Endpoint Detection and Response
Was ist Endpoint Detection and Response?
Endpoint Detection and Response (EDR) bezeichnet eine Sicherheitslösung, die Endpunkte wie Workstations und Server kontinuierlich überwacht, um Angriffe frühzeitig zu erkennen und zu untersuchen. Ziel ist es, fortgeschrittene Bedrohungen zu identifizieren, zu isolieren und zu analysieren, bevor sie größeren Schaden anrichten. Im Gegensatz zu traditionellen Antivirenlösungen arbeitet EDR verhaltensbasiert und ermöglicht proaktives Threat Hunting.
Technischer Aufbau & Varianten
EDR-Lösungen kombinieren verschiedene Sicherheitsmechanismen:
-
Datensammlung in Echtzeit: Prozessstarts, Netzwerkaktivität, Dateioperationen, Benutzerverhalten
-
Indikatoren für Kompromittierungen (IoCs): Signaturen, Hashes, Anomalien
-
Verhaltensanalyse: Machine Learning & Heuristik zur Erkennung unbekannter Bedrohungen
-
Sofortmaßnahmen: Prozessisolation, Endpoint Lockdown, automatisierte Reaktionen
Erweiterte Funktionen:
-
Integration mit SIEM- und SOAR-Plattformen
-
Forensische Analyse & Rückverfolgung von Angriffsketten
-
Threat Intelligence Feed-Einbindung
Relevanz in der Praxis
EDR ist essenziell bei:
-
Abwehr von Advanced Persistent Threats (APT)
-
Schutz vor Ransomware und dateilosen Angriffen
-
Untersuchung von Sicherheitsvorfällen
-
Erfüllung regulatorischer Anforderungen (z. B. NIS-2, ISO 27001)
Standards & regulatorische Anforderungen
-
ISO 27001: A.12.4 Ereignisprotokollierung
-
BSI Grundschutz: OPS.1.1.2 Endgeräteschutz
-
DORA, NIS-2: Anforderungen an Monitoring & Reaktion
Verwandte Begriffe
-
Incident Response Plan
-
Threat Intelligence
Beispiel aus der Praxis
Ein mittelständisches Unternehmen stellte durch EDR ungewöhnliche PowerShell-Aufrufe auf mehreren Clients fest. Die automatisierte Analyse zeigte lateral movement-Versuche eines Angreifers. Durch sofortige Isolierung der betroffenen Geräte konnte der Angriff gestoppt werden, bevor sensible Kundendaten exfiltriert wurden.