hagel IT-Services
Festpreis-Angebot
11 Min.

FireEye Endpoint Security (heute Trellix EDR): Was IT-Leiter 2026 wissen müssen

KI
Karl Isler in IT-Insights

Inhalt in Kürze

  • FireEye Endpoint Security existiert unter diesem Namen nicht mehr. Nach dem Merger 2022 läuft die Lösung als Trellix Endpoint Security (EDR).
  • Die ursprüngliche FireEye HX Engine ist Teil des heutigen Trellix-EDR-Produkts — inklusive Mandiant Threat Intelligence.
  • Realistische Alternativen: CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, Bitdefender GravityZone.
  • Für KMU in Hamburg gilt: EDR ist 2026 Pflicht — egal welcher Hersteller. Ohne EDR keine Cyber-Versicherung, keine NIS2-Compliance.
FireEye 2026 in einem Satz:

FireEye gibt es als eigenständige Marke seit 2022 nicht mehr — die Endpoint-Security-Produkte heißen jetzt Trellix XDR (Fusion aus FireEye und McAfee Enterprise unter Symphony Technology Group). Die Threat-Intelligence-Sparte Mandiant gehört seit 2022 zu Google Cloud. Wer 2026 „FireEye" sucht, meint meistens Trellix XDR oder Mandiant.

Wenn Sie auf der Suche nach „FireEye Endpoint Security” sind, suchen Sie mit hoher Wahrscheinlichkeit nach einem Produkt, das so nicht mehr verkauft wird. Die Marke FireEye ist 2022 in Trellix aufgegangen — gleichzeitig hat sich der EDR-Markt komplett neu sortiert. Wer heute Endpoint Detection & Response für sein Unternehmen evaluiert, muss andere Vergleiche ziehen als noch vor zwei Jahren.

Dieser Artikel räumt mit den Mythen auf, ordnet die Marktsituation 2026 ein und zeigt, welche Lösung für Hamburger KMU mit 5 bis 150 Mitarbeitern Sinn ergibt — aus der Praxis eines IT-Dienstleisters, der EDR seit Jahren produktiv betreut.

Was wurde aus FireEye? Die Mandiant-Trellix-Geschichte

FireEye war zu Hochzeiten einer der bekanntesten Namen in der Enterprise-Cybersecurity. 2014 übernahm das Unternehmen die Forensik-Spezialisten von Mandiant und etablierte sich als Premium-Anbieter für Bedrohungserkennung und Incident Response. Die Endpoint-Lösung hieß damals FireEye HX.

2021 spaltete sich der Konzern: Der Software-Bereich wurde für rund 1,2 Milliarden Dollar an die Symphony Technology Group (STG) verkauft. Mandiant — die Beratungs- und Forensik-Sparte — verblieb zunächst eigenständig und wurde 2022 von Google übernommen. Den Software-Teil fusionierte STG im Januar 2022 mit McAfee Enterprise zu Trellix.

Aus FireEye HX wurde damit Trellix Endpoint Security, kurz Trellix EDR. Die Technologie blieb, der Markenname verschwand. Wer heute noch von „FireEye” spricht, meint in der Regel das Trellix-Produkt — oder Mandiant-Services bei Google.

Kurz erklärt:

FireEye HX (alt) = Trellix EDR (neu). Mandiant Threat Intelligence ist weiterhin Teil von Trellix, gehört aber als Beratungseinheit zu Google Cloud. Beide arbeiten technisch eng zusammen.

FireEye 2026 — was vom Brand übrig ist

Die wichtigsten Stationen auf einen Blick:

  • 2014: FireEye übernimmt die Forensik-Spezialisten von Mandiant für rund 1 Milliarde Dollar — daraus wird das Premium-Threat-Intel-Standbein.
  • 2021: Symphony Technology Group (STG) kauft die FireEye-Produktsparte für 1,2 Milliarden Dollar. Mandiant bleibt zunächst eigenständig börsennotiert.
  • Januar 2022: Merger der STG-Software mit McAfee Enterprise — daraus entsteht Trellix. FireEye HX wird zu Trellix Endpoint Security, das Gesamtportfolio zu Trellix XDR.
  • September 2022: Google Cloud schließt die Übernahme von Mandiant für 5,4 Milliarden Dollar ab. Mandiant Threat Intelligence läuft seitdem unter Google Cloud Security.
  • 2026-Stand: Endpoint-Produkte = Trellix XDR. Incident-Response & Threat Intel = Mandiant bei Google Cloud. Marke „FireEye" verschwunden, Technologie und Mitarbeiter auf beide Häuser verteilt.

Wer heute eine EDR-Entscheidung trifft, vergleicht also nicht mehr FireEye gegen den Rest, sondern Trellix XDR gegen CrowdStrike Falcon, SentinelOne Singularity und Microsoft Defender for Endpoint — siehe Tabelle weiter unten.

Was leistet Trellix EDR (vormals FireEye Endpoint Security) heute?

Die Kerntechnologie ist über die Jahre gereift, nicht ersetzt worden. Wer FireEye HX in seinem Netz hatte, findet sich in Trellix EDR schnell zurecht — die Konsole hat sich modernisiert, die Erkennungslogik ist tiefer geworden.

277
Tage durchschnittliche Verweildauer eines Angreifers (Mandiant M-Trends 2024)
98 %
Detection-Rate von Trellix in MITRE Engenuity ATT&CK Evaluations
11 Mio €
Durchschnittlicher Schaden eines erfolgreichen Ransomware-Angriffs auf KMU (BSI-Lagebericht 2024)

Die wichtigsten Funktionen im Überblick:

  • Verhaltensbasierte Erkennung. Statt nur Signaturen abzugleichen, beobachtet der Agent das Verhalten von Prozessen — Privilege Escalation, ungewöhnliche Netzverbindungen, verdächtige PowerShell-Aufrufe.
  • Mandiant Threat Intelligence. Die laufenden Erkenntnisse aus Incident-Response-Einsätzen fließen direkt in Erkennungsregeln ein. Indicator of Compromise (IoC)-Updates kommen mehrmals täglich.
  • Live-Response & Forensik. Sicherheitsanalysten können sich live auf einen kompromittierten Endpoint schalten, Speicherabbilder ziehen und Beweise sichern — ohne den Rechner herunterzufahren.
  • Automatische Isolation. Bei akuten Bedrohungen wird der Endpoint binnen Sekunden vom Netz getrennt. Andere Geräte sind geschützt, der Vorfall lässt sich kontrolliert untersuchen.
  • Plattformübergreifend. Windows, macOS, Linux — ein Agent für alle gängigen Server- und Client-Betriebssysteme.
  • XDR-Integration. Über Trellix Helix lassen sich Endpoint-, Netzwerk- und Cloud-Telemetrie korrelieren. Das ist der Unterschied zwischen reinem EDR und einem ausgereiften Detection-Stack.

Code-Hintergrund — Symbolbild für EDR-Telemetrie und Bedrohungsanalyse

EDR-Vergleich 2026: Trellix gegen CrowdStrike, SentinelOne und Microsoft Defender

Wer heute EDR evaluiert, sieht sich in der Regel vier Top-Lösungen gegenüber. Hier die ehrliche Einordnung — basierend auf Gartner Magic Quadrant for Endpoint Protection Platforms 2024 sowie eigenen Erfahrungen aus Kundeneinsätzen.

LösungStärkenSchwächenSinnvoll für
Trellix EDR (vormals FireEye HX)Mandiant Threat Intelligence, plattformübergreifend, starke ForensikKonsole noch in Modernisierung, Vertrieb über ResellerMittelstand mit bestehender McAfee/Trellix-Basis, regulierte Branchen
CrowdStrike FalconCloud-nativ, schnellste Time-to-Detect, sehr gute UXHöherer Preis, Linux-Support nicht überall führendCloud-First-Setups, Tech-Unternehmen, internationale Konzerne
SentinelOne SingularityKI-getriebene Autonome Response, Rollback bei RansomwareJunge Threat Intelligence im Vergleich, Konsolen-UI komplexKMU mit Fokus auf Ransomware-Schutz, schnelle Implementierung
Microsoft Defender for EndpointTiefe M365-Integration, in E5/Defender-for-Business inkludiertSchwächer auf Nicht-Windows-Plattformen, Eigen-Konfiguration nötigReine Microsoft-Umgebungen, KMU mit M365 E5
Bitdefender GravityZoneExzellente Detection-Rate, fairer Preis, deutsche Datenschutz-OptionenEDR-Funktionen gegenüber Reinrassigen weniger tiefKlassische KMU, deutsche Mittelständler, Behörden

Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal. Die verschlüsseln Sie automatisiert, einfach weil sie können. Deshalb braucht heute jedes Unternehmen einen Grundschutz.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Warum EDR 2026 nicht mehr verhandelbar ist

Die Frage ist 2026 nicht mehr „brauchen wir EDR?”, sondern „welches EDR und wer betreibt es?”. Drei Treiber machen EDR zur Pflichtaufgabe:

1. NIS2 erfordert nachweisbare Erkennungsfähigkeit

Die NIS2-Richtlinie verpflichtet rund 30.000 deutsche Unternehmen zu wirksamen technischen Schutzmaßnahmen — explizit genannt sind „Detection und Response auf Endpoint-Ebene”. Klassischer Virenschutz reicht nicht mehr aus. Wer als KMU in den Bereich Energie, Verkehr, Gesundheit, IT-Dienste, Lebensmittel oder Verarbeitendes Gewerbe fällt und mehr als 50 Mitarbeiter oder 10 Mio. Euro Umsatz hat, ist in der Pflicht.

Sind Sie betroffen? Unser kostenloser NIS2-Betroffenheits-Check prüft das in 2 Minuten.

2. Cyber-Versicherungen verlangen EDR

Seit 2023 fordern fast alle deutschen Cyber-Versicherer eine EDR-Lösung als Voraussetzung für einen Vertragsabschluss. Wer kein EDR im Einsatz hat, bekommt entweder gar keine Police mehr oder zahlt deutlich mehr Prämie. Das gilt auch für Kunden, die wir bei der Police-Beantragung begleiten — die Versicherer-Fragebögen prüfen EDR-Coverage explizit.

3. Die Angriffe werden schneller, nicht langsamer

Ein moderner Ransomware-Angriff braucht von der Erstinfektion bis zur kompletten Verschlüsselung der Domäne im Schnitt unter 24 Stunden. Manche Gruppen schaffen das in 90 Minuten. Wer das nur mit Antivirus erkennen will, kommt zwei Tage zu spät.

EDR-Strategie für Ihr Unternehmen?

15 Minuten Erstgespräch. Wir prüfen, welche EDR-Lösung zu Ihrer Infrastruktur passt — und ob Sie mit Microsoft Defender bereits sauber abgedeckt sind.

Erstgespräch buchen →

Implementierung: Was bei der Einführung wirklich passiert

Wir betreuen EDR bei Kunden seit 2019 — anfangs FireEye HX, heute überwiegend Microsoft Defender for Endpoint, Bitdefender GravityZone und in einzelnen Fällen Trellix oder CrowdStrike. Die Erfahrung zeigt: Tool-Auswahl ist nicht der schwierige Teil.

  1. Discovery & Asset-Inventar (1–2 Tage). Welche Endpoints gibt es überhaupt? Welche OS-Stände? Wer hat lokale Admin-Rechte? Ohne sauberes Inventar wird kein EDR funktionieren.
  2. Pilot auf 10–20 Endpoints (1 Woche). Agent ausrollen, Verhalten beobachten, False Positives sichten. Hier zeigt sich schnell, ob die Erkennungslogik zur eigenen Umgebung passt.
  3. Tuning der Regeln (1 Woche). Jedes Unternehmen hat Eigenheiten — interne PowerShell-Skripte, Spezialsoftware, ungewöhnliche Netzverbindungen. Diese werden als Ausnahmen hinterlegt.
  4. Vollausrollung (1–4 Wochen). Agent auf alle Endpoints. Bei großen Umgebungen wellenweise — Pilot-Gruppe, dann Abteilungen, dann Rest.
  5. Betrieb & Response (laufend). Ein EDR-Tool ohne Reaktion ist sinnlos. 24/7-Monitoring, Alarmtriage, Incident Response — entweder intern oder durch einen Managed-Security-Partner.
Häufiger Fehler:

Unternehmen kaufen EDR und denken, das war's. Ohne 24/7-Monitoring fallen Alarme nachts und am Wochenende ins Leere — genau dann, wenn Angreifer am liebsten zuschlagen. Entweder Inhouse-SOC oder Managed Security.

Trellix vs. Microsoft Defender: Die ehrliche Antwort für KMU

Eine Frage, die uns wöchentlich erreicht: „Reicht Defender, oder brauche ich Trellix/CrowdStrike?” Die ehrliche Antwort hängt von drei Faktoren ab:

Defender reicht, wenn …

  • Sie Microsoft 365 Business Premium, E3 mit Defender-Add-on oder E5 nutzen.
  • Ihre Umgebung primär Windows ist (mit etwas macOS).
  • Sie keine spezifischen Compliance-Anforderungen für externe SOC-Forensik haben.
  • Sie ein Managed-Service-Partner haben, der Defender-Alarme aktiv überwacht.

Sie brauchen ein dediziertes EDR (Trellix, CrowdStrike, SentinelOne), wenn …

  • Sie eine heterogene Umgebung mit viel Linux/macOS haben.
  • Sie regulatorische Anforderungen an externe Threat Intelligence haben (z. B. KRITIS, Finanzdienstleister).
  • Sie historische Incident-Response-Erfahrung mit einem bestimmten Anbieter haben (Mandiant, CrowdStrike Services).
  • Sie sehr hohe Detection-SLA brauchen (unter 1 Minute Mean Time to Detect).

Für die typischen Hamburger Mittelständler, die wir betreuen, ist Microsoft Defender for Endpoint in Kombination mit professionellem Monitoring fast immer die wirtschaftlichste Wahl. Das ist auch der Stack hinter unserem Produkt Managed Security — kombiniert mit unserer Managed Firewall ergibt sich ein konsistentes Schutzkonzept ohne Mehrfach-Lizenzen.

Was Sie jetzt tun sollten

Wenn Sie diesen Artikel gelesen haben, weil Sie über FireEye nachgedacht haben, sind Sie auf dem richtigen Pfad — aber bei einer veralteten Information. Drei konkrete Schritte für die nächsten 30 Tage:

  • Status-Check. Welches Endpoint-Schutz-Produkt ist aktuell im Einsatz? Welche Version? Wer wertet die Alarme aus? Wenn die Antwort „der Virenscanner halt" lautet, gibt es Handlungsbedarf.
  • NIS2-Betroffenheit prüfen. 30.000 deutsche Unternehmen sind betroffen — die wenigsten wissen es. Unser Check klärt das in zwei Minuten.
  • EDR-Strategie definieren. Defender nutzen oder ein dediziertes EDR? Inhouse betreiben oder als Cybersecurity-Service einkaufen? Diese Entscheidung sollte nicht der Junior-Admin treffen müssen.

Externe Quellen & weiterführende Links

Verwandte Artikel auf hagel-it.de

Das Wichtigste: FireEye Endpoint Security gibt es seit 2022 nicht mehr unter diesem Namen — die Technologie lebt als Trellix EDR weiter. Für Hamburger KMU stellt sich heute eine andere Frage: Microsoft Defender, Bitdefender, Trellix oder CrowdStrike? Wir beraten herstellerneutral — und sagen ehrlich, wenn das, was Sie schon haben, ausreicht.

Wir hatten den klassischen Virenscanner und dachten, das reicht. Nach dem Cyber-Versicherungs-Audit war klar: Ohne EDR kommen wir nicht durch. Hagel IT hat uns innerhalb von zwei Wochen Defender for Endpoint sauber ausgerollt — heute schlafen wir ruhiger.

Andreas Petersen · Geschäftsführer, Maschinenbau, 60 Mitarbeiter

hagel IT als Cybersecurity-Partner in Hamburg

Wir sind kein Reseller eines bestimmten Herstellers — und das ist Absicht. Statt jedem Kunden dieselbe Lösung zu verkaufen, schauen wir auf die bestehende Infrastruktur, die Compliance-Anforderungen und die wirtschaftliche Realität. Bei den meisten Hamburger Mittelständlern landet die Wahl bei Microsoft Defender for Endpoint, kombiniert mit unserem 24/7-Monitoring. Bei einigen ist Bitdefender oder Trellix die richtige Antwort. Bei wenigen wirklich CrowdStrike.

Was wir nicht machen: ein EDR verkaufen und Sie damit allein lassen. Managed Security heißt bei uns: Wir betreiben es, wir reagieren auf Alarme, wir erstellen die Berichte für Ihre Cyber-Versicherung. Sie behalten den Kopf frei für Ihr Geschäft.

Wenn Sie wissen wollen, ob Ihr aktueller Schutz reicht — oder ob Sie für NIS2 nachrüsten müssen — dann lassen Sie uns 15 Minuten reden. Kostenlos, herstellerneutral, mit klarer Empfehlung.

Karl Isler
Karl Isler
IT-Experte & Autor, hagel IT-Services GmbH

Karl Isler ist ein erfahrener IT-Experte und Autor. Seine Fachkenntnisse in den Bereichen IT-Strategie, Cloud Computing und Datensicherheit ermöglichen es ihm, fundierte Artikel für unseren IT-Entscheider-Blog zu verfassen.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Gesundheit
Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Nein, FireEye existiert als eigenständige Marke seit 2022 nicht mehr. Symphony Technology Group hat 2021 die FireEye-Produktsparte gekauft und im Januar 2022 mit McAfee Enterprise zu Trellix verschmolzen. Die Threat-Intelligence-Tochter Mandiant gehört seit März 2022 zu Google Cloud. Wer 2026 nach FireEye sucht, landet bei Trellix XDR (Endpoint-Produkte) oder Mandiant bei Google Cloud (Incident Response & Threat Intel).

Trellix XDR ist die Nachfolge-Plattform der FireEye-Endpoint-Linie. XDR steht für eXtended Detection and Response — also Telemetrie nicht nur vom Endpoint, sondern auch aus Netzwerk, E-Mail und Cloud, korreliert in einer Konsole. Kernbestandteile: Trellix Endpoint Security (Endpoint-Agent, früher FireEye HX), Trellix Helix (SIEM/SOAR-Backbone) und Mandiant-Threat-Intelligence-Feeds. Verkauft wird ausschließlich über Trellix-Partner und Reseller — keine Listenpreise.

Direkt nirgends mehr unter dem Namen FireEye. Die Endpoint-, Network- und Email-Security-Produkte sind 2022 ins Trellix-Portfolio überführt worden und werden über zertifizierte Trellix-Reseller verkauft (trellix.com). Mandiant-Services — also Incident Response, Compromise Assessment, Red-Teaming — laufen heute über Google Cloud (cloud.google.com/security/mandiant). Bestehende FireEye-HX-Lizenzen wurden automatisch auf Trellix EDR migriert; alte Renewal-Verträge laufen über die Trellix-Vertriebsorganisation weiter.

Nein, nicht unter dem Namen FireEye. Nach der Übernahme durch Symphony Technology Group und dem Merger mit McAfee Enterprise im Januar 2022 wurde das Produkt in Trellix Endpoint Security umbenannt. Die frühere FireEye HX Engine ist heute Bestandteil von Trellix EDR. Bestehende Lizenzen wurden ohne Funktionsverlust migriert.

Funktional ist Trellix EDR die Weiterentwicklung von FireEye HX. Hinzugekommen sind die XDR-Plattform (eXtended Detection and Response), tiefere Integration mit Trellix Helix SIEM, eine modernisierte Cloud-Konsole und KI-gestützte Bedrohungsanalyse. Die Kerntechnologien Verhaltensanalyse, Mandiant Threat Intelligence und forensisches Live-Response sind erhalten geblieben.

Beide Lösungen liegen im Gartner Magic Quadrant für Endpoint Protection Platforms im Leader-Quadranten. CrowdStrike Falcon punktet mit cloud-nativer Architektur und schneller Time-to-Detect, Trellix EDR mit tiefer Threat-Intelligence-Integration durch Mandiant. Für KMU mit bestehender McAfee/Trellix-Infrastruktur ist Trellix oft die einfachere Wahl, für reine Cloud-First-Setups eher CrowdStrike.

Für viele KMU mit Microsoft 365 E5 oder Defender for Business reicht Defender vollkommen aus. Wenn Sie aber heterogene Umgebungen mit Linux, macOS und Windows haben, regulierte Branchen mit Forensik-Pflicht oder höhere Erkennungsraten bei Zero-Days benötigen, sind dedizierte EDR-Lösungen wie Trellix oder CrowdStrike die bessere Wahl.

Trellix verkauft nicht über Listenpreise, sondern über Reseller und Partner. Realistische Hausnummern für KMU liegen bei 35 bis 80 Euro pro Endpoint pro Jahr — abhängig von Modulen (EPP, EDR, XDR), Vertragslaufzeit und Volumen. Im Vergleich: CrowdStrike Falcon Pro startet bei rund 60 Euro pro Endpoint pro Jahr, SentinelOne Singularity Core bei rund 50 Euro.

Trellix EDR nutzt einen mehrschichtigen Ansatz: Ein lokaler Agent sammelt Telemetrie zu Prozessen, Netzwerkverbindungen und Datei-Operationen. Diese werden gegen Verhaltensregeln, Machine-Learning-Modelle und die globale Threat Intelligence aus Mandiant-Forensik abgeglichen. Verdächtige Muster lösen Alarme aus, automatische Playbooks isolieren betroffene Endpoints binnen Sekunden.

Ja. Trellix bietet offene APIs, native SIEM-Connector zu Splunk, Microsoft Sentinel und QRadar sowie eine eigene XDR-Plattform (Trellix Helix). Über die OpenC2- und STIX/TAXII-Standards lassen sich Threat-Indicators mit anderen Tools austauschen. Für SOAR-Workflows existieren Konnektoren zu Palo Alto Cortex XSOAR und Splunk SOAR.

Bestehende FireEye-HX-Kunden wurden in den meisten Fällen automatisch auf die Trellix-Konsole migriert. Die Agenten erhalten ein Update, die Konfigurationen werden übernommen. Manuelle Migrationen sind nötig, wenn Sie auf einer sehr alten HX-Version (vor 5.0) sind oder wenn Sie zur Cloud-Konsole wechseln möchten. Für eine saubere Migration planen Sie ein bis zwei Wochen Pilotbetrieb auf einer Test-OU ein.

Das könnte Sie auch interessieren

IT-Insights

Maklerbüro Hamburg: IT-Stack 2026 für Immobilienprofis
IT-Insights

Hafen-IT 4.0: Die Digitalisierung der Hamburger Logistik 2026
IT-Insights

n8n vs Make vs Microsoft Power Automate: Workflow-Tools 2026 für Hamburger KMU