Was ist ein XDR-Leistungsverzeichnis?
Extended Detection & Response (XDR) ist die Weiterentwicklung von EDR und erweitert die Erkennung und Reaktion auf alle Telemetriequellen: Endpoints, Netzwerk, Cloud, E-Mail und Identitäten. XDR-Plattformen korrelieren Daten aus diesen Quellen und ermöglichen eine deutlich präzisere und schnellere Bedrohungserkennung.
Unser Muster-LV für XDR deckt alle relevanten Anforderungen einer modernen XDR-Plattform ab und ist speziell für die öffentliche Beschaffung konzipiert.
Leistungsumfang des Muster-LV XDR
Telemetriequellen
Extended Detection and Response ist die logische Weiterentwicklung von EDR und NDR, und wir haben dieses Leistungsverzeichnis genau an dieser Schnittstelle positioniert. XDR integriert Telemetriedaten aus mehreren Sicherheitsdomänen in einer einzigen Analyseplattform: Endpoint-Daten aus der EDR-Komponente, Netzwerkdaten aus dem NDR-Bereich, Cloud-Workload-Telemetrie sowie Daten aus E-Mail-Sicherheitslösungen und Identity-Management-Systemen. Diese Breite ist der entscheidende Vorteil gegenüber isolierten Einzellösungen, weil Angreifer regelmäßig mehrere Angriffsvektoren gleichzeitig nutzen.
Wir haben die Telemetriequellen bewusst technologieoffen formuliert, um Lösungen wie Microsoft Defender XDR, CrowdStrike Falcon Complete, Palo Alto Cortex XDR, SentinelOne Singularity XDR und Trend Micro Vision One gleichermaßen zu adressieren. Alle genannten Plattformen unterstützen die beschriebenen Telemetriedomänen, unterscheiden sich aber in der nativen Tiefe der jeweiligen Integration, was Auftraggeber bei der Angebotswertung berücksichtigen sollten.
Korrelation & KI
Die Stärke von XDR liegt nicht in der einzelnen Telemetriequelle, sondern in der plattformübergreifenden Korrelation. Wir haben diesen Abschnitt als zentrales Differenzierungsmerkmal des Leistungsverzeichnisses gestaltet, weil die Erkennungsqualität einer XDR-Plattform direkt davon abhängt, ob Angriffsmuster erkannt werden, die sich über mehrere Domänen erstrecken. Ein Angreifer, der einen Phishing-Link in einer E-Mail nutzt, um anschließend lateral im Netzwerk zu navigieren und schließlich Cloud-Ressourcen zu kompromittieren, wird nur durch domänenübergreifende Korrelation zuverlässig erkannt.
KI/ML-basierte Anomalieerkennung und die strukturierte Abbildung auf das MITRE ATT&CK Framework (Version 16, 14 Taktiken und 203 Techniken[1]) sind Anforderungen, die wir aus der Erfahrung mit realen Vergabeprojekten abgeleitet haben. Threat Hunting, also die proaktive Suche nach bereits kompromittierten Systemen ohne vorangegangenen Alert, ist eine Funktion, die besonders für KRITIS-Betreiber mit erhöhtem Schutzbedarf relevant ist. Wer sich über reale XDR-Ausschreibungen im öffentlichen Sektor informieren möchte, findet entsprechende Unterlagen im Vergabe-Archiv.
Response & Automatisierung
Plattformübergreifende Response-Aktionen sind das operative Versprechen von XDR: Wenn ein Angriff erkannt wird, soll das System nicht nur warnen, sondern sofort und koordiniert über alle betroffenen Domänen reagieren können. Wir haben diesen Abschnitt mit konkreten Anforderungen an automatisierte Eindämmungsmaßnahmen auf Endpoint-, Netzwerk- und Identitätsebene ausgestattet. CrowdStrike Falcon und Microsoft Defender XDR sind hier besonders weit entwickelt und bieten Playbooks, die Reaktionszeiten von Minuten auf Sekunden reduzieren. Die unabhängigen MITRE Engenuity ATT&CK Evaluations 2024 haben dabei gezeigt, welche Plattformen Ransomware- und macOS-Szenarien am zuverlässigsten erkennen und stoppen[2].
SOAR-Integration und strukturiertes Incident-Management sind Anforderungen, die wir aufgenommen haben, weil XDR-Plattformen zwar vieles automatisieren können, aber komplexe Incidents weiterhin menschliche Entscheidungen erfordern. Die nahtlose Integration in Ticketing-Systeme und bestehende Incident-Response-Prozesse stellt sicher, dass die XDR-Plattform in die Betriebsabläufe der Behörde eingebettet ist und nicht als isoliertes Werkzeug neben dem regulären IT-Betrieb steht.
Quellen
- MITRE Corporation: „ATT&CK® Enterprise Matrix", Version 16, Oktober 2024, attack.mitre.org.
- MITRE Engenuity: „ATT&CK® Evaluations Enterprise – Ransomware & macOS", 2024, attackevals.mitre-engenuity.org.
Technische Details
| Format | Microsoft Excel (.xlsx) + PDF |
| Umfang | mehr als 45 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Lieferung in 5 Werktagen |
Muster-LV: XDR
- aus vergangenen Projekten entwickelt
- Endpoint, Netzwerk & Cloud
- MITRE ATT&CK Abdeckung
- GWB / VgV / UVgO konform
- E-Mail Support inklusive
