Warum betreibt ODCUS kein 24/7-SOC mit Nachtschicht-Analysten?
Why doesn't ODCUS run a 24/7 SOC with night-shift analysts?
Weil die wenigsten KMU eines brauchen. Ein 24/7-SOC ist für Betriebe gebaut, bei denen jede Minute Ausfall direkten Schaden verursacht: Spitäler, Banken, Produktion im Schichtbetrieb. Ein Büro-KMU bezahlt dort eine menschliche Nachtschicht mit, die es kaum je auslöst. Unser Modell trennt deshalb zwei Ebenen. Die automatisierte Erkennung und Abwehr in Microsoft Defender XDR und Sentinel läuft rund um die Uhr, zum Beispiel das automatische Unterbrechen einer riskanten Anmeldung. Unsere Analysten bewerten die Lage zu Bürozeiten (Mo–Fr 08:00–17:30) mit vertraglichen Reaktionszeiten und übernehmen die Behebung. Wenn dein Betrieb eine 24/7-Reaktion durch Menschen braucht, sagen wir dir das im Erstgespräch offen. Dann ist dieses SOC nicht das richtige Angebot für dich.
Because few SMEs need one. A 24/7 SOC is built for operations where every minute of downtime causes direct damage: hospitals, banks, shift-based manufacturing. An office-based SME ends up paying for a human night shift it rarely triggers. Our model therefore separates two layers. Automated detection and defense in Microsoft Defender XDR and Sentinel run around the clock, for example automatically interrupting a risky sign-in. Our analysts assess the situation during business hours (Mon–Fri 08:00–17:30) with contractual response times and take over remediation. If your operation needs human response around the clock, we tell you so openly in the first call. In that case this SOC is not the right offer for you.
Was kostet das Onboarding und wie lange dauert es?
How much does onboarding cost and how long does it take?
Die einmalige Onboarding-Gebühr beginnt bei CHF 8'230 und entfällt, wenn du dich für eine Mindestlaufzeit von 4 Jahren entscheidest. Der vollständige Onboarding-Prozess dauert 2 bis 3 Monate und gliedert sich in vier Phasen. Im technischen Onboarding (2 Wochen) führen wir den M365 Tenant Review durch, bestimmen dein Risikolevel und richten die Cross-Tenant-Synchronisation zwischen deinem Microsoft Defender XDR und unserem Security Operations Center ein. In der Crawl Phase (1 Monat) testen wir die Incident-Überwachung im Echtbetrieb und initialisieren die Zusammenarbeit mit deinem internen IT-Team. In der Walk Phase (1 weiterer Monat) feinjustieren wir die Defender-Erkennungsregeln auf deine konkrete M365-Umgebung. Ab dem 3. Monat läuft das Security Operations Center im Vollbetrieb (Run Phase) mit monatlichen Service Delivery Reports und quartalsweisen Service-Meetings.
The one-time onboarding fee starts at CHF 8,230 and is waived if you sign a 4-year minimum contract term. The full onboarding process takes 2 to 3 months across four phases. During technical onboarding (2 weeks) we run the M365 Tenant Review, determine your risk level, and set up the cross-tenant synchronization between your Microsoft Defender XDR and our Security Operations Center. In the Crawl Phase (1 month) we test incident monitoring in live operations and initialise the collaboration workflow with your internal IT team. In the Walk Phase (a further month) we fine-tune the Defender detection rules to your specific Microsoft 365 environment. From month three onwards, the Security Operations Center runs in full operations (Run Phase) with monthly Service Delivery Reports and quarterly service meetings.
Was passiert bei einem Sicherheitsvorfall ausserhalb der Bürozeiten?
What happens if a security incident occurs outside business hours?
Microsoft Defender XDR erkennt und blockiert auch nachts und am Wochenende. Automatische Abwehrmechanismen wie das Unterbrechen einer riskanten Anmeldung oder das Isolieren eines auffälligen Geräts laufen unabhängig von Bürozeiten in deinem Tenant. Unsere Analysten übernehmen am nächsten Arbeitstag ab 08:00 Uhr mit vollem Kontext: Sie prüfen, was die Automatisierung entschieden hat, untersuchen den Vorfall und leiten die Behebung ein. Innerhalb der Bürozeiten gelten die vertraglichen Reaktionszeiten: 30 Minuten bei kritischen Vorfällen, 2 Stunden bei hohen, 4 Stunden bei mittleren. Für den Fall, dass du selbst nachts etwas bemerkst, vereinbaren wir eine Eskalationskette mit deinem internen Notfallkontakt, damit die Übergabe am Morgen ohne Reibungsverlust läuft.
Microsoft Defender XDR detects and blocks at night and on weekends too. Automated defenses such as interrupting a risky sign-in or isolating a suspicious device run in your tenant regardless of business hours. Our analysts take over the next working day from 08:00 with full context: they review what the automation decided, investigate the incident, and start remediation. During business hours the contractual response times apply: 30 minutes for critical incidents, 2 hours for high, 4 hours for medium severity. In case you notice something at night yourself, we agree an escalation chain with your internal emergency contact so the morning handover runs without friction.
Wie wird mein Risikolevel bestimmt?
How is my risk level determined?
Per M365 Tenant Review (CHF 990 einmalig). Wir analysieren die aktuelle Konfiguration deines Microsoft 365 Tenants über alle relevanten Sicherheitsdomänen: Identitäten in Microsoft Entra ID (MFA, Conditional Access, privilegierte Konten), Endpoint-Schutz (Defender for Endpoint, Intune Device Management), E-Mail-Sicherheit (Defender for Office 365, DLP), Datenklassifizierung (Microsoft Purview) und Cloud-App-Aktivitäten (Defender for Cloud Apps). Auf Basis dieser Analyse stufen wir deinen Tenant in eines von drei Risikolevels ein: Niedrig (CHF 1'850/Monat), Moderat (CHF 2'450/Monat) oder Hoch (CHF 3'650/Monat). Ein tieferes Risikolevel bedeutet einen tieferen Monatspreis und ist häufig allein durch Konfigurationsverbesserungen erreichbar, ohne dass du zusätzliche Lizenzen kaufen musst. Der Review-Bericht ist auch dann nützlich, wenn du dich gegen den SOC-Betrieb entscheidest.
Via an M365 Tenant Review (CHF 990 one-time). We analyse your Microsoft 365 tenant's configuration across all relevant security domains: identities in Microsoft Entra ID (MFA, Conditional Access, privileged accounts), endpoint protection (Defender for Endpoint, Intune Device Management), email security (Defender for Office 365, DLP), data classification (Microsoft Purview), and cloud app activity (Defender for Cloud Apps). Based on that analysis we classify your tenant into one of three risk levels: Low (CHF 1,850/month), Moderate (CHF 2,450/month), or High (CHF 3,650/month). A lower level means a lower monthly price and is often achievable through configuration improvements alone, without buying additional licenses. The review report stays useful even if you decide against the SOC engagement.
Welche Microsoft 365 Lizenzen sind erforderlich?
Which Microsoft 365 licenses are required?
Mindestens Microsoft 365 Business Standard. Für Risikolevel Niedrig und Moderat reicht Business Standard zusammen mit den nativen Defender-Funktionen (Defender for Office 365, Microsoft Entra ID mit MFA und Conditional Access, Microsoft Purview Basispolicies). Für Risikolevel Hoch ist Microsoft 365 Business Premium oder eine entsprechende E5-Lizenz vorausgesetzt, weil dort Intune Device Management und Defender for Endpoint (EDR-Agent auf Geräten) zum Einsatz kommen, die in Business Standard nicht enthalten sind. Wenn du aktuell nur Microsoft 365 Apps for Business oder Microsoft 365 Business Basic einsetzt, gehört der Lizenz-Upgrade in die Run Phase und kann gemeinsam mit deinem Microsoft-Reseller geplant werden. Beim Tenant Review prüfen wir auch die Lizenzpassung und sagen dir, was minimal nötig wäre.
Microsoft 365 Business Standard minimum. Low and Moderate risk levels work with Business Standard plus the native Defender features (Defender for Office 365, Microsoft Entra ID with MFA and Conditional Access, Microsoft Purview baseline policies). The High risk level requires Microsoft 365 Business Premium or an equivalent E5 license, because Intune Device Management and Defender for Endpoint (the EDR agent on devices) are deployed there and are not included in Business Standard. If you currently run Microsoft 365 Apps for Business or Microsoft 365 Business Basic, the license upgrade is planned for the Run Phase, jointly with your Microsoft reseller. The tenant review also assesses license fit and tells you the minimum needed.
Erhaltet ihr Zugriff auf unsere Daten?
Will you have access to our data?
Nein, nicht auf deine Geschäftsdaten. Die Anbindung läuft über eine Cross-Tenant-Synchronisation zwischen deinem Microsoft Defender XDR und unserem Security Operations Center. Was wir sehen: Security-Signale, Incident-Metadaten, Anomalie-Erkennungen und Telemetrie aus Defender for Endpoint, Defender for Office 365, Microsoft Entra ID und Defender for Cloud Apps. Was wir nicht sehen: den Inhalt deiner Dateien in OneDrive oder SharePoint, den Text deiner E-Mails, den Verlauf deiner Teams-Chats. Bei einem konkreten Vorfall, der die Untersuchung von Mail-Inhalten erfordert (etwa Phishing-Forensik), erfolgt das immer in deinem Tenant und mit deiner expliziten Freigabe. Der Vertrag untersteht Schweizer Recht. Sämtliche Daten bleiben in deinem Microsoft 365 Tenant, und wir extrahieren nichts in unsere eigene Infrastruktur.
No, not your business data. The connection runs through a cross-tenant synchronization between your Microsoft Defender XDR and our Security Operations Center. What we see: security signals, incident metadata, anomaly detections, and telemetry from Defender for Endpoint, Defender for Office 365, Microsoft Entra ID, and Defender for Cloud Apps. What we don't see: the contents of your files in OneDrive or SharePoint, the body of your emails, or your Teams chat history. When an incident requires examining mail content (phishing forensics, for example), it always happens inside your tenant and with your explicit approval. All data stays under Swiss contract law in your Microsoft 365 tenant. We don't extract anything into our own infrastructure.
Wie lange ist die Mindestlaufzeit?
What's the minimum contract term?
Die reguläre Mindestlaufzeit beträgt 12 Monate ab Start der Run Phase. Danach verlängert sich der Vertrag automatisch um jeweils 12 Monate, kündbar mit 3 Monaten Vorlauf zum Vertragsende. Bei einer Laufzeit von 4 Jahren oder mehr entfällt die einmalige Onboarding-Gebühr von CHF 8'230. Die 4-Jahres-Variante rechnet sich, weil das Onboarding mit Tenant Review, Konfigurations-Hardening und Cross-Tenant-Setup einen erheblichen Initialaufwand bedeutet. Bei längerer Laufzeit entfällt die Gebühr dafür komplett. Falls dein Sicherheitsbedarf während der Laufzeit steigt (zum Beispiel durch Wachstum oder neue regulatorische Anforderungen), lässt sich das Risikolevel jederzeit anpassen, ohne dass ein neuer Vertrag nötig ist.
The standard minimum term is 12 months, starting from the beginning of the Run Phase. The contract then auto-renews in 12-month periods, with 3 months' notice required for termination at the end of a period. For contracts of 4 years or longer, the one-time onboarding fee of CHF 8,230 is waived. The 4-year option pays off because the onboarding (tenant review, configuration hardening, cross-tenant setup) is a substantial up-front investment. With the longer term, its fee is waived. If your security needs grow during the contract (through company growth or new regulatory requirements), the risk level can be adjusted at any time without a new contract.
Was passiert, wenn ODCUS selbst nicht erreichbar ist?
What happens if ODCUS itself is unavailable?
Das Security Operations Center läuft auf der Microsoft-Cloud, nicht auf eigener Infrastruktur bei ODCUS. Microsoft Defender XDR und Microsoft Sentinel überwachen deinen Tenant ohne unser direktes Eingreifen rund um die Uhr. Was wir liefern, ist die kontinuierliche Auswertung und Reaktion auf die Signale. Sollte ein einzelner ODCUS-Mitarbeiter ausfallen, übernimmt ein vereinbarter Stellvertreter mit dokumentiertem Onboarding-Handover. Für den seltenen Fall, dass ODCUS als Unternehmen ausfallen würde (z.B. längere Geschäftsunterbrechung), bleibt dein Microsoft 365 Tenant unverändert in deinem Besitz und unter deiner Kontrolle. Du kannst die Cross-Tenant-Verbindung jederzeit selbst trennen, und alle SOC-Konfigurationen (Analytics Rules, Playbooks, Detection Logic) werden im Tenant Review dokumentiert übergeben, damit ein anderer Provider sie übernehmen könnte.
The Security Operations Center runs on Microsoft Cloud, not on ODCUS-owned infrastructure. Microsoft Defender XDR and Microsoft Sentinel monitor your tenant continuously without ODCUS having to actively run anything. What we deliver is the continuous interpretation and response to those signals. If an individual ODCUS team member is unavailable, an agreed deputy takes over with a documented onboarding handover. In the rare event that ODCUS as a company became unavailable (extended business interruption), your Microsoft 365 tenant remains entirely in your ownership and under your control. You can sever the cross-tenant connection yourself at any time, and all SOC configurations (analytics rules, playbooks, detection logic) are documented at the tenant review and handed over so another provider could pick them up.