Ginge es um das reine Ergebnis bei diesen Tests, könnten wir uns auf die Schulter klopfen: Mit einer Schutzquote von 100 Prozent schnitt ESET PROTECT  auf dem Prüfstand  mit dem Spitzenplatz ab. Doch bei den MITRE Evaluations geht es nicht darum, Medaillen zu verteilen. Es handelt sich nicht um ein Ranking. Die MITRE ATT&CK Evaluations zeigen auf, wie gut Sicherheitslösungen echte Angreifertechniken erkennen, darauf reagieren und sie abwehren können. Sie orientieren sich am MITRE ATT&CK Framework, einer weltweit anerkannten Wissensbasis realer Taktiken und Techniken von Cyberangreifern.

MITRE bewertet also nicht, wer gewinnt, sondern zeigt, wie ein Produkt reagiert hat — neutral, objektiv und offen einsehbar, doch für den Nutzer schwer nachvollziehbar. Nach fünf Jahren Teilnahme wissen wir: Die Ergebnisse produzieren eine enorme Menge an Daten und Erkenntnissen, deren Interpretation selbst für erfahrene Fachleute anspruchsvoll ist. Genau deshalb möchten wir aufzeigen, wie man die wirklich relevanten Informationen herausfiltert – insbesondere für Unternehmen, die EDR- oder XDR-Lösungen betreiben oder evaluieren.

Der Nutzen der Bewertungen

Der Mehrwert der jüngsten MITRE ATT&CK® Enterprise Evaluations liegt nicht in plakativem Vendor-Marketing oder Ranglisten, sondern in den Zusammenfassungen und detaillierten Datenauswertungen. Denn wer sich ausschließlich auf Schlagzeilen und Rankings verlässt, läuft Gefahr, den Wald vor lauter Bäumen nicht zu sehen: Einzelne Ergebnisse oder Prozentwerte werden dann fälschlicherweise als alleiniger Leistungsindikator interpretiert.

Die Evaluierungen wurden zu einem anderen Zweck geschaffen, und zwar, um Sicherheitslösungen gründlich zu analysieren und einzuordnen. Erst dann entfaltet sich ihr tatsächlicher Nutzen. So führen die MITRE-Experten reale Angriffsszenarien durch und bewerten unter anderem, was die Sicherheitslösung erkennt, wie schnell und präzise sie reagiert und ob die Telemetrie verständlich dargestellt wird. In diesem Jahr testete MITRE die teilnehmenden Anbieter anhand von zwei Angreifer-Emulationen:

  • Demeter (angelehnt an Scattered Spider): ein hochdynamischer Angreifer, bekannt für Social-Engineering-Taktiken und schnelles Vorgehen.
  • Hermes (wahrscheinlich Mustang Panda, ein bekannter Akteur aus den ESET APT-Reports): eine staatlich unterstützte Cyberspionage-Gruppe mit sich rasch weiterentwickelnden Fähigkeiten.

Diese Szenarien stellten nicht nur die technischen Fähigkeiten der Produkte auf die Probe, sondern zeigten auch sehr deutlich, wie gut sie Security-Analysten in ihrer täglichen Arbeit unterstützen.

Das Wichtigste in Kürze:

  • ESET erzielte in beiden Szenarien eine 100 % Schutzquote und teilte sich damit den Spitzenplatz unter neun teilnehmenden Anbietern. Angriffe wurden bereits in sehr frühen Phasen blockiert – ein Beleg für den Prevention-First-Ansatz.
  • ESET PROTECT lieferte die schnellsten Erkennungszeiten in beiden Angriffsszenarien und erreichte eine Detection-Rate von 66,67 % – bewusst mit Fokus auf relevante Signale statt Datenrauschen.
  • Der eigentliche Wert der MITRE Evaluation liegt in ihrer Rolle als unvoreingenommene Orientierungshilfe für Security-Analysten.
  • Anbieter erhalten eine professionelle, praxisnahe Validierung ihrer Lösungen gegenüber aktuellen Bedrohungen.
  • Insgesamt entsteht ein besseres Verständnis der Analysten-Toolsets und ihrer Abbildung von TTPs (Tactics, Techniques and Procedures).
  • Die Evaluierungen zeigen, wie unterschiedliche Architektur- und Designansätze – etwa in EDR/XDR, Sandboxing oder Network Visibility – zur Steigerung der Cyber-Resilienz beitragen können.
 

 

Was ist MITRE ATT&CK® Evaluations Enterprise 2025?

Informationen zu den Taktiken, Techniken und Verfahren (TTPs) von Angreifern sind heute reichlich verfügbar. Die Herausforderung für Security-Analysten besteht darin, dieses Wissen mit Erfahrung zu verbinden und effektiv mit den vorhandenen Werkzeugen umzusetzen – etwa mit Threat-Intelligence-Plattformen, EDR/XDR, SIEM oder SOAR.

Da jedoch jede Sicherheitslösung Telemetrie, Alarme und Korrelationen anders darstellt, benötigen Analysten Zeit, um sich einzuarbeiten und das volle Potenzial eines Tools auszuschöpfen.

Genau hier setzen die MITRE ATT&CK Evaluations an: Sie zeigen mit maximaler Transparenz, wie verschiedene EDR- und XDR-Lösungen identische Angriffsszenarien erkennen, darstellen und handhaben. Es gibt dabei keinen „richtigen“ Analyseweg – entscheidend ist, wie gut ein Tool zur Arbeitsweise eines Analysten passt.

Schutz und Erkennung werden jetzt getrennt bewertet

2024 hat MITRE ATT&CK ein paar Änderungen eingeführt und die Bewertung der Schutzmechanismen (Prevention) von der Erkennungsbewertung (Detection) getrennt und als eigene Bewertungsdimension eingeführt. Das bedeutet:

Erkennung (Detection) wird separat gemessen,

Schutz / Prevention wird separat bewertet, beide Inputs fließen unabhängig ein, um ein realistischeres Bild der Fähigkeiten zu zeigen.

Diese Trennung sorgt für mehr Klarheit in der Bewertung, weil ein System nicht nur danach beurteilt wird, wie viele Angriffe erkannt, sondern auch wie gut sie verhindert werden können.

Das ist entscheidend auf dem Prüfstand, da reine Erkennung allein nicht ausreicht. Für Analysten sind vielmehr Aussagekraft, Kontext und Qualität der Alarme ausschlaggebend, nicht deren bloße Anzahl. Zwar wurde die Sichtbarkeit der Erkennungsleistung intensiv getestet, indem Angreifer ihre Aktivitäten zunächst ungehindert ausführen durften, doch stellte dies die Anbieter vor die Aufgabe, ihre Telemetrie sinnvoll mit der ATT&CK-Wissensbasis zu verknüpfen.

Parallel dazu untersuchte MITRE, ob und wie einfach Konfigurationsanpassungen vorgenommen werden können – ein realistisches Szenario, da SOCs ihre Umgebungen kontinuierlich an neue Bedrohungen anpassen.

Ergebnisse richtig einordnen: Orientierung, kein Wettrennen 

Das Ziel der Evaluations ist Transparenz zu schaffen, Vergleichbarkeit zu ermöglichen und die Stärken wie Schwächen von EDR/XDR/Endpoint-Lösungen sichtbar zu machen. So haben Entscheider eine Orientierungshilfe bei der Auswahl einer Sicherheitslösung für ihr  Unternehmen und ihre Organisation. Bei der Einordnung der Ergebnisse, bedarf es mehr, als den „Sieger“ im Ranking abzulesen.

Beispiel ESET: Die Resultate zeigen zum einen eine hohe Schutzrate und zum anderen, dass die Erkennungsleistung eine hohe Transparenz bietet. Für einen aktiv arbeitenden Analysten liefern solche Kennzahlen allerdings nicht zwangsläufig alle Informationen, die für fundierte Entscheidungen erforderlich sind. Oder etwa doch?

Erkennungsrate allein sagt nicht alles aus

Richten Analysten ihren Blick allerdings primär auf die reine Erkennungsleistung, wäre ESET womöglich weniger ideal positioniert mit 66,67 %. Ein Anbieter könnte ganz einfach behaupten, eine sehr hohe oder sogar 100-%-Erkennungsrate zu haben und hätte damit die Nase vorn. So beeindruckend das klingt, erklärt es aber nur einen Teil der tatsächlichen Leistungsfähigkeit. Die entscheidende Frage beim Thema Erkennungsleistung lautet: Sind all diese Telemetriedaten tatsächlich gleich relevant und gleich aussagekräftig?

Die klare Antwort lautet: nein. Entscheidend ist nicht, wie viel erkannt wird, sondern was erkannt wird und wie hilfreich diese Informationen sind. Nicht jede Erkennung ist gleich wichtig. Innerhalb der MITRE-Tests werden Angriffstechniken unterschiedlich gewichtet - abhängig von ihrem Schweregrad und ihrer praktischen Relevanz. Deshalb verfolgt ESET bewusst nicht das Ziel, jede einzelne Technik aus der ATT&CK-Datenbank abzudecken. Der Grund ist einfach: Eine vollständige Abdeckung bringt keinen zusätzlichen Nutzen, wenn sie Analysten mit irrelevanten Meldungen überflutet.

Entlastung durch Prävention und weniger Alarme

ESET legt den Fokus bewusst auf Prävention, also das automatische Blockieren von Angriffen, bevor Analysten eingreifen müssen. Das ist besonders entscheidend, weil MITRE seit 2024 Schutz (Prevention) und Erkennung getrennt bewertet – und viele Anbieter diesen Schutzteil gar nicht vollständig durchlaufen. Automatische Blockierung spart Zeit und entlastet Sicherheitsteams erheblich. Es verschafft ihnen den Freiraum, sich auf strategische Aufgaben zu konzentrieren, die die langfristige Cyber-Resilienz stärken.

Das Gleiche gilt für Alarme resp. Warnungen: Zu viele davon erhöhen das Risiko von Überlastung und verzögern die Reaktionen. Für effektive Detection-and-Response-Prozesse reicht es aus, die wichtigsten und gefährlichsten Angriffsschritte zuverlässig zu erkennen. Fehlende Erkennungen bei seltenen oder wenig schwerwiegenden Techniken bedeuten daher nicht zwangsläufig ein geringeres Schutzniveau. Im Gegenteil: Sie können zu effizienteren Workflows und schnelleren Gegenmaßnahmen führen, weil die entscheidenden Angriffsschritte unmittelbar hervorgehoben werden – bis hin zur automatischen Blockierung der Bedrohung.

Klare Vorfälle statt Alarmflut

Auf dem Prüfstand hat ESET PROTECT die erkannten Aktivitäten automatisch zu klar strukturierten Vorfällen zusammengefasst. Die Warnungen enthielten jeweils die relevantesten Aktivitäten der Angreifer innerhalb des simulierten Netzwerks, was zu einer sehr geringen Anzahl an Incidents pro Szenario führte – im Hermes-Szenario sogar zu nur einem einzigen Vorfall. Für Analysten bedeutet das maximale Übersicht und Fokus auf das Wesentliche.

Genau diese Aspekte testet MITRE. Für Anbieter liefern die Evaluierungen wertvolle Erkenntnisse zur Weiterentwicklung ihrer Erkennungslogik. Für Analysten hingegen, die unter hohem Zeitdruck einen laufenden Angriff stoppen müssen, sind Detailfülle und Vollständigkeit zweitrangig. Entscheidend sind klare, eindeutig priorisierte Warnmeldungen – idealerweise automatisch durch ein XDR-System aufbereitet – die die nächsten Handlungsschritte eindeutig vorgeben.

Schlacht gewonnen, Krieg verloren

„Bei MITRE ging und geht es nie um Gewinner und Verlierer“, sagt Juraj Malcho, Chief Technology Officer bei ESET. „Das Marketing mag bei einem 1. Platz Erfolge feiern, aber in der Praxis zählt was anderes: Analysten brauchen keine vollständige Protokollierung jedes Ereignisses, sondern klare, korrelierte Hinweise auf echte Bedrohungen.“

Ein weiterer Aspekt ist die Flexibilität bei der Erkennungslogik. ESET PROTECT ermöglichte es, nach dem ersten Durchlauf gezielt nachzuschärfen und blinde Flecken zu schließen – so wie es auch reale SOCs tun. Dadurch lässt sich die Lösung auf branchenspezifische Risiken und individuelle Umgebungen anpassen.

Wie man MITRE für die eigene Evaluierung nutzen kann

MITRE stellt auf seiner Website umfangreiche Visualisierungen für die jeweiligen Angriffsszenarien bereit: AngriffsschritteSub-Techniken, Screenshots aus den Benutzeroberflächen der Anbieter und direkte Vergleichsmöglichkeiten.

Unsere Empfehlung an Anwender ist: Nutzen Sie die MITRE ATT&CK® Evaluations Enterprise 2025als das, was sie sind: eine fundierte Entscheidungsgrundlage – und kein Wettkampf ums Krönchen.

Proaktiv statt reaktiv

Rhetorisch gefragt: Sollte ESET behaupten, die anderen Anbieter in den Schatten gestellt zu haben, weil es auf dem Spitzenplatz gelandet ist? Ganz sicher nicht, denn das ist nicht das Ziel hinter den Bewertungen.

MITRE ATT&CK Enterprise Evaluations sind weit mehr als nur ein weiterer Test, sie sind ein Werkzeug zur Erkenntnisgewinnung. Entwickler, Security Engineers, CISOs und vor allem Analysten, die täglich mit EDR- und XDR-Lösungen arbeiten, können wertvolle Informationen aus den Bewertungen für ihre tägliche Praxis ableiten.

Die Evaluierungen sind keine Momentaufnahme, sondern eine Reihe gezielt entwickelter Tests, die darauf abzielen, detaillierte Einblicke zu liefern. Sie helfen dabei, das Verständnis von Produktentwicklungsteams, CISOs und weiteren Stakeholdern zu vertiefen. MITRE fordert Anbieter so bewusst heraus, ihre Sicherheitslösungen kontinuierlich zu schärfen – wie ein Analyst, der zusätzliche Datenquellen in seine Threat-Intelligence-Plattform integriert.

Im Mittelpunkt der Bewertungen stehen allerdings nicht die Hersteller, sondern die Cybersecurity-Analysten, die mithilfe von EDR-, XDR- und ähnlichen Lösungen ihre Organisationen schützen. Besonders wertvoll sind die Ergebnisse für all jene, die ihr bestehendes Werkzeugset für Detection- und Response-Aufgaben gezielt weiterentwickeln oder neu ausrichten möchten.

Wenn Sie, geschätzter Leser, Ihr persönliches Verständnis von Cybersecurity-Anbietern auf die Probe stellen wollen, schauen Sie gerne auf der entsprechenden Seite von MITRE vorbei. Aber denken Sie immer daran: Es geht um Erkenntnisse, nicht um Wettbewerb.