Was ist Managed Detection and Response (MDR)?

April 24, 2026
George Rouse
Verwaltete Erkennung und Reaktion (MDR)

Laut dem „Kaseya State of the MSP Report 2026“ geben 61 % der MSPs an, dass sich die meisten oder alle ihrer Kunden wegen Cybersicherheitsberatung an sie wenden. MDR wird für MSPs zunehmend zum Mittel der Wahl, um diese Erwartungen zu erfüllen, ohne ein komplettes Sicherheitsteam von Grund auf neu aufbauen zu müssen.

Sicherheitsmaßnahmen sind rund um die Uhr erforderlich. Bedrohungen halten sich nicht an Geschäftszeiten, und die Daten zu den Zeitabläufen von Angriffen sprechen eine deutliche Sprache: Die durchschnittliche Dauer eines Cyberangriffs vom ersten Zugriff bis zur lateralen Bewegung beträgt mittlerweile 29 Minuten (CrowdStrike Global Threat Report, 2026). Ein Unternehmen ohne kontinuierliche Überwachung hat keine Stunden Zeit, um zu reagieren. Es hat nur Minuten.

Der Aufbau und die Besetzung eines internen Security Operations Center (SOC) mit den erforderlichen Analysten, Tools, Prozessen und Fachkenntnissen, um rund um die Uhr Bedrohungen zu erkennen und darauf zu reagieren, kostet jährlich über 735.000 US-Dollar für Personal und Betrieb. Dabei sind die Kosten für die Tools noch nicht einmal eingerechnet. Für die überwiegende Mehrheit der Unternehmen ist diese Investition nicht realisierbar.

Managed Detection and Response (MDR) schließt diese Lücke, indem es SOC-Funktionen als Managed Service bereitstellt: Ein Team von Sicherheitsexperten, ausgestattet mit modernster Erkennungstechnologie, überwacht Ihre Umgebung und reagiert rund um die Uhr in Ihrem Namen auf Bedrohungen.

Sichern Sie sich einen Sicherheitsdienst rund um die Uhr, ohne ein eigenes SOC aufbauen zu müssen

Kaseya MDR stellt Sicherheitsanalysten mit Sitz in den USA zur Verfügung, die Ihre Umgebung rund um die Uhr überwachen, Bedrohungen erkennen, untersuchen und darauf reagieren, sodass Ihr Team dies nicht tun muss.

Entdecken Sie Kaseya MDR

Was ist MDR?

MDR ist ein Managed Security Service, der Technologien – in der Regel EDR, Netzwerküberwachung, SIEM und Bedrohungsinformationen – mit menschlichem Fachwissen kombiniert, um eine kontinuierliche Überwachung, Erkennung, Untersuchung und Reaktion auf Bedrohungen zu gewährleisten. Das Schlüsselwort lautet „Reaktion“: Im Gegensatz zu Alarmüberwachungsdiensten, die Sie lediglich über erkannte Bedrohungen informieren, ergreifen MDR-Anbieter in Ihrem Namen Maßnahmen, um Bedrohungen einzudämmen und zu beseitigen.

Der Dienst ist rund um die Uhr verfügbar und wird von einem Team aus Sicherheitsanalysten betreut, die die Telemetriedaten aus der Kundenumgebung überwachen, von automatisierten Systemen gemeldete Warnmeldungen untersuchen, echte Bedrohungen von Fehlalarmen unterscheiden und Maßnahmen zur Eindämmung ergreifen, sobald eine echte Bedrohung bestätigt wird. Dazu gehören die Isolierung von Endgeräten, das Blockieren bösartiger Prozesse sowie die Unterstützung des Kunden bei der Behebung des Problems.

MDR ist ergebnisorientiert. Der Mehrwert liegt nicht in der Technologieplattform, die man auch selbst zusammenstellen könnte. Er liegt vielmehr in der menschlichen Expertise, die diese Plattform rund um die Uhr bedient, Entscheidungen trifft, die automatisierte Systeme nicht treffen können, und in dem Zeitfenster handelt, bevor aus einer Bedrohung ein Sicherheitsvorfall wird.

Was umfasst die MDR?

Erkennung von Bedrohungen. Kontinuierliche Überwachung von Endgeräten, Netzwerken, Identitäten und Cloud-Telemetriedaten mithilfe von EDR, Netzwerküberwachungstools und SIEM-Daten. Die Erkennung stützt sich sowohl auf automatisierte Regeln als auch auf die Überprüfung durch Analysten, um Bedrohungen aufzuspüren, die automatisierte Systeme allein übersehen – insbesondere Verhaltensanomalien, die nicht mit bekannten Signaturen übereinstimmen.

Alarmuntersuchung. Sicherheitsanalysten prüfen und bewerten Alarme, um festzustellen, ob es sich um echte Bedrohungen oder um Fehlalarme handelt. Moderne Sicherheitstools generieren täglich Tausende von Alarmen. Ohne die Bewertung durch Analysten geht das Signal im Rauschen unter, und es kommt zu einer Alarmmüdigkeit. MDR entlastet das interne Team von dieser Aufgabe.

Threat Hunting. Proaktive Durchsuchung von Telemetriedaten nach Anzeichen für eine Kompromittierung, die keine automatische Erkennung ausgelöst haben, mit dem Ziel, Angriffsaktivitäten im Frühstadium, Erkundungsversuche, laterale Bewegungen und die Ausweitung von Berechtigungen aufzudecken, die einem sichtbaren Vorfall vorausgehen. Ransomware-Angriffe, die sich über Wochen hinweg aufbauen, bevor die Verschlüsselung erfolgt, erfordern diese Art der proaktiven Erkennung, um sie aufzudecken.

Reaktion auf Sicherheitsvorfälle. Wenn eine bestätigte Bedrohung erkannt wird, ergreifen MDR-Anbieter Maßnahmen zur Eindämmung: Sie isolieren betroffene Endgeräte, blockieren schädliche Prozesse und koordinieren die weitere Reaktion auf den Vorfall. Der Anbieter kümmert sich um die unmittelbare Eindämmung; je nach Leistungsumfang übernehmen Kunde und Anbieter gemeinsam die Untersuchung, Behebung und Wiederherstellung.

Bedrohungsinformationen. MDR-Anbieter sammeln Bedrohungsinformationen aus ihrem gesamten Kundenstamm und aus externen Quellen und aktualisieren die Erkennungsregeln kontinuierlich, sobald neue Bedrohungen auftreten. Dieser Vorteil durch kollektive Informationen bedeutet, dass sich die Erkennungsfähigkeit des Anbieters mit jedem Vorfall im gesamten Kundenportfolio verbessert.

Berichterstattung. Regelmäßige Berichte über den Sicherheitsstatus, Bedrohungsaktivitäten, Kennzahlen zu Erkennung und Reaktion sowie Trends bei Sicherheitsvorfällen, die den von den Compliance-Anforderungen geforderten Nachweispfad liefern und den Stakeholdern die notwendigen Informationen bieten, um den Wert von Sicherheitsinvestitionen zu verstehen.

So funktioniert die MDR

Der Ablauf von MDR ist einfach, auch wenn die zugrunde liegende Ausführung komplex ist.

Erfassung von Telemetriedaten. Der Technologie-Stack des MDR-Anbieters erfasst Sicherheitsdaten von Endgeräten, Netzwerken, Identitätssystemen, E-Mail-Systemen und Cloud-Plattformen.

Automatisierte Erkennung. Modelle des maschinellen Lernens und regelbasierte Erkennungsmechanismen identifizieren Anomalien und bekannte Bedrohungsmuster im Telemetriedatenstrom und generieren Warnmeldungen zur Überprüfung durch Analysten.

Analyse durch Analysten. Sicherheitsanalysten prüfen Warnmeldungen, bewerten den Kontext und stellen fest, welche davon echte Bedrohungen darstellen. Fehlalarme werden herausgefiltert. Echte Bedrohungen werden zur weiteren Untersuchung weitergeleitet.

Untersuchung. Bestätigte Bedrohungen werden untersucht, um den Umfang, die betroffenen Systeme, den Angriffsvektor und die gesamte Kill Chain zu ermitteln. Die Zuordnung nach dem MITRE ATT&CK-Modell hilft dabei, Techniken zu kategorisieren und die Ziele des Angreifers zu verstehen.

Eindämmung und Reaktion. Es werden Eindämmungsmaßnahmen durchgeführt: Isolierung betroffener Endgeräte, Blockierung bösartiger Prozesse, Sperrung kompromittierter Anmeldedaten. Der Kunde wird benachrichtigt und durch den weiteren Behebungsprozess begleitet.

Wiederherstellung und Lernen. Nach einem Vorfall werden die Erkennungsregeln auf der Grundlage der gewonnenen Erkenntnisse aktualisiert, und in einem Bericht wird dokumentiert, was geschehen ist, wie damit umgegangen wurde und wie die Wahrscheinlichkeit eines erneuten Auftretens verringert werden kann.

MDR vs. MSSP: Was ist der Unterschied?

Managed Security Service Provider (MSSPs) und MDR-Anbieter werden manchmal miteinander verwechselt, doch gibt es einen wesentlichen operativen Unterschied:

MSSPs bieten in der Regel Überwachungs- und Warnfunktionen an. Sie halten Ausschau nach Bedrohungen und benachrichtigen den Kunden, sobald etwas entdeckt wird. Die Untersuchung und Reaktion liegen weiterhin in der Verantwortung des Kunden.

MDR-Anbieter integrieren die Untersuchung und Reaktion in ihren Service. Sie teilen Ihnen nicht nur mit, dass etwas passiert ist. Sie ermitteln, worum es sich handelt, wie schwerwiegend der Vorfall ist, und ergreifen Maßnahmen, um ihn einzudämmen. Die Reaktionsfähigkeit ist das entscheidende Merkmal.

Diese Unterscheidung ist entscheidend, wenn es darum geht, den betrieblichen Aufwand zu bewerten, den jedes Modell für den Kunden mit sich bringt. Ein MSSP, der Warnmeldungen generiert, die eine Untersuchung und Reaktion durch ein internes Team erfordern, entlastet ressourcenbeschränkte Unternehmen weniger als ein MDR-Anbieter, der diese Schritte im Rahmen seiner Dienstleistung übernimmt. Für Unternehmen ohne interne Sicherheitsanalysten ist eine MSSP-Warnmeldung praktisch nutzlos, wenn niemand vorhanden ist, der darauf reagiert.

MDR vs. EDR vs. XDR

Diese drei Begriffe beschreiben verwandte, aber unterschiedliche Sicherheitsfunktionen, die immer wieder in denselben Diskussionen auftauchen:

EDR (Endpoint Detection and Response) ist eine Technologieplattform, die das Verhalten von Endgeräten überwacht, Bedrohungen auf Geräteebene erkennt und Reaktionsmöglichkeiten wie die Isolierung von Endgeräten bietet. EDR ist ein Tool, das Sie selbst betreiben. Ohne Analysten, die die erkannten Bedrohungen untersuchen, generiert EDR Warnmeldungen, die möglicherweise nicht überprüft werden.

XDR (Extended Detection and Response) erweitert die Transparenz von EDR über mehrere Sicherheitsebenen hinweg und bündelt Telemetriedaten von Endgeräten, Netzwerk, Identitätsmanagement, E-Mail und Cloud in einer einheitlichen Erkennungs- und Reaktionsplattform. XDR ist nach wie vor eine Technologieplattform und kein Managed Service.

MDR (Managed Detection and Response) ist die Serviceebene, die EDR- oder XDR-Lösungen in Ihrem Auftrag betreibt. MDR-Anbieter nutzen in der Regel EDR- und XDR-Tools als Grundlage für die Erkennung und ergänzen diese durch ein Analystenteam, Threat Hunting, Untersuchungen und Reaktionsmaßnahmen, wodurch die Technologie zu einem operativen Sicherheitsdienst wird.

In der Praxis: EDR und XDR zeigen Ihnen, was gerade passiert. MDR erklärt Ihnen, was das bedeutet, und ergreift entsprechende Maßnahmen.

Wer braucht MDR?

Die MDR ist für alle Organisationen relevant, die:

  • Es fehlen interne Sicherheitsanalysten, die die EDR-Erkennungen überwachen und Warnmeldungen rund um die Uhr untersuchen
  • Erfordert eine Rund-um-die-Uhr-Überwachung und Reaktionsfähigkeit, die ein kleines internes Team nicht gewährleisten kann
  • hat einen Sicherheitsvorfall erlebt und erkennt den Unterschied zwischen dem Vorhandensein von Sicherheitstools und einer operativen Reaktionsfähigkeit
  • unterliegt Anforderungen im Bereich der Cyberversicherung oder Compliance-Rahmenwerken, die eine kontinuierliche Überwachung und eine dokumentierte Reaktion auf Vorfälle vorschreiben
  • Möchte Kunden, Vorstandsmitgliedern oder Wirtschaftsprüfern die Reife der Sicherheitsmaßnahmen nachweisen, ohne die Kosten und den Aufwand für den Aufbau eines eigenen SOC

Dies trifft auf die meisten KMU und einen erheblichen Teil der mittelständischen Unternehmen zu. Die wirtschaftlichen Argumente sprechen für sich: Der Aufbau einer vergleichbaren internen Kapazität erfordert mehrere Vollzeitstellen für Sicherheitsanalysten, Lizenzen für Spezialtools und einen 24/7-Schichtbetrieb – was jährlich über 735.000 US-Dollar kostet, noch ohne die Kosten für die Tools. MDR bietet diese Kapazität zu einem Bruchteil dieser Kosten.

Gerade für MSPs steht besonders viel auf dem Spiel. MSPs verfügen über privilegierten Zugriff auf Dutzende von Kundenumgebungen über ihre RMM- und PSA-Plattformen. Dieser Zugriff macht sie zu besonders attraktiven Zielen für Angriffe auf die Lieferkette. Ein MSP, dessen eigene Infrastruktur nicht durch MDR geschützt ist, stellt einen ungeschützten Angriffsweg zu jedem von ihm betreuten Kunden dar.

MDR und Kaseya SIEM: Wie sie zusammenarbeiten

MDR und SIEM gehen dasselbe Problem aus unterschiedlichen Blickwinkeln an. MDR ist ein Managed Service, bei dem ein Team von Analysten Ihre Umgebung überwacht und auf Bedrohungen reagiert. SIEM ist eine Technologieplattform, die Sicherheitsdaten aus Ihrer gesamten Umgebung sammelt, miteinander in Beziehung setzt und analysiert.

Kaseya bietet beides. Kaseya SIEM, das nun allgemein verfügbar ist, vereint Telemetriedaten aus Endgeräten, Netzwerken, der Cloud, Identitätsmanagement und E-Mail und korreliert Signale aus mehr als 60 Datenquellen mit einer Protokollspeicherdauer von 400 Tagen. Für Unternehmen, die ihre Sicherheitsabläufe selbst betreiben möchten, bietet SIEM die Plattform. Für diejenigen, die den Schutz ohne den operativen Aufwand wünschen, bietet der rund um die Uhr verfügbare Managed SOC-Service von Kaseya, der auf Kaseya Intelligence basiert, MDR-Funktionen auf dieser Telemetrie-Grundlage.

Beide ergänzen sich optimal: SIEM sorgt für die Datenbreite und -speicherung; MDR liefert das Fachwissen, das Daten in Schutzmaßnahmen umsetzt. Entdecken Sie Kaseya SIEM.

MDR für MSPs: Erweiterung des Sicherheitsstacks

Für MSPs eröffnet die MDR zwei ganz konkrete Chancen.

Intern bietet MDR die erforderlichen Sicherheitsmaßnahmen zum Schutz der eigenen Umgebung des MSP, einschließlich der RMM- und PSA-Plattformen mit hohen Zugriffsrechten, die MSPs zu attraktiven Angriffszielen machen. Ein MSP, dessen eigene Infrastruktur durch MDR geschützt ist, ist deutlich widerstandsfähiger gegenüber Angriffen auf die Lieferkette, die MSPs als Einstiegspunkt in ihren Kundenstamm ins Visier nehmen.

Als kundenorientierter Service bietet MDR den Kunden Sicherheitsfunktionen, deren Aufbau sich die meisten KMU nicht leisten können. MSPs, die MDR als Standardkomponente ihres Sicherheitsangebots integrieren, anstatt es als optionales Zusatzmodul zu empfehlen, bieten einen wirklich umfassenden Schutz und heben sich von Wettbewerbern ab, die lediglich Überwachungsdienste ohne Reaktionsmöglichkeiten anbieten.

Der MDR-Dienst von Kaseya, der in Kaseya 365 Pro verfügbar ist, wird von Sicherheitsanalysten mit Sitz in den USA bereitgestellt, die rund um die Uhr im Einsatz sind. Er lässt sich in Datto EDR und die übergeordnete Kaseya 365 integrieren und bietet MSPs sowie internen IT-Teams umfassende Funktionen für den Managed Security Operations. Entdecken Sie Kaseya 365 Pro.

Das Wichtigste in Kürze

  • MDR bietet rund um die Uhr Bedrohungsüberwachung, -untersuchung und -reaktion als Managed Service und stellt damit SOC-Fähigkeiten bereit, ohne dass die jährlichen Kosten von über 735.000 US-Dollar für den Aufbau eines eigenen SOC anfallen.
  • Der entscheidende Unterschied zwischen MDR und MSSP liegt in der Reaktion: MDR-Anbieter ergreifen in Ihrem Namen Maßnahmen zur Eindämmung und informieren Sie nicht nur darüber, dass etwas passiert ist.
  • MDR ist die Service-Ebene, die EDR- und XDR-Technologien für Sie betreibt. EDR und XDR sind Tools; MDR ist der Managed Service, der diese Tools in der Praxis effektiv einsetzt.
  • Da die durchschnittliche Zeit bis zur Entdeckung von Cyberkriminalität mittlerweile bei 29 Minuten liegt, ist eine kontinuierliche, rund um die Uhr verfügbare Analystenbetreuung kein Luxus, sondern eine Grundvoraussetzung für Unternehmen, die Bedrohungen eindämmen wollen, bevor sie sich ausbreiten.
  • Für MSPs ist MDR sowohl eine interne Sicherheitsmaßnahme zum Schutz privilegierter RMM- und PSA-Zugriffe als auch ein kundenorientierter Dienst, der Sicherheitsfunktionen bereitstellt, die die meisten KMU nicht selbst aufbauen können.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya 365

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Cloud-Erkennung und Reaktion: Leitfaden für MSPs zur Cloud security

Die Nutzung von SaaS-Anwendungen und das Volumen der Cloud-Workloads nehmen rasant zu. Unternehmen verwenden heute etwa 112 SaaS-Anwendungen.Mehr lesen

Blogbeitrag lesen
Datenpanne

Was ist die Erkennung von Sicherheitsverletzungen?

Bei der Erkennung von Sicherheitsverletzungen kommen fortschrittliche Tools und Techniken zum Einsatz, um Anzeichen für Eindringversuche zu überwachen, die zu einer Datenpanne führen könnten. Erfahren Sie, wie ein Managed SOC dabei helfen kann.

Blogbeitrag lesen

EDR vs. XDR: Worin besteht der Unterschied und was ist das Richtige für Ihr Unternehmen?

Die Cyberbedrohungen, denen wir heute ausgesetzt sind, werden immer komplexer und vielschichtiger. Ihre Komplexität und Heimlichkeit haben sich so weit entwickelt, dassMehr lesen

Blogbeitrag lesen