LAGEBRIEFING · 10.07.2026 DEENFRES

Sicherheitslexikon

Was ist MDR? Definition, Abgrenzung und Auswahl

Von Benedikt Langer · 8. Juli 2026 · 5 Minuten Lesezeit

Was ist MDR? Managed Detection and Response (MDR) ist ein ausgelagerter Sicherheitsdienst, der die IT-Umgebung eines Unternehmens rund um die Uhr überwacht, Bedrohungen erkennt und aktiv auf sie reagiert. Der Anbieter stellt Analysten, Prozesse und die Erkennungstechnik. Damit unterscheidet sich MDR von reinen Monitoring-Diensten, die Auffälligkeiten nur melden.

Das Wichtigste in Kürze

  • Leistung: Erkennung, Untersuchung und aktive Reaktion auf Bedrohungen als Dienstleistung, typischerweise rund um die Uhr.
  • Technik: MDR-Anbieter arbeiten häufig auf einem EDR- oder XDR-Stack, je nach Dienst ergänzt um SIEM-, Identity- und Cloud-Telemetrie. Der Dienst macht aus dem Werkzeug einen betriebenen Service.
  • Abgrenzung MSSP: Beim klassischen Managed Security Service Provider stehen Betrieb und Meldung im Vordergrund. Bei MDR ist die aktive Reaktion vertraglicher Kern des Dienstes.
  • Abgrenzung SOC: Ein eigenes Security Operations Center leistet dasselbe intern. Der Unterschied liegt im Betriebsmodell, nicht in der Aufgabe.
  • Kaufgrund: Detektion rund um die Uhr erfordert Personal in mehreren Schichten. Genau daran scheitert der Eigenbetrieb im Mittelstand oft.

Was MDR konkret bedeutet

Hinter dem Kürzel steht ein Betriebsmodell: Ein externer Anbieter übernimmt die Arbeit, die sonst ein internes Security-Team leisten müsste. Seine Analysten sichten die Telemetrie aus der Umgebung des Kunden, bewerten Alarme, jagen aktiv nach Angreifern und reagieren im Ernstfall. Zur Reaktion gehören etwa das Isolieren betroffener Systeme, das Sperren kompromittierter Konten und die Begleitung der Aufräumarbeiten.

Die technische Basis liefert häufig ein EDR- oder XDR-Stack, den der Anbieter mitbringt oder auf der vorhandenen Ausstattung des Kunden betreibt. Je nach Zuschnitt fließen weitere Quellen wie SIEM-, Identity- oder Cloud-Telemetrie ein. Der Begriff wurde von Branchenanalysten geprägt, um diese Dienstkategorie von klassischen Managed Security Services abzugrenzen. Was genau im Leistungsumfang steckt, variiert je Anbieter deutlich. Der Vertrag entscheidet, wo die Reaktion endet und die Verantwortung des Kunden beginnt.

Für wen MDR relevant ist

MDR richtet sich an Organisationen, die Detektion und Reaktion brauchen, aber kein eigenes Team rund um die Uhr aufbauen können oder wollen. Im Mittelstand ist das eine häufige Ausgangslage: Die Angriffsfläche wächst, regulatorische Anforderungen wie NIS2 verlangen die Bewältigung von Vorfällen und der Arbeitsmarkt gibt die nötigen Analysten kaum her.

Auch Unternehmen mit eigenem SOC nutzen MDR punktuell, etwa zur Abdeckung von Nachtschichten oder als zweite Meinung bei der Bedrohungsjagd. Entscheidend ist die ehrliche Bestandsaufnahme: Wer heute Alarme aus einem EDR erhält, die niemand zeitnah bewertet, hat ein Betriebsproblem. Genau das adressiert MDR.

Was Unternehmen jetzt prüfen müssen

Vor der Anbieterwahl steht die Klärung des eigenen Bedarfs. Welche Systeme sollen überwacht werden, wie schnell muss reagiert werden und welche Eingriffe darf der Dienstleister eigenständig vornehmen? Diese Fragen entscheiden über Zuschnitt und Preis.

Jetzt prüfen

  • Schutzbedarf klären: welche Systeme, welche Reaktionszeiten, welche Eingriffsrechte
  • Alarm-Realität messen: wie viele EDR-Alarme bleiben heute unbearbeitet
  • Leistungsumfang vergleichen: wo endet die Reaktion des Anbieters vertraglich
  • Eskalationswege definieren: wer entscheidet nachts über einschneidende Maßnahmen
  • Exit-Szenario prüfen: gehören Telemetrie und Erkennungsregeln dem Kunden

Abgrenzung zu verwandten Begriffen

MDR, MSSP und SOC beschreiben unterschiedliche Antworten auf dieselbe Aufgabe. Die Übersicht sortiert die Begriffe.

Modell Wer macht die Arbeit Reaktion auf Vorfälle
MDR (Managed Detection and Response) Externer Dienst mit eigenen Analysten Erkennt, untersucht und greift aktiv ein
MSSP (Managed Security Service Provider) Externer Dienst, Fokus Betrieb und Monitoring Fokus auf Betrieb und Meldung, Reaktionstiefe variiert
Internes SOC (Security Operations Center) Eigenes Team im Unternehmen Volle Kontrolle, voller Personalbedarf
EDR / XDR (Werkzeuge) Software, kein Betriebsmodell Liefert Telemetrie und Reaktionsfunktionen

Die technische Grundlage erklärt unser Lexikon-Eintrag Was sind EDR und XDR?. Wie Identity-Signale die Erkennung vervollständigen, zeigt die Analyse ITDR neben SIEM und EDR.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Was unterscheidet MDR von einem MSSP?

Die Grenze ist fließend und wird vom Vertrag gezogen. Beim klassischen MSSP stehen Betrieb der Sicherheitsinfrastruktur und Meldung im Vordergrund. Beim MDR-Dienst sind Untersuchung, aktive Bedrohungsjagd und Reaktion auf bestätigte Vorfälle der Kern des Angebots, etwa durch Isolation betroffener Systeme.

Ersetzt MDR ein eigenes SOC?

Es kann Teile des SOC-Betriebs übernehmen, besonders im Mittelstand. Governance, Incident Ownership und interne Entscheidungswege bleiben jedoch im Unternehmen. Größere Organisationen kombinieren häufig beides: ein schlankes internes Team plus MDR für Abdeckung rund um die Uhr.

Braucht MDR ein vorhandenes EDR?

Viele Anbieter bringen ihren eigenen EDR- oder XDR-Stack mit, andere setzen auf der vorhandenen Ausstattung auf. Beide Modelle funktionieren. Wichtig ist, dass die Telemetrie-Abdeckung zum Bedrohungsprofil des Unternehmens passt.

Hilft MDR bei NIS2?

MDR unterstützt die geforderte Erkennung und Bewältigung von Vorfällen operativ. Die Meldepflichten, das Risikomanagement und die Verantwortung der Geschäftsleitung bleiben beim Unternehmen und lassen sich nicht auslagern.

Woran erkennt man einen guten MDR-Anbieter?

An klar definierten Reaktionszeiten, dokumentierten Eingriffsrechten, transparenter Eskalation und nachvollziehbaren Berichten. Ein seriöser Anbieter legt offen, welche Schritte er eigenständig geht und wo er die Freigabe des Kunden braucht.

Lesetipps der Redaktion

LesetippITDR neben SIEM und EDR: Detection-Architektur 2026LesetippActive Directory härten, bevor der Angreifer es tutLesetippWenn ein Anruf die Autoproduktion stoppt

Mehr aus dem MBF Media Netzwerk

cloudmagazinShadow AI verbieten ist der teuerste Reflex in der IT-SicherheitMyBusinessFutureStrompreisentlastung 2026: Was produzierende Betriebe prüfen müssenDigital ChiefsDer Chief AI Officer ist da. Das Problem bleibt

Bildquelle: KI-generiert (Juli 2026)

Weiterführende Lektüre

Ein Magazin der Evernine Media GmbH