Ressourcen · Leitfaden · MDR · 1 Min. Lesezeit

Was ist MDR (Managed Detection and Response)

Kurz gesagt

MDR (Managed Detection and Response) ist ein Managed Service, der Detection-Technologie (EDR/XDR, SIEM), Threat Intelligence und menschliche Analysten verbindet, die Vorfälle 24·7 untersuchen und beantworten. Anders als ein reines EDR meldet MDR nicht nur Alarme: Es verifiziert sie, dämmt den Angriff ein und schließt den Vorfall ab, mit Menschen, die das Mandat zur Entscheidung haben.

Von der Prävention zur Response: warum es MDR gibt

Jahrelang konzentrierte sich Security auf Prävention: Firewall, Antivirus, dann EDR. Aber Angreifer dringen trotzdem ein, und der Unterschied zwischen einem gesteuerten Vorfall und einer Krise liegt nicht darin, ob jemand Alarm schlägt, sondern darin, wer reagiert, wenn er losgeht. MDR entstand, um genau diese Lücke zu schließen: kein weiteres Werkzeug, das Alarme produziert, sondern ein Service, der sie verifiziert, untersucht und eindämmt.

Was ein MDR umfasst

Ein vollständiger MDR-Service verbindet vier Komponenten:

  • Multi-Domain-Telemetrie: Endpoint, Identität, Cloud, Netzwerk, Anwendungen, nicht nur der Endpoint.
  • An MITRE ATT&CK ausgerichtete Detection: Regeln und Analytics, aktualisiert anhand realer Kampagnen.
  • Threat Intelligence: der Kontext darüber, wer angreift und wie, in Echtzeit angewendet.
  • Analysten mit Entscheidungsmandat: der Faktor, der einen Alarm in einen abgeschlossenen Vorfall verwandelt.

Technologie erkennt, aber die menschliche Entscheidung dämmt ein. Das ist der Kern eines richtig umgesetzten MDR: KI entfernt das Rauschen, Analysten entscheiden.

EDR, MDR, XDR: keine Synonyme

EDR ist die Endpoint-Technologie. XDR erweitert die Korrelation über Domänen hinweg (Identität, Cloud, Netzwerk). MDR ist der Managed Service, der EDR oder XDR betreibt und die Menschen hinzufügt. Für den detaillierten Vergleich siehe MDR vs EDR vs XDR.

Woran man ein gutes MDR erkennt

Nicht alle „MDR”-Angebote sind gleich. Qualitätssignale: Response inklusive (nicht nur Meldung), erfahrene Analysten mit Entscheidungsbefugnis, eigene Intelligence (nicht nur weiterverkaufte Feeds), 24·7·365-Abdeckung in der Zeitzone des Kunden und ein vendor-agnostischer Ansatz, der Sie nicht zwingt, das Vorhandene zu ersetzen.

Vergleich

EDR vs MDR vs internes SOC

DimensionEDR (nur Technik)MDR (Managed Service)Internes SOC
Was es leistetErkennt auf dem Endpoint, meldet AlarmeErkennt auf Endpoint, Identität, Cloud, Netzwerk und reagiertÜberwacht mit eigenem Team
Wer es betreibtIhr TeamProvider-Analysten 24·7Internes Personal, 24·7-Schichten
ResponseManuell, bei IhnenInklusive, gesteuerte EindämmungIntern
KostenLizenzAbonnement, ca. 30% eines internen SOCÜber 1 Mio. EUR/Jahr
StartzeitSofortWochenMonate/Jahre
Feldbeobachteter Nachweis · MDR in Aktion

In Operation Storming Tide erkannte und eindämmte das Fortgale-Team eine mehrstufige Intrusion (Akteur Mora_001): Datenexfiltration und Ransomware durch Eindämmung verhindert. Das ist der Unterschied zwischen einem Alarm und einem abgeschlossenen Vorfall.

Zur Analyse →
FAQ

Häufige Fragen.

Worin unterscheiden sich MDR und EDR?

EDR ist eine Technologie für Detection und Response auf dem Endpoint. MDR ist der Service, der diese Technologie betreibt (und mehr: Identität, Cloud, Netzwerk), sie mit Threat Intelligence korreliert und Analysten ergänzt, die entscheiden. EDR meldet Alarme; MDR bearbeitet sie und schließt den Vorfall ab.

Sind MDR und SOC dasselbe?

Nein. Das SOC ist die Struktur, die überwacht; MDR ist der Service, der auf dem SOC aufbaut und intel-gesteuerte Detection und vor allem Response hinzufügt. Im Fortgale-Modell sind Managed SOC und MDR dieselbe europäische Außenstelle, ohne Übergabe zwischen Anbietern.

Brauche ich bereits ein EDR, um ein MDR zu starten?

Nein. Ein gutes MDR ist vendor-agnostisch: Es integriert sich auf der Plattform, die Sie bereits nutzen, oder stellt eine bereit. Fortgale betreibt MDR auf Microsoft Defender, CrowdStrike Falcon, SentinelOne und weiteren führenden Plattformen, aus einer einzigen Konsole.

Was kostet MDR im Vergleich zu einem internen SOC?

Ein internes 24·7-SOC übersteigt eine Million Euro pro Jahr an Analysten, Lizenzen und Infrastruktur. Ein Managed MDR kostet einen Bruchteil davon, mit einem planbaren Abonnement und Aktivierung in Wochen statt Jahren.

Für wen ist MDR gedacht?

Organisationen, die kein internes 24·7-SOC aufbauen können oder wollen, aber kontinuierliche Detection und Response benötigen: strukturierte KMU, Mittelstand und Großunternehmen, NIS2-Einrichtungen, die Überwachungs- und Meldefähigkeit nachweisen müssen.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Fortgale MDR-Service.

Verwandte Ressourcen: MDR vs EDR vs XDR · Was ist ein SOC

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.