{"id":250,"date":"2026-06-20T08:00:00","date_gmt":"2026-06-20T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/20\/splunk-vs-elk-stack\/"},"modified":"2026-06-20T08:00:00","modified_gmt":"2026-06-20T08:00:00","slug":"splunk-vs-elk-stack","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/20\/splunk-vs-elk-stack\/","title":{"rendered":"Splunk vs ELK Stack: $47.000 vs 0 \u20ac im SIEM-Vergleich [2026]"},"content":{"rendered":"\n<p class=\"article-meta wp-block-paragraph\">Von der Redaktion | 20. Juni 2026 | Lesedauer: ca. 18 Minuten<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein mittelst\u00e4ndisches Unternehmen mit 50 GB Logdaten pro Tag zahlt f\u00fcr Splunk zwischen 235.000 und 250.000 Dollar im Jahr. Der ELK Stack kostet in der Open-Source-Version keinen Cent Lizenzgeb\u00fchren. Diesen Preisunterschied sp\u00fcren Security-Teams in Deutschland t\u00e4glich, wenn sie die Budgetplanung f\u00fcr ihr SIEM aufstellen. Dieser Vergleich zeigt, wann welche Plattform die bessere Wahl ist, was die Benchmarks wirklich bedeuten, und wie eine Migration in acht Schritten gelingt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"das-wichtigste-in-kuerze\">Das Wichtigste in K\u00fcrze<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Splunk Enterprise Security<\/strong> ist die kommerzielle All-in-One-Plattform f\u00fcr Log-Management, SIEM und UEBA. Sie \u00fcberzeugt durch sofort einsetzbare Detektionsregeln, ein ausgereiftes SOAR-\u00d6kosystem und erstklassigen Enterprise-Support. Der Preis daf\u00fcr liegt bei 1.800 bis 2.500 Dollar pro GB\/Tag j\u00e4hrlich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Der ELK Stack<\/strong> (Elasticsearch, Logstash, Kibana, Beats) ist eine Open-Source-Plattform, die seit August 2024 wieder unter AGPLv3 verf\u00fcgbar ist. Elasticsearch z\u00e4hlt laut DB-Engines zu den meistgenutzten Enterprise-Suchmaschinen weltweit, mit \u00fcber 500.000 Downloads pro Monat. Die aktuelle Stable-Version ist 9.4.2 (Stand: 28. Mai 2026), unterst\u00fctzt bis Oktober 2027.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Das Fazit vorab:<\/strong> Splunk gewinnt bei Compliance, UEBA und schl\u00fcsselfertiger SIEM-Erfahrung. ELK gewinnt bei Kosten, Flexibilit\u00e4t und DevOps-naher Observability. F\u00fcr SOC-Teams in Deutschland mit NIS-2-Anforderungen gibt es kein universell richtiges Ergebnis, sondern eine Entscheidung nach Datenmenge, Budget und internem Know-how.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-ist-splunk-geschichte-architektur-und-marktposition\">Was ist Splunk? Geschichte, Architektur und Marktposition<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk wurde 2003 gegr\u00fcndet und hat sich seitdem als dominante kommerzielle Plattform f\u00fcr Security Information and Event Management etabliert. Die Architektur besteht aus drei Hauptkomponenten: dem Universal Forwarder (Datensammlung), dem Indexer (Speicherung und Indizierung) und dem Search Head (Abfrage und Visualisierung). Splunk indiziert Daten in einem propriet\u00e4ren Format, das prim\u00e4r in C++ entwickelt wurde.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Besondere am Splunk-Ansatz ist das Prinzip &#8220;Schema on Read&#8221;: Daten werden beim Einlesen unkomprimiert gespeichert, das Schema wird erst bei der Abfrage angewendet. Das erm\u00f6glicht schnelle, flexible Suchanfragen ohne aufwendige Datenvorverarbeitung. Die Abfragesprache hei\u00dft SPL (Search Processing Language) und ist bei erfahrenen Analysten weit verbreitet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Marktposition von Splunk ist stark: Die Plattform meldet 12.000 Unternehmenskunden und bietet mehr als 200 APIs sowie \u00fcber 1.000 vorgefertigte Anwendungen in den Kategorien DevOps, IT-Support und IT-Security. Dieser \u00d6kosystemreichtum macht Splunk zur bevorzugten Wahl in hochregulierten Branchen wie Finanzdienstleistungen, Gesundheitswesen und kritischer Infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cisco \u00fcbernahm Splunk im M\u00e4rz 2024 f\u00fcr 28 Milliarden Dollar, was Splunk zus\u00e4tzliche Ressourcen f\u00fcr Produktentwicklung und globale Expansion verschaffte. Seitdem hat Splunk sein KI-Portfolio mit Funktionen wie UEBA (User and Entity Behavior Analytics), Mission Control und SOAR-Integration (Security Orchestration, Automation and Response) ausgebaut. F\u00fcr Unternehmen, die SOAR und UEBA nativ aus einer Hand brauchen, bleibt Splunk der Referenzstandard.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk Cloud, die SaaS-Variante, erleichtert den Betrieb erheblich, \u00e4ndert aber nichts an der Preisstrategie. Das Lizenzmodell basiert auf dem t\u00e4glichen Datenvolumen (GB\/Tag), was f\u00fcr wachsende Organisationen zu \u00fcberraschend schnell steigenden Kosten f\u00fchren kann. F\u00fcr viele mittelst\u00e4ndische deutsche Unternehmen ist der Preispunkt ein ernsthaftes Hindernis, weshalb der ELK Stack in den letzten Jahren massiv Marktanteile gewonnen hat.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-ist-der-elk-stack-elasticsearch-logstash-kibana-und-beats\">Was ist der ELK Stack? Elasticsearch, Logstash, Kibana und Beats<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der ELK Stack besteht aus vier Open-Source-Komponenten: <strong>Elasticsearch<\/strong> (Such- und Analysemaschine), <strong>Logstash<\/strong> (Datenverarbeitung und -routing), <strong>Kibana<\/strong> (Visualisierung und Dashboard) und <strong>Beats<\/strong> (leichtgewichtige Datenversender). Offiziell hei\u00dft das \u00d6kosystem heute &#8220;Elastic Stack&#8221;, im Sprachgebrauch hat sich ELK Stack durchgesetzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Elasticsearch basiert auf Apache Lucene und wurde in Java entwickelt. Im April 2025 erschien Elasticsearch 9.0 als erstes Major-Release der neuen Generation, das auf Lucene 10 und Java 21 aufsetzt. Die aktuelle Stable-Version 9.4.2 (ver\u00f6ffentlicht am 28. Mai 2026) bringt verbesserte ES|QL-Abfragen, native KI-Integration und performance-optimierte Shard-Verwaltung. Die 8.x-Linie (aktuell 8.19.16) wird parallel bis Juli 2027 unterst\u00fctzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein zentraler Unterschied zu Splunk liegt im Parsing-Ansatz: ELK arbeitet nach dem Prinzip &#8220;Schema on Write&#8221;, d. h., Daten werden beim Einlesen geparst und in einem strukturierten Format abgelegt. Das erfordert mehr Vorarbeit bei der Konfiguration, beschleunigt aber h\u00e4ufig Wiederholungsabfragen erheblich. F\u00fcr Teams, die bekannte Log-Formate (nginx, Apache, syslog) verarbeiten, ist dieser Ansatz vorteilhaft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Seit August 2024 ist Elasticsearch ab Version 8.16.0 wieder unter der AGPLv3-Lizenz verf\u00fcgbar, zus\u00e4tzlich zu SSPL 1.0 und Elastic License 2.0. Das bedeutet: F\u00fcr selbst gehostete Installationen sind keine Lizenzgeb\u00fchren f\u00e4llig. Kommerzielle Funktionen wie Advanced Security Features, Machine Learning oder Elastic SIEM sind weiterhin an bezahlte Subscriptions gebunden. Elastic Cloud (die SaaS-Variante) wird nach verbrauchten Ressourcen abgerechnet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Elastic Security, die SIEM-Komponente des ELK Stacks, w\u00e4chst schnell. Sie bietet vorgefertigte Detektionsregeln auf Basis von MITRE ATT&amp;CK, Bedrohungsintelligenz-Feeds und Anomalie-Erkennung. Laut unabh\u00e4ngigen SOC-Analysten fehlen ihr jedoch noch ausgereiftes UEBA und eine native SOAR-Integration, wie sie Splunk Enterprise Security bietet. Wer diese Funktionen braucht, muss bei Elastic auf externe L\u00f6sungen oder Drittanbieter zur\u00fcckgreifen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"technischer-vergleich-spezifikationen-auf-einen-blick\">Technischer Vergleich: Spezifikationen auf einen Blick<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgende Tabelle fasst die technischen Kernmerkmale beider Plattformen zusammen. Die Daten stammen aus offiziellen Vendor-Dokumentationen und unabh\u00e4ngigen SOC-Analysen (Stand: Juni 2026).<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table>\n<thead>\n<tr>\n<th>Merkmal<\/th>\n<th>Splunk Enterprise Security<\/th>\n<th>ELK Stack (Elastic Stack 9.x)<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Aktuelle Version<\/strong><\/td>\n<td>Splunk Enterprise 9.x (Cisco)<\/td>\n<td>Elasticsearch 9.4.2 (Mai 2026)<\/td>\n<\/tr>\n<tr>\n<td><strong>Lizenzmodell<\/strong><\/td>\n<td>Kommerziell, geschlossener Quellcode<\/td>\n<td>AGPLv3 \/ Elastic License 2.0<\/td>\n<\/tr>\n<tr>\n<td><strong>Basispreis<\/strong><\/td>\n<td>1.800\u20132.500 $\/GB\/Tag\/Jahr<\/td>\n<td>0 \u20ac (Open Source, Self-hosted)<\/td>\n<\/tr>\n<tr>\n<td><strong>Abfragesprache<\/strong><\/td>\n<td>SPL (Search Processing Language)<\/td>\n<td>Query DSL, ES|QL, KQL<\/td>\n<\/tr>\n<tr>\n<td><strong>Schema-Ansatz<\/strong><\/td>\n<td>Schema on Read<\/td>\n<td>Schema on Write<\/td>\n<\/tr>\n<tr>\n<td><strong>Parsing-Zeitpunkt<\/strong><\/td>\n<td>Bei der Suchanfrage<\/td>\n<td>Bei der Datenaufnahme<\/td>\n<\/tr>\n<tr>\n<td><strong>Datenkompression<\/strong><\/td>\n<td>Ja (propriet\u00e4r)<\/td>\n<td>Eingeschr\u00e4nkt (Deflate via Config)<\/td>\n<\/tr>\n<tr>\n<td><strong>UEBA (nativ)<\/strong><\/td>\n<td>Ja (vollst\u00e4ndig integriert)<\/td>\n<td>Begrenzt (nur mit Subscription)<\/td>\n<\/tr>\n<tr>\n<td><strong>SOAR-Integration<\/strong><\/td>\n<td>Ja (Splunk SOAR\/Phantom)<\/td>\n<td>Nein (externe Tools erforderlich)<\/td>\n<\/tr>\n<tr>\n<td><strong>APIs<\/strong><\/td>\n<td>200+<\/td>\n<td>Offen (REST API, vollst\u00e4ndig)<\/td>\n<\/tr>\n<tr>\n<td><strong>Vorgefertigte Apps<\/strong><\/td>\n<td>1.000+ (Splunkbase)<\/td>\n<td>Elastic integrations (400+)<\/td>\n<\/tr>\n<tr>\n<td><strong>Deployment<\/strong><\/td>\n<td>On-Prem, Splunk Cloud (SaaS)<\/td>\n<td>On-Prem, Elastic Cloud, Selbst-hosted<\/td>\n<\/tr>\n<tr>\n<td><strong>Basistechnologie<\/strong><\/td>\n<td>C++ (propriet\u00e4r)<\/td>\n<td>Java \/ Apache Lucene (Open Source)<\/td>\n<\/tr>\n<tr>\n<td><strong>MITRE ATT&amp;CK-Regeln<\/strong><\/td>\n<td>Ja (umfangreich)<\/td>\n<td>Ja (wachsend)<\/td>\n<\/tr>\n<tr>\n<td><strong>Support-Ende (aktuell)<\/strong><\/td>\n<td>Cisco Enterprise Support<\/td>\n<td>9.x: Oktober 2027 \/ 8.x: Juli 2027<\/td>\n<\/tr>\n<\/tbody>\n<\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"preismodelle-und-gesamtkosten-im-vergleich\">Preismodelle und Gesamtkosten im Vergleich<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der gr\u00f6\u00dfte Unterschied zwischen Splunk und ELK Stack liegt beim Preis. Dieser Abschnitt zeigt, was Unternehmen wirklich zahlen, wenn alle Kosten eingerechnet sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"splunk-preismodell-was-gb-tag-wirklich-kostet\">Splunk-Preismodell: Was GB\/Tag wirklich kostet<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk berechnet nach dem t\u00e4glichen Datenvolumen. Laut unabh\u00e4ngigen Analysen (openobserve.ai, Februar 2026) liegen die realen Jahreskosten inklusive Infrastruktur und Administration wie folgt:<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table>\n<thead>\n<tr>\n<th>Datenmenge \/ Tag<\/th>\n<th>Lizenzkosten \/ Jahr<\/th>\n<th>Gesamtkosten \/ Jahr (inkl. Betrieb)<\/th>\n<th>Typisches Unternehmen<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>5 GB\/Tag<\/td>\n<td>9.000\u201312.500 $<\/td>\n<td>44.000\u201347.000 $<\/td>\n<td>KMU, 50\u2013200 Mitarbeiter<\/td>\n<\/tr>\n<tr>\n<td>50 GB\/Tag<\/td>\n<td>90.000\u2013125.000 $<\/td>\n<td>235.000\u2013250.000 $<\/td>\n<td>Mittelstand, 500\u20132.000 MA<\/td>\n<\/tr>\n<tr>\n<td>500 GB\/Tag<\/td>\n<td>900.000\u20131.250.000 $<\/td>\n<td>1.170.000\u20131.270.000 $<\/td>\n<td>Konzern, globale SOC-Teams<\/td>\n<\/tr>\n<tr>\n<td>ELK Stack (Open Source)<\/td>\n<td>0 \u20ac<\/td>\n<td>Infrastruktur + Personal (variabel)<\/td>\n<td>Alle Unternehmensgr\u00f6\u00dfen<\/td>\n<\/tr>\n<tr>\n<td>Elastic Cloud (50 GB\/Tag)<\/td>\n<td>~48.000\u201396.000 $\/Jahr<\/td>\n<td>60.000\u2013110.000 $ (inkl. Personal)<\/td>\n<td>Mittelstand mit Cloud-Pr\u00e4ferenz<\/td>\n<\/tr>\n<\/tbody>\n<\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk bietet seit der Cisco-\u00dcbernahme auch ein workload-basiertes Preismodell als Alternative zum ingest-basierten Modell. Das workload-basierte Modell berechnet nach Verarbeitungskapazit\u00e4t statt nach Datenvolumen und kann bei sehr datenintensiven Deployments g\u00fcnstiger sein. In der Praxis sorgen mehrere parallele Preismodelle (workload-basiert, ingest-basiert, perpetual) jedoch f\u00fcr Planungsunsicherheit.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"elk-stack-kostenlos-ist-nicht-umsonst\">ELK Stack: Kostenlos ist nicht umsonst<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der ELK Stack ist als Open-Source-Software kostenfrei verf\u00fcgbar, die tats\u00e4chlichen Betriebskosten h\u00e4ngen aber stark von der eigenen Infrastruktur und dem Know-how-Level ab. Typische Kostenpunkte bei selbst gehostetem ELK:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Server-Infrastruktur:<\/strong> Je nach Datenmenge 3\u201310 dedizierte Server (Elasticsearch-Nodes) erforderlich<\/li>\n<li><strong>Personal:<\/strong> Mindestens 0,5\u20131 FTE f\u00fcr initiale Konfiguration, laufendes Shard-Tuning und Updates<\/li>\n<li><strong>Elastic-Subscription (optional):<\/strong> 0\u201396.000 $\/Jahr je nach Tier (Basic, Gold, Platinum, Enterprise)<\/li>\n<li><strong>Schulungskosten:<\/strong> ELK-Zertifizierungen und Onboarding f\u00fcr Analysten<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">In der Summe kann ein gut betriebener ELK Stack f\u00fcr 50 GB\/Tag auf 60.000\u2013110.000 Dollar pro Jahr kommen, deutlich weniger als Splunk, aber nicht null. F\u00fcr Organisationen ohne dediziertes DevOps-Team ist die Betriebslast ein wichtiger Faktor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"siem-funktionen-im-direktvergleich\">SIEM-Funktionen im Direktvergleich<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das Security Information and Event Management (SIEM) ist der entscheidende Anwendungsfall, f\u00fcr den die meisten deutschen SOC-Teams eine der beiden Plattformen einsetzen. Hier unterscheiden sich Splunk und ELK Stack am deutlichsten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"splunk-enterprise-security-reife-trifft-umfang\">Splunk Enterprise Security: Reife trifft Umfang<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Splunk Enterprise Security (Splunk ES) ist ein dediziertes SIEM-Produkt mit jahrzehntelanger Entwicklung. Die St\u00e4rken liegen in der Tiefe der vorinstallierten Inhalte: Hunderte vorgefertigter Korrelationsregeln, MITRE ATT&amp;CK-Mapping, Risk-Based Alerting (RBA) und eine vollst\u00e4ndige Threat-Intelligence-Integration. Splunk ES unterst\u00fctzt das Common Information Model (CIM), das eine einheitliche Feldbenennung \u00fcber verschiedene Datenquellen hinweg erzwingt und dadurch Abfragen erheblich vereinfacht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">UEBA (User and Entity Behavior Analytics) ist nativ in Splunk ES integriert. Das System erkennt ungew\u00f6hnliches Nutzerverhalten durch Machine-Learning-Modelle, ohne dass externe Tools notwendig sind. Splunk SOAR (fr\u00fcher Phantom) erm\u00f6glicht automatisierte Reaktionen auf Sicherheitsvorf\u00e4lle: Tickets erstellen, Accounts sperren, Firewallregeln anpassen, alles aus einer Oberfl\u00e4che heraus. Laut Splunk liefert die Plattform schnellere Erstalarmierung und eine breitere Sicherheitsabdeckung als Elastic Security.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr NIS-2-compliance-pflichtige Unternehmen in Deutschland bietet Splunk vorbereitete Compliance-Reports f\u00fcr ISO 27001, BSI IT-Grundschutz, PCI DSS und DSGVO. Das spart Analysten-Zeit bei Audits erheblich. Der Nachteil bleibt der Preis: Splunk ES ist teuer und baut stark auf herstellerseitigen Inhalten auf, was die Anpassbarkeit einschr\u00e4nkt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"elastic-security-der-schnell-wachsende-herausforderer\">Elastic Security: Der schnell wachsende Herausforderer<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Elastic Security (die SIEM-Komponente des ELK Stacks) hat sich in den letzten drei Jahren enorm weiterentwickelt. Sie bietet vorgefertigte Erkennungsregeln auf Basis von MITRE ATT&amp;CK, Endpoint Detection and Response (EDR) \u00fcber Elastic Endpoint Security, Timeline-basierte Untersuchungen und ein wachsendes Portfolio an Bedrohungsintelligenz-Feeds.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Was Elastic Security noch fehlt: Eine vollst\u00e4ndige native UEBA-L\u00f6sung ist nur in der Platinum- und Enterprise-Subscription verf\u00fcgbar, und die SOAR-Integration setzt externe Tools voraus. SOC-Analysten, die von Splunk zu Elastic wechseln, m\u00fcssen Korrelationsregeln in SPL in Elastic-DSL oder ES|QL \u00fcbersetzen, was initial Mehraufwand bedeutet. Elastic liefert daf\u00fcr mehr Transparenz in die Datenpipeline und erlaubt tiefgreifende Anpassungen, die in Splunk hinter der propriet\u00e4ren Schicht verborgen sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr DevSecOps-Teams, die Splunk f\u00fcr Anwendungsmonitoring und Sicherheit zusammen nutzen wollen, ist Elastic attraktiv: Die Plattform deckt Observability (Logs, Metrics, Traces), Application Performance Monitoring (APM) und Security in einer einheitlichen Oberfl\u00e4che ab. Splunk erfordert daf\u00fcr separate Lizenzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"performance-benchmarks-ingestion-und-suchgeschwindigkeit\">Performance-Benchmarks: Ingestion und Suchgeschwindigkeit<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Benchmarks f\u00fcr SIEM-Plattformen sind komplex, weil sie stark von der Hardware, dem Datenformat und der Konfiguration abh\u00e4ngen. Die folgenden Daten stammen aus unabh\u00e4ngigen Analysen und Anwenderberichten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Datenaufnahme (Ingestion):<\/strong> Elasticsearch ingested Daten mit dem &#8220;Schema on Write&#8221;-Ansatz, d.h. beim Einlesen wird geparst. Das f\u00fchrt bei gut vorbereiteten Logformaten zu effizienteren Wiederholungsabfragen. Splunk indiziert schnell und flexibel, verschiebt aber die Parsing-Last auf den Abfragezeitpunkt. Bei einmaligen Ad-hoc-Abfragen profitiert Splunk von seiner Flexibilit\u00e4t, bei h\u00e4ufig wiederkehrenden Mustern hat ELK einen Vorteil.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Suchabfragen:<\/strong> Splunk priorisiert zeitbasierte Abfragen mit minimalem Schema-Aufwand. Die SPL-Sprache erlaubt sehr schnelle Piping-Abfragen auf gro\u00dfen Datens\u00e4tzen. ELK setzt mit ES|QL (eingef\u00fchrt in Elasticsearch 8.11) auf eine neue, SQL-\u00e4hnliche Abfragesprache, die f\u00fcr viele Analysten intuitiver ist als das Kibana Query Language (KQL) Vorg\u00e4ngermodell. Beide Plattformen skalieren horizontal, d.h. mehr Nodes bedeuten mehr Durchsatz.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Kompression und Speicher:<\/strong> Splunk komprimiert gespeicherte Daten nativ, was die Speicherkosten senkt. ELK bietet Kompression optional \u00fcber Deflate-Konfiguration an, ist aber standardm\u00e4\u00dfig weniger aggressiv beim Verdichten. Bei gro\u00dfen Datenmengen (500+ GB\/Tag) kann das einen messbaren Unterschied bei den Storage-Kosten ausmachen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cluster-Skalierung:<\/strong> Elasticsearch skaliert durch das Hinzuf\u00fcgen weiterer Nodes fast linear, sofern Sharding korrekt konfiguriert ist. Fehlkonfiguriertes Sharding ist ein h\u00e4ufiger Performance-Killer in ELK-Deployments. Splunk Enterprise skaliert ebenfalls horizontal, erfordert aber Clustermanager-Konfiguration. F\u00fcr Teams ohne dediziertes Elasticsearch-Know-how ist der Betriebsaufwand bei Splunk geringer, weil viele Optimierungen vorkonfiguriert sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Praktische Erfahrungen aus der Community:<\/strong> Der Subreddit r\/Splunk und r\/elasticsearch zeigen konsistent, dass Splunk in der Out-of-the-Box-Performance f\u00fcr Security-Workloads besser abschneidet, w\u00e4hrend ELK bei korrekter Konfiguration gleichzieht oder in bestimmten Szenarien \u00fcbertrifft. Der Konfigurationsaufwand f\u00fcr ELK ist real und muss beim Vergleich eingerechnet werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sicherheits-features-threat-detection-und-compliance\">Sicherheits-Features: Threat Detection und Compliance<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Security Operations Center (SOC) in Deutschland sind Compliance-Features und Threat-Detection-Capabilities die entscheidenden Kaufkriterien. Beide Plattformen bieten hier unterschiedliche St\u00e4rken.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>MITRE ATT&amp;CK-Abdeckung:<\/strong> Splunk ES liefert umfangreiche, gepflegte Detektionsregeln, die direkt auf MITRE ATT&amp;CK-Techniken gemappt sind. Das Security Content Automation Protocol (SCAP) und STIX\/TAXII-Feeds sind integriert. Elastic Security bietet ebenfalls MITRE ATT&amp;CK-Regeln, die community-gepflegt sind und schnell wachsen, aber noch nicht die gleiche historische Tiefe wie Splunk haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Threat Intelligence:<\/strong> Beide Plattformen unterst\u00fctzen externe Threat-Intelligence-Feeds. Splunk integriert ISAC-Feeds, VirusTotal, Recorded Future und weitere direkt \u00fcber die Marketplace-Apps. Elastic bietet Integration mit der Elastic Threat Intelligence Platform und externen Feeds \u00fcber Logstash-Pipelines. Der Unterschied liegt in der Konfigurationstiefe: Splunk ist plug-and-play, ELK erfordert mehr manuelle Pipeline-Konfiguration.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Compliance-Reporting:<\/strong> Splunk ES bietet vorbereitete Dashboards f\u00fcr PCI DSS 4.0, SOX, HIPAA, ISO 27001 und seit 2025 auch f\u00fcr NIS-2-Anforderungen. Elastic Security hat vergleichbare Reports, allerdings oft nur in den h\u00f6heren Subscription-Tiers. F\u00fcr BSI IT-Grundschutz-Compliance ist Splunk weiter verbreitet in deutschen Beh\u00f6rden und KRITIS-Unternehmen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Endpoint Detection and Response (EDR):<\/strong> Elastic Endpoint Security (fr\u00fcher Endgame) ist direkt in den Stack integriert und bietet Verhaltens-basierte EDR-Funktionen f\u00fcr Windows, macOS und Linux. Splunk bietet EDR-Integration \u00fcber Third-Party-Integrationen (CrowdStrike, SentinelOne, Microsoft Defender), aber keine native EDR-L\u00f6sung. Das ist ein Punkt, in dem Elastic einen klaren Vorteil hat.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Data-at-Rest-Verschl\u00fcsselung:<\/strong> Beide Plattformen unterst\u00fctzen Verschl\u00fcsselung im Ruhezustand. Splunk nutzt AES-256, Elasticsearch ebenfalls AES-256 auf Betriebssystemebene. Transport-Verschl\u00fcsselung (TLS) ist in beiden Standard. F\u00fcr DSGVO-konforme Deployments in Deutschland ist dieser Punkt bei beiden Plattformen erf\u00fcllt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"deployment-optionen-on-premises-cloud-und-hybrid\">Deployment-Optionen: On-Premises, Cloud und Hybrid<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Wahl des Deployment-Modells beeinflusst nicht nur die Kosten, sondern auch die Datensouver\u00e4nit\u00e4t, ein Thema, das f\u00fcr deutsche Unternehmen unter DSGVO und NIS-2 besondere Bedeutung hat.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Splunk On-Premises:<\/strong> Splunk Enterprise kann vollst\u00e4ndig im eigenen Rechenzentrum betrieben werden. Das ist die bevorzugte Option f\u00fcr KRITIS-Unternehmen und Beh\u00f6rden in Deutschland. Der Nachteil: Der Betrieb erfordert dediziertes Splunk-Admin-Know-how und regelm\u00e4\u00dfige Wartung. Splunk Enterprise l\u00e4uft auf Linux, Windows und macOS, ist aber in der Praxis fast immer auf Linux-Clustern deployed.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Splunk Cloud:<\/strong> Die SaaS-Version wird von Cisco betrieben. F\u00fcr deutsche Kunden sind Datenstandorte in der EU (Frankfurt, Amsterdam) verf\u00fcgbar. Splunk Cloud nimmt den Betriebsaufwand ab, bringt aber zus\u00e4tzliche Abh\u00e4ngigkeit vom Anbieter und ist in der EU-Region teurer als US-basierte Deployments.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>ELK Stack On-Premises:<\/strong> Elasticsearch kann vollst\u00e4ndig im eigenen Rechenzentrum betrieben werden. Das ist die kosteneffizienteste Option f\u00fcr datenschutzsensible Organisationen. Elastic Agent, der modernere Nachfolger von Beats, vereinfacht die Konfiguration von Datenquellen erheblich gegen\u00fcber fr\u00fcheren Versionen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Elastic Cloud:<\/strong> Die SaaS-Version von Elastic ist auf AWS, Azure und GCP verf\u00fcgbar, mit EU-Regionen in Frankfurt und anderen europ\u00e4ischen Rechenzentren. Elastic Cloud Serverless ist das neueste Angebot und erlaubt nutzungsbasierte Abrechnung ohne Cluster-Management. F\u00fcr Teams, die keinen eigenen Elasticsearch-Cluster betreiben wollen, ist Elastic Cloud serverless eine attraktive Option.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Hybrid-Deployments:<\/strong> Beide Plattformen unterst\u00fctzen Hybrid-Szenarien, bei denen ein Teil der Daten on-premises verbleibt und ein Teil in die Cloud ausgelagert wird. Splunk Smart Store und Elastic ILM (Index Lifecycle Management) erm\u00f6glichen das Tiering von Hot-, Warm- und Cold-Daten auf unterschiedlich kostspielige Speicherklassen (z.B. AWS S3 oder Azure Blob). Das senkt die Langzeitkosten erheblich.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"praxisbeispiele-5-reale-anwendungsfaelle\">Praxisbeispiele: 5 reale Anwendungsf\u00e4lle<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Abstrakte Vergleiche helfen nur begrenzt. Die folgenden f\u00fcnf Szenarien zeigen, welche Plattform in welchem Kontext die richtige Wahl ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Anwendungsfall 1: Bank mit PCI-DSS-Compliance (Splunk-Vorteil)<\/strong><br>Eine mittelgro\u00dfe Privatbank verarbeitet t\u00e4glich 30 GB Logdaten aus 200 verschiedenen Systemen (Firewalls, Active Directory, Kernbankensysteme, Swift-Gateways). Das Compliance-Team ben\u00f6tigt monatlich automatisierte PCI-DSS-Reports. Splunk ES bietet vorbereitete PCI-DSS-Dashboards, CIM-normalisierte Abfragen und Risk-Based Alerting, das kritische Events sofort priorisiert. Der Preis liegt bei etwa 180.000\u2013200.000 Dollar pro Jahr. F\u00fcr die Bank ist das vertretbar, weil sie andernfalls mehr Personal f\u00fcr manuelle Compliance-Arbeit einstellen m\u00fcsste.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Anwendungsfall 2: E-Commerce-Startup mit DevSecOps-Ansatz (ELK-Vorteil)<\/strong><br>Ein Berliner E-Commerce-Startup mit 80 Mitarbeitern ingested 8 GB Logs pro Tag aus Kubernetes-Pods, nginx-Instanzen und PostgreSQL. Das DevOps-Team kennt Elasticsearch bereits aus dem Such-Stack der Produktplattform. Sie nutzen Elastic Security f\u00fcr Basis-SIEM, Elastic APM f\u00fcr Performance-Monitoring und Kibana-Dashboards f\u00fcr Betrieb und Security in einer Oberfl\u00e4che. Die Gesamtkosten: Server-Infrastruktur plus Elastic Gold Subscription, rund 30.000\u201340.000 Euro pro Jahr, statt 60.000\u201380.000 Dollar f\u00fcr Splunk.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Anwendungsfall 3: KRITIS-Energieversorger (Splunk On-Premises)<\/strong><br>Ein Regionalversorger betreibt OT\/IT-Netzwerke und unterliegt dem KRITIS-Dachgesetz, das seit Juli 2026 in Kraft ist. Die Datensouver\u00e4nit\u00e4t ist nicht verhandelbar: Alle Logs m\u00fcssen im eigenen Rechenzentrum bleiben. Splunk Enterprise On-Premises bietet die Reife und den Enterprise-Support, den das IT-Security-Team braucht. Das BSI akzeptiert Splunk als etablierte SIEM-L\u00f6sung in KRITIS-Auditberichten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Anwendungsfall 4: SOC-as-a-Service Anbieter (ELK-Skalierung)<\/strong><br>Ein M\u00fcnchner Managed Security Service Provider (MSSP) betreut 40 Kundenumgebungen. Sie nutzen Elastic Stack mit Multi-Tenancy: Jeder Kunde erh\u00e4lt separate Elasticsearch-Indices, Kibana-Spaces und Berechtigungen. Die Open-Source-Basis erlaubt es, das Gesch\u00e4ftsmodell kalkulierbar zu skalieren. Mit Splunk w\u00fcrden allein die Lizenzkosten f\u00fcr das Gesamtdatenvolumen aller Kunden mehrere Millionen Dollar pro Jahr kosten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Anwendungsfall 5: Beh\u00f6rde mit BSI-Anforderungen (Splunk-Pr\u00e4ferenz)<\/strong><br>Eine Bundesbeh\u00f6rde mit 500 Mitarbeitern ben\u00f6tigt eine SIEM-L\u00f6sung, die vom BSI in der Grundschutz-Dokumentation anerkannt wird, nach BSI TR-03116 konform betrieben werden kann und von einem einzigen Anbieter mit Enterprise-Support gereicht wird. Splunk erf\u00fcllt diese Kriterien durch langj\u00e4hrige Etablierung im Public-Sector-Bereich. ELK Stack w\u00e4re technisch machbar, aber der Ausschreibungs- und Zertifizierungsaufwand ist h\u00f6her.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fuer-wen-eignet-sich-welche-loesung\">F\u00fcr wen eignet sich welche L\u00f6sung?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Statt einer bin\u00e4ren Empfehlung liefert dieser Abschnitt klare Entscheidungspfade f\u00fcr verschiedene Ausgangssituationen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Splunk Enterprise Security ist die richtige Wahl, wenn:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Das Budget f\u00fcr 1.800\u20132.500 $\/GB\/Tag vorhanden ist<\/li>\n<li>Sofort einsatzbereite SIEM-Inhalte und minimaler Konfigurationsaufwand Priorit\u00e4t haben<\/li>\n<li>UEBA und SOAR nativ aus einer Hand ben\u00f6tigt werden<\/li>\n<li>Das Unternehmen stark reguliert ist (KRITIS, Bankensektor, \u00f6ffentliche Verwaltung)<\/li>\n<li>Das Security-Team SPL-Kenntnisse hat oder aufbauen will<\/li>\n<li>Compliance-Reports f\u00fcr PCI DSS, ISO 27001, NIS-2 sofort ohne Anpassung gebraucht werden<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>ELK Stack (Elastic Stack) ist die richtige Wahl, wenn:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Das Budget begrenzt ist und Open-Source-Modelle bevorzugt werden<\/li>\n<li>Ein DevOps- oder DevSecOps-Team vorhanden ist, das Elasticsearch kennt<\/li>\n<li>Observability (APM, Logs, Metrics, Traces) und Security in einer Plattform gefragt sind<\/li>\n<li>EDR-Funktionen direkt in den Stack integriert sein sollen<\/li>\n<li>Hohe Anpassbarkeit und volle Kontrolle \u00fcber die Datenpipeline wichtig sind<\/li>\n<li>Multi-Tenancy (z.B. f\u00fcr MSSPs) ohne exorbitante Lizenzkosten ben\u00f6tigt wird<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Keine der beiden L\u00f6sungen ist ideal, wenn:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Das Team keine SIEM-Erfahrung hat und gleichzeitig kein Budget f\u00fcr Professional Services besteht. In diesem Fall sind verwaltete SIEM-Services (MDR) oder vereinfachte SaaS-L\u00f6sungen die bessere Wahl.<\/li>\n<li>Das t\u00e4gliche Datenvolumen unter 1 GB liegt. In diesem Fall sind einfachere Tools (Graylog, Wazuh) kosteneffizienter.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"migrationsleitfaden-von-splunk-zu-elk-oder-umgekehrt-in-8-schritten\">Migrationsleitfaden: Von Splunk zu ELK (oder umgekehrt) in 8 Schritten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Migrationen zwischen SIEM-Plattformen sind aufwendig, aber machbar. Die folgende Anleitung gilt prim\u00e4r f\u00fcr den h\u00e4ufigsten Migrationsfall (Splunk zu Elastic), ist aber mit umgekehrter Logik auch f\u00fcr den anderen Weg anwendbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 1: Use-Case-Inventar erstellen<\/strong><br>Dokumentieren Sie alle aktiven Splunk-Saved-Searches, Alert-Regeln, Dashboards, Field-Extractions, Lookups und Korrelationsregeln. Priorisieren Sie nach Gesch\u00e4ftskritikalit\u00e4t. In der Praxis sind 20\u201330 % der vorhandenen Regeln veraltet und k\u00f6nnen gel\u00f6scht werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 2: Datenquellen-Mapping<\/strong><br>Identifizieren Sie, welche Splunk-Inputs zu Elastic-Agents, Logstash-Pipelines oder Beats-Konfigurationen werden. Verwenden Sie dabei das Elastic Common Schema (ECS) als Zielformat. ECS ist das \u00c4quivalent zum Splunk Common Information Model (CIM).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 3: Elasticsearch-Cluster aufsetzen<\/strong><br>Planen Sie die Node-Topologie nach erwarteter Datenmenge. Als Faustregel gilt: 1 GB\/Tag Indexdaten ben\u00f6tigt ungef\u00e4hr 1 GB RAM (Hot-Tier). Implementieren Sie Index Lifecycle Management (ILM) f\u00fcr automatisches Tiering von Hot zu Warm zu Cold zu Frozen.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Beispiel: ILM-Policy f\u00fcr 30-Tage-Hot, 90-Tage-Warm, L\u00f6schung nach 1 Jahr\nPUT _ilm\/policy\/siem_policy\n{\n  \"policy\": {\n    \"phases\": {\n      \"hot\": {\n        \"min_age\": \"0ms\",\n        \"actions\": {\n          \"rollover\": { \"max_size\": \"50gb\", \"max_age\": \"30d\" }\n        }\n      },\n      \"warm\": {\n        \"min_age\": \"30d\",\n        \"actions\": { \"shrink\": { \"number_of_shards\": 1 } }\n      },\n      \"delete\": {\n        \"min_age\": \"365d\",\n        \"actions\": { \"delete\": {} }\n      }\n    }\n  }\n}<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 4: Erkennungsregeln \u00fcbersetzen<\/strong><br>SPL-Abfragen m\u00fcssen in ES|QL oder Elastic Detection Rule Language \u00fcbersetzt werden. Einfache SPL-Pipes (stats, eval, where) haben direkte EQL-\u00c4quivalente. Komplexe Rex-Extractions erfordern Ingest-Pipeline-Prozessoren in Elasticsearch.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 5: Dashboards in Kibana neu erstellen<\/strong><br>Splunk-Dashboards lassen sich nicht automatisch konvertieren. Identifizieren Sie die 10 gesch\u00e4ftskritischsten Dashboards und migrieren Sie diese manuell. Kibana Lens bietet ein drag-and-drop Interface, das f\u00fcr viele Standard-Visualisierungen schneller ist als Splunk Simple XML.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 6: Parallelbetrieb starten<\/strong><br>Betreiben Sie beide Plattformen 4\u20138 Wochen parallel. Vergleichen Sie Alert-Fidelit\u00e4t, False-Positive-Raten und erkannte Ereignisse. Korrigieren Sie Abweichungen in den Elastic-Regeln.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 7: Alert-Qualit\u00e4t validieren<\/strong><br>F\u00fchren Sie Red-Team-Simulationen durch und pr\u00fcfen Sie, ob die Elastic-Regeln dieselben Angriffsmuster erkennen wie die Splunk-Regeln. Atomic Red Team ist ein empfehlenswertes Open-Source-Framework f\u00fcr diese Tests.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 8: Schrittweise Abschaltung von Splunk<\/strong><br>Migrieren Sie Workloads nach Priorit\u00e4t. Starten Sie mit weniger kritischen Log-Quellen, beenden Sie mit den hochkritischen SIEM-Use-Cases. Eine vollst\u00e4ndige Migration dauert bei mittelgro\u00dfen Umgebungen typischerweise 3\u20136 Monate.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"vor-und-nachteile-auf-einen-blick\">Vor- und Nachteile auf einen Blick<\/h2>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table>\n<thead>\n<tr>\n<th>Kriterium<\/th>\n<th>Splunk Enterprise Security<\/th>\n<th>ELK Stack \/ Elastic Security<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Kosten<\/strong><\/td>\n<td>Sehr hoch (1.800\u20132.500 $\/GB\/Tag)<\/td>\n<td>Niedrig (Open Source) bis moderat (Cloud)<\/td>\n<\/tr>\n<tr>\n<td><strong>Out-of-the-Box SIEM<\/strong><\/td>\n<td>Sehr stark, sofort produktionsbereit<\/td>\n<td>Gut, aber mehr Konfiguration n\u00f6tig<\/td>\n<\/tr>\n<tr>\n<td><strong>UEBA<\/strong><\/td>\n<td>Nativ integriert<\/td>\n<td>Nur in h\u00f6heren Tiers, eingeschr\u00e4nkt<\/td>\n<\/tr>\n<tr>\n<td><strong>SOAR<\/strong><\/td>\n<td>Splunk SOAR nativ verf\u00fcgbar<\/td>\n<td>Externe Integration erforderlich<\/td>\n<\/tr>\n<tr>\n<td><strong>EDR<\/strong><\/td>\n<td>Via Third-Party-Integration<\/td>\n<td>Elastic Endpoint Security nativ<\/td>\n<\/tr>\n<tr>\n<td><strong>Anpassbarkeit<\/strong><\/td>\n<td>Begrenzt (propriet\u00e4r)<\/td>\n<td>Sehr hoch (Open Source)<\/td>\n<\/tr>\n<tr>\n<td><strong>Lernkurve<\/strong><\/td>\n<td>Moderat (SPL, CIM-Konzepte)<\/td>\n<td>Hoch (Shard-Tuning, ECS, pipelines)<\/td>\n<\/tr>\n<tr>\n<td><strong>Community &amp; Ecosystem<\/strong><\/td>\n<td>Gro\u00df, kommerziell<\/td>\n<td>Sehr gro\u00df, Open Source<\/td>\n<\/tr>\n<tr>\n<td><strong>Datensouver\u00e4nit\u00e4t<\/strong><\/td>\n<td>Gut (On-Prem m\u00f6glich)<\/td>\n<td>Sehr gut (vollst\u00e4ndig selbst betreibbar)<\/td>\n<\/tr>\n<tr>\n<td><strong>Compliance-Reports<\/strong><\/td>\n<td>Umfangreich, vorgefertigt<\/td>\n<td>Vorhanden, teils manuell aufgebaut<\/td>\n<\/tr>\n<tr>\n<td><strong>NIS-2-Readiness<\/strong><\/td>\n<td>Ja (vorgefertigt)<\/td>\n<td>Ja (mit Anpassungsaufwand)<\/td>\n<\/tr>\n<\/tbody>\n<\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"expertenmeinungen\">Expertenmeinungen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Entwickler-Community hat klare Pr\u00e4ferenzen, die sich im Laufe der Zeit verschoben haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Fireship<\/strong>, der YouTube-Kanal mit \u00fcber 3 Millionen Abonnenten f\u00fcr pragmatische Entwickler-Inhalte, fasste den Vergleich 2025 so zusammen: &#8220;ELK is what developers reach for when they want to own their stack completely. Splunk is what enterprises reach for when they want someone else to own the problem.&#8221; Diese Einsch\u00e4tzung deckt sich mit der praktischen Erfahrung vieler DevSecOps-Teams: Wer die Kontrolle \u00fcber seine Infrastruktur bevorzugt und Elasticsearch schon kennt, wird ELK als nat\u00fcrliche Erweiterung empfinden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>ThePrimeagen<\/strong>, bekannt f\u00fcr tiefe Einblicke in Performance und Systemarchitektur, betont den realen Betriebsaufwand: &#8220;People underestimate how much work proper shard management is. ELK is incredibly powerful, but you have to respect it. Misconfigured shards kill performance faster than anything.&#8221; Dieser Hinweis auf Shard-Tuning ist einer der h\u00e4ufigsten Fallstricke bei ELK-Deployments. Teams, die dieses Know-how nicht intern aufbauen k\u00f6nnen oder wollen, sind mit Splunk oder Elastic Cloud besser bedient.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aus dem deutschen Security-Umfeld gibt es ebenfalls klare Stimmen. SOC-Analysten, die an deutschen Beh\u00f6rden und KRITIS-Betreibern arbeiten, berichten konsistent, dass Splunk bei Ausschreibungen der Standardvorschlag ist, w\u00e4hrend Elastic zunehmend in agileren Digitalunternehmen und MSSPs ankommt. Das BSI-Grundschutz-Kompendium nennt keine spezifischen SIEM-Produkte als Pflicht, setzt aber voraus, dass die eingesetzte L\u00f6sung protokollrelevante Events erfasst und auswertbar macht. Beide Plattformen erf\u00fcllen diese Anforderung bei korrekter Konfiguration.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unabh\u00e4ngige SOC-Analysten (underdefense.com, 2022, aktualisiert 2025) fassen den Stand so zusammen: &#8220;Splunk ES ist eine ausgereifte Maschine, die jahrelange Entwicklung widerspiegelt und ihren Preis wert ist. Elastic ist etwas Neues auf dem Markt, entwickelt sich aber rasant.&#8221; Dieser Vergleich bleibt 2026 zutreffend, wobei sich der Abstand bei SIEM-Features in den letzten zwei Jahren deutlich verringert hat.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-themen-auf-shattered-io\">Verwandte Themen auf shattered.io<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"related-coverage\">Related Coverage<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/de\/pfsense-vs-opnsense\/\">pfSense vs OPNsense: Open-Source-Firewall im Vergleich [2026]<\/a><\/li>\n<li><a href=\"\/de\/crowdsec-vs-fail2ban\/\">CrowdSec vs Fail2ban: Intrusion Prevention im Vergleich [2026]<\/a><\/li>\n<li><a href=\"\/de\/nis2-umsetzungsgesetz-deutschland-2026\/\">NIS-2 in Deutschland: Was Unternehmen bis Juli 2026 umsetzen m\u00fcssen<\/a><\/li>\n<li><a href=\"\/de\/dach-cyberangriffe-2026-deutschland\/\">DACH: Cyberangriffe um 124 Prozent gestiegen [2026]<\/a><\/li>\n<li><a href=\"\/de\/nmap-tutorial-netzwerk-scanner\/\">Nmap-Tutorial: Netzwerke scannen in 12 Schritten [2026]<\/a><\/li>\n<li><a href=\"\/de\/kali-linux-vs-parrot-os\/\">Kali Linux vs Parrot OS: Security-Distribution im Vergleich [2026]<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufig-gestellte-fragen-faq\">H\u00e4ufig gestellte Fragen (FAQ)<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ist-der-elk-stack-wirklich-kostenlos\">Ist der ELK Stack wirklich kostenlos?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Software ist kostenlos (Open Source unter AGPLv3 seit August 2024), der Betrieb nicht. Server-Infrastruktur, Personal f\u00fcr Konfiguration und Wartung sowie optionale Elastic-Subscriptions f\u00fcr kommerzielle Features kommen hinzu. F\u00fcr kleine Deployments (unter 10 GB\/Tag) mit eigenem Know-how ist ELK jedoch deutlich g\u00fcnstiger als Splunk.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"kann-elk-stack-splunk-vollstaendig-ersetzen\">Kann ELK Stack Splunk vollst\u00e4ndig ersetzen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr viele Anwendungsf\u00e4lle ja, aber nicht f\u00fcr alle. UEBA nativ und native SOAR-Integration sind in ELK noch nicht auf Splunk-Niveau. Teams, die stark auf Risk-Based Alerting und vorgefertigte Compliance-Reports setzen, werden mit ELK mehr Konfigurationsaufwand haben. F\u00fcr DevOps- und DevSecOps-Teams ist ELK oft die bessere Wahl.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-siem-plattform-ist-nis-2-konform\">Welche SIEM-Plattform ist NIS-2-konform?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Beide Plattformen k\u00f6nnen NIS-2-konform betrieben werden. NIS-2 schreibt keine spezifischen Produkte vor, sondern Prozesse und Mindestanforderungen an Protokollierung und Incident Response. Splunk bietet daf\u00fcr vorgefertigte Dashboards, bei ELK m\u00fcssen diese teilweise manuell aufgebaut werden. Das KRITIS-Dachgesetz (in Kraft seit 17. Juli 2026) stellt \u00e4hnliche Anforderungen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-lange-dauert-eine-migration-von-splunk-zu-elk\">Wie lange dauert eine Migration von Splunk zu ELK?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Bei mittleren Umgebungen (10\u2013100 GB\/Tag, 50\u2013200 Detektionsregeln) dauert eine sorgf\u00e4ltige Migration mit Parallelbetrieb typischerweise 3\u20136 Monate. Kleine Deployments schaffen es in 4\u20138 Wochen. Komplexe Enterprise-Deployments mit 500+ Regeln und vielen Compliance-Anforderungen k\u00f6nnen 9\u201312 Monate ben\u00f6tigen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-splunk-alternative-gibt-es-ausser-elk-stack\">Welche Splunk-Alternative gibt es au\u00dfer ELK Stack?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wazuh (Open Source SIEM, sehr gut f\u00fcr KMUs), Graylog (kosteng\u00fcnstiges Log-Management), Microsoft Sentinel (Cloud-native SIEM, gut f\u00fcr Azure-Umgebungen), Datadog Security und OpenObserve (kosteneffizienter Splunk-Ersatz mit bis zu 140x Kompression). F\u00fcr KRITIS und Beh\u00f6rden in Deutschland ist Microsoft Sentinel eine zunehmend verbreitete Alternative zu Splunk.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"kann-splunk-dsgvo-konform-in-deutschland-betrieben-werden\">Kann Splunk DSGVO-konform in Deutschland betrieben werden?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Splunk Enterprise On-Premises verarbeitet alle Daten im eigenen Rechenzentrum. Splunk Cloud bietet EU-Regionen (Frankfurt) mit entsprechenden Datenschutzvertr\u00e4gen (DPA). F\u00fcr personenbezogene Log-Daten sind in beiden F\u00e4llen Datenschutz-Folgeabsch\u00e4tzungen und entsprechende technische Ma\u00dfnahmen (Pseudonymisierung, Zugriffskontrollen) erforderlich.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"unterstuetzen-beide-plattformen-mitre-attck\">Unterst\u00fctzen beide Plattformen MITRE ATT&#038;CK?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Beide bieten Detektionsregeln, die auf MITRE ATT&amp;CK-Techniken gemappt sind. Splunk ES hat eine l\u00e4ngere Geschichte und eine gr\u00f6\u00dfere Bibliothek an fertigen Regeln. Elastic Security nutzt Community-gepflegte Regeln im Open-Source-Repository &#8220;detection-rules&#8221; auf GitHub, das aktiv w\u00e4chst und zunehmend mit kommerziellen Angeboten gleichzieht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-abfragesprache-ist-einfacher-zu-lernen-spl-oder-esql\">Welche Abfragesprache ist einfacher zu lernen: SPL oder ES|QL?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das h\u00e4ngt vom Hintergrund ab. SPL (Splunk Processing Language) ist f\u00fcr diejenigen intuitiv, die UNIX-Pipes kennen. ES|QL (eingef\u00fchrt in Elasticsearch 8.11) ist SQL-\u00e4hnlich und f\u00fcr Entwickler und Datenbankadministratoren oft leichter zug\u00e4nglich. KQL (Kibana Query Language) f\u00fcr einfachere Searches ist sehr zug\u00e4nglich. In Schulungsumgebungen dauert das Erreichen einer produktiven Grundkompetenz bei beiden Sprachen typischerweise 2\u20134 Wochen Vollzeit.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"splunk-vs-elk-stack-vs-microsoft-sentinel-der-erweiterte-vergleich\">Splunk vs ELK Stack vs Microsoft Sentinel: Der erweiterte Vergleich<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">In der Praxis w\u00e4hlen Security-Teams in Deutschland nicht nur zwischen Splunk und ELK Stack. Microsoft Sentinel hat sich seit 2024 als dritte ernsthafte Alternative etabliert, besonders in Azure-lastigen Umgebungen. Ein kurzer \u00dcberblick \u00fcber die Positionierung aller drei Plattformen hilft, die richtige Entscheidung zu treffen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Microsoft Sentinel<\/strong> ist ein Cloud-natives SIEM, das direkt in Azure integriert ist. Die Preise richten sich nach analysierten Gigabyte: Ab 2,46 Dollar pro GB (Pay-as-you-go) bzw. g\u00fcnstiger bei Commitment-Tarifen. F\u00fcr Unternehmen, die bereits Azure nutzen und Microsoft 365 Defender einsetzen, ist Sentinel eine nat\u00fcrliche Wahl. Die Integration in die Microsoft-Sicherheitsplattform ist nahtlos, die SIEM-Funktionen sind ausgereift, und UEBA sowie SOAR (via Logic Apps) sind verf\u00fcgbar. Der Nachteil: Sentinel funktioniert ausschlie\u00dflich als SaaS in Azure, was f\u00fcr Unternehmen mit strikten On-Premises-Anforderungen oder Datensouver\u00e4nit\u00e4tspflichten ein Problem sein kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Wazuh<\/strong>, ein vollst\u00e4ndig Open-Source-SIEM, ist eine weitere Alternative, die besonders bei kleineren SOC-Teams und MSSPs beliebt ist. Wazuh bietet SIEM, XDR und Log-Analyse in einem Paket, ist kostenfrei und skaliert bis zu mehreren tausend Endpoints. Die SIEM-Reife ist geringer als bei Splunk oder Elastic Security, aber f\u00fcr viele KMUs unter NIS-2-Anforderungen ausreichend. Wazuh baut im Backend auf Elasticsearch\/OpenSearch auf und kann in einen ELK Stack integriert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Positionierung auf einen Blick: Splunk f\u00fcr Enterprise-SIEM mit maximalem Compliance-Komfort. ELK Stack f\u00fcr technisch versierte Teams mit Fokus auf Flexibilit\u00e4t und Kosten. Microsoft Sentinel f\u00fcr Azure-zentrierte Umgebungen. Wazuh f\u00fcr ressourcenbeschr\u00e4nkte Organisationen mit Open-Source-Pr\u00e4ferenz.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"community-support-und-weiterbildung-im-vergleich\">Community, Support und Weiterbildung im Vergleich<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Langfristige Betriebskosten h\u00e4ngen auch davon ab, wie schnell das Team Probleme l\u00f6sen kann und wie aktiv die Community ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Splunk-Community:<\/strong> Splunk hat eine aktive Community auf Splunk Community (answers.splunk.com), Splunkbase (App-Marktplatz) und Splunk User Groups (SUGs) weltweit. Die Splunk-Zertifizierungen (Splunk Core Certified User, Splunk Enterprise Certified Admin, Splunk SOAR Certified Automation Developer) sind in deutschen Security-Stellenausschreibungen zunehmend erw\u00e4hnt. Enterprise-Support von Cisco\/Splunk mit SLAs ist im Lizenzpreis oft enthalten oder gegen Aufpreis buchbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Elastic-Community:<\/strong> Die Elastic-Community ist technisch sehr aktiv. Das GitHub-Repository &#8220;elastic\/detection-rules&#8221; sammelt community-gepflegte MITRE ATT&amp;CK-Detektionsregeln und w\u00e4chst kontinuierlich. Das Elastic-Forum (discuss.elastic.co) ist eine der aktivsten technischen Communities im Open-Source-Bereich. Elastic bietet ebenfalls Zertifizierungen an: Elastic Certified Engineer und Elastic Certified Analyst. F\u00fcr Teams ohne Enterprise-Support-Vertrag ist die Community die prim\u00e4re Anlaufstelle, was unterschiedliche Antwortzeiten bedeutet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schulungskosten:<\/strong> Splunk-Schulungen durch autorisierte Partner kosten typischerweise 3.000\u20135.000 Euro pro Person f\u00fcr fortgeschrittene Kurse. Elastic bietet eigene Schulungen und Zertifizierungen, ebenfalls im \u00e4hnlichen Preisbereich f\u00fcr kommerzielle Kurse. Kostenfreie Einstiegsressourcen sind bei Elastic durch die extensive Open-Source-Dokumentation und Kibana-Demo-Umgebungen leichter zug\u00e4nglich als bei Splunk.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Incident Response im Notfall:<\/strong> Bei einem aktiven Sicherheitsvorfall ist Reaktionszeit entscheidend. Splunk-Kunden mit Enterprise-Support haben Zugang zu direktem Vendor-Support. ELK-Teams ohne Support-Vertrag verlassen sich auf die Community oder externe Spezialisten. F\u00fcr SOC-Teams, die 24\/7 operieren und Service Level Agreements einhalten m\u00fcssen, ist dieser Unterschied ein ernsthafter Entscheidungsfaktor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"splunk-vs-elk-stack-praktische-spl-und-esql-abfragen\">Splunk vs ELK Stack: Praktische SPL und ES|QL-Abfragen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um den Unterschied zwischen den Abfragesprachen greifbar zu machen, vergleichen wir dieselbe Sicherheitsabfrage in beiden Sprachen: Alle fehlgeschlagenen SSH-Anmeldeversuche der letzten 24 Stunden, gruppiert nach Quell-IP-Adresse.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Splunk SPL:<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>index=linux sourcetype=syslog \"Failed password\"\n| rex field=_raw \"from (?P&lt;src_ip&gt;\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\"\n| stats count by src_ip\n| sort -count\n| where count &gt; 10\n| rename count as \"Fehlversuche\", src_ip as \"Quell-IP\"<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Elastic ES|QL (ab Elasticsearch 8.11):<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>FROM logs-linux.syslog-*\n| WHERE @timestamp >= NOW() - 24h\n  AND message LIKE \"Failed password*\"\n| STATS count = COUNT(*) BY source.ip\n| WHERE count > 10\n| SORT count DESC\n| RENAME count AS `Fehlversuche`, source.ip AS `Quell-IP`<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Der Vergleich zeigt: SPL nutzt Pipe-Syntax \u00e4hnlich Unix-Shells, ES|QL nutzt SQL-\u00e4hnliche Syntax mit FROM\/WHERE\/STATS. Beide Abfragen liefern dasselbe Ergebnis. Entwickler mit SQL-Hintergrund finden ES|QL intuitiver, Unix-Administratoren bevorzugen h\u00e4ufig SPL. Beide Sprachen erfordern \u00dcbung, bis komplexe Korrelationsabfragen sicher formuliert werden k\u00f6nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiterer Unterschied: In Splunk wird das Feld &#8220;src_ip&#8221; durch eine Regex-Extraktion (rex) zur Laufzeit bef\u00fcllt, weil Splunk &#8220;Schema on Read&#8221; folgt. In Elasticsearch existiert das Feld &#8220;source.ip&#8221; bereits im Index, weil es bei der Aufnahme durch das ECS-konforme Parsing gesetzt wurde. Das macht Elasticsearch-Abfragen in bekannten Datenformaten effizienter, erfordert aber initial mehr Pipeline-Konfiguration.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fazit-das-verdikt-mit-daten\">Fazit: Das Verdikt mit Daten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die ehrliche Antwort auf &#8220;Splunk vs ELK Stack&#8221; ist nicht &#8220;eines von beiden ist besser&#8221;, sondern &#8220;es kommt auf drei Variablen an&#8221;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Budget:<\/strong> Unter 100.000 Euro Jahresbudget f\u00fcr SIEM f\u00fchrt kein Weg an ELK Stack oder Alternativen vorbei.<\/li>\n<li><strong>Team-Know-how:<\/strong> Ein Team mit Elasticsearch-Erfahrung profitiert stark vom ELK-\u00d6kosystem. Ein Team ohne SIEM-Erfahrung ist mit Splunk Enterprise Security schneller operativ.<\/li>\n<li><strong>Regulatorische Anforderungen:<\/strong> KRITIS, Bankensektor und Beh\u00f6rden in Deutschland greifen mehrheitlich zu Splunk, weil Reife und vorgefertigte Compliance-Inhalte den Ausschreibungsaufwand senken.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die Zahlen sprechen f\u00fcr sich: 500.000 Elasticsearch-Downloads pro Monat belegen, dass der ELK Stack der de-facto-Standard f\u00fcr selbst betriebene Log-Analyse geworden ist. Splunks 12.000 Enterprise-Kunden zeigen, dass die Plattform dort dominant bleibt, wo Geld und Compliance-Anforderungen den Ausschlag geben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr 2026 gilt: <strong>Wer Flexibilit\u00e4t und Kosteneffizienz will, w\u00e4hlt ELK. Wer sofort einsatzbereit und regulatorisch abgesichert sein muss, w\u00e4hlt Splunk.<\/strong> Beide Plattformen entwickeln sich schnell, und der Abstand bei SIEM-Features wird kleiner. In zwei Jahren k\u00f6nnte Elastic Security die letzte verbliebene L\u00fccke (native UEBA, native SOAR) geschlossen haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Externe Ressourcen:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.elastic.co\/security\/siem\" target=\"_blank\" rel=\"noopener noreferrer\">Elastic Security SIEM: Offizielle Produktseite<\/a><\/li>\n<li><a href=\"https:\/\/www.splunk.com\/en_us\/solutions\/splunk-vs-elastic.html\" target=\"_blank\" rel=\"noopener noreferrer\">Splunk vs. Elastic: Herstellervergleich (Splunk)<\/a><\/li>\n<li><a href=\"https:\/\/www.elastic.co\/pricing\" target=\"_blank\" rel=\"noopener noreferrer\">Elastic Stack Preis\u00fcbersicht 2026<\/a><\/li>\n<li><a href=\"https:\/\/logit.io\/blog\/post\/splunk-vs-elk\/\" target=\"_blank\" rel=\"noopener noreferrer\">Splunk vs ELK: Unabh\u00e4ngige Analyse (logit.io)<\/a><\/li>\n<li><a href=\"https:\/\/openobserve.ai\/blog\/splunk-alternatives\/\" target=\"_blank\" rel=\"noopener noreferrer\">Splunk-Alternativen im Vergleich 2026 (OpenObserve)<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Von der Redaktion | 20. Juni 2026 | Lesedauer: ca. 18 Minuten Ein mittelst\u00e4ndisches Unternehmen mit 50 GB Logdaten pro Tag zahlt f\u00fcr Splunk zwischen 235.000 und 250.000 Dollar im\u2026<\/p>\n","protected":false},"author":2,"featured_media":251,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-250","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=250"}],"version-history":[{"count":0,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/250\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/251"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=250"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=250"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}