EDR und MDR · Argon Analytik

Was Endpoint Detection und Managed Detection leisten und warum modernes Monitoring mehr ist als klassischer Virenschutz.

EDR steht für Endpoint Detection and Response. MDR steht für Managed Detection and Response. Beide Begriffe beschreiben Sicherheitsüberwachung, die über klassischen Virenschutz hinausgeht.

Der Unterschied ist grob: EDR ist die technische Erkennung und Reaktion auf Endgeräten. MDR ist der betreute Dienst darum herum, bei dem Meldungen ausgewertet und Massnahmen koordiniert werden.

Warum klassischer Virenschutz nicht reicht

Klassischer Virenschutz sucht vor allem bekannte Muster. Moderne Angriffe sehen aber nicht immer wie eine klassische Schadsoftware-Datei aus. Sie nutzen legitime Werkzeuge, gestohlene Zugänge, Skripte, falsch konfigurierte Systeme oder Cloud-Konten.

Deshalb reicht es nicht, nur nach «bösen Dateien» zu suchen. Wichtig ist das Verhalten: ungewöhnliche Prozesse, verdächtige Verbindungen, auffällige Login-Muster, neue Persistenzmechanismen oder riskante Aktionen auf Geräten.

Was EDR leistet

EDR sammelt Signale von Endgeräten und macht verdächtiges Verhalten sichtbar. Je nach Produkt kann es Prozesse analysieren, Dateien isolieren, Netzwerkverbindungen prüfen oder ein Gerät bei einem Vorfall vom Netz trennen.

Für Macs, Windows-Geräte und Server kann EDR helfen, Angriffe früher zu erkennen. Es ersetzt aber keine saubere Basis: Updates, MDM, FileVault, starke Logins und klare Zugriffsrechte bleiben notwendig.

Was MDR ergänzt

MDR fügt Betreuung hinzu. Meldungen werden nicht nur gesammelt, sondern bewertet. Das ist wichtig, weil viele Sicherheitstools schnell zu viele Hinweise erzeugen. Ohne Einordnung entsteht Alarmmüdigkeit.

Ein guter MDR-Prozess beantwortet:

Welche Meldung ist wirklich kritisch?
Welches Gerät oder Konto ist betroffen?
Was muss sofort isoliert werden?
Wer informiert wen?
Wie wird der Vorfall dokumentiert?

Für KMU realistisch denken

Nicht jedes KMU braucht ein grosses Security Operations Center. Aber jedes KMU braucht Klarheit, was bei einem Verdacht passiert. Gerade wenn KI Angriffe schneller, günstiger und breiter macht, wird gute Einordnung wichtiger.

Ein pragmatischer Einstieg kann sein: kritische Geräte definieren, Logs und Sicherheitszustände sichtbar machen, Meldewege festlegen und nur die Signale überwachen, die im konkreten Betrieb auch bearbeitet werden können.

Typische Fehler

Ein häufiger Fehler ist Tool-Kauf ohne Prozess. Ein EDR-Produkt erzeugt Meldungen, aber niemand fühlt sich zuständig. Dann wird Sicherheit nur lauter, nicht besser.

Ein zweiter Fehler ist zu viel Überwachung ohne Datenschutz und Datenminimierung. Security-Monitoring sollte Risiken erkennen, nicht unnötig Inhalte sammeln.

Merksatz

EDR erkennt verdächtiges Verhalten. MDR sorgt dafür, dass aus Meldungen sinnvolle Entscheidungen werden.