EDR vs XDR vs MDR: Welche Auswahl wann passt (Matrix 2026)

Definitionen sauber halten

EDR (Endpoint Detection and Response): Agent auf Endpunkten, lokale Detektion, Telemetrie an Zentralkonsole, Eindämmungs-Aktionen. Produkte: CrowdStrike Falcon Insight, SentinelOne, Microsoft Defender for Endpoint Plan 2, Sophos Intercept X.

XDR (Extended Detection and Response): Korrelation über mehrere Telemetrie-Schichten (Endpunkt, E-Mail, Cloud, Identität, Netzwerk). Plattform-Logik statt isolierter Sensoren. Produkte: Microsoft Defender XDR, Palo Alto Cortex XDR, SentinelOne Singularity, CrowdStrike Falcon Complete (mit MDR), Trellix, Trend Micro Vision One.

MDR (Managed Detection and Response): Service, der die operative Detektion und Reaktion für den Kunden übernimmt. 24/7 SOC, Threat Hunting, Incident Response. Produkte: CrowdStrike Falcon Complete, Arctic Wolf, eSentire, Sophos MDR, Red Canary, deutsche Anbieter (HiSolutions, Indevis, etc.).

Achse 1: SOC-Reife

Reifegrad niedrig (kein eigenes SOC, <2 FTE Sicherheitsbetrieb): MDR ist der Default. Eigenes XDR-Werkzeug zu betreiben führt zu Alerts ohne Reaktion.

Reifegrad mittel (kleines SOC, 2-5 FTE, ggf. 8x5 statt 24/7): XDR-Plattform plus Co-Managed MDR für 24/7-Abdeckung.

Reifegrad hoch (eigenes 24/7 SOC, Threat Hunter, eigene Detection-Engineering): XDR plattformseitig, SIEM mit Detection-as-Code, optional spezialisierte MDR für Identity- oder OT-Bereich.

Achse 2: Compliance-Last

NIS2 Art. 21 (a, b, e, h): erwartet eine wirksame Detektions- und Reaktions-Fähigkeit. Pure Antivirus-Lösung reicht nicht. EDR ist Mindeststandard, XDR oder MDR ist defensibel.

DORA Art. 9 und 17-23: erwartet 24/7 ICT-Security-Monitoring und Incident-Klassifizierung. Ohne MDR oder eigenes 24/7-SOC schwer darstellbar.

BAIT BTO 5 und MaRisk AT 7.2: erwarten dokumentierte Auswahl mit angemessener Begründung. Eine Decision-Memo-Pflicht.

Achse 3: Budget und TCO

EDR-Lizenz pro Endpunkt: typischerweise 3-10 EUR pro Endpunkt pro Monat, plus Personal für Triage. Faustregel: ab 1000 Endpunkten muss man 2-3 FTE Sicherheitsbetrieb einplanen.

XDR-Plattform: typischerweise 50-150% Aufschlag auf EDR-Lizenz, dafür Konsolidierung mehrerer Tools.

MDR-Service: typischerweise 8-25 EUR pro Endpunkt pro Monat all-in, oft mit Mindestlaufzeit. Macht ökonomisch Sinn bis ca. 5000-10000 Endpunkten, danach Eigenleistung günstiger.

Typische Fehlentscheidungen

EDR ohne Reaktions-Kapazität kaufen: 'wir haben jetzt CrowdStrike' ändert nichts, wenn niemand auf die Alerts reagiert.

XDR-Plattform-Versprechen wertgleich nehmen: 'XDR' ist Marketing-Schicht, nicht zertifizierte Kategorie. Die Tiefe der Telemetrie- und Identity-Integration unterscheidet sich stark.

MDR zu eng beauftragen: nur Triage ohne Incident-Response-Mandat ergibt 24/7 Alerts ohne Handlung im echten Vorfall.

Lock-in unterschätzen: XDR konsolidiert oft auf einen Vendor (Microsoft-Stack, CrowdStrike-Stack). Exit-Strategien werden während des Vertrags-Verlängerungs-Drucks teuer.

Auswahlmatrix kompakt

Unter 500 Endpunkte + kein eigener SOC + NIS2 wichtig: MDR-Service eines etablierten Anbieters.

500-5000 Endpunkte + eigenes Mini-SOC (8x5) + NIS2/DORA: XDR-Plattform + Co-Managed MDR für 24/7.

Über 5000 Endpunkte + eigenes 24/7 SOC: XDR-Plattform + SIEM mit Detection-Engineering, MDR nur für Spezial-Domänen (Identity, OT).

Banken/Versicherungen unter DORA: praktisch immer 24/7-Fähigkeit (eigen oder MDR) + dokumentierte Decision-Memo zur Auswahl.

Was DecisionOS dabei tut

Die Auswahl zwischen EDR, XDR und MDR ist eine klassische Decision-Memo-Frage: gewichtete Kriterien (Reife, Compliance, Budget), Dealbreaker (24/7-Fähigkeit, EU-Datenresidenz, NIS2-Audit-Reife), Evidenz (Gartner, MITRE ATT&CK Evaluations, Referenzen), Stakeholder-Alignment (CISO, CIO, CFO, ggf. Vorstand). DecisionOS liefert das auditierbare Memo, das BaFin oder NIS2-Auditor akzeptieren.