Im Test: Kaspersky Next EDR Foundations

Kaspersky hat das Endpoint-Portfolio neu geordnet. Kaspersky Endpoint Security for Business ist nicht mehr als eigenes Produkt erhältlich und geht in Kaspersky Next auf. Die technische Basis bleibt unverändert. KESB entspricht heute der Stufe Kaspersky Next EDR Foundations. Darüber positioniert Kaspersky Next EDR Optimum sowie die XDR Varianten für erweiterte Erkennung und Reaktion über den Endpunkt hinaus.

Architektur und Bedienoberfläche

Die Clientversion zeigt ein klar strukturiertes Layout mit den Bereichen Monitoring, Security, Update, Tasks und License. Das Dashboard meldet den aktuellen Schutzstatus, zeigt den Stand der Antimalware-Datenbanken und bindet das Kaspersky Security Network ein. KSN liefert globale Reputationsdaten zu Dateien, Webressourcen und Software. Kacheln führen direkt zu Reports, Backup und Threat Detection Technologies. Rechts findet sich der Schnellzugriff auf den Application Activity Monitor und den Network Monitor. Die Tray Integration ermöglicht Pausieren des Schutzes und den Aufruf der Einstellungen.

Der Bereich Security gliedert sich in Essential Protection, Advanced Protection und Security Controls. Essential umfasst File Threat Protection, Web Threat Protection, Mail Threat Protection, Network Threat Protection, Firewall und AMSI Protection. Die File Threat Protection prüft alle Dateioperationen in Echtzeit, identifiziert Schadcode und verhindert dessen Ausführung. Web Threat Protection analysiert Webseiten und Datenströme, blockiert infizierte Downloads und überwacht verschlüsselte Verbindungen.

Mail Threat Protection kontrolliert ein- und ausgehende Nachrichten auf Malware und Phishing. Network Threat Protection erkennt ungewöhnliche Aktivitäten, schützt vor Angriffen über offene Ports und erkennt Netzwerkscans. Die integrierte Firewall trennt interne und externe Verbindungen, legt Regeln für Anwendungen fest und verhindert unautorisierte Kommunikation. AMSI Protection analysiert Skriptbefehle direkt beim Aufruf und unterbindet schädliche Skriptinhalte, bevor sie ausgeführt werden.

Advanced Protection aktiviert Behavior Detection, Exploit Prevention, Host Intrusion Prevention, die Remediation Engine und die Nutzung des Kaspersky Security Network. Behavior Detection bewertet Prozesse anhand von Verhaltensmustern, um Schadsoftware ohne Signaturdaten zu erkennen. Exploit Prevention verhindert die Ausnutzung von Schwachstellen in Anwendungen. Host Intrusion Prevention legt Regeln für Systemkomponenten fest und blockiert Prozesse, die unzulässige Aktionen ausführen. Die Remediation Engine macht Änderungen rückgängig, die Schadprogramme an Systemdateien vorgenommen haben. KSN ergänzt lokale Analysen durch Cloud-basierte Reputationsdaten und beschleunigt die Entscheidungsfindung bei unbekannten Dateien.

Die Security Controls bündeln Application Control, Device Control, Web Control und Adaptive Anomaly Control. Application Control legt fest, welche Programme gestartet werden dürfen, und klassifiziert sie nach Vertrauensstufe. Device Control verwaltet Schnittstellen wie USB oder Bluetooth und verhindert unerwünschten Datentransfer. Web Control definiert Zugriffsrichtlinien für Internetkategorien und reguliert den Datenverkehr. Adaptive Anomaly Control passt Richtlinien dynamisch an und erkennt Abweichungen vom normalen Nutzerverhalten.

In den Moduleinstellungen stehen abgestufte Sicherheitslevel zur Verfügung mit High, Recommended und Low. Aktionen bei Fund lassen sich auf Desinfizieren mit Löschung im Fehlerfall, Desinfizieren mit Blockierung oder ausschließlich Blockieren einstellen. Der Dialog Network Threat Protection erlaubt das Blockieren angreifender Systeme für definierte Zeitfenster, standardmäßig sechzig Minuten. Portscans und Flooding können behandelt werden, die MAC Spoofing Protection informiert oder blockiert auf Wunsch. Unter Tasks stehen Full Scan, Critical Areas Scan, Custom Scan und Removable Drive Scan bereit. Planung und Energiesparverhalten werden direkt in der Aufgabe gesetzt.

Funktionsumfang in EDR Foundations

EDR Foundations bildet den früheren KESB Funktionskern ab. Mehrschichtiger Anti Malware Schutz kombiniert Engines für Verhaltenserkennung und Exploit Prevention mit der Remediation Engine. AMSI Schutz sichert Schnittstellen für Script Analysen. BadUSB Gegenmaßnahmen adressieren manipulierte USB Firmware. Der Universal Linux Kernel Module Ansatz reduziert Fragmentierung der Kernel Treiber. Root Cause Analysis dokumentiert die Angriffskette auf einer Alert Karte. Adaptive Anomaly Control erzwingt bekannte Verhaltensmuster und reduziert die Angriffsfläche.

System Hardening umfasst Vulnerability Assessment, Inventarisierung von Hardware und Software, Application Control mit Allow und Deny Regeln, Web Control für Kategorien und Richtlinien, Device Control für Schnittstellen und Wechseldatenträger. Mobile Device Management deckt Basispolicys ab. Remote Troubleshooting vereinfacht die Fallbearbeitung. Drittherstelleranwendungen und Betriebssysteme lassen sich ausrollen. Patch Management, Remote Wipe, Verschlüsselungsverwaltung und erweitertes MDM sind Teil des Hardening Blocks für administrativen Grundschutz.

Cloud Funktionen beginnen mit Cloud Discovery und Cloud Monitoring. Schatten IT wird erkannt, Datenabflüsse werden sichtbarer, Risiken lassen sich priorisieren. In höheren Konfigurationen kommt Cloud Blocking hinzu. Für Microsoft 365 stehen Schutzfunktionen für Exchange, OneDrive, SharePoint und Teams bereit. Die Verwaltung erfolgt über das Kaspersky Security Center on premises oder über die Cloud Konsole. Mandantenfähige Ansätze adressieren Dienstleister und verteilte Unternehmen.

Erweiterungen in EDR Optimum

EDR Optimum baut auf Foundations auf und ergänzt essenzielle EDR Fähigkeiten für Analysen und Reaktionen. Dazu zählen Single Click und geführte Response, Netzwerkisolation und deren Aufhebung, Dateiübernahme und Löschung, Prozessstart und Terminierung, Ausführungssperren für Artefakte sowie der gezielte Critical Areas Scan. Die Lösung erweitert die Cloud Security um Data Discovery und Microsoft 365 Schutz und integriert Cybersecurity Trainings für IT Mitarbeiter. Das Administrationsmodell rechnet mit ein bis zwei IT Spezialisten und einem wöchentlichen Pflegeaufwand von ungefähr fünfzehn Minuten. Für Prüfungen verdächtiger Dateien steht die Kaspersky Cloud Sandbox bereit. Diese führt Dateien in kontrollierten VMs aus, erkennt Anti Sandbox Techniken, extrahiert Folgeartefakte und stellt Analysen strukturiert bereit.

Managed Detection and Response lässt sich optional zuschalten. Kaspersky SOC überwacht rund um die Uhr, jagt Bedrohungen, korreliert Telemetrie, führt geführte und automatisierte Reaktionen aus und liefert Berichte. Benachrichtigungen erfolgen per E-Mail oder über Telegram. Ein REST API bindet Incident Response Plattformen und SOAR an. Die Telemetrie wird für drei Monate vorgehalten. Für forensische Arbeit stehen unter Windows Werkzeuge für Prozess und Dateilisten, Autoruns, Speicher Dumps, Datenträgerabbilder sowie NTFS-Systemdateien und Registry Schlüssel zur Verfügung. Playbooks helfen bei wiederkehrenden Abläufen. Ein visueller Editor erleichtert Anpassungen. Für Integrationen stehen über zweihundertfünfzig Konnektoren bereit. Ein Data Lake übernimmt Log Management. Dashboards, Berichte, Asset Management, Active Directory Datenaufnahme und Reaktion sowie KI Verfahren für Risikobewertungen und DLL Hijacking Erkennung runden die Optimum Ebene ab. Die SIEM Kernkomponenten lassen sich hochverfügbar mit Raft betreiben. Enthalten sind Anfragen an Threat Lookup Kontingente zur Anreicherung von Befunden.

EDR und XDR im Kontext von Kaspersky Next

EDR überwacht und verteidigt Endpunkte kontinuierlich. XDR erweitert diese Perspektive auf Netzwerk, Cloud, E-Mail, Anwendungen, Identitäten und IoT. Daten aus zuvor getrennten Quellen werden vereinheitlicht, normalisiert und korreliert. Das erhöht die Transparenz, reduziert Fehlalarme und verkürzt die Reaktionszeit. Analysten erhalten die Ereigniskette bis zum Angriffsziel und den Kontext aus Asset Inventar, Schwachstellenlage und Eigentümerinformationen. Kaspersky positioniert Next XDR Optimum als logische Fortsetzung mit erweiterter Erkennung und orchestrierter Reaktion über mehrere Kontrollpunkte. Ziel ist weniger Tool Fragmentierung, mehr Automatisierung und ein niedrigerer Gesamtaufwand für den Betrieb.

Testergebnisse und Performance

Im aktuellen Testzeitraum in 2025 wurde Kaspersky im Business Security Test von AV-Comparatives geprüft. Die Testreihe bewertet Schutzqualität, Fehlalarme und Systemleistung unter realistischen Bedingungen in Unternehmensumgebungen. Kaspersky erreichte in der Real-World-Protection-Kategorie eine Schutzrate von 99,3 Prozent. Dieser Wert beschreibt, wie zuverlässig eine Lösung Angriffe in laufenden Systemen erkennt und stoppt, die über Web, E-Mail oder Wechseldatenträger erfolgen. Damit zählt Kaspersky zu den bestbewerteten Produkten des Testfeldes.

In der Kategorie Malware Protection erzielte das Produkt eine Erkennungsrate von 100 Prozent und detektierte sämtliche getesteten Schadprogramme. Die Messung erfolgt auf Basis von 1.018 Dateien, die von AV-Comparatives in einem separaten Verfahren analysiert werden. Fehlalarme auf betriebliche Software traten dabei nicht auf, was besonders wichtig ist, um Produktivsysteme nicht durch unnötige Blockierungen zu beeinträchtigen. Diese Präzision zeigt, dass die Kombination aus Signaturdatenbank, maschinellem Lernen und Verhaltensanalyse in Kaspersky Next sehr ausgewogen arbeitet.

Die Leistungsprüfung erfolgte über den UL Procyon Office Productivity Benchmark. Kaspersky erreichte hier 96,1 Punkte, bei einem Impact-Wert von 8,9. Der Impact-Wert beschreibt die zusätzliche Systemlast durch den Echtzeitschutz. Ein Wert unter 10 gilt als hervorragend und belegt, dass das Produkt kaum Rechenleistung bindet. Kaspersky positioniert sich damit in der Spitzengruppe der ressourcenschonenden Unternehmenslösungen.

In der Praxis zeigen sich diese Werte durch kurze Dateiöffnungszeiten, schnelle Programmstarts und stabile Netzwerkverbindungen auch bei aktivem Schutz. Die Engine analysiert Prozesse lokal, nutzt Caching für wiederkehrende Dateien und stützt sich auf Verhaltensmodelle zur Früherkennung. So bleibt die Erkennungsleistung konstant hoch, ohne die Systemgeschwindigkeit zu beeinträchtigen.

AV-Comparatives zeichnete die Lösung aufgrund der konsistent hohen Ergebnisse mit dem Gütesiegel Approved Business Product 2025 aus. Diese Zertifizierung erhalten nur Produkte, die in allen Kategorien Schutz, Fehlalarme und Performance über festgelegten Grenzwerten liegen. Damit bestätigt das Prüfinstitut die technische Reife und ausgewogene Leistungsbilanz von Kaspersky Next EDR Foundations und Optimum im professionellen Einsatz.

Preise, Lizenzen und Zielgruppen

Kaspersky Next EDR Foundations startet mit Einführungspreis bei 403,70 Euro für zehn Nutzer mit zehn Desktops oder Datei-Servern und zwanzig Mobilgeräten. EDR Optimum liegt bei 505,00 Euro für fünf Nutzer mit fünf Desktops oder Datei Servern und zehn Mobilgeräten und beinhaltet zusätzlich Schutz für acht Microsoft 365-Konten. Beide Varianten bieten Abo-Service, dreißig Tage Testphase. Die Verwaltung kann in der Cloud oder on premises erfolgen. Kaspersky adressiert kleinere Unternehmen mit Foundations und empfiehlt Optimum für Organisationen mit eigenem IT-Team und Bedarf an erweiterten Analysen und Automatisierung.

Plattformen und Anforderungen

Unterstützt werden Windows 11 und 10 sowie ältere Clientversionen bis Windows 7. Serverseitig reicht der Support bis Windows Server 2022 und deckt 2019, 2016, 2012 R2, 2012 und 2008 R2 ab. Virtualisierungsplattformen umfassen VMware ESXi und Workstation, Microsoft Hyper-V und Citrix Landschaften einschließlich VDI und Provisioning. Minimale Ressourcenanforderungen liegen bei einem Gigahertz CPU mit SSE2, ein bis zwei Gigabyte RAM und mindestens zwei Gigabyte freiem Speicher. Die Programme Kaspersky Endpoint Security für Windows, Linux und Mac sowie Kaspersky Security for Mobile und das Kaspersky Security Center sind im Paket enthalten. Lizenzmodelle stehen als Abonnement mit monatlicher Abrechnung über Partner bereit.

Bewertung der Oberfläche und Administrierbarkeit

Die Struktur in Essential, Advanced und Controls erleichtert das Policy-Design. Die klare Trennung von detektierenden und steuernden Modulen unterstützt Rollenkonzepte. Monitoring mit KSN-Kennzahlen schafft Transparenz. Die Tasks Seite bündelt on demand Scans und Zeitpläne. Die Settings Seiten bieten sinnvolle Werkseinstellungen und erlauben präzise Eingriffe, ohne Administratoren mit Detailoptionen zu überfordern. Die Netzwerkfunktionen mit Portscan-Erkennung, temporärer Quarantäne angreifender Hosts und MAC Spoofing Schutz decken typische interne Gefahrenquellen ab. Die Remediation Engine reduziert Wiederherstellungszeiten nach Vorfällen. Der wöchentliche Pflegeaufwand bleibt überschaubar, Richtlinien lassen sich zentral für Windows, macOS, Linux und mobile Geräte ausrollen.

Einordnung von Foundations, Optimum und XDR

EDR Foundations stellt einen verlässlichen Grundstock mit mehrschichtigem Endpunktschutz, Anomaliekontrolle, IoC-Suche und geführter Reaktion. EDR Optimum ergänzt Cloud Security, Microsoft 365 Schutz, Cloud Sandbox, Trainings und automatisierte Playbooks. XDR Optimum erweitert auf korrelierte Sicht über Endpunkte, Netzwerk, E-Mail und Cloud mit Data Lake, Cross Correlation Engine, AD-Integration und offenen Schnittstellen. Unternehmen können damit schrittweise wachsen und die Sicherheitsorganisation entlang der Reifegrade aufbauen, ohne die Plattform zu wechseln.

Fazit

Kaspersky führt die frühere Endpoint Security for Business nahtlos in Kaspersky Next über. Der Funktionskern bleibt erhalten. EDR Foundations übernimmt die Rolle des stabilen Basisschutzes mit moderner Bedienung und geringer Systemlast. EDR Optimum legt Analyse, Sandbox, Training und Automatisierung darüber. Die gemessenen Schutzraten, der niedrige Impact und die breite Plattformunterstützung sprechen für ein ausgereiftes Gesamtsystem. Die klare Editionslogik erleichtert die Auswahl. Für Unternehmen mit begrenzten Ressourcen liefert Foundations einen guten Start. Mit Optimum und XDR stehen Ausbaustufen bereit, die Detection und Response auf eine breitere Datenbasis heben und Prozesse weiter automatisieren.