Klassische Virenscanner erkennen nur Bekanntes — EDR beobachtet Verhalten und stoppt auch brandneue Angriffe, heute auch für KMU bezahlbar.
Klassisches Antivirus gleicht Dateien mit einer Liste bekannter Schadsoftware ab und erkennt nur Bekanntes. EDR (Endpoint Detection and Response) beobachtet das Verhalten von Programmen und stoppt auch neue Angriffe. Es gilt heute als empfohlener Standard, auch für den Mittelstand. Erst die fortlaufende Aufzeichnung erlaubt es zudem, einen Vorfall lückenlos nachzuvollziehen und sauber einzudämmen.
Ein klassischer Virenscanner arbeitet nach dem Prinzip des Türstehers mit Fahndungsliste: Er vergleicht jede Datei mit einer Datenbank bekannter Schadsoftware, den sogenannten Signaturen. Steht ein Muster auf der Liste, wird die Datei blockiert. Das funktioniert zuverlässig — aber nur bei Bedrohungen, die bereits bekannt und katalogisiert sind.
EDR steht für Endpoint Detection and Response, also Erkennung und Reaktion auf den Endgeräten. Statt nur Dateien abzugleichen, beobachtet EDR das Verhalten von Programmen in Echtzeit. Versucht eine Anwendung plötzlich, massenhaft Dateien zu verschlüsseln, Schattenkopien zu löschen oder Systemeinstellungen zu verändern, schlägt EDR Alarm — selbst wenn die Schadsoftware brandneu und auf keiner Signaturliste verzeichnet ist.
Der zweite große Unterschied steckt im Wort „Response": Ein EDR kann nicht nur erkennen, sondern auch eingreifen. Ein verdächtiges Gerät lässt sich aus der Ferne vom Netz isolieren, ein Schadprozess beenden, eine Datei unter Quarantäne stellen. Das klassische Antivirus blockiert oder lässt durch — dazwischen gibt es nichts. EDR liefert zusätzlich die Spurensicherung: Es protokolliert, welcher Prozess was getan hat, und macht so im Nachhinein nachvollziehbar, wie ein Angriff abgelaufen ist.
Angreifer entwickeln ihre Schadsoftware ständig weiter und verändern sie automatisiert, sodass sie auf keiner Fahndungsliste auftaucht. Gegen solche neuen, bisher unbekannten Varianten — im Fachjargon „Zero-Day" — ist ein reiner Signaturabgleich machtlos: Die Datei ist schlicht noch nicht bekannt, also wird sie durchgelassen.
Hinzu kommt eine Technik, die klassische Scanner systematisch aushebelt: Living off the Land. Dabei missbrauchen Angreifer legitime Windows-Bordmittel wie PowerShell oder die Eingabeaufforderung, statt eigene Schaddateien einzuschleusen. Für einen signaturbasierten Scanner sieht das aus wie normale Systemaktivität — es gibt keine bösartige Datei, die er erkennen könnte. EDR dagegen bewertet das ungewöhnliche Zusammenspiel: Warum startet ein Office-Dokument plötzlich PowerShell, das eine Verbindung ins Internet aufbaut? Genau diese Kette schlägt Alarm.
Auch das BSI ordnet diese Entwicklung ein. Das Rahmenwerk MITRE ATT&CK, eine öffentliche Wissensdatenbank realer Angreifer-Taktiken, listet Hunderte solcher Techniken — die wenigsten davon lassen sich allein über Dateisignaturen abfangen. Deshalb gilt verhaltensbasierte Erkennung heute als empfohlener Standard und ist Bestandteil moderner Sicherheitsanforderungen, etwa im Risikomanagement nach NIS2.
Nein. Dieser Eindruck stammt aus einer Zeit, in der EDR teuer und kompliziert zu betreiben war. Das hat sich grundlegend geändert. Als gemanagter Dienst ist EDR heute auch für kleine und mittlere Unternehmen bezahlbar — und gerade für sie besonders wertvoll.
Der Grund ist einfach: Kleinere Betriebe haben selten ein eigenes Sicherheitsteam, das rund um die Uhr Alarme auswertet. Genau diese Lücke schließt ein gemanagtes EDR. Angreifer machen ohnehin längst keinen Unterschied mehr zwischen Konzern und Mittelständler — im Gegenteil, kleinere Unternehmen gelten oft als leichteres Ziel, weil sie als schlechter geschützt vermutet werden.
Hinzu kommt, dass viele Angriffe heute automatisiert und breit gestreut ablaufen. Massenhaft verschickte Phishing-Mails und automatisierte Scans suchen schlicht nach verwundbaren Systemen, unabhängig von der Firmengröße. Ein Mittelständler ist damit genauso im Visier wie ein Großkonzern — nur ohne dessen Ressourcen zur Abwehr. Genau deshalb ist moderne Erkennung gerade hier so wichtig: Sie gleicht den fehlenden Personalpuffer durch Technik und externes Know-how aus.
EDR allein erzeugt nur Alarme. Ohne jemanden, der diese Meldungen liest, bewertet und darauf reagiert, ist es lediglich ein weiteres Warnlämpchen, das niemand beachtet. Genau hier setzt der gemanagte Ansatz an. „Managed" bedeutet, dass ein erfahrenes Team die Überwachung und Reaktion übernimmt — oft auch als Managed Detection and Response (MDR) bezeichnet. Konkret heißt das:
So wird aus einem technischen Werkzeug ein wirksamer Schutz, der auch ohne eigenes Sicherheitsteam funktioniert. Bei implec mit ∅ 29 Minuten Reaktionszeit auf gemeldete Störungen verbinden wir die Technik mit der nötigen Reaktionsgeschwindigkeit — denn im Ernstfall entscheidet jede Minute über das Ausmaß des Schadens.
Ransomware ist die Bedrohung, gegen die EDR seine Stärken am deutlichsten ausspielt. Ein Verschlüsselungsangriff verläuft selten als ein einziger schneller Schlag, sondern in Phasen: erster Zugang, unbemerkte Ausbreitung im Netz, Rechteausweitung, Suche nach Backups — und erst ganz am Ende die eigentliche Verschlüsselung. Ein klassischer Scanner sieht meist nur die finale Schaddatei, wenn überhaupt. Da ist es oft zu spät.
EDR setzt früher an. Es erkennt die verräterischen Verhaltensmuster der Vorbereitungsphase: ungewöhnliche Anmeldungen, das Auslesen von Zugangsdaten, das systematische Durchsuchen von Netzlaufwerken. Beginnt ein Prozess, in hohem Tempo Dateien zu verschlüsseln, kann das EDR ihn stoppen und das Gerät isolieren, bevor sich der Schaden auf den ganzen Betrieb ausweitet.
Klassisches Antivirus fragt: Kenne ich diese Datei? EDR fragt: Ist dieses Verhalten normal? Genau dieser Perspektivwechsel rettet im Ernstfall den Betrieb.
Trotzdem ersetzt EDR kein Backup. Es senkt die Wahrscheinlichkeit, dass ein Angriff überhaupt durchschlägt, drastisch — aber die letzte Verteidigungslinie bleibt eine getrennt aufbewahrte, getestete Datensicherung nach der 3-2-1-Regel. Wie diese Bausteine zusammenwirken, vertiefen wir im Beitrag zum Ransomware-Schutz.
Entscheidend ist nicht das Produkt mit der längsten Funktionsliste, sondern die Frage, wer die Lösung im Alltag betreibt. Eine EDR-Software, deren Alarme niemand auswertet, ist im Mittelstand wenig wert. Achten Sie deshalb zuerst darauf, ob die Überwachung als Dienst rund um die Uhr abgedeckt ist — denn die meisten Angriffe laufen nachts und am Wochenende, wenn keine eigene IT erreichbar ist.
Weitere Punkte, die in der Praxis den Unterschied machen:
Ein verbreitetes Missverständnis ist, EDR sei eine Investition, die man einmal tätigt und dann vergisst. Tatsächlich entfaltet die Technik ihren Wert erst durch den laufenden Betrieb und die menschliche Bewertung dahinter. Genau deshalb empfiehlt sich für die meisten Mittelständler ein gemanagter Ansatz, bei dem ein erfahrenes Team die Überwachung übernimmt — statt eigene Fachkräfte für eine Aufgabe abzustellen, die rund um die Uhr Aufmerksamkeit verlangt.
Nein, EDR ist ein Baustein in einem mehrschichtigen Schutzkonzept, kein Ersatz für alles andere. Es schützt die Endgeräte — also Laptops, PCs und Server — und damit das heute häufigste Einfallstor. Den Übergang nach außen sichert weiterhin die Firewall, und gegen den Diebstahl von Zugangsdaten hilft die Multi-Faktor-Authentifizierung, die selbst ein gestohlenes Passwort wertlos macht.
Auch ein getestetes Backup bleibt unverzichtbar als letzte Verteidigungslinie für den Fall, dass doch einmal etwas durchkommt. Ebenso gehören zeitnahes Patch-Management und geschulte Mitarbeitende dazu — die beste Erkennung nützt wenig, wenn bekannte Lücken monatelang offenstehen oder Phishing-Mails arglos angeklickt werden.
Die Stärke liegt im Zusammenspiel: Jede Schicht fängt das ab, was die anderen übersehen. EDR ergänzt dieses Gefüge um eine moderne, verhaltensbasierte Erkennung direkt dort, wo gearbeitet wird. Möchten Sie wissen, ob Ihre aktuelle Endpoint-Absicherung diesem Standard genügt? Sprechen Sie uns an — wir schauen gemeinsam, wo Ihr Schutz heute steht und wo der größte Hebel liegt.
Geschäftsführer bei implec. Schreibt hier über Themen aus dem IT-Alltag des Mittelstands — praxisnah und ohne Buzzword-Bingo.
Alle Beiträge dieses Autors →FAQ
Kurz und konkret beantwortet.
Moderne Lösungen arbeiten ressourcenschonend im Hintergrund. Im normalen Betrieb merken Nutzer keinen spürbaren Unterschied zur gewohnten Geschwindigkeit, da die Verhaltensanalyse hardwarenah und effizient läuft.
In der Regel ersetzt EDR den klassischen Scanner, da es dessen Signaturerkennung mit abdeckt. Ein Parallelbetrieb ist meist weder nötig noch sinnvoll und kann sogar zu Konflikten zwischen den Programmen führen.
Als gemanagter Dienst lässt sich EDR vergleichsweise zügig auf den Geräten ausrollen, oft innerhalb weniger Tage. Anschließend übernimmt das Team die laufende Überwachung rund um die Uhr.
EDR ist die Technik auf den Endgeräten. MDR (Managed Detection and Response) ergänzt sie um ein Team, das die Alarme auswertet und reagiert. XDR weitet die Erkennung zusätzlich auf Netzwerk, E-Mail und Cloud aus und korreliert die Signale.
Fragen zu Ihrem Projekt?
Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
