Validierung der EDR-Erkennung 2025

Nach dem Start des Pilotprojekts Anfang des Jahres hat AV-Comparatives nun die 2025 Runde des EDR Detection Validation Test abgeschlossen. Bei dieser unabhängigen Bewertung wurden sieben Cybersicherheitslösungen für Unternehmen unter fortgeschrittenen Bedrohungsszenarien getestet. Ziel war es, ihre Fähigkeit zu bewerten, reale Angriffe mit Präzision und Transparenz zu erkennen und zu melden.

Der Test umfasst ein vollständiges Angriffsszenario, das aus 12 Schritten und mehreren Unterschritten besteht, sowie eine Signal-Rausch-Bewertung. Die getesteten Produkte wurden im Modus "Nur Erkennung" konfiguriert, um ihre Fähigkeiten bei der Identifizierung jeder in den Angriffsschritten verwendeten Technik genau zu bewerten.

Wir freuen uns, bekannt geben zu können, dass bisher insgesamt fünf Lösungen nach unserer transparenten und strengen Methodik zertifiziert wurden - vier im Rahmen des jüngsten Zertifizierungstests 2025 und eine in der früheren Pilotphase.

Die folgenden Produkte wurden in der Testrunde 2025 zertifiziert:

crowdstrike

CrowdStrike Falcon Pro

ESET

ESET PROTECT Enterprise Cloud

g-data

G DATEN 365 MXDR (MDR-Lösung)

Kaspersky

Kaspersky Next EDR Experte (im Pilotversuch)

Palo Alto Networks

Palo Alto Networks Cortex XDR Pro

Während beim Pilottest dieselbe Kernmethodik verwendet wurde, wurden die Angriffsszenarien, Messgrößen und Bewertungskriterien beim Zertifizierungstest aufgrund des Feedbacks der Analysten angepasst. Daher sind die Ergebnisse des Pilot- und des Zertifizierungstests nicht direkt vergleichbar. Im Allgemeinen sollten die Ergebnisse aufgrund der Art dieses Tests und der sich entwickelnden Angriffsszenarien als eigenständige Ergebnisse betrachtet und nicht für einen direkten Produktvergleich herangezogen werden.

Fokus auf Sichtbarkeit in der realen Welt

Diese Evaluierung simuliert APT-Angriffe (Advanced Persistent Threat) unter Verwendung bekannter TTPs (Tactics, Techniques, and Procedures) aus Frameworks wie MITRE ATT&CK. Alle Produkte wurden nur im Überwachungsmodus getestet, d. h. die Präventionsfunktionen waren deaktiviert. Das Ziel: Es soll gemessen werden, wie gut Bedrohungen erkannt und gemeldet, nicht aber abgewehrt werden.

Höhepunkte der Methodik:

  • Ausführung von komplexen Angriffsketten
  • Validierung von Erkennungen über Warnungen in der Management-Konsole oder durch manuelle Bedrohungssuche in der Telemetrie
  • Transparentes Zertifizierungsmodell: nur Produkte, die die Nachweisgrenze erfüllen, werden zertifiziert und öffentlich gelistet
EDR Detection Validation Test