Zum Hauptinhalt springen
Informationssicherheit / NIS2

Endpoint Detection and Response

Endpoint Detection and Response (EDR) ist eine Sicherheitstechnologie, die Aktivitäten auf Endgeräten wie Laptops und Servern kontinuierlich aufzeichnet, Bedrohungen erkennt und automatisierte oder manuelle Reaktionen ermöglicht.

Endpoint Detection and Response (EDR) bezeichnet eine Klasse von Sicherheitslösungen, die das Verhalten von Endgeräten – etwa Notebooks, Arbeitsplatzrechnern, Servern und mobilen Geräten – fortlaufend überwacht, sicherheitsrelevante Ereignisse aufzeichnet und auf erkannte Bedrohungen reagiert. Im Unterschied zu klassischer, signaturbasierter Antivirensoftware setzt EDR auf Verhaltensanalyse, Telemetriedaten und Korrelation, um auch unbekannte Angriffe, dateilose Schadsoftware und sogenannte Living-off-the-Land-Techniken zu erkennen. Ein EDR-Agent auf dem Endgerät sammelt kontinuierlich Daten zu Prozessen, Netzwerkverbindungen, Registry-Änderungen und Dateioperationen und sendet diese an eine zentrale Auswertungsplattform.

Der Mehrwert von EDR liegt in der Verbindung von Detektion und Reaktion. Erkennt das System verdächtige Aktivitäten, kann es automatisiert Gegenmaßnahmen einleiten, etwa ein Endgerät vom Netzwerk isolieren, schädliche Prozesse beenden oder kompromittierte Dateien in Quarantäne verschieben. Gleichzeitig liefert EDR Sicherheitsteams forensische Daten, mit denen sich der Verlauf eines Angriffs nachvollziehen (Threat Hunting) und die Ursache eines Vorfalls bestimmen lässt. EDR ist damit ein zentraler Baustein moderner Detektions- und Reaktionsfähigkeiten und wird häufig mit Network Detection oder einem SIEM zu einer übergreifenden XDR-Strategie kombiniert.

Aus Compliance-Sicht trägt EDR wesentlich dazu bei, regulatorische Anforderungen an die Erkennung von und Reaktion auf Sicherheitsvorfälle zu erfüllen. Die NIS2-Richtlinie und das deutsche IT-Sicherheitsrecht verlangen von betroffenen Einrichtungen geeignete technische Maßnahmen zur Bewältigung von Sicherheitsvorfällen sowie eine zeitnahe Meldung erheblicher Vorfälle. Auch der BSI IT-Grundschutz und die ISO/IEC 27001 fordern Verfahren zur Detektion, Protokollierung und Reaktion. EDR liefert die technische Grundlage, um Vorfälle überhaupt rechtzeitig zu bemerken, die gesetzlichen Meldefristen einzuhalten und die Wirksamkeit der Sicherheitsmaßnahmen gegenüber Auditoren nachzuweisen.

Rechtliche Grundlage

Art. 21 Abs. 2 lit. b NIS2-Richtlinie (EU) 2022/2555; BSI IT-Grundschutz Baustein DER.1 (Detektion von sicherheitsrelevanten Ereignissen); ISO/IEC 27001 Anhang A 8.16 (Monitoring activities)

Praxisbeispiel

Ein mittelständischer Maschinenbauer fällt als besonders wichtige Einrichtung unter die NIS2-Richtlinie. Der Informationssicherheitsbeauftragte rollt eine EDR-Lösung auf allen Arbeitsplatzrechnern und Servern aus. Als ein Mitarbeiter einen präparierten E-Mail-Anhang öffnet, erkennt der EDR-Agent ein verdächtiges PowerShell-Verhalten, isoliert das betroffene Notebook automatisch vom Netz und alarmiert das Sicherheitsteam. Anhand der aufgezeichneten Telemetrie rekonstruiert das Team den Angriffsweg innerhalb weniger Stunden, bestätigt, dass keine Daten abgeflossen sind, und dokumentiert den Vorfall samt Reaktion fristgerecht für die Meldung an die zuständige Behörde.

Häufige Fragen

Klassische Antivirensoftware erkennt Schadsoftware überwiegend anhand bekannter Signaturen und blockiert sie. EDR geht darüber hinaus und analysiert das Verhalten von Prozessen und Geräten kontinuierlich, um auch unbekannte und dateilose Angriffe zu erkennen. Zudem ermöglicht EDR eine aktive Reaktion wie das Isolieren von Geräten und liefert forensische Daten zur Aufklärung von Vorfällen.
Die NIS2-Richtlinie schreibt keine konkrete Technologie vor, verlangt aber geeignete Maßnahmen zur Erkennung und Bewältigung von Sicherheitsvorfällen. EDR ist ein praxisnaher Weg, diese Anforderungen umzusetzen, da es Vorfälle zeitnah erkennt und die Einhaltung der Meldefristen unterstützt. Unternehmen müssen die Eignung der Maßnahmen risikobasiert begründen und nachweisen können.
EDR konzentriert sich auf die Telemetrie und Reaktion auf einzelnen Endgeräten. XDR (Extended Detection and Response) erweitert diesen Ansatz auf weitere Quellen wie Netzwerk, E-Mail und Cloud und korreliert die Daten übergreifend. Ein SIEM sammelt und korreliert Protokolldaten aus dem gesamten Umfeld; EDR liefert dabei eine wichtige Datenquelle und kann automatisierte Reaktionen ergänzen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Incident-Response Security Information and Event Management Security Operations Center Schadsoftware Protokollierung und Monitoring
Zurück zum Glossar