„ACHTUNG, EINDRINGLINGE!“ Stellen Sie sich eine Computerstimme vor, die das Eindringen eines Cyberkriminellen meldet, und Sie haben eine Vorstellung davon, was ein Intrusion Detection System (Eindringungserkennungssystem, IDS) leistet. Sein Name ist ganz wörtlich zu verstehen, und seit langem gehört es zur Grundausrüstung für große Unternehmen, die auf der Suche nach Software zur Warnung vor Systemangriffen sind. Wenn ihre Netzwerke kompromittiert werden, kann dies zu massiven finanziellen Verlusten sowie zu Ausfallzeiten, Datenlecks und lange nachwirkenden Reputationsschäden führen. Lesen Sie weiter, um zu erfahren, wie ein IDS funktioniert, welche Arten es gibt und warum dieser fleißige digitale Bodyguard nicht als Einzelkämpfer agieren kann: Er ist in der Regel Bestandteil anderer Sicherheitssysteme.
Was ist ein Intrusion Detection System (IDS)?
IDS ist ein Netzwerksicherheitssystem zur Angriffserkennung, das den Netzwerkverkehr wie ein Wachhund im Blick behält und immer auf der Suche nach verdächtigen Aktivitäten, bekannten Cyberbedrohungen oder Richtlinienverstößen ist. Wenn eine solche Aktivität entdeckt wird, gibt es Warnungen aus und meldet den Verstoß dann an einen Administrator. Manchmal werden verdächtige Aktivitäten zentral mit einem SIEM-System (Security Information and Event Management) erfasst und protokolliert. Falls Sie mehr zu diesem System erfahren möchten, lesen Sie hier unseren SIEM-Blog. Der Begriff „IDS-Sicherheitsgerät“ trifft auch nicht so recht zu, denn es handelt sich eigentlich um ein Softwaresystem!
IDS-Warnungen enthalten in der Regel die folgenden Informationen: die Quelladresse des Eindringlings und die Zieladresse sowie die Art des vermuteten Angriffs. Aber handelt es sich wirklich um einen Angriff oder um einen Fehlalarm? Ähnlich wie bei dem bereits erwähnten Wachhund hängt das davon ab, wie gut Sie Ihr Intrusion Detection System trainiert haben. Jedes IDS ist so programmiert, dass es den Datenverkehr analysiert und Muster erkennt, aber es kann auch Datenverkehr erkennen, der für eine bestimmte Software problematisch ist. Wenn zum Beispiel bekannt ist, dass eine Cyberbedrohung nur Firefox angreift, gibt das IDS keine Warnung aus, wenn Ihr Unternehmen einen anderen Browser nutzt.
Ein IDS wird manchmal fälschlicherweise als „IDS-Firewall“ bezeichnet. Obwohl beides zur Netzwerksicherheit beiträgt, funktioniert eine Firewall nach dem alten Sprichwort „Vorbeugen ist besser als heilen“. Sie überwacht den eingehenden Datenverkehr auf Cyberbedrohungen und schränkt den Zugang zwischen Netzwerken ein, um Eindringlinge fernzuhalten. Ein IDS schlägt erst dann Alarm, wenn der Verdacht einer erfolgten Eindringung besteht, und blockiert verdächtigen Datenverkehr nicht. Kurz gesagt: Eine Firewall ist der muskelbepackte Türsteher, der den Zugang blockiert, während das IDS laut schreit, wenn jemand Verdächtiges eindringt. Zusammen bilden sie ein großartiges Sicherheitsteam.
Um die Sache noch verwirrender zu machen, gibt es auch ein Intrusion Prevention System (IPS). Wenn ein IDS und eine Firewall ein gemeinsames Kind hätten, würde es wahrscheinlich wie ein IPS aussehen. Dieses System erkennt Eindringlinge und geht dann noch einen Schritt weiter, indem es erkannte Cyberbedrohungen verhindert.
Was sind die Haupttypen von Intrusion Detection Systems?
Bei der IDS-Sicherheit werden je nach Einsatzort fünf Typen unterschieden.
- Netzwerk-IDS (NIDS)
Dieser Typ wird an einem ausgewählten Punkt im Netzwerk eingerichtet und untersucht den Datenverkehr aller darin befindlichen Geräte. Er gleicht den Datenverkehr mit einer Sammlung bekannter Angriffe ab und sendet eine Warnung an den Administrator, wenn ein Angriff oder anormales Verhalten beobachtet wird.
- Host-IDS (HIDS)
Dieser Typ wird auf unabhängigen Hosts oder Geräten im Netzwerk ausgeführt und überwacht nur die von diesen Geräten ein- und ausgehenden Pakete. Er erstellt einen Schnappschuss der vorhandenen Systemdateien und vergleicht ihn mit einem früheren Schnappschuss. Wenn analytische Systemdateien bearbeitet oder gelöscht wurden, wird eine Warnung ausgegeben.
- Protokollbasiertes IDS (PIDS)
Hierbei handelt es sich um ein System oder einen Agenten, das bzw. der sich am vorderen Ende eines Servers befindet und dort den HTTPS-Protokollstrom zwischen einem Benutzer/Gerät und dem Server überwacht.
- Anwendungsprotokollbasiertes IDS (APIDS)
Dieses System bzw. dieser Agent befindet sich in der Regel in einer Gruppe von Servern. Dort werden Eindringlinge anhand der Überwachung und Interpretation der Kommunikation in anwendungsspezifischen Protokollen erkannt.
- Hybrid-IDS
Bei diesem Typ werden zwei oder mehr Intrusion Detection Systems mit Netzwerkinformationen kombiniert. So entsteht ein vollständigerer Überblick über die IT-Umgebung. Hybrid-IDS werden oft als die effektivsten IDS betrachtet.
Welche Methoden werden zur Erkennung von Eindringlingen genutzt?
Es gibt zwei Methoden. Mit beiden werden wir uns kurz befassen. Signaturbasierte IDS erkennen Angriffe anhand von bestimmten Mustern wie die Anzahl der Bytes oder der Einsen und Nullen im Netzwerkverkehr. Sie lernen bösartige Befehlssequenzen (die „Signatur“) von bekannter Malware, um sie zu erkennen. Leider ist die Erkennung neuer Malware-Angriffe schwierig, da ihre Signatur noch nicht bekannt ist. Aus diesem Grund sind anomaliebasierte IDS in einer Welt von sich schnell entwickelnden Cyberbedrohungen so nützlich: Sie können unbekannte Malware-Angriffe erkennen, indem sie mithilfe von maschinellem Lernen ein Modell der vertrauenswürdigen Aktivitäten erstellen. Alle Abweichungen werden als verdächtig eingestuft, z. B. ein Benutzer, der sich außerhalb der Geschäftszeiten anmeldet, neue Geräte, die ohne Genehmigung hinzugefügt wurden, oder eine plötzliche Flut neuer IP-Adressen, die eine Verbindung zum Netzwerk herstellen wollen.
Beide Erkennungsmethoden haben ihre Stärken und Schwächen, die sich gegenseitig ergänzen, daher sollten Sie keine davon gleich verwerfen. Die signaturbasierte Erkennung bietet im Allgemeinen eine höhere Verarbeitungsgeschwindigkeit für bekannte Angriffe und eine geringere Falschmeldungsrate. Die anomaliebasierte Erkennung kann dazu beitragen, Zero-Day-Angriffe zu erkennen. Allerdings verursacht sie auch eine höhere Zahl von Falschmeldungen. Im Folgenden gehen wir näher auf die Vor- und Nachteile von IDS ein.
Welche Nachteile hat ein Intrusion Detection System?
Obwohl ein IDS für die Sicherheit eines Unternehmens unerlässlich ist, kann seine Verwaltung schwierig sein. Sobald Sie Ihr Netzwerk überwachen lassen, müssen Sie auch auf die Warnmeldungen und Vorfälle reagieren. Anderenfalls hätte die Einrichtung wenig Sinn. Außerdem sind IDS dafür berüchtigt, Falschmeldungen zu generieren. Dies setzt IT-Teams unter zusätzlichen Druck, ihr Erkennungssystem ständig zu aktualisieren und zu verfeinern, um echte Cyberbedrohungen von zulässigem Datenverkehr zu unterscheiden. So wäre es beispielsweise wenig sinnvoll, Warnungen für einen Server auszugeben, der bereits vor bekannten Angriffen geschützt ist, weil es dann zu einer Flut von irrelevanten Alarmen käme. Aus diesem Grund können Unternehmen eine sekundäre Analyseplattform nutzen, wie z. B. ein SIEM-System, die die Erfassung und Untersuchung von Warnmeldungen unterstützt.
Es gibt hierbei keine Universallösung. Damit das IDS genau und effektiv arbeiten kann, muss jedes Unternehmen bereit sein, es an seine eigenen Bedürfnisse anzupassen. Im Idealfall benötigt das IT-Team sachkundige Systemanalytiker. Doch selbst das am besten geschulte und gewartete IDS kann immer noch legitime Risiken übersehen, insbesondere bei neuen Cyberbedrohungen. Es geht ihm dann wie einem Arzt, der mehrere Ersterkrankte untersuchen muss.
Verschlüsselter Datenverkehr kann ebenfalls eine Herausforderung für IDS-Technologien darstellen, da möglicherweise Malware-Signaturen darin nicht erkannt werden. Darüber hinaus können die hohe Geschwindigkeit und die riesigen Mengen an eingehendem Datenverkehr in einem Unternehmen die Wirksamkeit eines IDS begrenzen.
Es gibt jedoch Möglichkeiten, wie Kunden eine Entscheidung für IDS-Systeme versüßt werden kann. Hier kommen die sogenannten Honeypots ins Spiel… und nein, sie haben nichts mit Bienen zu tun, obwohl Cyberkriminelle schmerzhafte Stiche davontragen könnten.
Was ist ein „Honeypot“?
In der Spionage kommen mitunter „Honigfallen“ zum Einsatz. Dabei handelt es sich um eine attraktive (meist weibliche) Person, die ihr Opfer dazu verleiten soll, Geheimnisse zu verraten. Ähnlich funktionieren im digitalen Zeitalter „Honeypots“ (engl. für Honigtopf), die eine Falle für Hacker darstellen. Der Honeypot sieht aus wie ein normales IT-System mit Anwendungen und Daten und soll Cyberkriminellen vorgaukeln, es handle sich um ein lohnenswertes Ziel, z. B. eine Kundendatenbank. Wenn die Hacker darauf hereingefallen sind, können sie aufgespürt und ihr Verhalten analysiert werden. Diese Informationen werden dann genutzt, um die Sicherheit der Unternehmenssysteme zu erhöhen.
Manchmal werden absichtlich Sicherheitslücken wie schwache Passwörter oder anfällige Ports in Honeypots eingebaut, um Hacker anzulocken. Je nach Cyberbedrohung können außerdem unterschiedliche Honeypots zum Einsatz kommen: Ein Malware-Honeypot ahmt Softwareanwendungen und APIs nach, um zu Malware-Angriffen einzuladen, während ein Spider-Honeypot Webcrawlern eine Falle stellen kann, indem er Webseiten und Links erstellt, die nur für Crawler zugänglich sind. Spam-Fallen platzieren eine gefälschte E-Mail-Adresse an einem versteckten Ort, an dem nur ein automatischer E-Mail-Harvester (Erfassungsprogramm) sie finden kann. Alle E-Mails, die an dieser Adresse ankommen, sind als Spam einzustufen, und die Absender können blockiert werden.
Warum ist ein Intrusion Detection System wichtig – und ist es die richtige Wahl für Sie?
Es gibt unterschiedliche Tools, die dabei helfen, Cyberangriffe und unerlaubten Datenverkehr im Netzwerk zu erkennen und zu blockieren. Keine einzelne Technologie ist absolut sicher und kein Netzwerk undurchdringlich. Daher ist ein IDS eine weitere wertvolle Ergänzung zum mehrschichtigen Ansatz für den Unternehmensschutz. Sein Hauptvorteil besteht darin, dass die IT-Teams benachrichtigt werden, wenn ein Angriff auf oder ein Eindringen in das Netzwerk stattfindet. Haben Sie Mitarbeiter, die über die Zeit, die Ressourcen, das Wissen und die Kompetenzen verfügen, um angemessen auf Warnungen zu reagieren? Und können sie Ihr System kontinuierlich trainieren, um Gefährliches vom Gewöhnlichen zu unterscheiden? Die bloße Menge der Warnmeldungen kann abschreckend wirken. Außerdem halten sich Angreifer nicht an die üblichen Geschäftszeiten. Ein IDS kann ein integraler Bestandteil der Sicherheit eines Unternehmens sein, aber ähnlich wie ein Feueralarm muss es in eine zusammenhängende Reaktionskette und einen umfassenderen Schutz integriert sein, um die gewünschte Wirkung zu haben.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch