Was ist der Unterschied zwischen EDR und herkömmlichem signaturbasiertem Antivirus?
Kurzantwort
Herkömmliches Antivirus gleicht Dateien mit Signaturen bekannter Malware ab und blockiert oder isoliert sie – gut gegen bekannte Bedrohungen, schwach gegen neuartige oder dateilose Angriffe. EDR zeichnet kontinuierlich das Endpunktverhalten auf (Prozesse, Netzwerk, Registry, Speicher), nutzt Verhaltensanalytik zur Erkennung verdächtiger Aktivität und ermöglicht Respondern, aus der Ferne zu untersuchen, zu jagen und einzudämmen oder zurückzurollen. AV ist Prävention per Signatur; EDR ergänzt Sichtbarkeit, Erkennung und Reaktion.
Das ist eine Grundlagenprüfung: Kannst du erklären, warum die Branche von „Dateien nach Bekannt-Bösartigem scannen" zur Endpoint Detection and Response überging? Der Unterschied sind nicht nur bessere Signaturen – es ist eine Verschiebung von reiner Prävention zu Sichtbarkeit plus Reaktion.
Herkömmliches Antivirus
Klassisches AV arbeitet vor allem mit Signaturen: Es hasht oder mustergleicht Dateien gegen eine Datenbank bekannter Malware und blockiert, isoliert oder löscht Treffer, oft ergänzt durch einfache Heuristiken. Es ist schnell, günstig und wirksam gegen bekannte, dateibasierte Bedrohungen. Seine Schwächen sind gut bekannt: Es ist blind für Zero-Day-Malware ohne Signatur, leicht durch Neukompilieren oder Packen zu umgehen, um den Hash zu ändern, und weitgehend machtlos gegen dateilose und Living-off-the-Land-Angriffe, die legitime Werkzeuge wie PowerShell missbrauchen, bei denen es keine bösartige Datei zum Scannen gibt.
EDR
EDR geht davon aus, dass Prävention manchmal versagt. Sein Agent zeichnet kontinuierlich Endpunktaktivität auf – Prozessbäume, Befehlszeilen, Netzwerkverbindungen, Registry- und Dateiänderungen, Speicheraktivität – und schickt sie an eine zentrale Plattform. Dort wendet er Verhaltensanalytik und IOAs an, um verdächtiges Verhalten statt bekannter Dateien zu erkennen. Entscheidend liefert er Respondern das „R": Untersuchung (Zeitleiste, Grundursache über die Flotte), Threat Hunting und Reaktions-Aktionen wie das Isolieren eines Hosts, Beenden eines Prozesses oder Zurückrollen von Änderungen – aus der Ferne und im großen Maßstab.
Warum das wichtig ist
Die meisten EDRs enthalten auch AV-artige Prävention, es ist also nicht strikt entweder/oder; der Punkt ist die ergänzte Erkennungs- und Reaktions-Schicht über reinen Signaturen. Zu erwähnen, dass XDR diese Telemetrie über den Endpunkt hinaus erweitert (E-Mail, Identität, Netzwerk, Cloud), bringt Bonuspunkte. Interviewer wollen hören: „Signaturen allein verpassen neuartige und dateilose Angriffe, also ergänzen wir Verhaltenssichtbarkeit und die Fähigkeit zu reagieren."
Wahrscheinliche Anschlussfragen
- Warum tut sich signaturbasiertes AV mit dateilosen oder Living-off-the-Land-Angriffen schwer?
- Welche Telemetrie sammelt ein EDR, die AV nicht sammelt?
- Wo erweitert XDR über das endpunktbasierte EDR hinaus?