73992441604
academy
Sicherheit
Sicherheit
Alle Artikel zum Thema Sicherheit anzeigen
Privatsphäre
Privatsphäre
Alle Artikel zum Thema Privatsphäre anzeigen
Leistung
Leistung
Alle Artikel zum Thema Leistung anzeigen
Sprache auswählen
Sprache auswählen
Avast Academy Sicherheit Andere Bedrohungen Was ist EDR (Endpoint Detection and Response) und wie funktioniert das?

Was ist EDR (Endpoint Detection and Response) und wie funktioniert das?

Hacker suchen hartnäckig nach Schwachstellen in den Netzwerken oder persönlichen Geräten, die IT-Abteilungen verwalten. Aber jedem Hacker steht ein Cybersicherheitsteam gegenüber, das sich mit allen Mitteln wehrt. In diesem Artikel erfahren Sie, was „Endpoint Detection and Response“ (EDR) bedeutet und warum Hacker dadurch häufiger auf Granit beißen. Besorgen Sie sich dann ein Erkennungstool für Datenlecks, mit dem Ihre persönlichen Anmeldedaten geschützt bleiben.

Holen Sie es sich für Mac

Holen Sie es sich für Mac

Holen Sie es sich für PC

Holen Sie es sich für PC

Academy-What-is-Endpoint-Detection-and-Response-Hero

Was ist EDR (Endpoint Detection and Response)?

Als „Endpoint Detection and Response“ (EDR) wird ein automatisiertes Sicherheitsprotokoll bezeichnet, das Ereignisse überwacht, wie z. B. das Öffnen oder Erstellen von Dateien auf Geräten, die mit einem Netzwerk verbunden sind. EDR stellt eine neuartige Technologie dar, die eingesetzt wird, um Warnsignale oder bösartige Signaturen zu erkennen und Bedrohungen in einem Netzwerk zu neutralisieren.

Hamburguer menu icon

Dieser Artikel enthält:

    Tritt ein Datenleck auf, senden EDR-Tools einen Bericht an das Sicherheitsteam, um den Zeitpunkt und die Umstände des Vorfalls zu melden. Außerdem zeichnen EDR-Tools alle Aktivitäten auf, damit Systemadministratoren möglichst viele Informationen zur Hand haben, um die Bedrohung zu diagnostizieren und geeignete Maßnahmen zu ergreifen. Manche EDR-Sicherheitssysteme können Probleme eigenständig in Quarantäne verschieben und beheben.

    Was genau versteht man im EDR-Kontext unter einem Endpunkt (Endpoint)? Ein Beispiel ist das Gerät, das Sie gerade verwenden. Oder Alexa oder ein beliebiges anderes Gerät im Internet der Dinge. In Bezug auf Sicherheit fällt Folgendes unter „Endpunkte“:

    • Desktop-Computer

    • Laptops

    • Server

    • Tablets

    • Smartphones

    • Smartwatches

    • Smart-Home-Controller

    • Digitale Assistenten

    • IoT-Geräte

    Diese Geräte werden als Endpunkte bezeichnet, weil sie auf der Datenreise bis zu Ihnen als Endbenutzer die letzte Station bilden und weil sie Zugriff auf das größere Netzwerk bieten, zu dem Sie gehören.

    Beachten Sie vor dem Herunterladen eines EDR-Sicherheitstools, dass EDR nicht für den Schutz einzelner Computer gedacht ist. Vielmehr unterstützt EDR eine IT-Abteilung und deren Netzwerkmanager bei der Überwachung großer Mengen an Endpunkten (Geräten), die mit ihrem Netzwerk verbunden sind. Wird nur eines dieser Geräte gehackt, könnte eine Hintertür für den Zugang zu den übrigen Geräten entstehen. EDR bildet also ein Instrument, mit dem IT-Abteilungen bösartigen Datenverkehr in ihren Netzwerken einen Riegel vorschieben können.

    Natürlich ist es immer eine gute Idee, Ihre persönliche Sicherheit zu erhöhen, egal in welchem Netzwerk Sie eingebunden sind. Dazu sollten Sie Best Practices befolgen, wie das Erstellen starker Passwörter mit einem Zufallsgenerator für Passwörter, das regelmäßige Update Ihrer Software und die Verwendung umfassender Cybersicherheitssoftware.

    Wozu wird EDR benötigt?

    EDR hilft im Kampf gegen immer raffiniertere Hackermethoden. Bösartige Akteure suchen ständig nach neuen Exploits, um die Schwachstellen von Cybersicherheitsinfrastruktur auszunutzen, aber EDR ermöglicht eine fortschrittliche Bedrohungserkennung, sodass Netzwerksicherheitsteams schneller auf Datenlecks reagieren können.

    Ausgeklügelte Arten von Malware bedrohen heutzutage jedes einzelne Gerät. Ob Laptop, Tablet oder Smartphone – Cyberangreifer betrachten alles als potenzielle offene Tür. In einer modernen Netzwerkumgebung, in der Tablets und Smartphones für Viren anfällig sind und Alltagsgegenstände wie Drucker und Kaffeeautomaten gehackt werden können, fällt es IT-Abteilungen schwer, Tausende von gefährdeten Endpunkten im Blick zu behalten. Das sind eine riesige Anzahl offener Türen.

    Unternehmen könnten den Schutz mit einer Lösungssuite verwalten, aber nichts ist effektiver und praktischer als ein integriertes System, das Aktivitäten automatisch aufzeichnet und analysiert. Genau hier kommt EDR-Cybersicherheit ins Spiel. Die EDR-Plattform verschafft dem Sicherheitsteam einen Überblick über das Geschehen auf dem angegriffenen Computer. Für eine schnelle Reaktion sind diese Informationen Gold wert!

    EDR-Tools können zwischen Malware und Viren unterscheiden, sie tragen zum Verhindern von Router-Hacking bei und sie erkennen gefälschte Anwendungen anhand von verdächtigem Verhalten (z. B. Bearbeiten der Registrierung).

    Wie funktioniert EDR?

    EDR bedeutet, dass Ereignisse auf einem Gerät oder in einem Netzwerk aufgezeichnet und überwacht werden. Die dabei erhaltenen Informationen dienen zur Untersuchung, Berichterstattung, Erkennung und Alarmierung. Außerdem bieten EDR-Lösungen auch Softwarefunktionen, mit denen Bedrohungen in einem System automatisch in Quarantäne verschoben und untersucht werden.

    Im Gegensatz zu Antivirenprogrammen zum Erkennen und Entfernen von Viren oder Malware sind EDR-Tools in der Regel so konzipiert, dass sie ein übergeordnetes Bild der Sicherheit auf Unternehmensebene liefern (sie enthalten jedoch auch Funktionen eines Tools zum Entfernen von Viren). Ferner umfasst EDR-Software detaillierte Analysetools zur Erkennung von Hackern mit dateiloser Malware.

    Erkennung

    EDR überwacht den Netzwerkdatenverkehr in Echtzeit, um die Geschehnisse auf einem Computer zu verdeutlichen und die EDR-Lösung (und das Sicherheitsteam) beim Erkennen von verdächtigem Verhalten zu unterstützen. Werden Veränderungen festgestellt, z. B. eine Anwendung, die plötzlich 100 % Arbeitsspeicherauslastung verursacht, alarmiert das EDR-Tool die Cybersicherheitsmitarbeiter. EDR-Software kann dank Cloud-basierter Sicherheitsarchive, in denen frühere Aktivitäten erfasst sind, selbst winzige Anomalien erkennen.

    Jedes neue Sicherheitsszenario hilft, die Analyse zu verfeinern und die Kenntnisse über das Verhalten einer bestimmten Malwarevariante zu erweitern. Dadurch können schneller Gegenmaßnahmen ergriffen werden. Allerdings archiviert nicht jede EDR-Lösung ihre Daten in der Cloud.

    Hier noch einmal die Bestandteile der EDR-Erkennungsphase:

    • Überwachung der Aktivitäten eines Computers auf verdächtiges Verhalten

    • Überprüfung dieser Aktivitäten anhand der Aufzeichnungen zu bekanntem verdächtigem Verhalten

    • Ausgabe eines Alarms, falls etwas Auffälliges festgestellt wird

    EDR-Erkennung beinhaltet die Überwachung der Computer in einem Netzwerk auf verdächtige Aktivitäten.Bei der EDR-Erkennung werden die Aktivitäten der Computer in einem Netzwerk anhand der Aufzeichnungen zu verdächtigem oder bösartigem Verhalten überprüft.

    Eindämmung

    Weil sich eine Virusinfektion ausbreiten und andere Dateien und Geräte beschädigen kann, muss sie schnellstmöglich eingedämmt werden. Durch Segmentierung werden Dateien in Teilnetzwerken isoliert, damit sie nicht mehr interagieren können und ihre Konnektivität begrenzt wird.

    Ransomware und Spyware können hochsensible Daten eines Unternehmens kompromittieren. Deshalb müssen gegen diese Bedrohungen erstklassige Sicherheitslösungen eingesetzt werden. EDR kann umgehend reagieren, um solche Daten aus der Gefahrenzone zu halten. Dadurch wird die Bedrohung so lange eingedämmt, bis eine Lösung gefunden wird, um sie endgültig auszuschalten.

    Ziele der EDR-Eindämmung:

    • Begrenzung des Schadens durch einen Virus oder andere Malware

    • Sicherstellen, dass die Konnektivität der verdächtigen Datei zum restlichen Netzwerk eingeschränkt wird

    • Isolieren des kompromittierten Systems oder Geräts vom restlichen Netzwerk

    Mit EDR-Eindämmung wird der Schaden begrenzt, der in einem Netzwerk durch eine Infektion auf einem verbundenen Gerät entsteht.Durch die EDR-Eindämmung wird eine infizierte Datei oder ein Gerät isoliert, um den Schaden im Netzwerk zu begrenzen.

    Untersuchung

    Nach der Erkennung und Eindämmung versuchen EDR-Tools, die Ursache des Vorfalls und die damit einhergehende Bedrohung zu bestimmen. Nachdem die Malware isoliert wurde, wird sie vom EDR-System analysiert, um ihre Funktionsweise zu untersuchen. Die ermittelten Merkmale und Signaturen werden zu einem wachsenden Analysebestand hinzugefügt. Sandboxen können als isolierte Umgebung für EDR-Tests dienen, damit das Sicherheitsteam versteht, wie eine Malware funktioniert.

    Eine gründliche Untersuchung hilft EDR-Tools, schnell und effektiv zu reagieren, damit ähnliche Angriffe in Zukunft erkannt und abgewehrt werden.

    Im Rahmen der EDR-Untersuchung führt das EDR-Tool folgende Aufgaben aus:

    • Testen der Malware in einer geschlossenen Umgebung, um ihr Verhalten zu ermitteln

    • Bestimmung der Ziele und Mechanismen des Virus

    • Untersuchung des Dateisystems, in dem das Virus eingedrungen ist, um Daten für Endpunkt-Forensik zu sammeln

    • Aufnahme der Erkenntnisse in eine wachsende Bibliothek mit Berichten, um künftige Angriffe abzuwehren

    Bei der EDR-Untersuchung wird eine Bedrohung analysiert, um zu bestimmen, wie sie funktioniert und wie sie in das Netzwerk eingedrungen ist.Bei der EDR-Untersuchung werden Bedrohungen analysiert und Details erfasst, um künftige Angriffe besser abzuwehren.

    Eliminierung

    EDR-Eliminierung sorgt dafür, dass alle Spuren des Virus beseitigt werden und dass Dateien, die möglicherweise damit interagiert haben, repariert werden. Die EDR-Technologie zeichnet alle Aktionen eines Computers genauestens auf, weil die Abfolge der Ereignisse, die zu einer Infektion geführt haben, wichtige Hinweise auf den Ursprung, das Verhalten und den Weg der Datei liefern kann. Die vollständige Beseitigung der Malware gewährleistet, dass kein Bereich des Netzwerks oder Dateisystems kompromittiert bleibt.

    Zusammengefasst stellt EDR-Eliminierung sicher, dass:

    • Der Virus oder die Malware beseitigt wird.

    • Alle infizierten Dateien oder Netzwerkbereiche repariert werden.

    • Alle Kopien des Virus entfernt werden.

    EDR-Eliminierung sorgt für eine vollständige Beseitigung der Malware.Durch EDR-Eliminierung wird eine Bedrohung vollständig beseitigt, und jeder infizierte Netzwerkbereich wird repariert.

    Wichtige Komponenten einer EDR-Lösung

    Nun sehen wir uns die einzelnen Komponenten einer effektiven EDR-Lösung genauer an.

    • Vorfall-Triage: Die Software sollte bestimmen können, welche Probleme die sofortige Aufmerksamkeit eines Experten erfordern und welche Probleme die Software selbst automatisch bearbeiten kann.

    • Bedrohungsjagd: EDR wurde speziell zur Erkennung von Malware konzipiert, die sich an der Sicherheitssoftware vorbeischleicht – und dann beginnt die Jagd nach der Bedrohung. Weil Malware auch durch menschliche Fehler in ein System gelangen kann, müssen Sie sich vor gängigen Social-Engineering-Methoden hüten, die Hacker nutzen.

    • Datenaggregation und -anreicherung: Ein umfassendes Archiv früherer Sicherheitsvorfälle hilft EDR-Tools, Fehlalarme zu vermeiden und im Handumdrehen effektive Lösungen für Eindämmung, Untersuchung und Eliminierung zu suchen.

    • Integrierte Reaktion: Zu den großen Vorteilen von EDR zählt die Integration vieler verschiedener Tools. EDR-Anwendungen kommunizieren untereinander und nutzen Funktionen gemeinsam, was Zeit spart und ein fokussiertes Eingreifen des Sicherheitsteams ermöglicht.

    • Verschiedene Reaktionsmöglichkeiten: Angriffe können diverse Formen annehmen, weshalb auch das EDR-System flexibel sein muss. Die besten Tools bieten bei jedem Schritt verschiedene Optionen, damit Experten mehr Kontrolle über potenziell gefährliche Situationen erhalten.

    Schützen Sie Ihre Daten vor Offenlegung

    Selbst wenn IT-Sicherheitsexperten eine EDR-Lösung bereitstellen, heißt das nicht, dass Sie sich über die Sicherheit Ihrer Geräte und Daten keine Gedanken mehr machen müssen. Datenlecks sind leider keine Seltenheit. Dann können Ihre persönlichen Daten offengelegt werden oder sogar im Darknet auftauchen.

    Glücklicherweise meldet Ihnen Avast BreachGuard automatisch, wenn Ihre E-Mail-Daten oder andere Anmeldedaten kompromittiert wurden. Dann können Sie umgehend Ihre Passwörter ändern, um den Schaden zu begrenzen. Außerdem können Sie mit BreachGuard die Übermittlung Ihrer Daten an Unternehmen automatisch deaktivieren, damit Ihre sensiblen Daten weniger gefährdet sind und Ihre Privatsphäre geschützt bleibt.

    Holen Sie es sich für Mac

    Holen Sie es sich für Mac

    Holen Sie es sich für PC

    Holen Sie es sich für PC

    Sicher und anonym surfen – mit dem Avast Secure Browser

    KOSTENLOSE INSTALLATION

    Sicher und anonym surfen – mit dem Avast Secure Browser

    KOSTENLOSE INSTALLATION
    Andere Bedrohungen
    Sicherheit
    Anthony Freda
    12-04-2022