Was ist EDR?
EDR steht für Endpoint Detection and Response — auf Deutsch: Erkennung und Reaktion auf Bedrohungen an Endgeräten. “Endgeräte” sind Ihre PCs, Laptops, Server und Smartphones.
Der klassische Virenscanner funktioniert wie eine Fahndungsliste: Er kennt die Fotos der Gesuchten (Virensignaturen) und prüft, ob einer davon auf Ihrem Rechner auftaucht. Das Problem: Neue Viren stehen noch nicht auf der Liste.
EDR funktioniert anders. Es beobachtet, was auf Ihrem Rechner passiert, und erkennt verdächtiges Verhalten:
- Warum startet ein Word-Dokument plötzlich die Kommandozeile?
- Warum versucht ein Prozess, hunderte Dateien zu verschlüsseln?
- Warum baut ein Programm eine Verbindung zu einem unbekannten Server in Russland auf?
Das sind Muster, die auf einen Angriff hindeuten — auch wenn die Schadsoftware brandneu ist und kein Virenscanner sie kennt.
Warum klassischer Virenschutz nicht mehr reicht
Die Bedrohungslandschaft hat sich verändert. Vor 10 Jahren waren die meisten Viren bekannt und im Katalog der Antivirenhersteller. Heute:
Neue Malware entsteht schneller. Es entstehen täglich 400.000+ neue Schadprogramme. Kein Signatur-basierter Scanner kann so schnell nachziehen.
Angriffe werden raffinierter. Moderne Ransomware nutzt keine plumpen Viren. Sie verwendet legitime Systemtools (PowerShell, WMI, PsExec), um sich im Netzwerk auszubreiten. Ein Virenscanner sieht das nicht als Bedrohung — es sind ja “normale” Windows-Programme.
Fileless Malware. Angriffe, die gar keine Dateien auf die Festplatte schreiben, sondern nur im Arbeitsspeicher existieren. Ein dateisuchender Scanner hat keine Chance.
Gezielte Angriffe auf KMU. Kleinunternehmen sind attraktive Ziele, weil sie oft schlechter geschützt sind als Konzerne. Ransomware-Gangs wissen, dass ein 10-Personen-Unternehmen eher Lösegeld zahlt, weil es keine eigene IT-Abteilung hat.
Virenscanner vs. EDR — der Unterschied
| Kriterium | Klassischer Virenscanner | EDR |
|---|---|---|
| Erkennungsmethode | Signaturen (bekannte Muster) | Verhaltensanalyse + Signaturen |
| Neue/unbekannte Bedrohungen | Erkennt sie oft nicht | Erkennt verdächtiges Verhalten |
| Fileless Malware | Kaum Schutz | Erkennt Aktivität im Speicher |
| Ransomware | Erkennt bekannte Varianten | Erkennt Verschlüsselungsverhalten |
| Reaktion | Datei in Quarantäne | Prozess stoppen, Gerät isolieren, Analyse |
| Forensik | Keine | Aufzeichnung: Was ist wann passiert? |
| Kosten | €0-3/Monat/Endpunkt | €3-8/Monat/Endpunkt |
Was EDR konkret tut
Erkennung (Detection)
EDR beobachtet jeden Prozess auf Ihrem Rechner und sucht nach Anomalien:
- Ungewöhnliche Prozessketten: Word → PowerShell → CMD → Netzwerkverbindung. Das macht ein normaler Benutzer nie. Das macht Malware.
- Massenverschlüsselung: Ein Prozess beginnt, hunderte Dateien umzubenennen und zu verschlüsseln. EDR erkennt das Muster und stoppt den Prozess, bevor alles verschlüsselt ist.
- Laterale Bewegung: Ein kompromittierter Rechner versucht, sich mit anderen Rechnern im Netzwerk zu verbinden. EDR meldet das.
- Datei-Downloads von verdächtigen Quellen: Ein Prozess lädt eine Datei von einer bekannten Malware-Domain. EDR blockiert.
Reaktion (Response)
Wenn EDR eine Bedrohung erkennt, reagiert es automatisch:
- Prozess beenden: Der verdächtige Prozess wird sofort gestoppt.
- Gerät isolieren: Der betroffene Rechner wird vom Netzwerk getrennt — die Malware kann sich nicht ausbreiten.
- Alarm: Der IT-Verantwortliche (oder Ihr IT-Dienstleister) wird benachrichtigt.
- Forensik-Daten: EDR zeichnet auf, was passiert ist — welcher Prozess, welche Dateien, welche Netzwerkverbindungen. Das hilft, den Angriff zu verstehen und Lücken zu schließen.
EDR-Optionen für Kleinunternehmen
Microsoft Defender for Business
In Microsoft 365 Business Premium (€22/Monat/User) enthalten. Bietet EDR-Grundfunktionen: Verhaltensanalyse, automatische Reaktion, Reporting über das Microsoft Security Center.
Vorteile: Keine zusätzliche Software nötig, zentrale Verwaltung, gute Integration mit Windows. Nachteile: Nur für Windows und macOS, erfordert Microsoft 365 Business Premium (teuer, wenn Sie nur wegen EDR upgraden).
CrowdStrike Falcon Go
Cloud-basierte EDR-Lösung, speziell für kleine Teams. Ab ca. €5/Monat/Endpunkt.
Vorteile: Einer der besten EDR-Anbieter, leichtgewichtiger Agent, einfache Verwaltung. Nachteile: US-Cloud, Abo-Modell, nicht die günstigste Option.
Wazuh (Open Source)
Kostenlose, Open-Source-Security-Plattform mit EDR-Funktionen: Log-Analyse, Dateiintegritäts-Monitoring, Anomalieerkennung.
Vorteile: Kostenlos, lokal betreibbar (DSGVO-konform), erweiterbar. Nachteile: Einrichtung komplex, erfordert eigenen Server, weniger automatische Reaktionsfähigkeiten als kommerzielle Lösungen.
Für die meisten Kleinunternehmen
Unsere pragmatische Empfehlung: Wenn Sie bereits Microsoft 365 Business Premium haben, nutzen Sie Defender for Business — es ist eingebaut. Wenn nicht, ist die Kombination aus gutem Virenscanner + Netzwerksegmentierung + MFA + regelmäßigem Backup für die meisten Kleinunternehmen ausreichend. EDR ist die nächste Stufe — sinnvoll, aber nicht für jeden zwingend.
Braucht Ihr Unternehmen EDR?
Ja, wenn:
- Sie sensible Daten verarbeiten (Mandantendaten, Finanzdaten)
- Sie von NIS2/NISG betroffen sind (direkt oder über Lieferkette)
- Sie bereits einen Sicherheitsvorfall hatten
- Sie den bestmöglichen Schutz ohne eigenes Security-Team wollen
Wahrscheinlich noch nicht, wenn:
- Sie ein sehr kleines Unternehmen (1-3 Personen) mit überschaubaren Daten sind
- Sie noch grundlegendere Maßnahmen umsetzen müssen (Backup, Firewall, MFA)
- Ihr Budget sehr begrenzt ist — dann investieren Sie zuerst in Grundschutz
Wie chilli IT helfen kann
Wir beraten Sie ehrlich: Brauchen Sie EDR, oder reichen grundlegende Schutzmaßnahmen? Im kostenlosen IT-Audit bewerten wir Ihren Ist-Stand und empfehlen die Maßnahmen, die für Ihr Unternehmen am meisten Sicherheit pro Euro bringen.
Falls EDR sinnvoll ist, richten wir es ein — als Teil unserer IT-Betreuung, nicht als separates Projekt mit Sonderkosten.