EDR
Endpoint Detection and Response
EDR (Endpoint Detection and Response) ist eine Sicherheits-Technologie, die Endgeräte (Laptops, Server) kontinuierlich überwacht, verdächtiges Verhalten in Echtzeit erkennt und automatisch reagiert – etwa durch Isolation eines kompromittierten Rechners. EDR ist der direkte Nachfolger klassischer Antivirus-Software.
Klassische Antivirus-Tools arbeiten signaturbasiert: Sie erkennen nur bereits bekannte Schadsoftware. EDR verfolgt einen anderen Ansatz – es analysiert das Verhalten aller Prozesse auf einem Endgerät und schlägt Alarm bei Mustern, die nach Angriff aussehen, auch wenn die konkrete Malware noch unbekannt ist.
Moderne EDR-Lösungen (z. B. SentinelOne, CrowdStrike, Microsoft Defender for Endpoint, Sophos Intercept X) nutzen Machine Learning und automatisieren die Reaktion: Bei verdächtigem Verhalten wird das Endgerät vom Netz isoliert, Prozesse werden beendet, Snapshots ermöglichen Rollback. Ein SOC oder Managed-Detection-Provider übernimmt das Monitoring.
EDR ist faktisch Pflicht für jedes Unternehmen, das auch nur ansatzweise interessante Daten verarbeitet. Versicherer fordern EDR häufig als Voraussetzung für Cyber-Police; NIS2 implizit als Risikomanagement-Maßnahme; Microsofts Copilot- und KI-Lizenzen häufig nur in Verbindung mit Defender-EDR.
Praxis-Beispiel
Ein NRW-Industriebetrieb wurde nach Ransomware-Angriff komplett neu aufgesetzt. Teil des Wiederaufbaus: Einführung einer KI-basierten EDR-Lösung auf allen 4500 Endgeräten. Drei Monate später wurde ein Folge-Angriff binnen Sekunden erkannt und automatisch isoliert – Schaden: ein einziger Laptop, kein Produktionsausfall.
Häufige Fragen zu EDR
Reicht klassischer Antivirus nicht aus?
Nein. Signaturbasierter Antivirus erkennt nur bekannte Bedrohungen. Moderne Angriffe (Ransomware, Zero-Days, dateilose Malware) umgehen Signaturen mühelos. EDR analysiert Verhalten und erkennt Angriffe auch ohne Vorab-Wissen.
Was kostet EDR pro Endgerät?
Übliche Lizenzkosten liegen zwischen 5 und 15 € pro Endgerät und Monat – je nach Hersteller und Funktionsumfang. Bei Managed-EDR (mit 24/7-Monitoring durch externes SOC) kommen 5–10 € Service-Kosten dazu.