Security & Compliance
Endpoint Protection
Schutz von Endgeraeten vor Malware und Bedrohungen.
Allgemeine Infos
Endpoint Protection bezeichnet den Schutz von Clients und Servern vor Malware, Ransomware, Exploits und unautorisierten Zugriffen. Die Entwicklung vom klassischen signaturbasierten Antivirus zur modernen EDR-Lösung (Endpoint Detection and Response) ist dabei keine Produktfrage, sondern eine Notwendigkeit: Signaturbasierte Erkennung versagt bei dateilosen Angriffen, Living-off-the-Land-Techniken und Zero-Day-Exploits, die keine bekannten Muster hinterlassen.
Moderne Endpoint-Protection-Plattformen (EPP) kombinieren mehrere Schutzschichten:
- Antivirus und Anti-Malware: Signatur- und heuristikbasierte Erkennung als Basisschutz. In Windows über Microsoft Defender Antivirus nativ integriert.
- Verhaltensbasierte Erkennung: Analyse von Prozessverhalten, Speicherzugriffen und Netzwerkverbindungen in Echtzeit. Erkennt Angriffe anhand von Aktivitätsmustern statt Signaturen.
- Exploit-Schutz: Härtung gegen speicherbasierte Angriffe (ASLR, DEP, Control Flow Guard). In Windows über Exploit Protection konfigurierbar, zentral per Intune oder GPO ausrollbar.
- Gerätekontrolle: Steuerung von USB-Geräten, externen Laufwerken und Wechselmedien. Verhindert Datenabfluss und Einschleusung von Schadsoftware über physische Schnittstellen.
- EDR (Endpoint Detection and Response): Kontinuierliche Telemetrie, Angriffsvisualisierung über die Kill Chain, automatisierte Untersuchung und Live-Response für forensische Analyse im laufenden Betrieb.
Microsoft Defender for Endpoint (MDE) ist Microsofts integrierte EDR-Lösung mit direkter Anbindung an das Microsoft-365-Ökosystem. Plan 1 deckt Basis-EPP-Funktionen ab (Antivirus, ASR-Regeln, Gerätekontrolle, Exploit-Schutz). Plan 2 ergänzt vollständige EDR-Funktionalität: Threat Analytics, automatisierte Untersuchung und Behebung (AIR), Live-Response-Shell, Gerätezeitachse und Microsoft Threat Intelligence. Die Integration mit Entra ID und Intune ermöglicht Conditional-Access-Entscheidungen auf Basis des Gerätesicherheitsstatus direkt aus MDE.
Relevante Drittanbieter mit ihren Stärken im Vergleich:
- CrowdStrike Falcon: Cloud-nativer EDR-Marktführer, sehr geringe Systemlast durch leichtgewichtigen Sensor, starke Threat Intelligence (Adversary Tracking). Häufig gewählt, wenn plattformübergreifende Abdeckung (Linux, macOS, Windows) zentral ist.
- SentinelOne: Vollautomatisierte Angriffsbehebung (Rollback auf Dateiebene nach Ransomware-Angriff). Starker Fokus auf autonome Response ohne Analyst-Eingriff.
- Sophos Intercept X: Deep-Learning-Modell für Malware-Erkennung, CryptoGuard als dedizierter Ransomware-Schutz. Gut integriert mit Sophos Firewall über Synchronized Security.
- Fortinet FortiClient EMS: Endpoint-Lösung aus dem Fortinet Security Fabric. Kombiniert VPN-Client, Zero-Trust-Agent (ZTNA), Schwachstellenscanner und EDR in einem Agenten. Stärke liegt in der tiefen Integration mit FortiGate-Firewalls und dem gesamten Fortinet-Ökosystem, häufig gewählt wenn FortiGate bereits im Einsatz ist.
- Trend Micro Vision One: XDR-Plattform mit breiter Sensorabdeckung (Endpunkt, E-Mail, Netzwerk, Cloud). Etabliert in Enterprise- und OT/ICS-Umgebungen.
- Trellix (ehemals McAfee Enterprise / FireEye): Stark in regulierten Branchen und Behörden, breite Compliance-Abdeckung.
Ein praxisrelevanter Entscheidungspunkt: Wer bereits M365 E5 lizenziert, bekommt MDE Plan 2 ohne Aufpreis und sollte die Integration mit Defender XDR, Sentinel und Purview nutzen, bevor ein Drittanbieter evaluiert wird. Wer heterogene Betriebssystemlandschaften (viele Linux-Server, macOS-Clients) oder spezifische OT-Anforderungen hat, prüft besser CrowdStrike oder SentinelOne als plattformneutrale Alternativen. In Fortinet-lastigen Netzwerken ist FortiClient EMS der logische Ergänzungsschritt.
Kurzbeschreibung
Schutz von Endgeräten vor Malware und Bedrohungen durch EPP und EDR; Microsoft Defender for Endpoint als integrierte Lösung im M365-Ökosystem, CrowdStrike, SentinelOne, Sophos und Fortinet als führende Drittanbieter.
Lizenz & Verfügbarkeit
| Produkt | Lizenz | Umfang |
|---|---|---|
| Microsoft Defender Antivirus | In Windows enthalten | Basis-AV, kein EDR |
| Defender for Endpoint Plan 1 | M365 E3, Business Premium | EPP: ASR-Regeln, Exploit-Schutz, Gerätekontrolle |
| Defender for Endpoint Plan 2 | M365 E5 oder Add-on | Vollständiges EDR: Threat Analytics, AIR, Live-Response |
| CrowdStrike Falcon | Subscription (pro Endpunkt) | Cloud-nativer EDR, plattformübergreifend |
| SentinelOne | Subscription (pro Endpunkt) | Autonome Response, Ransomware-Rollback |
| Sophos Intercept X | Subscription (pro Endpunkt) | Deep Learning, CryptoGuard, Synchronized Security |
| Fortinet FortiClient EMS | Subscription (pro Endpunkt) | VPN, ZTNA, EDR, Schwachstellenscanner; tief integriert in Fortinet Security Fabric |
Weiterführende Links
Verwandte Artikel
Microsoft 365
Microsoft 365 | Security & Compliance Update
Microsoft Purview
Microsoft Purview | Ende der DLP-Latenz
Datenschutz & Governance