Was sind EDR und XDR? Definition und Unterschied
Was sind EDR und XDR? EDR (Endpoint Detection and Response) sammelt Telemetrie an Endpunkten wie Workstations und Servern, erkennt verdächtiges Verhalten und ermöglicht Untersuchung sowie Reaktion. XDR (Extended Detection and Response) korreliert diese Signale zusätzlich mit Netzwerk, Cloud und Identität. So werden Angriffsketten sichtbar, die am Endpunkt allein nicht vollständig erkennbar sind.
Das Wichtigste in Kürze
- EDR: erfasst Prozess-, Datei- und Netzwerk-Telemetrie am Endpunkt, setzt auf Verhaltensanalyse statt reiner Signaturen und erlaubt Reaktionen wie Host-Isolation.
- XDR: korreliert Signale über Endpunkt, Netzwerk, E-Mail, Cloud und Identity Provider hinweg. Mehrstufige Angriffe werden mit mehr Kontext erkannt.
- Kernunterschied: EDR fokussiert den Endpunkt. XDR kann weitere Telemetrie-Domänen korrelieren und schließt blinde Flecken der reinen Endpoint-Sicht.
- Abgrenzung: Antivirus und EPP (Endpoint Protection Platform) schützen präventiv über Signaturen, Heuristik und Verhaltensverfahren. EDR und XDR erkennen zusätzlich, was trotzdem durchkommt.
- Regulatorik: Beide unterstützen Detektion und Vorfallbewältigung nach BSI IT-Grundschutz (Baustein DER.1) und NIS2. Prozesse, Meldewege und Dokumentation bleiben eigene Pflichten.
Was EDR und XDR konkret bedeuten
EDR beobachtet, was auf einem Endpunkt tatsächlich passiert: Prozesse, Datei- und Registry-Änderungen, Netzwerkverbindungen, Anmeldeereignisse. Die Analyse sucht nach Verhaltensmustern realer Angreifer und ergänzt damit die präventiven Schutzschichten am Endpunkt. Wird ein Muster erkannt, liefert das System eine forensische Zeitleiste und Reaktionsmöglichkeiten: Host isolieren, Prozess beenden, Artefakte sichern.
XDR nimmt dieselbe Logik und weitet den Blick. Neben der Endpoint-Telemetrie fließen Signale aus Netzwerkverkehrsanalyse, E-Mail-Sicherheit, Cloud-Workloads und Identity-Providern in eine gemeinsame Korrelation. Ein Angriff, der mit einer Phishing-Mail beginnt, über ein gestohlenes Cloud-Token weiterläuft und erst spät einen Endpunkt berührt, bleibt für reines EDR lange unsichtbar. XDR kann genau solche Pfade über Schichtgrenzen hinweg rekonstruieren. Wie vollständig das gelingt, hängt von den angebundenen Quellen ab.
Als gemeinsame Sprache für die Erkennungslogik hat sich das MITRE-ATT&CK-Framework etabliert. Es katalogisiert reale Angreifer-Taktiken und -Techniken. Teams bewerten damit, welche Techniken ihre Detection abdeckt und wo Lücken bleiben.
Wofür EDR und XDR relevant sind
Grundsätzlich profitiert jede Organisation mit verwalteten Endpunkten von EDR. Der Mehrwert von XDR wächst mit der Komplexität der Umgebung: Hybrid- und Multi-Cloud-Betrieb, starke Nutzung von Identity-Providern, Angriffsflächen jenseits des Endpunkts. Wer vor allem Token-Missbrauch oder laterale Bewegungen in der Cloud fürchtet, braucht Korrelation über den Endpunkt hinaus.
Regulatorisch zahlen beide Ansätze auf dieselben Pflichten ein. Der BSI-IT-Grundschutz verlangt im Baustein DER.1 die Detektion sicherheitsrelevanter Ereignisse. NIS2 fordert von betroffenen Unternehmen risikobasiertes Management und die Bewältigung von Vorfällen. EDR und XDR unterstützen diese Pflichten technisch. Risikomanagement, Meldeprozesse und Dokumentation bleiben organisatorische Aufgaben.
Was Unternehmen jetzt prüfen müssen
Der erste Schritt ist eine ehrliche Bestandsaufnahme der eigenen Sichtbarkeit. Welche Telemetrie-Domänen sind heute abgedeckt und wo entstehen blinde Flecken, sobald ein Angriff den Endpunkt verlässt? Daran schließt die Frage an, wie die Erkennung in den bestehenden Stack integriert ist und wer sie im Alltag betreibt.
Jetzt prüfen
- ✓Telemetrie-Quellen inventarisieren: Endpoint, Netzwerk, Cloud, E-Mail, Identität
- ✓Detection-Abdeckung gegen MITRE-ATT&CK-Techniken prüfen und Lücken dokumentieren
- ✓Integration mit SIEM und SOAR klären, Langzeit-Aufbewahrung für Forensik sicherstellen
- ✓Response-Playbooks für domänenübergreifende Vorfälle definieren und üben
- ✓Betriebsmodell festlegen: internes Team oder MDR-Service, inklusive Tuning-Aufwand
Abgrenzung zu verwandten Begriffen
Die Begriffslandschaft rund um Detection and Response ist dicht. Die folgende Übersicht ordnet die wichtigsten Nachbarn ein.
| Ansatz | Fokus | Typische Rolle |
|---|---|---|
| Antivirus / EPP (Endpoint Protection Platform) | Prävention über Signaturen, Heuristik und Verhaltensverfahren | Erste Verteidigungslinie am Endpunkt |
| EDR (Endpoint Detection and Response) | Erkennung, Untersuchung und Reaktion am Endpunkt | Verhaltensanalyse, Forensik, Host-Isolation |
| XDR (Extended Detection and Response) | Korrelation über Endpunkt, Netzwerk, Cloud, Identität | Mehrstufige Angriffsketten sichtbar machen |
| SIEM (Security Information and Event Management) | Log-Aggregation und Korrelation aus beliebigen Quellen | Compliance, Langzeit-Aufbewahrung, Audit |
| NDR (Network Detection and Response) | Netzwerkverkehr (Ost-West und Nord-Süd) | Liefert Netzwerk-Signale, oft in XDR integriert |
| ITDR (Identity Threat Detection and Response) | Erkennung und Reaktion auf identitätsbezogene Angriffe | Ergänzt Detection um die Identity-Ebene |
Für die Architektur-Frage, wie Identity-Signale das Bild vervollständigen, lohnt der Blick in unsere Analyse ITDR neben SIEM und EDR. Den regulatorischen Rahmen erklären die Lexikon-Einträge zu NIS2 und DORA.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Was unterscheidet EDR von XDR genau?
EDR konzentriert sich auf Telemetrie und Reaktion am einzelnen Endpunkt. XDR erweitert Sichtbarkeit und Korrelation auf Netzwerk, Cloud und Identität. Damit erkennt XDR Angriffe, die sich über mehrere Schichten bewegen.
Ersetzt XDR ein SIEM?
In den meisten Umgebungen ergänzen sich beide. XDR kann die Triage beschleunigen und bündelt Detection und Response für den Security-Betrieb. Das SIEM bleibt für Korrelation über beliebige Quellen, Langzeit-Aufbewahrung und Compliance-Nachweise relevant, besonders in regulierten Branchen.
Wie zahlen EDR und XDR auf NIS2 und IT-Grundschutz ein?
Sie setzen die geforderte Detektion sicherheitsrelevanter Ereignisse technisch um (BSI IT-Grundschutz DER.1) und unterstützen die Vorfallbewältigung nach NIS2. Risikomanagement, Meldewege und Dokumentation müssen Unternehmen zusätzlich organisieren.
Braucht jedes Unternehmen mit EDR auch XDR?
Der Bedarf hängt von Umgebung und Angriffsprofil ab. In kleinen, wenig cloud-lastigen Umgebungen reicht solides EDR mit grundlegendem Logging oft aus. Bei mehrstufigen Angriffen über Cloud und Identität wird die erweiterte Korrelation zum entscheidenden Faktor.
Wie misst man die Wirksamkeit von EDR oder XDR?
Über eine Coverage-Analyse gegen MITRE-ATT&CK-Techniken, regelmäßige Red- oder Purple-Team-Übungen und die Zeit bis zur Erkennung und Reaktion in Übungen. Pauschale Erkennungsraten ohne Kontext sind kein belastbarer Maßstab.
Lesetipps der Redaktion
LesetippITDR neben SIEM und EDR: Detection-Architektur 2026LesetippSecurity-Stack konsolidieren, ohne Kontrolle zu verlierenLesetippDetection ohne Signaturen: vier Engines, vier Annahmen
Mehr aus dem MBF Media Netzwerk
cloudmagazinShadow AI verbieten ist der teuerste Reflex in der IT-SicherheitMyBusinessFutureStrompreisentlastung 2026: Was produzierende Betriebe prüfen müssenDigital ChiefsDer Chief AI Officer ist da. Das Problem bleibt
Bildquelle: KI-generiert (Juli 2026)





