Zurück zum Blog
IT-Infrastruktur

EDR vs MDR vs XDR 2026: Vergleich für Schweizer KMU

Klassisches Antivirus erkennt 2026 weniger als die Hälfte moderner Angriffe – Ransomware-Operatoren nutzen Living-off-the-Land, Identity-Hijack und Cloud-Lateral-Movement. EDR, MDR und XDR sind die Antwort – aber die Begriffe werden von Anbietern bewusst unscharf benutzt. Was unterscheidet sie wirklich, welche Plattform passt zu welcher KMU-Grösse und wann lohnt sich ein managed Service statt einem Tool? Wir vergleichen Microsoft Defender, CrowdStrike, SentinelOne, Sophos sowie Schweizer MDR-Anbieter wie InfoGuard und Open Systems – mit klaren Preisen und einer 6-Wochen-Roadmap.

Autor: Gian Marco Ma Mai 2026 13 Min. Lesezeit

Kurz vorweg: EDR ist Technologie auf dem Endpoint (Microsoft Defender, SentinelOne, CrowdStrike). MDR ist ein 24/7-Service, der das EDR bedient (InfoGuard, Open Systems, Sophos MDR). XDR korreliert Signale über mehrere Domänen – Endpoint, Identity, Cloud, E-Mail, Network. Für KMU unter 20 MA reicht meist EDR + IT-Partner, 20–100 MA brauchen MDR, ab 100 MA wird XDR mit MDR-Overlay sinnvoll. Preise: EDR CHF 5–15, MDR CHF 15–50, XDR-Plattform CHF 10–30 pro Endpoint und Monat. AV ist nicht EDR – wer 2026 noch reinen Signaturschutz hat, ist ohne Netz.

EDR, MDR, XDR – die Definitionen

1

EDR – Endpoint Detection & Response

Agent auf jedem Endpoint (Laptop, Server, VDI) sammelt Telemetrie (Prozesse, Netzwerk, Registry), erkennt verdächtiges Verhalten und kann Endpoints isolieren. Beispiele: Microsoft Defender for Endpoint, SentinelOne, CrowdStrike Falcon, Sophos Intercept X.

2

MDR – Managed Detection & Response

EDR plus externes 24/7-SOC, das Alerts triagiert, Threat Hunting betreibt und im Vorfall reagiert (Endpoint isolieren, Konto sperren). Service-Modell – nicht Tool. Beispiele: InfoGuard, Open Systems, Sophos MDR, Arctic Wolf.

3

XDR – Extended Detection & Response

Korrelation über Endpoint, Identity, Cloud, Network und E-Mail in einer Plattform. Erkennt komplexe Angriffsketten, die ein einzelnes EDR übersieht. Beispiele: Microsoft Defender XDR, Cortex XDR, Trend Vision One.

4

SIEM & SOAR – Abgrenzung

SIEM (Splunk, Microsoft Sentinel) ingestiert beliebige Logs für Compliance und Long-Term-Retention. SOAR (Sentinel Logic Apps, Cortex XSOAR) automatisiert Playbooks. XDR ist vorgekochte Korrelation, SIEM die offene Plattform.

5

NGAV / Antivirus – nicht dasselbe

NGAV erkennt Malware via ML und Verhaltensanalyse – aber liefert keine forensische Telemetrie, keine Response-Aktion, keine Korrelation. AV ist Pflicht-Baseline, nicht EDR-Ersatz.

6

Threat Hunting

Proaktive Suche nach Bedrohungen, die kein Alert auslösen – Hypothesen-getrieben, basierend auf MITRE ATT&CK. Teil eines guten MDR-Service. Eigenes Hunting braucht Senior-Analysten – für KMU selten wirtschaftlich.

Anbieter-Vergleich

EDR – Microsoft Defender for Endpoint

Im M365 Business Premium (P1) und E5 (P2) bereits enthalten – grosser Vorteil für M365-Kunden. P2 mit Auto-Investigation und Threat Experts. Schwächen: Konfiguration nicht trivial, ausserhalb Windows weniger reif. Preis: P1 ab CHF 2.50, P2 ab CHF 5/Endpoint/Monat.

EDR – SentinelOne Singularity

Starke autonome Response, gute macOS/Linux-Abdeckung, eigenes XDR-Modul. Schwächen: höherer Preis, Tuning-Aufwand. Preis: Core ab CHF 6, Control ab CHF 8, Complete (mit Vigilance MDR) ab CHF 14/Endpoint/Monat.

EDR – CrowdStrike Falcon

Marktführer im Gartner Magic Quadrant, exzellente Threat Intelligence (Falcon OverWatch), Cloud-native. Schwächen: Preis, Lizenz-Komplexität. Preis: Falcon Pro ab CHF 10, Enterprise ab CHF 16, Complete (MDR) ab CHF 22/Endpoint/Monat.

EDR – Sophos Intercept X

Solider Mid-Market-Player, gute Synchronized Security mit Sophos Firewall, integriertes XDR. Preis: Advanced ab CHF 5, Advanced with XDR ab CHF 8/Endpoint/Monat. Sophos MDR als Add-on ab CHF 12.

MDR Schweiz – InfoGuard

Baar, eigenes Cyber Defence Center in Zug, datenschutz-konform (DSG, BDSG, GDPR), starke IR-Erfahrung. Multi-Vendor-MDR (Defender, SentinelOne, CrowdStrike). Preis: ab CHF 35–60/Endpoint/Monat je nach SLA und Hunting-Tiefe.

MDR Schweiz – Open Systems

Zürich, SASE/SD-WAN-Anbieter mit integriertem MDR (Mission Control). Stark bei verteilten Standorten und Netzwerk-zentrierter Sicht. Preis: typisch CHF 30–55/Endpoint/Monat im Bundle mit SASE.

MDR – Sophos MDR / Arctic Wolf / Defender Experts

Sophos MDR: tief integriert mit Intercept X, 24/7 für KMU, ab CHF 12. Arctic Wolf: US-Anbieter mit „Concierge"-Modell, ab USD 25. Microsoft Defender Experts (XDR + Hunting): ab CHF 14, nur für M365-E5-Kunden. Datenresidenz prüfen.

XDR – Microsoft Defender XDR

Korreliert Defender for Endpoint, Identity, Cloud Apps und Office 365 – im M365 E5 inbegriffen. Stärke: bei reinem Microsoft-Stack unschlagbares Preis-/Leistungsverhältnis. Schwäche: nicht-MS-Quellen via Sentinel ergänzen.

XDR – Palo Alto Cortex XDR / Trend Vision One

Cortex XDR Pro: vendor-agnostisch (ingestiert beliebige EDR-Daten), starkes ML, ab CHF 15/Endpoint/Monat. Trend Vision One: gutes Preis-Leistungs-Verhältnis, integriert E-Mail (Trend Email Security), ab CHF 12. SentinelOne und CrowdStrike haben eigene XDR-Module.

Entscheidungsmatrix nach KMU-Grösse

  • Unter 20 Mitarbeitende: Microsoft Defender for Business (in M365 Business Premium für CHF 22/User/Monat enthalten) plus IT-Partner mit Reaktions-SLA. Kein eigenes SOC, keine 24/7-Bereitschaft nötig – Risiko-/Kosten-Verhältnis stimmt.
  • Unter 20 MA mit erhöhtem Risiko (Anwalt, Treuhand, Arzt): Defender for Business + Sophos MDR oder InfoGuard MDR Light – CHF 12–25/Endpoint/Monat – schliesst Nacht-/Wochenend-Lücke.
  • 20–100 MA: EDR-Wahl (Defender P2, SentinelOne, CrowdStrike) plus MDR-Service. Eigenes SOC nicht wirtschaftlich (3+ FTE für 24/7). MDR-Budget CHF 1'500–4'000/Monat realistisch für 50 Endpoints.
  • 20–100 MA mit Microsoft-Stack: Defender XDR (in E5 enthalten) plus Microsoft Defender Experts for XDR oder InfoGuard MDR auf Defender-Basis.
  • 100–500 MA: XDR-Plattform (Defender XDR, Cortex XDR, Vision One) mit Co-Managed-SOC oder vollem MDR. Microsoft Sentinel als SIEM für Compliance (ISO 27001, FINMA). IR-Retainer mit InfoGuard, Open Systems oder Compass Security.
  • 100–500 MA mit OT/ICS (Industrie): XDR mit OT-Modul (Defender for IoT, Claroty, Nozomi) oder spezialisierter OT-SOC. Netzwerk-Segmentierung Pflicht.
  • Regulierte Branche (FINMA, Med-Tech, kritische Infrastruktur): MDR-Vertrag mit klarer Datenresidenz Schweiz/EU, ISO 27001-Zertifizierung, Incident Response < 1h SLA. Bevorzugt InfoGuard, Open Systems.
  • Microsoft-Stack-First: Defender XDR + Sentinel + Defender Experts ergibt das günstigste, vollständige Setup – wenn schon M365 E5 vorhanden.
  • Multi-Cloud / nicht-MS-Stack: Cortex XDR oder SentinelOne mit eigenem XDR-Modul – besser bei heterogenen Umgebungen.
  • Faustregel Datenkritikalität: Patientendaten, F&E, Finanztransaktionen, IP – immer eine Stufe höher als reine Mitarbeitendenzahl indizieren würde.

6-Wochen-Roadmap zur EDR/MDR-Einführung

1

Woche 1 – Asset-Inventar & Anforderungs-Profil

Vollständige Liste der Endpoints (Win, macOS, Linux, Server, VDI, Mobile), Identity-Stack (Entra ID, Google), Cloud-Workloads (Azure, AWS), E-Mail-Plattform. Risiko-Profil definieren: was muss geschützt werden, welche SLA-Anforderungen?

Konkret: Asset-Inventar vollständig, Schutzbedarfs-Profil dokumentiert.
2

Woche 2 – Anbieter-Shortlist & PoC-Setup

Zwei EDR/MDR-Anbieter shortlisten (z. B. Defender for Endpoint + SentinelOne, oder Sophos MDR + InfoGuard MDR). PoC-Vereinbarung über 30 Tage, Test-Tenants, 20–50 Pilot-Endpoints.

Konkret: 2 PoC-Verträge, Pilot-Scope abgestimmt.
3

Woche 3 – PoC-Rollout & Tuning

Agents auf Pilot-Endpoints ausrollen, Baseline-Tuning (False-Positive-Reduktion), Test-Szenarien (Atomic Red Team, Caldera) durchspielen, Detections vergleichen.

Konkret: PoC produktiv, Detection-Coverage-Report.
4

Woche 4 – MDR-Service-Test & Entscheidung

MDR-Eskalationen testen (simulierter Vorfall), Response-Time messen, Analyst-Qualität bewerten. Preis-/Leistungs-Verhältnis dokumentieren, Entscheidung treffen.

Konkret: MDR-Vergleichsmatrix, Vertragsentscheid.
5

Woche 5 – Produktiv-Rollout

Stufenweiser Rollout auf alle Endpoints (Pilot-Gruppe → Power-User → Rest), Group-Policy/Intune-Deployment, Reporting-Dashboards einrichten, Eskalationswege definieren.

Konkret: 100 % Endpoint-Coverage, Reporting aktiv.
6

Woche 6 – IR-Integration & Tabletop

Incident-Response-Plan an MDR anbinden (wer ruft wen, wann darf MDR isolieren?), Tabletop-Übung mit MDR-Provider, Playbooks finalisieren, Onboarding-Doku ablegen.

Konkret: IR-Plan integriert, Tabletop bestanden, Operate-Phase startet.

Typische Stolpersteine

  • Klassisches AV mit EDR verwechselt: Signatur-basierter Schutz erkennt 2026 keine modernen Angriffe. EDR braucht Verhaltens-Telemetrie und Response-Fähigkeit.
  • Eigenes 24/7-SOC unterschätzt: realistisch braucht es 5–6 FTE Senior-Analysten plus Schichtsystem – CHF 800'000+/Jahr. Für KMU unter 500 MA fast nie wirtschaftlich.
  • Tool-Sprawl: EDR von A, MDR von B, SIEM von C, Sandbox von D – ohne Integration ein Alert-Chaos. Vendor-Stacks oder explizite Integrations-Strategie wählen.
  • Threat Hunting fehlt: reines Reagieren auf Alerts greift zu kurz. MDR-Verträge auf proaktives Hunting prüfen – nicht nur Triage.
  • MDR-SLA-Lücken: „24/7-Monitoring" heisst nicht „24/7-Response". Vertrag genau lesen: Wer isoliert Endpoints? Wer sperrt Konten? Wer informiert wen wann?
  • Datenresidenz nicht geprüft: US-MDR-Anbieter senden Telemetrie in USA – kritisch für DSG/GDPR. Schweizer Provider (InfoGuard, Open Systems) oder EU-Region wählen.
  • IT-Partner nicht eingebunden: MDR-Service ohne klar geregeltes Zusammenspiel mit dem internen oder externen IT-Partner führt zu Eskalations-Sackgassen.
  • Falsche Endpoint-Liste: vergessen werden oft Server (insb. Domain Controller), VDI/Citrix, macOS-Geräte der Geschäftsleitung, mobile Geräte – jeder blinde Fleck ist ein Risiko.
  • IR-Plan fehlt oder wird nicht geübt: ohne Tabletop-Übung mit MDR-Provider ist die Reaktionszeit im Ernstfall doppelt so lang.
  • Lizenz-Optimierung verpasst: wer schon M365 E5 hat, bezahlt Defender XDR doppelt, wenn er parallel CrowdStrike kauft. Vor Vertragsabschluss Lizenz-Audit machen.

Fazit: Architektur folgt Grösse und Risiko

Es gibt keine universell richtige Antwort auf EDR vs MDR vs XDR – es gibt eine richtige Antwort für Ihre KMU-Grösse, Ihren Tech-Stack und Ihr Risiko. Faustregel: unter 20 MA reicht EDR (idealerweise Defender for Business in M365 Business Premium) mit IT-Partner. 20–100 MA brauchen MDR – die Nacht-/Wochenend-Lücke ist sonst der wahrscheinlichste Angriffsvektor. Ab 100 MA wird XDR mit MDR-Overlay sinnvoll, weil Korrelation über Endpoint, Identity und Cloud die meisten realen Angriffsketten erst sichtbar macht.

Schweizer KMU profitieren von starken lokalen MDR-Anbietern (InfoGuard, Open Systems) mit Datenresidenz Schweiz und Erfahrung in regulierten Branchen. Wer schon M365 E5 hat, sollte Defender XDR plus Sentinel ernsthaft prüfen, bevor externe Tools dazukommen – das ist meist die günstigste vollständige Lösung. Wichtig: ein 6-Wochen-PoC mit zwei Anbietern, Detection-Coverage-Test und simuliertem Vorfall ist die einzige verlässliche Entscheidungsgrundlage – Hochglanz-Demos und Magic Quadrants ersetzen das nicht.

EDR/MDR/XDR-Strategie für Ihr KMU

Wir analysieren Ihren Stack und Risiko-Profil, evaluieren 2 Anbieter im PoC, verhandeln Verträge und führen Sie in 6 Wochen zur produktiven Detection & Response – herstellerneutral.

Beratung anfragen

GIAR Digital GmbH

Passende Leistungen für Ihr KMU

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – diese Themen betreuen wir für kleine und mittlere Unternehmen:

IT-Infrastruktur & Microsoft 365 POS & Payment-Lösungen Prozessdigitalisierung KI-Automatisierung Custom Business Software Galaxus-Anbindung
Kostenlose Erstberatung anfragen