Was ist eigentlich
Endpoint Detection and Response (EDR)?

G DATA Ratgeber

Was ist eine EDR-Lösung? Welche Vorteile bringt sie? Das fragen sich viele Unternehmen – und treffen auf einen Begriffsdschungel, von ETDR über XDR bis MDR. Das macht die Beurteilung nicht gerade leichter. Dieser Artikel definiert klar, was ein EDR-System ausmacht. Erfahren Sie, wie EDR funktioniert, warum es wichtig ist und was es von Antiviren-Software unterscheidet. Kennen Sie außerdem schon die 3 Mythen über EDR?

Was macht ein EDR?

Endpoint Detection and Response (EDR) bezeichnet eine Software, die Unternehmen dabei hilft:

  • Cyberbedrohungen zu erkennen, die präventive Abwehrmaßnahmen überwinden konnten (Detect – das „D“ in EDR)
  • und mit Gegenmaßnahmen darauf zu reagieren (Respond – das „R“ in EDR).

Dazu überwacht und analysiert EDR kontinuierlich die Aktivitäten auf Endgeräten wie PCs und Servern. Sobald die Software eine verdächtige Aktivität erkennt, reagiert sie automatisch und/oder alarmiert einen Analysten, der den Vorfall genauer prüft. Stellt sich die Aktivität als bösartig heraus, greift er sofort ein, um den Angriff zu stoppen. Eine alternative Bezeichnung für EDR ist Endpoint Threat Detection and Response (ETDR).

Wie funktioniert EDR?

  1. Überwachung der Aktivitäten:

    Um EDR zu nutzen, wird auf Endgeräten wie PCs und Servern jeweils ein Software-Agent installiert. Dieser erfasst in Echtzeit die Aktivitäten und Ereignisse auf den Geräten.
  2. Übertragung an EDR-Plattform

    Die Software-Agenten schicken die erfassten Daten an eine zentrale Cloud-basierte EDR-Plattform, die der Hersteller zur Verfügung stellt.
  3. Korrelation und Analyse der Daten

    Die EDR-Plattform korreliert und analysiert die Daten, um verdächtiges Verhalten festzustellen. Durch Machine Learning lernt das System stetig dazu, wie der normale Betrieb aussieht und was verdächtig ist.
  4. Reaktion auf verdächtige Aktivitäten

    Sobald die EDR-Plattform etwas als verdächtig einstuft, löst sie einen Alarm bei einem Analysten aus. Dieser nimmt eine genaue Analyse vor und greift bei Bedarf sofort ein, um den Vorfall zu beheben. Je nach Fall kann die EDR-Plattform auch direkt automatisiert reagieren, um zum Beispiel einen PC vom Netzwerk zu isolieren.
  5. Speicherung für künftige Erkennung

    Nach jeder manuellen Analyse werden die gewonnenen Erkenntnisse gespeichert. So können künftige Bedrohungen noch effizienter erkannt und gestoppt werden.

Welche Aktivitäten überwacht EDR?

Um verdächtiges Verhalten zu erkennen, überwacht EDR Aktivitäten und Ereignisse wie:

  • Starten oder Beenden von Prozessen
  • Erstellen oder Löschen von Dateien
  • Zugriffe auf die Windows-Registry
  • Event Logs des Betriebssystems
  • Ereignisverfolgung für Windows (ETW)
  • Software-Installation oder -Deinstallation
  • Benutzeranmeldung, -abmeldung oder -erstellung

Warum EDR statt Antiviren-Software?

Die klassische Antiviren-Software versucht, Cyberangriffe durch präventive Schutztechnologien direkt abzuwehren. Das Ziel von EDR ist es hingegen, die Angriffe zu entdecken, die von den präventiven Schutztechnologien nicht abgewehrt werden konnten. Dazu setzt EDR zusätzliche Sensoren ein, um eine umfassende Analyse zu erlauben (Detect). EDR bietet außerdem die Möglichkeit, mit Gegenmaßnahmen zu reagieren (Respond).

EDR-Lösungen enthalten in der Regel auch präventive Schutztechnologien und decken somit Prevent und Detect & Respond ab.

EDR als Bank: Diebe erkennen und stoppen

Um den Mehrwert von EDR zu verdeutlichen, stellen wir uns einmal eine Bank vor:

Prevent:

Als präventive Schutzmaßnahme liegt das Geld in einem Tresor, um Diebe abzuwehren. Lässt man jedoch einen gut ausgestatteten Dieb lange genug mit dem Tresor allein, ohne dass er Angst haben muss, entdeckt zu werden, wird er ihn irgendwann öffnen. Genauso verhält es sich mit aktiven Angreifern, die AV-Software umgehen möchten.

Detect:

Um den Dieb immerhin zu entdecken, nachdem er den Tresor öffnen konnte, installieren wir Kameras. Außerdem bringen wir Türsensoren an, die bemerken, wenn jemand um 1 Uhr nachts die Eingangstür oder Tresortür öffnet. Solche Sensoren enthalten auch EDR-Sicherheitslösungen – zusätzlich zu den präventiven Schutztechnologien.

Respond:

Außerdem setzen wir eine Alarmanlage, eine automatische Türverriegelung sowie Wachpersonal ein. Die Wache reagiert auf Meldungen der Kameras und Sensoren. Sie prüft, ob bei einem Alarm tatsächlich ein Dieb oder etwa nur eine Maus durch den Raum gelaufen ist. Ist es ein Dieb, kann die Wache ihn sofort stellen. Analog dazu sind es bei EDR-Lösungen die Analysten, die die Vorfälle prüfen und darauf reagieren.

EDR vs. Endpoint Protection

Im Vergleich zur Antivirus-Software enthält eine Endpoint Protection Lösung bestimmte Funktionen, um Gefahren anhand des Verhaltens zu erkennen. Das heißt, eine Endpoint Protection hat gewisse EDR-Anteile im Bereich der Erkennung (Detect).

Was jedoch der große Unterschied ist: EDR setzt eine deutlich erweiterte Sensorik zur Erkennung ein, die einem Analystenteam vorgelegt wird. Außerdem erlaubt eine Endpoint Protection nicht, mit Gegenmaßnahmen zu reagieren und Veränderungen am System zurückzusetzen (Respond). Genau das ist der entscheidende Vorteil von EDR.

Bespiel: Wie EDR auf Cyberangriffe reagiert

Nehmen wir als Beispiel an: Die EDR-Sensoren entdecken einen Prozess, der die Passwörter ausliest und einen unbekannten Server kontaktiert. Der Prozess schreibt sich selbst in den Autostart, sodass er bei jedem Neustart direkt wieder geladen wird. Das sieht verdächtig aus.

So reagiert EDR in diesem Fall:

  • Der betroffene PC wird automatisch vom Netz isoliert, um eine Ausbreitung zu verhindern.
  • Die Analysten untersuchen, ob eine echte Gefahr vorliegt, da auch IT-Administratoren legitim Passwörter auslesen könnten. Ihr Ergebnis: Es ist ein Angreifer.
  • Die Analysten entfernen daher die Autostart-Einträge.
  • Sie benachrichtigen den IT-Administrator, dass neue Passwörter vergeben werden müssen.

Was ist MEDR?

Der sinnvolle Einsatz eines EDR erfordert also „Wachpersonal“ in Form von Sicherheitsanalysten. Für die meisten Unternehmen ist der wirtschaftliche Betrieb eines eigenen Analystenteams jedoch kaum möglich.

Es erfordert ein sehr hohes Maß an Fachkenntnissen, die Vorfälle zu analysieren und richtig darauf zu reagieren. Analysten mit diesem Spezialwissen haben häufig ein Interesse daran, bei einem IT-Security-Unternehmen mit Gleichgesinnten zu arbeiten. Ansonsten fehlt der Austausch im Team, aber auch mit IT-Notfallexperten und Strafverfolgungsbehörden. Gerade in kleineren und mittleren Betrieben wären Analysten zudem kaum ausgelastet – was wenig wirtschaftlich ist.

Deshalb bietet es sich meist an, diese Aufgabe in die Hände eines spezialisierten Dienstleisters zu geben. In dem Fall spricht man von Managed EDR oder MEDR. Alternativ werden die Begriffe Managed Detection and Response (MDR) oder Managed Threat Response (MTR) verwendet.

Was leistet ein MEDR-Anbieter?

24/7-Schutz

Wer reagiert auf einen Alarm um 1 Uhr nachts? Die Sicherheitsanalysten eines MEDR-Anbieters sind rund um die Uhr im Einsatz.

Hintergrundwissen

Analysten eines guten MEDR-Anbieters verfügen über nicht-öffentliche Informationen, mit denen sie Vorfälle genauer beurteilen können. Dieses Wissen ist für eigene Analysten nur schwer zugänglich. Dazu zählt zum Beispiel Wissen aus:

  • Austausch mit weltweiter Cybercrime-Research-Community
  • Erfahrungen aus IT-Notfall-Einsätzen
  • regelmäßige Zusammenarbeit mit Strafverfolgungsbehörden

Wirtschaftlichkeit

MEDR-Anbieter können die erfassten Daten über viele Kunden hinweg gleichzeitig bewerten. Das führt zum Wissensvorsprung und ist wirtschaftlicher, als die Daten einzeln zu betrachten.

Beispiel aus der Praxis: Der Coin Miner Fall

Alles verschlüsselt, Lösegeldforderung – als das IT-Notfall-Team eintrifft, steht das Unternehmen vor einem Scherbenhaufen. Die Spurensuche rekonstruiert den Tathergang: Nachdem der Angreifer ein Nutzerkonto gehackt und sich so Zugriff verschafft hatte, installierte er einen Coin Miner, um Bitcoins zu schürfen. Die Endpoint Protection Lösung erkannte den Coin Miner und blockierte ihn.

Ein paar Wochen passierte nichts, dann der Super-GAU: Ein weiterer Angreifer loggte sich ein und verschlüsselte mit Ransomware das gesamte Netzwerk.

Coin Miner als Anzeichen für Ransomware

Durch den Austausch in der Research-Community findet das Notfall-Team heraus: Es war Arbeitsteilung. Eine kriminelle Gruppe hatte die Zugangsdaten gehackt und den Coin Miner installiert, um mit Bitcoins das erste Geld zu verdienen. Dann verkaufte sie die Zugangsdaten in einem Cybercrime-Forum. Die meisten Gruppen in diesem Forum nutzten die gekauften Zugangsdaten für Ransomware-Angriffe. Genau das war hier geschehen.

Die Endpoint Protection hatte den Coin Miner abgeblockt – womit der Fall für den IT-Administrator abgeschlossen war. Aber genau an dieser Stelle hätten Analysten eines MEDR-Anbieters mit ihrem Hintergrundwissen erkennen können, dass dieser Coin Miner Alarmstufe rot bedeutet (Ransomware!) und weitere Analysen nötig sind. Das gehackte Nutzerkonto hätte geschlossen und die Verschlüsselung sehr wahrscheinlich verhindert werden können.

Worauf sollte man bei MEDR achten?

Ist der Anbieter vertrauenswürdig?

Ein Managed-EDR-Anbieter erhält einen hohen Einblick in Ihre IT-Infrastruktur und hat sogar hohe Einwirkungsmöglichkeiten. Deshalb sollten Sie diesem Anbieter stark vertrauen können. Folgende Fragen liefern dafür einen Anhaltspunkt:

  • Wie lange ist der Anbieter bereits am Markt für IT-Sicherheit?
  • Wie sieht es mit Datenschutzbestimmungen aus? An welchem Standort sitzt er?
  • Stand er in der Vergangenheit mit Datenschutzvorfällen in Verbindung?

 

Hat er die EDR-Software selbst entwickelt?

Viele MEDR-Anbieter kaufen lediglich eine EDR-Software ein und bieten dazu ihre Dienstleistung an. Das birgt das Risiko, dass die Analysten die Meldungen der Sensoren falsch interpretieren. Achten Sie daher darauf, dass der Anbieter die Software selbst entwickelt. Dadurch wissen die Analysten genau, wie Meldungen zu verstehen sind und können richtig darauf reagieren.

 

Ist er auf IT-Security spezialisiert?

Wählen Sie einen Anbieter mit hoher Spezialisierung in IT-Sicherheit. Er kann wertvolle Informationen aus IT-Notfalleinsätzen und der Zusammenarbeit mit Strafverfolgungsbehörden ziehen, wenn er auch andere Dienste wie Incident Response anbietet. Außerdem können Sie bei sehr schweren Vorfällen ein Incident Response Team hinzuziehen, das Ihre Infrastruktur bereits genau kennt.

 

  Geht er individuell auf Sie ein?

Automatisierte Reaktionen auf Ihren geschäftskritischen Systemen können dazu führen, dass wichtige Abläufe unterbrochen werden. Ein guter Anbieter bespricht daher mit Ihnen, auf welchen Systemen statt einer automatischen Reaktion immer zunächst eine manuelle Analyse stattfinden soll.

3 Mythen über EDR

„EDR funktioniert genau wie Antiviren-Software, aber wehrt mehr Angriffe ab.“

Da präventive Schutztechnologien und EDR-Technologien heute meist in einem Angebot kombiniert werden, hat sich die Annahme verbreitet: EDR ist die bessere AV-Software. EDR setzt jedoch zusätzlich zu den blockierenden Maßnahmen Sensoren ein. Diese machen verdächtiges Verhalten einem Analysten-Team zugänglich (Detect). Das Team wertet die zusätzlichen Informationen aus und entscheidet über die Reaktion (Respond). Damit EDR einen echten Sicherheitsgewinn bringt, erfordert es daher professionelle Analysten mit ausreichend Zeit und Expertise.

 

„EDR funktioniert voll automatisiert ohne Analysten.“

Es ist einer der größten Irrtümer, dass EDR dank maschinellem Lernen auf alle Sicherheitsvorfälle automatisiert richtig reagieren kann. Es gibt zwar eindeutige Fälle, in denen eine automatisierte Response ausreicht. Aber in vielen Fällen ist eine tiefergehende, manuelle Analyse durch Fachleute nötig. Sie können mit ihrem Hintergrundwissen entscheiden, ob verdächtiges Verhalten tatsächlich eine Gefahr ist – und wie diese nachhaltig beseitigt werden kann. Nach jeder manuellen Reaktion speisen Analysten die neuen Daten in das System ein.

 

„EDR bietet 100%ige Sicherheit.“

Wer das behauptet, ist nicht vertrauenswürdig. EDR erhöht zwar deutlich das Sicherheitsniveau, aber sollte immer mit weiteren Schutzmaßnahmen kombiniert werden. Dazu zählen zum Beispiel Berechtigungen nach Least-Privilege-Prinzip, eine sichere Netzwerkarchitektur und funktionsfähige Back-ups. Um für das Restrisiko eines Angriffs vorbereitet zu sein, ist eine der wichtigsten Maßnahmen, Notfallstrategien festzulegen. Das spart im Ernstfall Zeit und Kosten.

EDR vs. XDR

XDR steht für „Extended Detection and Response“. Produkte namens XDR können jedoch nicht einheitlich definiert werden. Denn je nach Anbieter verbergen sich dahinter die verschiedensten Funktionen. Teilweise sind diese bei anderen Anbietern bereits in EDR-Lösungen enthalten. Es empfiehlt sich daher, bei „XDR“ immer näher hinzuschauen, was das jeweilige Produkt beinhaltet.

Fazit

Immer mehr Unternehmen setzen statt AV-Software oder Endpoint Protection eine EDR-Lösung ein. Denn es ist wie bei einem Dieb, den man lange genug mit einem Tresor allein lässt: Aktive Cyberkriminelle können den präventiven Schutz irgendwann umgehen, wenn sie lange genug unbeobachtet sind. Auch wenn EDR keine 100%ige Sicherheit bietet, erschwert es Kriminellen deutlich, einen erfolgreichen Angriff auszuführen. 

Für einen tatsächlichen Sicherheitsgewinn erfordert EDR ein hohes Maß an Fachkenntnissen von professionellen Sicherheitsanalysten. Da der wirtschaftliche Betrieb eines eigenen Analystenteams für viele Unternehmen kaum möglich ist, kann es eine gute Lösung sein, diese Aufgabe an einen MEDR-Anbieter auszulagern.

Janine Plickert
Online Editor

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein