SentinelOne® XDR erklärt: Next-Gen Endpoint Security für Unternehmen
SentinelOne ist eine KI-gestützte Sicherheitsplattform, die Angriffe auf Endgeräte in Echtzeit erkennt und automatisch stoppt. XDR steht für Extended Detection and Response und geht über klassischen Virenschutz hinaus, weil es verdächtiges Verhalten statt nur bekannter Signaturen erkennt. Dieser Beitrag erklärt, wie SentinelOne arbeitet und warum herkömmliche Antivirenprogramme nicht mehr genügen.

Warum klassischer Virenschutz nicht mehr reicht
Traditionelle Antivirenlösungen arbeiten signaturbasiert: Sie vergleichen Dateien mit einer Datenbank bekannter Schadsoftware. Wird eine Übereinstimmung gefunden - wird die Datei blockiert. Täglich entstehen aber über 450.000 neue Malware-Varianten (BSI-Lagebericht 2025). Signaturbasierte Lösungen hinken dieser Entwicklung strukturell hinterher.
Moderne Angriffe nutzen zudem Techniken - die klassische Antivirensoftware nicht erkennen kann:
- Fileless Malware: Schadcode - der nur im Arbeitsspeicher läuft und keine Dateien auf der Festplatte hinterlässt
- Living-off-the-Land (LotL): Angreifer missbrauchen legitime Windows-Tools wie PowerShell - WMI oder Certutil
- Polymorphe Malware: Schadcode - der sich bei jeder Ausführung verändert - um Signaturen zu umgehen
- Zero-Day-Exploits: Schwachstellen - für die noch keine Signatur existiert
SentinelOne® löst genau dieses Problem.
Was ist SentinelOne®?
SentinelOne® ist eine autonome Cybersicherheitsplattform - die Endpunkte (PCs - Laptops - Server) mit Hilfe von Künstlicher Intelligenz schützt. Die Plattform erkennt Bedrohungen in Echtzeit - reagiert automatisch und kann Angriffe rückgängig machen - ohne menschliches Eingreifen.
Das Unternehmen wurde 2013 in Israel gegründet und ist seit 2021 an der New Yorker Börse (NYSE: S) notiert. SentinelOne® wird von Gartner als Leader im Magic Quadrant für Endpoint Protection Platforms geführt - neben CrowdStrike und Microsoft®.
EDR - XDR - MXDR - Was bedeutet das?
EDR (Endpoint Detection and Response)
EDR ist die Basistechnologie: Ein Agent auf jedem Endpunkt überwacht alle Prozesse - Netzwerkverbindungen und Dateioperationen in Echtzeit. Verdächtige Aktivitäten werden erkannt - protokolliert und können automatisch gestoppt werden.
Beispiel: Ein Mitarbeitender öffnet einen E-Mail-Anhang. Der Anhang startet einen PowerShell-Prozess - der versucht - eine Datei aus dem Internet nachzuladen. EDR erkennt diese verdächtige Prozesskette und blockiert sie sofort.
XDR (Extended Detection and Response)
XDR geht über den Endpunkt hinaus und korreliert Daten aus mehreren Quellen:
- Endpunkte (Laptops - Server - Workstations)
- Netzwerk (Firewalls - DNS - Proxy)
- Cloud (Microsoft® 365, Azure AD - AWS)
- Identität (Active Directory - SSO-Anbieter)
- E-Mail (Phishing-Erkennung - Anhang-Analyse)
Durch die Korrelation dieser Daten erkennt XDR Angriffe - die über mehrere Ebenen laufen - z. B. eine Phishing-Mail - die zu einem kompromittierten Konto führt - das für laterale Bewegung im Netzwerk genutzt wird.
MXDR (Managed Extended Detection and Response)
MXDR bedeutet - dass ein Team von Sicherheitsexperten die XDR-Plattform rund um die Uhr überwacht und auf Bedrohungen reagiert. Bei SentinelOne® heißt dieser Service Vigilance Respond: ein 24/7-SOC (Security Operations Center) - das Alarme analysiert - False Positives filtert und bei echten Bedrohungen sofort eingreift.
Baltaris bietet SentinelOne® MXDR/ITDR 24/7 als Managed Service an - dein Unternehmen profitiert von Enterprise-Sicherheit - ohne ein eigenes SOC betreiben zu müssen.
Wie SentinelOne® funktioniert
Der Singularity Agent
Auf jedem Endpunkt wird ein leichtgewichtiger Agent installiert (ca. 70 MB - minimale Systembelastung). Dieser Agent arbeitet autonom - er benötigt keine permanente Cloud-Verbindung und schützt auch offline.
KI-basierte Erkennung
SentinelOne® nutzt statische und verhaltensbasierte KI-Modelle:
- Statische KI analysiert Dateien vor der Ausführung und erkennt Malware anhand von Mustern - ohne Signaturen
- Verhaltens-KI überwacht laufende Prozesse und erkennt verdächtiges Verhalten in Echtzeit
- Storyline™-Technologie verknüpft einzelne Ereignisse zu einer zusammenhängenden Angriffskette - vom ersten Zugriff bis zur letzten Aktion
Automatische Reaktion
Bei einer erkannten Bedrohung reagiert SentinelOne® automatisch:
- Kill: Verdächtiger Prozess wird sofort beendet
- Quarantine: Schädliche Datei wird isoliert
- Remediate: Alle vom Angriff vorgenommenen Änderungen werden rückgängig gemacht (Registry - Dateien - Einstellungen)
- Rollback: Das System wird auf den Zustand vor dem Angriff zurückgesetzt (nur Windows - VSS-basiert)
Diese Reaktion erfolgt in Millisekunden: schneller als jeder menschliche Analyst reagieren könnte.
Die SentinelOne® Singularity Platform
Singularity Endpoint
Die Kernlösung: Schutz für Windows - macOS - Linux und mobile Geräte. Umfasst:
- Next-Gen Antivirus (NGAV)
- EDR mit Storyline™
- Automatisierte Reaktion und Rollback
- USB-Device-Control
- Firewall-Kontrolle auf Endpunktebene
Singularity Cloud
Schutz für Cloud-Workloads:
- Container-Sicherheit (Kubernetes - Docker)
- Serverless-Protection (AWS Lambda)
- Cloud Security Posture Management (CSPM)
- Cloud Workload Protection (CWPP)
Singularity Identity (ITDR)
Identity Threat Detection and Response - Schutz für Active Directory und Azure AD:
- Erkennung von Credential-Diebstahl (Pass-the-Hash - Kerberoasting)
- Schutz vor lateraler Bewegung im Netzwerk
- Täuschungstechnologie (Deception): Fake-Konten und -Ressourcen - die Angreifer in die Falle locken
- AD-Schwachstellenanalyse in Echtzeit
Singularity Data Lake
Zentraler Datenspeicher für alle Sicherheitsereignisse:
- Bis zu 365 Tage Datenaufbewahrung
- Schnelle Suche und Korrelation über alle Datenquellen
- SIEM-ähnliche Funktionalität ohne separates SIEM
- Custom Detection Rules und Hunting Queries
Purple AI
SentinelOne® hat mit Purple AI einen KI-Assistenten integriert - der natürliche Sprache versteht:
- „Zeige mir alle Prozesse - die in den letzten 24 Stunden PowerShell gestartet haben"
- „Gibt es Anzeichen für laterale Bewegung im Netzwerk?"
- „Erstelle einen Bericht über alle Bedrohungen der letzten Woche"
Purple AI macht Threat Hunting auch für Analysten ohne tiefes Query-Wissen zugänglich.
SentinelOne® im Vergleich
SentinelOne® vs. CrowdStrike
Die beiden Marktführer im Vergleich:
- Architektur: SentinelOne® arbeitet agentenbasiert und autonom (funktioniert auch offline). CrowdStrike ist stärker Cloud-abhängig.
- Automatisierung: SentinelOne® bietet automatisierten Rollback auf Endpunktebene. CrowdStrike setzt stärker auf manuelle Analyse im SOC.
- CrowdStrike-Vorfall Juli 2024: Ein fehlerhaftes CrowdStrike-Update legte weltweit 8,5 Mio. Windows-Systeme lahm - Flughäfen - Krankenhäuser und Banken waren betroffen. SentinelOne®s dezentrale Architektur macht einen solchen globalen Ausfall unwahrscheinlicher.
- Preis: Beide in ähnlichen Preiskategorien - SentinelOne® tendenziell etwas günstiger bei vergleichbarem Funktionsumfang.
SentinelOne® vs. Microsoft® Defender for Endpoint
- Defender ist in Microsoft® 365 E5 enthalten - kein Zusatzkauf nötig - wenn die Lizenz bereits vorhanden ist
- SentinelOne® bietet tiefere Automatisierung (Rollback) - bessere Linux/macOS-Unterstützung und ist plattformunabhängig
- In reinen Microsoft®-Umgebungen kann Defender ausreichen. In heterogenen Umgebungen oder bei höheren Sicherheitsanforderungen ist SentinelOne® die bessere Wahl
SentinelOne® vs. Sophos Intercept X
- Sophos ist stark im KMU-Segment und bietet gute Integration mit Sophos-Firewalls (Synchronized Security)
- SentinelOne® ist technisch überlegen bei KI-Erkennung - Automatisierung und XDR-Korrelation
- Sophos hat Vorteile - wenn bereits eine Sophos-Firewall im Einsatz ist
Editionen und Preise
SentinelOne® bietet mehrere Pakete:
Singularity Core
- NGAV + EDR
- Automatische Erkennung und Reaktion
- 14 Tage Datenaufbewahrung
- Ab ca. 4 bis 6 € pro Endpunkt/Monat
Singularity Control
- Alles aus Core
- Plus: Device Control - Firewall Control - Rogue Device Discovery
- 30 Tage Datenaufbewahrung
- Ab ca. 6 bis 8 € pro Endpunkt/Monat
Singularity Complete
- Alles aus Control
- Plus: Storyline Active Response (STAR) - Remote Shell - 90 Tage Datenaufbewahrung
- Ab ca. 8 bis 12 € pro Endpunkt/Monat
Singularity Commercial / Enterprise
- XDR-Funktionalität über Endpunkte hinaus
- Singularity Data Lake - Identity - Cloud
- 365 Tage Datenaufbewahrung
- Purple AI
- Preise auf Anfrage
Hinweis: Die Preise variieren je nach Lizenzvolumen und Vertragslaufzeit. Als SentinelOne®-Partner beraten wir dich gerne zum optimalen Paket.
Implementierung: Was du wissen solltest
Rollout
- Der Agent wird über Gruppenrichtlinien - Intune - RMM-Tools oder manuell ausgerollt
- Die Installation dauert ca. 2 bis 3 Minuten pro Mitarbeitenden und erfordert einen Neustart
- Bestehende Antivirenlösungen werden automatisch erkannt und können parallel oder als Ersatz betrieben werden
Management-Konsole
Die cloud-basierte Konsole bietet:
- Echtzeit-Dashboard mit Bedrohungsübersicht
- Geräte-Inventar mit Status und Patch-Stand
- Policy-Management (Gruppen - Ausnahmen - Automatisierungsregeln)
- Incident-Ansicht mit Storyline™-Visualisierung
- Forensische Analyse und Remote Shell
Exclusions und Tuning
In den ersten Wochen nach dem Rollout ist Feintuning wichtig:
- Branchensoftware kann False Positives auslösen
- Exclusions müssen gezielt und minimal gesetzt werden
- Ein erfahrener Partner spart hier Wochen an Trial-and-Error
SentinelOne® und NIS2
Die NIS2-Richtlinie fordert „dem Stand der Technik entsprechende" Sicherheitsmaßnahmen. SentinelOne® erfüllt zahlreiche NIS2-Anforderungen:
- Erkennung und Reaktion auf Sicherheitsvorfälle: automatisiert in Echtzeit
- Meldepflicht: Storyline™ liefert die forensischen Daten für die 24h/72h-Meldung
- Risikomanagement: Schwachstellenerkennung und Compliance-Dashboards
- Supply Chain Security: Rogue Device Discovery erkennt unbekannte Geräte im Netzwerk
Fazit
SentinelOne® XDR ist weit mehr als ein Antivirenprogramm - es ist eine autonome Sicherheitsplattform - die Bedrohungen erkennt - stoppt und rückgängig macht - bevor Schaden entsteht. Die Kombination aus KI-basierter Erkennung - automatischer Reaktion und der Storyline™-Technologie macht SentinelOne® zu einer der fortschrittlichsten Endpoint-Security-Lösungen auf dem Markt.
Für KMU ist besonders die Möglichkeit interessant - SentinelOne® als Managed Service (MXDR) zu beziehen: Enterprise-Sicherheit mit 24/7-Überwachung - ohne ein eigenes Security-Team aufbauen zu müssen.
Du möchtest wissen - wie gut deine Endpunkte geschützt sind - oder SentinelOne® in deiner Umgebung testen? Wir bieten eine kostenlose Ersteinschätzung und Proof-of-Concept an. Kontaktiere uns für ein unverbindliches Gespräch.
Fragen zu diesem Thema?
Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.
Weitere Artikel
IT-Sicherheit im Mittelstand: Warum KMU besonders gefährdet sind
Kleine und mittlere Unternehmen sind das Hauptziel von Cyberangriffen. Wir erklären warum, und was du dagegen tun kannst.
Veeam Backup erklärt: Datensicherung für Unternehmen
Veeam ist der Marktführer für Backup und Recovery. Wir erklären Funktionen, Editionen, Lizenzmodelle und Best Practices, alles, was du für eine sichere Datensicherung wissen musst.
Patchmanagement erklärt: Warum Updates überlebenswichtig sind
Ungepatchte Systeme sind das Einfallstor Nr. 1 für Cyberangriffe. Wir erklären, was Patchmanagement ist, warum es so kritisch ist und wie du es professionell umsetzt.