Zum Inhalt springen
Zurück zum Blog
Sicherheit
·Rouwen Behncke
11 Min.

SentinelOne® XDR erklärt: Next-Gen Endpoint Security für Unternehmen

SentinelOne ist eine KI-gestützte Sicherheitsplattform, die Angriffe auf Endgeräte in Echtzeit erkennt und automatisch stoppt. XDR steht für Extended Detection and Response und geht über klassischen Virenschutz hinaus, weil es verdächtiges Verhalten statt nur bekannter Signaturen erkennt. Dieser Beitrag erklärt, wie SentinelOne arbeitet und warum herkömmliche Antivirenprogramme nicht mehr genügen.

SentinelOne® XDR erklärt: Next-Gen Endpoint Security für Unternehmen

Warum klassischer Virenschutz nicht mehr reicht

Traditionelle Antivirenlösungen arbeiten signaturbasiert: Sie vergleichen Dateien mit einer Datenbank bekannter Schadsoftware. Wird eine Übereinstimmung gefunden - wird die Datei blockiert. Täglich entstehen aber über 450.000 neue Malware-Varianten (BSI-Lagebericht 2025). Signaturbasierte Lösungen hinken dieser Entwicklung strukturell hinterher.

Moderne Angriffe nutzen zudem Techniken - die klassische Antivirensoftware nicht erkennen kann:

  • Fileless Malware: Schadcode - der nur im Arbeitsspeicher läuft und keine Dateien auf der Festplatte hinterlässt
  • Living-off-the-Land (LotL): Angreifer missbrauchen legitime Windows-Tools wie PowerShell - WMI oder Certutil
  • Polymorphe Malware: Schadcode - der sich bei jeder Ausführung verändert - um Signaturen zu umgehen
  • Zero-Day-Exploits: Schwachstellen - für die noch keine Signatur existiert

SentinelOne® löst genau dieses Problem.

Was ist SentinelOne®?

SentinelOne® ist eine autonome Cybersicherheitsplattform - die Endpunkte (PCs - Laptops - Server) mit Hilfe von Künstlicher Intelligenz schützt. Die Plattform erkennt Bedrohungen in Echtzeit - reagiert automatisch und kann Angriffe rückgängig machen - ohne menschliches Eingreifen.

Das Unternehmen wurde 2013 in Israel gegründet und ist seit 2021 an der New Yorker Börse (NYSE: S) notiert. SentinelOne® wird von Gartner als Leader im Magic Quadrant für Endpoint Protection Platforms geführt - neben CrowdStrike und Microsoft®.

EDR - XDR - MXDR - Was bedeutet das?

EDR (Endpoint Detection and Response)

EDR ist die Basistechnologie: Ein Agent auf jedem Endpunkt überwacht alle Prozesse - Netzwerkverbindungen und Dateioperationen in Echtzeit. Verdächtige Aktivitäten werden erkannt - protokolliert und können automatisch gestoppt werden.

Beispiel: Ein Mitarbeitender öffnet einen E-Mail-Anhang. Der Anhang startet einen PowerShell-Prozess - der versucht - eine Datei aus dem Internet nachzuladen. EDR erkennt diese verdächtige Prozesskette und blockiert sie sofort.

XDR (Extended Detection and Response)

XDR geht über den Endpunkt hinaus und korreliert Daten aus mehreren Quellen:

  • Endpunkte (Laptops - Server - Workstations)
  • Netzwerk (Firewalls - DNS - Proxy)
  • Cloud (Microsoft® 365, Azure AD - AWS)
  • Identität (Active Directory - SSO-Anbieter)
  • E-Mail (Phishing-Erkennung - Anhang-Analyse)

Durch die Korrelation dieser Daten erkennt XDR Angriffe - die über mehrere Ebenen laufen - z. B. eine Phishing-Mail - die zu einem kompromittierten Konto führt - das für laterale Bewegung im Netzwerk genutzt wird.

MXDR (Managed Extended Detection and Response)

MXDR bedeutet - dass ein Team von Sicherheitsexperten die XDR-Plattform rund um die Uhr überwacht und auf Bedrohungen reagiert. Bei SentinelOne® heißt dieser Service Vigilance Respond: ein 24/7-SOC (Security Operations Center) - das Alarme analysiert - False Positives filtert und bei echten Bedrohungen sofort eingreift.

Baltaris bietet SentinelOne® MXDR/ITDR 24/7 als Managed Service an - dein Unternehmen profitiert von Enterprise-Sicherheit - ohne ein eigenes SOC betreiben zu müssen.

Wie SentinelOne® funktioniert

Der Singularity Agent

Auf jedem Endpunkt wird ein leichtgewichtiger Agent installiert (ca. 70 MB - minimale Systembelastung). Dieser Agent arbeitet autonom - er benötigt keine permanente Cloud-Verbindung und schützt auch offline.

KI-basierte Erkennung

SentinelOne® nutzt statische und verhaltensbasierte KI-Modelle:

  • Statische KI analysiert Dateien vor der Ausführung und erkennt Malware anhand von Mustern - ohne Signaturen
  • Verhaltens-KI überwacht laufende Prozesse und erkennt verdächtiges Verhalten in Echtzeit
  • Storyline™-Technologie verknüpft einzelne Ereignisse zu einer zusammenhängenden Angriffskette - vom ersten Zugriff bis zur letzten Aktion

Automatische Reaktion

Bei einer erkannten Bedrohung reagiert SentinelOne® automatisch:

  1. Kill: Verdächtiger Prozess wird sofort beendet
  2. Quarantine: Schädliche Datei wird isoliert
  3. Remediate: Alle vom Angriff vorgenommenen Änderungen werden rückgängig gemacht (Registry - Dateien - Einstellungen)
  4. Rollback: Das System wird auf den Zustand vor dem Angriff zurückgesetzt (nur Windows - VSS-basiert)

Diese Reaktion erfolgt in Millisekunden: schneller als jeder menschliche Analyst reagieren könnte.

Die SentinelOne® Singularity Platform

Singularity Endpoint

Die Kernlösung: Schutz für Windows - macOS - Linux und mobile Geräte. Umfasst:

  • Next-Gen Antivirus (NGAV)
  • EDR mit Storyline™
  • Automatisierte Reaktion und Rollback
  • USB-Device-Control
  • Firewall-Kontrolle auf Endpunktebene

Singularity Cloud

Schutz für Cloud-Workloads:

  • Container-Sicherheit (Kubernetes - Docker)
  • Serverless-Protection (AWS Lambda)
  • Cloud Security Posture Management (CSPM)
  • Cloud Workload Protection (CWPP)

Singularity Identity (ITDR)

Identity Threat Detection and Response - Schutz für Active Directory und Azure AD:

  • Erkennung von Credential-Diebstahl (Pass-the-Hash - Kerberoasting)
  • Schutz vor lateraler Bewegung im Netzwerk
  • Täuschungstechnologie (Deception): Fake-Konten und -Ressourcen - die Angreifer in die Falle locken
  • AD-Schwachstellenanalyse in Echtzeit

Singularity Data Lake

Zentraler Datenspeicher für alle Sicherheitsereignisse:

  • Bis zu 365 Tage Datenaufbewahrung
  • Schnelle Suche und Korrelation über alle Datenquellen
  • SIEM-ähnliche Funktionalität ohne separates SIEM
  • Custom Detection Rules und Hunting Queries

Purple AI

SentinelOne® hat mit Purple AI einen KI-Assistenten integriert - der natürliche Sprache versteht:

  • „Zeige mir alle Prozesse - die in den letzten 24 Stunden PowerShell gestartet haben"
  • „Gibt es Anzeichen für laterale Bewegung im Netzwerk?"
  • „Erstelle einen Bericht über alle Bedrohungen der letzten Woche"

Purple AI macht Threat Hunting auch für Analysten ohne tiefes Query-Wissen zugänglich.

SentinelOne® im Vergleich

SentinelOne® vs. CrowdStrike

Die beiden Marktführer im Vergleich:

  • Architektur: SentinelOne® arbeitet agentenbasiert und autonom (funktioniert auch offline). CrowdStrike ist stärker Cloud-abhängig.
  • Automatisierung: SentinelOne® bietet automatisierten Rollback auf Endpunktebene. CrowdStrike setzt stärker auf manuelle Analyse im SOC.
  • CrowdStrike-Vorfall Juli 2024: Ein fehlerhaftes CrowdStrike-Update legte weltweit 8,5 Mio. Windows-Systeme lahm - Flughäfen - Krankenhäuser und Banken waren betroffen. SentinelOne®s dezentrale Architektur macht einen solchen globalen Ausfall unwahrscheinlicher.
  • Preis: Beide in ähnlichen Preiskategorien - SentinelOne® tendenziell etwas günstiger bei vergleichbarem Funktionsumfang.

SentinelOne® vs. Microsoft® Defender for Endpoint

  • Defender ist in Microsoft® 365 E5 enthalten - kein Zusatzkauf nötig - wenn die Lizenz bereits vorhanden ist
  • SentinelOne® bietet tiefere Automatisierung (Rollback) - bessere Linux/macOS-Unterstützung und ist plattformunabhängig
  • In reinen Microsoft®-Umgebungen kann Defender ausreichen. In heterogenen Umgebungen oder bei höheren Sicherheitsanforderungen ist SentinelOne® die bessere Wahl

SentinelOne® vs. Sophos Intercept X

  • Sophos ist stark im KMU-Segment und bietet gute Integration mit Sophos-Firewalls (Synchronized Security)
  • SentinelOne® ist technisch überlegen bei KI-Erkennung - Automatisierung und XDR-Korrelation
  • Sophos hat Vorteile - wenn bereits eine Sophos-Firewall im Einsatz ist

Editionen und Preise

SentinelOne® bietet mehrere Pakete:

Singularity Core

  • NGAV + EDR
  • Automatische Erkennung und Reaktion
  • 14 Tage Datenaufbewahrung
  • Ab ca. 4 bis 6 € pro Endpunkt/Monat

Singularity Control

  • Alles aus Core
  • Plus: Device Control - Firewall Control - Rogue Device Discovery
  • 30 Tage Datenaufbewahrung
  • Ab ca. 6 bis 8 € pro Endpunkt/Monat

Singularity Complete

  • Alles aus Control
  • Plus: Storyline Active Response (STAR) - Remote Shell - 90 Tage Datenaufbewahrung
  • Ab ca. 8 bis 12 € pro Endpunkt/Monat

Singularity Commercial / Enterprise

  • XDR-Funktionalität über Endpunkte hinaus
  • Singularity Data Lake - Identity - Cloud
  • 365 Tage Datenaufbewahrung
  • Purple AI
  • Preise auf Anfrage

Hinweis: Die Preise variieren je nach Lizenzvolumen und Vertragslaufzeit. Als SentinelOne®-Partner beraten wir dich gerne zum optimalen Paket.

Implementierung: Was du wissen solltest

Rollout

  • Der Agent wird über Gruppenrichtlinien - Intune - RMM-Tools oder manuell ausgerollt
  • Die Installation dauert ca. 2 bis 3 Minuten pro Mitarbeitenden und erfordert einen Neustart
  • Bestehende Antivirenlösungen werden automatisch erkannt und können parallel oder als Ersatz betrieben werden

Management-Konsole

Die cloud-basierte Konsole bietet:

  • Echtzeit-Dashboard mit Bedrohungsübersicht
  • Geräte-Inventar mit Status und Patch-Stand
  • Policy-Management (Gruppen - Ausnahmen - Automatisierungsregeln)
  • Incident-Ansicht mit Storyline™-Visualisierung
  • Forensische Analyse und Remote Shell

Exclusions und Tuning

In den ersten Wochen nach dem Rollout ist Feintuning wichtig:

  • Branchensoftware kann False Positives auslösen
  • Exclusions müssen gezielt und minimal gesetzt werden
  • Ein erfahrener Partner spart hier Wochen an Trial-and-Error

SentinelOne® und NIS2

Die NIS2-Richtlinie fordert „dem Stand der Technik entsprechende" Sicherheitsmaßnahmen. SentinelOne® erfüllt zahlreiche NIS2-Anforderungen:

  • Erkennung und Reaktion auf Sicherheitsvorfälle: automatisiert in Echtzeit
  • Meldepflicht: Storyline™ liefert die forensischen Daten für die 24h/72h-Meldung
  • Risikomanagement: Schwachstellenerkennung und Compliance-Dashboards
  • Supply Chain Security: Rogue Device Discovery erkennt unbekannte Geräte im Netzwerk

Fazit

SentinelOne® XDR ist weit mehr als ein Antivirenprogramm - es ist eine autonome Sicherheitsplattform - die Bedrohungen erkennt - stoppt und rückgängig macht - bevor Schaden entsteht. Die Kombination aus KI-basierter Erkennung - automatischer Reaktion und der Storyline™-Technologie macht SentinelOne® zu einer der fortschrittlichsten Endpoint-Security-Lösungen auf dem Markt.

Für KMU ist besonders die Möglichkeit interessant - SentinelOne® als Managed Service (MXDR) zu beziehen: Enterprise-Sicherheit mit 24/7-Überwachung - ohne ein eigenes Security-Team aufbauen zu müssen.

Du möchtest wissen - wie gut deine Endpunkte geschützt sind - oder SentinelOne® in deiner Umgebung testen? Wir bieten eine kostenlose Ersteinschätzung und Proof-of-Concept an. Kontaktiere uns für ein unverbindliches Gespräch.

Fragen zu diesem Thema?

Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.

Baltaris - Einfach. Sicher. Eure IT.
    RB

    Rouwen Behncke

    Geschäftsführer, Baltaris GmbH

    LinkedIn-Profil