EDR für KMU: Warum klassischer Antivirenschutz nicht mehr ausreicht
Endpoint Detection and Response (EDR) hat klassische Antivirus-Lösungen als Basisschutz abgelöst. Dieser Guide erklärt den Unterschied zwischen AV, EDR und XDR, welche EDR-Lösungen für KMU geeignet sind (Microsoft Defender for Business, SentinelOne, CrowdStrike Falcon Go), wie EDR implementiert wird und was nach dem ersten Alert zu tun ist.
Vincent Heinen Abteilungsleiter Offensive Services TL;DR
Klassischer Antivirenschutz ist gegen moderne Cyberangriffe, die legitime Tools und dateilose Malware nutzen, nicht mehr ausreichend. EDR-Lösungen (Endpoint Detection and Response) überwachen Endpunkte kontinuierlich auf Verhaltensanomalien und erkennen so Angriffe, bevor sie Schaden anrichten. Für KMU bietet sich Microsoft Defender for Business an, das in Microsoft 365 Business Premium enthalten ist und umfassende Funktionen wie Attack Surface Reduction und automatisierte Reaktion bietet. Alternativen wie SentinelOne Singularity Business oder CrowdStrike Falcon Go bieten erweiterte Funktionen wie autonomes Rollback oder integrierte Threat Intelligence, sind jedoch mit höheren Kosten und größerem Einrichtungsaufwand verbunden. Aktivieren Sie unbedingt die Tamper Protection, um eine Deaktivierung durch Malware zu verhindern.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (4 Abschnitte)
Klassischer Antivirenschutz erkennt bekannte Malware-Signaturen - aber moderne Angriffe nutzen legitime Windows-Tools (Living off the Land), verschlüsselte Kommunikation und dateilose Malware. EDR-Lösungen analysieren Verhaltensweisen statt Signaturen und können Angriffe erkennen, bevor der Schaden entsteht.
AV vs. EDR vs. XDR - was ist was?
Generation 1 - Signatur-basierter Antivirus (1990er-2010s)
- Vergleich bekannter Malware-Hashes gegen Datenbank
- Problem: Zero-Day, fileless Malware, polymorphe Viren werden nicht erkannt
- Beispiele: Windows Defender (Basis), ESET, Avast
Generation 2 - Next-Generation Antivirus (NGAV)
- ML-basierte Erkennung: Verhaltensanalyse ohne Signatur
- Statische Analyse: “Sieht diese .exe aus wie Malware?”
- Dynamische Analyse: Sandbox-Ausführung
- Problem: kein Visibility in das, was nach einer Infektion passiert
Generation 3 - EDR (Endpoint Detection and Response)
- Kontinuierliche Verhaltensüberwachung auf dem Endpoint
- Telemetrie: Prozesse, Netzwerkverbindungen, Datei-Operationen, Registry
- Detection: MITRE ATT&CK Taktiken erkennen
- Response: Remote-Isolation, Process-Kill, Forensik-Snapshot
- Beispiele: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint
Generation 4 - XDR (Extended Detection and Response)
- EDR + Netzwerk + Cloud + E-Mail in einem System
- Korrelation über alle Layers: “Phishing E-Mail → Powershell → C2-Beacon”
- Single Pane of Glass für das gesamte Sicherheits-Ökosystem
- Beispiele: Microsoft Defender XDR, Palo Alto Cortex XDR
Empfehlung für KMU
| Bedarf | Empfehlung |
|---|---|
| Minimallösung | Microsoft Defender for Business (in M365 Business Premium) |
| Mittelstufe | SentinelOne Singularity Business |
| Wachstumspfad | EDR → XDR wenn SOC wächst |
Microsoft Defender for Business - EDR für KMU
Enthalten in: Microsoft 365 Business Premium (~26 EUR/User/Monat) | Einzeln: ~3 EUR/User/Monat | Geräte: bis 300 Nutzer
Funktionsumfang
- Next-Generation Protection (ML-basiert)
- Attack Surface Reduction (ASR) Rules
- Behavioral Detection: MITRE ATT&CK-basiert
- EDR: vollständige Telemetrie + Incident-Korrelation
- Automated Investigation and Response (AIR)
- Vulnerability Management: CVEs auf Endgeräten
- Web-Filterung: schädliche URLs blockieren
Einrichtung (Microsoft 365 Admin Center)
- Microsoft 365 Admin Center → Sicherheit
- Microsoft 365 Defender → Einstellungen → Endpoints
- Gerätekonfiguration: Onboarding via Intune oder GPO
Onboarding via Intune (empfohlen):
Intune → Endpoint Security → Endpoint Detection and Response → “Microsoft Defender for Endpoint” → Deploy auf alle Geräte (oder spezifische Gruppen)
Wichtige ASR-Regeln aktivieren
# Via PowerShell (oder Intune-Konfigurationsprofil):
Set-MpPreference -AttackSurfaceReductionRules_Ids `
"D4F940AB-401B-4EFC-AADC-AD5F3C50688A", ` # Block all Office apps from creating child processes
"9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2", ` # Block credential stealing from lsass.exe
"BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550", ` # Block executable content from email client
"5BEB7EFE-FD9A-4556-801D-275E5FFC04CC" ` # Block execution of potentially obfuscated scripts
-AttackSurfaceReductionRules_Actions Enabled, Enabled, Enabled, EnabledWichtige Einstellungen
| Einstellung | Status |
|---|---|
| Block at first sight | Aktiviert |
| Cloud-delivered protection | Aktiviert (hohe Schutzstufe) |
| Automatic sample submission | Aktiviert |
| Tamper Protection | Aktiviert (verhindert Deaktivierung durch Malware!) |
Andere EDR-Lösungen für KMU
SentinelOne Singularity Business
- Preis: ~8 USD/Endpoint/Monat (bei 50 Endpoints)
- Plattformen: Windows, macOS, Linux
- Stärken:
- Marktführer bei Autonomous Response
- Rollback: kann Dateien vor Ransomware-Verschlüsselung wiederherstellen!
- Sehr gute Detection-Rate (MITRE ATT&CK evaluations)
- Storyline: visueller Angriffspfad pro Incident
- Schwächen: Teurer als Defender for Business, höherer Setup-Aufwand
CrowdStrike Falcon Go
- Preis: ~7 USD/Endpoint/Monat
- Stärken:
- Marktführer im Enterprise-Segment
- Falcon Intelligence: Threat Intelligence integriert
- Leichter Agent (geringe Performance-Impact)
- Exzellente MITRE Ergebnisse
- Schwächen: Komplexer für kleine Teams, teurer Support
ESET Protect Advanced
- Preis: ~5 USD/Endpoint/Monat
- Stärken:
- Deutsche Benutzeroberfläche
- Geringer Performance-Impact
- On-Premises-Option (kein Cloud-Zwang)
- DSGVO-freundlich (EU-Server)
- Schwächen: EDR-Funktionen weniger entwickelt als CrowdStrike/S1
Empfehlung je nach Situation
| Situation | Empfehlung |
|---|---|
| M365-Nutzer | Microsoft Defender for Business (günstiger, integriert) |
| Budget-kritisch | Microsoft Defender for Business |
| Best-of-Breed Security | SentinelOne oder CrowdStrike Falcon Go |
| On-Premises-Anforderung | ESET Protect Advanced oder Sophos Intercept X |
| Linux-Server-Fokus | CrowdStrike Falcon (beste Linux-Unterstützung) |
Was nach dem ersten EDR-Alert tun?
Schritt 1: Alert bewerten (Triage)
- Ist es ein bekanntes False Positive (Backup-Tool, Admin-Script)?
- Schweregrad: High/Critical → sofort handeln
- Betroffener Host: Workstation oder Server?
- Betroffener User: normaler Mitarbeiter oder Admin?
Schritt 2: Isolation (wenn kritisch)
- Host isolieren (EDR-Funktion: “Gerät isolieren”) → nur EDR-Kommunikation bleibt erhalten, sonst kein Netz → verhindert laterale Ausbreitung!
- Betroffenen User informieren: “Ihr Gerät wird untersucht”
- Passwörter des betroffenen Users zurücksetzen
Microsoft Defender - Host isolieren:
Defender Portal → Gerät auswählen → “Gerät isolieren” → Gerät verliert alle Netzwerkverbindungen außer EDR-Agent → KEIN Internet, kein internes Netz → sicher für Untersuchung
Schritt 3: Forensische Analyse
- Timeline ansehen: was ist wann passiert?
- Prozessbaum: von wo wurde schädlicher Prozess gestartet?
- Netzwerkverbindungen: welche externen IPs kontaktiert?
- Dateien: welche Dateien erstellt/modifiziert/gelöscht?
Typischer Angriffspfad (sichtbar im EDR):
14:23 explorer.exe → 14:23 outlook.exe → 14:23 Rechnung.pdf.exe
→ 14:24 powershell.exe -encodedCommand ...
→ 14:25 wscript.exe ...
→ 14:26 HTTP-Verbindung → 185.220.x.x:443 (C2!)
→ 14:27 lsass.exe accessed (Credential Dump!)Schritt 4: Containment und Eradication
- Schädliche Dateien löschen (EDR-Funktion)
- Schädliche Prozesse beenden (EDR-Funktion)
- Registry-Keys bereinigen
- Basis-Image-Neuaufsetzen (wenn tiefe Infektion)
Schritt 5: Recovery und Lessons Learned
- Wiederherstellung aus Backup (falls Daten betroffen)
- Root Cause ermitteln: wie ist Angreifer reingekommen?
- E-Mail-Anhang → Awareness-Training
- Schwachstelle in Software → Patch sofort!
- Credential-Diebstahl → MFA
- SIEM-Regel erstellen: dieser spezifische Angriffsweg soll sofort Alarm auslösen
- Dokumentation: was war der Vorfall, wie wurde reagiert, was wird verbessert?
EDR ist kein Selbstläufer - Alerts müssen bearbeitet werden. AWARE7 unterstützt bei EDR-Implementierung und Managed Detection and Response (MDR) - damit Alerts nicht im Postfach versauern, sondern bearbeitet werden.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
