MDR „made in EU“: Eine Liga für sich

Heute, fünf Jahre später, zeigt sich ein anderes Bild: Der MDR-Markt in Europa boomt: und zwar gerade wegen dieser regulatorischen Zäsur. Der aktuelle „Forrester Wave, Managed Detection And Response Services In Europe, Q3 2025“ dokumentiert, wie vielfältig und wettbewerbsfähig das Angebot geworden ist. Damit rückt eine Frage in den Mittelpunkt, die lange als zweitrangig galt: Wo sitzt eigentlich das Team, das meine Sicherheitsvorfälle analysiert? Und wem ist es rechenschaftspflichtig?

Vertrauen ist keine Frage der Latenz

MDR lässt sich technisch von überall betreiben. Die Sensoren erfassen Ereignisse, Machine Learning erkennt Muster, Analysten bewerten Vorfälle. Das funktioniert über Kontinente hinweg. Aber hier liegt ein Trugschluss. Denn Vertrauen entsteht nicht durch niedrige Latenzzeiten oder verschlüsselte Verbindungen. Vertrauen entsteht dort, wo Menschen Entscheidungen treffen, wo rechtliche Verantwortung greift und wo im Ernstfall klar ist, nach welchen Regeln gespielt wird. Genau hier beginnt die Diskussion über MDR „made in EU“. Sie ist komplexer, als es die Marketing-Broschüren mancher Anbieter suggerieren.

Geopolitik trifft auf Einkaufsmacht

Zwei Entwicklungen haben den Markt verändert. Die erste ist offensichtlich: Regulatorische Vorgaben wie NIS2 und DORA zwingen Unternehmen dazu, Daten innerhalb Europas zu halten. Das betrifft nicht nur die Speicherung, sondern den gesamten Workflow im Security Operation Center (SOC). Dies reicht von der Analyse über die Bewertung bis zur Incident Response. Auch das Vereinigte Königreich und die Schweiz spielen dabei eine Rolle, selbst wenn sie formal nicht zur EU gehören.

Die zweite Entwicklung wird oft übersehen: Der Markt ist erwachsen geworden. Nach Jahren mit überschaubarem Angebot und wenigen dominanten Playern können Einkaufsabteilungen heute aus einer beeindruckenden Vielfalt wählen. Das verschiebt die Machtverhältnisse. Unternehmen müssen nicht mehr nehmen, was verfügbar ist. Sie haben die Wahl und können exakt definieren, was sie benötigen.

Viele MDR-Provider haben in den vergangenen Jahren erheblich investiert, um eigene europäische Strukturen aufzubauen. Das war kein Altruismus, sondern wirtschaftliche Notwendigkeit. Wer im europäischen Markt mitspielen wollte, musste liefern.

Data Residency allein reicht nicht aus

Einige Branchen können sich nicht mit bloßer „Data Residency“ zufriedengeben, also der Zusicherung, dass Daten physisch in Europa liegen. Banken, Behörden und Betreiber kritischer Infrastrukturen müssen häufig sicherstellen, dass der komplette MDR-Workflow in Europa, dem Vereinigten Königreich oder der Schweiz abläuft. Wer wertet die Alarme aus? Wer trifft Entscheidungen über Isolation oder Behebung? Und wer hat im Zweifel Weisungsbefugnis?

Die Annullierung des EU-US Privacy Shield hat diese Fragen verschärft. Datensouveränität bedeutet nicht nur technische Kontrolle, sondern auch rechtliche Klarheit. Gleichzeitig existieren Vorgaben außerhalb Europas, wie beispielsweise die NYDFS Cybersecurity Regulation in New York, die Finanzdienstleister betrifft, die dort aktiv sind.

Das schließt Anbieter von außerhalb Europas nicht automatisch aus. Erfolgreich sind diejenigen, die echte europäische Strukturen mit eigenständiger Governance aufgebaut haben. Solche Dienstleister haben sich inzwischen fest etabliert und zeigen, dass globale Konzerne durchaus regional agieren können, wenn der Markt es verlangt.

Sprache ist mehr als Übersetzung

Die Bedeutung von Sprache und lokalem Kontext wird in Ausschreibungen oft unterschätzt: Ein global skaliertes MDR mit einheitlichen Prozessen bildet ein solides Fundament. Wirksam wird es aber erst, wenn es mit regionaler Threat Intelligence, muttersprachlichen Fähigkeiten und lokalem Verständnis verbunden wird.

Forrester betont in seinem Report, dass gerade diese Nähe zu europäischen Entwicklungen dafür sorgt, dass bestimmte Bedrohungen schneller erkannt und präziser eingeordnet werden. Das klingt abstrakt, wird aber konkret, sobald ein Analyst einen Alarm bewerten muss. Ist diese ungewöhnliche Aktivität ein Fehlalarm oder der Beginn einer gezielten Kampagne gegen ein Unternehmen?

Muttersprachliches Verständnis hilft, Signale anders zu interpretieren als es Übersetzungen je könnten. Das gilt besonders für die Einschätzung von Risiken oder das Schadensausmaß eines Vorfalls. Dazu kommt, dass nationale Umsetzungen europäischer Vorgaben eigene Fallstricke haben. Wer diese Feinheiten nicht kennt, geht Risiken ein, die vermeidbar wären.

In kritischen Situationen wie bei einem laufenden Ransomware-Angriff kann selbst präzise Kommunikation Missverständnisse produzieren. Lokalisierte Threat Intelligence, klare Data Governance und in Europa angesiedelte Prozesse sind in solchen Momenten keine „Nice-to-haves“, sondern können den Unterschied zwischen Eindämmung und Eskalation ausmachen.

Die Balance zwischen Europa und globaler Expertise

Trotzdem wäre es kurzsichtig, nur auf „Europa und sonst nichts" zu setzen. Es gibt einen fundamentalen Unterschied zwischen starker europäischer Governance und dem bewussten Verzicht auf die Expertise globaler Forschungsteams.

Cyberkriminelle operieren nicht in regionalen Silos. Bedrohungen entstehen weltweit, Angriffsmethoden werden grenzüberschreitend geteilt, und die besten Forscher sitzen nicht alle in Frankfurt oder Amsterdam. Wer ausschließlich auf europäische Intelligenz setzt, läuft Gefahr, wichtige Entwicklungen zu spät zu erkennen.

ESET hat hier einen pragmatischen Ansatz gewählt. Die MDR-Services innerhalb der ESET PROTECT Plattform werden vollständig aus Europa geliefert, mit europäischen Teams, europäischer Governance und europäischer Data Residency. Gleichzeitig nutzt die Forschung Expertise aus Kanada und anderen Regionen, um die Reaktionszeit auf neue Bedrohungen kurz zu halten. Diese liegt bei durchschnittlich sechs Minuten.

Diese Balance aus regionaler Verantwortung und globaler Expertise ist vermutlich der erfolgversprechendste Weg. Obwohl er vermutlich komplexer zu managen ist als eine rein lokale oder rein globale Lösung.