Ein IT-Manager instruiert sein Team an einem Whiteboard nach einem Sicherheitsvorfall was zu tun ist.

Reaktion bei Sicherheitsvorfällen - mit XDR und SOAR

Die zeitnahe und angemessene Reaktion auf einen Sicherheitsvorfall ist nach der Detektion der wesentliche Faktor um mögliche Schäden zu kontrollieren und zu begrenzen. Es liegt damit im Interesse von Unternehmen, robuste Prozesses für das Incident-Management zu etablieren.

Gleichzeitig hat die EU mit der NIS-2 Richtlinie einen europaweit verbindlichen Rahmen geschaffen, um einheitliche Mindeststandards für die IT‑Sicherheit in Unternehmen zu definieren. Betroffene Firmen handeln daher nicht nur aus Eigeninteresse, sondern sind dazu verpflichtet die regulatorischen Anforderungen durch organisatorische und technische Maßnahmen umzusetzen – häufig unter hohem Zeitdruck und mit begrenzten internen Ressourcen. 

Dabei kann Sie Software sowohl im Bereich der Detektion, als auch bei der Reaktion auf Sicherheitsvorfälle unterstützen. Während SIEM‑Systeme vor allem dazu genutzt werden, Sicherheitsvorfälle zu erkennen und revisionssicher zu protokollieren, stehen in diesem Beitrag XDR‑ und SOAR‑Systeme im Mittelpunkt. Sie ermöglichen es, auf erkannte Vorfälle schnell und (teil‑)automatisiert zu reagieren – und werden damit zu einem zentralen Hebel, um NIS‑2‑konforme Detection & Response aufzubauen oder gezielt weiterzuentwickeln.

Sie suchen einen klaren, kompakten Einstieg in NIS‑2? Dann laden Sie jetzt unser Whitepaper mit allen wichtigen Grundlagen herunter.

Was ist ein SOAR-System?

SOAR steht für Security Orchestration, Automation and Response. Ein SOAR‑System ist eine Plattform, die Ihre bestehenden Security‑Lösungen miteinander verbindet, Standardabläufe in der IT‑Security definiert und möglichst viele dieser Schritte automatisiert. Statt jeden Vorfall „per Hand“ abzuarbeiten, legen Sie im SOAR fest, wie Ihr Unternehmen typischerweise auf bestimmte Bedrohungen reagieren soll – und das System setzt diese Playbooks dann weitgehend automatisch um oder führt Ihr Team strukturiert durch den Prozess.

Kurz gesagt: Ein SOAR‑System ist das zentrale „Steuerzentrum“ für Ihre Security‑Prozesse, das Technik, Abläufe und Menschen zusammenbringt und dadurch Effizienz, Geschwindigkeit und Qualität im Incident‑Handling deutlich erhöht.

Ein SOAR‑System hilft Ihnen, Ihre Security‑Prozesse zu standardisieren, zu beschleunigen und verlässlicher zu machen. Vorfälle werden einheitlicher bewertet, schneller bearbeitet und besser dokumentiert – und Ihr Team gewinnt Zeit für die wirklich kritischen Themen, statt in manueller Routinearbeit und Alert‑Flut zu versinken. Ein SOAR‑System übernimmt im Alltag drei Kernaufgaben:

  • Orchestrierung – Security‑Tools intelligent verbinden: SOAR verknüpft verschiedene Sicherheitslösungen miteinander, zum Beispiel: XDR‑Plattformen, SIEM‑Systeme, E‑Mail‑Security‑Gateways, Firewalls, Web‑Proxys, VPN‑Gateways, Ticket‑Systeme und Collaboration‑Tools. Dadurch können Informationen und Aktionen zwischen diesen Systemen automatisiert ausgetauscht werden, statt dass Ihre Mitarbeiter alles manuell anstoßen müssen.
  • Automatisierung – wiederkehrende Aufgaben abnehmen: Viele Schritte im Incident‑Handling folgen immer demselben Muster. Ein SOAR‑System bildet diese Muster als Playbooks ab und automatisiert sie, zum Beispiel: Alarme aus XDR oder SIEM automatisch anreichern (z. B. IP‑Reputation prüfen, User‑Informationen abrufen), Standardchecks durchführen (z. B. Hash‑Werte bei Threat‑Intelligence‑Diensten abfragen), Tickets eröffnen und zuständige Teams informieren, bekannte, geringfügige Vorfälle automatisch behandeln (z. B. Phishing‑Mail in allen Postfächern löschen, Absender blockieren). Ihr Team muss dann nur noch die Fälle bearbeiten, bei denen wirklich Fachwissen und Entscheidungskompetenz gefragt sind.
  • Response – strukturierte und nachvollziehbare Reaktionen ermöglichen: Bei sicherheitsrelevanten Vorfällen zählt jede Minute – gleichzeitig müssen Sie NIS‑2‑konform sauber dokumentieren, was passiert ist. Ein SOAR‑System: führt Analysten Schritt für Schritt durch definierte Reaktionsprozesse, stößt technische Maßnahmen an (z. B. Account sperren, Endpoint isolieren, Firewall‑Regel setzen), dokumentiert automatisch alle Aktionen, Entscheidungen und Zeitpunkte und unterstützt so bei Meldepflichten und internen/externen Audits.

Was ist ein XDR-System?

XDR (Extended Detection and Response) gilt heute als einer der zentralen Bausteine moderner Security‑Architekturen. Gleichzeitig sorgt der Begriff in der Praxis häufig für Fragezeichen: Ist XDR einfach „EDR in groß“? Wie unterscheidet es sich von NDR‑Lösungen, die den Netzwerkverkehr überwachen? Und wie greifen diese Systeme im Zusammenspiel mit bestehenden Security‑Komponenten wie SIEM oder SOAR ineinander?  

Um XDR richtig einordnen zu können, lohnt sich daher ein Blick auf die verwandten Ansätze EDR (Endpoint Detection and Response) und NDR (Network Detection and Response) – und darauf, wie XDR diese Sichtweisen zusammenführt und gezielt erweitert.

Was macht ein EDR‑System?

EDR konzentriert sich auf Endpoints – also z. B. Laptops, Server, Workstations. Ein EDR‑System zeichnet sich also wie folgt aus:

  • sammelt Telemetriedaten von Endpoints (Prozesse, Dateien, Registry‑Änderungen, Netzwerkverbindungen),
  • erkennt verdächtige Muster (z. B. Ransomware‑Verhalten, ungewohnte Prozesse),
  • alarmiert bei Auffälligkeiten und
  • ermöglicht eine forensische Analyse sowie Reaktionsmaßnahmen auf dem betroffenen Endpoint (Prozess killen, Gerät isolieren etc.).

Was macht ein NDR‑System?

NDR überwacht das Netzwerk. Es „sieht“ also, was zwischen Systemen passiert – unabhängig davon, ob auf den einzelnen Endpoints ein Agent installiert ist oder nicht. Das ist gerade in Umgebungen mit Legacy‑Systemen, OT/ICS oder IoT‑Geräten wichtig, auf denen kein klassisches EDR laufen kann. Zusammengefasst übernimmt ein NDR‑System die folgenden Aufgaben:

  • analysiert Netzwerkverkehr
  • erkennt auffällige Kommunikationsmuster (z. B. Datenabfluss, Command‑&‑Control‑Verbindungen, laterale Bewegung),
  • unterstützt bei der forensischen Auswertung von Angriffspfaden auf Netzwerkebene,
  • ermöglicht Reaktionsmaßnahmen wie das Sperren von Verbindungen oder Segmenten.

Was leistet ein XDR‑System?

XDR führt den Blick auf Endpoints und das Netzwerk zusammen und integriert darüber hinaus noch weitere Datenquellen. „Extended“ bedeutet daher: Die Erkennung und Reaktion werden über den Endpoint hinaus auf weitere sicherheitsrelevante Bereiche ausgedehnt, wie etwa Identity‑ und Access‑Management Systeme, Netzwerk‑ und Cloud‑Infrastrukturen, teilweise auch OT‑/IoT‑Umgebungen. Ein XDR‑System lässt sich daher wie folgt charakterisieren:

  • sammelt und korreliert Daten aus mehreren Sicherheitsdomänen,
  • bildet daraus ein einheitliches Lagebild,
  • erkennt Angriffsketten über verschiedene Systeme hinweg (z. B. Phishing‑Mail → kompromittierter Account → laterale Bewegung im Netzwerk),
  • priorisiert Alarme nach Risiko und Kontext,
  • stellt geführte Response‑Workflows oder automatisierte Gegenmaßnahmen bereit.

Die folgende Tabelle fasst die drei Ansätze EDR, NDR und XDR zusammen und zeigt, worin sich Fokus, Sicht und besondere Stärken unterscheiden. So gewinnen Sie mit einem Blick eine klar strukturierte Übersicht, die Ihnen zeigt, welche Aufgaben die einzelnen Systeme übernehmen und wie sie sich sinnvoll in Ihre eigene Security‑Architektur einfügen lassen.

  EDR NDR XDR
Fokus Endgeräte (Server, Clients, Workstations)  Netzwerkverkehr und Kommunikationsbeziehungen Integration mehrerer Sicherheitsdomänen
Sicht Prozesse, Dateien, Registry, lokale Verhaltensmuster Verbindungen zwischen Systemen, Datenflüsse, Protokolle Endpoints (EDR‑Signale), Identitäten, E‑Mail, Cloud, Netzwerk (NDR‑Signale)
Stärke Detaillierte Endpoint‑Sicht und direkte Reaktion auf dem Gerät Erkennt laterale Bewegung, Datenabfluss und Angriffe auf Systemen ohne Agent Verknüpft Endpoint‑, Netzwerk‑ und weitere Telemetrie zu einer Gesamtsicht auf Angriffsketten

Wie passt XDR zu SIEM und SOAR? 

In vielen Unternehmen taucht die Frage auf: „Brauche ich ein XDR, ein SIEM, ein SOAR – oder alles zusammen?“ Die Antwort hängt von Größe, Reifegrad und Ressourcen ab. Wichtig ist zu verstehen, welche Rolle die Systeme jeweils spielen.

SIEM: Zentrale Drehscheibe für Logs und Compliance

Ein SIEM (Security Information and Event Management):

  • sammelt Log‑Daten aus sehr vielen Quellen (Firewalls, Server, Applikationen, OT‑Systeme, Cloud‑Dienste),
  • ermöglicht komplexe Korrelationen und eigene Use‑Cases,
  • ist oft zentraler Baustein für Audit‑ und Compliance‑Reporting.

Im NIS‑2‑Kontext ist ein SIEM häufig der zentrale Nachweis‑ und Monitoring‑Baustein. Allerdings kann ein reines SIEM in der Praxis sehr aufwendig in Aufbau und Betrieb sein und viele Alarme erzeugen, die manuell bewertet werden müssen. Für Unternehmen ohne eigenes SOC oder IT-Security Team kann dies zu einer großen Herausforderung führen. Abhilfe kann in diesem Fall der Einsatz von Externen oder die Auslagerung bestimmter Aufgaben an Dienstleister bringen.

SOAR: Automatisierung von Abläufen und Reaktionen

Wie bereits oben beschrieben lässt sich ein SOAR-System wie folgt Charakterisieren:

  • es verbindet verschiedene Security‑Tools,
  • standardisiert und automatisiert Reaktionsprozesse,
  • übernimmt einzelne Aufgaben z. B. Ticket‑Eröffnung, Benachrichtigungen, IP‑Blocking, User‑Sperrungen usw.

SOAR lohnt sich besonders bei hohen Alert‑Volumina und etablierten Security‑Prozessen – typischerweise in größeren Unternehmen oder Managed‑Security Konstellationen. Sie „veredeln“ die Alarme und Erkenntnisse aus XDR und SIEM, indem sie sie in standardisierte, teils vollautomatisierte Abläufe überführen. In einer ausgereiften Security‑Architektur lässt sich SOAR daher als „operativer Motor“ verstehen, der auf Basis der Erkennungsleistung von XDR und der Datenbasis des SIEM für Geschwindigkeit, Konsistenz und Nachvollziehbarkeit in der Reaktion sorgt.

Wo ordnet sich XDR ein?

XDR positioniert sich funktional zwischen einem klassischen EDR und einem Kombinationseinsatz aus SIEM und SOAR – und schließt damit in vielen Umgebungen eine wichtige Lücke.

Zum Verständnis: Ein „reines“ SIEM sammelt und korreliert sehr viele Log‑Daten aus unterschiedlichsten Systemen. Das ist für Compliance und Audits essenziell, im Alltag aber oft komplex im Aufbau, pflegeintensiv und ohne spezialisiertes SOC schwer effizient zu betreiben. XDR verfolgt hier einen anderen Ansatz: Es kommt in der Regel stärker vorintegriert, mit klar definierten Datenquellen und einem Fokus auf konkrete Angriffs­erkennung und Reaktion. Dies führt zu weniger Projektaufwand beim Aufsetzen, geringere Komplexität im Betrieb und schneller sichtbare Ergebnisse im Incident‑Handling.

Hinzu kommt, dass moderne XDR‑Plattformen mit zahlreichen vorkonfigurierten Use‑Cases und Playbooks ausgeliefert werden. Statt alle Erkennungsregeln und Reaktionsabläufe von Grund auf selbst definieren zu müssen, arbeiten Sie mit erprobten Standardszenarien – etwa für Ransomware, kompromittierte Benutzerkonten oder verdächtigen Netzwerkverkehr. Diese Vorlagen können an die eigene Umgebung angepasst werden, bieten aber gerade mittelständischen Unternehmen einen wichtigen Startvorteil, weil sie ohne tiefes Spezialwissen schnell funktionsfähig werden.

Gleichzeitig bleibt XDR schlanker und fokussierter als ein SIEM, das die vollständige Log‑Landschaft eines Unternehmens abdecken soll. XDR konzentriert sich auf sicherheitsrelevante Signale aus ausgewählten Bereichen (z. B. Endpoints, Identitäten, E‑Mail, Netzwerk/Cloud) und verknüpft diese intelligent. Das reduziert Datenmengen, vereinfacht Auswertungen und sorgt dafür, dass Ihr Team ein verständliches, priorisiertes Lagebild erhält – statt in einer Flut von Roh‑Logs zu versinken.

Gerade im Mittelstand kann XDR daher eine pragmatische Rolle übernehmen:

  • Es kann ein bestehendes EDR ablösen und dessen Funktionsumfang deutlich erweitern, indem zusätzlich Identitäten, E‑Mail‑Verkehr oder Netzwerkaktivitäten einbezogen werden. So entsteht ein ganzheitlicher Blick auf Angriffe, ohne dass Sie mehrere Insellösungen parallel managen müssen.  

  • Es kann einen Teil der Erkennungs‑ und Reaktionsfunktionen bereitstellen, die sonst nur durch ein Zusammenspiel von SIEM und SOAR erreicht würden – inklusive geführter oder teilautomatisierter Reaktionen. Für Unternehmen ohne eigenes SOC ist das oft der praktikablere Weg, um NIS‑2‑konforme Detection & Response umzusetzen.  

  • Es lässt sich zu einem späteren Zeitpunkt gezielt mit einem SIEM ergänzen, wenn zusätzliche Compliance‑Anforderungen, umfangreiche OT‑Landschaften oder sehr spezielle Use‑Cases hinzukommen. XDR kann dann als vorgeschaltete, „intelligente“ Erkennungsschicht dienen, deren verdichtete Erkenntnisse in das SIEM einfließen und dort für Reporting und Audits genutzt werden.

Fazit

XDR und SOAR ergänzen klassische Lösungen wie EDR, NDR und SIEM um genau das, was NIS‑2 in der Praxis einfordert: eine schnelle, strukturierte und nachweisbare Reaktion auf Sicherheitsvorfälle. XDR bündelt sicherheitsrelevante Signale aus verschiedenen Bereichen (Endpoints, Identitäten, E‑Mail, Netzwerk/Cloud) zu einem verständlichen Lagebild und hilft dabei, Angriffsketten frühzeitig zu erkennen und zu priorisieren.

SOAR setzt an diesem Punkt auf und übersetzt erkannte Incidents in standardisierte, weitgehend automatisierte Abläufe – von der Ticket‑Erstellung über technische Gegenmaßnahmen bis hin zur sauberen Dokumentation.

Für von NIS‑2 betroffene Unternehmen entsteht so ein pragmatischer Weg, Detection & Response auf ein neues Niveau zu heben, ohne sofort ein vollumfängliches SOC oder ein sehr komplexes SIEM‑Ökosystem aufbauen zu müssen. Wer NIS‑2 nicht nur „auf dem Papier“, sondern im operativen Alltag erfüllen möchte, sollte XDR und SOAR daher als zentrale Bausteine in der eigenen Security‑Architektur prüfen.

IT-Security Projekte ohne Engpass

Etengo ist spezialisiert auf die Vermittlung hochqualifizierter IT-Experten an Unternehmen, die ihre IT-Projekte zuverlässig vorantreiben wollen. Wenn in laufenden Vorhaben kurzfristig zusätzliche Kapazitäten benötigt werden oder unternehmensintern entscheidende Expertise fehlt, schließt Etengo diese Lücke mit passgenau ausgewählten Fachkräften. So erhalten Sie genau die Skills, die Sie brauchen, um kritische Projekte termingerecht umzusetzen, Ressourcenengpässe zu überbrücken und Ihre strategischen Ziele im Bereich Digitalisierung und IT sicher zu erreichen.

Nutzen Sie unsere IT-Expertensuche, um sofort auf sorgfältig ausgewählte IT-Sicherheitsspezialisten zuzugreifen. 

IT-Sicherheits-Experten finden

Sie haben ein komplexes Projekt - wir die dazu passende Lösung! Etengo vermittelt nicht nur einzelne Experten, sondern stellt auch gesamte Projektteams nach Ihren Vorgaben zusammen. Sprechen Sie uns an – gemeinsam analysieren wir Ihren Bedarf und stellen die optimale Besetzung für Sie zusammen.

Lassen Sie uns sprechen

Damit wir Sie optimal unterstützen können, möchten wir Ihre Situation und Ihren konkreten Bedarf möglichst genau verstehen.

So finden wir genau die passenden Lösungen für Ihr Vorhaben.

 

Autor:

Christian Toth