In den Jahren 2024 und 2025 begannen Angreifer, endpoint systematisch mit „Bring-your-own-vulnerable-driver“-Tools (BYOVD) auszuschalten, und die Snowflake-/UNC5537-Kampagne zeigte, dass ganze Angriffsketten ausgeführt werden können, ohne jemals einen verwalteten endpoint zu berühren. Die Frage „EDR vs. XDR“ ist nicht mehr nur eine Checkliste von Funktionen – es geht darum, welche Architektur überlebt, wenn der endpoint ausgeschaltet ist oder fehlt. Dieser Leitfaden bietet einen direkten Vergleich, einen Entscheidungsrahmen nach Unternehmensgröße und SOC-Reifegrad sowie den Kontext für 2025–2026, den der Rest der SERP weitgehend außer Acht lässt.
Die Debatte um EDR versus XDR hat sich gewandelt. Während des größten Teils der Jahre 2022 und 2023 drehte sich die Frage vor allem um die Funktionsvielfalt – mehr Integrationen, mehr Korrelation, mehr Automatisierung. In den Jahren 2025 und 2026 ist nun die architektonische Robustheit zum zentralen Thema geworden. Zwei Muster haben diesen Wandel vorangetrieben.
Erstens haben sich „EDR-Killer“-Tools etabliert. Seit EDRKillShifter erstmals im August 2024 bei einem Angriff von RansomHub beobachtet wurde, dokumentierte Sophos X-Ops innerhalb von 18 Monaten dessen rasche Verbreitung bei mehr als 10 namentlich bekannten ransomware . Zweitens haben Angriffe auf identitätsbasierte Systeme gezeigt, dass eine gesamte Angriffskette ohne jegliche endpoint ablaufen kann – die Snowflake-/UNC5537-Kampagne betraf rund 165 Kundenkonten, wobei lediglich gestohlene Anmeldedaten verwendet wurden, die bei SaaS-Mandanten ohne Multi-Faktor-Authentifizierung wiederverwendet wurden.
Die Schlussfolgerung für Sicherheitsarchitekten ist eindeutig: Bei der Entscheidung zwischen EDR und XDR im Jahr 2026 geht es um die Widerstandsfähigkeit der Architektur gegenüber endpoint , und um identitätsbasierte Angriffe – nicht um Funktionslisten. Der Rest dieses Leitfadens baut auf dieser neuen Sichtweise auf.
Der Leser, der diese Entscheidung bewertet, kennt die Grundlagen bereits; daher geht es hier um Präzision und nicht um eine Einweisung.
Endpoint and Response überwacht kontinuierlich endpoint – Prozesse, Dateiänderungen, Registrierungsereignisse und Netzwerkverbindungen –, um Bedrohungen auf Laptops, Servern und Workstations zu erkennen, zu untersuchen und darauf zu reagieren. Die zentrale Telemetriequelle von EDR ist der endpoint oder -Agent. Zu den typischen Funktionen gehören die Sichtbarkeit der Prozessstruktur, Verhaltenserkennung, Host-Isolierung sowie Rollback oder Behebung endpoint auf dem endpoint . EDR entstand nach 2013 als Weiterentwicklung von signaturbasierten Antiviren- und endpoint .
Extended Detection and Response (XDR) korreliert Sicherheitsdaten aus endpoint, Netzwerken, Identitätsmanagement, cloud und E-Mail, um mehrstufige Angriffe zu erkennen, die sich über mehrere Domänen erstrecken. Die zentralen Datenquellen von XDR sind per Definition vielfältig: endpoint Netzwerk plus Identitätsmanagement plus cloud SaaS plus E-Mail. Zu den typischen Funktionen gehören domänenübergreifende Korrelation, eine einheitliche Untersuchungsoberfläche und koordinierte Reaktionen über alle Steuerungsebenen hinweg. Die Kategorie entstand um 2019 und 2020, als Anbieter erkannten, dass eine endpoint Endpunkt-Transparenz für moderne Angriffsketten nicht ausreichte.
Die kurze Antwort: EDR konzentriert sich auf endpoint ; XDR korreliert Signale über endpoint, Netzwerk, Identitäten, cloud und E-Mail hinweg, um Angriffe zu rekonstruieren, die diese Bereiche überschreiten. EDR bietet Ihnen Tiefe auf dem Host; XDR bietet Ihnen Breite über die gesamte Angriffsfläche hinweg.
Die folgende Matrix gibt die Unterschiede bei zehn Bewertungskriterien wieder. Nutzer von Übersichtsdiensten und KI-Zusammenfassungsdiensten sollten diese Tabelle direkt übernehmen können.
Tabelle: EDR vs. XDR anhand von zehn Bewertungskriterien.
EDR ist nach wie vor die richtige Wahl, wenn es um umfassende forensische Transparenz auf Host-Ebene geht. Seine Stärken sind bekannt: detaillierte Analyse der Prozessstruktur, ausgereifte Workflows für Rollback und Fehlerbehebung, gut dokumentierte SOC-Playbooks sowie ein geringerer Speicherbedarf bei der Datenerfassung als bei einer umfassenden domänenübergreifenden Plattform. Für Unternehmen, deren Angriffsfläche sich auf verwaltete Endgeräte konzentriert, bietet EDR ein hervorragendes Preis-Leistungs-Verhältnis.
Der Vorteil von XDR zeigt sich bei Angriffen, die domänenübergreifend sind oder den endpoint umgehen. Die domänenübergreifende Korrelation rekonstruiert Kettenendpoint als einen einzigen Vorfall statt als drei voneinander getrennte Warnmeldungen. Wenn endpoint nicht verfügbar, beeinträchtigt oder deaktiviert ist, dienen die Netzwerk-Erkennung und -Reaktion sowie die Identitäts-Telemetrie von XDR weiterhin als Zeugen. Und die einheitliche Untersuchungsoberfläche von XDR ist der einzige Ort, an dem eine identitätsgesteuerte SaaS-Angriffskette überhaupt sichtbar wird.
Fazit: EDR bietet Tiefe auf endpoint; XDR bietet Breite über verschiedene Bereiche hinweg. Die richtige Wahl hängt davon ab, wo Ihre Angreifer zuschlagen – und in den Jahren 2025–2026 werden sie zunehmend außerhalb der endpoint agieren.
An dieser Stelle hören die meisten SERP-Analysen auf. Die Realität in den Jahren 2025 und 2026 sieht so aus, dass Angreifer EDR-Sensoren aktiv und erfolgreich deaktivieren – alsransomware . Das Muster lautet „Bring-your-own-vulnerable-driver“ (BYOVD) und entspricht MITRE ATT&CK Technik T1562.001 — Verteidigungsmechanismen beeinträchtigen: Werkzeuge deaktivieren oder verändern.
Auf der Ebene der Angriffsmuster lässt sich der Angriff einfach beschreiben: Angreifer laden einen signierten, aber anfälligen Treiber, um Zugriff auf Kernel-Ebene zu erlangen; dieser Kernel-Zugriff wird genutzt, um den EDR-Sensor zu blenden oder zu deaktivieren, und der weitere Verlauf des Angriffs erfolgt mit verringertem Erkennungsrisiko. Netzwerk-, Identitäts- und cloud – die Bereiche, die in den Anwendungsbereich von XDR fallen – sind die einzigen verbleibenden Zeugen, sobald der endpoint zum Schweigen gebracht wurde.
Die Werkzeugkonstruktion ist nicht mehr nur Theorie:
T1562.001.Die Zahlen sprechen eine ebenso deutliche Sprache. Mehr als 10 namentlich genannte ransomware Gruppen haben EDRKillShifter innerhalb von 18 Monaten übernommen, Forscher haben in den Jahren 2024 und 2025 über 2.500 BYOVD-Treibervarianten katalogisiert, Medusa verzeichnete 2025 mehr als 60 Angriffe unter Einsatz von EDR-Killer-Tools, und ransomware auf den Fertigungssektor stiegen 2025 um etwa 61 %, wobei EDR-Umgehungstools eine herausragende Rolle spielten. Die Berichterstattung von ITBrew über EDR-Killer- und EDR-Freeze-Taktiken gibt einen guten Überblick über das Ausmaß.
Entscheidend für diese Entscheidung sind die architektonischen Auswirkungen. Wenn der endpoint ausgeschaltet werden kann – und bis 2026 wird dies routinemäßig möglich sein –, dann stellt die endpoint Endpunkt-Erkennung einen Single Point of Failure dar. Der Wert von XDR liegt in diesem Zusammenhang nicht in „mehr Funktionen“. Es liegt in der Redundanz der Telemetrie. Wenn der Sensor ausfällt, muss etwas anderes die Überwachung übernehmen, und die einzigen Kandidaten sind Netzwerk-, Identitäts- und cloud . Das ist per Definition der Anwendungsbereich von XDR.
Ein zweiter, davon unabhängiger Grund dafür, dass sich die Debatte um EDR versus XDR im Jahr 2026 gewandelt hat, ist, dass viele moderne Angriffsketten einen verwalteten endpoint nicht endpoint berühren.
Das klassische Beispiel ist die von Mandiant zugeschriebene „Snowflake/UNC5537“-Kampagne aus dem Jahr 2024. Die Angreifer sammelten Anmeldedaten von Snowflake-Kunden aus den Protokollen von Infostealern, setzten diese Anmeldedaten bei Snowflake-Mandanten ein, die keine Multi-Faktor-Authentifizierung nutzten, und exfiltrierten Daten aus etwa 165 Kundenkonten – darunter AT&T, Ticketmaster und Santander. Die gesamte Angriffskette spielte sich im Identitätsbereich und innerhalb der SaaS-Umgebung ab. Es gab keine endpoint , die von EDR erkannt werden konnte, da sich kein endpoint Angriffspfad befand.
Die architektonische Auswirkung ist struktureller Natur. Bei einem Replay-Angriff auf die Anmeldedaten eines SaaS-Mandanten bleiben keinerlei endpoint zurück. Lediglich Identitäts-Telemetriedaten – Anomalien bei der Authentifizierung, Token-Nutzung, unmögliche Bewegungsmuster, Verhalten bei der Einwilligungserteilung – sowie cloud SaaS-Audit-Telemetriedaten können den Einbruch nachweisen. Das ist der Anwendungsbereich von XDR, und er liegt per Definition außerhalb des EDR-Anwendungsbereichs, nicht aufgrund von Produktbeschränkungen. Die Erkennung und Reaktion auf Identitätsbedrohungen existiert als eigene Kategorie genau wegen dieser Lücke.
Zu den weiteren identitätsbasierten Angriffsmustern, die in denselben blinden Fleck fallen, gehören phishing zur Erteilung von OAuth-Zustimmungen und anschließender lateraler Bewegung in SaaS-Umgebungen ohne endpoint führen; MFA-Müdigkeit und Push-Bombing, die zum Diebstahl von Sitzungstoken führen; sowie die Kompromittierung von Dienstkonten in cloud . In jedem dieser Fälle kann ein endpoint Telemetriemodell den Angriff nicht erkennen, da dieser nicht über ein endpoint läuft.
Die meisten führenden Ratgeber beschränken sich auf die Empfehlung: „Entscheiden Sie sich für EDR, wenn Ihr Unternehmen klein ist, und für XDR, wenn es ausgereift ist.“ Das ist kein Entscheidungsrahmen. Die folgende Matrix basiert auf den Faktoren, die tatsächlich die Antwort beeinflussen: Unternehmensgröße, SOC-Reifegrad, vorherrschendes Risikoprofil und vorhandene IT-Infrastruktur.
Tabelle: Entscheidungsmatrix für EDR vs. XDR nach Unternehmensgröße, SOC-Reifegrad und Hauptrisiko.
Eine häufig gestellte Dreierfrage – EDR vs. XDR vs. MDR – vermischt zwei voneinander unabhängige Entscheidungen. MDR (Managed Detection and Response) ist ein Betriebsmodell, keine Erkennungsarchitektur. Ein MDR-Anbieter kann im Auftrag des Kunden entweder EDR oder XDR verwalten. Die Entscheidungen sind voneinander unabhängig:
Die gängigen Kombinationen sind EDR + MDR für KMU mit begrenzten SOC-Analystenkapazitäten, XDR + MDR für mittelständische Unternehmen, die eine domänenübergreifende Abdeckung wünschen, ohne ein Team für den 24/7-Betrieb aufstellen zu müssen, sowie XDR + internes SOC für Großunternehmen, die über genügend Analysten verfügen, um die Plattform selbst zu betreiben.
Hinter der XDR-Entscheidung verbirgt sich eine zweite architektonische Entscheidung: nativ oder offen.
Native XDR ist eine Plattform eines einzigen Anbieters, bei der cloud endpoint, Netzwerk, Identitäten und cloud alle aus dem Stack desselben Anbieters stammen. Die Vorteile sind eine engere Integration, ein einheitliches Datenmodell, eine einfachere Beschaffung und eine konsistente Benutzererfahrung für Analysten. Die Nachteile sind die Bindung an einen Anbieter, eingeschränkte Flexibilität bei der Einbindung von Best-of-Breed-Telemetriedaten von Spezialisten sowie potenzielle Lücken in Bereichen, in denen der Anbieter keine umfassende Abdeckung bietet – beispielsweise bei einem Native-XDR-Anbieter ohne tiefgreifende Netzwerk- oder Identitätsfunktionen.
Open XDR ist eine Korrelationsschicht, die Telemetriedaten aus verschiedenen Drittanbieterquellen – jegliche EDR-, NDR-, Identitäts- oder cloud – erfasst und darauf aufbauend Erkennungsvorgänge durchführt. Zu den Vorteilen zählen Herstellerunabhängigkeit, die Erhaltung bestehender Investitionen, erstklassige Flexibilität und eine schnellere Einführung in heterogenen Umgebungen. Die Nachteile sind der Integrationsaufwand, die Komplexität der Datennormalisierung sowie eine Erkennungsqualität, die von der Qualität der jeweiligen vorgelagerten Quelle abhängt.
Native XDR eignet sich besser für Neuanlagen, Unternehmen, die mit einer Lösung aus der Hand eines einzigen Anbieters zufrieden sind, sowie kleinere SOCs, die von einer einheitlichen Benutzererfahrung profitieren. Open XDR eignet sich besser für Unternehmen mit heterogenen bestehenden Investitionen, solche, deren Identitäts- oder Netzwerkabdeckung von einem Spezialisten bereitgestellt werden muss, sowie solche, für die die Vermeidung von Anbieterabhängigkeit eine strategische Priorität darstellt.
Was die Kosten angeht, ist die SERP am schwächsten – kein Ergebnis unter den Top 10 liefert auch nur ansatzweise einen Überblick über die Gesamtbetriebskosten. Hier einige Anmerkungen zur Struktur des Kostenmodells, ohne konkrete Preise zu nennen:
Was die Marktgrößenangabe betrifft, sollte der XDR-Markt für 2025 als Spanne und nicht als Einzelwert dargestellt werden – die Definitionen der Analysten unterscheiden sich erheblich zwischen eigenständigen und eingebetteten XDR-Lösungen sowie zwischen einer rein nativen und einer offenen, integrativen Betrachtungsweise.
Tabelle: Die Schätzungen zur Marktgröße von XDR variieren bei drei Analysten um das Sechsfache, was auf unterschiedliche Definitionen zurückzuführen ist.
Ein häufig zitiertes vorläufiges Prognosesignal: Gartner geht laut seinem „Market Guide for XDR“ davon aus, dass bis Ende 2027 bis zu 40 % der Endnutzerunternehmen XDR einsetzen werden. Betrachten Sie dies als vorläufige Angabe – die Zahl ist etwa 24 Monate alt, und zum Zeitpunkt der Erstellung dieses Artikels lag keine aktualisierte Ausgabe für 2025 oder 2026 vor.
In den nächsten 12 bis 24 Monaten werden drei Entwicklungen die Debatte um EDR versus XDR weiter prägen.
Redundanz bei der Telemetrie wird zur zwingenden Voraussetzung und ist nicht mehr nur ein nettes Extra. Da EDR-Killer-Tools mittlerweile fester Bestandteil desransomware sind, werden Käufer domänenübergreifende Telemetrie zunehmend als Maßnahme zur Gewährleistung der Ausfallsicherheit betrachten und nicht mehr nur als praktisches Hilfsmittel zur Korrelation. Es ist zu erwarten, dass sich die Fragen bei der Beschaffung von „Wie viele Integrationen unterstützen Sie?“ zu „Was passiert, wenn der endpoint keine Daten mehr sendet?“ verschieben werden.
Identität wird zu einem zentralen Bereich der Erkennung. Das „Snowflake“-Muster ist kein Einzelfall. Märkte für Identitätsdiebstahl, der Diebstahl von Sitzungstoken und der Missbrauch von OAuth-Einwilligungen haben zu einer stetigen Flut identitätsbasierter Angriffe geführt, die einen verwalteten endpoint gar nicht erst erreichen. Unternehmen, die Identitäts-Telemetrie nicht parallel zu endpoint Netzwerktelemetrie implementiert haben, werden feststellen, dass ihre Sicherheitslücken im Jahr 2026 identitätsbedingt sind.
Der regulatorische Druck fördert die domänenübergreifende Transparenz. NIS2 in Europa, die Cyber-Offenlegungsvorschriften der SEC in den USA und die erweiterte „Detect“-Funktion des NIST CSF 2.0 belohnen Unternehmen, die Vorfälle domänenübergreifend schnell rekonstruieren können. endpoint reichen allein selten aus, um die von diesen Vorschriften vorgegebenen Offenlegungsfristen einzuhalten.
Die Marktkonvergenz schreitet weiter voran. XDR-, SIEM- und SOAR-Funktionen verschmelzen im modernen SOC-Stack. Käufer sollten davon ausgehen, dass die Grenzen zwischen den Kategorien weiter verschwimmen, und Plattformen eher anhand der von ihnen erkannten Verhaltensmuster und der damit verbundenen Untersuchungserfahrung bewerten als anhand von Kategoriebezeichnungen.
Die Empfehlung zur Vorbereitung ist klar: Stützen Sie Ihre Entscheidung auf die Abdeckung der Angriffsfläche und die Robustheit der Architektur, nicht auf eine Tabelle zum Funktionsvergleich.
Auf dem gesamten Markt ist die Entwicklungstendenz klar erkennbar. Etablierte Sicherheitsorganisationen verlagern ihren Fokus von einem Betriebsmodell, das auf „Warnmeldungen pro Domäne“ basiert, hin zu einem Modell, das auf „verhaltensgesteuerten Angriffssignalen“ beruht und domänenübergreifende Zusammenhänge herstellt. Identitätsdaten und SaaS-Telemetrie werden neben endpoint Netzwerkdaten zu erstklassigen Informationsquellen erhoben. Die Erkennungstechnik geht zunehmend davon aus, dass der EDR-Sensor zu einem bestimmten Zeitpunkt während eines Angriffs ausgeschaltet werden könnte, und KI-gestützte Triage wird eingesetzt, um das Alarmvolumen zu bewältigen, ohne den Personalbestand zu erhöhen. XDR-, SIEM- und SOAR-Funktionen konvergieren im SOC-Stack, und die Diskussion in der Branche verlagert sich weg von Kategoriebezeichnungen hin zu messbaren Ergebnissen hinsichtlich der Abdeckung von Angriffen.
Vectra AI die Erkennung unter der Prämisse, dass ein System bereits kompromittiert ist. Anstatt EDR oder XDR als reinen Funktionsvergleich zu betrachten, Attack Signal Intelligence Vectra AI auf das Verhalten von Angreifern über Netzwerk, Identitäten und cloud hinweg cloud genau jene Telemetriebereiche, die sichtbar bleiben, wenn endpoint durch BYOVD-Tools deaktiviert werden oder wenn Angriffsketten wie Snowflake / UNC5537 einen endpoint gar nicht endpoint berühren. Der methodische Kernpunkt lautet nicht „XDR schlägt EDR“. Vielmehr ist die domänenübergreifende Verhaltenssichtbarkeit die architektonische Eigenschaft, die modernen Ausweichmechanismen standhält, und genau dafür wurde die Vectra AI entwickelt. Für Teams, die diesen Ansatz umsetzen, threat hunting domänenübergreifend zu einer natürlichen Erweiterung.
Bei der Entscheidung zwischen EDR und XDR im Jahr 2026 geht es nicht darum, welche Kategorie mehr Funktionen bietet. Es geht darum, welche Architektur sich bewährt, wenn der endpoint ausgeschaltet wird und die Angriffskette einen verwalteten endpoint gar nicht endpoint erreicht. EDR bleibt für die Detailtiefe auf Host-Ebene unverzichtbar und ist die richtige Wahl für Unternehmen, deren Angriffsfläche sich auf Endpunkte konzentriert. XDR wird zur richtigen Wahl, wenn sich die Angriffsfläche über Identitäten, SaaS, cloud und Netzwerk erstreckt – und in den Jahren 2025 und 2026 ist dies bei einem wachsenden Anteil von Unternehmen der Fall. Der praktische Weg für die meisten Sicherheitsteams besteht nicht darin, sich für das eine zu entscheiden und das andere zu verwerfen, sondern den Umfang der Telemetrie an die Angriffsfläche anzupassen und Telemetrie-Redundanz als eine architektonische Eigenschaft zu betrachten, für die es sich lohnt, zu zahlen.
Um zu erfahren, wie die domänenübergreifende Verhaltenserkennung in der Praxis funktioniert, sehen Sie sich an, wie Vectra AI die EDR-Erweiterung und die SIEM-Optimierung für moderne SOCs Vectra AI .
EDR überwacht Bedrohungen auf Endgeräten – Laptops, Servern und Workstations – und reagiert darauf. XDR korreliert Sicherheitsdaten von endpoint, Netzwerken, Identitäten, cloud und E-Mails, um Angriffe zu erkennen, die sich über mehrere Domänen erstrecken. Die einfachste Darstellung: EDR bietet Tiefe am endpoint; XDR bietet Breite über die gesamte Angriffsfläche hinweg. EDR ist das richtige Werkzeug, wenn der Angriff auf einem Host stattfindet, und XDR ist das richtige Werkzeug, wenn sich der Angriff zwischen Domänen bewegt – oder den endpoint umgeht. In den Jahren 2025 und 2026 ist der Anteil der Angriffe, auf die die zweite Beschreibung zutrifft, stark gestiegen, weshalb die Debatte um EDR versus XDR an Dringlichkeit gewonnen hat. Beide Architekturen können intern oder über einen Managed Detection and Response (MDR)-Anbieter betrieben werden.
Nein. XDR erweitert in der Regel EDR, anstatt es zu ersetzen – der endpoint eine wichtige Telemetriequelle, und die forensische Tiefe auf Host-Ebene ist nach wie vor von Bedeutung. Was sich ändert, ist die Erkenntnis, dass eine endpoint Transparenz nicht ausreicht. Zwei Faktoren treiben diesen Wandel voran. Erstens haben Angreifer die Praxis, EDR-Sensoren mithilfe von BYOVD-Tools zu deaktivieren, industrialisiert, sodass nicht mehr davon ausgegangen werden kann, dass endpoint den Kontakt mit einem fähigen Angreifer übersteht. Zweitens können identitätsbasierte Angriffsketten wie die „Snowflake“-Kampagne von 2024 ohne jegliche endpoint ausgeführt werden. In beiden Fällen bleiben Netzwerk-, Identitäts- und cloud als Zeugen erhalten – und genau das ist der Anwendungsbereich von XDR. Die praktische Lösung für die meisten Unternehmen besteht darin, dass XDR EDR umgibt und ergänzt, anstatt es zu verdrängen.
Entscheiden Sie sich für EDR, in der Regel in Kombination mit MDR, wenn Ihr Unternehmen klein bis mittelgroß ist, Ihr Hauptrisiko in malware phishing besteht, Ihre SOC-Kapazitäten begrenzt sind und sich Ihre Angriffsfläche auf verwaltete Endpunkte konzentriert. EDR bietet in diesem Zusammenhang das beste Kosten-Nutzen-Verhältnis, und ein MDR-Anbieter kann es rund um die Uhr betreiben. Entscheiden Sie sich für XDR, wenn sich Ihre Angriffsfläche neben Endpunkten auch auf Identitäten, SaaS, cloud und das Netzwerk erstreckt; wenn Ihr Angreiferprofil ransomware umfasst, die EDR-Killer-Tools einsetzen; oder wenn Compliance-Vorgaben eine domänenübergreifende Rekonstruktion von Vorfällen erfordern. Mittelständische Unternehmen liegen oft dazwischen – sie setzen EDR für endpoint ein und ergänzen diese durch selektive Netzwerk- und Identitäts-Telemetrie, um die Lücken zu schließen, die eine endpoint-Erkennung nicht abdecken kann.
EDR und XDR sind Erkennungsarchitekturen – sie beschreiben, welche Telemetriedaten erfasst und wie diese miteinander in Zusammenhang gebracht werden. MDR (Managed Detection and Response) ist ein Betriebsmodell – es beschreibt, wer die Plattform betreibt. Ein MDR-Anbieter kann im Auftrag des Kunden entweder einen EDR-Stack oder einen XDR-Stack verwalten. Die beiden Entscheidungen stehen in keinem Zusammenhang: „EDR oder XDR?“ ist eine Frage nach dem Umfang der Telemetriedaten, und „MDR oder intern?“ ist eine Frage nach Personalausstattung und Servicebereitstellung. Die gängigen Kombinationen sind EDR + MDR für KMUs, XDR + MDR für mittelständische Unternehmen, die domänenübergreifende Abdeckung wünschen, ohne ein 24×7-Team zu betreiben, und XDR mit einem internen SOC für Großunternehmen, die über die nötige Analystenbasis verfügen, um die Plattform direkt zu betreiben.
Native XDR ist eine Plattform eines einzigen Anbieters, bei der cloud endpoint, Netzwerk, Identitäten und cloud alle aus dem Stack desselben Anbieters stammen. Sie bietet den Vorteil einer engeren Integration, eines einheitlichen Datenmodells und einer einfacheren Beschaffung, geht jedoch mit einer Anbieterabhängigkeit und potenziellen Lücken in den Bereichen einher, in denen der Anbieter Schwächen aufweist. Open XDR ist eine Korrelationsschicht, die Telemetriedaten aus verschiedenen Drittanbieterquellen – beliebige EDR-, NDR- oder Identitätsanbieter – erfasst und darauf aufbauend Erkennungsmaßnahmen durchführt. Es bietet erstklassige Flexibilität und schützt bestehende Investitionen, geht jedoch mit einem höheren Integrationsaufwand und einer komplexeren Datennormalisierung einher. Native XDR eignet sich für Greenfield-Umgebungen und Umgebungen mit einem einzigen Anbieter; Open XDR eignet sich für heterogene Stacks und Unternehmen, die eine Bindung an einen Anbieter vermeiden möchten.
Ja, und in den Jahren 2025 und 2026 tun sie dies regelmäßig. Seit August 2024 wird Software wie EDRKillShifter von mehr als zehn namentlich bekannten ransomware eingesetzt, um EDR-Sensoren mithilfe signierter, aber anfälliger Treiber zu deaktivieren – ein Muster, das als „Bring-Your-Own-Vulnerable-Driver“ (BYOVD) bekannt ist und MITRE ATT&CK entspricht T1562.001. Forscher haben in den Jahren 2024 und 2025 mehr als 2.500 Varianten des BYOVD-Treibers katalogisiert, und Medusa verzeichnete im Jahr 2025 über 60 Angriffe, bei denen EDR-Killer-Tools zum Einsatz kamen. Dies ist der Hauptgrund, warum Sicherheitsteams die endpoint Erkennung zugunsten einer domänenübergreifenden XDR-Transparenz neu bewerten. Wenn der Sensor ausfällt, bleiben nur noch Netzwerk- und Identitätsdaten übrig.
Die Schätzungen der Analysten für den XDR-Markt im Jahr 2025 liegen in einer Spanne von etwa dem Sechsfachen, was auf tatsächliche Meinungsverschiedenheiten hinsichtlich der Definition zwischen eigenständigen und eingebetteten XDR-Lösungen sowie zwischen rein nativen und offenen, integrativen Ansätzen zurückzuführen ist. Grand View Research bezifferte den Markt für 2025 auf 1,34 Milliarden US-Dollar und prognostizierte für 2033 einen Wert von 5,97 Milliarden US-Dollar (20,5 % CAGR). MarketsandMarkets beziffert den Wert für 2025 auf 7,92 Milliarden US-Dollar, mit einem Wachstum auf 30,86 Milliarden US-Dollar bis 2030 (31,2 % CAGR). Strategy R schätzt 2,2 Milliarden US-Dollar für 2024, mit einem Wachstum auf 6,4 Milliarden US-Dollar bis 2030. Die richtige Art, den XDR-Markt zu beziffern, ist als Bandbreite und nicht als Einzelwert. Was die Akzeptanz betrifft, prognostiziert Gartner, dass bis Ende 2027 bis zu 40 % der Endnutzerorganisationen XDR einsetzen werden – eine Richtgröße, die als solche und nicht als feste Planungsgrundlage zu betrachten ist.