EAllgemein

Endpoint Detection and Response (EDR)

Erkennung/Abwehr von Angriffen auf PCs/Server inkl. Telemetrie und Reaktion.

Endpoint Detection and Response (EDR) ist eine Sicherheitslösung, die Angriffe auf Endgeräten wie PCs, Laptops und Servern erkennt, untersucht und automatisch oder manuell darauf reagiert. Dafür sammelt EDR fortlaufend Telemetriedaten (z. B. Prozesse, Netzwerkverbindungen, Dateiänderungen) und hilft, Schadsoftware, Ransomware oder „Living-off-the-Land“-Angriffe früh zu stoppen.

Was bedeutet EDR?

EDR steht für „Endpoint Detection and Response“ – also „Erkennung und Reaktion“ direkt am Endgerät. Im Unterschied zu klassischem Antivirus (signaturbasiert) arbeitet EDR stark verhaltensbasiert: Es bewertet Muster und Anomalien und liefert Kontext, damit IT-Verantwortliche Vorfälle schneller einordnen können.

Wie funktioniert Endpoint Detection and Response (EDR)?

  • Agent auf dem Endpoint: Auf jedem Gerät läuft ein EDR-Agent, der sicherheitsrelevante Ereignisse erfasst (z. B. PowerShell-Ausführung, verdächtige Registry-Änderungen, ungewöhnliche Logins).
  • Telemetrie & Korrelation: Die Daten werden zentral gesammelt (Cloud oder On-Prem) und zu Angriffsketten zusammengeführt (Kill-Chain/Szenario-Ansicht).
  • Erkennung: Regeln, Heuristiken und oft Machine-Learning-Modelle markieren verdächtiges Verhalten (z. B. Massenverschlüsselung von Dateien als Ransomware-Indikator).
  • Untersuchung (Investigation): Security-Teams erhalten „Alerts“ mit Details: betroffene Geräte, Zeitlinien, betroffene Nutzer, Hashes/Dateien, Netzwerkziele.
  • Reaktion (Response): Typische Maßnahmen sind Gerät isolieren, Prozess beenden, Datei in Quarantäne verschieben, Persistenz entfernen, IOC-Suche auf allen Endpoints, oder Rollback (je nach Produkt).

Warum ist EDR für KMU in Deutschland wichtig?

KMU sind häufig Ziel von Ransomware, Phishing und kompromittierten Fernzugängen. EDR reduziert das Risiko, dass ein einzelner infizierter Laptop das gesamte Netzwerk lahmlegt. Praktisch relevant ist auch die schnellere Forensik: Statt „Wir wissen nicht, was passiert ist“ erhalten Sie belastbare Hinweise, welche Systeme betroffen sind und ob Datenabfluss wahrscheinlich ist.

EDR & Datenschutz (DSGVO): Was müssen KMU beachten?

EDR verarbeitet in der Praxis oft personenbezogene Daten, z. B. Benutzernamen, IP-Adressen, Gerätezuordnungen, ggf. Dateipfade oder E-Mail-Artefakte. Damit gilt: Zweckbindung (IT-Sicherheit), Datenminimierung, Transparenz gegenüber Beschäftigten sowie passende Aufbewahrungsfristen für Logs. Nutzen Sie einen Cloud-EDR-Anbieter, brauchen Sie in der Regel eine AVV (Auftragsverarbeitung) und sollten Datenstandort/Unterauftragsverarbeiter prüfen. Außerdem ist EDR ein typisches Element „geeigneter technischer und organisatorischer Maßnahmen“ (TOM) zur Sicherung von Vertraulichkeit, Integrität und Verfügbarkeit.

Praxisbeispiel: Ransomware früh stoppen

Ein Mitarbeiter öffnet einen schädlichen Anhang. EDR erkennt, dass ein Prozess in kurzer Zeit viele Dateien umbenennt/verschlüsselt und zusätzlich verdächtige Netzwerkverbindungen aufbaut. Das System isoliert den Rechner automatisch vom Netzwerk und beendet den Prozess – bevor Serverlaufwerke betroffen sind. Die IT kann anschließend per IOC-Suche prüfen, ob weitere Geräte kompromittiert wurden.

Was kostet EDR?

Die Kosten hängen meist von der Anzahl der Endpoints, Funktionsumfang (nur EDR vs. „EPP+EDR“ oder MDR-Service) und Aufbewahrungsdauer der Telemetrie ab. Typisch sind monatliche Lizenzmodelle pro Gerät; zusätzliche Kosten entstehen häufig für 24/7-Überwachung (MDR) oder längere Log-Retention. Für KMU lohnt sich oft ein Paket mit klaren Reaktionsfunktionen (Isolation, Quarantäne) und verständlichen Alarmen.