Klassische Antivirus-Software arbeitet nach einem einfachen Prinzip: Sie vergleicht Dateien mit einer Liste bekannter Schädlinge — den sogenannten Signaturen. Was auf der Liste steht, wird blockiert. Was nicht draufsteht, darf passieren. Über zwei Jahrzehnte hat das gut genug funktioniert. 2026 ist es ein gefährlicher blinder Fleck.
Das Problem mit dem Bekannten
Das BSI registrierte im Lagebericht 2025 durchschnittlich rund 280.000 neue Schadprogrammvarianten — pro Tag. Eine signaturbasierte Lösung kann per Definition nur erkennen, was bereits analysiert und in die Datenbank aufgenommen wurde. Genau dieser Verzug ist die Lücke, die moderne Angreifer ausnutzen: Sie verändern ihren Code minimal, bis keine Signatur mehr passt, oder verzichten ganz auf Schaddateien und missbrauchen legitime Bordmittel des Betriebssystems („Living off the Land“).
Anders gesagt: Der Angriff, der Ihr Unternehmen trifft, ist mit hoher Wahrscheinlichkeit einer, den noch niemand vorher genau so gesehen hat.
Was EDR anders macht
EDR steht für Endpoint Detection & Response. Der entscheidende Unterschied: EDR fragt nicht „Kenne ich diese Datei?“, sondern „Ist dieses Verhalten normal?“
Wenn ein Word-Dokument plötzlich eine PowerShell startet, die wiederum beginnt, hunderte Dateien zu verschlüsseln, dann ist das verdächtig — unabhängig davon, ob eine Signatur dazu existiert. EDR erkennt diese Verhaltensmuster, schlägt Alarm, isoliert das betroffene Gerät vom Netzwerk und liefert eine nachvollziehbare Spur, was wann passiert ist. Aus „Virus gefunden“ wird „Angriff verstanden und gestoppt“.
Antivirus erkennt, was es kennt.
EDR erkennt, was nicht stimmt.
Heißt das, Antivirus ist überflüssig?
Nein. Moderne Endpoint-Schutzlösungen vereinen beides: die schnelle, ressourcenschonende Signatur-Erkennung für die breite Masse bekannter Bedrohungen und die verhaltensbasierte EDR-Schicht für das Unbekannte. Der Fehler liegt nicht darin, Antivirus zu nutzen — sondern darin, nur Antivirus zu nutzen und zu glauben, damit sei das Thema erledigt.
Was das für den Mittelstand praktisch bedeutet
EDR ist kein Konzernthema mehr. Als Managed Service betrieben — also überwacht durch ein Team, das Alarme rund um die Uhr bewertet — ist die Technologie auch für kleine und mittlere Unternehmen wirtschaftlich. Denn ein EDR-Alarm ohne jemanden, der ihn liest, ist nur ein weiteres ungelesenes Log. Genau deshalb gehört Endpoint-Schutz bei uns fest zu Managed Security — überwacht, nicht nur installiert.
Schutz ist kein Produkt, das man kauft. Es ist ein Prozess, den jemand betreibt.