Endpoint Detection and Response

Als Endpoint Detection and Response oder auch Endpoint Detection and Response Software (kurz EDR) wird ein Begriff in der Cybersecurity beschrieben. EDR stellt dabei den Schutz an einem Endgerät dar. Diese Endgeräte können PCs, Laptops, Mobiltelefone oder IoT sein. Ein wesentlicher Unterschied zu Antivirensoftware ist, dass man nicht einfach nur die Dateien scannt, sondern auch das Verhalten des Geräts auf Auffälligkeiten untersucht. Die Untersuchung kann zum Beispiel auf dem Endgerät verlaufen, jedoch können die Daten auch an eine Plattform gesendet und dort analysiert werden.^[1][2][3]

EDR Lösungen kamen etwa 2010 auf als neue Attacken bekannt wurden. War es früher ausreichend, Malware auf ausführbaren Dateien zu transportieren, so tauchte Malware vermehrt in Dokumenten und darin versteckten Scripts auf. Auch kamen Attacken auf, welche ohne klassische Dateien funktionierten. So waren Attacken mithilfe von Server Message Block (SMB) verbreitet und konnten mit klassischer Antivirensoftware nicht mehr entdeckt werden. 2013 wurde dann erstmals der Begriff Endpoint Detection and Response von Anton Chuvakin verwendet. Als Nachfolger werden XDR welche nicht nur den Endpoint analysiert, sondern auch den Verbund verschiedener Endgeräte analysiert angesehen. Auch MDR wird als Nachfolger von EDR gesehen, weil dort extern auf die Bedrohungslage reagiert wird. Das bedeutet eine Entlastung interner Teams, speziell in kleineren Firmen ohne große Ressourcen.^[4]

1. ↑ What Are Endpoint Detection and Response (EDR) Tools? Definition, Features & Top 6 Tools [2022]. Abgerufen am 11. Dezember 2022 (englisch). 
2. ↑ EDR vs Antivirus: Understanding Endpoint Protection Options. Abgerufen am 11. Dezember 2022 (englisch). 
3. ↑ Dipl.-Ing. (FH) Stefan Luber, Peter Schmitz: Was ist Endpoint Detection and Response (EDR)? 5. Mai 2021, abgerufen am 11. Dezember 2022. 
4. ↑ Gilad David Maayan: A Brief History of EDR Security. 7. April 2020, abgerufen am 11. Dezember 2022 (englisch).