EDR vs. antivirus: wanneer is antivirus niet meer genoeg?

Een boekhouder in Gent opent een Excel-bestand van een leverancier. De antivirus scant het. Geen alarm. Klopt: het bestand bevat geen virus. Wel een macro die PowerShell opstart en een klein programma downloadt. Dat programma brengt twee weken lang stil het netwerk in kaart. Dan slaat ransomware toe. Alle dossiers versleuteld.

De antivirus deed exact wat hij moest doen. Het was gewoon niet genoeg.

Volgens VLAIO werd 46% van de Vlaamse bedrijven in 2024 slachtoffer van een cyberaanval. Bij de meeste begon het op een endpoint.

Waar antivirus stopt

Antivirus vergelijkt bestanden met een database van bekende virussen. Match? Geblokkeerd. Geen match? Doorgelaten. Dat werkte toen aanvallers virussen schreven die weken meegingen. Nu maken ze dagelijks varianten die net anders genoeg zijn om de database te omzeilen.

Het fundamentele probleem: signature-based antivirus herkent alleen wat het al kent. Moderne malware muteert continu. Elke kopie ziet er net anders uit. Uit onderzoek blijkt dat het overgrote deel van zero-day aanvallen signature-based detectie volledig omzeilt. De database herkent het origineel, maar niet de duizend varianten die erna komen.

En dan zijn er fileless aanvallen. Geen bestanden, geen handtekeningen om te matchen. Ze misbruiken je eigen Windows-tools (PowerShell, WMI, Office-macro's) om kwaadaardige acties uit te voeren. Antivirus kijkt er niet naar, want er is niets om te scannen. Meer dan de helft van bedrijven geeft aan moeite te hebben met de detectie van dit type aanval. Het was ook de methode bij de boekhouder hierboven.

Wat EDR anders doet

EDR (Endpoint Detection and Response) kijkt niet naar bestanden maar naar gedrag. Continu, op elk apparaat.

Een programma dat midden in de nacht duizenden bestanden hernoemt? Verdacht. Software die je backup probeert te wissen? Alarm. PowerShell dat verbinding maakt met een onbekende server? Onderzoek.

Drie dingen die antivirus niet kan:

• Onbekende dreigingen detecteren. Fileless malware, misbruik van legitieme Windows-tools, nieuwe ransomware-varianten
• Centraal beheer. Eén dashboard voor alle apparaten. Je ziet welke laptop achterloopt met updates en kunt op afstand ingrijpen
• Automatische isolatie. Een geïnfecteerd apparaat wordt direct losgekoppeld van het netwerk. Geen handmatig uitschakelen, geen verspreiding

Wanneer stap je over?

Vijf signalen dat antivirus niet meer volstaat:

1. Meer dan 5-10 apparaten. Handmatig controleren of antivirus overal draait en up-to-date is, wordt onbeheersbaar. Centraal beheer is geen luxe meer.

2. Gevoelige data. Klantgegevens, financiële data, medische dossiers. Bij een inbraak is de schade groter dan de EDR-kosten van jaren.

3. NIS2 van toepassing. Het CyFun-framework van het CCB verwacht op BASIC-niveau anti-malware met centraal beheer, software-inventaris en patchbeleid. Losse antivirus op elke laptop voldoet daar niet aan. De deadline voor de CyFun self-assessment is 18 april 2026. Twijfel je of NIS2 op jou van toepassing is? Doe de NIS2-check.

4. Hybride werken. Thuiswerk, eigen telefoons, openbare wifi. Apparaten buiten je kantoornetwerk wil je centraal monitoren.

5. Je cyber-verzekeraar vraagt erom. Steeds meer verzekeraars eisen EDR en goed geconfigureerde MFA als harde voorwaarde voor dekking. Zonder EDR geen polis, of een fors hogere premie.

Herken je twee of meer van deze signalen? Doe de gratis Security Scan en ontdek waar je endpoint-beveiliging nu staat.

Geen IT-team? MDR als alternatief

De meeste KMO's hebben geen interne IT-afdeling die dagelijks beveiligingsalerts opvolgt. Managed Detection and Response (MDR) lost dat op: EDR-software op je apparaten, gemonitord door een extern team van security-analisten. Zij filteren het ruis, onderzoeken verdachte activiteit en grijpen in als dat nodig is. Jij krijgt alleen een melding als er echt iets aan de hand is.

De rekening voor een KMO met 25 medewerkers: een interne security-analist kost €4.000-5.000 per maand. MDR kost €8-15 per apparaat per maand. Voor 30 apparaten is dat €240-450 per maand. Een fractie van de prijs, met een team van specialisten erachter.

Vraag je IT-partner naar:

• Responstijd bij een kritiek incident (doel: onder 30 minuten)
• Of ze actief ingrijpen (isoleren, blokkeren) of alleen melden
• Rapportage die je kunt gebruiken voor je CyFun-documentatie

Wat kost de overstap?

Oplossing	Prijs (indicatie)	Geschikt voor
Basis antivirus	€2-6/apparaat/maand	Zelfstandigen, micro-KMO's zonder gevoelige data
EDR (zelf beheren)	€5-10/apparaat/maand	KMO's met IT-partner die alerts opvolgt
MDR (volledig beheerd)	€8-15/apparaat/maand	KMO's zonder eigen IT-team
M365 Business Premium	±€22/gebruiker/maand	Microsoft-omgevingen (Defender for Business EDR inbegrepen)

De overstap van antivirus naar EDR voor 25 apparaten: ±€1.200 extra per jaar. Vergelijk dat met de gemiddelde schade van een ransomware-aanval bij Belgische KMO's, die snel in de tienduizenden euro's loopt.

Een eerlijke nuance: voor een zelfstandige met twee apparaten, geen gevoelige klantdata en geen NIS2-verplichtingen is basis antivirus met automatische updates een redelijk startpunt. Je hoeft geen €200 per maand aan EDR te betalen als je risicoprofiel dat niet rechtvaardigt. Maar zodra je groeit, verandert die rekening snel.

Gebruik je al Microsoft 365 Business Premium? Dan zit Defender for Business al in je licentie. Mogelijk draait het al op je apparaten met standaardinstellingen. Check dit bij je IT-partner. Geen extra kosten, alleen configuratie.

Dit artikel is informatief bedoeld en vervangt geen professioneel beveiligingsadvies. Prijzen zijn indicatief (april 2026). Raadpleeg een cybersecurity-specialist of het CCB voor advies op maat.