Schutzmaßnahmen

Virenschutz und EDR

Was ist EDR?

EDR (Endpoint Detection and Response) ist eine Schutzsoftware für Arbeitsplätze und Server, die verdächtige Abläufe erkennt, Alarm schlägt und ein betroffenes Gerät vom Netz trennen kann. Klassischer Virenschutz erkennt Schadprogramme an bekannten Mustern, EDR beobachtet zusätzlich das Verhalten der Programme.

Angriffe laufen häufig ohne auffällige Schaddatei ab. Angreifer verwenden Werkzeuge, die auf jedem Windows-Rechner ohnehin vorhanden sind, etwa die Kommandozeile, oder Fernwartungsprogramme, wie sie auch Ihr Dienstleister nutzt. Eine Erkennung, die Dateien mit bekannten Mustern vergleicht, sieht dabei wenig. EDR beobachtet die Abläufe: Ein Word-Dokument startet ein Skript, das Skript lädt etwas aus dem Internet nach, kurz darauf werden im Sekundentakt Dateien auf dem Netzlaufwerk umgeschrieben. Diese Kette löst den Alarm aus.

Das R in EDR steht für die Reaktion. Die Software kann den auffälligen Vorgang beenden, das Gerät vom Netz nehmen, sodass es die übrigen Rechner nicht mehr erreicht, und den Ablauf für die spätere Analyse festhalten. Diese Reaktion hilft nur, wenn jemand den Alarm bemerkt. Ein Alarm um drei Uhr früh in einem Betrieb ohne eigene IT-Abteilung läuft ins Leere. Deshalb wird EDR sinnvollerweise als betreuter Dienst geführt, bei dem ein Dienstleister die Meldungen überwacht und im Ernstfall handelt.

Für einen KMU-Betrieb ergibt sich daraus eine kurze Anforderungsliste. Auf jedem Gerät läuft ein aktueller Schutz, auch auf den Servern und auf den Rechnern in der Werkstatt. Es gibt eine zentrale Übersicht, in der sichtbar wird, welches Gerät sich seit Wochen nicht mehr gemeldet hat. Die Alarme laufen an einer Stelle auf, für die eine Zuständigkeit und eine Erreichbarkeit vereinbart sind. Ein Schutzprogramm, dessen Meldungen niemand liest, verhindert wenig.

Kein Endgeräteschutz erkennt jeden Angriff. Das Fundament bleibt daher bestehen: getestete Datensicherungen, ein zweiter Faktor bei der Anmeldung, getrennte Netzbereiche und Mitarbeiter, die eine verdächtige E-Mail melden. EDR verkürzt die Zeit zwischen dem Beginn eines Angriffs und seiner Entdeckung, und genau diese Zeit entscheidet darüber, ob ein einzelner Rechner betroffen ist oder der gesamte Serverraum.

Der erste sinnvolle Schritt ist ein Abgleich. Legen Sie die Liste Ihrer Geräte neben die Geräteliste in der Verwaltungsoberfläche Ihres Schutzprogramms. Jedes Gerät, das dort fehlt, ist unbeobachtet. Der IT-Check erhebt, welche Systeme geschützt sind, wohin die Alarme gehen und wer sie liest.

Alle Begriffe der Wissensdatenbank

Vom Begriff zur Praxis

Wie steht Ihr Betrieb wirklich da?

Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.

Erstgespräch vereinbaren