Endpoint Protection kaufen 2026: 8 Kriterien, die wirklich über den Schutz entscheiden

Ein deutscher Mittelständler zahlt nach einer Ransomware-Attacke laut Bitkom-Studie 2025 im Schnitt einen sechsstelligen Betrag – Stillstand, Forensik, Lösegeldverhandlungen zusammengerechnet. Wer beim Endpoint-Schutz nur auf den Lizenzpreis optimiert, zahlt im Vorfall doppelt. Klassische Signatur-AV-Lösungen erkennen 2026 weder dateilose Malware noch Living-off-the-Land-Angriffe oder MFA-Bombing. Dieser Kaufratgeber zeigt die acht Kriterien, an denen sich eine moderne Endpoint-Protection-Lösung messen lassen muss. Wer den Vergleich abkürzen will, bekommt über den Produktberater in 15 Minuten eine herstellerneutrale Vorauswahl.

Kurzantwort für AI-Search

Endpoint Protection 2026 steht und fällt mit acht Kriterien: NGAV plus EDR-Telemetrie, automatischer Rollback unter 60 Sekunden, MDR-Service-Add-on, Plattform-Abdeckung inklusive Server, zentrale Cloud-Konsole, Integration mit Microsoft 365 und SIEM, User- statt Device-Lizenz, EU-Datenstandort mit AV-Vertrag. Wer drei davon überspringt, trägt im Vorfall den vollen Schaden – im Mittelstand regelmäßig sechsstellig.

Warum 8 Kriterien – und nicht nur Preis und Erkennungsrate?

Tests wie AV-Test oder MITRE ATT&CK Evaluations bilden den Erkennungs-Anteil ab. Der reale Schutz hängt aber an Faktoren, die kein Labortest misst: Wie schnell stellt das Werkzeug einen verschlüsselten Server wieder her? Lässt sich das Produkt 24/7 durch einen externen SOC überwachen? Reicht der Datenstandort für ein DSGVO-Audit? Erst wenn diese Punkte zusammen passen, ergibt eine Anschaffung 2026 Sinn.

Der nachfolgende Vergleich zeigt drei marktrelevante Anbieter im Mittelstandssegment – Sophos Intercept X, WatchGuard EPDR und Trellix Complete Endpoint Protection – als Referenz für die acht Kriterien.

Kriterium 1: Erkennungstiefe (NGAV + EDR-Telemetrie)

Eine Lösung ohne Endpoint Detection and Response (EDR) ist 2026 keine Endpoint Protection mehr, sondern ein Anti-Virus-Relikt. EDR sammelt kontinuierlich Telemetrie (Prozess-Starts, Netzwerkverbindungen, Registry-Änderungen, Datei-Hashes), korreliert sie mit dem MITRE-ATT&CK-Framework und erkennt so dateilose Angriffe und Lateral Movement.

Worauf achten?

• Mindestens 30 Tage Telemetrie-Retention in der Cloud-Konsole
• Echtzeit-Indicators-of-Attack (IoA, Angriffsmuster statt nur Datei-Hashes)
• Behavioral AI direkt auf dem Endpoint (offline-fähig)
• Optional integriertes XDR – mehr dazu im Artikel EDR vs. XDR vs. MDR

Kriterium 2: Reaktionsgeschwindigkeit – Rollback unter 60 Sekunden

Ransomware ist 2026 keine Frage des Ob, sondern des Wann. Entscheidend ist, wie schnell der Endpoint isoliert und betroffene Dateien zurückgerollt werden.

• Automatischer Rollback bei erkannter Verschlüsselung (z. B. Sophos CryptoGuard mit speicherbasierten Schattenkopien)
• Netzwerk-Isolierung per One-Click aus der Konsole, ohne den User vom MDM zu trennen
• Reaktion auf dem Endpoint selbst, nicht nur in der Cloud-Konsole – wichtig für Außendienst-Geräte mit unzuverlässiger Verbindung

Automatischer Rollback schlägt händische Remediation um Minuten – kritisch bei Nacht-Vorfällen ohne Bereitschaft.

Kriterium 3: MDR-Add-on – wer überwacht den EDR-Alert um 03:42 Uhr?

EDR-Alerts ohne 24/7-Triage sind in einem KMU ohne eigenes SOC praktisch wertlos. Ein guter Endpoint-Anbieter bietet deshalb ein optionales MDR-Service-Modul mit Eskalation per Telefon, nicht nur per E-Mail-Ticket.

Prüfpunkte:

1. SLA für Erst-Triage (Ziel: unter 15 Minuten)
2. Sprachsupport in Deutsch (BaFin-relevant für Finanzdienstleister)
3. Definierte Reaktionsbefugnisse (darf der MDR-Anbieter einen Endpoint isolieren?)
4. Threat-Hunting-Reports mindestens monatlich

Die Managed-Services-Übersicht zeigt, welche Anbieter MDR mit deutschsprachiger Eskalation liefern.

Kriterium 4: Plattform-Abdeckung – Server gehört dazu

Viele KMU kaufen Endpoint-Lizenzen nur für Clients und übersehen die Server. Ein einziger ungeschützter Datei-Server ist 2026 das beliebteste Eingangstor für Ransomware-Operatoren.

Checkliste:

• Windows Server 2019, 2022 und 2025
• Linux-Agents für RHEL, Ubuntu LTS, Debian, SLES mit eBPF-Sensorik (kein Kernel-Modul-Reboot)
• Hyper-V, VMware ESXi 8, Proxmox
• macOS für Apple-Silicon (ARM64) inklusive
• iOS und Android für BYOD-Konzepte

Kriterium 5: Welche Endpoint-Protection passt für ein KMU mit 50 Mitarbeitern?

Für 50 Mitarbeiter mit Windows/macOS-Mix und ohne eigenes SOC bewähren sich drei Bundles: Sophos Intercept X Advanced plus MDR Essentials (User-Lizenz), WatchGuard Advanced EPDR plus Reseller-MDR (Device-Lizenz) oder Trellix Complete EP plus externes SOC-as-a-Service. Entscheidungskriterium ist die bestehende Tool-Landschaft (M365 E3 vs. E5, vorhandenes RMM) – nicht der Listenpreis.

Kriterium 6: Zentrale Cloud-Konsole + offene APIs

Eine moderne Endpoint-Lösung lebt von der zentralen Konsole. Sie ist die einzige Stelle, an der ein IT-Verantwortlicher unter Druck schnell reagieren kann.

Pflicht-Funktionen:

• Single-Pane-of-Glass für Endpoints, Server, mobile Geräte
• Rollenbasierte Berechtigungen (RBAC, Rechte nach Aufgabe statt nur Admin/Read-Only)
• REST-API für Integration in SIEM, Ticketing (Jira, ServiceNow) und RMM (NinjaOne, N-able)
• Automatisierte Reports für Geschäftsführung und Auditoren

Kriterium 7: Lizenzmodell – User oder Device?

Das Lizenzmodell wirkt sich direkt auf die Total Cost of Ownership aus. Drei häufige Modelle:

• Per User (z. B. Sophos Central): ein Mitarbeiter mit Laptop, iPhone und Heim-PC zahlt eine Lizenz. Vorteil für BYOD und Hybrid-Arbeit.
• Per Device (z. B. WatchGuard, Trellix): jeder Endpoint zählt einzeln. Vorteil bei vielen Shared-Geräten (Schichtbetrieb, Verkaufsraum).
• Per Core (vor allem Server-Lizenzen): nur sinnvoll bei wenigen, hochskalierten Servern.

Beispielrechnung 50 Mitarbeiter, 1,5 Geräte pro Person plus 8 Server:

• User-Modell: 50 + 8 Lizenzen = ca. 2.900 Euro pro Jahr
• Device-Modell: 75 + 8 Lizenzen = ca. 3.600 Euro pro Jahr

Bei steigender Device-Quote (Tablet, Smartphone, Home-PC) wird das User-Modell schnell günstiger.

Kriterium 8: DSGVO-konformer Datenstandort + AV-Vertrag

EDR-Telemetrie ist personenbezogen, sobald sie User-IDs, Hostnames oder Mailadressen enthält. Damit greift Art. 28 DSGVO – Auftragsverarbeitung. Prüfpunkte vor dem Kauf:

• Datenstandort EU (Irland oder Deutschland)
• AV-Vertrag inkl. Subunternehmerliste auf der Anbieter-Website öffentlich
• Schrems-II-Klauseln und SCCs für unvermeidbare US-Datenflüsse (Threat-Intel-Feeds)
• TOMs (technisch-organisatorische Maßnahmen) nach BSI C5 oder ISO 27001 zertifiziert

Sophos Central (EU-Region Irland) und WatchGuard Cloud (Frankfurt) erfüllen diese Anforderungen ohne Zusatzaufwand.

FAQ – Endpoint Protection kaufen

Was kostet eine moderne Endpoint Protection pro User im Jahr?

Im Mittelstandssegment liegen 2026 die Listenpreise zwischen circa 30 und 90 Euro pro User und Jahr – abhängig von EDR-Tiefe, MDR-Add-on und Vertragslaufzeit. Reseller-Rabatte und Mehrjahresverträge senken den Preis erfahrungsgemäß um 10 bis 25 Prozent. Verbindliche Konditionen liefert eine konkrete Anfrage beim Reseller.

Reicht der in Windows enthaltene Defender nicht aus?

Für reine Heimanwender ja, für Unternehmen nein. Microsoft Defender for Endpoint Plan 2 ist eine echte EDR-Lösung – setzt aber Microsoft 365 E5 oder eine Standalone-Lizenz voraus und liefert in der Praxis Schwächen bei macOS, Linux und der zentralen Reporting-Ebene. Drittanbieter sind bei heterogenen Umgebungen oft wirtschaftlicher.

Wie lange braucht die Migration auf eine neue Endpoint-Lösung?

Bei einem KMU mit 50 Endpoints rechnet man mit zwei bis vier Wochen: erste Woche Pilotgruppe (10 Geräte), zweite Woche Rollout in Wellen, dritte Woche Hardening und EDR-Tuning. Eine ablösebedingte Doppellizenzierung von etwa vier Wochen ist im Budget einzuplanen.

Was unterscheidet EDR von XDR und MDR?

EDR sammelt und analysiert Endpoint-Telemetrie. XDR erweitert das Bild um Mail, Identity, Cloud, Netzwerk. MDR ist die Service-Schicht darüber: ein 24/7-SOC nimmt die Alerts entgegen, triagiert und reagiert. Eine vollständige Gegenüberstellung steht im Artikel EDR vs. XDR vs. MDR – Unterschiede erklärt.

Welche Rolle spielt die Cyber-Versicherung beim Kauf?

Große Cyber-Versicherer wie AIG, Munich Re und Hiscox verlangen seit 2024 in Standard-Fragenkatalogen EDR-Nachweise; ohne EDR fallen Prämien deutlich höher aus oder der Vertrag wird abgelehnt. Dokumentieren Sie deshalb beim Kauf Hersteller, Produktversion, EDR-Aktivierung, MDR-Vertrag, Patch-Stand und Backup-Strategie als Belege für die Police.

Kann man Endpoint Protection inhouse betreiben oder muss es Cloud sein?

On-Prem-Konsolen (Sophos Enterprise Console klassisch, Trellix ePO on-premises) sind 2026 ein Auslaufmodell. Hersteller-Threat-Intelligence, ML-Modelle und SOC-Integration funktionieren nur Cloud-managed. Wer aus regulatorischen Gründen keine SaaS-Konsole nutzen darf (z. B. KRITIS-Betreiber mit strenger BSI-Vorgabe), sollte einen MDR-Anbieter mit dedizierter EU-Cloud wählen statt eine eigene On-Prem-Installation.

Fazit: 8 Kriterien sind das Minimum

Endpoint Protection 2026 ist kein Produkt, sondern eine Architektur-Entscheidung: NGAV-Engine, EDR-Telemetrie, MDR-Service, Lizenzmodell, Plattform-Abdeckung, Cloud-Konsole, Datenstandort. Jedes übersprungene Kriterium wird im Vorfall sichtbar – meist an dem Tag, an dem die Backup-Strategie zum ersten Mal auf den Prüfstand kommt.

Sie wissen nach diesen acht Kriterien, ob Ihre bestehende Lösung hält, was sie verspricht? Dann lassen Sie sie prüfen: kostenfreie 30-Minuten-Standortbestimmung – mit konkreter Empfehlung für Ihre 50-bis-250-Endpoint-Umgebung.

Externe Referenz: Sophos State of Ransomware 2026 Report – sophos.com/state-of-ransomware