msimg32.dll Die Loader-Kette beendet mehr als 300 endpoint bei fast allen großen Anbietern, wodurch die endpoint Endpunkt-Erkennung zu einem Single Point of Failure wird.Ransomware schneller, unauffälliger und zerstörerischer als noch vor zwölf Monaten. Laut dem Bericht „M-Trends 2026“ von Mandiant ist die Zeitspanne vom ersten Zugriff bis zur Übernahme der Kontrolle über das System von mehr als acht Stunden im Jahr 2022 auf nur noch 22 Sekunden im Jahr 2025 geschrumpft. Gleichzeitig ergab der Data Breach Report 2025“ von Verizon, dass 44 % aller Sicherheitsverletzungen mittlerweile mit ransomware – ein Anstieg gegenüber 32 % im Vorjahr. Nicht Prävention allein, sondern die Erkennung entscheidet darüber, ob ein Vorfall zu einer 22-sekündigen Unannehmlichkeit oder zu einem mehrwöchigen Betriebsausfall wird. Dieser Leitfaden erklärt, was ransomware ist, welche vier Methoden Verteidiger kombinieren sollten, wie die Erkennung mit der MITRE ATT&CK zusammenhängt und warum der Aufstieg von BYOVD-EDR-Killern im Jahr 2026 ein Umdenken bei endpoint-Strategien erzwungen hat.
Ransomware versteht man die Identifizierung von ransomware – einschließlich Verschlüsselung, Datenexfiltration und den diesen Vorgängen vorausgehenden Verhaltensweisen – über Endgeräte, Netzwerke, Identitäten und cloud hinweg, damit Sicherheitsverantwortliche einen Angriff eindämmen können, bevor Angreifer ihr Ziel erreichen. Dies unterscheidet sich von ransomware , bei der versucht wird, einen Angriff von vornherein zu blockieren.
In der Praxis umfasst die Erkennung gleich drei Aufgabenbereiche. Erstens: das Aufspüren bekannter ransomware anhand von Signaturen. Zweitens: das Erkennen von Vorbereitungsmaßnahmen vor der Verschlüsselung – wie das Löschen von Schattenkopien, das Auslesen von Anmeldedaten, laterale Bewegungen und die Manipulation von Sicherheitsmaßnahmen –, bevor die Schadfunktion ausgelöst wird. Drittens: die Feststellung der Auswirkungen, wenn die Verschlüsselung oder der Diebstahl großer Datenmengen bereits im Gange ist. Moderne Programme betrachten die Erkennung als einen mehrschichtigen Prozess, da keine einzelne Telemetriequelle alle Phasen eines ransomware erfasst.
Die Angreifer haben ihr Tempo erhöht, und parallel dazu hat sich die wirtschaftliche Lage verschlechtert.
Das Muster ist eindeutig: Angreifer sind schneller, doch Verteidiger, die in mehrschichtige Erkennungsmaßnahmen investieren, können mehr Angriffe abwehren. Wie Vectra AI zeigen, begünstigt die Wirtschaftlichkeit von ransomware Schnelligkeit auf beiden Seiten – und der Unterschied zwischen einem Angreifer, der 22 Sekunden braucht, und einem Verteidiger, der 14 Tage benötigt, entscheidet über Erfolg oder Misserfolg der Erkennungsstrategie.
Die meisten ransomware bereits Tage vor der Verschlüsselung Verhaltensmerkmale. Das Beobachten der folgenden Indikatoren ist die effektivste Erkennungsmaßnahme, die ein SOC ergreifen kann:
vssadmin delete shadows oder entsprechende WMI-Elementerundll32oder msimg32.dll Verhalten des LadeprogrammsDiese Signale treten selten isoliert auf. Ein einzelner vssadmin-Befehl ist nicht aussagekräftig; derselbe Befehl in Verbindung mit einer neuen Anmeldung des Dienstkontos und einem sprunghaften Anstieg des SMB-Datenverkehrs ist jedoch ein sehr zuverlässiger Hinweis auf eine bevorstehende Verschlüsselung.
In den meisten gängigen Leitfäden werden drei Erkennungsmethoden behandelt. Dieser Ansatz ist jedoch überholt. Im Jahr 2026 umfasst ransomware wirksame ransomware vier Kategorien – Signatur, Verhalten, Netzwerkverkehr und Täuschung –, da keine einzelne Ebene alle Angreifer abfangen kann.
Die signaturbasierte Erkennung identifiziert ransomware sie Datei-Hashes, YARA-Regeln oder bekannte Codemuster mit einer Bedrohungsdatenbank abgleicht. Sie ist schnell, kostengünstig und wirksam gegen gängige Varianten – aber blind gegenüber neuen Varianten, polymorphem Code und dateilosen Payloads. Im Jahr 2026 gehören Signaturen als ergänzende Ebene in den Sicherheitsstack, nicht als primäre. Antivirenprogramme und endpoint der ersten Generation sind nach wie vor wertvoll, um bekannte Binärdateien schnell zu erkennen; allein reichen sie jedoch nicht aus.
Die verhaltensbasierte Erkennung beobachtet, was ein Prozess tut, nicht was er ist. Massive Dateiumbenennungen, Entropiespitzen in Verzeichnissen, das Löschen von Schattenkopien, Manipulationen an Gruppenrichtlinien und anomale Eltern-Kind-Prozessbäume sind allesamt Verhaltensmerkmale. Da die verhaltensbasierte Erkennung nicht davon abhängt, dass die Variante zuvor bereits erkannt wurde, erfasst sie auch neue Varianten, die von Signaturen übersehen werden.
Microsofts Bekanntgabe eines Falls von „Predictive Shielding“ im März 2026 ist aufschlussreich: Durch Verhaltensdaten wurde die Verschlüsselung auf rund 700 Geräten im Rahmen einer einzigen Kampagne unterbunden, wodurch etwa 97 % der Verschlüsselungsversuche innerhalb von drei Stunden nach dem ersten Signal blockiert wurden. Die Erkennung stützte sich auf beobachtete Vorgehensweisen und nicht auf Hash-Übereinstimmungen.
Die Netzwerkerkennung identifiziert ransomware des von ihr generierten Datenverkehrs: Command-and-Control-Beacons, laterale SMB- und RDP-Spitzen, DNS-Tunneling sowie ungewöhnlich hohe Volumina an ausgehenden Daten. Hier spielt die Netzwerkerkennung und -reaktion ihre Stärken voll aus. Netzwerk-Telemetrie ist besonders wertvoll, da sie außerhalb der endpoint operiert – ein Angreifer, der einen EDR-Agenten deaktiviert, kann die Pakete nicht verbergen, die der kompromittierte Host weiterhin sendet. Die Analyse der NDR-gestützten ransomware Vectra AI verdeutlicht, wie Netzwerksignale auch dann bestehen bleiben, wenn endpoint beeinträchtigt ist.
„Täuschung“ ist die Kategorie, die in den meisten Leitfäden für Wettbewerber aus dem Jahr 2026 unberücksichtigt bleibt, dabei ist sie oft die schnellste Erkennungsmethode. Canary-Dateien – also an überwachten Orten platzierte Köderdateien – lösen einen hochgradig zuverlässigen Alarm aus, sobald sie geöffnet, umbenannt oder verschlüsselt werden. Untersuchungen von Elastic Security Labs ransomware haben gezeigt, dass ransomware mithilfe von Canary-Dateien innerhalb von etwa 12 Sekunden erkannt wird – schneller als bei signatur- oder verhaltensbasierten Methoden.
Täuschungsmanöver sind kostengünstig, weisen eine geringe Falsch-Positiv-Rate auf und sind für Angreifer schwer zu erfassen, ohne sich dabei zu verraten. Eine einzige verschlüsselte Köderdatei reicht bereits aus, um sofortige Eindämmungsmaßnahmen zu rechtfertigen.
Die Erkennung ist am effektivsten, wenn sie auf die Phasen eines ransomware , die Cyber-Kill-Chain und die spezifischen MITRE ATT&CK Techniken, die Angreifer verwenden. Die folgende Tabelle ordnet sechs gängige Phasen den Technik-IDs, Erkennungssignalen und der am besten geeigneten Methode zu.
Die wichtigste Erkenntnis aus dieser Analyse: Verteidiger haben in der Regel mehrere Tage Zeit, um Anzeichen zu erkennen, bevor die Verschlüsselung greift – vorausgesetzt, sie beobachten die richtigen Ebenen. Eine Kampagne, die mit der Ausführung von PowerShell beginnt und endet mit T1486 Bei der Verschlüsselung kommen in der Regel drei oder vier dieser Techniken zum Einsatz. Die Erfassungsreichweite muss anhand der ATT&CK-Matrix bewertet werden, nicht anhand einer Checkliste von Tools.
Die Frage, mit der sich die meisten SOC-Leiter beschäftigen, lautet: In welche Tool-Kategorie sollten sie als Nächstes investieren? Die vier Hauptkategorien leisten jeweils einen unterschiedlichen Beitrag, und die richtige Antwort ist fast immer „mehrschichtig“ und nicht „eine der oben genannten“. Der folgende Vergleich beschreibt eher Funktionsklassen als konkrete Produkte.
Endpoint und ReaktionEndpoint bleibt für die Transparenz und Eindämmung auf Prozessebene unverzichtbar. Wenn Angreifer jedoch den endpoint deaktivieren – was im Jahr 2026 immer häufiger vorkommt –, bietet die Erkennung und Reaktion im Netzwerk die einzige Telemetrie, die vom Host aus nicht manipuliert werden kann. SIEM-Plattformen ermöglichen eine zentralisierte Protokollkorrelation, leiden jedoch häufig unter dem Problem der Alarmflut. Plattformen für erweiterte Erkennung und Reaktion verknüpfen diese Quellen mithilfe von Korrelationslogik, wodurch der Aufwand für die Triage reduziert wird.
ransomware grundlegend von der endpoint . Anstatt Dateien auf einem Endgerät zu verschlüsseln, ändern Angreifer die Schlüssel im Objektspeicher. Die Codefinger-Kampagne von 2025, die auf AWS S3 abzielte, missbrauchte beispielsweise die serverseitige SSE-C-Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln – der Angreifer hielt die Schlüssel in seiner Gewalt und forderte eine Zahlung für deren Rückgabe. Es wurde keine Datei im herkömmlichen Sinne „verschlüsselt“; das Opfer verlor lediglich den Zugriff auf seine eigenen Daten. Vectra AI eine Analyse zur Erkennung ransomware veröffentlicht, ransomware in cloud eindringt, sowie eine detaillierte Aufschlüsselung des ransomware .
Eine effektive cloud Erkennung überwacht die Steuerungsebene und nicht das Dateisystem:
Wie ransomware der Wiz Academy cloud ransomware zeigen, erfordertransomware die Integration von CloudTrail, Audit-Protokollen von Speicherdiensten und Identitäts-Telemetriedaten – ein Datenbestand, der sich grundlegend von dem endpoint unterscheidet.
Im April 2026 überschritt ransomware eine Schwelle, auf die sie sich bereits seit zwei Jahren zubewegt hatte. Es wurde beobachtet, dass Mitglieder der Qilin- und Warlock-Gruppen in freier Wildbahn eine bösartige msimg32.dll eine Loader-Kette, die anfällige signierte Treiber seitlich lädt – darunter rwdrv.sys (ThrottleStop) und hlpdrv.sys — um Kernel-Rechte zu erlangen und endpoint systematisch zu umgehen. Laut Erste Untersuchungen von Cisco Talos zum Qilin EDR-Killer, der Loader:
Das ist „Bring Your Own Vulnerable Driver“ (BYOVD) im großen Stil. Es handelt sich nicht mehr um einen Proof-of-Concept oder eine gezielte APT-Technik, sondern um gängige Vorgehensweisen, die im ransomware gebündelt sind. Die geschäftlichen Auswirkungen wurden Anfang 2026 durch den Qilin zugeschriebenen Angriff auf Covenant Health deutlich, bei dem Daten von 478.188 Patienten offengelegt, etwa 852 GB in 1,35 Millionen Dateien abgezogen und wochenlange klinische Abläufe auf Papierbasis erzwungen wurden.
Die Erkenntnis aus dieser Erkennungserfahrung ist eindeutig: Wenn ransomware mehr als 300 EDR-Treiber außer Gefecht setzen ransomware , stellt eine endpoint Erkennung keine mehrschichtige Verteidigung dar – sie ist vielmehr eine einzelne Schwachstelle. Die Analyse Vectra AI zur NDR-gesteuerten ransomware beschreibt dieselbe Dynamik: Ein Angreifer, der den Agenten außer Gefecht setzt, kann weder das Netzwerk, über das dieser kommuniziert, noch die Identitäten, mit denen er sich authentifiziert, noch die Canary-Dateien, die er verschlüsselt, außer Gefecht setzen. Erkennungsschichten, die außerhalb der endpoint operieren – Netzwerk-Erkennung und -Reaktion, Identitätsbedrohungserkennung und -reaktion sowie Täuschung – bleiben auch dann sichtbar, wenn der EDR-Agent stillsteht.
Wenn man die Erkennung nicht messen kann, kann man sie auch nicht verbessern. Vier Kennzahlen sind dabei am wichtigsten:
Der Vorfall bei Change Healthcare im Jahr 2024 ist nach wie vor die Fallstudie, die verdeutlicht, worum es wirklich geht. Eine im „JAMA Health Forum“ veröffentlichte wissenschaftliche Analyse dokumentierte, dass sich die Angreifer neun Tage lang auf einem Citrix-Portal ohne MFA aufhielten, bevor sie entdeckt wurden, und die Analyse von CSO Online nach dem Vorfall beziffert die Gesamtkosten auf über 1 Milliarde US-Dollar. Verteidiger, die anhand wöchentlicher Berichte gemessen werden, werden von Angreifern, die in Sekunden gemessen werden, überholt. Die Erkennungsfrequenz muss der Angriffsfrequenz entsprechen, und Incident-Response-Pläne müssen Zeitrahmen im Minutenbereich vorsehen, nicht im Stundenbereich.
Die Erkennung löst den regulatorischen Zeitplan aus. Sobald ein Vorfall bestätigt ist, beginnen die behördlichen Meldepflichten zu laufen – und in den meisten Regelwerken werden die Fristen in Stunden oder Tagen gemessen, nicht in Wochen. Die folgende Tabelle fasst die wichtigsten Verpflichtungen im Zusammenhang mit ransomware zusammen.
Da NIS2 den betroffenen Unternehmen nur 24 Stunden Zeit für die Einreichung einer ersten Meldung einräumt, muss der Übergang von der Erkennung zur Benachrichtigung der Rechtsabteilung, der Compliance-Abteilung und der Geschäftsleitung im Voraus einstudiert werden. Sowohl der CISA-Leitfaden #StopRansomware als auch das NIST-Cybersicherheits-Framework betrachten Workflows von der Erkennung bis zur Benachrichtigung als zentrale Programmanforderungen. Diese Tabelle dient lediglich der Information und stellt keine Rechtsberatung dar – konkrete Verpflichtungen hängen von der jeweiligen Rechtsordnung, der Branche und der Art der betroffenen Daten ab.
In den nächsten 12 bis 24 Monaten werden drei Trends ransomware von ransomware prägen.
BYOVD wird zum Standard, und endpoint Endpunkt-Stacks verlieren an Bedeutung. Der Qilin/Hexenmeister msimg32.dll Die „Loader Chain“ ist kein Einzelfall, sondern der Beginn einer Entwicklungskurve. Es ist davon auszugehen, dass bis 2026 weitere Partner diese Technik lizenzieren oder kopieren werden und dass Blocklisten für anfällige Treiber zu einer grundlegenden Sicherheitsanforderung werden, anstatt nur eine optionale Kontrollmaßnahme zu bleiben. Erkennungsprogramme, die sich auf einen einzigen endpoint stützen – ohne NDR-, ITDR- oder Deception-Maßnahmen als Absicherung –, sollten als unvollständig betrachtet werden.
ransomware cloud als größte cloud ransomware . Manipulationen an SSE-C, die Zerstörung von Snapshots und der Missbrauch von Verschlüsselungsschlüsseln in der Steuerungsebene erfordern Telemetriedaten, die die meisten Unternehmen noch nicht in nahezu Echtzeit erfassen. Zu den Investitionsschwerpunkten für 2026–2027 sollten cloud Verhaltensanalysen, die Erfassung von CloudTrail- und ähnlichen Audit-Protokollen sowie die kontoübergreifende Erkennung von Anomalien gehören.
Die Fristen für die Meldung von Vorfällen werden immer kürzer. Die Durchsetzung der NIS2-Richtlinie wird in den EU-Mitgliedstaaten verstärkt, die Vier-Werktage-Regel der SEC zur Wesentlichkeit führt weiterhin zu Durchsetzungsmaßnahmen, und mehrere US-Bundesstaaten arbeiten aktiv an Gesetzen zur Meldung ransomware, die sich an den Fristen im Gesundheitswesen orientieren. Unternehmen sollten in Tabletop-Übungen investieren, bei denen die 24-Stunden-Frist der NIS2 und die 72-Stunden-Frist der DSGVO durchgängig durchgespielt werden, und sich nicht nur auf das technische Eindämmungsszenario beschränken.
Vorrangige Vorbereitungsmaßnahmen: Überprüfen Sie Ihre Erfassungsreichweite anhand der obenstehenden ATT&CK-Kill-Chain-Tabelle, fügen Sie mindestens eine Schutzebene hinzu, die außerhalb der endpoint operiert, stellen Sie Canary-Dateien zumindest an den fünf wichtigsten Dateifreigabestandorten bereit und üben Sie den Übergang von der Erkennung zur Benachrichtigung vierteljährlich mit der Rechtsabteilung.
Der Wandel hin zu BYOVD im Jahr 2026 macht jede Strategie hinfällig, die sich auf eine einzige Quelle endpoint stützt. Eine mehrschichtige Erkennung – die Netzwerk-, Identitäts- und Täuschungssignale mit endpoint kombiniert endpoint ist die einzige Konfiguration, die weiterhin sichtbar bleibt, wenn Angreifer EDR-Agenten deaktivieren. Attack Signal Intelligence Vectra AI priorisiert Verhaltenssignale nach einer Kompromittierung sowohl bei der Netzwerk-Erkennung und -Reaktion als auch bei der Identitätsbedrohungserkennung und -reaktion und deckt so laterale Bewegungen, Privilegieneskalationen und Exfiltrationsverhalten auf, die BYOVD-Loader nicht verbergen können. ransomware effektive ransomware im Jahr 2026 erfordert Schichten, die auch dann noch bestehen bleiben, wenn der endpoint ausfällt.
Ransomware im Jahr 2026 ist ein ganz anderes Fachgebiet als noch vor einem Jahr. Angreifer agieren im 22-Sekunden-Takt; Partner mieten Toolkits in Industriequalität; BYOVD-Loader beenden Hunderte von endpoint mit einem einzigen Tastendruck. Die Verteidiger, die Schritt halten können, sind diejenigen, die aufgehört haben, die Erkennung als ein Problem zu betrachten, das mit einem einzigen Tool gelöst werden kann, und stattdessen begonnen haben, sie über vier Methoden – Signatur, Verhalten, Netzwerk und Täuschung – sowie über jede Telemetriequelle zu verteilen, die möglicherweise überlebt, wenn der endpoint ausfällt.
Der Weg nach vorn ist klar: Ordnen Sie Ihre Erkennungsreichweite der MITRE ATT&CK zu, fügen Sie mindestens eine Ebene außerhalb der endpoint hinzu, setzen Sie Täuschungsmaßnahmen dort ein, wo deren Einrichtung keine Kosten verursacht, und üben Sie den Übergang von der Erkennung zur Benachrichtigung, bevor die Frist der Aufsichtsbehörden zu laufen beginnt. Dass mittlerweile 47 % der Angriffe vor der Verschlüsselung gestoppt werden, ist kein Zufall – es ist der Lohn für Unternehmen, die frühzeitig investiert haben. Um tiefer in die Materie einzusteigen, sehen Sie sich die Arbeit Vectra AI zur threat hunting sowie Managed Detection and Response.
NDR analysiert den Netzwerkverkehr – sowohl in Nord-Süd- als auch in Ost-West-Richtung – mithilfe von Verhaltensanalysen und maschinellem Lernen, um Bedrohungen wie laterale Bewegungen, verschlüsselte Command-and-Control-Kommunikation und Angriffe auf nicht verwaltete Geräte zu erkennen. XDR korreliert Telemetriedaten über mehrere Domänen hinweg (endpoint, Netzwerk, cloud, Identitäten, E-Mail), um vollständige Angriffsketten zu rekonstruieren und Reaktionsabläufe zu vereinheitlichen. Einfach ausgedrückt: NDR ist ein Spezialist für Netzwerk-Telemetrie, XDR ist eine domänenübergreifende Korrelationsplattform. Sie arbeiten auf verschiedenen Ebenen einer modernen Erkennungsarchitektur und werden meist gemeinsam und nicht als Alternativen eingesetzt.
Nein. Gartners erster „Magic Quadrant“ für NDR aus dem Jahr 2025 bestätigte NDR als eigenständige und beständige Analystenkategorie, selbst als XDR-Plattformen ausgereifter wurden. Offene XDR-Architekturen integrieren zunehmend NDR-Lösungen von Drittanbietern als erstklassige Telemetriequelle, wodurch diese eher ergänzt als ersetzt werden. Die Kategorien erfüllen unterschiedliche Funktionen: NDR bietet spezialisierte Netzwerkerkennung, während XDR domänenübergreifende Korrelation ermöglicht. Unternehmen, die sie als Ersatz betrachten, erhalten in der Regel eine schwächere Netzwerkabdeckung, da generische XDR-Netzwerkmodule selten an die Tiefe dedizierter NDR-Lösungen heranreichen.
Oftmals ja – wenn Ihr SOC über eine ausgereifte EDR-Lösung verfügt und Ihre Architektur umfangreichen Ost-West-Datenverkehr, cloud und Identitätssysteme umfasst, ergänzen sich beide Lösungen. NDR schließt die Lücken im Netzwerk; XDR bietet die domänenübergreifende Korrelation, die isolierte Signale in Untersuchungen umwandelt. Für weniger ausgereifte SOCs oder kleinere Teams ist der Einstieg allein mit NDR oft der sinnvollere erste Schritt, da dies eine schnellere Amortisationszeit, einen geringeren Integrationsaufwand und sofortige Verbesserungen der Transparenz bietet. Bauen Sie auf beide Lösungen hin, sobald es die Reife und das Budget zulassen.
Entscheiden Sie sich zuerst für NDR, wenn der Ost-West-Datenverkehr eine kritische Schwachstelle darstellt, wenn nicht verwaltete oder IoT-/OT-Geräte in Ihrer Infrastruktur überwiegen, wenn die Alarmflut bereits ein großes Problem ist oder wenn Ihrem Team die technischen Kapazitäten für ein mehrmonatiges XDR-Integrationsprojekt fehlen. Das agentenlose Bereitstellungsmodell von NDR macht es zudem zur besseren Wahl, wenn die Koordination endpoint ein Hindernis darstellt. Im Gegensatz dazu ist XDR der bessere erste Schritt, wenn bereits endpoint ausgereifte endpoint vorhanden ist und die fehlende Fähigkeit eher die domänenübergreifende Korrelation als die Netzwerktransparenz ist.
Die Preise für NDR-Lösungen sind in der Regel pauschal und durchsatzbasiert, wobei eine agentenlose Bereitstellung sowohl die anfänglichen als auch die laufenden Integrationskosten senkt. Die Preisgestaltung für XDR variiert stark je nach Bundling-Modell des Anbieters – pro endpoint, pro Telemetriequelle oder pro Erfassungsvolumen – und Integrationsprojekte dauern bei nativen Plattformen in der Regel drei bis neun Monate, bei Open XDR noch länger. Wenn die Gesamtbetriebskosten über Lizenzierung, Bereitstellung, Personal und Integrationsentwicklung modelliert werden, bietet NDR in der Regel eine schnellere Amortisationszeit und eine besser vorhersehbare Kostenentwicklung. Der TCO-Vorteil von XDR, sofern vorhanden, ergibt sich aus der Konsolidierung mehrerer Spezialtools auf einer einzigen Plattform – ein Vorteil, dessen Realisierung eine ausgereifte Integration erfordert.
EDR (endpoint and Response) überwacht einzelne Endgeräte über installierte Agenten. NDR überwacht den Netzwerkverkehr agentenlos mithilfe von Verhaltensanalysen. XDR (Extended Detection and Response) korreliert Telemetriedaten aus endpoint, Netzwerk, cloud, Identitätsmanagement und E-Mail, um einheitliche Angriffsszenarien zu rekonstruieren. MDR (Managed Detection and Response) ist eher eine Dienstleistung als eine Technologiekategorie – ein externes Team übernimmt Ihre Erkennungs- und Reaktionsmaßnahmen, häufig unter Verwendung einer Kombination aus EDR-, NDR- und XDR-Tools. EDR, NDR und XDR beschreiben, was ein Tool leistet; MDR beschreibt, wer es betreibt.
Cloud and Response (CDR) ist ein aufstrebender Bereich, der sich speziell auf cloud Umgebungen konzentriert – er analysiert Ereignisse in cloud , Workload-Telemetrie, Containeraktivitäten und SaaS-Signale auf eine Weise, die weder generisches XDR noch herkömmliches lokales NDR vollständig abdecken. Für Unternehmen mit überwiegend cloud Workloads ist CDR eine berechtigte dritte Achse neben NDR (für hybride Netzwerktiefe) und XDR (für einheitliche Workflows). Es ist davon auszugehen, dass CDR mindestens bis 2027 eine eigenständige Kategorie bleiben wird, da sich cloud Angriffsmuster weiterhin von der endpoint Netzwerktelemetrie unterscheiden.
Nicht ganz. XDR konzentriert sich auf die Korrelation von Erkennung und Reaktion über eine definierte Reihe von Steuerungsebenen hinweg, während SIEM weiterhin die zentralisierte Ebene für die Protokollaggregation und die zur Einhaltung gesetzlicher Vorschriften erforderliche Aufbewahrung darstellt, wie sie von den meisten regulatorischen Rahmenwerken verlangt wird. Moderne Architekturen setzen in der Regel beides ein: XDR übernimmt hochpräzise Erkennungs- und Reaktionsworkflows, während SIEM die umfassendere Protokollaggregation, langfristige Aufbewahrung und die Funktionen zur Nachverfolgung von Prüfpfaden bereitstellt, die gemäß den Cyber-Offenlegungsvorschriften von NIS2, HIPAA, DORA und der SEC erforderlich sind. Die Darstellung von XDR als SIEM-Ersatz spiegelt in der Regel eher Marketingzwecke als die operative Realität wider.
Die SOC-Transparenz-Triade ist eine Referenzarchitektur, die Netzwerküberwachung, endpoint und Protokollaggregation kombiniert, um eine umfassende Abdeckung der drei Telemetriequellen zu gewährleisten, auf die Angreifer zugreifen müssen. Architekturmuster und Überlegungen zur Bereitstellung finden Sie im Leitfaden zur SOC-Transparenz-Triade. Das Triaden-Konzept bleibt auch im Jahr 2026 relevant, wird jedoch zunehmend durch XDR-Korrelation und – an vorderster Front – durch agentenbasierte SOC-Orchestrierung ergänzt.
Die größten Nachteile von XDR sind Unklarheiten bei der Definition, das Risiko der Anbieterabhängigkeit bei nativen Architekturen und der hohe Integrationsaufwand bei offenen Architekturen. Branchenanalysten haben davor gewarnt, dass viele als XDR vermarktete Produkte lediglich umgestaltete EDR- oder SIEM-Plattformen sind, die nur über begrenzte echte domänenübergreifende Korrelationsfunktionen verfügen. Ein weiteres Hindernis ist der Fachkräftemangel – rund 47 % der Unternehmen geben an, dass ihnen das erforderliche SecOps-Fachwissen für den Betrieb komplexer Erkennungsplattformen fehlt. Käufer sollten konkrete Nachweise für die Korrelation aus mehreren Quellen, eine klare Datenontologie und offene APIs verlangen, anstatt Kategoriebezeichnungen für bare Münze zu nehmen.