Was ist Endpoint Detection and Response (EDR)?

April 26, 2026
George Rouse
Endpoint und Reaktion (EDR)

Laut dem „Kaseya State of the MSP 2026“ verzeichneten 71 % der MSPs im Vergleich zum Vorjahr ein Umsatzwachstum im Bereich Cybersicherheit, und EDR hat sich zu der grundlegenden Sicherheitsmaßnahme entwickelt, die Kunden mittlerweile als Standard erwarten. Die Frage ist nicht mehr, ob Sie EDR benötigen. Die Frage ist vielmehr, ob Ihr derzeitiges EDR-System den Herausforderungen gewachsen ist, denen Endgeräte im Jahr 2026 tatsächlich ausgesetzt sein werden.

Antivirus jahrzehntelang Antivirus Sicherheitsstandard für den Endgeräteschutz. Sie funktionierten gut, als Malware noch weitgehend bekannt, signaturbasiert und über vorhersehbare Übertragungswege verbreitet war. Angesichts der heutigen Bedrohungslage bieten sie jedoch nur noch minimalen Schutz. Moderne Angriffe nutzen dateilose Malware, die vollständig im Arbeitsspeicher ausgeführt wird, „Living-off-the-Land“-Techniken, bei denen legitime Systemtools missbraucht werden, sowie polymorphe Malware, die ihre Signatur bei jedem Aufruf verändert. Keine dieser Methoden hinterlässt die Art von Dateispuren, die eine signaturbasierte Erkennung aufspüren kann.

Endpoint Detection and Response (EDR) wurde entwickelt, um diese Lücke zu schließen. Anstatt Dateien mit einer Datenbank bekannter Bedrohungen abzugleichen, überwacht EDR das Verhalten der Endgeräte kontinuierlich und identifiziert die mit Angriffen verbundenen Aktivitätsmuster, unabhängig davon, ob die jeweilige Technik bereits zuvor beobachtet wurde.

Das Wichtigste in Kürze

  • EDR überwacht das Verhalten von Endgeräten kontinuierlich und erkennt Angriffsmuster, unabhängig davon, ob die jeweilige Bedrohung bekannt ist, und überwindet damit die Einschränkungen signaturbasierter Antivirenprogramme.
  • Der Kernwert besteht darin, Bedrohungen zu erkennen, einzudämmen und zu untersuchen: Bedrohungen bereits während ihrer Ausführung zu stoppen, ihre Ausbreitung zu begrenzen und forensische Daten bereitzustellen, um die Geschehnisse vollständig zu verstehen und Abhilfe zu schaffen.
  • EDR schützt vor Angriffsarten, die herkömmliche Tools umgehen: dateilose Malware, Zero-Day-Exploits, Ransomware, mehrstufige APT-Kampagnen und Insider-Bedrohungen.
  • Die MITRE ATT&CK-Abdeckung ist der richtige Maßstab für die Bewertung von EDR: Achten Sie darauf, welche Taktiken und Techniken genau erkannt werden, und nicht nur auf die angegebenen Erkennungsraten.
  • Ein EDR-System ohne Analyse durch Experten ist unvollständig. MDR bietet die menschliche Komponente, die EDR-Erkennungen in operative Maßnahmen umsetzt, und ist die praktische Lösung für Unternehmen, die über keine eigenen SOC-Kapazitäten verfügen.
  • Für MSPs bietet eine mit RMM PSA integrierte EDR-Lösung eine einheitliche Übersicht über die Endgeräte, einen automatisierten Workflow von der Warnmeldung bis zum Ticket sowie eine mandantenfähige Verwaltung, die eine skalierbare Sicherheit über alle Kundenumgebungen hinweg ermöglicht.
Entdecken Sie Kaseya EDR

Was ist EDR?

EDR ist eine Endpoint-Sicherheitstechnologie, die Endpunktaktivitäten, Prozessausführung, Dateiänderungen, Netzwerkverbindungen, Änderungen an der Registrierungsdatenbank sowie Aktionen von Benutzerkonten kontinuierlich überwacht und diese Telemetriedaten nutzt, um Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren.

Der Ansatz „Erkennung und Reaktion“ ist entscheidend. EDR identifiziert nicht nur Bedrohungen, sondern ermöglicht auch die Untersuchung und Reaktion darauf. Wenn eine Bedrohung erkannt wird, liefert EDR forensische Daten, um zu verstehen, was passiert ist, wie weit der Angriff fortgeschritten ist, auf welche Ressourcen zugegriffen wurde und welche Maßnahmen zur Behebung erforderlich sind. Außerdem bietet es Funktionen zur direkten Reaktion: Isolierung des betroffenen Endgeräts vom Netzwerk, Beendigung bösartiger Prozesse, Rückgängigmachen von Änderungen und Verhinderung einer weiteren Ausbreitung.

EDR hat sich in Unternehmensumgebungen zum Standard bei der Endgerätesicherheit entwickelt. Es wird zunehmend in Cyber-Versicherungspolicen gefordert, durch Compliance-Rahmenwerke vorgeschrieben und in Sicherheitsbewertungen als grundlegende Kontrollmaßnahme festgelegt. Für MSPs entwickelt sich EDR von einem optionalen Zusatz zu einer Standardkomponente der Managed-Service-Bereitstellung und wird zunehmend zu einer Voraussetzung dafür, dass Kunden versichert werden können.

So funktioniert EDR

Ein IT-Administrator installiert auf jedem Endgerät einen EDR-Agenten. Sobald der Agent läuft, überwacht er Prozesse, Anwendungen, Netzwerkverbindungen und Dateien und erstellt im Laufe der Zeit ein Referenzprofil für das Gerät. Wenn Aktivitäten von diesem Referenzprofil abweichen, markiert der Agent diese, überprüft sie auf Anzeichen für Bedrohungen und reagiert je nach Schweregrad entsprechend oder löst einen Alarm aus.

Ein konkretes Beispiel: Wenn der EDR-Agent die Erstellung ungewöhnlicher Unterprozesse unter einer legitimen Anwendung, eine unerwartete ausgehende Verbindung über einen nicht standardmäßigen Port oder Dateiverschlüsselungsvorgänge in mehreren Verzeichnissen gleichzeitig feststellt, wertet er dieses Verhaltensmuster als Bedrohungssignal aus und ergreift entsprechende Maßnahmen, noch bevor er auf einen Dateihash-Abgleich mit einer bekannten Malware-Datenbank wartet.

Wenn mehrere Warnmeldungen ausgelöst werden, sortieren EDR-Tools diese nach Schweregrad, um sicherzustellen, dass die kritischsten Vorfälle zuerst bei den Sicherheitsteams landen. Nach der Behebung verfolgt die Forensikabteilung den gesamten zeitlichen Verlauf des Vorfalls: den ursprünglichen Zugangsweg, die seitliche Bewegung, die betroffenen Dateien und die abgegriffenen Anmeldedaten. So werden die Daten zur Grundursache bereitgestellt, die zur Vermeidung einer Wiederholung erforderlich sind.

Wie sich EDR von Antivirus unterscheidet

Der Unterschied liegt in der Erkennungsmethode und dem Umfang.

  • Antivirus vergleicht Dateien mit einer Datenbank bekannter schädlicher Signaturen. Wirksam gegen bekannte, dateibasierte Malware. Kann keine unbekannten Bedrohungen, dateilose Angriffe oder Verhaltensanomalien erkennen, die keinem bekannten Muster entsprechen. Bis eine neue Malware-Variante in der Signaturdatenbank erscheint, ist sie bereits in Umlauf gebracht worden.
  • EDR überwacht das Verhalten auf dem gesamten Endgerät, nicht nur bei Dateien, und nutzt dabei eine Kombination aus regelbasierter Erkennung, maschinellem Lernen und Bedrohungsinformationen, um sowohl bekannte Bedrohungen als auch bisher unbekannte Techniken zu identifizieren.

Ein dateiloser Angriff, bei dem Schadcode in einen legitimen Prozess eingeschleust wird, erzeugt keine Datei, die von einem Antivirenprogramm erkannt werden könnte. Ein EDR-Überwachungsprozess erkennt das ungewöhnliche Kindprozessverhalten, die unerwartete Netzwerkverbindung und den abnormalen Speicherzugriff und löst aufgrund dieses Verhaltens – und nicht aufgrund einer Datei – einen Alarm aus.

In der Praxis hat EDR Antivirenprogramme als primäre Schutzebene für Endgeräte abgelöst. Die meisten modernen EDR-Plattformen enthalten die signaturbasierte Erkennung als ergänzende Komponente, sodass Sie sich nicht zwischen beiden entscheiden müssen. Sie ergänzen lediglich die verhaltensbasierte Schutzebene, die Antivirenprogramme allein nicht bieten können.

Kernfunktionen von EDR

Kontinuierliche Erfassung von Endpunkt-Telemetriedaten. EDR-Agenten erfassen detaillierte Protokolle zur Prozessausführung, zu Dateioperationen, Netzwerkverbindungen, Änderungen an der Registrierungsdatenbank und Aktionen von Benutzerkonten. Diese Telemetriedaten bilden die Grundlage für jede Erkennung, Untersuchung und Bedrohungssuche.

Erkennung von Bedrohungen anhand des Verhaltens. Erkennungsregeln und Modelle des maschinellen Lernens identifizieren Angriffsmuster im Telemetrie-Datenstrom: laterale Bewegung, Ausweitung von Berechtigungen, Dumping von Anmeldedaten, Verschlüsselungsverhalten von Ransomware sowie Command-and-Control-Kommunikation. Die Erkennung basiert darauf, was der Endpunkt tut, und nicht darauf, welche Dateien vorhanden sind.

Automatisierte Reaktion und Eindämmung. Sobald eine Bedrohung bestätigt ist, kann EDR sofort reagieren: Der betroffene Endpunkt wird vom Netzwerk isoliert, schädliche Prozesse werden beendet, bösartige Verbindungen werden blockiert und Dateien werden unter Quarantäne gestellt. Diese Automatisierung macht EDR zu einem Instrument zur Eindämmung und nicht nur zu einem Erkennungswerkzeug. Die Reaktion erfolgt innerhalb von Sekunden und nicht erst, wenn ein Techniker die Warnmeldung bemerkt.

Untersuchung von Sicherheitsbedrohungen und forensische Analyse. EDR-Telemetriedaten liefern einen vollständigen zeitlichen Überblick über die Ereignisse auf Endgeräten: welche Programme ausgeführt wurden, welche Aktionen sie durchgeführt haben, auf welche Dateien sie zugegriffen haben und welche Verbindungen sie hergestellt haben. Diese Daten sind unerlässlich, um das gesamte Ausmaß des Angriffs zu ermitteln, den ursprünglichen Zugangspunkt zurückzuverfolgen und sicherzustellen, dass alle Komponenten des Angriffs entfernt wurden, bevor das Endgerät wieder in den Produktivbetrieb zurückgeführt wird.

Bedrohungssuche. Neben der automatisierten Erkennung unterstützt EDR die proaktive Bedrohungssuche, bei der Endpunkt-Telemetriedaten nach Anzeichen für Kompromittierungen durchsucht werden, die automatisierte Regeln möglicherweise übersehen haben. Die Bedrohungssuche erfordert die Einbindung menschlicher Analysten, weshalb EDR in Unternehmen ohne internes Sicherheitspersonal häufig mit MDR-Diensten kombiniert wird.

Berichterstattung und Nachweismöglichkeiten zur Einhaltung von Vorschriften. EDR erstellt detaillierte Berichte über erkannte Bedrohungen, Gegenmaßnahmen und den Sicherheitsstatus der Endgeräte. Für Unternehmen, die den Anforderungen von PCI DSS, HIPAA, Cyber Essentials oder CMMC unterliegen, liefert diese Berichterstattung den von Prüfern geforderten Nachweispfad.

Vor welchen Bedrohungen schützt EDR?

Ransomware. Die verhaltensbasierte Erkennung von EDR erfasst Ransomware bereits in der Ausführungsphase und identifiziert die massenhafte Verschlüsselung von Dateien, das Löschen von Schattenkopien sowie Command-and-Control-Aktivitäten, noch bevor die Verschlüsselung abgeschlossen ist. Durch die automatisierte Isolierung von Endgeräten wird der Schaden auf ein einzelnes Gerät begrenzt, anstatt eine laterale Ausbreitung zuzulassen.

Dateilose Malware. Angriffe, die mithilfe von PowerShell, WMI oder anderen legitimen Systemtools vollständig im Arbeitsspeicher ausgeführt werden, hinterlassen keine Dateien, die von Antivirenprogrammen erkannt werden könnten. Die Prozessverhaltensüberwachung von EDR erkennt die ungewöhnlichen Ausführungsmuster, unabhängig davon, ob sich bösartige Dateien auf der Festplatte befinden.

Zero-Day-Exploits. Da EDR nicht anhand bekannter Signaturen, sondern anhand des Verhaltens erkennt, kann es Ausnutzungsversuche gegen ungepatchte Schwachstellen identifizieren. Das ungewöhnliche Prozessverhalten, das auf einen erfolgreichen Exploit folgt, ist selbst dann erkennbar, wenn der Exploit selbst völlig neu ist.

Mehrstufige Angriffe und APTs. Advanced Persistent Threats (APTs) erstrecken sich über Wochen oder Monate: Erster Zugriff, unauffällige laterale Bewegung, Ausweitung von Berechtigungen, Datensammlung und schließlich Datenexfiltration. Dank der kontinuierlichen Telemetrie von EDR hinterlässt jede Phase eine Spur, und die Verhaltenserkennung kann an jedem beliebigen Punkt einen Angriff aufdecken, der bereits seit einiger Zeit unbemerkt abläuft.

Interne Bedrohungen. Böswillige Insider oder kompromittierte Konten, die legitimen Zugriff missbrauchen, lassen sich mit Perimeter-Tools nur schwer aufspüren. Der grundlegende Ansatz von EDR sieht vor, dass ungewöhnliche Datenzugriffsmuster, unerwartete Berechtigungsnutzung oder abnormale Dateioperationen durch ein bekanntes Konto als Anomalien gekennzeichnet und nicht als legitime Aktivitäten akzeptiert werden.

Durch Phishing übermittelte Schadcode-Ladungen. Phishing ist nach wie vor der häufigste Vektor für den ersten Zugriff. EDR stoppt die Phishing-E-Mail selbst nicht – das ist die Aufgabe von E-Mail-Sicherheitstools –, aber wenn eine durch Phishing übermittelte Schadcode-Ladung auf dem Endgerät ausgeführt wird, erkennt EDR das Verhalten und schränkt es ein, bevor es sich festsetzen oder seitliche Bewegungen ausführen kann.

EDR und das MITRE ATT&CK-Framework

Das MITRE ATT&CK-Framework ist die branchenweit anerkannte Wissensdatenbank für Taktiken, Techniken und Vorgehensweisen von Angreifern, die bei realen Angriffen beobachtet wurden. Es dient als Referenzrahmen für die Beschreibung von Angriffsverhalten, die Bewertung der Abdeckung durch Sicherheitstools und die Entwicklung von Erkennungslogik.

Beim Vergleich von EDR-Plattformen ist die Abdeckung des ATT&CK-Rahmenwerks ein aussagekräftigerer Maßstab als die in Schlagzeilen angepriesenen Erkennungsraten. Zwei Fragen sind entscheidend: Welche Techniken erkennt die Plattform zuverlässig, und wie genau erkennt sie diese, ohne übermäßig viele Fehlalarme auszulösen?

Konzentrieren Sie sich auf die Taktiken, die für Ihr Bedrohungsmodell am relevantesten sind. Für die meisten MSP Umgebungen sind die Bereiche mit hoher Priorität der Erstzugang, die Ausführung, die Persistenz, die Ausweitung von Berechtigungen, der Zugriff auf Anmeldedaten, die laterale Bewegung sowie die Auswirkungen, wozu auch Ransomware gehört. Ein EDR-System, das diese sieben Taktiken umfassend abdeckt, bietet einen wesentlich stärkeren Schutz als eines, das lediglich bekannte Malware-Varianten erkennt und es dabei belässt.

EDR vs. MDR: Wenn Sie mehr als nur ein Tool benötigen

EDR ist eine leistungsstarke Technologie zur Erkennung und Reaktion. Es handelt sich dabei nicht um einen vollständig verwalteten Sicherheitsdienst. Erkennungen, die nicht untersucht und weiterverfolgt werden, bieten keinen Schutz, und die genaue Untersuchung von EDR-Warnmeldungen erfordert Sicherheitsfachwissen, über das die meisten IT-Teams und MSPs nicht rund um die Uhr verfügen.

MDR (Managed Detection and Response) schließt diese Lücke, indem es die Ebene menschlicher Analysten auf die EDR-Plattform aufsetzt: Sicherheitsanalysten, die Telemetriedaten überwachen, Warnmeldungen untersuchen, Fehlalarme aussortieren und auf bestätigte Bedrohungen reagieren – in der Regel rund um die Uhr.

Für Unternehmen ohne eigene Sicherheitsabteilung – was auf die meisten KMU und einen erheblichen Teil der mittelständischen Unternehmen zutrifft – sorgt MDR dafür, dass EDR operativ effektiv eingesetzt werden kann. Die Technologie erkennt Bedrohungen. Der MDR-Dienst ermittelt, was echt ist, entscheidet über die Reaktion und ergreift Maßnahmen.

Datto EDR bietet umfassende Endpunkt-Erkennung und -Reaktion, einschließlich automatisierter Eindämmungsmaßnahmen und vollständiger forensischer Untersuchungsfunktionen. Für Unternehmen, die eine vollständig verwaltete Lösung benötigen, bietet der in Kaseya 365 Pro enthaltene MDR-Dienst von Kaseya zusätzlich zur EDR-Plattform rund um die Uhr verfügbare Sicherheitsanalysten mit Sitz in den USA. Entdecken Sie Datto EDR oder Kaseya 365 für die vollständige Plattform.

Auswahl und Bereitstellung von EDR

  • Erfassungsgrad im Hinblick auf MITRE ATT&CK. Welche Techniken werden abgedeckt, und wie genau? Eine breite Abdeckung mit hohen Fehlalarmraten ist weniger nützlich als eine präzise Abdeckung der Techniken, die für Ihr Bedrohungsmodell von Bedeutung sind.
  • Falsch-Positiv-Rate. Alarmmüdigkeit ist ein echtes operatives Problem. Ein EDR, das ständig Warnmeldungen ausgibt, führt dazu, dass Analysten diese ignorieren – und genau so werden echte Bedrohungen übersehen. Genauigkeit ist genauso wichtig wie Sensitivität.
  • Umfang der automatisierten Reaktion. Kann die Plattform Endgeräte automatisch isolieren, Prozesse beenden und Dateien unter Quarantäne stellen, ohne dass jede einzelne Maßnahme von einem Mitarbeiter genehmigt werden muss? Die Geschwindigkeit der automatisierten Reaktion entscheidet darüber, ob Ransomware auf ein Gerät beschränkt bleibt oder sich weiter ausbreitet. Für MSPs, die mehrere Kundenumgebungen verwalten, ist Automatisierung der einzige Weg, um mit der Geschwindigkeit zu reagieren, die Bedrohungen erfordern.
  • Tools für die forensische Untersuchung. Wie einfach ist es, einen erkannten Vorfall zu untersuchen? Können Sie eine vollständige Zeitleiste der Ereignisse erstellen, von einem Prozess zu allen davon betroffenen Dateien navigieren oder die Telemetriedaten aller verwalteten Endpunkte nach einem bestimmten Indikator für eine Kompromittierung durchsuchen?
  • IntegrationRMM PSA. Für MSPs RMM eine EDR-Lösung, die sich in das RMM integrieren lässt, einen einheitlichen Überblick über den Zustand der Endgeräte, den Sicherheitsstatus und aktive Bedrohungen über eine einzige Verwaltungskonsole. Durch die Automatisierung der Umwandlung von Warnmeldungen in Tickets mittels PSA-Integration werden erkannte Vorfälle direkt in den Service-Workflow übernommen, anstatt in einem separaten Sicherheitsportal zu verbleiben.
  • Mandantenfähigkeit und Kundentrennung. Für MSPs, die mehrere Kundenumgebungen verwalten, ist die Möglichkeit, alle Kunden von einer einzigen Plattform aus zu überblicken und zu verwalten – bei vollständiger Datentrennung zwischen den einzelnen Kunden – eine unverzichtbare betriebliche Anforderung.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya 365

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Kaseya State of the MSP Report 2026

Kaseya – MSP zur Lage der MSP 2026 – Webgrafik – 1200×800 – AKTUALISIERT

Erhalten Sie MSP-Einblicke für 2026 von über 1.000 Anbietern und erfahren Sie, wie Sie Ihren Umsatz steigern, sich an den Marktdruck anpassen und wettbewerbsfähig bleiben können.

Jetzt herunterladen

Kategorien entdecken

Automatisierung

Automatisieren Sie Ihren Weg zu besserer Endpunktsicherheit und gewinnen Sie Zeit für Ihre Arbeit zurück.

Erfahren Sie, wie Kaseya 365 durch Automatisierung und Integration die Sicherheit erhöht und stundenlange manuelle IT-Arbeit überflüssig macht.

Blogbeitrag lesen

Was ist Endpoint Security Management und warum ist es wichtig?

Unter allen IT-Komponenten sind Endgeräte am einfachsten auszunutzen, wodurch sie am anfälligsten für Cyberangriffe sind. Dies macht Endgeräte

Blogbeitrag lesen

EDR vs. XDR: Worin besteht der Unterschied und was ist das Richtige für Ihr Unternehmen?

Die Cyberbedrohungen, denen wir heute ausgesetzt sind, werden immer komplexer und vielschichtiger. Ihre Komplexität und Heimlichkeit haben sich so weit entwickelt, dass

Blogbeitrag lesen