EDR, MDR oder XDR: Was KMU wirklich brauchen
EDR, MDR und XDR im direkten Vergleich: Kosten, Aufwand und die ehrliche Empfehlung für Mittelstandsunternehmen ohne eigenes SOC-Team.
EDR, MDR oder XDR: Was KMU wirklich brauchen
Key Takeaways
- EDR = Technologie auf dem Endpunkt, MDR = verwalteter Dienst mit menschlicher Analyse, XDR = plattformübergreifende Korrelation
- Reines EDR ohne Betrieb ist für KMU ohne IT-Team wenig sinnvoll
- MDR kostet 15 bis 40 Euro pro Endpunkt monatlich — Kostenpunkt oft unterschätzt
- Für die meisten KMU ist ein MDR-Hybrid der pragmatischste Einstieg
- XDR lohnt sich erst ab größerer Infrastruktur mit mehreren Sicherheitsschichten
Drei Abkürzungen, ein Ziel
Wer sich über moderne Endpunktsicherheit informiert, stößt schnell auf drei Begriffe: EDR, MDR und XDR. Alle drei kreisen um dasselbe Thema — Angriffe auf IT-Systeme erkennen und eindämmen. Trotzdem beschreiben sie grundlegend unterschiedliche Dinge.
Das Missverständnis entsteht, weil Anbieter die Begriffe gerne vermischen. Ein Hersteller verkauft sein Produkt als „XDR", meint aber technisch ein erweitertes EDR. Ein anderer bietet „MDR" an, liefert aber nur automatisierte Alerts ohne menschliche Analyse. Für einen Geschäftsführer, der einfach seine IT absichern möchte, ist das verwirrend.
Dieser Artikel erklärt die Unterschiede sachlich und beantwortet die entscheidende Frage: Was braucht ein KMU ohne eigenes Sicherheitsteam tatsächlich?
EDR: Erkennung auf dem Endpunkt
Endpoint Detection and Response ist eine Software, die auf jedem überwachten Gerät (Endpunkt) installiert wird. Sie zeichnet kontinuierlich auf, was auf dem System passiert: Prozesse, Netzwerkverbindungen, Dateizugriffe, Registry-Änderungen.
Bei verdächtigem Verhalten schlägt EDR an — nicht nur bei bekannten Signaturen wie klassisches Antivirus, sondern bei anomalen Mustern. Ein Prozess, der plötzlich andere Prozesse spawnt, Verschlüsselungsoperationen auf Nutzerdaten durchführt oder unerwartete Netzwerkverbindungen aufbaut, wird als verdächtig markiert.
Das Problem für KMU: EDR erzeugt Daten und Alerts. Jemand muss diese Alerts auswerten, priorisieren und darauf reagieren. Ohne ein internes Security-Team landen die Warnungen in einer Konsole, die niemand täglich prüft. Ein nicht beachteter Alert ist kein Alert.
MDR: Der verwaltete Dienst
Managed Detection and Response ist kein Produkt, sondern ein Dienst. Ein MDR-Anbieter übernimmt den Betrieb der Erkennungstechnologie — oft auf Basis von EDR oder SIEM — und stellt zusätzlich Sicherheitsanalysten bereit.
Was MDR liefert:
- 24/7-Überwachung durch menschliche Analysten
- Triage von Alerts (Echte Bedrohung oder False Positive?)
- Incident-Response-Unterstützung im Ernstfall
- Regelmäßige Reports für Compliance-Nachweise
Kostenwirklichkeit: MDR-Dienste kosten üblicherweise 15 bis 40 Euro pro Endpunkt und Monat. Bei 50 Geräten sind das 750 bis 2.000 Euro monatlich. Günstigere Angebote unter 10 Euro beinhalten meistens nur automatisiertes Alerting ohne echte menschliche Analyse — der entscheidende Mehrwert fehlt.
MDR ist die Antwort auf das EDR-Dilemma: Die Technologie wird geliefert und betrieben, ohne dass das Unternehmen eigene Sicherheitsexperten beschäftigen muss.
XDR: Korrelation über Schichten hinweg
Extended Detection and Response erweitert den Ansatz von EDR auf mehrere Datenquellen: Endpunkte, Netzwerk, Cloud-Dienste, E-Mail, Identitätsmanagement. Statt jeden Endpunkt isoliert zu betrachten, korreliert XDR Ereignisse plattformübergreifend.
Beispiel: Ein Nutzer loggt sich von einem unbekannten Standort ein (Identitätsdaten), öffnet eine E-Mail mit einem Link (E-Mail-Daten), der Browser ruft eine externe Domain ab (Netzwerkdaten), und kurz danach startet ein unbekannter Prozess auf dem Endpunkt (EDR-Daten). Jedes Einzelereignis könnte unauffällig sein — die Korrelation ergibt ein klares Angriffsmuster.
Einschränkung: XDR entfaltet seinen Nutzen nur, wenn alle Datenquellen tatsächlich angebunden sind. Wer nur Endpunkte und keine Cloud-Integration hat, bekommt aus XDR keinen nennenswerten Mehrwert gegenüber EDR.
Vergleichstabelle
| Merkmal | EDR | MDR | XDR |
|---|---|---|---|
| Was es ist | Software auf Endpunkten | Verwalteter Dienst | Plattform mit Datenkorrelation |
| Wer es betreibt | Intern (eigenes IT-Team nötig) | Externer Anbieter | Intern oder extern |
| Menschliche Analyse | Nein | Ja (24/7) | Optional |
| Abdeckung | Endpunkte | Endpunkte + Analyse | Endpunkte + Netz + Cloud |
| Geeignet ab | IT-Team vorhanden | Ab 20 Endpunkten | Ab 100+ Endpunkten / komplexer Infra |
| Typische Kosten | 3–8 € / Endpunkt / Monat | 15–40 € / Endpunkt / Monat | 20–60 € / Endpunkt / Monat |
| NIS-2-relevant | Teilweise | Vollständig | Vollständig |
Kostenwirklichkeit für den Mittelstand
Ein häufiger Fehler: Unternehmen kaufen eine EDR-Lizenz, weil der Preis attraktiv erscheint, und merken dann, dass der eigentliche Aufwand im Betrieb liegt.
Realistisch kalkuliert kostet ein internes EDR-Programm bei 100 Endpunkten:
- Lizenz: ca. 500–800 Euro monatlich
- Anteilige Personalkosten für Auswertung und Betrieb: 1.500–3.000 Euro monatlich (konservativ, 0,3 FTE IT-Sicherheit)
- Schulungen, Updates, Incident-Response: variabel
Ein MDR-Dienst für dieselbe Umgebung: 1.500–4.000 Euro monatlich, all-inclusive.
Der Break-even liegt häufig schon bei 30 bis 50 Endpunkten — ab diesem Punkt ist MDR oft günstiger als der interne Betriebsaufwand, selbst wenn man nur die Opportunitätskosten betrachtet.
Die KMU-Empfehlung
Für Unternehmen ohne dediziertes Sicherheitsteam und unter 150 Endpunkten ist die Empfehlung klar: Kein reines EDR ohne Betrieb. Die Technologie allein hilft nicht, wenn niemand die Alerts auswertet.
Sinnvolle Optionen:
- MDR ab sofort — wenn Budget vorhanden und sofortige 24/7-Abdeckung benötigt wird
- MDR-Hybrid — Basismonitoring durch einen Dienst, kritische Entscheidungen intern — pragmatischer Einstieg
- XDR nur dann, wenn mehrere Datenquellen bereits vorhanden und angebunden werden können
Der Vyrex-Ansatz
Vyrex kombiniert Agenten-basiertes Monitoring auf Endpunkten (Vyrex Node) mit zentraler Aggregation und Analyse (Vyrex Edge) — ohne dass ein eigenes Sicherheitsteam benötigt wird.
Das Modell ist ein MDR-Hybrid: Technisch liegt die Überwachung beim Kunden im eigenen Portal, der Betrieb und die Triage erfolgen durch das TwoPixels Sicherheitsteam.
→ Vyrex Node für Endpunkte: /products/node → Vyrex Edge für zentrale Auswertung: /products/edge → Alle Fragen beantwortet: /faq
FAQ
Was kostet MDR für ein KMU mit 50 Endpunkten? Marktübliche MDR-Dienste liegen zwischen 15 und 40 Euro pro Endpunkt und Monat. Bei 50 Geräten sind das 750 bis 2.000 Euro monatlich, zuzüglich Setup-Kosten. Günstigere Angebote unter 10 Euro pro Endpunkt beinhalten oft nur automatisiertes Alerting ohne menschliche Analyse.
Brauche ich EDR, wenn ich eine gute Firewall habe? Ja. Firewalls schützen den Netzwerkperimeter, EDR schützt einzelne Endpunkte von innen. Moderne Angriffe wie Ransomware und Phishing umgehen Firewalls vollständig — sie nutzen legitime Benutzeraktionen als Einstiegspunkt. EDR erkennt das anomale Verhalten danach.
Was ist der Unterschied zwischen EDR und Antivirus? Klassisches Antivirus erkennt bekannte Schadsoftware anhand von Signaturen. EDR analysiert Verhalten: Welche Prozesse spawnen andere Prozesse? Welche Verbindungen werden aufgebaut? Was wird ins Dateisystem geschrieben? Damit erkennt EDR auch unbekannte Angriffe und Zero-Days.
Frequently asked
Was kostet MDR für ein KMU mit 50 Endpunkten?
Marktübliche MDR-Dienste liegen zwischen 15 und 40 Euro pro Endpunkt und Monat. Bei 50 Geräten sind das 750 bis 2.000 Euro monatlich, zuzüglich Setup-Kosten. Günstigere Angebote unter 10 Euro pro Endpunkt beinhalten oft nur automatisiertes Alerting ohne menschliche Analyse.
Brauche ich EDR, wenn ich eine gute Firewall habe?
Ja. Firewalls schützen den Netzwerkperimeter, EDR schützt einzelne Endpunkte von innen. Moderne Angriffe wie Ransomware und Phishing umgehen Firewalls vollständig — sie nutzen legitime Benutzeraktionen als Einstiegspunkt. EDR erkennt das anomale Verhalten danach.
Was ist der Unterschied zwischen EDR und Antivirus?
Klassisches Antivirus erkennt bekannte Schadsoftware anhand von Signaturen. EDR analysiert Verhalten: Welche Prozesse spawnen andere Prozesse? Welche Verbindungen werden aufgebaut? Was wird ins Dateisystem geschrieben? Damit erkennt EDR auch unbekannte Angriffe und Zero-Days.