AV-Comparatives hat die Runde 2026 des Programms EDR-Erkennungsvalidierungstest, eine der gründlichsten unabhängigen Bewertungen der Erkennungsfähigkeiten von Unternehmen. Dieses Jahr sah starke Beteiligung in der gesamten Branche, und unterstreicht damit die wachsende Bedeutung von Erkennungs-, Sichtbarkeits- und Ermittlungsfunktionen für die moderne Cybersicherheit.

https://www.av-comparatives.org/news/edr-detection-validation-2026/

Mit dem Test soll bewertet werden, wie effektiv Sicherheitslösungen für Unternehmen fortgeschrittene, mehrstufige Angriffe erkennen und aufdecken. Insgesamt neun Produkte wurden erfolgreich zertifiziert nach der strengen und transparenten Methodik von AV-Comparatives.

Ein Benchmark für die Erkennung in der realen Welt

Da Prävention allein nicht mehr ausreicht, sind Unternehmen zunehmend auf EDR-, XDR- und MDR-Lösungen angewiesen, um Identifizierung und Untersuchung von Bedrohungen, die bereits die ersten Abwehrmaßnahmen umgangen haben.

Der EDR Detection Validation Test konzentriert sich genau auf diese Herausforderung. Er bietet eine strukturierte und praktische Bewertung von:

• Erfassungsbereich über alle Angriffsstadien hinweg
• Qualität und Nutzbarkeit der Telemetrie
• Klarheit der Warnungen und Korrelation zu sinnvollen Vorfällen

Es geht nicht nur darum, festzustellen, ob etwas entdeckt wird, sondern wie brauchbar diese Erkennung in einer realen SOC-Umgebung ist.

Strukturiert, transparent und umsetzbar

Der Test 2026 simuliert ein realistisches Advanced Persistent Threat (APT)-Szenario, bestehend aus 14 klar definierte Stufen, die den gesamten Verlauf von der ersten Kompromittierung bis zu den Auswirkungen auf Domänenebene abdecken.

Jeder Schritt wird einzeln ausgewertet, so dass die Analysten ihn nachvollziehen können:

• wo die Sichtbarkeit gewährleistet ist
• ob die Erkennung sofort erfolgt (alarmabhängig) oder eine Untersuchung erfordert (Telemetrie)
• wie gut die Angriffskette rekonstruiert werden kann

Alle Produkte sind konfiguriert in reiner Erkennungsmodus, Dadurch wird sichergestellt, dass die Ergebnisse nicht durch Präventionsmechanismen beeinflusst werden und dass die Erkennungsfähigkeiten der verschiedenen Anbieter einheitlich bewertet werden können. .

Dieser strukturierte Ansatz bietet klare und interpretierbare Ergebnisse, Dies erleichtert das Verständnis von Stärken und Schwächen, ohne dass umfangreiche Interpretationen erforderlich sind.

Erkennung vs. betriebliche Realität

Ein wesentliches Unterscheidungsmerkmal dieser Evaluierung ist ihr Schwerpunkt auf betriebliche Verwendbarkeit, und nicht nur die technische Erkennung.

Bei dem Test wird ausdrücklich unterschieden zwischen:

• Aktive Reaktion (Warnungen) - unmittelbare Sichtbarkeit
• Telemetrie (Bedrohungsjagd) - Sichtbarkeit, die eine Untersuchung durch einen Analysten erfordert

Darüber hinaus werden spezielle Signal-Rausch-Szenarien das Verhalten der Produkte bei unbedenklichen administrativen Tätigkeiten zu bewerten, um übermäßige oder irreführende Warnmeldungen zu erkennen. .

Dies spiegelt die realen SOC-Bedingungen wider, bei denen sowohl fehlende Signale und übermäßiges Rauschen kann die Wirksamkeit von Erkennung und Reaktion erheblich beeinträchtigen.

Zertifizierte Produkte - EDR-, XDR- und MDR-Lösungen

Die Runde 2026 zeigte ein starkes Engagement von Unternehmensanbietern, mit eine große Anzahl von Produkten, die teilnehmen in der Bewertung.

Darunter, neun Lösungen wurden erfolgreich zertifiziert, demonstrieren:

• konsistente Sichtbarkeit über einen Großteil der Angriffsstufen
• ausreichender Kontext zur Unterstützung von Ermittlungen und Bedrohungsjagd
• kontrolliertes und kontrollierbares Alarmierungsverhalten

Die folgenden Produkte wurden in der Testrunde 2026 zertifiziert:

• Bitdefender GravityZone Business Security Enterprise
• ESET PROTECT Elite
• Fortinet FortiEDR
• G Daten 365 | MXDR
• Genianische Einblicke E
• Kaspersky EDR Expert (vor Ort)
• ManageEngine Endpoint Central mit EDR
• Palo Alto Networks Cortex XDR Pro
• Sangfor Athena AI-Native EPP

Nur zertifizierte Produkte werden öffentlich aufgelistet. Nicht zertifizierte Anbieter erhalten detailliertes Feedback, um die Weiterentwicklung zu unterstützen.

Entwickelt für Analysten und Entscheidungsträger

Ein Hauptziel des EDR-Erkennungsvalidierungstests ist die Bereitstellung Ergebnisse, die direkt für die Entscheidungsfindung genutzt werden können. Anstatt sich auf abstrakte Metriken oder übermäßig komplexe Datensätze zu konzentrieren, liefert der Test Ergebnisse:

• eine klare Schritt-für-Schritt-Ansicht des Erfassungsbereichs
• Einblick in die Art und Weise, wie die Erkennungsinformationen präsentiert werden
• ein Verständnis für den Aufwand, der zur Untersuchung eines Angriffs erforderlich ist

Wie in der Zusammenfassung (PDF-Berichte, Seite 2) dargestellt, wird die Sichtbarkeit der Erkennung danach bewertet, ob Aktivitäten durch Warnmeldungen oder durch strukturierte Telemetrie, die eine Untersuchung ermöglicht, identifiziert werden können. Dies macht die Ergebnisse besonders wertvoll für SOC-Teams, Analysten und Unternehmenskäufer die eher praktische, interpretierbare Erkenntnisse als theoretische Leistungsindikatoren benötigen.

Kontinuierliche Entwicklung

Ein Thema dominiert sie alle: KI. Cybersecurity-Lösungen bilden da keine Ausnahme. Tatsächlich gehören LLM- und neuronale Netzwerkfunktionen schon lange zum Arsenal der Anbieter. Was bei diesem Test auffiel, war, dass KI zunehmend nicht nur zur Verstärkung des Schutzes eingesetzt wird, sondern auch, um die Erkennungsergebnisse zusammenzufassen, sie zugänglicher und lesbarer zu machen und die Arbeitsabläufe der Analysten zu optimieren. Diese Entwicklung von der Verstärkung des Schutzes zur Maximierung der Benutzerfreundlichkeit ist eine natürliche Entwicklung, die von Administratoren und Forensikern gleichermaßen begrüßt wird.

Der EDR Detection Validation Test entwickelt sich parallel dazu weiter. Die Ausgabe 2026 wird auf der Grundlage des Feedbacks von Analysten, Anbietern und Unternehmensanwendern kontinuierlich weiterentwickelt und gestärkt:

• Klarheit der Unterscheidung zwischen Detektion und Telemetrie
• Konzentration auf die betrieblichen Auswirkungen und die Arbeitsbelastung der Analysten
• Realismus und Vielfalt der Angriffsszenarien

Zukünftige Iterationen werden weiterhin die sich ändernden Angreifertechniken und Unternehmensanforderungen widerspiegeln.

Schlussfolgerung

Die Ergebnisse aus dem Jahr 2026 unterstreichen die Bedeutung von hochwertige Erkennung und Sichtbarkeit als Kernfunktion moderner Sicherheitslösungen für Endgeräte.

Durch die Kombination realistischer Angriffssimulationen mit einer strukturierten und interpretierbaren Methodik bietet der EDR Detection Validation Test eine robuster und praktischer Benchmark zur Bewertung der Erkennungsfähigkeiten in realen Umgebungen.

Sind Sie an einer Teilnahme interessiert?

Der EDR Detection Validation Test steht EPP-, EDR-, XDR- und MDR-Anbietern offen, die eine unabhängige Validierung ihrer Erkennungsfähigkeiten anstreben. Die Zertifizierung bietet Anbietern sowohl die Anerkennung der Branche als auch einen tiefen technischen Einblick in die reale Leistung ihrer Lösung.

Kontakt bis am nächsten Testzyklus teilnehmen.