Was ist eigentlich
Endpoint Detection and Response (EDR)?

G DATA Ratgeber

Was ist eine EDR-Lösung und welche Vorteile bringt sie? Und was ist XDR? Das fragen sich viele Unternehmen und treffen auf einen Begriffsdschungel, von ETDR bis MDR. Das macht die Beurteilung nicht gerade leichter. Dieser Artikel definiert klar, was eine EDR-Lösung ausmacht. Erfahren Sie, wie ein EDR-System funktioniert, was es von Antiviren-Software unterscheidet und was wiederum die Vorteile einer XDR-Lösung sind. Übrigens, kennen Sie schon die 3 Mythen über EDR Software?

Was macht ein EDR?

Endpoint Detection and Response (EDR) bezeichnet Software, die Unternehmen dabei hilft:

  • Cyberbedrohungen zu erkennen, die präventive Abwehrmaßnahmen überwinden konnten (Detect – das „D“ in EDR)
  • und mit Gegenmaßnahmen darauf zu reagieren (Respond – das „R“ in EDR).

Dazu überwacht und analysiert EDR kontinuierlich die Aktivitäten in den IT-Systemen eines Unternehmen. Sobald die EDR Software eine verdächtige Aktivität erkennt, reagiert sie automatisch und/oder alarmiert ein Analysten-Team, das den Vorfall genauer prüft. Stellt sich die Aktivität als bösartig heraus, greift das Team sofort ein, um den Angriff zu stoppen. Eine alternative Bezeichnung für EDR ist Endpoint Threat Detection and Response (ETDR).

Wie funktioniert EDR?

  1. Überwachung der Aktivitäten:

    Um EDR zu nutzen, wird auf Endgeräten wie PCs und Servern jeweils ein Software-Agent installiert. Dieser erfasst in Echtzeit die Aktivitäten und Ereignisse auf den Geräten.
  2. Übertragung an eine EDR-Plattform

    Die Software-Agenten schicken die erfassten Daten an ein Analyse-Backend, also eine zentrale EDR-Plattform, die die Herstellerfirma zur Verfügung stellt.
  3. Analyse der Daten

    Die EDR-Plattform analysiert die Daten, um verdächtiges Verhalten festzustellen. Durch Machine Learning lernt das System stetig dazu, wie der normale Betrieb aussieht und was verdächtig ist.
  4. Reaktion auf verdächtige Aktivitäten

    Sobald die EDR-Plattform etwas als verdächtig einstuft, löst sie einen Alarm bei den Analysten aus. Diese nehmen eine genaue Überprüfung vor und greifen bei Bedarf sofort ein, um den Vorfall zu beheben. Je nach Fall kann die EDR-Plattform auch direkt automatisiert reagieren, um zum Beispiel einen PC vom Netzwerk zu isolieren.
  5. Speicherung für künftige Erkennung

    Nach jeder manuellen Analyse werden die gewonnenen Erkenntnisse gespeichert. So können künftige Bedrohungen noch effizienter erkannt und gestoppt werden.

Welche Aktivitäten überwacht ein EDR-System?

Um verdächtiges Verhalten zu erkennen, überwacht EDR Aktivitäten und Ereignisse wie:

  • Starten oder Beenden von Prozessen
  • Erstellen oder Löschen von Dateien
  • Zugriffe auf die Windows-Registry
  • Event Logs des Betriebssystems
  • Ereignisverfolgung für Windows (ETW)
  • Software-Installation oder -Deinstallation
  • Benutzeranmeldung, -abmeldung oder -erstellung

Warum EDR statt Antiviren-Software?

Die klassische Antiviren-Software versucht Cyberangriffe durch präventive Schutztechnologien direkt abzuwehren. Dagegen ist das Ziel von EDR Software die Angriffe zu entdecken, die von den präventiven Schutztechnologien nicht abgewehrt werden konnten. Dazu setzt eine EDR-Lösung zusätzliche Sensoren ein, um eine umfassende Analyse zu ermöglichen (Detect). EDR bietet außerdem die Möglichkeit, mit Gegenmaßnahmen zu reagieren (Respond).

EDR-Lösungen enthalten in der Regel bereits präventive Schutztechnologien und decken somit Prevent und Detect & Respond ab.

EDR als Bank: Diebe erkennen und stoppen

Um den Mehrwert eines EDR-Systems zu verdeutlichen, stellen wir uns einmal eine Bank vor:

Prevent:

Als präventive Schutzmaßnahme liegt das Geld in einem Tresor, um Diebe abzuwehren. Lässt man jedoch einen gut ausgestatteten Dieb lange genug mit dem Tresor allein, ohne dass er Angst haben muss entdeckt zu werden, wird er ihn irgendwann öffnen. Genauso verhält es sich mit aktiv Angreifenden, die AV-Software umgehen möchten.

Detect:

Um den Dieb immerhin zu entdecken, nachdem er den Tresor öffnen konnte, installieren wir Kameras. Außerdem bringen wir Türsensoren an, die bemerken, wenn jemand um ein Uhr nachts die Eingangs- oder Tresortür öffnet. Solche Sensoren sind auch in EDR-Sicherheitslösungen enthalten – zusätzlich zu den präventiven Schutztechnologien.

Respond:

Zusätzlich setzen wir eine Alarmanlage, eine automatische Türverriegelung sowie Wachpersonal ein. Die Wache reagiert auf Meldungen der Kameras und Sensoren. Sie prüft, ob bei einem Alarm tatsächlich ein Dieb oder vielleicht nur eine Maus durch den Raum gelaufen ist. Ist es ein Dieb, kann die Wache ihn sofort stellen. Analog dazu sind es bei EDR-Lösungen die Analysten, die die Vorfälle prüfen und darauf reagieren.

EDR vs. Endpoint Protection

Wie oben erwähnt decken EDR-Lösungen neben Detect & Respond auch den Bereich Prevent ab. Andersherum enthalten moderne Sicherheitslösungen wie Endpoint Protection oder Next-Gen-AV gelegentlich bereits Funktionen, um Gefahren anhand des Verhaltens zu erkennen. Das bedeutet, sie haben gewisse EDR-Anteile im Bereich der Erkennung (Detect).

Der große Unterschied liegt jedoch darin, dass ein EDR-System eine deutlich erweiterte Sensorik zur Erkennung einsetzt, die einem Analysten-Team vorgelegt wird. Endpoint Protection und Next-Gen-AV hingegen erlauben keinen interaktiven Zugriff auf das System, um den Vorfall umfassend zu analysieren und auf der Basis dieser Erkenntnisse manuell zu reagieren (Respond). Genau das ist der entscheidende Vorteil von EDR.

Beispiel: Wie EDR auf Cyberangriffe reagiert

Folgendes Beispiel: Die EDR-Sensoren entdecken einen Prozess, der die Passwörter ausliest und einen unbekannten Server kontaktiert. Der Prozess schreibt sich selbst in den Autostart, sodass er bei jedem Neustart direkt wieder geladen wird. Das sieht verdächtig aus.

So reagiert EDR in diesem Fall:

  • Der betroffene PC wird automatisch vom Netz isoliert, um eine Ausbreitung zu verhindern.
  • Die Analysten untersuchen, ob eine echte Gefahr vorliegt, da auch IT-Admins legitim Passwörter auslesen könnten. Ihr Ergebnis: Jemand  greift an.
  • Die Analysten entfernen daher die Autostart-Einträge. 
  • Sie benachrichtigen die IT-Admins, dass neue Passwörter vergeben werden müssen.

EDR vs. XDR

XDR steht für Extended Detection and Response und ist die Weiterentwicklung von EDR. Wie oben beschrieben senden EDR-Lösungen zwar auch Daten an eine zentrale Plattform. Aber sie analysieren die Daten nur isoliert pro einzelnen Endpoint. XDR hingegen setzt die Daten von verschiedenen Endpoints miteinander in Beziehung. Diese Korrelation erlaubt wertvolle Rückschlüsse darauf, was im Netzwerk passiert.

Was ist Managed EDR oder MDR?

Der sinnvolle Einsatz einer EDR-oder XDR-Lösung erfordert also „Wachpersonal“ in Form von Sicherheitsanalysten. Für die meisten Unternehmen ist der wirtschaftliche Betrieb eines eigenen Analysten-Teams jedoch kaum möglich.

Es erfordert ein sehr hohes Maß an Fachkenntnissen, die Vorfälle zu analysieren, zu bewerten und richtig darauf zu reagieren. Besonders Advanced Persistent Theats – APTs, bei denen sich hochprofessionelle Angreifer gezielt im Netzwerk verstecken, sind extrem schwer zu erkennen. Analysten mit diesem Spezialwissen haben häufig ein Interesse daran, bei einem IT-Security-Unternehmen mit Gleichgesinnten zu arbeiten. Ansonsten fehlt der Austausch sowohl im Team, aber auch mit IT-Notfall-Teams und Strafverfolgungsbehörden. Gerade in kleineren und mittleren Betrieben wären Analysten zudem kaum ausgelastet – was wenig wirtschaftlich ist.

Deshalb bietet es sich meist an, diese Aufgabe in die Hände eines spezialisierten Dienstleisters zu geben. In dem Fall spricht man von Managed EDR (MEDR) oder – im Falle von gemanagten XDR-Lösungen – Managed XDR (MXDR). Alternativ werden die Begriffe Managed Detection and Response (MDR) oder Managed Threat Response (MTR) verwendet.

Was leistet ein Managed-EDR-Anbieter?

24/7-Schutz

Wer reagiert auf einen Alarm um ein Uhr nachts? Die Sicherheitsanalysten eines MEDR- oder MXDR-Anbieters sind sieben Tage in der Woche rund um die Uhr im Einsatz.

Hintergrundwissen

Analysten eines guten Anbieters verfügen über nicht-öffentliche Informationen, mit denen sie Vorfälle genauer beurteilen können. Dieses Wissen ist für eigene Analysten nur schwer zugänglich. Dazu zählt zum Beispiel Wissen aus

  • dem Austausch mit der weltweiten Cybercrime Research Community
  • den Erfahrungen aus IT-Notfalleinsätzen
  • regelmäßiger Zusammenarbeit mit Strafverfolgungsbehörden

Wirtschaftlichkeit

MEDR-oder MXDR-Anbieter können die erfassten Daten über viele Kunden hinweg gleichzeitig bewerten. Das führt zu einem Wissensvorsprung und ist wirtschaftlicher als die Daten einzeln zu betrachten.

Beispiel aus der Praxis: Der Coin Miner-Fall

Alles verschlüsselt, Lösegeldforderung – als das IT-Notfall-Team eintrifft, steht das Unternehmen vor einem Scherbenhaufen. Die Spurensuche rekonstruiert den Tathergang: Nachdem der Angreifende ein Nutzerkonto mit schwachem Passwort gehackt und sich so Zugriff verschafft hatte, installierte er einen Coin Miner, um Bitcoins zu schürfen. Die Endpoint Protection erkannte den Coin Miner und blockierte ihn.

Einige Wochen passierte nichts, dann der Super-GAU: Ein weiterer Angreifer loggte sich ein und verschlüsselte mit Ransomware das gesamte Netzwerk.

Coin Miner als Anzeichen für Ransomware

Durch den Austausch in der Research-Community findet das Notfall-Team heraus: Es war Arbeitsteilung. Eine kriminelle Gruppe hatte die Zugangsdaten gehackt und den Coin Miner installiert, um mit Bitcoins das erste Geld zu verdienen. Dann verkaufte sie die Zugangsdaten in einem Cybercrime-Forum. Die meisten Gruppen in diesem Forum nutzten die gekauften Zugangsdaten für Ransomware-Angriffe. Genau das war hier geschehen.

Die Endpoint Protection hatte den Coin Miner abgeblockt – womit der Fall für den IT-Admin abgeschlossen war. Aber genau an dieser Stelle hätten Analysten eines externen Anbieters mit ihrem Hintergrundwissen erkennen können, dass dieser Coin Miner nur die Spitze der Pyramide war und Alarmstufe rot bedeutet (Ransomware!) und damit weitere Analysen notwendig sind. Das gehackte Nutzerkonto hätte geschlossen und die Verschlüsselung sehr wahrscheinlich verhindert werden können.

Worauf sollte man bei Managed EDR achten?

Ist der Anbieter vertrauenswürdig?

Ein externer Anbieter erhält einen tiefen Einblick in Ihre IT-Infrastruktur und hat sogar hohe Einwirkungsmöglichkeiten. Deshalb sollten Sie diesem Anbieter in hohem Maße vertrauen können. Folgende Fragen helfen Ihnen dabei:

  • Wie lange ist der Anbieter bereits am Markt für IT-Sicherheit?
  • Wie sieht es mit Datenschutzbestimmungen aus? An welchem Standort sitzt der Anbieter?
  • Stand der Anbieter in der Vergangenheit mit Datenschutzvorfällen in Verbindung?

  Ist er auf IT-Security spezialisiert?

Wählen Sie einen Anbieter mit hoher Spezialisierung im Bereich IT-Sicherheit. So kann er wertvolle Informationen aus IT-Notfalleinsätzen und der Zusammenarbeit mit Strafverfolgungsbehörden ziehen, wenn er auch andere Dienste wie Incident Response anbietet. Außerdem können Sie dann bei sehr schweren Vorfällen sein Incident Response Team hinzuziehen, das Ihre Infrastruktur bereits genau kennt.

 

  Bietet der Anbieter Support in deutscher Sprache an?

Bei einem so wichtigen Thema sollten keine sprachlichen Barrieren bestehen. Prüfen Sie daher, ob der MEDR-Anbieter Support in deutscher Sprache anbietet. Das Support Team sollte sich außerdem immer genügend Zeit für Sie nehmen, um Ihr Anliegen und alle Ihre Fragen zu klären.

 

  Hat der Anbieter das EDR-System selbst entwickelt?

Viele MEDR-Anbieter kaufen lediglich ein EDR-System ein und bieten dazu ihre Dienstleistung an. Das birgt das Risiko, dass die Analysten die Meldungen der Sensoren falsch interpretieren. Achten Sie daher darauf, dass der Anbieter das EDR-System selbst entwickelt hat. Dadurch wissen die Analysten genau, wie Meldungen zu verstehen sind und können richtig darauf reagieren.

3 Mythen über EDR

„EDR funktioniert genau wie Antiviren-Software, aber wehrt mehr Angriffe ab.“

Da präventive Schutztechnologien und EDR-Technologien heute meist in einem Angebot kombiniert werden, hat sich die Annahme verbreitet, dass EDR die bessere AV-Software ist. Eine EDR-Lösung setzt jedoch zusätzlich zu den blockierenden Maßnahmen Sensoren ein. Diese machen verdächtiges Verhalten einem Analysten-Team zugänglich (Detect). Das Team wertet die zusätzlichen Informationen aus und entscheidet über die Reaktion (Respond). Damit EDR einen echten Sicherheitsgewinn bringt, erfordert es daher professionelle Analysten mit ausreichend Zeit und Expertise.

 

„EDR funktioniert voll automatisiert ohne Analysten.“

Es ist einer der größten Irrtümer, dass EDR-Lösungen dank maschinellen Lernens auf alle Sicherheitsvorfälle automatisiert richtig reagieren können. Es gibt zwar eindeutige Fälle, in denen eine automatisierte Response ausreicht. Aber in vielen Fällen ist eine tiefergehende manuelle Analyse durch Fachleute nötig, zum Beispiel bei schwer erkennbaren Advanced Persistent Threats (APTs). Die Analysten können mit ihrem Hintergrundwissen entscheiden, ob verdächtiges Verhalten tatsächlich eine Gefahr ist – und wie diese nachhaltig beseitigt werden kann. Nach jeder manuellen Reaktion speisen Analysten die neuen Daten in das System ein.

 

„EDR bietet 100%ige Sicherheit.“

Wer das behauptet, ist nicht vertrauenswürdig. Eine EDR-Lösung erhöht zwar deutlich das Sicherheitsniveau, aber sollte immer mit weiteren Schutzmaßnahmen kombiniert werden. Dazu zählen zum Beispiel Berechtigungen nach dem Least-Privilege-Prinzip, eine sichere Netzwerkarchitektur und funktionsfähige Backups. Um für das Restrisiko eines Angriffs vorbereitet zu sein, ist eine der wichtigsten Maßnahmen Notfallstrategien festzulegen. Das spart im Ernstfall Zeit und Kosten.

Fazit

Immer mehr Unternehmen setzen statt AV-Software oder Endpoint Protection eine EDR- oder XDR-Lösung ein. Es ist wie bei einem Dieb, den man lange genug mit einem Tresor allein lässt: Aktive Cyberkriminelle können den präventiven Schutz irgendwann umgehen, wenn sie lange genug unbeobachtet sind. Auch wenn EDR und XDR keine 100%ige Sicherheit bieten, wird es Kriminellen deutlich erschwert, einen erfolgreichen Angriff durchzuführen. 

Für einen tatsächlichen Sicherheitsgewinn ist ein hohes Maß an Fachkenntnissen von professionellen Sicherheitsanalysten und ein 24/7-Schichtbetrieb erforderlich. Da der wirtschaftliche Betrieb eines eigenen Analysten-Teams für viele Unternehmen kaum möglich ist, kann es eine gute Lösung sein, diese Aufgabe an einen MXDR-Anbieter auszulagern.

MXDR mit persönlicher Betreuung

Erweitern Sie Ihr Team mit dem 24/7-Service für Managed Extended Detection and Response (MXDR). Ihre neuen Analysten stoppen Cyberangriffe für Sie – rund um die Uhr. MXDR des deutschen Anbieters G DATA ist ideal für alle, die besonderen Wert auf persönliche Betreuung legen.

 

Managed XDR von G DATA kennenlernen

 

Von Janine Plickert
Online Editor