CrowdStrike Falcon Go
CrowdStrike Falcon Go ist eine Endpoint-Protection-Plattform für kleine und mittlere Unternehmen mit bis zu 100 Geräten. Im Gegensatz zu klassischen Antivirenlösungen, die Dateien gegen eine Datenbank bekannter Bedrohungen abgleichen, nutzt Falcon Go verhaltensbasiertes Machine Learning und erkennt Angriffe anhand dessen, was Prozesse auf einem System tatsächlich tun. Die gleiche Erkennungstechnologie läuft auf allen CrowdStrike-Versionen, vom Startup bis zum Grosskonzern.
Der Unterschied zeigt sich in der Praxis. Signaturbasierter Virenschutz fängt gängige Malware ab, übersieht aber dateilose Angriffe, neue Ransomware-Varianten und Living-off-the-Land-Techniken, bei denen Angreifer legitime Systemtools missbrauchen. Falcon Go überwacht Ausführungsketten und Verhaltensmuster und erkennt Bedrohungen, die noch in keiner Datenbank stehen.
Was macht CrowdStrike Falcon Go?
Ein Falcon-Agent, ein schlanker Sensor, wird auf jedem Gerät installiert und sendet Telemetriedaten an die Cloud von CrowdStrike zur Analyse. Der Agent beansprucht unter 5 % CPU und läuft lautlos im Hintergrund. Updates kommen automatisch und erfordern keinen Neustart. Die gesamte Verwaltung läuft über eine webbasierte Konsole, die von überall erreichbar ist.
Wenn der Sensor verdächtiges Verhalten erkennt (z. B. ein Prozess verschlüsselt Dateien in hohem Tempo, eine Anwendung versucht Sicherheitskontrollen zu deaktivieren oder ein Skript wird von einem ungewöhnlichen Ort ausgeführt), kann er den Prozess beenden, die Datei isolieren und dich in Echtzeit benachrichtigen. Das passiert, bevor sich die Bedrohung ausbreiten kann.
Die Cloud-native Architektur bedeutet, dass kein lokaler Server installiert, gepatcht oder gewartet werden muss. Für kleine Teams ohne eigene IT-Abteilung fällt damit eine ganze Infrastrukturebene weg.
Für wen ist CrowdStrike Falcon Go gedacht?
- Kleine Teams mit sensiblen Daten (Kanzleien, Finanzdienstleister, Beratungen oder Firmen im Gesundheitswesen). Wenn dein Unternehmen Kundendaten, Finanzdaten oder geistiges Eigentum verarbeitet, wird der Unterschied zwischen klassischem Virenschutz und verhaltensbasierter EDR-Lösung relevant. Ein einziger Ransomware-Vorfall kann mehr kosten als Jahre an Falcon Go-Lizenzen. Siehe: Security für kleine Teams
- Teams mit verschiedenen Betriebssystemen im Einsatz. Teams, die Windows, macOS und Linux im Einsatz haben, bekommen über alle Plattformen hinweg einen einheitlichen Schutz. Die Mac- und Linux-Agenten von CrowdStrike sind deutlich leistungsfähiger als die plattformübergreifende Abdeckung von Microsoft Defender, was Falcon Go besonders für Mac-lastige Startups und Entwicklungsteams interessant macht.
- Compliance-getriebene Unternehmen. CrowdStrike ist unabhängig zertifiziert nach PCI DSS v3.2, HIPAA, NIST, SOC 2 und weiteren Standards. Wenn deine Cyberversicherung oder Kundenverträge nachweisbaren Endpoint Protection verlangen, erfüllt Falcon Go diese Anforderungen ohne die Komplexität von Enterprise-Plattformen.
CrowdStrike Falcon Go testen →
Wichtige Funktionen
Verhaltensbasierte Bedrohungserkennung
Die MITRE ATT&CK-Evaluierungen gelten als der anspruchsvollste unabhängige Test in der Branche. 2025 erkannte CrowdStrike nahezu jeden simulierten Angriffsschritt und produzierte null Fehlalarme. Unter den Konkurrenten kommt SentinelOne der Erkennungsqualität am nächsten.
Cloud-native Konsole
Die Verwaltung und Konfiguration der Geräte läuft über ein webbasiertes Dashboard in der Cloud. Es ist kein lokaler Server erforderlich oder vorgesehen. Das Dashboard zeigt den Schutzstatus aller Geräte, aktive Bedrohungsalarme und die Policy-Compliance in einer einzigen Ansicht. Nach der Ersteinrichtung liegt der laufende Verwaltungsaufwand erfahrungsgemäss bei etwa 15-30 Minuten pro Woche.
Offline-Schutz
Der Falcon-Sensor enthält eine lokale Machine-Learning-Komponente, die Schutzrichtlinien auch ohne Internetverbindung durchsetzt. Die Cloud-Verbindung ermöglicht die vollständige Verhaltensanalyse-Pipeline, aber das Gerät bleibt auch im Flugmodus oder bei einem Netzwerkausfall geschützt.
Plattformübergreifende Abdeckung
Falcon Go unterstützt Windows, macOS und Linux. Der macOS-Agent hat sich in den letzten Jahren deutlich verbessert. Beispielsweise wurden die Netzwerk-Visibility-Funktionen erweitert, wodurch netzwerkbasierte Bedrohungen auf dem Mac zuverlässiger erkannt werden. Die plattformübergreifende Konsistenz von CrowdStrike ist einer der klarsten Vorteile gegenüber Microsoft Defender for Business, wo die Mac- und Linux-Abdeckung nach wie vor nicht optimal gelöst ist.
Was passierte beim CrowdStrike-Ausfall im Juli 2024?
Am 19. Juli 2024 führte ein fehlerhaftes Konfigurationsupdate für den Falcon-Sensor dazu, dass rund 8,5 Millionen Windows-Systeme abstürzten. Die Ursache war eine fehlerhafte Konfigurationsdatei, kein Cyberangriff. Das Update wurde noch am selben Tag zurückgezogen. Nur Windows war betroffen.
Die Wiederherstellung erforderte einen manuellen Zugriff auf jedes betroffene Gerät. Für kleine Teams ohne eigene IT war das eine echte Belastung.
CrowdStrike hat seitdem zusätzliche Validierungs- und Staging-Prozesse für Sensor-Updates eingeführt. Der Vorfall hat berechtigte Fragen aufgeworfen, ob Agenten, die auf Kernel-Ebene im Betriebssystem operieren, Updates ohne vorherige Prüfung und Freigabe durch Administratoren ausrollen sollten. Die meisten Managed-Service-Provider und Grosskunden haben den Vorfall verarbeitet. Trotzdem lohnt es sich, diesen Vorfall zu kennen.
Was CrowdStrike Falcon Go nicht abdeckt
- Keine Firewall-Verwaltung. Firewall-Kontrollen erfordern ein Upgrade auf Falcon Pro. Wenn du DNS-Filterung oder Web-Content-Kontrollen brauchst, benötigst du bei der Go-Version ein separates Tool.
- Keine vollständige EDR-Forensik. Falcon Go bietet Erkennung und Prävention, nicht die tiefgehenden forensischen Untersuchungs- und Threat-Hunting-Funktionen von Falcon Enterprise. Um die komplette Kill Chain eines Angreifers in deiner Umgebung nachzuverfolgen, brauchst du eine höhere Version.
- Kein 24/7-Support. Die Go-Version umfasst Support zu Geschäftszeiten mit einer 4-Stunden-Erstreaktion bei kritischen Fällen. Dedizierter Incident Response oder Bereitschaftsdienst ausserhalb der Geschäftszeiten sind nicht enthalten. Für praktische Hilfe bei einem Sicherheitsvorfall bräuchtest du einen separaten Retainer mit einem Security-Berater.
- Harte Grenze bei 100 Geräten. Falcon Go und Pro unterstützen maximal 100 Endpoints. Ab Gerät 101 wird der Wechsel auf Falcon Enterprise fällig, bei rund 3x höheren Kosten pro Gerät. Wenn dein Team sich dieser Grenze nähert, plane den Budget-Übergang frühzeitig.
- Nur Jahresabrechnung. Es gibt keine monatliche Zahlungsoption. Für Startups in der Frühphase, die ihren Cashflow genau steuern, ist die jährliche Vorauszahlung eine Überlegung.
Was kostet CrowdStrike Falcon Go?
Falcon Go liegt im Premium-Segment für SMB-Endpoint Protection, etwa doppelt so teuer wie Mittelklasse-Alternativen wie Bitdefender GravityZone oder Sophos Intercept X. Für ein kleines Team mit 5-10 Geräten bewegen sich die jährlichen Kosten im Bereich eines typischen Pro-Person-SaaS-Abos. Bei 25-50 Geräten wird es ein spürbarer Posten im Budget.
Der Aufpreis spiegelt technische Differenzierung wider (verhaltensbasiertes ML versus Signaturabgleich). Für Unternehmen, bei denen ein Sicherheitsvorfall ernsthafte finanzielle oder reputationsbezogene Folgen hätte, ist die Investition leichter zu rechtfertigen als für ein Team, das allgemeine Büroarbeit ohne sensible Daten erledigt.
Aktuelle Preise und Plandetails auf der CrowdStrike-Website.
Wie schlägt sich CrowdStrike Falcon Go im Vergleich?
| CrowdStrike Falcon Go | Microsoft Defender for Business | Bitdefender GravityZone | SentinelOne Singularity | |
|---|---|---|---|---|
| Erkennungsansatz | Verhaltensbasiertes ML + Cloud-Analyse | Signatur + verhaltensbasiert | Signatur + verhaltensbasiert | Verhaltensbasiertes ML + Cloud |
| MITRE ATT&CK-Ergebnisse | Spitzengruppe, 0 False Positives | Gut, nicht Spitzengruppe | Stark | Spitzengruppe (vergleichbar) |
| macOS/Linux-Support | Stark auf allen Plattformen | Eingeschränkt bei Mac/Linux | Gut | Stark |
| Eigene Server-Infrastruktur | Keine (cloud-native) | Keine (Cloud via Intune) | Optional | Keine (cloud-native) |
| Geräte-Limit | 100 (Go/Pro) | 300 | Keines | Keines |
| Preissegment | Premium | In M365 Business Premium enthalten | Günstig | Mittelklasse |
| Ideal für | Gemischte OS-Umgebungen, Compliance | Reine Windows-M365-Umgebungen | Budget, grosse Flotten | Vergleichbare Erkennung, günstiger |
Für Teams, die bereits Microsoft 365 Business Premium nutzen und eine reine Windows-Umgebung betreiben, ist Defender for Business im Abo enthalten und bietet ausreichenden Schutz. Falcon Go spielt seine Stärken dann aus, wenn du Mac-Nutzer im Team hast, regulierte Daten verarbeitest oder für Compliance- und Versicherungszwecke nachweislich erstklassige Erkennungsqualität brauchst.
Relevanz für die Schweiz
Für Unternehmen in der Schweiz, die unter dem nDSG operieren, gehört Endpoint Protection zu den «angemessenen technischen und organisatorischen Massnahmen» zum Schutz personenbezogener Daten (Art. 8 nDSG). Eine verhaltensbasierte Erkennungsplattform wie Falcon Go geht über das Minimum hinaus, was bei der Demonstration von Sorgfaltspflichten gegenüber Regulatoren oder Versicherungen zählt.
CrowdStrike betreibt eine EU-1-Cloud-Region für die Telemetrie-Verarbeitung. Im März 2026 hat CrowdStrike eine Partnerschaft mit STACKIT (der IT-Sparte der Schwarz Gruppe, Mutterkonzern von Lidl und Kaufland) angekündigt, um Falcon innerhalb einer DSGVO-konformen souveränen europäischen Cloud zu betreiben. Die Erkennungstelemetrie und deren Verarbeitung bleiben damit in EU-Rechenzentren, was die Datenresidenz-Frage beantwortet, die Schweizer Compliance-Verantwortliche standardmässig stellen.
Für Schweizer Unternehmen mit strikten Anforderungen an die Datenresidenz bietet die STACKIT-Partnerschaft zusammen mit Standardvertragsklauseln (SCCs) und dem EU-Angemessenheitsstatus der Schweiz einen soliden rechtlichen Rahmen. Für regulierte Branchen (Finanz, Gesundheit) solltest du die Details mit dem Vertriebsteam von CrowdStrike und deiner eigenen Rechtsberatung klären.
Tipps für den Einstieg mit CrowdStrike Falcon Go
- Plane 1-2 Tage für die Ersteinrichtung ein. Nach dem Deployment werden Branchenanwendungen, Legacy-Buchhaltungssoftware und interne Tools verhaltensbasierte Alarme auslösen, bis du Ausnahmen konfiguriert hast. Das ist bei jeder verhaltensbasierten Erkennung normal und beruhigt sich schnell, sobald du die erste Welle an False Positives durchgearbeitet hast.
- Starte mit einer Pilotgruppe. Rolle Falcon Go zuerst auf 5-10 Geräten aus, lasse die Umgebung sich stabilisieren und erweitere dann. So fängst du den grössten Alarm-Lärm ab, bevor er jeden Arbeitsplatz erreicht.
- Ergänze einen separaten Webfilter. Falcon Go enthält keine DNS-Filterung oder Web-Content-Kontrollen. Kombiniere es mit einem DNS-basierten Filter (Cloudflare Gateway, NextDNS oder ähnliche) für einen vollständigen Perimeterschutz.
- Dokumentiere deine Ausnahme-Policies. Jede verhaltensbasierte Ausnahme, die du einrichtest, ist ein potenzieller blinder Fleck. Führe ein einfaches Protokoll darüber, was du ausgeschlossen hast und warum, damit ein zukünftiger Admin (oder Auditor) die Entscheidungen nachvollziehen kann.
- Plane für die 100-Geräte-Grenze voraus. Wenn du erwartest, in den nächsten ein bis zwei Jahren über 80-90 Geräte hinauszuwachsen, evaluiere die Preise für Falcon Pro und Enterprise jetzt, nicht erst wenn die Grenze dich zum Wechsel zwingt.