Bei einem Intrusion Detection System (IDS) handelt es sich um ein Sicherheitssystem, das in IT-Umgebungen eingesetzt wird. Das System ist in der Lage, Cyberangriffe zu erkennen und die zuständigen Netzwerk- bzw. Systemadministratoren über den Angriff zu informieren. Ein IDS wird in der Regel als Ergänzung zu Intrusion Prävention Systemen, wie beispielsweise einer Firewall, eingesetzt.

Intrusion Detection Systeme im Detail

Ein IDS ist in der Lage, anhand spezieller Muster und durch den Einsatz hoch entwickelter Algorithmen Cyberangriffe auf Netzwerke und IT-Systeme zu erkennen und die Verantwortlichen darüber in Kenntnis zu setzen. Ein Intrusion Detection System ist in zwei Varianten erhältlich, und zwar:

– als eine dedizierte Hardwarelösung, und

– als eine Softwarekomponente, die in bestehende Systeme integriert wird.

Im direkten Vergleich zu einem sogenannten Intrusion Prevention System (IPS) unterscheidet sich ein IDS in erster Linie dadurch, dass es nur Cyberangriffe erkennen und nicht verhindern oder abwehren kann. Die entsprechenden Abwehrmechanismen und Gegenmaßnahmen werden bei Angriffen auf IT-Systeme von zuständigen Administratoren oder anderen Systemen eingeleitet. Ein IDS bietet gegenüber einer Firewall oder einem einfachen Antiviren-Programm einen umfangreicheren Schutz, da es unerlaubte Zugriffe auf interne Systeme auch nach einem Durchbruch der Firewall identifizieren kann. Um effektive Gegenmaßnahmen nach einem Angriff einleiten zu können, muss das Intrusion Detection System möglichst genaue Informationen über die Herkunft und die Art des Hackerangriffs bereitstellen. Denn nur dann lassen sich beispielsweise betroffenen Services oder Server deaktivieren oder sperren.

Welche Arten von Intrusion Detection Systemen gibt es?

Abhängig von dem Einsatzbereich und dem zu schützenden IT-System lassen sich Intrusion Detection Systeme grundsätzlich in drei verschiedene Arten einteilen, und zwar:

Host-basierte IDS

Bei dem Host-basierten ID-System handelt es sich um eine Sicherheitslösung, die direkt auf dem zu überwachenden System installiert ist. Ein solches IDS hat Zugriff auf alle wichtigen Funktionen des IT-Systems und analysiert dieses kontinuierlich auf Auffälligkeiten und gängige Angriffsmuster. Falls ein Host-basiertes ID-System beispielsweise durch einen DDoS-Angriff wirkungslos gemacht wird, bietet es keinerlei Schutz.

Netzwerk-basierte IDS

Ein Netzwerk-basiertes ID-System wird als dedizierte Hardwarekomponente so in ein Netzwerk eingebunden, dass es den gesamten Datenverkehr lesen und verdächtige Muster analysieren kann.

Hybride IDS

Bei den hybriden Intrusion Detection Systemen handelt es sich um eine Kombination aus Netzwerk- und Host-basierten ID-Systemen, die einen optimalen Schutz bieten. Ein hybrides IDS setzt sich aus unterschiedlichen Komponenten zusammen, wie beispielsweise aus mehreren Host- und Netzwerk-Sensoren und einer Software für die zentralisierte Administration, Überwachung und Analyse der gesammelten Daten.

Mehr zum Thema:
Wofür benötigt man Monday?

Wie funktioniert ein Intrusion Detection System

Die Funktionsweise eines ID-Systems kann in eine Vielzahl einzelner Schritte eingeteilt werden, die sich auf die Datensammlung und Datenanalyse beziehen. So sammeln beispielsweise Netzwerk-basierte IDS die Daten auf Basis des analysierten Netzwerkverkehrs. Bei Host-basierten und hybriden ID-Systemen kommen noch weitere Quellen zum Einsatz, um die Datenbasis aufzubauen. Besonders wichtig ist, dass alle bereitgestellten Daten aus vertrauenswürdigen Quellen bezogen oder vom IDS selbst generiert werden. Dadurch soll eine Manipulation verhindert werden. Die gesammelten Daten werden von dem IDS nach bekannten Angriffsmustern, Anomalien oder Auffälligkeiten untersucht. Um möglichst exakte Analysen gewährleisten zu können, greift das IDS auf Datenbanken mit bekannten Angriffsmustern zu. Gleichzeitig durchleuchtet das IDS das zu überwachende IT-System nach Anomalien, die sich durch starke Abweichungen von dem alltäglichen Betrieb identifizieren lassen und keine vordefinierten Muster benötigen.

So lassen sich beispielsweise auch neue Angriffe erkennen, die bisher noch von keinem IDS erfasst wurden. Die aktuelle Generation von Intrusion Detection Systemen nutzt für das Verfahren der Anomalieerkennung hoch entwickelte Algorithmen auf Basis von künstlicher Intelligenz, sodass sich unbekannte Angriffsmuster noch schneller und präziser erkennen lassen. Eine bedeutende Komponente vieler ID-Systeme sind sogenannte „Honeypots“. Dabei handelt es sich um spezielle Server oder Services im Netzwerk, die mit bekannten Schwachstellen versehen sind und einen Cyberangriff provozieren sollen. Ein Honeypot zieht das Interesse von Hackern auf sich und bietet somit die Gelegenheit, die Methoden und Vorgehensweise der Hacker genauer zu analysieren. Da sich auf dem Honeypot in der Regel keine bedeutenden Daten befinden und er von dem Rest des Netzwerks isoliert ist, stellt der Hackerangriff kein Sicherheitsrisiko dar. Aufgrund der beobachteten Angriffsmethoden der Cyberkriminellen lassen sich neue Abwehrmaßnahmen und Sicherheitsmechanismen entwickeln und implementieren.

Die Vor- und Nachteile von Intrusion Detection Systemen

Der Einsatz moderner ID-Systeme bringt eine Vielzahl unterschiedlicher Vorteile mit sich, wie zum Beispiel:

– Angriffe auf Server, Netzwerke einzelne Computer sowie die gesamte IT-Infrastruktur lassen sich zuverlässig erkennen.

IP-Adressen, die für den Angriff verwendet werden, lassen sich identifizieren und sperren.

– Alle bekannten Angriffsmuster lassen sich durch den Einsatz bestehender Datenbestände erkennen.

– Köderfunktion dank Honeypot

Obwohl der Einsatz von Intrusion Detection Systemen viele Vorteile mit sich bringt, gibt es allerdings auch einige Nachteile:

Mehr zum Thema:
Was ist VMWare Horizon?

– Ein IDS kann selbst zum Angriffsziel werden.

– ID-Systeme werden in der Regel nur zur Angriffserkennung eingesetzt.

– Wenn IDS ausschließlich auf bekannte Angriffsmuster zurückgreifen und keine aktive Analysekomponente beinhalten, dann sind sie gegenüber völlig neuen Angriffen nicht wirksam.

Letzte Artikel von Daniel Faust (Alle anzeigen)