Endpoint Security: EDR, EPP und ganzheitlicher Geräteschutz
Endpoint Security schützt alle Endgeräte - Laptops, Server, mobile Geräte. Von klassischem Antivirus zu EDR und XDR: Technologien, Erkennungsmethoden, Härtungsmaßnahmen und Auswahl der richtigen Lösung.
Inhaltsverzeichnis (7 Abschnitte)
Endpoints - Laptops, Workstations, Server, mobile Geräte, virtuelle Maschinen - sind der primäre Angriffspunkt für Cyberkriminelle. 80% aller Sicherheitsvorfälle beginnen auf einem Endpoint. Endpoint Security ist deshalb kein optionales Feature, sondern die Grundlage jeder Sicherheitsarchitektur.
Von Antivirus zu EDR: Die Evolution
Generation 1: Signaturbasiertes Antivirus (1990er-2010er)
Das klassische Antivirus vergleicht Dateien gegen eine Datenbank bekannter Malware-Signaturen. Funktioniert gut für bekannte Schadsoftware - versagt komplett bei:
- Zero-Day-Exploits (kein Signatur vorhanden)
- Polymorphe und metamorphe Malware (verändert Signatur)
- Fileless Malware (keine Datei auf der Festplatte)
- Living-off-the-Land-Techniken (legitime System-Tools missbraucht)
Status: Notwendig als Grundlage, aber bei weitem nicht ausreichend.
Generation 2: Endpoint Protection Platform (EPP)
EPP kombiniert mehrere Erkennungsmethoden:
- Signaturbasierte Erkennung
- Verhaltensbasierte Heuristik (verdächtige Aktivitätsmuster)
- Machine-Learning-Modelle
- URL/Reputation-Filter
- Application Whitelisting
EPP ist reaktiv: Es versucht Malware beim Eintritt zu blockieren.
Generation 3: Endpoint Detection and Response (EDR)
EDR geht einen Schritt weiter - es kombiniert Prävention mit Erkennung und Response:
Kontinuierliche Überwachung: EDR zeichnet alle Aktivitäten auf jedem Endpoint auf: Prozesse, Netzwerkverbindungen, Dateioperationen, Registry-Änderungen, Speicherzugriffe. Dieser Telemetrie-Stream fließt in eine zentrale Cloud-Plattform.
Bedrohungserkennung: Verhaltensbasierte Erkennung auf Basis von MITRE ATT&CK-Techniken. Ein EDR erkennt nicht “das ist bekannte Malware” - sondern “dieses Verhalten entspricht Technik T1003 (Credential Dumping)”.
Forensik und Investigation: Nach einem Alarm: Vollständige Prozess-Baumansicht, was hat der Prozess gemacht, welche Verbindungen aufgebaut, welche Dateien geschrieben. In Minuten statt Stunden.
Automated Response:
- Prozess automatisch beenden
- Host isolieren (Netzwerkverbindung trennen, aber Management-Verbindung behalten)
- Datei unter Quarantäne stellen
Marktführer (Gartner Magic Quadrant 2024): CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Palo Alto Cortex XDR, Sophos Intercept X, Trend Micro Vision One.
Generation 4: XDR (Extended Detection and Response)
XDR erweitert EDR um weitere Telemetriequellen:
- Endpoint (EDR)
- Netzwerk (NDR)
- Cloud Workloads
- Identitäten (Active Directory, Entra ID)
Korrelation über alle Quellen ermöglicht: “Phishing-E-Mail empfangen → Nutzer klickt Link → Browser startet PowerShell → PowerShell verbindet zu C2 → Lateral Movement zu DC” - als zusammenhängenden Angriffspfad erkannt, nicht als 5 separate Alerts.
Endpoint-Härtung (Hardening)
Härtung reduziert die Angriffsfläche bevor Malware überhaupt aktiv wird.
Windows Hardening (Wesentliche Maßnahmen)
PowerShell-Einschränkungen:
# Constrained Language Mode (verhindert PowerShell als Angriffswerkzeug)
Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope LocalMachine
# Script Block Logging (für forensische Analyse)
# Via GPO: Computer Configuration → Admin Templates → Windows Components → PowerShellWindows Defender Application Control (WDAC): Nur signierte und zugelassene Anwendungen dürfen starten - Application Whitelisting auf Kernel-Ebene. Verhindert Ausführung nicht genehmigter Binärdateien.
Credential Guard: Schützt LSASS (Local Security Authority Subsystem) vor Credential-Dump-Angriffen (Mimikatz). Speichert Anmeldeinformationen in einer isolierten Hyper-V-Umgebung.
# Credential Guard Status prüfen
msinfo32 → Systemzusammenfassung → Virtualisierungsbasierte SicherheitWindows Defender Exploit Guard:
- Attack Surface Reduction (ASR) Rules: Blockiert typische Angriffstechniken (Office-Makros, Skript-Ausführung aus Temp-Ordnern)
- Controlled Folder Access: Verhindert Ransomware-Verschlüsselung (nur autorisierte Apps können Dateien schreiben)
- Network Protection: Blockiert ausgehende Verbindungen zu bekannten schädlichen Domains
LAPS (Local Administrator Password Solution): Jeder Windows-Computer erhält ein einzigartiges, rotierendes lokales Admin-Passwort. Verhindert Pass-the-Hash-Lateral-Movement (ein kompromittierter Rechner gibt kein Passwort das auf 500 anderen Rechnern gilt).
UAC (User Account Control): Standardnutzer statt Admin-Rechte im Alltag. Erhöhte Rechte nur bei expliziter Bestätigung - verhindert dass Malware automatisch mit Admin-Rechten läuft.
macOS Hardening
- Gatekeeper: Nur signierte und notarisierte Anwendungen
- System Integrity Protection (SIP): Schützt kritische Systempfade vor Manipulation
- FileVault: Vollverschlüsselung (analog zu BitLocker)
- Managed Device Management (MDM): Unternehmensverwaltung via Apple Business Manager
Mobile Endpoints (iOS/Android)
Mobile Device Management (MDM): Unternehmensrichtlinien für mobile Geräte: Passwort-Anforderungen, App-Whitelist, Remote-Wipe.
Mobile Application Management (MAM): Trennung von privaten und Unternehmens-Apps/Daten auf BYOD-Geräten (Bring Your Own Device).
Conditional Access: Nur verwaltete und compliant-Geräte erhalten Zugang zu Unternehmensressourcen (Microsoft Intune, Jamf, VMware Workspace ONE).
Patch Management - kritische Grundlage
Ungepatchte Systeme sind der häufigste Angriffsvektor. WannaCry (2017) nutzte eine 2 Monate alte Windows-Schwachstelle für die ein Patch existierte - aber nicht eingespielt war.
Patch-SLAs als Best Practice:
| CVSS-Score | Kritikalität | Patch-Deadline |
|---|---|---|
| 9.0-10.0 | Kritisch | 24-48 Stunden |
| 7.0-8.9 | Hoch | 7 Tage |
| 4.0-6.9 | Mittel | 30 Tage |
| 0-3.9 | Niedrig | 90 Tage |
Automatisierung: Microsoft WSUS/Intune, Red Hat Satellite, Ansible, Puppet für automatisierte Patch-Verteilung.
EDR und SIEM: Zusammenspiel
EDR liefert hochwertige Endpoint-Telemetrie. Im SIEM wird diese mit anderen Quellen (Netzwerk, DNS, AD-Logs, Cloud) korreliert:
EDR-Alert: Suspicious PowerShell Command
+
Active Directory: Neuer Domain-Admin erstellt (ungewöhnliche Zeit)
+
Firewall: Ausgehende Verbindung zu bekannter C2-IP
=
SIEM-Korrelation: Aktiver Kompromittierungsvorfall → SOC-Alert P1Ohne SIEM-Korrelation: 3 separate Alerts die möglicherweise übersehen werden. Mit SIEM: Ein priorisierter P1-Alarm mit vollständigem Kontext.
Endpoint Security für Remote-Arbeit
Homeoffice verändert das Threat-Modell:
- Geräte befinden sich nicht im geschützten Perimeter
- Private Netzwerke ohne Enterprise-Firewall
- Gemischte Nutzung (privat und beruflich)
Empfehlungen:
- EDR auf allen Unternehmensgeräten (auch Homeoffice-PCs)
- VPN oder ZTNA für Unternehmens-Traffic
- Conditional Access: Nur compliant-Geräte erhalten Zugang
- Endpoint-DLP (Data Loss Prevention): Verhindert unkontrollierten Datenabfluss auf private USB-Sticks
- Obligatorische Festplattenverschlüsselung (BitLocker/FileVault)
Compliance-Anforderungen
NIS2 Art. 21: “Erkennung von Cybersicherheitsvorfällen” und “Schutz von IKT-Systemen” sind explizite Anforderungen - EDR ist die technische Umsetzung.
BSI IT-Grundschutz SYS.2.1: “Allgemeiner Client” enthält detaillierte Anforderungen an Betriebssystem-Härtung, Virenschutz und Patch-Management.
ISO 27001 A.8.7: “Schutz gegen Schadsoftware” als explizite Kontrolle.
PCI DSS 5.x: Anti-Malware-Schutz auf allen Systemen im Cardholder Data Environment.
Endpunkt als Vertrauensanker im Zero Trust
In Zero-Trust-Architekturen ist der Endpoint-Gesundheitszustand eine Zugangsentscheidung:
Nutzeranfrage an Unternehmensapp
↓
Conditional Access prüft:
✓ Nutzeridentität (MFA bestanden?)
✓ Gerätekompliance (MDM enrolliert, Antivirus aktiv, OS gepatcht?)
✓ Gerätezustand (EDR: kein aktiver Alert?)
✓ Standort/Netzwerk (Vertrauenswürdiges Netzwerk oder bekannte IP?)
↓
Zugang gewährt / verweigert / mit zusätzlichem MFA-SchrittNur Geräte die alle Checks bestehen erhalten Zugang - unabhängig vom Netzwerkstandort.
Quellen & Referenzen
- [1] Gartner Magic Quadrant for Endpoint Protection Platforms 2024 - Gartner
- [2] MITRE ATT&CK: Endpoint Techniques - MITRE Corporation
- [3] BSI: Empfehlungen für Endpoint-Sicherheit - BSI
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking — Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
