V-Hub by Vodafone BusinessSecuritySicherheitIntrusion-Detection-Systeme (IDS): Schneller und wirksamer Cyberschutz
Zwei Hände auf der Tastatur eines Notebooks. Darüber rote digitale Hinweistafeln mit einem gelben Ausrufezeichen und dem Schriftzug System Warning
Security

Intrusion-Detection-Systeme (IDS): Schneller und wirksamer Cyberschutz

Portrait von Clemens Förster Clemens Förster
18.07.2024
9 Min.

    Die IT-Systeme von Unternehmen stehen unter konstantem Beschuss: Mit immer neuen Cyberattacken versuchen Kriminelle, Zugang zu Firmennetzwerken zu erlangen. Ist dies einmal gelungen, bleiben die ungebetenen Gäste häufig unentdeckt – der daraus resultierende Schaden kann katastrophal ausfallen. Intrusion-Detection-Systeme (IDS) sollen das verhindern: Durchbricht ein Angriff die Firewall eines Netzwerks, schlägt das Programm Alarm. Auf diese Weise entdecken Sie Eindringlinge im System meist, bevor diese massiven Schaden anrichten können.

    Auf den Speichern von Unternehmen und anderen Organisationen finden sich viele Daten, die nicht nur für Kriminelle interessant sein können: Auch Mitbewerber, fremdstaatliche Akteure und politische Gruppen sind aktiver denn je, wenn es darum geht, illegal an sensibles Material zu gelangen. Idealerweise scheitern diese Versuche an der Firewall und anderen Security-Maßnahmen – doch nicht immer. Ein IDS ergänzt Ihre bestehende Sicherheitsarchitektur: Im Zusammenspiel mit der Firewall und weiteren Maßnahmen kann es die Erfolgswahrscheinlichkeit derartiger Angriffe minimieren.

    Wie ein Intrusion-Detection-System genau funktioniert, welche Arten es gibt, und wie es im Zusammenspiel mit Firewalls seine Stärken ausspielt, erfahren Sie in diesem Artikel.

    Inhaltsverzeichnis

    Was ist ein Intrusion-Detection-System (IDS)?So funktionieren Intrusion-Detection-SystemeWelche IDS-Arten gibt es?Vorteile und Herausforderungen

    Was ist ein Intrusion-Detection-System (IDS)?

    Intrusion-Detection-System heißt übersetzt „Einbruchmeldeanlage“. Gemeint ist damit aber im IT-Zusammenhang nicht etwa ein Warnsystem wie eine Alarmanlage, die zum Beispiel Büro- oder Serverräume schützt. Stattdessen bezeichnet IDS ein Security-Tool für Netzsicherheit. Es überwacht Netzwerke und andere IT-Systeme in Echtzeit, um verdächtige Aktivitäten, potenzielle Gefahren und Angriffe von außen sofort zu entdecken. Dazu zählen auch Verstöße gegen Sicherheitsrichtlinien.
    Das Tool analysiert fortlaufend sämtliche Aktivitäten in einem Netzwerk und setzt sie in Beziehung zu bestimmten vorgegebenen Mustern. Ungewöhnliche Abweichungen davon meldet das IDS als potenzielle Bedrohung an die IT-Administration eines Netzwerks. Alternativ sendet es die Warnung an ein zentrales Security-Tool, das Sicherheitsinformationen und das Ereignismanagement verwaltet – das sogenannte „SIEM“-System (Security Information and Event Management). In Kombination mit dort vorhandenen weiteren Informationen sorgt das IDS dafür, dass Bedrohungen für die Cyber Security eines Systems rechtzeitig entdeckt werden, um Gegenmaßnahmen einleiten zu können.
    Das IDS bekämpft die Gefahr jedoch nicht selbst, sondern dafür sorgt das sogenannte Intrusion-Prevention-System (IPS). IDS-Tools sind allerdings häufig in ein IPS integriert, um eine ganzheitliche Lösung zu schaffen, die und andere potenzielle Gefahren erkennt und abwehrt.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout: Die Sicherheitslösung für mobile Endgeräte

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

    Mehr zu Lookout

    So funktionieren Intrusion-Detection-Systeme

    Es gibt verschiedene Methoden, wie Sie Intrusion-Detection-Systeme in die Sicherheitsarchitektur eines Netzwerks integrieren können. Prinzipiell unterscheidet man zwei Methoden zum Einsatz der Security-Software:
    1. Hardware-basierte IDS: Die Anwendungen sind auf Endpunkten an Netzwerken oder auf dedizierten Hardwareeinheiten installiert.
    2. Cloud-basierte IDS: Die Anwendungen überwachen als übergeordnete Cloud-Services die Aktivitäten in einem Netzwerk.
    Dabei gibt es zwei Herangehensweisen, um ungewöhnliche Aktivitäten und Bedrohungen zu erkennen: die signalbasierte und die anomaliebasierte Erkennung. Diese erläutern wir Ihnen im Folgenden.

    Signaturbasierte Erkennung

    Bei der signaturbasierten Erkennung analysiert das IDS die Datenpakete innerhalb eines Netzwerks auf ungewöhnliche Signaturen hin. Dabei handelt es sich um einzigartige Merkmale, die auf eine Sicherheitsbedrohung hinweisen. Auch ungewöhnliche Verhaltensweisen zählen dazu, wie sie beispielsweise für verschiedene Formen von Malware charakteristisch sind.
    Um Abweichungen von der Norm festzustellen, vergleicht das IDS die Datenpakete mit Angriffssignaturen aus einer Datenbank. Gibt es eine Übereinstimmung, gehen bildlich gesprochen „die Warnlampen an“ und das Programm meldet eine Bedrohung. Wie ein Antivirenprogramm muss die Datenbank des IDS allerdings aktuell sein. Verfügt diese nicht über die neuesten Signaturen, kann das IDS eine entsprechende neue Angriffsart nicht identifizieren. Bei der großen Anzahl unterschiedler Cyberbedrohungen findet quasi ein permanenter Wettlauf zwischen Angreifer:innen und Verteidiger:innen statt.

    Anomaliebasierte Erkennung

    Die zweite IDS-Methode nutzt künstliche Intelligenz (KI) und maschinelles Lernen, um Bedrohungen und Gefahren frühzeitig zu erkennen. Diese entwickeln ein Modell von normalen Netzaktivitäten, das als Basis für die Identifikation von Anomalien dient. Auch hier muss die Datengrundlage immer aktuell sein, um alle Abweichungen identifizieren zu können. Die KI lernt also permanent dazu, um das Netzmodell zu verfeinern.
    Auf diese Weise kann das IDS ungewöhnliche Aktivitäten identifizieren und in einem solchen Fall sofort „Alarm schlagen“. Dazu können beispielsweise Prozesse zählen, die mehr Bandbreite verbrauchen als üblich; oder auch Hardware, die auf Ports zugreift, die ihr normalerweise nicht zur Verfügung stehen.
    Auf dieser Basis kann das IDS auch Cyberangriffe erkennen, die sich neuartiger Methoden bedienen: Weichen die Muster von den bekannten des Basismodells ab, ist dies immer ein Alarmsignal für das System. So kann das Intrusion-Detection-System sogar Zero-Day-Exploits erkennen, also Angriffe, die auf eine bislang unbekannte Sicherheitslücke in einer Software zielen.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Welche IDS-Arten gibt es?

    Grundlegend gibt es drei Arten von Intrusion-Detection-Systemen, die allgemein am gebräuchlichsten sind: Host-basiert (HIDS), Netzwerk-basiert (NIDS) und die Hybridform aus beiden Arten. Daneben gib es weitere IDS-Arten, die aber seltener eingesetzt werden.

    Host-basierte IDS

    Diese älteste Form von Intrusion-Detection-Systemen kam ursprünglich vor allem auf Großrechnern zum Einsatz, unter anderem in militärischen Einrichtungen. Heute findet man HIDS auf Endpunkten innerhalb eines Netzwerks, also etwa auf Servern, Routern und Computern. Das HIDS befindet sich demnach direkt auf dem System und überwacht nur die Aktivitäten auf dem jeweiligen Gerät, einschließlich des ein- und ausgehenden Datenverkehrs.

    Netzwerk-basierte IDS

    Hierbei überwacht das IDS nicht nur ein einzelnes Gerät, sondern den ein- und ausgehenden Datenverkehr eines kompletten Netzwerks. Aus diesem Grund befinden sich die NIDS-Anwendungen an wichtigen Knotenpunkten des Netzwerks, vor allem direkt hinter der Firewall als Perimeterschutz. Hier kann das NIDS bösartigen Datenverkehr unmittelbar erkennen und melden.
    Noch tiefer im Netzwerk platzierte NIDS-Tools können hingegen auf Bedrohungen aufmerksam machen, die sich innerhalb des Perimeters befinden. Auf diese Weise können sie zum Beispiel Hacker:innen aufspüren, die bereits Zugang erlangt haben – etwa, indem sie Benutzungsdaten gestohlen haben.
    Eine weitere Möglichkeit ist, das NIDS in einem segmentierten Netzwerk hinter jeder internen Firewall zu platzieren. Auf diese Weise lässt sich auch der Datenverkehr zwischen Teilnetzen überwachen.
    Damit es zu keinen Verzögerungen kommt, wenn die Daten zwischen den Subnetzen übermittelt werden, analysiert das NIDS lediglich Kopien der Datenpakete. Dieses Verfahren nennt sich „out-of-band“, da es außerhalb des eigentlichen Datenverkehrs stattfindet. Das NIDS kann anhand der Kopien dennoch illegitime Daten identifizieren und melden.

    Hybride IDS

    Ein hybrides IDS ist eine Mischform aus dem Host-basierten und dem Netzwerk-basierten IDS. Während das NIDS hierbei den kompletten Datenverkehr im Netzwerk im Blick hat, bietet das HIDS zusätzlichen Schutz. Das ergibt vor allem dann Sinn, wenn besonders sensible Daten geschützt werden sollen.
    Auf diese Weise kann das IDS zum Beispiel bereits ins Netz eingedrungene Ransomware identifizieren. Das Schadprogramm kann im Anschluss gestoppt werden, bevor es einzelne Geräte oder sogar komplette Netzwerkbereiche sperrt. Kriminelle nutzen diese Methode zum Beispiel, um Geld zu erpressen.

    Weitere IDS-Arten

    Neben den häufig eingesetzten IDS-Arten gibt es zwei weitere, die in speziellen Szenarien Anwendung finden:
    • Protokoll-basiertes IDS (PIDS) überwacht die Protokolle von Verbindungen zwischen Servern und Geräten.
    • Anwendungsprotokoll-basiertes IDS (APIDS) ist in die Anwendungsschicht implementiert und überwacht anwendungsspezifische Protokolle wie zum Beispiel zwischen einem Webserver und einer SQL-Datenbank.
    Arbeiter mit Helm schaut auf sein Smartphone

    Mobiler Virenschutz für Mitarbeiter:innen

    Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

    • Ohne Installation, direkt im Netz
    • Schützt von Viren und Pishing
    • Automatisch auf dem neusten Stand
    Jetzt informieren

    Vorteile und Herausforderungen

    Der wesentliche Vorteil eines IDS besteht darin, Bedrohungen frühzeitig zu erkennen. So kann es Gefahren melden, wenn die Firewall bereits durchdrungen oder umgangen wurde. Auf diese Weise können verknüpfte Programme oder die IT-Administration zeitnah reagieren und Gegenmaßnahmen einleiten, wenn ein Netzwerk oder Gerät kompromittiert wurde.
    Manche Angriffsarten wie zum Beispiel Advanced Persistent Threats sind auf langfristigen Schaden ausgelegt. IDS identifiziert und eliminiert diese ebenso wie akute Angriffe, bevor sie größeren Schaden anrichten. Allerdings bedeutet das nicht, dass ein IDS ausreicht und eine Firewall ersetzt. Stattdessen ist die IT-Infrastruktur eines Unternehmens erst dann besonders sicher, wenn sich beide Security-Maßnahmen ergänzen. Ein IDS sollte also nie für sich alleine stehen.
    Darüber hinaus gibt es folgende Anfälligkeiten von Intrusion-Detection-Systemen:
    • Anfälligkeit für DDoS-Angriffe: Distributed-Denial-of-Service-Attacken können Host-basierte IDS überlasten und somit ausschalten.
    • Spoofing: Gefälschte IP-Adressen und DNS-Einträge können dem IDS vorgaukeln, dass kompromittierter Datenverkehr aus einer vertrauenswürdigen Quelle stammt.
    • Verschlüsselung: Indem Hacker:innen Protokolle verschlüsseln und fragmentieren, können sie die Überwachung des IDS umgehen und beispielsweise Malware in ein Netzwerk einschleusen.
    • Begrenzte Kapazität: Netzwerk-basierte IDS können bei großen und komplexen Netzwerken unter Umständen nicht sämtliche Datenpakete überwachen.
    • Fehlalarme: Durch die große Zahl unterschiedlicher Prozesse kann es häufig zu Fehlalarmen kommen – vor allem, wenn die Konfiguration des IDS nicht permanent angepasst wird.
    • „Operator Fatigue“: Hacker:innen können bewusst eine Vielzahl an IDS-Warnungen erzeugen, um die IT-Verwaltung von dem eigentlichen Angriff abzulenken, der gleichzeitig erfolgt.
    Offenes Vorhängeschloss vor Zahlenmuster

    Vodafone Cyber-Security-Services

    Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

    Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

    Jetzt kostenlos beraten lassen

    Die Unterschiede zwischen IDS, IPS und Firewalls

    Eine Firewall ist ein effektiver Schutz für Netzwerke und sollte in jedem Fall in die IT-Sicherheitsarchitektur von Unternehmen integriert sein. Ihr Einsatzzweck unterscheidet sich jedoch grundlegend von einem Intrusion-Detection-System, das ein rein passiver „Alarmmelder“ ist, wenn es Bedrohungen erkennt.
    Eine Firewall dient hingegen dem aktiven Schutz eines Netzwerks oder Subnetzwerks: Mithilfe von spezifischen Filterregeln kann sie Datenverkehr zulassen oder blockieren. Dadurch entsteht die namensgebende „Brandmauer“ rund um das Netzwerk, die bestimmte Arten von Daten und Protokollen nicht hindurchlässt.
    In diesem Zuge erkennt die Firewall auch Cyberbedrohungen und kann sie mittels des mit ihr verbundenen Intrusion-Prevention-Systems (IPS) abwehren: Das IPS löst nicht nur eine Warnung aus, sondern blockiert potenziell schädlichen Code aktiv. Viele Next-Generation-Firewalls verfügen sowohl bereits über eine IDS- als auch eine IPS-Funktionalität.
    Stadtansicht mit Symbolen für Verkehrsmittel

    Mobile Cyber Security für Ihr Business

    Mit unseren Ready Business-Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

    • Sichere Kommunikation
    • Für Homeoffice und Büro
    • Globales, sicheres Log-in-Verfahren
    Jetzt informieren

    Intrusion-Detection-Systeme: Das Wichtigste in Kürze

    • Ein Intrusion-Detection-System (IDS) erkennt potenziell gefährlichen Datenverkehr auf einem Gerät oder in einem Netzwerk.
    • Es gibt Host-basierte, Netzwerk-basierte und hybride IDS – sie unterscheiden sich vor allem darin, ob sie nur den Datenverkehr auf einzelnen Geräten oder in kompletten Netzwerken überwachen.
    • Ein Vorteil eines IDS ist unter anderem, dass es schädlichen Code erkennt, um zum Beispiel Advanced-Persistent-Threats abzuwehren. Hacker:innen können das IDS jedoch mit unterschiedlichen Methoden umgehen oder täuschen, etwa mit DDoS-Attacken, Spoofing oder indem sie schädlichen Code verschlüsseln.
    • Der Unterschied zwischen IDS und einer Firewall: Ein Intrusion-Detection-System ist nur ein passiver „Warnmelder“, während Firewalls aktiv schützen.
    • Gemeinsam mit einer Firewall und einem Intrusion-Prevention-System (IPS) bildet das IDS eine ganzheitliche Lösung zum Schutz eines Netzwerks.
    • Next-Generation-Firewalls beinhalten in der Regel sowohl ein IDS als auch ein IPS.
    Portrait von Clemens Förster Clemens Förster
    18.07.2024
      # Tags:SicherheitKünstliche IntelligenzCybersecurityIoT-Vernetzung
      Das könnte Sie auch interessieren:
      Security
      Ein zerstörtes Vorhängeschloss liegt auf einer Platine mit Leiterbahnen

      Pentests: Wie Sie Sicherheitslücken in der Unternehmens-IT via Penetrationstest aufdecken

      Mühelos gelangen die Hacker:innen in das Firmennetz: Die schon länger nicht mehr aktualisierte Firewall ist löchrig wie ein Schweizer Käse. Und dank Insider-Informationen einer unlängst gekündigten Mitarbeiterin ist auch die Buchhaltungssoftware schnell geknackt. Staunend muss die Geschäftsführung mit ansehen, wie in Sekunden Millionenbeträge vom Firmenkonto ins Ausland überwiesen werden. Dieses Mal war der Millionendiebstahl nur eine Übung. Die Attacke erfolgte im Auftrag des betroffenen Unternehmens selbst, um die Schwachstellen der eigenen IT von Sicherheitsspezialist:innen austesten zu lassen. Weil die Gefahr von Hackingangriffen weltweit steigt, verlassen sich immer mehr Firmen und Organisationen nicht mehr allein auf die grüne Ampel im Anzeigefenster ihrer Firewall, sondern lassen ihre gesamten IT-Systeme auf Herz und Nieren testen. Die Firmen beauftragen hierfür Stresstests, bei denen sogenannte Pentester:innen die Hard- und Software kreativ und mit allen ihnen zur Verfügung stehenden Hacking-Werkzeugen angreifen – ganz so, wie es auch Cyberkriminelle machen. Was genau dahinter steckt und ob solche Pentests auch bei Ihnen sinnvoll wären, erfahren Sie hier:

      Weiterlesen
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

      0800 505 4539

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort