Antivirus ist tot. Wer sich 2026 noch auf klassische Antivirensoftware verlässt, schützt sein KMU ungefähr so gut wie ein Vorhängeschloss eine Bankfiliale. Klingt übertrieben? Die Zahlen sagen etwas anderes: Laut dem AV-TEST Institut werden täglich über 450’000 neue Schadprogramme registriert. Signaturbasierter Virenschutz erkennt davon bestenfalls 60-70 %, weil er nur bekannte Muster identifiziert. Moderne Ransomware, dateilose Angriffe (Fileless Malware) und Living-off-the-Land-Techniken umgehen klassische Scanner routinemässig.
Für Schweizer KMU heisst das konkret: Wer weiterhin nur auf Antivirus setzt, hat eine offene Flanke. Die gute Nachricht? Endpoint Detection and Response (EDR) ist längst kein Enterprise-Luxus mehr. Es gibt Lösungen, die für KMU bezahlbar, verwaltbar und wirksam sind.
Antivirus vs. EDR: Was ist der Unterschied?
Antivirus arbeitet reaktiv. Es gleicht Dateien mit einer Datenbank bekannter Schädlinge ab. Wird ein bekannter Schädling erkannt, wird er blockiert. Neue, unbekannte Bedrohungen? Pech gehabt.
EDR arbeitet anders. Es überwacht das Verhalten auf Deinen Endgeräten in Echtzeit. Wenn ein Prozess anfängt, Dateien massenhaft zu verschlüsseln, erkennt EDR das anhand des Verhaltens und stoppt es. Auch wenn die Schadsoftware völlig neu ist.
| Merkmal | Klassisches Antivirus | EDR |
|---|---|---|
| Erkennungsmethode | Signaturbasiert | Verhaltensbasiert + Signaturen |
| Fileless Malware | Kaum erkennbar | Erkennung durch Verhaltensanalyse |
| Ransomware-Schutz | Begrenzt | Automatisches Stoppen bei Verschlüsselungsaktivität |
| Reaktion | Blockieren/Löschen | Isolation, Forensik, Rollback |
| Sichtbarkeit | Kaum | Volle Prozessüberwachung |
| Für KMU geeignet | Ja, aber unzureichend | Ja, mit Managed Service |
Was das für Dein KMU bedeutet
Wenn Du heute nur klassischen Virenschutz nutzt, hast Du keinen wirksamen Schutz gegen moderne Ransomware, dateilose Angriffe oder gezielte Attacken. EDR schliesst diese Lücke und ist der Mindeststandard für 2026.
Die fünf wichtigsten EDR-Funktionen für KMU
Nicht jede EDR-Lösung ist gleich. Achte bei der Auswahl auf diese fünf Kernfunktionen, die für KMU den Unterschied machen:
1. Automatische Isolation kompromittierter Geräte Wenn ein Laptop infiziert wird, trennt EDR das Gerät sofort vom Netzwerk. Dadurch wird die Ausbreitung (Lateral Movement) gestoppt, noch bevor Dein IT-Team reagieren muss. Bei einem Ransomware-Angriff kann das den Unterschied zwischen einem betroffenen Gerät und einem verschlüsselten Firmennetzwerk ausmachen.
2. Rollback-Funktion Einige EDR-Lösungen (z. B. SentinelOne) können durch Ransomware verschlüsselte Dateien automatisch in den Zustand vor der Verschlüsselung zurücksetzen. Das funktioniert über Shadow Copies und Prozessprotokollierung. Für KMU ohne umfassende Backup-Strategie ist das ein wichtiges Sicherheitsnetz.
3. Verhaltensbasierte Erkennung (Behavioral Detection) Statt nur nach bekannten Signaturen zu suchen, analysiert EDR das Verhalten von Prozessen. Ein Word-Dokument, das PowerShell startet, die dann eine Netzwerkverbindung aufbaut? Hochverdächtig. EDR erkennt und blockiert solche Ketten, auch wenn die einzelnen Schritte für sich genommen legitim wären.
4. Forensik und Ursachenanalyse Nach einem Vorfall zeigt Dir EDR genau, wie der Angreifer eingedrungen ist, welche Systeme betroffen waren und welche Daten potenziell abgeflossen sind. Diese Informationen brauchst Du für die Meldepflicht gemäss nDSG und für die Meldung an das BACS.
5. Cloud-basierte Verwaltung Moderne EDR-Lösungen werden über eine Cloud-Konsole verwaltet. Kein lokaler Server nötig, keine aufwändige Infrastruktur. Auch ein IT-Dienstleister kann Deine EDR-Lösung remote betreuen.
Welche EDR-Lösung passt zu Deinem KMU?
Der Schweizer Markt bietet verschiedene EDR-Lösungen, die für KMU geeignet sind. Die Wahl hängt von Deiner bestehenden Infrastruktur, Deinem Budget und Deiner internen IT-Kompetenz ab.
Microsoft Defender for Endpoint (Plan 1 und Plan 2) Wenn Du bereits Microsoft 365 Business Premium nutzt, ist Defender for Endpoint Plan 1 bereits enthalten. Plan 2 (ab ca. CHF 5.50/Gerät/Monat) bietet erweiterte Funktionen wie automatisierte Untersuchungen und Endpoint Detection and Response. Für KMU mit Microsoft-Umgebung oft die kosteneffizienteste Lösung.
CrowdStrike Falcon Go Speziell für kleine Unternehmen entwickelt. Cloud-nativ, minimaler Ressourcenverbrauch auf den Endgeräten, starke Erkennungsraten. Kostet ab ca. CHF 8/Gerät/Monat. CrowdStrike wird regelmässig in unabhängigen Tests (MITRE ATT&CK Evaluations) als führend bewertet.
SentinelOne Singularity Bekannt für die Rollback-Funktion bei Ransomware. Vollständig KI-basiert, funktioniert auch offline. Preislich vergleichbar mit CrowdStrike. Besonders geeignet für KMU, die Wert auf autonome Reaktion legen.
Sophos Intercept X In der Schweiz verbreitet, mit gutem Partnernetzwerk für Managed Services. Integriert EDR mit Firewall-Management (wenn Sophos-Firewalls im Einsatz sind). Gute Wahl, wenn Du bereits Sophos-Produkte nutzt.
Was das für Dein KMU bedeutet
Starte mit dem, was Du bereits hast. Nutzt Du Microsoft 365? Dann aktiviere zuerst Defender for Endpoint. Hast Du keine Microsoft-Umgebung, sind CrowdStrike oder SentinelOne die stärksten Optionen. Wichtiger als die Produktwahl: Stelle sicher, dass jemand die Alarme liest und darauf reagiert.
Managed EDR: Warum KMU den Betrieb auslagern sollten
Ein EDR-Tool zu installieren ist der einfache Teil. Der schwierige Teil: Wer wertet die Alarme aus? Wer reagiert nachts um 3 Uhr, wenn ein Ransomware-Angriff startet?
Die ehrliche Antwort für die meisten KMU mit 10-100 Mitarbeitenden: niemand intern. Und genau das macht EDR ohne Managed Service zu einer teuren Scheinsicherheit. Ein EDR-Tool, dessen Alarme niemand liest, ist kaum besser als kein EDR.
Managed Detection and Response (MDR) löst dieses Problem. Ein externer Anbieter überwacht Deine Endgeräte rund um die Uhr (24/7), wertet Alarme aus und reagiert bei Bedarf. Das kombiniert die technische Stärke von EDR mit der menschlichen Expertise eines Security Operations Center (SOC).
Kosten für Managed EDR/MDR in der Schweiz:
| Unternehmensgrösse | Geschätztes Budget (jährlich) |
|---|---|
| 10-25 Geräte | CHF 5’000-12’000 |
| 25-50 Geräte | CHF 12’000-25’000 |
| 50-100 Geräte | CHF 25’000-45’000 |
Diese Kosten beinhalten Lizenz, Monitoring und Incident Response durch den Anbieter. Vergleiche das mit den durchschnittlich CHF 84’000 Schaden durch einen erfolgreichen Ransomware-Angriff (Quelle: SVV Cyber-Risiken) und die Investition relativiert sich schnell.
Endpoint Security als Teil Deiner Gesamtstrategie
EDR allein macht Dein KMU nicht sicher. Es ist ein zentraler Baustein, aber kein Ersatz für eine durchdachte Cybersecurity-Strategie. Endpoint Security wirkt am stärksten, wenn sie in ein Gesamtkonzept eingebettet ist:
- MFA schützt den Zugang zu Konten und Systemen.
- Netzwerksegmentierung begrenzt die Ausbreitung nach einem erfolgreichen Angriff.
- Phishing-Schutz reduziert die Wahrscheinlichkeit des initialen Einfalls.
- Patch-Management schliesst bekannte Schwachstellen, bevor sie ausgenutzt werden.
- EDR erkennt und stoppt Angriffe, die alle anderen Schichten durchbrochen haben.
Diese Schichten ergänzen sich. Keine einzelne davon reicht allein aus. Zero Trust als Architekturprinzip verbindet diese Elemente zu einem kohärenten Sicherheitsmodell.
Ob Deine Endpoint Security wirklich funktioniert?
Die einzige verlässliche Antwort liefert ein praktischer Test. Ein Penetrationstest prüft, ob Dein EDR technische Angriffe erkennt. Ein Red Team Assessment geht weiter und testet, ob ein realistischer Angreifer trotz EDR in Dein Netzwerk eindringen, sich ausbreiten und Daten exfiltrieren kann. RedTeam Partners bietet Red Teaming für Schweizer KMU ab CHF 11’900 an.
Checkliste: Endpoint Security für Dein KMU
Prüfe anhand dieser Liste, wo Dein KMU heute steht:
- Auf allen Geräten (Laptops, Desktops, Server) ist EDR statt nur Antivirus installiert
- Mobile Geräte (Smartphones, Tablets) sind mit einer Mobile-Threat-Defense-Lösung geschützt
- EDR-Alarme werden aktiv überwacht (intern oder durch Managed Service)
- Automatische Geräteisolation bei kritischen Alarmen ist aktiviert
- Die EDR-Lösung deckt auch macOS und Linux ab (nicht nur Windows)
- Regelmässige Reports über erkannte Bedrohungen werden an die Geschäftsleitung kommuniziert
- Die Wirksamkeit der Endpoint Security wurde durch einen Penetrationstest oder ein Red Team Assessment validiert
- Ein Incident-Response-Plan definiert das Vorgehen, wenn EDR einen aktiven Angriff meldet
- Alle Geräte erhalten automatische Updates und Patches innerhalb von 72 Stunden
- Veraltete Betriebssysteme (z. B. Windows 10 nach End-of-Support Oktober 2025) sind ersetzt oder isoliert
Red Teaming anfragen: Hält Deine Endpoint Security einem echten Angriff stand?
FAQ: Endpoint Security und EDR für KMU
Braucht mein KMU wirklich EDR, oder reicht Antivirus? Antivirus reicht nicht mehr. Moderne Angriffe nutzen Techniken, die signaturbasierte Erkennung umgehen: dateilose Malware, Living-off-the-Land-Angriffe und Zero-Day-Exploits. EDR erkennt diese durch Verhaltensanalyse. Das BACS empfiehlt Schweizer Unternehmen explizit den Einsatz von EDR-Lösungen.
Wie viel kostet EDR für ein KMU mit 20 Mitarbeitenden? Rechne mit CHF 3’000-6’000 pro Jahr für die Lizenzen allein. Mit Managed Service (empfohlen) liegt das Budget bei CHF 5’000-12’000 jährlich. Viele Schweizer IT-Dienstleister bieten Managed EDR als Pauschalpaket an.
Kann ich EDR selbst verwalten? Technisch ja. Praktisch brauchst Du dafür jemanden, der die Alarme versteht, False Positives erkennt und bei einem echten Vorfall schnell und richtig reagiert. Für KMU ohne dediziertes IT-Sicherheitsteam ist ein Managed Service die bessere Wahl.
Schützt EDR auch gegen Ransomware? Ja, und zwar deutlich besser als Antivirus. EDR erkennt den typischen Ablauf eines Ransomware-Angriffs: Auskundschaftung, Rechteausweitung, Lateral Movement, Verschlüsselung. Bei verdächtiger Aktivität isoliert EDR das betroffene Gerät automatisch. Ergänzend dazu sind Ransomware-spezifische Schutzmassnahmen unverzichtbar.
Was ist der Unterschied zwischen EDR und XDR? EDR überwacht Endgeräte. XDR (Extended Detection and Response) erweitert das auf Netzwerk, E-Mail, Cloud und Identitäten. Für die meisten KMU ist EDR mit Managed Service der richtige Einstieg. XDR lohnt sich ab ca. 100 Mitarbeitenden oder bei komplexen IT-Umgebungen.
Quellen
- AV-TEST Institut: Malware-Statistiken (Tägliche Registrierung neuer Schadprogramme)
- SVV Cyber-Risiken: CHF 9,5 Mrd. jährliche Cyberangriff-Kosten Schweiz (svv.ch)
- MITRE ATT&CK Evaluations: Unabhängige Bewertung von EDR-Lösungen (attackevals.mitre-engenuity.org)