Endpoint Detection & Response (EDR) bezeichnet eine Klasse von Sicherheitslösungen, die Endpunkte wie Workstations, Laptops und Server kontinuierlich auf Anzeichen von Kompromittierung überwachen. Anders als klassische Antivirenprogramme erkennen EDR-Systeme auch dateilose Angriffe, Lateral-Movement-Techniken und Living-off-the-Land-Angriffe, bei denen legitime Systemwerkzeuge missbraucht werden.
In unseren Projekten mit Behörden und KRITIS-Betreibern hat sich gezeigt, dass EDR-Ausschreibungen häufig an zu vagen Anforderungsdefinitionen scheitern: Entweder werden rein produktspezifische Eigenschaften eines einzelnen Herstellers beschrieben, oder die funktionalen Anforderungen sind so allgemein gehalten, dass eine objektive Bewertung kaum möglich ist. Unser Muster-LV schließt diese Lücke mit 40+ konkreten, wettbewerbsneutralen Leistungspositionen.
Die Agent-Architektur ist das Fundament jeder EDR-Lösung, und in unseren Projekten hat sich gezeigt, dass dieser Bereich in Ausschreibungen am häufigsten zu vage formuliert wird. Wir haben Abschnitt 1 so gestaltet, dass Betriebssystemunterstützung, Ressourcenverbrauch und Offline-Fähigkeit des Agents verbindlich definiert werden. Gerade in Behördennetzwerken mit heterogener Client-Infrastruktur, die ältere Windows-Versionen, Linux-Workstations und zunehmend auch macOS umfasst, ist die vollständige Plattformabdeckung ein kritisches Kriterium.
Der BSI IT-Grundschutz hält in Baustein SYS.2.1 fest, dass Schutzmaßnahmen auf Clients flächendeckend und einheitlich umzusetzen sind[1]. Daraus folgt, dass eine EDR-Lösung keinen Endpunkt unabgedeckt lassen darf. Wir fordern daher explizit die Unterstützung von Windows 10/11, Windows Server 2019/2022, gängigen Linux-Distributionen sowie die Möglichkeit zur zentralen Rollout-Steuerung über bestehende Softwareverteilungssysteme wie Microsoft SCCM oder Ansible. CrowdStrike Falcon, SentinelOne Singularity und Microsoft Defender for Endpoint erfüllen diese Anforderungen, unterscheiden sich aber erheblich in Lizenzmodell und Integrationstiefe.
Die Erkennungstiefe ist das entscheidende Differenzierungsmerkmal zwischen EDR und klassischen Antivirenprogrammen. Unser Muster-LV fordert verhaltensbasierte Erkennung auf Basis von Prozessbaum-Analyse, Speicher-Scanning und Telemetrie-Korrelation, weil signaturbasierte Ansätze allein keine ausreichende Schutzwirkung gegen moderne Angriffstechniken bieten. In unseren Projekten haben wir beobachtet, dass dateilose Angriffe, die ausschließlich im Arbeitsspeicher operieren, von rein signaturbasierten Produkten regelmäßig nicht erkannt werden.
Die Abdeckung des MITRE ATT&CK Frameworks ist als verbindliche Anforderung aufgenommen, weil sie als objektiver Vergleichsmaßstab für Erkennungsfähigkeiten gilt. Anbieter wie CrowdStrike und SentinelOne veröffentlichen regelmäßig Evaluierungsergebnisse im Rahmen der MITRE ATT&CK Evaluations, die Auftraggeber als Orientierungshilfe nutzen können. Das BSI empfiehlt in seinen Mindeststandards ausdrücklich die Verwendung anerkannter Frameworks zur Beschreibung von Angriffstechniken[2].
Die Response-Fähigkeiten unterscheiden EDR grundlegend von passiven Erkennungssystemen. Wir haben Abschnitt 3 so gestaltet, dass Netzwerkisolierung kompromittierter Endpunkte, remote Prozessbeendigung und die Möglichkeit zur forensischen Live-Analyse als Pflichtanforderungen definiert werden. In einem Ernstfall ist die Fähigkeit, einen infizierten Endpunkt innerhalb von Sekunden vom Netz zu trennen, ohne physischen Zugriff zu erfordern, entscheidend für die Schadensbegrenzung.
Automatisierte Response-Playbooks sind eine Anforderung, die wir mit Blick auf knappe Personalressourcen in öffentlichen IT-Abteilungen aufgenommen haben. Behörden, die keinen 24/7-SOC betreiben, sind auf automatisierte Erstmaßnahmen angewiesen, die einen Angriff eindämmen, bis menschliche Analysten eingreifen können. Broadcom Symantec Endpoint Security und Palo Alto Cortex XDR bieten hier ausgereifte Automatisierungsframeworks, die sich in bestehende SOAR-Umgebungen integrieren lassen. Wer reale Ausschreibungsunterlagen zu EDR-Projekten im öffentlichen Sektor studieren möchte, findet entsprechende Referenzdokumente im Vergabe-Archiv.
Forensische Telemetrie ist die Grundlage für eine lückenlose Incident-Analyse. Wir fordern in Abschnitt 4 die Aufzeichnung und Auswertbarkeit von Prozesserstellungen, Netzwerkverbindungen, Dateioperationen und Registry-Änderungen über einen definierten Zeitraum. Diese Anforderung ist nicht nur für die nachträgliche Analyse von Vorfällen relevant, sondern auch für Compliance-Nachweise gegenüber Aufsichtsbehörden im Rahmen von NIS2 und BSI IT-Grundschutz-Zertifizierungen.
Die SIEM-Integration über offene Standards wie CEF, JSON oder REST-APIs ist eine Pflichtanforderung, weil EDR-Systeme in modernen Sicherheitsarchitekturen nicht isoliert betrieben werden. Die Fähigkeit, Telemetriedaten und Alerts an ein zentrales SIEM zu übergeben, ist Voraussetzung für korrelierte Erkennung und zentrale Alarmierung. Elastic Security bietet hier eine besonders offene Architektur, während Microsoft Defender for Endpoint nahtlos mit Microsoft Sentinel integriert.
Quellen
- BSI: IT-Grundschutz-Kompendium, Baustein SYS.2.1 Allgemeiner Client, Edition 2023, bsi.bund.de.
- BSI: Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen, Version 2.1, November 2024, bsi.bund.de.
- MITRE: MITRE ATT&CK Enterprise Matrix, attack.mitre.org.
| Format | Microsoft Excel (.xlsx) + PDF |
| Umfang | mehr als 40 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Normen | BSI IT-Grundschutz SYS.2.1 / SYS.2.2, MITRE ATT&CK, NIS2 |
| Stand | 2026 (regelmäßige Revision) |
| Nutzungsrecht | Einfach, für eigene Organisation |
Muster-LV: Endpoint Detection & Response (EDR)
- aus vergangenen Projekten entwickelt
- mehr als 40 Leistungspositionen
- Öffentlicher Sektor & KRITIS
- GWB / VgV / UVgO konform
- BSI IT-Grundschutz SYS.2.1 / SYS.2.2
- Stand 2026 (regelmäßige Revision)
- E-Mail Support inklusive
