Startseite
Zurück zur Übersicht

Endpoint Detection & Response (EDR)

Endpoint Detection & Response (EDR) bezeichnet eine Kategorie von Sicherheitslösungen, die auf Endgeräten wie Laptops, Smartphones oder Servern kontinuierlich Aktivitäten überwachen, verdächtiges Verhalten in Echtzeit erkennen und automatisierte sowie manuelle Reaktionsmaßnahmen ermöglichen. EDR geht damit deutlich über klassische Antivirenprogramme hinaus, die lediglich bekannte Schadprogramme anhand von Signaturen identifizieren, ohne das Gesamtverhalten eines Geräts im Blick zu behalten.

Der technische Kern von EDR ist die verhaltensbasierte Analyse. Statt nur bekannte Bedrohungen zu blockieren, zeichnet eine EDR-Lösung kontinuierlich auf, welche Prozesse auf einem Gerät laufen, welche Netzwerkverbindungen aufgebaut werden und welche Dateizugriffe stattfinden, um daraus Anomalien und potenzielle Angriffsmuster abzuleiten. Im Angriffsfall ermöglicht diese Datenbasis eine detaillierte forensische Analyse, die zeigt, wie ein Angreifer ins System gelangt ist und welche Systeme kompromittiert wurden.

Für Unternehmen und Behörden mit einer großen und heterogenen Gerätelandschaft wird EDR besonders dann relevant, wenn mobile Endgeräte außerhalb des Firmennetzwerks eingesetzt werden. Eine Stadtverwaltung, die ihren Außendienst mit Dienstsmartphones ausstattet, kann über EDR sicherstellen, dass auch Geräte im Feldeinsatz kontinuierlich auf Bedrohungen überwacht werden und im Ernstfall automatisch isoliert oder gesperrt werden können, bevor sich ein Angriff auf weitere Systeme ausbreitet.

Der wesentliche Vorteil von EDR gegenüber klassischen Sicherheitslösungen liegt in der Fähigkeit, auch bisher unbekannte Angriffsmethoden zu erkennen. Da die Bewertung nicht auf einer statischen Signaturdatenbank basiert, sondern auf dem tatsächlichen Verhalten der Endgeräte im laufenden Betrieb, ist EDR besonders relevant angesichts der zunehmenden Verbreitung von Zero-Day-Exploits und dateilosen Angriffen, die keine klassischen Schadsoftwarespuren hinterlassen.

EDR entfaltet seinen vollen Nutzen, wenn die überwachten Geräte auch konfigurativ einheitlich aufgestellt sind und sich bei Bedarf aus der Ferne sperren oder zurücksetzen lassen. Beides lässt sich über eine zentrale Geräteverwaltung sicherstellen.