MwSt.
  • Alles aus Risikolevel Niedrig
  • Getrennte Admin-Konten
  • Strengere Anmelderegeln (Conditional Access)
  • Defender Antivirus + Firewall Policies
  • Defender for Cloud Apps Basispolicies
Risikolevel Hoch
3'650 CHF / Mt.
exkl. MwSt.
  • Alles aus Risikolevel Moderat
  • Intune Device Management
  • Defender for Endpoint Agent Rollout
  • Setzt Microsoft 365 Business Premium voraus
  • Maximale Anmelderegeln (Conditional Access)
Optionale Erweiterungen
All-In Paket
Mailflow-Checks, Threat Protection Status, Malware/Phishing-Kampagnenchecks, Policy-Pflege MDO/MDE, monatlicher Attack Surface Report
Defender for Cloud Apps
Alert-Monitoring für Cloud App Aktivitäten
Microsoft Purview
Alert-Monitoring für Compliance-Signale
Onboarding-Gebühr (einmalig)
Tenant Review, Setup, Cross-Tenant-Verbindung. Entfällt bei einer Laufzeit von 4 Jahren.
ab CHF 8'230

Alle Preise in CHF, exkl. MwSt. Mindestlaufzeit 12 Monate. Das Risikolevel wird per Tenant Review bestimmt (CHF 990). Fragen zum Pricing? Kontakt ODCUS.

Betrieben von ODCUS AG

Schweizer IT-Sicherheitsberatung für KMU

Das Security Operations Center für Microsoft 365 ist ein Service von ODCUS AG, einer Schweizer IT-Sicherheitsberatung spezialisiert auf Cybersicherheit, ISMS und Compliance für kleine und mittlere Unternehmen.

Mehr über ODCUS erfahren
Microsoft-Stack-Spezialist Defender XDR, Entra ID, Sentinel, Intune. Wir kennen den Microsoft-Sicherheitsstack in der Tiefe.
Vertragliche Reaktionszeiten SLAs mit messbaren Reaktionszeiten stehen im Vertrag und werden im monatlichen Report ausgewiesen.
Richtig dimensioniert Automatisierte Überwachung rund um die Uhr, Analysten-Reaktion zu Bürozeiten. Du bezahlst für das, was ein KMU braucht.

FAQ

Häufige Fragen zum Security Operations Center

Warum betreibt ODCUS kein 24/7-SOC mit Nachtschicht-Analysten?

Weil die wenigsten KMU eines brauchen. Ein 24/7-SOC ist für Betriebe gebaut, bei denen jede Minute Ausfall direkten Schaden verursacht: Spitäler oder Produktion im Schichtbetrieb. Ein Büro-KMU bezahlt dort eine menschliche Nachtschicht mit, die es kaum je braucht. Unser Modell trennt deshalb zwei Ebenen. Die automatisierte Erkennung und Abwehr in Microsoft Defender XDR und Sentinel läuft rund um die Uhr, zum Beispiel das automatische Unterbrechen einer riskanten Anmeldung. Unsere Analysten bewerten die Lage zu Bürozeiten (Mo–Fr 08:00–17:30) mit vertraglichen Reaktionszeiten und übernehmen die Behebung. Wenn dein Betrieb eine 24/7-Reaktion durch Menschen braucht, sagen wir dir das im Erstgespräch offen. Dann ist dieses SOC nicht das richtige Angebot für dich.

Was kostet das Onboarding und wie lange dauert es?

Die einmalige Onboarding-Gebühr beginnt bei CHF 8'230 und entfällt, wenn du dich für eine Mindestlaufzeit von 4 Jahren entscheidest. Der vollständige Onboarding-Prozess dauert 2 bis 3 Monate und gliedert sich in vier Phasen. Im technischen Onboarding (2 Wochen) führen wir den M365 Tenant Review durch, bestimmen dein Risikolevel und richten die Cross-Tenant-Synchronisation zwischen deinem Microsoft Defender XDR und unserem Security Operations Center ein. In der Crawl Phase (1 Monat) testen wir die Incident-Überwachung im Echtbetrieb und starten die Zusammenarbeit mit deinem internen IT-Team. In der Walk Phase (1 weiterer Monat) feinjustieren wir die Defender-Erkennungsregeln auf deine konkrete M365-Umgebung. Ab dem 3. Monat läuft das Security Operations Center im Vollbetrieb (Run Phase) mit monatlichen Service Delivery Reports und quartalsweisen Service-Meetings.

Was passiert bei einem Sicherheitsvorfall ausserhalb der Bürozeiten?

Microsoft Defender XDR erkennt und blockiert auch nachts und am Wochenende. Automatische Abwehrmechanismen wie das Unterbrechen einer riskanten Anmeldung oder das Isolieren eines auffälligen Geräts laufen unabhängig von Bürozeiten in deinem Tenant. Unsere Analysten übernehmen am nächsten Arbeitstag ab 08:00 Uhr mit vollem Kontext, prüfen die Entscheidungen der Automatisierung, untersuchen den Vorfall und leiten die Behebung ein. Innerhalb der Bürozeiten gelten die vertraglichen Reaktionszeiten: 30 Minuten bei kritischen Vorfällen, 2 Stunden bei hohen, 4 Stunden bei mittleren. Für den Fall, dass du selbst nachts etwas bemerkst, vereinbaren wir eine Eskalationskette mit deinem internen Notfallkontakt, damit die Übergabe am Morgen ohne Reibungsverlust läuft.

Wie wird mein Risikolevel bestimmt?

Per M365 Tenant Review (CHF 990 einmalig). Wir analysieren die aktuelle Konfiguration deines Microsoft 365 Tenants über alle relevanten Sicherheitsdomänen: Identitäten in Microsoft Entra ID (MFA, Conditional Access, privilegierte Konten), Endpoint-Schutz (Defender for Endpoint, Intune Device Management), E-Mail-Sicherheit (Defender for Office 365, DLP), Datenklassifizierung (Microsoft Purview) und Cloud-App-Aktivitäten (Defender for Cloud Apps). Auf Basis dieser Analyse stufen wir deinen Tenant in eines von drei Risikolevels ein: Niedrig (CHF 1'850/Monat), Moderat (CHF 2'450/Monat) oder Hoch (CHF 3'650/Monat). Ein tieferes Risikolevel bedeutet einen tieferen Monatspreis und ist häufig allein durch Konfigurationsverbesserungen erreichbar, ohne dass du zusätzliche Lizenzen kaufen musst. Der Review ist eine Standortbestimmung deiner aktuellen Konfiguration, kein Zeugnis über die Arbeit deines IT-Teams. Der Review-Bericht ist auch dann nützlich, wenn du dich gegen den SOC-Betrieb entscheidest.

Welche Microsoft 365 Lizenzen sind erforderlich?

Mindestens Microsoft 365 Business Standard. Für Risikolevel Niedrig und Moderat reicht Business Standard zusammen mit den nativen Defender-Funktionen (Defender for Office 365, Microsoft Entra ID mit MFA und Conditional Access, Microsoft Purview Basispolicies). Für Risikolevel Hoch ist Microsoft 365 Business Premium oder eine entsprechende E5-Lizenz vorausgesetzt, weil dort Intune Device Management und Defender for Endpoint (EDR-Agent auf Geräten) zum Einsatz kommen, die in Business Standard nicht enthalten sind. Wenn du aktuell nur Microsoft 365 Apps for Business oder Microsoft 365 Business Basic einsetzt, gehört das Lizenz-Upgrade in die Run Phase und kann gemeinsam mit deinem Microsoft-Reseller geplant werden. Beim Tenant Review prüfen wir auch die Lizenzpassung und sagen dir, was minimal nötig wäre.

Erhaltet ihr Zugriff auf unsere Daten?

Nein, nicht auf deine Geschäftsdaten. Die Anbindung läuft über eine Cross-Tenant-Synchronisation zwischen deinem Microsoft Defender XDR und unserem Security Operations Center. Was wir sehen: Security-Signale, Incident-Metadaten, Anomalie-Erkennungen und Telemetrie aus Defender for Endpoint, Defender for Office 365, Microsoft Entra ID und Defender for Cloud Apps. Was wir nicht sehen: den Inhalt deiner Dateien in OneDrive oder SharePoint, den Text deiner E-Mails, den Verlauf deiner Teams-Chats. Bei einem konkreten Vorfall, der die Untersuchung von Mail-Inhalten erfordert (etwa Phishing-Forensik), erfolgt das immer in deinem Tenant und mit deiner expliziten Freigabe. Der Vertrag untersteht Schweizer Recht. Sämtliche Daten bleiben in deinem Microsoft 365 Tenant, und wir extrahieren nichts in unsere eigene Infrastruktur.

Wie lange ist die Mindestlaufzeit?

Die reguläre Mindestlaufzeit beträgt 12 Monate ab Start der Run Phase. Danach verlängert sich der Vertrag automatisch um jeweils 12 Monate, kündbar mit 3 Monaten Vorlauf zum Vertragsende. Bei einer Laufzeit von 4 Jahren oder mehr entfällt die einmalige Onboarding-Gebühr von CHF 8'230. Die 4-Jahres-Variante rechnet sich, weil das Onboarding mit Tenant Review, Konfigurations-Hardening und Cross-Tenant-Setup einen erheblichen Initialaufwand bedeutet. Falls dein Sicherheitsbedarf während der Laufzeit steigt (zum Beispiel durch Wachstum oder neue regulatorische Anforderungen), lässt sich das Risikolevel jederzeit anpassen, ohne dass ein neuer Vertrag nötig ist.

Was passiert, wenn ODCUS selbst nicht erreichbar ist?

Das Security Operations Center läuft auf der Microsoft-Cloud, nicht auf eigener Infrastruktur bei ODCUS. Microsoft Defender XDR und Microsoft Sentinel überwachen deinen Tenant ohne unser direktes Eingreifen rund um die Uhr. Was wir liefern, ist die kontinuierliche Auswertung und Reaktion auf die Signale. Sollte ein einzelner ODCUS-Mitarbeiter ausfallen, übernimmt ein vereinbarter Stellvertreter mit dokumentiertem Onboarding-Handover. Für den seltenen Fall, dass ODCUS als Unternehmen ausfallen würde (z.B. längere Geschäftsunterbrechung), bleibt dein Microsoft 365 Tenant unverändert in deinem Besitz und unter deiner Kontrolle. Du kannst die Cross-Tenant-Verbindung jederzeit selbst trennen, und alle SOC-Konfigurationen (Analytics Rules, Playbooks, Detection Logic) werden im Tenant Review dokumentiert übergeben, damit ein anderer Provider sie übernehmen könnte.

Nächster Schritt

Bereit für ein SOC in der richtigen Grösse?

30 Minuten mit dem ODCUS-Team. Du erfährst, welche Risiken in deinem M365 aktuell unbeobachtet sind und welche SOC-Grösse zu deinem Unternehmen passt. Kostenlos und unverbindlich.

info@odcus.com · +41 43 217 86 70 · Schweiz

Aktuell im Blog · 10. Juli 2026
Microsoft Defender Warnungen, die niemand liest
Dein Microsoft Defender meldet laufend, aber niemand schaut hin? So erkennst du, welche Warnungen wirklich zählen, und wann sich ein SOC für dein KMU lohnt.
Weiterlesen →