Cloudbasierter Schutz im Vergleich zu Endpunktschutz

Endpoint-based vs Cloud-based protection

Schon fast seit es sie gibt, sind PCs ein beliebtes Ziel für Schadsoftware. Mit dem Fortschritt der Geräte ihrer Opfer haben die Kriminellen ihre Schädlinge ständig weiterentwickelt, um ihre Ziele zu erreichen. Glücklicherweise ist auch der Endpunktschutz nicht stehengeblieben.

Heutzutage ist Schadsoftware zwar immer noch eine ernstzunehmende Bedrohung, doch damit steht sie nicht allein. Angreifer setzen immer ausgeklügeltere Strategien ein, um Zugriff auf die Geräte ihrer Opfer zu erlangen, wozu sie sogar reguläre Software ausnutzen, um unerkannt zu bleiben. Der Endpunktschutz hat sich also von einem relativ schlichten Antivirenprogramm zu einem fortschrittlichen Instrument zur Verhaltensanalyse und zuletzt auch zur Endpunkterkennung und -reaktion (EDR) entwickelt.

Dank moderner Analysetechnologien kommen immer häufiger cloudbasierte Dienste zum Einsatz. Da stellt sich doch die Frage, ob eine gerätebasierte Erkennung überhaupt noch benötigt wird. Die kurze Antwort: Sowohl die lokale als auch die cloudbasierte Erkennung haben ihre Vorteile und die besten Lösungen setzen optimalerweise beide ein.

Schauen wir uns einige der Hauptfunktionen von Endpunktschutz (inkl. EDR) und die relativen Stärken von lokaler Erkennung im Vergleich zu cloudbasierter Erkennung an.

Signaturbasierte Malware-Erkennung

Zur herkömmlichen Erkennung werden Dateisignaturen und bemerkenswert wirkungsvolle Algorithmen eingesetzt, um Geräte vor bekannten Malware-Varianten zu schützen. Laut av-atlas.org infizieren 2025 etwa 960 Malware-Versionen jeden einzelnen Tag unzählige Computer. VirusTotal, ein Online-Dienst, der verdächtige Dateien mithilfe der Funde von Antivirus-Engines wie der von Emsisoft analysiert, verfügt über einen Datensatz von über 2 Milliarden analysierten Dateien.

Anhand dieser Zahlen dürfte deutlich werden, dass eine lokale signaturbasierte Erkennung, die regelmäßig aktualisiert wird, für eine starke Cybersecurity-Strategie eine wichtige Rolle spielt, da sie bekannte Bedrohungen schnell und effizient erkennen kann. Diese Art der Erkennung sollte lokal ausgeführt werden, da eine Verzögerung über eine Cloudlösung der Malware einen Vorteil verschaffen und gleichzeitig das Nutzererlebnis beeinträchtigen könnte.

Verhaltensanalyse

Was die Erkennung und Gegenmaßnahmen angeht, zeigen die Zahlen, dass herkömmliche Antivirustechniken weiterhin als Verteidigungsstrategie ihren Wert haben. Cyberkriminelle haben sich von diesem Erfolg natürlich nicht demotivieren lassen und es mussten folglich entsprechend neue Verteidigungsmethoden entwickelt werden. Über die letzten zehn Jahre hat nahezu jedes Produkt zum Endpunktschutz eine Art von Verhaltensanalyse auf den Markt gebracht. Diese Technologie sucht nach bestimmten Verhaltensmustern, die Anzeichen für schädliche Aktivitäten sein könnten.

Als Ergänzung zur signaturbasierten Erkennung liegt die Herausforderung beim Erkennen schädlichen Verhaltens darin, dass auch reguläre Software mitunter für Fehlalarme sorgt. Updates an bestehenden Anwendungen haben oftmals keine digitale Signatur, um sie als legitim einordnen zu können, und führen etliche Lese-/Schreibvorgänge aus, was typisches Verhalten von Malware ist. Während Fehlalarme für die Anwender nervig sind, könnte das Anpassen der Erkennungsfilter dafür sorgen, dass schädliche Software unerkannt durch die Maschen rutscht. Man muss also das richtige Gleichgewicht finden.

Eine gut geeignete Methode, um Fehlalarme auf ein annehmbares Niveau zu bringen, ist maschinelles Lernen (ML). Diese Technologie ist in den vergangen Jahren immer ausgereifter geworden. Indem es anhand von riesigen Datensätzen trainiert wird, hilft endpunktbasiertes ML dabei, schädliches von harmlosen Verhalten zu unterscheiden und so Fehlalarme maßgeblich zu reduzieren. Zum Training eines neuen Modells an einem Datensatz wird zwar eine hohe Rechenleistung benötigt, das ist allerdings nicht mehr der Fall, wenn damit dann neue Daten überprüft wird, sodass es sich sehr gut lokal einsetzen lässt.

EDR

Über die letzten zehn Jahre ist auch die Endpunkterkennung und -reaktion (EDR) als Teil einer sich ständig weiterentwickelnden Schutzstrategie über mehrere Ebenen hinzugekommen, um die immer komplexeren Bedrohungen abzuwehren. Auch wenn die Abkürzung schnell zu Werbezwecken übernommen, abgewandelt und ausgeschlachtet wurde, ist und bleibt EDR doch ein bewährter Hauptbestandteil einer soliden Sicherheitsarchitektur. Die Technologie, bei der beständig Endpunktdaten zur Analyse gesammelt werden, kann darauf konfiguriert werden, Warnmeldungen auszugeben oder automatisch entsprechende Aktivitäten auszuführen wie das Isolieren eines Gerätes oder das Beenden eines schädlichen Prozesses. Mithilfe der vom EDR-System gesammelten Daten lassen sich frühe Anzeichen für einen Angriff erkennen – etwa unerlaubter Zugriff – und gründliche forensische Untersuchungen anstellen, nachdem es zu einem Vorfall kam.

Werden die Daten mehrerer Endpunkte als Einheit betrachtet, lassen sich problematische Trends und Aktivitäten erkennen, die anderenfalls untergegangen wären. Indem Daten über alle Endpunkte hinweg gesammelt und dann für einen längeren Zeitraum gespeichert werden, um sie schließlich als Gesamtes einzusehen und aufzuschlüsseln, eignet sich EDR ideal als Clouddienst.

Verwaltung und Sichtbarkeit

Für den Einsatz im Privaten oder in kleinen Büros stellt die Installation des Endpunktschutzes auf einer Handvoll von Geräten keine große Hürde dar und eine zentrale Verwaltung wird eher zu einem überflüssigen Aufwand. Ist die Anzahl der Geräte allerdings höher, wird die Möglichkeit, Endpunkte zentral einzurichten, zu konfigurieren und zu überwachen, zu einer enormen Erleichterung. Es lassen sich nicht nur identische Konfigurationsvorlagen anlegen und anwenden, sondern auch sämtliche Geräte in einer einzigen Übersicht einsehen. So lassen sich Aktivitäten, die auf mehreren Endpunkten auftreten, leichter erkennen, untersuchen und gegebenenfalls stoppen. In der Cloud erfasste und gespeicherte EDR-Daten sind weniger anfällig, manipuliert oder verfälscht zu werden, was wiederum die forensischen Untersuchungen nach einem Vorfall erleichtert. Kurz gesagt die zentrale Verwaltung mehrerer Geräte funktioniert am besten in einer cloudbasierten Architektur.

Fazit

Während cloudbasierte Lösungen in modernen IT-Umgebungen Standard geworden sind, spielt die lokale Endpunkterkennung in einer starken Sicherheitsstrategie weiterhin eine wichtige Rolle.

Jede Erkennungsmethode hat ihre Stärken:

Beim Einsatz beider Technologien wird die Schnelligkeit der lokalen Erkennung mit der Intelligenz und Skalierbarkeit der Cloud kombiniert, um den wirkungsvollsten Endpunktschutz über mehrere Ebenen zu liefern. Diese Strategie stellt sicher, dass Unternehmen bestens dafür gerüstet sind, Bedrohungen in Echtzeit vorzubeugen, zu erkennen und abzuwehren – egal wie und wo sie auftreten.

Luke Connolly

Luke Connolly

Weitere Artikel

Newsletter

Malware kennt keine Pausen. Bleiben Sie immer über die neuesten Bedrohungen auf dem Laufenden.

Emsisoft > Blog > Schutztipps > Kommentare > Cloudbasierter Schutz im Vergleich zu Endpunktschutz