Zum Inhalt springen Zur Navigation springen
IDS und IPS: Ein zusätzlicher Schutz gegen Cyberangriffe

IDS und IPS: Ein zusätzlicher Schutz gegen Cyberangriffe

Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) überwachen ein Netzwerk, eine einzelne Netzwerkkomponente oder auch einen gesamten Server innerhalb einer Infrastruktur und analysieren den entstandenen „Traffic“ auf Signaturen, die auf Cyberangriffe deuten könnten. Auf diese Weise kann ein System auf Dauer sicherer gegen Cyberangriffe gemacht werden. Dieser Blogartikel soll zeigen, was mit der Nutzung von IDS und IPS erreicht werden kann.

Funktionsweise von Intrusion Detection und Prevention Systemen

IDS und IPS werden zwischen der Firewall und dem Router als zusätzlicher Schutz in der Infrastruktur eingesetzt („Network-based IDS/IPS“). Die Systeme können aber auch darüber hinaus zusätzlich am Server oder anderen Computersystemen installiert werden („Host-based IPD/IPS“). In den neueren Generationen der IDS und IPS-Systeme werden meist nur noch Hybrid-Systeme eingesetzt, also ein Zusammenspiel von Host-basierten und Netzwerk-basierten Detection Systemen, da dies eine höhere Sicherheit bieten kann.

Im Regelfall werden diese Systeme auch mit Security Information and Event Management-Lösungen (SIEM) kombiniert, um eine optimale Konfiguration sicherstellen zu können.

Die Funktionsweise der Detection Systeme kann in drei Schritte unterteilt werden:

  1. Sensoren sammeln Logdaten im Host-based IDS/IPS oder auch Netzwerkdaten aus dem Network-based IDS/IPS. Der angesprochene Sensor analysiert den „Traffic“ auf bekannte Angriffsmuster bzw. Signaturen.
  2. Die Signaturen werden mit einer Datenbank verglichen, um eventuelle Muster zu erkennen.
  3. Falls eine Signatur ins Schema passt, wird ein „Intrusion Alert“ ausgelöst. Auslöser kann hierbei beispielsweise eine E-Mail sein, deren schadhafte Signatur in diese Datenbank aufgenommen wurde.

Das Intrusion Prevention System unterscheidet sich von dem Intrusion Detection Systeme insofern, dass es zusätzlich in der Lage ist, schadhafte Datenpakete zu verwerfen, eine bestehende gefährliche Verbindung zu unterbrechen oder auch die schon übertragenen Daten zu verändern, damit diese keinen (weiteren) Schaden anrichten können.

Erkennungsmethoden eines IDS

Es gibt grundsätzlich drei Methoden, mit denen verdächtige Aktivitäten durch ein IDS erkannt werden können:

  1. Signaturbasierte Erkennung
    Bei dieser einfachen Methoden werden die beobachteten Ereignisse anhand ihrer Signaturen verglichen, um eventuelle Vorfälle zu identifizieren. Es werden hier lediglich Einheiten wie z.B. ein Paket oder ein Eintrag im Protokoll ihrer Signatur verglichen.
  2. Anomalie-basierte Erkennung
    Es werden Definitionen aufgestellt, was als „normal“ angesehen wird. Die Beobachtungen durch das IDS werden dann mit diesen Definitionen verglichen und falls stärkere Differenzen ermittelt werden, sind diese als Anomalien anzusehen. Ein Vorteil gegenüber der signaturbasierten Erkennung ist, dass eventuell auch noch nicht entdeckte Bedrohungen erkannt werden können, falls diese Auffälligkeiten aufweisen.
  3. Stateful-Protokollanalyse
    Hierbei sind im Vorhinein Profile definiert, welche Protokollaktivitäten als „gut“ angesehen werden. Beobachtungen, die von diesen Profilen abweichen, werden als Abweichung registriert und näher beobachtet.

Beispiele für verdächtige Aktivitäten sind:

  • Portscanning: Gezielte Abfrage der (offenen) Ports an einem Server
  • Datendiebstahl: Große Datenmengen fließen vom System ab
  • Fehlgeschlagene Log-ins: Protokoll Einträge, in Logdateien, die als kritisch angesehen werden
  • Zugriffe auf ein oder mehrere Netzlaufwerke zu einer Uhrzeit, außerhalb der Arbeitszeiten

Nutzen von Intrusion Detection und Intrusion Prevention Systemen

Intrusion Detection Systeme sollen in erste Linie dazu dienen, kontinuierlich ein Netzwerk überwachen und protokollieren zu können, um es sicherer zu machen. Die aufgezeichneten Ereignisse zu Sicherheitsvorfällen können dann vom zuständigen Sicherheitsadministrator entsprechend behandelt werden.

Einige Netzwerke nutzen angesprochene Systeme auch dazu, dass ihre konfigurierten Sicherheitsrichtlinien (intern) von Nutzenden eingehalten werden und es zu keinen Verstößen in diesem Bereich kommt, zum Beispiel die Betriebssystemdateien intern zu kompromittieren. Hierzu dienen die „Host-based IDS/IPS“.

Hauptziel ist jedoch das Dokumentieren von Informationen über Angreifende, welche sich Auskünfte über ein Netzwerk verschaffen, indem sie unter anderem versuchen ins System einzudringen. Hiermit können dann mit der Zeit auch Bedrohungen früher erkannt werden und es kann schnell gehandelt werden

Datenschutzrechtliche Aspekte beachten

Da die angesprochenen Systeme den Netzwerkverkehr und auch eventuellen Datenverkehr im internen Netz aufzeichnen und analysieren, muss selbstverständlich der Aspekt des Datenschutzes vor Einführung von Intrusion Detection und Intrusion Prevention Systemen geklärt worden sein. Denn durch diese werden viele Daten gesammelt und es muss eine zweckgebundene Aufzeichnung und Verarbeitung der Daten sichergestellt sein.

Im aufgezeichneten Datenverkehr werden nur beispielsweise Informationen wie IP-Adressen oder Ports gesammelt. Diese können nur mit einem höheren Aufwand bestimmten Personen zugeordnet werden. Intrusion Detection Systeme könnten jedoch auch datenschutzrechtlich missbraucht werden, indem Verhaltensweisen von Mitarbeitenden kontrolliert und analysiert werden. Dies ist auf die interne Nutzung eine „Host-based IDS/IPS“ bezogen.

Um die erforderlichen rechtlichen Vorgaben zu erfüllen, muss die Einführung eines IDS oder IPS mit Rechtsexperten abgestimmt werden (Datenschutzbeauftrage/r, Betriebs- bzw. Personalrat). Der Verantwortliche wird in der Regel vorab eine Datenschutz-Folgenabschätzung durchführen müssen. Zudem sind die Mitarbeitenden des Unternehmens über das Vorgehen und auch die Einsatzzwecke zu informieren.

Vor- und Nachteile von IDS und IPS Systemen

Zu den Vorteilen von IDS und IPS Systemen zählen:

  • „Normale“ Firewalls blockieren und filtern den Netzwerkverkehr nur – IDS und IPS erkennen einen Angriffsversuch, melden und/oder blockieren diesen.
  • Die Systeme reagieren anhand der Konfiguration der Richtlinien auf den Datenverkehr.
  • Details über den Angriff und die Angriffsmethoden werden aufgezeichnet und können somit besser analysiert werden (auch in Hinblick auf IT-Forensische Untersuchungen).
  • Ein Sensor kann für ein gesamtes Netz eingesetzt werden und dieses überwachen.

Nachteile, die sich durch den Einsatz von IDS und IPS Systemen ergeben können:

  • Ein IDS oder IPS ist eine aktive Komponente im System, d.h. diese kann auch ausgehebelt werden, bzw. bei einem gezielten Angriff außer Kraft gesetzt werden.
  • Meist werden nur bekannte Angriffsmuster/-signaturen erkannt und dann blockiert bzw. gemeldet.
  • Oft werden zu viele falsche Warnungen (false positives) generiert oder auch Angriffe mit unbekannten Charakter erst gar nicht erkannt.

Wann sollte ein solches System installiert werden?

Grundsätzlich macht es Sinn ein IDS oder IPS in ein Netzwerk als zusätzliche Schutzmaßnahme mitaufzunehmen. Es darf hier jedoch nicht der Aspekt des Betriebsaufwandes außer Acht gelassen werden.

Um zu erkennen, ob der Aufwand der Installation eines solchen Systems unproportional größer ist, als die Vorteile, die ein solches System mit sich bringt, sollte man vor Installation mit einer sogenannten Anforderungsanalyse und einem Grobkonzept die Frage klären, ob für das Unternehmen ein höherer Sicherheitszugewinn zu verzeichnen wäre. Falls dies nach einer solchen Analyse zutrifft, macht es Sinn das System in der Netzwerkinfrastruktur zu etablieren.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Ein Aspekt, der mir in diesem Fachartikel fehlt, ist der Datenschutz.

    Wenn ich Log-Files, die einer bestimmten Löschfrist unterliegen und die personenbezogene Daten wie Login-Namen oder IP-Adressen enthalten, in ein IDS überführe, handelt es sich ja streng genommen um eine Zweckänderung (der ursprüngliche Zweck war in der Regel die Sicherstellung des störungsfreien Applikationsbetriebs und die Unterstützung des Servicedesk im Fall von Fehlermeldungen).

    Benötigt es dann für diese Zweckänderung das explizite schriftliche Einverständnis der Betroffenen (als in der Regel von allen Mitarbeitenden)? Was, wenn jemand das Einverständnis nicht erteilt? Oder sollte der ursprüngliche Zweck gleich entsprechend erweitert und die Aufbewahrungsfristen (die in IDS ja oft lang sein können, möchte man eine „schlummernde“ Infektion, die schon 1-2 Jahre zurück liegt, noch sicher finden können) verlängert werden?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.