EDR Endpoint Detection and Response.

EDR ist die agentenbasierte Plattform, die Endpunkt-Aktivitäten aufzeichnet, verdächtiges Verhalten erkennt und Analysten ermöglicht, kompromittierte Hosts zu isolieren oder zu bereinigen. XDR erweitert die Sichtbarkeit auf Endpunkte, Netzwerk und Cloud; MDR ist die verwaltete Servicehülle. Der Endpunkt ist nach wie vor der häufigste Angriffsvektor; EDR ist heute eine Grundvoraussetzung, kein Differenzierungsmerkmal.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Die Einschätzung der Cyber Academy

EDR ist die agentenbasierte Plattform, die Endpunkt-Aktivitäten aufzeichnet, verdächtiges Verhalten erkennt und Analysten ermöglicht, kompromittierte Hosts zu isolieren oder zu bereinigen. XDR erweitert die Sichtbarkeit auf Endpunkte, Netzwerk und Cloud; MDR ist die verwaltete Servicehülle. Der Endpunkt ist nach wie vor der häufigste Angriffsvektor; EDR ist heute eine Grundvoraussetzung, kein Differenzierungsmerkmal.

Was EDR auf dem Host tatsächlich leistet

Endpoint Detection and Response betreibt einen schlanken Agenten auf jeder Workstation, jedem Laptop und jedem Server, der Ihnen wichtig ist. Dieser Agent zeichnet fortlaufend auf, was das Betriebssystem tut: Prozesse, die gestartet werden, Befehlszeilen, die sie ausführen, Dateien, die geschrieben werden, Registry-Schlüssel, die sich ändern, Netzwerkverbindungen, die geöffnet werden, und Benutzersitzungen, die beginnen. Dieser Telemetriestrom ist das Herzstück von EDR.

Wo das herkömmliche Antivirus eine einzige Frage stellte, «ist diese Datei als bösartig bekannt», stellt EDR eine schwierigere, «ist diese Verhaltensabfolge verdächtig», was es ihm erlaubt, dateilose Angriffe, Living-off-the-Land-Techniken und den Missbrauch legitimer Werkzeuge zu erkennen, die nie eine erkennbare Malware-Probe hinterlassen.

Der «Response»-Teil ist das, was EDR von einem passiven Sensor unterscheidet. Wenn ein Host kompromittiert ist, kann ein Analyst von der Konsole aus handeln: die Maschine vom Netzwerk isolieren und dabei die Agentenverbindung am Leben halten, einen bösartigen Prozess beenden, eine Datei in Quarantäne stellen, forensische Artefakte sammeln oder Änderungen zurücksetzen. Diese Fähigkeit, einen einzelnen Endpunkt einzudämmen, ohne ihn physisch zu berühren, mitten in einem laufenden Vorfall, ist diejenige, auf die sich Praktiker am meisten verlassen. Die Telemetrie speist auch die Untersuchung, sodass die Einsatzkräfte die gesamte Kette der Handlungen eines Angreifers rekonstruieren können, statt nur die erste Phase zu blockieren.

EDR, XDR und MDR: den Unterschied kennen

Diese drei Akronyme werden nebeneinander verkauft und sind leicht zu verwechseln. Es handelt sich weniger um konkurrierende Produkte als um unterschiedliche Geltungsbereiche und Bereitstellungsmodelle, die um dieselbe Grundidee herum aufgebaut sind.

EDR vs XDR vs MDR
BegriffGeltungsbereichWas es ist
EDRNur EndpunkteDie agentenbasierte Plattform, die auf Hosts aufzeichnet, erkennt und reagiert. Sie betreiben sie selbst.
XDREndpunkt, Netzwerk, Cloud, Identität, E-MailErweitert und korreliert die Erkennung über mehrere Ebenen hinweg, nicht nur den Endpunkt, um Angriffe zu sehen, die sich über mehrere Domänen erstrecken.
MDRWas auch immer der Anbieter abdecktEin verwalteter Dienst: ein Team eines Dritten betreibt Erkennung und Reaktion in Ihrem Auftrag, häufig auf Basis von EDR oder XDR.

Die praktische Lesart ist unkompliziert. EDR ist die Technologie auf dem Host. XDR ist dieselbe Erkennungsphilosophie, erweitert, um Signale jenseits des Endpunkts aufzunehmen und zu korrelieren. MDR ist eine Outsourcing-Entscheidung: Sie kaufen die Analysten und die Rund-um-die-Uhr-Abdeckung, nicht nur das Werkzeug. Ein kleines Team ohne ein 24/7-SOC kombiniert EDR häufig mit einem MDR-Anbieter, damit Warnmeldungen um drei Uhr morgens gesichtet werden.

Wo EDR in Ihrem Betrieb und Ihrem ISMS angesiedelt ist

EDR arbeitet selten allein. Seine Erkennungen und seine Rohtelemetrie werden üblicherweise an ein SIEM weitergeleitet, um sie mit Protokollen von Firewalls, Identitätsanbietern und Anwendungen zu korrelieren, und die daraus resultierenden Warnmeldungen werden von einem SOC bearbeitet. In dieser Pipeline ist EDR der hochpräzise Sensor, der dem Ort am nächsten ist, an dem die meisten Eindringversuche beginnen, da der Endpunkt der häufigste Einstiegspunkt bleibt, durch Phishing, gestohlene Zugangsdaten und verwundbare Software.

Aus Governance-Sicht ist EDR das, was mehrere Steuerungsziele real statt aspirativ werden lässt. Im Rahmen eines ISO/IEC 27001 ISMS unterstützt es Maßnahmen rund um den Schutz vor Schadsoftware, die Protokollierung, die Überwachung und die technische Seite des Vorfallmanagements, und es erzeugt die Nachweise, die ein Auditor zu sehen erwartet. Es untermauert zudem die Erkennungs- und Reaktionsfähigkeit, die Rahmenwerke wie das Cybersicherheits-Funktionsmodell des NIST und Regulierungen wie NIS2 und DORA bei einer Organisation voraussetzen. Die shortDefinition bringt es auf den Punkt: EDR ist inzwischen eine Grundvoraussetzung, kein Unterscheidungsmerkmal.

Frequently asked questions

01Worin unterscheidet sich EDR vom Antivirus?

Das herkömmliche Antivirus gleicht Dateien mit Signaturen bekannter Schadsoftware ab und blockiert, was es erkennt. EDR zeichnet fortlaufend das Verhalten der Endpunkte auf und erkennt verdächtige Aktivitätsmuster, was dateilose Angriffe und den Missbrauch legitimer Werkzeuge erfasst, die keine Signatur kennzeichnen würde. EDR ergänzt zudem Reaktionsmaßnahmen wie die Host-Isolierung und die forensische Sammlung, die ein Antivirus nicht bietet.

02Was ist der Unterschied zwischen EDR und XDR?

EDR ist auf Endpunkte beschränkt. XDR erweitert denselben Erkennungs- und Korrelationsansatz auf zusätzliche Ebenen wie Netzwerk, Cloud, Identität und E-Mail, sodass es Angriffe ans Licht bringen kann, die sich zwischen Domänen bewegen. XDR bedeutet breitere Sichtbarkeit, kein Ersatz für die Tiefe auf Host-Ebene, die EDR bietet.

03Brauche ich noch ein SIEM, wenn ich EDR habe?

Meist ja. EDR ist auf dem Endpunkt hervorragend, sieht aber Firewall-, Anwendungs- oder Identitätsprotokolle nicht vollständig. Ein SIEM korreliert die EDR-Telemetrie mit diesen anderen Quellen für ein vollständiges Bild, weshalb beide üblicherweise gemeinsam bereitgestellt werden und ein SOC speisen.

04Was ist MDR und wann brauche ich es?

MDR, Managed Detection and Response, ist ein Dienst, bei dem ein Team eines Dritten Erkennung und Reaktion für Sie betreibt, häufig auf Basis von EDR oder XDR. Es ergibt Sinn, wenn Ihnen die internen Analysten oder die Rund-um-die-Uhr-Abdeckung fehlen, um Warnmeldungen zu jeder Stunde zu sichten.

05Ist EDR für die Compliance erforderlich?

Kein Standard nennt EDR ausdrücklich, doch seine Fähigkeiten lassen sich direkt auf Steuerungsziele der ISO/IEC 27001 sowie auf die Erkennungs- und Reaktionserwartungen von Rahmenwerken wie dem NIST CSF und Regulierungen wie NIS2 und DORA abbilden. In der Praxis wird es als Grundvoraussetzung behandelt, um Überwachung und Vorfallreaktion nachzuweisen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.