Moderne Intrusion-Detection-Systeme sind eine lohnende Ergänzung zur her­kömm­li­chen Firewall. Sie ana­ly­sie­ren und über­wa­chen Systeme und ganze Netzwerke in Echtzeit, entdecken po­ten­zi­el­le Ge­fah­ren­her­de und in­for­mie­ren dann umgehend den Ad­mi­nis­tra­tor oder die Ad­mi­nis­tra­to­rin. Die ei­gent­li­che Abwehr eines Angriffs erfolgt dann im Anschluss über eine zu­sätz­li­che Software.

Was steckt hinter einem IDS (Intrusion-Detection-System)?

So fort­schritt­lich moderne Si­cher­heits­sys­te­me für Rechner und Netzwerke auch sind – auch Cyber-Angriffe werden immer ge­schick­ter und durch­dach­ter. Daher ist es emp­feh­lens­wert, sensible In­fra­struk­tu­ren mit un­ter­schied­li­chen Me­cha­nis­men zu schützen. Ein Intrusion-Detection-System (IDS) stellt dabei eine erst­klas­si­ge Ergänzung zur Firewall dar: Ein solches An­griffs­er­ken­nungs­sys­tem entdeckt Angriffe und po­ten­zi­el­le Gefahren früh­zei­tig und in­for­miert Ad­mi­nis­tra­to­ren und Ad­mi­nis­tra­to­rin­nen umgehend. Diese können dann die not­wen­di­gen Schritte einleiten, um die Attacke ab­zu­weh­ren. Das Intrusion-Detection-System kann Angriffe auch entdecken, wenn diese bereits die Firewall durch­bro­chen haben.

Anders als zum Beispiel ein Intrusion-Pre­ven­ti­on-System wehrt ein IDS keine Attacken selbst ab. Statt­des­sen ana­ly­siert das Intrusion-Detection-System sämtliche Ak­ti­vi­tä­ten in einem Netzwerk und gleicht sie mit spe­zi­el­len Mustern ab. Kommt es zu un­ge­wöhn­li­chen Aktionen, alarmiert das System den Nutzer oder die Nutzerin und liefert genaue In­for­ma­tio­nen über die Herkunft und die Art des Angriffs.

Tipp

Nähere In­for­ma­tio­nen über die Un­ter­schie­de zwischen Intrusion-Detection- und Intrusion-Pre­ven­ti­on-System erhalten Sie in unserem separaten Artikel zu diesem Thema.

Welche Arten von Intrusion-Detection-Systemen gibt es?

Man un­ter­schei­det zwischen drei Arten von Intrusion-Detection-Systemen. Diese können host­ba­siert (HIDS) oder netz­werk­ba­siert (NIDS) sein oder al­ter­na­tiv einen hybriden Ansatz verfolgen, der die Grund­sät­ze von HIDS und NIDS verbindet.

HIDS: Host­ba­sier­te Intrusion-Detection-Systeme

Das host­ba­sier­te Intrusion-Detection-System ist die älteste Form des Si­cher­heits­sys­tems. Hier wird das IDS direkt auf dem ent­spre­chen­den System in­stal­liert. Es ana­ly­siert Daten un­mit­tel­bar auf der Log- und Kernel-Ebene und überprüft auch andere Sys­tem­da­tei­en. Um dem Einsatz ei­gen­stän­di­ger Work­sta­tions gerecht zu werden, greift das host­ba­sier­te Intrusion-Detection-System auf so­ge­nann­te Mo­ni­to­ring-Agenten zurück, die den Da­ten­ver­kehr vor­fil­tern und die so ge­won­ne­nen Er­kennt­nis­se an den zentralen Server wei­ter­lei­ten. Dieser Ansatz ist zwar sehr genau und umfassend, kann aber unter anderem durch DoS- und DDoS-Attacken über­wun­den werden. Zudem ist dieses Intrusion-Detection-System vom je­wei­li­gen Be­triebs­sys­tem abhängig.

NIDS: Netz­werk­ba­sier­te Intrusion-Detection-Systeme

Ein netz­werk­ba­sier­tes Intrusion-Detection-System scannt Da­ten­pa­ke­te, die innerhalb eines Netzwerks hin- und her­ge­schickt werden. Un­ge­wöhn­li­che oder ab­wei­chen­de Muster werden so schnell erkannt und gemeldet. Pro­ble­ma­tisch kann in diesem Zu­sam­men­hang die schiere Menge der ver­sen­de­ten Daten werden. Über­steigt diese die Ka­pa­zi­tä­ten des Intrusion-Detection-Systems, kann keine lü­cken­lo­se Über­wa­chung mehr statt­fin­den.

Hybrides Intrusion-Detection-System

Viele Anbieter setzen mitt­ler­wei­le auf hybride Intrusion-Detection-Systeme, die beide zuvor genannten Ansätze verbinden. Ein solches System setzt sich zusammen aus host­ba­sier­ten Sensoren, netz­werk­ba­sier­ten Sensoren und einer Ma­nage­ment­ebe­ne, auf der die Er­geb­nis­se zu­sam­men­lau­fen und tie­fer­ge­hend ana­ly­siert werden. Auch die Steuerung wird von dieser Ebene aus durch­ge­führt.

Ein­satz­zweck und Vorteile eines IDS

Ein Intrusion-Detection-System sollte niemals als Ersatz für eine Firewall gesehen oder genutzt werden. Statt­des­sen stellt es eine erst­klas­si­ge Ergänzung dar, die im Zu­sam­men­spiel mit der Firewall Gefahren deutlich besser iden­ti­fi­ziert. Da das Intrusion-Detection-System selbst die höchste Schicht des OSI-Modells ana­ly­sie­ren kann, werden so häufig neue und bisher un­be­kann­te Ge­fah­ren­her­de gefunden. Das gilt selbst, wenn die Firewall bereits über­wun­den wurde.

My­De­fen­der
Cyber Security aus Deutsch­land
  • Geplante Viren-Scans
  • Au­to­ma­ti­sche Backups, einfache Wie­der­her­stel­lung

Wie funk­tio­niert ein Intrusion-Detection-System?

Die am häu­figs­ten genutzte Art der Intrusion-Detection-Systeme ist das hybride Modell, welches sowohl am Host als auch im Netzwerk ansetzt. Die ge­sam­mel­ten In­for­ma­tio­nen werden im zentralen Ma­nage­ment­sys­tem aus­ge­wer­tet, wobei drei ver­schie­de­ne Kom­po­nen­ten zum Einsatz kommen.

Da­ten­mo­ni­tor

Der Da­ten­mo­ni­tor sammelt mithilfe von Sensoren alle re­le­van­ten Daten und filtert diese nach Relevanz. Hierbei handelt es sich ei­ner­seits um In­for­ma­tio­nen auf der Seite des Hosts wie Log-Dateien und Sys­tem­in­for­ma­tio­nen. An­de­rer­seits werden auch Da­ten­pa­ke­te, die über das Netzwerk versendet werden, be­rück­sich­tigt. Das IDS erfasst und sortiert unter anderem Quell- und Ziel­adres­sen sowie andere wichtige Ei­gen­schaf­ten. Die wich­tigs­te Vor­aus­set­zung ist dabei, dass die ge­sam­mel­ten Daten entweder aus einer ver­läss­li­chen Quelle oder vom Intrusion-Detection-System selbst stammen. Nur so kann ge­währ­leis­tet werden, dass Daten nicht im Vorfeld ma­ni­pu­liert worden sind.

Analyzer

Die zweite Kom­po­nen­te des Intrusion-Detection-Systems ist der Analyzer. Dieser wertet alle er­hal­te­nen und vor­ge­fil­ter­ten Daten aus und nutzt dafür ver­schie­de­ne Muster. Die Über­prü­fung erfolgt in Echtzeit, wodurch ins­be­son­de­re CPU und Ar­beits­spei­cher unter Umständen vor große Her­aus­for­de­run­gen gestellt werden können. Nur wenn die ent­spre­chen­den Ka­pa­zi­tä­ten aus­rei­chen, kann die Analyse schnell und or­dent­lich durch­ge­führt werden. Dem Analyzer stehen dafür zwei un­ter­schied­li­che Methoden zur Verfügung:

  • Misuse Detection: Bei der Misuse Detection (dt. „Miss­brauch­ser­ken­nung“) un­ter­sucht der Analyzer die er­hal­te­nen Daten nach bereits bekannten An­griffs­mus­tern. Diese werden in einer separaten Datenbank hin­ter­legt und ständig ak­tua­li­siert. Erfolgt der Angriff mit einer bereits erfassten Signatur, kann er auf diese Weise früh­zei­tig entdeckt werden. Angriffe, die dem System zu diesem Zeitpunkt noch nicht bekannt sind, werden hingegen auf diese Weise nicht erkannt.
  • Anomaly Detection: Grundlage für die Anomaly Detection (dt. „Anomalie-Erkennung“) ist die Be­trach­tung des gesamten Systems. Sobald einzelne oder mehrere Ar­beits­schrit­te von der Norm abweichen, wird diese Anomalie gemeldet, zum Beispiel wenn die CPU-Aus­las­tung über einen be­stimm­ten fest­ge­leg­ten Wert hin­aus­geht oder Zugriffe auf eine Seite un­ge­wöhn­lich zunehmen. Auch die zeitliche Abfolge un­ter­schied­li­cher Er­eig­nis­se kann vom Intrusion-Detection-System überprüft werden, um un­be­kann­te An­griffs­mus­ter zu erkennen. Unter Umständen werden al­ler­dings auch harmlose Anomalien gemeldet.
Hinweis

Zu den typischen Auf­fäl­lig­kei­ten, die ein gutes IDS erkennt, zählen ein erhöhter Traffic und vermehrte Zugriffe auf Login- und Au­then­ti­fi­zie­rungs­me­cha­nis­men. Das macht die Si­cher­heits­tech­nik zu einer erst­klas­si­gen Lösung gegen Brute-Force-Attacken. Um die Tref­fer­quo­te zu erhöhen, verwenden viele moderne Intrusion-Detection-Systeme KI für die Anomaly Detection.

Alar­mie­rung

Die dritte und letzte Kom­po­nen­te des Intrusion-Detection-Systems ist die ei­gent­li­che Alar­mie­rung. Wurden ein Angriff oder zumindest Auf­fäl­lig­kei­ten entdeckt, in­for­miert das System den Ad­mi­nis­tra­tor oder die Ad­mi­nis­tra­to­rin. Diese Be­nach­rich­ti­gung kann per E-Mail, über einen lokalen Alarm oder per Meldung auf das Smart­phone oder Tablet erfolgen.

Welche Nachteile hat ein Intrusion-Detection-System?

Auch wenn das Intrusion-Detection-System eine gute Ergänzung für die Si­cher­heits­ar­chi­tek­tur ist, ist auch diese Methode nicht feh­ler­frei. Einige mögliche Nachteile haben wir weiter oben schon kurz an­ge­ris­sen. So sind host­ba­sier­te IDS anfällig für DDoS-Angriffe und netz­werk­ba­sier­te Intrusion-Detection-Systeme können bei größeren Netz­werk­struk­tu­ren an ihre Grenzen geraten und dadurch Da­ten­pa­ke­te übersehen. Gleich­zei­tig liefert die Anomaly Detection – je nach Kon­fi­gu­ra­ti­on – häufig falsche Alarm­mel­dun­gen. Zudem eignen sich sämtliche IDS lediglich zur Ge­fah­re­n­er­ken­nung. Für die Abwehr eines Angriffs muss zu­sätz­li­che Software genutzt werden.

Intrusion-Detection-System: Das Beispiel Snort

Eines der be­kann­tes­ten und be­lieb­tes­ten Intrusion-Detection-Systeme ist Snort. Das Si­cher­heits­tool, das bereits 1998 von Martin Roesch ent­wi­ckelt wurde, ist nicht nur platt­form­über­grei­fend und Open-Source, sondern stellt Nut­ze­rin­nen und Nutzern auch um­fang­rei­che Prä­ven­ti­ons­maß­nah­men als Intrusion Pre­ven­ti­on System zur Verfügung. Das Programm gibt es kostenlos und in einer kos­ten­pflich­ti­gen Version, für die zum Beispiel Ak­tua­li­sie­run­gen schneller be­reit­ge­stellt werden.

Zum Hauptmenü