Ressourcen · Leitfaden · MDR · 1 Min. Lesezeit

Was ist ein EDR (Endpoint Detection and Response)

Kurz gesagt

Ein EDR (Endpoint Detection and Response) ist eine Technologie, die Endpoints (PCs, Server, Laptops) überwacht, bösartiges Verhalten mit Verhaltensanalyse erkennt und Response-Aktionen wie Host-Isolation und Prozess-Kill ermöglicht. Anders als Antivirus, das bekannte Bedrohungen per Signatur blockiert, erkennt EDR auch unbekannte Angriffe an ihrem Verhalten. Doch es bleibt ein Werkzeug: Jemand muss es 24·7 betreiben.

Der Endpoint, das erste Schlachtfeld

Der Endpoint ist der Ort, an dem ein Angriff konkret wird: Code-Ausführung, Eskalation, Lateral Movement. EDR entstand, um zu sehen, was Antivirus nicht sieht: nicht nur bekannte bösartige Dateien, sondern verdächtiges Verhalten, auch von nie zuvor gesehenen Bedrohungen.

Was ein EDR leistet

Es zeichnet kontinuierlich die Endpoint-Aktivität auf (Prozesse, Netzwerk, Dateien, Registry), wendet Verhaltensanalyse an und ermöglicht Response-Aktionen: den Host isolieren, Prozesse beenden, Artefakte sammeln. Es ist leistungsstark, aber ein Werkzeug, das betrieben werden muss.

Die Grenze: Alarme bearbeiten sich nicht von selbst

Ein EDR produziert Signale; jemand muss sie verifizieren und handeln, zu jeder Stunde. Hier reicht EDR allein nicht, und der Managed Service kommt ins Spiel: MDR betreibt das EDR mit Analysten 24·7 und verwandelt Alarme in abgeschlossene Vorfälle. Der Service: Fortgale MDR.

Vergleich

Antivirus vs EDR vs MDR

AntivirusEDRMDR
ErkenntBekannte Bedrohungen (Signaturen)Auch unbekannte (Verhalten)EDR + Identität, Cloud, Netzwerk + Intelligence
ResponseDatei-BlockadeHost-Isolation, Prozess-KillGesteuerte Response 24·7
Wer es betreibtAutomatischIhr TeamProvider-Analysten
Feldbeobachteter Nachweis · jenseits des Alarms

In Operation Storming Tide waren die technischen Signale vorhanden: Den Unterschied machte, wer sie interpretierte und den Angriff eindämmte. Ein EDR ohne Analysten bleibt eine Quelle unbearbeiteter Alarme.

Zur Analyse →
FAQ

Häufige Fragen.

Worin unterscheiden sich EDR und Antivirus?

Antivirus blockiert bekannte Bedrohungen per Signatur. EDR nutzt Verhaltensanalyse, um auch unbekannte Angriffe zu erkennen, und ermöglicht Response (Isolation, Kill). EDR sieht, was Antivirus nicht sieht, erfordert aber Interpretation.

Sind EDR und MDR dasselbe?

Nein: EDR ist die Technologie, MDR ist der Service, der sie mit Analysten 24·7 betreibt (und nicht nur auf dem Endpoint). Siehe Was ist MDR und MDR vs EDR vs XDR.

Stoppt EDR Ransomware?

Es kann die Phasen vor der Verschlüsselung abfangen (Lateral Movement, Angriffswerkzeuge), wenn jemand rechtzeitig auf die Alarme reagiert. Allein meldet es Signale; man braucht ein Team, das sie in Eindämmung verwandelt.

Brauche ich ein Team, um ein EDR zu betreiben?

Ja. Ein EDR, das niemand 24·7 beobachtet, produziert Alarme, die ungehört bleiben, besonders nachts und am Wochenende, wenn die meisten Angriffe stattfinden. Genau deshalb gibt es MDR.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Fortgale MDR-Service.

Verwandte Ressourcen: Was ist MDR · MDR vs EDR vs XDR

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.