Tools Endpoint und -Reaktion stehen im Mittelpunkt der meisten Sicherheitsstrategien von Unternehmen – doch Angreifer betrachten sie zunehmend als Hindernisse, die es zu umgehen gilt, und nicht als Mauern, die es zu durchbrechen gilt. Bei einer Red-Team-Bewertung einer US-amerikanischen Organisation für kritische Infrastruktur im Jahr 2024 stellte die CISA fest, dass EDR-Lösungen „nur wenige“ der eingesetzten Payloads erkannten, was bestätigt, was Angreifer bereits wissen. Der CrowdStrike Global Threat Report 2026 unterstreicht das Problem: 82 % der Erkennungen waren malware, was auf Techniken zurückzuführen ist, die auf Anmeldedaten basieren und sich aus vorhandenen Ressourcen bedienen, wodurch herkömmliche endpoint and Response-Kontrollen vollständig umgangen werden. Die Umgehung von EDR ist keine fortgeschrittene Fähigkeit mehr, die nur staatlichen Akteuren vorbehalten ist. Es handelt sich um einen massentauglichen Dienst, der auf dem Schwarzmarkt bereits für 300 US-Dollar erhältlich ist.
Unter „EDR-Umgehung“ versteht man die Gesamtheit der Techniken, die Angreifer einsetzen, um endpoint zu umgehen, zu deaktivieren oder zu umgehen – wodurch verhindert wird, dass diese Agenten böswillige Aktivitäten erkennen, Telemetriedaten an eine zentrale Konsole melden oder automatisierte Reaktionsmaßnahmen auf kompromittierten Endgeräten auslösen.
Die Begriffe „EDR-Umgehung“ und „EDR-Bypass“ werden oft synonym verwendet, doch gibt es einen nützlichen Unterschied. „EDR-Umgehung“ beschreibt allgemein jede Methode zur Umgehung endpoint , während „EDR-Bypass“ konkret bedeutet, dass ein Angreifer sowohl die Präventions- als auch die Erkennungsmechanismen überwunden hat. In der Praxis unterteilen DFIR-Experten diese Techniken zunehmend in drei Kategorien – „Blinding“, „Blocking“ und „Hiding“ –, je nachdem, wie sie mit der Architektur des EDR-Agenten interagieren.
EDR-Agenten arbeiten unter grundlegenden Einschränkungen. Sie stützen sich auf Software-Hooks, Kernel-Callbacks und Telemetrie-Pipelines, die Angreifer identifizieren, manipulieren oder deaktivieren können. Auf der DEF CON 32 vorgestellte Forschungsergebnisse zeigten, dass 94 % der analysierten EDR-Lösungen keine Hooks in der Subsystemebene oberhalb von NTDLL aufweisen, was eine systemische Lücke in der Architektur schafft. Wenn der CrowdStrike 2026 Global Threat Report berichtet, dass 82 % der Erkennungen malware sind, deutet dies darauf hin, dass Angreifer auf Techniken umgestiegen sind, für deren Erkennung EDR nie konzipiert wurde – Diebstahl von Anmeldedaten, Missbrauch legitimer Tools und identitätsbasierte Angriffe, die sich in den normalen Betrieb einfügen.
Das Problem verschärft sich entlang der gesamten Cyber-Kill-Chain. Wenn ein Angreifer den EDR-Agenten zu Beginn des Angriffs deaktiviert oder außer Gefecht setzt, verlaufen alle nachfolgenden Phasen – laterale Bewegung, Ausweitung von Berechtigungen, Datenexfiltration – ohne Transparenz endpoint.
Angreifer zielen auf drei grundlegende Angriffsflächen in der EDR-Architektur ab: die Telemetrie-Pipeline, den Agentenprozess selbst und den Ausführungskontext, der bestimmt, was der Agent überwacht.
Durch „Blinding“-Techniken wird verhindert, dass EDR-Agenten Telemetriedaten erfassen oder übertragen, ohne dass der Agent-Prozess tatsächlich beendet wird. Das EDR-System scheint funktionsfähig zu sein, sendet jedoch unvollständige oder gar keine Daten an die zentrale Konsole.
T1562.006 (Anzeige-Blockierung)Blockierungstechniken beenden EDR-Prozesse direkt oder verhindern, dass sie geladen werden. Dies sind die aggressivsten Umgehungsmethoden und erfordern oft eine Rechteausweitung auf Kernel-Ebene.
T1562.009)Verstecktechniken führen böswillige Aktionen mithilfe von Methoden aus, denen EDR-Agenten vertrauen oder die sie nicht überwachen können.
Die Umgehung von EDR-Lösungen hat sich zu einem kommerziellen Dienst im Untergrund entwickelt. Untersuchungen haben ergeben, dass in Dark-Web-Foren (XSS, Exploit.In, RAMP) einzelne Tools zur Umgehung von EDR-Lösungen bereits ab 300 US-Dollar verkauft werden, während gebündelte Verschlüsselungs-Lockers bis zu 10.000 US-Dollar kosten. Diese Kommerzialisierung bedeutet, dass Unternehmen mit Umgehungsversuchen aus dem gesamten Spektrum der Bedrohungsakteure konfrontiert sind – nicht nur mit raffinierten APT-Gruppen.
Abbildung: Architektur eines EDR-Agenten mit drei Angriffsflächen zur Umgehung. Das Diagramm zeigt Hooks im Benutzermodus, Kernel-Callbacks und die ETW-Pipeline, die Daten an eine EDR-Konsole übermittelt, sowie beschriftete Angriffsvektoren für „Blinding“ (Unterdrückung der Telemetrie), „Blocking“ (Beendigung des Agenten) und „Hiding“ (Ausführung im vertrauenswürdigen Kontext).
Zu den Techniken zur Umgehung von EDR gehören der Missbrauch von Treibern auf Kernel-Ebene, die Manipulation von Hooks im Benutzermodus, die Ausnutzung vertrauenswürdiger Binärdateien sowie neu aufkommende Linux-spezifische Angriffsflächen.
BYOVD lädt einen signierten, aber anfälligen Kernel-Treiber, um Zugriff auf Kernel-Ebene zu erlangen und EDR-Prozesse zu beenden oder Kernel-Callbacks zu deregistrieren. Diese Technik entspricht T1068 (Ausnutzung zur Rechteausweitung) und T1014 (Rootkit). Eine einzelne BYOVD-Kampagne, bei der der TrueSight-Treiber über 2.500 Antriebsvarianten zwischen Mitte 2024 und Anfang 2025. Im Februar 2026, ransomware Reynolds ransomware einen anfälligen NsecSoft-Treiber (CVE-2025-68947) direkt in die ransomware ransomware, wodurch ein separater Schritt zur Deaktivierung des EDR entfällt. Forensikunternehmen Huntress dokumentierte eine ähnliche Instrumentalisierung des EnCase-Treibers für die Beendigung des EDR.
EDR-Agenten setzen Hooks in DLLs im Benutzermodus (vor allem in ntdll.dll), um API-Aufrufe abzufangen und das Prozessverhalten zu überwachen. Durch Unhooking-Techniken werden diese Hooks entfernt oder umgangen, während direkte und indirekte Systemaufrufe die überwachte API-Ebene vollständig umgehen. Die HookChain-Technik, vorgestellt auf der DEF CON 32, nutzt die Subsystemebene oberhalb von NTDLL aus und erzielte bei 26 getesteten EDR-Lösungen eine Umgehungserfolgsrate von 88 %. Direkte Systemaufrufe rufen Kernelfunktionen anhand ihrer Nummer auf und umgehen dabei Hooks im Benutzermodus vollständig. Indirekte Systemaufrufe erfolgen über legitimen NTDLL-Code, um normal zu wirken, während sie gleichzeitig die hook-basierte Erkennung umgehen. Beide werden zu T1562.001 (Werkzeuge deaktivieren oder ändern).
„Living off the land“ greift legitime Systembinärdateien an – PowerShell, WMI, certutil, mshta, regsvr32 –, deren Funktion EDR-Lösungen zulassen müssen. Diese Techniken lassen sich zu T1218 (Ausführung von Systembinärdateien über einen Proxy). Da die Binärdateien digital signiert und für den Systembetrieb unverzichtbar sind, steht EDR vor einem grundlegenden Spannungsfeld zwischen der Verhinderung potenziellen Missbrauchs und der Ermöglichung legitimer administrativer Aktivitäten. Tools wie Cobalt Strike die LOLBin-Ausführungsketten nutzen, um Aktivitäten nach der Kompromittierung in das normale Systemverhalten einzubinden.
Dateilose malware lädt schädliche DLLs direkt in den Prozessspeicher, ohne sie auf die Festplatte zu schreiben, und umgeht so die dateibasierte Überprüfung. Dies entspricht T1055 (Prozessinjektion) und T1574.002 (DLL-Side-Loading). Der PDFSIDER malware Die Kampagne demonstrierte ausgeklügeltes Side-Loading von DLLs über vertrauenswürdige PDF-Reader-Prozesse, wodurch sowohl statische als auch verhaltensbasierte Erkennung umgangen wurde.
Speziell entwickelte EDR-Killer-Tools beenden oder blockieren EDR-Prozesse mithilfe einer Kombination verschiedener Techniken. EDRKillShifter nutzt BYOVD, um endpoint -Prozesse zu beenden, und hat sich in zahlreichen konkurrierenden ransomware verbreitet. EDR Silencer blockiert den EDR-Netzwerkverkehr über die Windows Filtering Platform (T1562.006). EDR-Redir stellt einen neueren Ansatz dar – einen Bypass im Benutzermodus, der den Bind-Filter-Treiber von Windows 11 ausnutzt und keinerlei Zugriff auf den Kernel erfordert.
Die Umgehung von Linux-EDR-Lösungen ist ein aufkommender Angriffsbereich, den die meisten Wettbewerber völlig übersehen. Der RingReaper-Agent nutzt die Linux-Kernel-Schnittstelle „io_uring“ (eingeführt in Kernel 5.1), um Prozesserkennung, Netzwerkaufzählung und Privilegienerweiterung durch asynchrone E/A-Operationen durchzuführen, die für herkömmliche Linux-EDR-Syscall-Hooks unsichtbar sind. Die meisten Linux-EDR-Lösungen überwachen „io_uring“ nicht, was eine erhebliche Erkennungslücke in Serverumgebungen schafft.
Übersicht über die wichtigsten Familien von EDR-Umgehungstechniken, zugeordnet zu MITRE ATT&CK und den wichtigsten Herausforderungen bei der Erkennung.
Vorfälle aus der Praxis zeigen, dass die Umgehung von EDR-Lösungen zu katastrophalen Sicherheitsverletzungen führen kann, wenn in Unternehmen keine Überwachung auf Netzwerkebene und keine ordnungsgemäße endpoint vorhanden ist.
Die ALPHV/BlackCat ransomware -Gruppe nutzte gestohlene Anmeldedaten, um über ein Fernzugriffsportal ohne Multi-Faktor-Authentifizierung auf die Systeme von Change Healthcare zuzugreifen. Die Angreifer deaktivierten endpoint und bewegten sich neun Tage lang lateral, wobei sie 6 TB an Daten exfiltrierten, bevor sie ransomware einsetzten. Das Unternehmen zahlte ein Lösegeld in Höhe von 22 Millionen US-Dollar, und die persönlichen Gesundheitsdaten von über 100 Millionen Personen wurden kompromittiert. Die Lehre daraus: EDR ohne MFA und Überwachung der Netzwerkschicht schafft katastrophale Single Points of Failure.
Im Februar 2026 bündelte ransomware „Reynolds“ einen anfälligen NsecSoft NSecKrnl-Treiber (CVE-2025-68947) direkt in die ransomware ein. Der eingebettete Treiber beendet Prozesse für Avast, CrowdStrike Falcon, Cortex XDR, Sophos und Symantec. Diese Entwicklung – von BYOVD als separatem Schritt vor dem Angriff hin zu einer eingebetteten Payload-Komponente – verringert das Erkennungsfenster drastisch.
Als die EDR-Lösung Akiras ursprüngliche Schadsoftware auf einem endpoint unter Quarantäne stellte, verlagerten die Angreifer ihre Aktivitäten auf eine unbeaufsichtigte Linux-basierte Webcam im selben Netzwerk. Von der Webcam aus bündelten sie SMB-Freigaben und verschlüsselten das Netzwerk von einem Gerät aus, das kein EDR-Agent schützen konnte. Dieser Fall verdeutlicht, warum IoT-Sicherheit und die agentenlose Geräteüberwachung wesentliche Bestandteile jeder endpoint sind.
Ein Red Team der CISA untersuchte eine Organisation der kritischen Infrastruktur und umging die EDR-Lösung, indem es bekannte schädliche Signaturen meidete und die Dateigrößen über die Upload-Schwellenwerte der EDR-Lösung hinaus erhöhte. Eine ältere Umgebung innerhalb der Organisation verfügte über keinerlei EDR-Abdeckung. Die Untersuchung kam zu dem Schluss, dass eine übermäßige Abhängigkeit von hostbasierten EDR-Lösungen ohne Schutzmaßnahmen auf Netzwerkebene dazu führt, dass Organisationen gegenüber entschlossenen Angreifern blind sind.
Da die durchschnittliche Zeit bis zum Durchbruch bei Cyberkriminalität laut den Daten von CrowdStrike aus dem Jahr 2026 mittlerweile bei 29 Minuten liegt, schrumpft das Zeitfenster zwischen dem ersten Zugriff und der lateralen Bewegung schneller, als die meisten SOCs reagieren können.
Um sich gegen EDR-Umgehungsversuche zu schützen, müssen Netzwerkerkennung, Abwesenheitsüberwachung und endpoint zu einer integrierten Strategie der mehrschichtigen Verteidigung kombiniert werden.
Erkennung auf Netzwerkebene (NDR). Die Erkennung und Reaktion auf Netzwerkebene liefert unabhängige Telemetriedaten, die auch dann noch verfügbar sind, wenn EDR-Agenten kompromittiert wurden. Der Netzwerkverkehr lässt sich nicht „abschalten“ – ein Angreifer, der den endpoint außer Gefecht setzt oder beendet, erzeugt während der lateralen Bewegung, der Command-and-Control-Kommunikation und der Datenexfiltration weiterhin beobachtbares Netzwerkverhalten. In der Empfehlung der CISA wird ausdrücklich die Überwachung auf Netzwerkebene als Ergänzung zur endpoint empfohlen.
Überwachung auf Basis von Verbindungsabbrüchen. Anstatt böswillige Aktivitäten zu erkennen, stellt die Überwachung von Verbindungsabbrüchen fest, wenn Endgeräte keine Daten mehr an die EDR-Konsole melden – ein deutlicher Hinweis darauf, dass Tools zum Ausschalten des EDR-Systems eingesetzt wurden. In Berichten zur Bedrohungslage wird dies als eine der zuverlässigsten Erkennungsmethoden für Manipulationen am EDR-System genannt.
Verhaltensanalyse und threat hunting. Die proaktive Bedrohungserkennung konzentriert sich auf die Identifizierung von Indikatoren für Umgehungsversuche: unerwartete Treiberladevorgänge, Lücken in der ETW-Telemetrie, anomale Prozessbaumstrukturen und verdächtige Nutzung legitimer Systembinärdateien. Diese Verhaltenssignale bleiben auch dann bestehen, wenn die signaturbasierte Erkennung versagt.
Der Fall der Akira-Webcam verdeutlicht eine kritische Sicherheitslücke: Geräte, auf denen keine EDR-Agenten ausgeführt werden können – IoT-Geräte, IP-Kameras, OT-Geräte, Netzwerkgeräte – schaffen Angriffseingänge, die endpoint vollständig umgehen. Laut dem Verizon DBIR 2025 stieg der Anteil von Edge-Geräten und VPNs als Angriffseingänge im Jahresvergleich von 3 % auf 22 %. Unternehmen müssen alle mit dem Netzwerk verbundenen Geräte überprüfen und sicherstellen, dass Geräte ohne Agenten ohne Überwachung auf Netzwerkebene keinen Zugriff auf sensible Ressourcen erhalten. IoT-Sicherheitslösungen und NDR bieten Transparenz dort, wo endpoint nicht eingesetzt werden können.
Ein wirksamer Plan zur Reaktion auf Vorfälle berücksichtigt Szenarien, in denen keine EDR-Telemetriedaten verfügbar sind, und sieht Playbooks vor, die als Ausweichlösung auf Netzwerk- und Identitätsdatenquellen zurückgreifen.
Die Erkennung von EDR-Umgehungsversuchen lässt sich direkt auf MITRE ATT&CK T1562 (Verteidigungsmanöver) — die die am häufigsten verwendete Technik bei malware im Jahr 2025 laut der jährlichen Analyse von Picus Security. Mehrere Sicherheitsrahmenwerke Vorschriften zur Bekämpfung von Risiken im Zusammenhang mit der Umgehung von EDR-Systemen.
MITRE ATT&CK im Zusammenhang mit der Umgehung von EDR-Systemen, einschließlich Quellen für Erkennungsdaten und Abwehrmaßnahmen.
Zuordnung zum Rahmenwerk. Die NIST-CSF-Kontrollen DE.CM-1 (Netzwerküberwachung), DE.CM-4 (Erkennung von Schadcode) und PR.PT-1 (Audit-/Protokollaufzeichnungen) beziehen sich direkt auf die Anforderungen zur Erkennung von EDR-Umgehungsversuchen. CIS Controls v8 bildet dies über die Kontrollen 10 (Malware ), 8 (Verwaltung von Audit-Protokollen) und 13 (Netzwerküberwachung und -abwehr) ab. ISO 27001:2022 behandelt dies in Anhang A 8.7 (Schutz vor Malware) und Anhang A 8.16 (Überwachungsaktivitäten).
In der Branche herrscht Einigkeit: Ein wirksamer Schutz vor EDR-Umgehungsversuchen erfordert unabhängige Erkennungsschichten, die auch dann noch funktionieren, wenn endpoint kompromittiert wurden. Dies bedeutet, dass EDR mit Netzwerk-Erkennung und -Reaktion, Identitätsbedrohungserkennung und -reaktion (ITDR) sowie agentenloser Überwachung zu einer einheitlichen, mehrschichtigen Verteidigungsarchitektur kombiniert werden muss.
NDR bietet Transparenz auf Netzwerkebene, die durch Angriffe endpoint nicht außer Kraft gesetzt werden kann. ITDR erkennt den Missbrauch von Anmeldedaten und identitätsbasierte Angriffe, die 82 % aller malware Eindringversuche ausmachen. Automatisierte Reaktionsfunktionen stoppen Bedrohungen, bevor die laterale Bewegung abgeschlossen ist – dies ist entscheidend, da die Durchbruchzeit bei Cyberkriminalität im Durchschnitt bei 29 Minuten liegt. Die Verbesserung des SOC-Betriebs durch die Konsolidierung von Signalen verringert die Alarmflut, die die Reaktion auf echte Anzeichen für Tarnmanöver verzögert.
Vectra AI davon Vectra AI , dass clevere Angreifer endpoint umgehen werden – die Philosophie des „Assume Compromise“. Attack Signal Intelligence Netzwerk-, Identitäts- und cloud , um Angreiferverhalten aufzudecken, das EDR nicht erkennen kann – laterale Bewegungen, Privilegieneskalation und Command-and-Control-Aktivitäten, die unabhängig davon fortbestehen, ob der endpoint kompromittiert, ausgeblendet oder nicht vorhanden ist. Der Fokus liegt auf der Klarheit der Signale statt auf der Anzahl der Warnmeldungen, um sicherzustellen, dass SOC-Teams echte Bedrohungen untersuchen, anstatt sich mit den 82 % der Aktivitäten zu beschäftigen, die niemals mit malware in Berührung kommen.
Die Landschaft der EDR-Umgehungstechniken entwickelt sich rasant weiter, wobei mehrere Entwicklungen in den nächsten 12 bis 24 Monaten sowohl die Angriffstechniken als auch die Verteidigungsstrategien grundlegend verändern dürften.
KI-gestützte Umgehungstechniken werden zunehmen. Angreifer nutzen KI bereits zur Automatisierung der Payload-Erstellung, der Erzeugung polymorphen Codes und der Nachahmung von Verhaltensmustern. Auch wenn die Zuverlässigkeit konkreter Wirksamkeitsangaben variiert, ist der allgemeine Trend gut dokumentiert: KI senkt die Hürde für die Entwicklung maßgeschneiderter Umgehungstechniken und zwingt Verteidiger dazu, KI-gestützte Erkennungsmechanismen einzuführen, die sich ebenso schnell anpassen.
Linux und cloud Umgehungstechniken werden weiter zunehmen. Die Ausnutzung von io_uring durch RingReaper signalisiert einen allgemeinen Trend hin zu Angriffen auf Linux-Serverumgebungen und cloud . Da Unternehmen immer mehr Workloads auf Container und Kubernetes verlagern, werden Angreifer ihre Umgehungstechniken an diese Umgebungen anpassen, in denen herkömmliche EDR-Bereitstellungsmodelle möglicherweise nicht mehr greifen.
Der regulatorische Druck wird zunehmen. Die Durchsetzung der NIS-2-Richtlinie in Europa und mögliche Aktualisierungen der SEC-Vorschriften zur Offenlegung von Cybervorfällen könnten spezifische Standards endpoint und Anforderungen an eine mehrschichtige Verteidigung vorschreiben. Unternehmen, die sich ausschließlich auf EDR verlassen, werden mit Compliance-Lücken konfrontiert sein, da die Rahmenwerke zunehmend eine Überwachung auf Netzwerkebene und Funktionen zur Erkennung von Abwesenheiten erfordern.
„Evasion-as-a-Service“ wird sich weiterentwickeln. Der Schwarzmarkt für EDR-Umgehungstools wird sich weiter professionalisieren, wobei Abonnementmodelle, garantierte Umgehungsfenster und Geld-zurück-Garantien zum Standard werden. Sicherheitsverantwortliche sollten diese Marktentwicklung in ihren Bedrohungsmodellen berücksichtigen und entsprechend Mittel für Investitionen in mehrschichtige Erkennungslösungen einplanen.
Unternehmen sollten der Einführung von NDR-Lösungen neben bestehenden EDR-Investitionen Priorität einräumen, eine auf Fehlstellen basierende Überwachung für Lücken endpoint einrichten und regelmäßig Angreifer-Simulationsübungen durchführen, die gezielt EDR-Umgehungsszenarien testen.
Die Umgehung von EDR-Systemen hat sich von einer hochentwickelten Fähigkeit staatlicher Akteure zu einer weit verbreiteten Dienstleistung entwickelt, die jedem Angreifer für nur wenige hundert Dollar zur Verfügung steht. Die Techniken sind gut dokumentiert, die Tools werden innerhalb krimineller Netzwerke weit verbreitet, und die architektonischen Grenzen der Erkennung endpoint werden durch Red-Team-Bewertungen der CISA und wissenschaftliche Untersuchungen öffentlich bestätigt.
Der Weg in die Zukunft besteht nicht darin, EDR aufzugeben – sondern darin, zu erkennen, dass EDR am besten als eine Schicht innerhalb einer mehrschichtigen Verteidigungsarchitektur funktioniert. Die Netzwerkerkennung bietet unabhängige Transparenz, die auch dann erhalten bleibt, wenn Endgeräte kompromittiert sind. Die Identitätsüberwachung erfasst 82 % der Angriffe, bei denen keinerlei malware zum Einsatz kommt. Absenzbasierte Telemetrie erkennt, wenn EDR selbst zum Ziel wird. Unternehmen, die die achtstufige Checkliste zur Absicherung umsetzen, NDR neben endpoint einsetzen und ihre Abwehrmaßnahmen durch regelmäßige Angreifersimulationen validieren, werden die Lücken schließen, die EDR-Umgehungsversuche ausnutzen.
Erfahren Sie, wie Vectra AI den EDR-Schutz durch Netzwerk- und Identitätserkennung Vectra AI .
Unter EDR-Umgehung versteht man die Techniken, mit denen Angreifer endpoint umgehen, deaktivieren oder außer Kraft setzen. Diese Techniken verhindern, dass EDR-Agenten böswillige Aktivitäten erkennen, Telemetriedaten melden oder automatisierte Reaktionen auslösen. Moderne EDR-Umgehung lässt sich in drei Kategorien einteilen: Blinding (Unterdrückung der Telemetrie ohne Beendigung des Agenten), Blocking (direkte Deaktivierung oder Beendigung von EDR-Prozessen) und Hiding (Ausführung in vertrauenswürdigen Kontexten, die EDR überwacht, aber zulassen muss). EDR-Umgehung ist zunehmend zur Massenware geworden; Tools sind auf dem Schwarzmarkt bereits für nur 300 US-Dollar erhältlich, was sie für eine Vielzahl von Angreifern jenseits staatlicher Gruppen zugänglich macht. Nach Erkenntnissen des CISA-Red-Teams erkannten EDR-Lösungen bei Tests gegen einen erfahrenen Angreifer „nur wenige“ eingesetzte Payloads, was bestätigt, dass endpoint allein keinen ausreichenden Schutz bietet.
Angreifer umgehen EDR mithilfe verschiedener Technikenfamilien, die auf unterschiedliche Architekturebenen abzielen. Auf Kernel-Ebene lädt BYOVD signierte, anfällige Treiber, um EDR-Prozesse zu beenden oder Kernel-Callbacks zu deregistrieren. Auf User-Mode-Ebene umgehen „Unhooking“- und „Syscall“-Techniken die API-Überwachungs-Hooks, auf die sich EDR-Agenten stützen. „Living-off-the-land“-Techniken missbrauchen legitime Systembinärdateien, die EDR nicht blockieren kann. EDR-Killer-Tools wie EDRKillShifter kombinieren mehrere Ansätze – sie nutzen BYOVD für den Kernel-Zugriff und beenden anschließend systematisch endpoint . In jüngerer Zeit haben Angreifer auf nicht überwachte Geräte umgeschwenkt (wie im Fall der Akira-Webcam) oder Linux-spezifische Schnittstellen wie io_uring ausgenutzt, die von den meisten EDR-Lösungen nicht überwacht werden. Die wichtigste Erkenntnis ist, dass Angreifer selten nur eine einzige Technik verwenden. Sie verketten mehrere Umgehungsmethoden, um ihre Chancen zu maximieren, unentdeckt zu bleiben.
BYOVD – „Bring Your Own Vulnerable Driver“ – ist eine Angriffstechnik, bei der Angreifer einen rechtmäßig signierten, aber anfälligen Kernel-Treiber auf ein Zielsystem laden. Da der Treiber eine gültige digitale Signatur trägt, erlaubt Windows dessen Ausführung mit Kernel-Rechten. Der Angreifer nutzt dann die Schwachstelle im geladenen Treiber aus, um sich Kernel-Zugriff zu verschaffen, wodurch er EDR-Prozesse beenden, Kernel-Callbacks deregistrieren und Sicherheitskontrollen manipulieren kann. In einer einzigen BYOVD-Kampagne, die zwischen Mitte 2024 und Anfang 2025 auf den TrueSight-Treiber abzielte, wurden über 2.500 Treibervarianten verwendet. Die ransomware vom Februar 2026 ransomware diese Technik noch weiter, indem sie den anfälligen Treiber direkt in die ransomware einbettete, wodurch ein separater Bereitstellungsschritt entfiel und das Erkennungsfenster erheblich verkürzt wurde.
Ransomware umgehen EDR-Lösungen mithilfe einer Kombination von Techniken, die auf ihre jeweiligen Ziele zugeschnitten sind. ALPHV/BlackCat nutzte gestohlene Anmeldedaten, um endpoint bei Change Healthcare zu deaktivieren, was eine neuntägige laterale Bewegung ermöglichte, die zu einer Lösegeldforderung in Höhe von 22 Millionen US-Dollar und 100 Millionen kompromittierten Datensätzen führte. ransomware einen BYOVD-Treiber direkt in ihre Payload ransomware und beendet bei Ausführung automatisch Avast, CrowdStrike Falcon, Cortex XDR, Sophos und Symantec. Das EDRKillShifter-Tool von RansomHub nutzt BYOVD, um EDR zu beenden, und wurde an mindestens drei rivalisierende Gruppen weitergegeben – Play, Medusa und BianLian. Akira bewies kreatives Denken, indem es auf eine unüberwachte Linux-Webcam auswich, um das Netzwerk zu verschlüsseln, als EDR die ursprüngliche Payload auf Windows-Endpunkten blockierte. Diese Beispiele zeigen, dass ransomware erhebliche Ressourcen in die Umgehung von EDR investieren, da endpoint das Haupthindernis für ransomware darstellt.
Um EDR-Umgehungsversuche zu erkennen, muss man über den endpoint hinausblicken. Network Detection and Response (NDR) liefert unabhängige Telemetriedaten, die auch dann noch verfügbar sind, wenn EDR-Agenten kompromittiert wurden – Angreifer, die den endpoint außer Gefecht setzen oder beenden, erzeugen während der lateralen Bewegung und der Datenexfiltration weiterhin beobachtbaren Netzwerkverkehr. Eine auf Ausfällen basierende Überwachung erkennt, wenn Endpunkte keine Meldungen mehr an die EDR-Konsole senden, was ein deutlicher Hinweis auf Aktivitäten zur Ausschaltung des EDR-Systems ist. Verhaltensanalysen und threat hunting auf anomale Treiberladeereignisse, Lücken in der ETW-Telemetrie, ungewöhnliche Prozessbäume und verdächtige Nutzung von Systembinärdateien. Unternehmen sollten auf Treiberladeereignisse achten, die mit bekannten anfälligen Treibern übereinstimmen, auf plötzliche Lücken in der EDR-Telemetrie von bestimmten Endpunkten, auf unerwartete Netzwerkverbindungen von Endpunkten, die kürzlich stillgelegt wurden, sowie auf Prozessverhaltensmuster, die mit dem Entkoppeln oder dem Missbrauch von Systemaufrufen übereinstimmen. Die Kombination dieser Erkennungsmethoden schafft eine sich überschneidende Transparenz, die keine einzelne Umgehungstechnik überwinden kann.
Die Umgehung von Abwehrmaßnahmen ist die Taktik TA0005 im MITRE ATT&CK und umfasst Techniken, die Angreifer einsetzen, um während ihres gesamten Eindringens einer Entdeckung zu entgehen. Innerhalb dieser Taktik ist T1562 (Beeinträchtigung von Abwehrmaßnahmen) die für die Umgehung von EDR-Systemen unmittelbar relevanteste Technikenfamilie. Zu den Untertechniken gehören T1562.001 (Tools deaktivieren oder modifizieren), T1562.002 (Windows-Ereignisprotokollierung deaktivieren), T1562.006 (Indikatoren blockieren) und T1562.009 (Start im abgesicherten Modus). Laut der jährlichen Analyse von Picus Security war T1562 die am häufigsten eingesetzte Technik in malware im Jahr 2025. Sicherheitsteams nutzen diese ATT&CK-Zuordnungen für die Erkennungsentwicklung – sie erstellen Erkennungsregeln, die auf bestimmte Techniken abzielen, anstatt auf einzelne malware , was einen nachhaltigeren Schutz gegen sich weiterentwickelnde Umgehungstools bietet.
Die Erkennung und Reaktion auf Netzwerkebene spielt eine entscheidende Rolle bei der Aufdeckung von EDR-Umgehungsversuchen, da sie unabhängig von endpoint funktioniert. Wenn ein Angreifer einen EDR-Agenten außer Gefecht setzt, beendet oder umgeht, fließt der Netzwerkverkehr weiter. NDR überwacht diesen Datenverkehr auf Anzeichen für Kompromittierungen, die EDR nicht mehr melden kann – seitliche Bewegungen zwischen Hosts, Command-and-Control-Kommunikation, Muster des Missbrauchs von Anmeldedaten und Datenexfiltration. Die CISA empfiehlt in ihrer Empfehlung für kritische Infrastrukturen ausdrücklich die Überwachung auf Netzwerkebene als Ergänzung zur endpoint . Die Kombination aus EDR und NDR schafft eine Erkennungsarchitektur, bei der die Kompromittierung einer Ebene die Sichtbarkeit nicht aufhebt. Selbst wenn es einem Angreifer gelingt, jeden EDR-Agenten in der Umgebung zu umgehen, bleibt sein Netzwerkverhalten beobachtbar. Dies ist besonders wichtig für agentenlose Geräte – IoT-, OT-Geräte, Netzwerkgeräte –, auf denen endpoint überhaupt nicht ausgeführt werden können.
HookChain ist eine fortschrittliche EDR-Umgehungstechnik, die in wissenschaftlichen Studien dokumentiert und auf der DEF CON 32 vorgestellt wurde. Sie nutzt die Subsystemebene oberhalb von NTDLL aus – eine Ebene, auf der 94 % der analysierten EDR-Lösungen keine Überwachungs-Hooks einsetzen. Durch die Nutzung dieses architektonischen blinden Flecks erzielte HookChain bei 26 getesteten EDR-Produkten und fünf endpoint eine Umgehungserfolgsrate von 88 %. Die Technik verdeutlicht eine grundlegende Designbeschränkung in der aktuellen EDR-Architektur: Anbieter konzentrieren ihre Überwachungs-Hooks auf die NTDLL- und Kernel-Ebene, lassen jedoch die darüber liegende Subsystemebene ungeschützt. HookChain benötigt weder Kernel-Zugriff noch Administratorrechte, wodurch es für ein breiteres Spektrum von Angreifern zugänglich ist. Die Forschung unterstreicht, warum es nicht ausreicht, sich ausschließlich auf eine hook-basierte Erkennung im Benutzermodus zu verlassen, und warum ergänzende Erkennungsebenen (Netzwerk, Identität, Verhalten) unerlässlich sind.
Der Neustart im abgesicherten Modus umgeht EDR, indem das Zielsystem im Windows-abgesicherten Modus neu gestartet wird, in dem nur die wichtigsten Treiber und Dienste geladen werden. Die meisten EDR-Agenten sind nicht so konfiguriert, dass sie im abgesicherten Modus starten, was bedeutet, dass das System ohne aktive endpoint hochfährt. Ransomware wie Snatch und AvosLocker haben diese Technik ausgenutzt, um Dateien ohne Einmischung von EDR zu verschlüsseln. Der Angreifer verschafft sich in der Regel zunächst Zugriff, konfiguriert das System so, dass es im abgesicherten Modus startet, startet den Rechner neu und führt dann die ransomware in der ungeschützten Umgebung aus. Diese Technik entspricht MITRE ATT&CK .009. Um sich dagegen zu schützen, müssen EDR-Agenten so konfiguriert werden, dass sie im abgesicherten Modus bestehen bleiben, es muss auf unerwartete Änderungen der Boot-Konfiguration überwacht werden und es muss sichergestellt werden, dass die Erkennung auf Netzwerkebene Endpunkte unabhängig von ihrem Boot-Status abdeckt.
Der Begriff „EDR-Manipulation“ ist weit gefasst und umfasst alle Techniken, die die Funktionalität eines endpoint and Response-Agenten verändern, beeinträchtigen oder deaktivieren. Dazu gehören das Beenden von EDR-Prozessen, das Patchen von Überwachungs-Hooks im Speicher, das Blockieren der Telemetrieübertragung, das Ändern von Konfigurationsdateien, das Aufheben der Registrierung von Kernel-Callbacks und das Ausnutzen anfälliger Treiber für den Kernel-Zugriff. EDR-Manipulation ist die praktische Umsetzung von MITRE ATT&CK .001 (Tools deaktivieren oder ändern). Die meisten modernen EDR-Lösungen verfügen über Manipulationsschutzfunktionen, die eine unbefugte Änderung des Agenten verhindern. Diese Schutzmaßnahmen müssen jedoch ordnungsgemäß konfiguriert und überprüft werden – ein Manipulationsschutz, der von einem lokalen Administrator außer Kraft gesetzt werden kann, bietet nur begrenzten Schutz vor einem Angreifer, der bereits eine Privilegienerweiterung erreicht hat. Regelmäßige Validierung durch Angreifersimulationen stellt sicher, dass der Manipulationsschutz wie vorgesehen funktioniert.