GravityZone XDR

GravityZone XDR ist das Flaggschiff-XDR-Produkt von Bitdefender und das Werkzeug der Wahl fuer DACH-Organisationen, die ueber den reinen Endpunkt hinaus eine korrelierte Sicht auf Identitaet, Productivity, Netzwerk und Cloud benoetigen. Es konkurriert direkt mit Trend Vision One und Microsoft Defender XDR und positioniert sich als preislich attraktive europaeische Alternative mit Datenresidenz im Frankfurter Rechenzentrum. Fuer Unternehmen, die unter NIS2-Richtlinie, KRITIS oder TISAX fallen, ist die Datenresidenz im EU-Wirtschaftsraum kein Nice-to-have, sondern Pflicht — und Bitdefender liefert diese Pflicht standardmaessig, ohne Aufpreis und ohne komplexe Vertragsverhandlungen.

Warum XDR und nicht nur EDR: Klassische EDR-Loesungen sehen nur den Endpunkt. Moderne Angriffe sind aber multi-vektorbasiert: Sie beginnen typischerweise mit einer Phishing-E-Mail (E-Mail-Sensor), nutzen kompromittierte Identitaeten (Identity-Sensor), bewegen sich seitlich durch das Netzwerk (Network-Sensor) und enden in der Cloud (Cloud-Sensor) oder auf dem Endpunkt (EDR-Sensor). Ein reines EDR sieht nur den letzten Schritt — und kann den vollstaendigen Angriffsverlauf nicht rekonstruieren. XDR korreliert alle Vektoren und liefert ein zusammenhaengendes Bild. Das verkuerzt die mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR) drastisch — typischerweise um Faktor 3 bis 5 im Vergleich zu Punktloesungen.

Multi-Vektor-Telemetrie: Die Plattform aggregiert Daten aus Endpunkt-Sensoren (GravityZone-Agent), Identity-Sensoren (Active Directory, Microsoft Entra ID, Okta), Productivity-Sensoren (Microsoft 365, Google Workspace), Network-Sensoren und Cloud-Sensoren (AWS, Azure, Google Cloud). Jeder Sensor sendet Ereignisdaten an einen zentralen Data Lake, in dem die Korrelations-Engine ueber alle Quellen hinweg nach Mustern sucht. Damit lassen sich Angriffe erkennen, die ein reines Endpunkt-EDR uebersehen wuerde — etwa Business Email Compromise (BEC), Account Takeover (ATO) auf Microsoft Entra ID oder lateral movement durch privilegierte Konten. Die Telemetrie wird verschluesselt uebertragen, im EU-Rechenzentrum gespeichert und nach DSGVO-Vorgaben verarbeitet.

Identity-Sensor (Microsoft Entra ID, Active Directory): Anomalien bei der Anmeldung — unmoegliche Reisen, neuer Token-Wechsel, Brute-Force-Versuche, ungewoehnliche MFA-Verweigerungen — werden mit Endpunkt-Ereignissen korreliert. Beispiel: Wenn ein Benutzer sich aus Frankfurt anmeldet und gleichzeitig vom gleichen Konto eine Ausfuehrung verdaechtiger PowerShell-Befehle auf einem Endpunkt im Tessin erfolgt, hebt die Plattform diesen Vorfall hoch. Dies ist insbesondere fuer Organisationen relevant, die unter NIS2-Richtlinie fallen oder die Anforderungen des BSI Grundschutz-Bausteins ORP.4 (Identitaets- und Berechtigungsmanagement) erfuellen muessen. Der Identity-Sensor erkennt zudem Golden-Ticket-, Silver-Ticket- und Pass-the-Hash-Angriffe, die fuer Active-Directory-Umgebungen charakteristisch sind.

Productivity-Sensor (Microsoft 365, Google Workspace): Die Plattform ueberwacht Exchange Online, SharePoint, OneDrive und Microsoft Teams sowie deren Google-Gegenstuecke. Anormales Herunterladen, ungewoehnliche Freigaben, verdaechtige Anmeldungen — alles wird mit Endpunkt- und Identity-Daten korreliert. Beispielsweise: Phishing-E-Mail klickt auf Endpunkt -> Anmeldung auf Microsoft Entra ID von neuem Geraet -> Massendownload aus OneDrive. Dieses Muster wird in einem einzigen Vorfall erkannt — nicht in drei separaten Alarmen, wie es bei einer reinen Punktloesung passieren wuerde. Insbesondere Business Email Compromise (BEC)-Angriffe, bei denen sich Angreifer als Geschaeftsfuehrer ausgeben, werden durch die Korrelation von E-Mail-Verhalten und Anmeldemustern wirksam erkannt.

Network-Sensor: Der Network-Sensor integriert sich in NetFlow-, IPFIX-, Zeek- und Suricata-Datenquellen sowie in Firewall-Logs von Fortinet, Cisco, Palo Alto und Check Point. Damit werden Command-and-Control-Beacons, DNS-Tunneling und Datenexfiltrationsversuche erkannt. In Kombination mit Endpunkt-Telemetrie ergibt sich eine vollstaendige Kill-Chain-Visualisierung. Fuer Industriebetriebe mit OT/IT-Konvergenz ist der Network-Sensor besonders wertvoll, da er die Kommunikation zwischen IT-Endpunkten und OT-Steuerungen ueberwachen und Anomalien melden kann — relevant fuer die NIS2-Richtlinie-Anforderungen an kritische Infrastrukturen.

Cloud-Sensor (AWS, Azure, Google Cloud): AWS CloudTrail-, Azure Activity Log- und Google Cloud Audit Log-Daten werden in die Plattform integriert. Damit lassen sich Cloud-Misskonfigurationen, ungewoehnliche IAM-Aktivitaeten und verdaechtige API-Aufrufe erkennen. Insbesondere fuer Organisationen mit hybriden Cloud-Architekturen — typisch fuer den DACH-Markt — eine kritische Faehigkeit. Beispiele fuer typische Erkennungen: Erstellung eines neuen IAM-Users mit Admin-Rechten, ploetzliche Aenderung einer S3-Bucket-Policy auf public, ungewoehnliche Region-Switches in der Cloud-Konsole.

Korrelations-Engine: Das Herzstueck der Plattform. Korrelations-Regeln werden von Bitdefender bereitgestellt und regelmaessig aktualisiert. Kundinnen und Kunden koennen eigene Regeln ueber die BQL-Sprache (Bitdefender Query Language) hinzufuegen. Erkannte Korrelationen werden automatisch der MITRE ATT&CK-Matrix zugeordnet. Damit ist jeder Vorfall auditierbar und nachvollziehbar — entscheidend fuer DSGVO Artikel 33 und NIS2 Artikel 23 Meldepflichten. Die Korrelations-Engine wird von einem ML-Modell ergaenzt, das auf der globalen Bitdefender-Threat-Intelligence trainiert ist und unbekannte Muster identifiziert.

Companion und KI-Unterstuetzung: GravityZone XDR setzt Machine Learning auf mehreren Ebenen ein. Die Klassifikations-ML erkennt unbekannte Malware-Familien auf Basis von Verhalten und Datei-Features. Die Anomalie-ML identifiziert Abweichungen vom Baseline-Verhalten der Benutzer und Endpunkte. Die Korrelations-ML ergaenzt regelbasierte Korrelationen durch statistisches Lernen aus historischen Vorfaellen. Im Gegensatz zu einigen US-Anbietern werden die ML-Modelle ausschliesslich in der EU-Region trainiert und gespeichert — relevant fuer Unternehmen mit strengen Datenschutzanforderungen.

Automatisierte Reaktion (SOAR): Vorgefertigte Playbooks fuer typische Vorfallsszenarien — Host-Isolation, User-Disable, E-Mail-Quarantaene, Microsoft Entra ID Token-Revocation, Firewall-Block. Playbooks koennen im Modus "genehmigungsbasiert" oder "vollautomatisch" konfiguriert werden. Fuer kritische Vorfaelle empfehlen wir genehmigungsbasiert; fuer Routine-Vorfaelle wie bekannte Malware-Erkennungen ist vollautomatische Reaktion sicher und reduziert die mittlere Reaktionszeit (MTTR) drastisch. Sora Yazilim entwirft kundenspezifische Playbooks, die mit den Meldewegen Ihres IT-Sicherheitsbeauftragten, des Datenschutzbeauftragten und der Geschaeftsfuehrung uebereinstimmen.

Threat Hunting: Eine dedizierte Threat-Hunting-Konsole mit BQL-Abfragesprache. Hunter koennen Hypothesen testen, gespeicherte Abfragen ausfuehren und Hunting-Routinen automatisieren. Beispielsweise: "Zeige alle PowerShell-Prozesse der letzten 60 Tage, die Verbindungen zu IP-Adressen mit Reputation kleiner 50 hergestellt haben". Die Konsole greift auf den vollstaendigen Data Lake zu — Endpunkt, Identity, Productivity, Network, Cloud. Damit ist Threat Hunting nicht auf eine einzelne Telemetriequelle beschraenkt. Fuer SOC-Teams im DACH-Markt, die nach BSI Grundschutz-Baustein DER.2.1 (Behandlung von Sicherheitsvorfaellen) arbeiten, ist proaktives Threat Hunting eine zentrale Disziplin.

Verwaltetes XDR (Managed XDR / MDR): Organisationen ohne eigenes SOC-Team koennen das Bitdefender SOC mit der MDR-Erweiterung beauftragen. 24/7-Ueberwachung, 15-Minuten-Erstreaktions-SLA, monatlicher Sicherheitsbericht, Threat-Hunting-Stunden. Sora Yazilim ergaenzt deutschsprachige Berichte, deutschsprachige Eskalationen waehrend DACH-Geschaeftszeiten und einen lokalen technischen Ansprechpartner. MDR Plus mit dediziertem Analysten ist fuer grosse Organisationen verfuegbar. Fuer mittelstaendische DACH-Unternehmen ist MDR ein wirtschaftlich attraktiver Weg, um die NIS2-Anforderungen an kontinuierliche Ueberwachung zu erfuellen, ohne eigenes 24/7-SOC-Personal aufbauen zu muessen.

SIEM-Integration: Die Plattform leitet Vorfalls- und Telemetrie-Daten an Microsoft Sentinel, Splunk, IBM QRadar, Elastic SIEM und LogRhythm ueber syslog/CEF oder REST-API weiter. Auch native Sentinel- und Splunk-Konnektoren sind verfuegbar. SOAR-Plattformen wie Splunk SOAR, Microsoft Sentinel Automation und Palo Alto Cortex XSOAR koennen ueber Webhook angebunden werden. Damit fuegt sich GravityZone XDR nahtlos in bestehende Security-Operations-Plattformen ein — insbesondere wichtig fuer Banken, Versicherungen und Behoerden im DACH-Markt, die typischerweise bereits eine SIEM-Strategie haben. ITSM-Integration mit ServiceNow, Jira Service Management und BMC Remedy ist verfuegbar; Vorfaelle koennen automatisch als Tickets eroeffnet werden.

Cloud- und On-Premises-Bereitstellung: Die XDR-Konsole laeuft primaer in der Cloud (EU-Region Frankfurt). Fuer Behoerden mit BSI Grundschutz-Pflichten oder KRITIS-Betreiber bietet Bitdefender hybride Architekturen an, in denen sensible Telemetrie in einer lokalen Instanz bleibt, waehrend Korrelations- und Reporting-Funktionen aus der Cloud genutzt werden. Sora Yazilim entwirft die jeweils passende Architektur auf Basis Ihrer Compliance-Anforderungen.

Compliance und Berichtswesen: Vorgefertigte Berichtsvorlagen fuer DSGVO (Artikel 32 Sicherheit der Verarbeitung und Artikel 33 Meldepflicht), ISO 27001 (Annex A.12 Betriebssicherheit, A.16 Vorfaelle und A.18 Compliance), BSI Grundschutz (SYS.1.1 Allgemeiner Server, DER.2 Vorfallserkennung und DER.4 Vorfallsbearbeitung), NIS2-Richtlinie (Artikel 21 Risikomanagementmassnahmen und Artikel 23 Meldepflicht) und TISAX. Reports koennen automatisch geplant und an Verteilerlisten gesendet werden. Sora Yazilim begleitet die Auditvorbereitung in deutscher Sprache und liefert die geforderten Nachweise direkt aus der Konsole. Fuer KRITIS-Betreiber (Kritische Infrastrukturen) gemaess BSI-Gesetz erstellen wir spezielle Berichtsprofile, die die Anforderungen der KritisV abdecken.

Datenaufbewahrung und Forensik: Standardmaessig 30 Tage Telemetrie-Aufbewahrung. Erweiterung auf 90 Tage oder 365 Tage moeglich. Fuer DSGVO- und NIS2-konforme Vorfallsuntersuchungen, die Wochen oder Monate zurueckliegende Ereignisse betreffen koennen, empfehlen wir 365 Tage Aufbewahrung. Forensic-Daten koennen aus der Konsole exportiert werden — verschluesselt und mit vollstaendigem Audit-Log. Damit erfuellen Sie die Anforderung an die forensische Beweissicherung gemaess BSI Grundschutz-Baustein DER.2.2.

Performance und Skalierbarkeit: GravityZone XDR ist auf grossen Skalen getestet und wird in Umgebungen mit ueber 100.000 Endpunkten eingesetzt. Die Sensoren sind ressourcenschonend; auf Endpunkten betraegt der typische Footprint 3 bis 5 Prozent CPU und etwa 200 MB RAM. Fuer Notebooks reduziert sich der Energieverbrauch durch optimierte Scan-Zyklen. Fuer ressourcenkritische Umgebungen wie Industriesteuerungen oder POS-Systeme empfehlen wir spezifische Tuning-Profile.

Lizenzierung: Sensor-basiert, mit monatlicher oder jaehrlicher Abrechnung. Jaehrliche Vertraege sind typischerweise 15 bis 20 Prozent guenstiger. Sora Yazilim erstellt das Sizing auf Basis Ihrer Telemetriequellen und liefert ein formelles Angebot mit Optionen fuer Cloud- oder On-Premises-Konsole. Der MDR-Service wird separat lizenziert; ein POC (Proof of Concept) ueber 30 Tage ist verfuegbar und wird von uns vor Ort und remote begleitet. CSP-Lizenzierung mit monatlicher Flexibilitaet ist besonders fuer Wachstumsunternehmen interessant.

Schulungen und Wissenstransfer: Sora Yazilim bietet ein dreistufiges Schulungsprogramm fuer GravityZone XDR an. Stufe 1 (Administratoren-Grundlagen, eintaegig) deckt die Konsolennutzung, Sensor-Konfiguration und Standardberichte ab. Stufe 2 (Vorfallsuntersuchung und Forensik, zweitaegig) vertieft die Vorfallsuntersuchung, Forensik und Reaktionsworkflows. Stufe 3 (Threat Hunting mit BQL, zweitaegig) ist fuer reife SOC-Teams konzipiert und vermittelt die proaktive Bedrohungssuche. Alle Schulungen werden auf Deutsch durchgefuehrt — vor Ort in Frankfurt, Muenchen, Zuerich oder Wien, oder remote ueber Microsoft Teams.

Sora Yazilim als autorisierter Bitdefender-Partner begleitet die Implementierung von GravityZone XDR fuer DACH-Kundinnen und Kunden. Wir liefern Discovery-Workshops, technisches Design, Pilotgruppen-Rollout, Sensor-Integration, SIEM-Anbindung, Policy-Anpassung, Threat-Hunting-Onboarding und kontinuierlichen Betrieb. Unsere Ingenieurinnen und Ingenieure sind in deutscher und englischer Sprache verfuegbar und arbeiten waehrend DACH-Geschaeftszeiten. Bei Eskalation an das Bitdefender-Backbone uebernehmen wir die Kommunikation und stellen sicher, dass Sie nicht in einer englischsprachigen Support-Kette verloren gehen. Unsere typische Time-to-Value liegt bei 4 bis 8 Wochen vom Vertragsabschluss bis zur produktiven Nutzung — abhaengig von Groesse und Komplexitaet der Umgebung.

POC-Programm: Vor der finalen Lizenzentscheidung bieten wir einen 30-taegigen POC (Proof of Concept) an. Dabei wird eine Pilotgruppe von typischerweise 50 bis 200 Endpunkten produktiv mit GravityZone XDR ausgestattet, die Sensoren in Ihre bestehende Microsoft-365-, Active-Directory- und Cloud-Umgebung integriert und ein POC-Bericht erstellt. Der Bericht dokumentiert die Erkennungsrate, die Falsch-Positiv-Rate, die Performance-Auswirkung und die spezifischen Bedrohungen, die in Ihrer Umgebung erkannt wurden. Damit liegt der Entscheidung eine empirische Datenbasis zugrunde — nicht nur Hochglanzbroschueren des Herstellers.

Vergleich mit Microsoft Defender XDR: Microsoft Defender XDR ist tief in das Microsoft-365-Oekosystem integriert und fuer reine Microsoft-Umgebungen eine starke Wahl. GravityZone XDR ist die bessere Wahl fuer Organisationen mit gemischten Umgebungen — beispielsweise Microsoft 365 plus AWS-Workloads plus Cisco-Netzwerk plus Fortinet-Firewalls. Auch die Datenresidenz und die Datenschutz-Kontrolle sprechen fuer Bitdefender im DACH-Markt; alle Daten verbleiben im EU-Rechenzentrum Frankfurt und unterliegen ausschliesslich europaeischem Datenschutzrecht. Sora Yazilim vergleicht beide Optionen in einem strukturierten Auswahlprozess auf Basis Ihrer Anforderungen.

Vergleich mit Trend Vision One: Trend Vision One ist eine reifere XDR-Plattform mit dem Companion-KI-Assistenten und dem ASRM-Modul (Attack Surface Risk Management). Bitdefender GravityZone XDR ist neuer am Markt, dafuer preislich attraktiver und mit klarer EU-Datenresidenz. Fuer Organisationen, die einen reifen Analyst-Workflow priorisieren, kann Trend Vision One die bessere Wahl sein. Fuer Organisationen, die einen guten Standard-XDR mit EU-Datenresidenz und attraktivem Preis-Leistungs-Verhaeltnis suchen, ist Bitdefender oft die bessere Wahl. Wir liefern beide Loesungen als autorisierter Partner und begleiten die Entscheidung neutral.