Moderne Intrusion-Detection-Systeme sind eine wertvolle Ergänzung zur klas­si­schen Firewall. Sie ana­ly­sie­ren und über­wa­chen Systeme sowie ganze Netzwerke in Echtzeit, iden­ti­fi­zie­ren po­ten­zi­el­le Ge­fah­ren­quel­len und be­nach­rich­ti­gen umgehend die Ad­mi­nis­tra­ti­on. Die ei­gent­li­che Abwehr der Attacke übernimmt im Anschluss eine Zu­satz­soft­ware.

Was steckt hinter einem IDS (Intrusion-Detection-System)?

So fort­schritt­lich moderne Si­cher­heits­sys­te­me für Rechner und Netzwerke auch sind – Cyber-Angriffe werden immer raf­fi­nier­ter. Daher ist es ratsam, sensible In­fra­struk­tu­ren mit ver­schie­de­nen Me­cha­nis­men ab­zu­si­chern. Ein Intrusion-Detection-System (IDS) ist hierbei die ideale Ergänzung zur Firewall: Ein solches System zur An­griffs­er­ken­nung iden­ti­fi­ziert Attacken und po­ten­zi­el­le Gefahren früh­zei­tig und in­for­miert die zu­stän­di­gen Ad­mi­nis­tra­tor:innen sofort. Diese können dann die nötigen Schritte einleiten, um den Angriff zu stoppen. Das IDS erkennt Be­dro­hun­gen auch dann, wenn diese die Firewall bereits passiert haben.

Im Gegensatz zu einem Intrusion-Pre­ven­ti­on-System wehrt ein IDS Angriffe nicht selbst­stän­dig ab. Statt­des­sen scannt es sämtliche Ak­ti­vi­tä­ten im Netzwerk und gleicht sie mit spe­zi­fi­schen Mustern ab. Bei un­ge­wöhn­li­chen Vorfällen schlägt das System Alarm und liefert de­tail­lier­te Infos zu Ursprung und Art des Angriffs.

Tipp

Mehr Details zu den Un­ter­schie­den zwischen Intrusion-Detection- und Intrusion-Pre­ven­ti­on-Systemen findest du in unserem passenden Artikel dazu.

Welche Arten von Intrusion-Detection-Systemen gibt es?

Wir un­ter­schei­den drei Varianten von Intrusion-Detection-Systemen. Diese können host­ba­siert (HIDS) oder netz­werk­ba­siert (NIDS) sein oder als hybrider Ansatz die Vorteile beider Konzepte vereinen.

HIDS: Host­ba­sier­te Intrusion-Detection-Systeme

Das host­ba­sier­te IDS ist die klas­si­sche Form. Hier wird die Software direkt auf dem je­wei­li­gen System in­stal­liert. Sie ana­ly­siert Daten auf Log- und Kernel-Ebene und prüft Sys­tem­da­tei­en. Bei ei­gen­stän­di­gen Work­sta­tions nutzt das HIDS so­ge­nann­te Mo­ni­to­ring-Agenten, die den Da­ten­ver­kehr vor­fil­tern und Er­geb­nis­se an den zentralen Server senden. Dieser Ansatz ist sehr präzise, kann jedoch durch DoS- und DDoS-Attacken be­ein­träch­tigt werden und ist vom Be­triebs­sys­tem abhängig.

NIDS: Netz­werk­ba­sier­te Intrusion-Detection-Systeme

Ein netz­werk­ba­sier­tes IDS scannt Da­ten­pa­ke­te, die innerhalb eines Netzwerks über­tra­gen werden. Ab­wei­chen­de Muster werden so rasch erkannt und gemeldet. Eine Her­aus­for­de­rung ist hier die Da­ten­men­ge: Über­steigt diese die Kapazität des IDS, kann keine lü­cken­lo­se Kontrolle mehr ga­ran­tiert werden.

Hybrides Intrusion-Detection-System

Viele Anbieter setzen heute auf hybride Systeme, welche die genannten Methoden kom­bi­nie­ren. Ein solches System besteht aus host- und netz­werk­ba­sier­ten Sensoren sowie einer Ma­nage­ment­ebe­ne. Dort laufen alle Er­geb­nis­se zusammen, werden tief­ge­hend ana­ly­siert und gesteuert.

Ein­satz­zweck und Vorteile eines IDS

Ein IDS sollte kei­nes­falls als Ersatz für eine Firewall dienen. Es ist vielmehr eine starke Er­wei­te­rung, die im Team mit der Firewall Gefahren besser erkennt. Da ein IDS sogar die höchste Schicht des OSI-Modells unter die Lupe nimmt, findet es oft neue oder un­be­kann­te Be­dro­hun­gen – selbst wenn die Firewall schon umgangen wurde.

Wie funk­tio­niert ein Intrusion-Detection-System?

Das meist­ge­nutz­te Modell ist das hybride System, das am Host und im Netzwerk ansetzt. Die Aus­wer­tung erfolgt im zentralen Ma­nage­ment über drei Kom­po­nen­ten.

Da­ten­mo­ni­tor

Der Monitor sammelt via Sensoren relevante Daten und filtert diese. Das umfasst Host-In­for­ma­tio­nen wie Log-Files sowie Da­ten­pa­ke­te aus dem Netzwerk. Das IDS sortiert dabei Quell- und Ziel­adres­sen sowie weitere Merkmale. Wichtig ist, dass die Daten aus sicheren Quellen stammen, damit sie nicht vorab ma­ni­pu­liert wurden.

Analyzer

Der Analyzer wertet die vor­ge­fil­ter­ten Daten aus. Dies geschieht in Echtzeit, was CPU und RAM fordern kann. Für eine saubere Analyse ist aus­rei­chen­de Re­chen­power nötig. Dabei gibt es zwei Ansätze:

  • Misuse Detection: Hier sucht das System nach bereits bekannten An­griffs­mus­tern (Si­gna­tu­ren) in einer Datenbank. Bekannte Attacken werden so sofort gestoppt, völlig neue Be­dro­hun­gen jedoch nicht immer erkannt.
  • Anomaly Detection: Hier wird das gesamte Sys­tem­ver­hal­ten be­ob­ach­tet. Weichen Prozesse von der Norm ab – etwa durch hohe CPU-Last oder massiv steigende Sei­ten­auf­ru­fe –, schlägt das System Alarm. Auch zeitliche Abfolgen werden geprüft. Ge­le­gent­lich kann es hier zu Fehl­alar­men bei harmlosen Ab­wei­chun­gen kommen.

Alar­mie­rung

Die letzte Instanz ist die Alar­mie­rung. Bei Ent­de­ckung einer Gefahr in­for­miert das System die Ad­mi­nis­tra­ti­on per E-Mail, lokalem Signal oder Nachricht auf das Mo­bil­ge­rät.

Welche Nachteile hat ein Intrusion-Detection-System?

Trotz der Vorteile ist auch ein IDS nicht perfekt. Host­ba­sier­te Systeme sind anfällig für DDoS, während netz­werk­ba­sier­te Varianten bei riesigen Struk­tu­ren an Ka­pa­zi­täts­gren­zen stoßen können. Die Anomaly Detection liefert je nach Ein­stel­lung öfter Fehl­alar­me. Zudem dient ein IDS rein der Erkennung – für die aktive Abwehr brauchst du er­gän­zen­de Soft­ware­lö­sun­gen.

Intrusion-Detection-System: Das Beispiel Snort

Ein echtes Schwer­ge­wicht unter den IDS ist Snort. Das bereits 1998 ent­wi­ckel­te Tool ist Open-Source, platt­form­un­ab­hän­gig und bietet als Intrusion Pre­ven­ti­on System auch aktive Schutz­maß­nah­men. Snort ist kostenlos verfügbar, wobei eine kos­ten­pflich­ti­ge Version schnel­le­re Updates bietet.

Zum Hauptmenü