IT-Lexikon
IDS/IPSCybersecurity

Intrusion Detection & Prevention Systems

Sicherheitstechnologien zur Erkennung (IDS) und aktiven Blockierung (IPS) verdächtiger Aktivitäten im Netzwerk oder auf Endgeräten.

Intrusion Detection & Prevention Systems (IDS/IPS) sind Sicherheitstechnologien, die den Netzwerkverkehr oder Systemaktivitäten auf bösartige Muster und Anomalien überwachen. Ein Intrusion Detection System (IDS) erkennt verdächtige Aktivitäten und schlägt Alarm, greift aber nicht aktiv ein. Ein Intrusion Prevention System (IPS) sitzt dagegen inline im Datenstrom und kann erkannten Angriffsverkehr unmittelbar blockieren, Sessions terminieren oder Pakete verwerfen. Die Grenze zwischen beiden ist eher eine Frage der Platzierung und Reaktionsbefugnis als der Erkennungslogik.

Netzwerk- vs. hostbasierte Systeme

Ein netzwerkbasiertes System (NIDS/NIPS) analysiert den Verkehr an strategischen Punkten der Infrastruktur — typischerweise am Perimeter, vor sensiblen Segmenten oder zwischen Zonen unterschiedlicher Vertrauensstufen. Es sieht Pakete, Protokolle und Verbindungsmetadaten, ist aber blind für Vorgänge innerhalb eines Endgeräts. Hostbasierte Systeme (HIDS/HIPS) laufen direkt auf Servern oder Workstations und beobachten Prozessstarts, Dateioperationen, Systemaufrufe und lokale Netzwerkaktivität. In der Praxis ergänzen sich beide Ansätze: Netzwerksensoren liefern den Überblick, Host-Sensoren die Detailtiefe. Wir finden in Assessments häufig, dass Unternehmen ausschließlich am Perimeter inspizieren — laterale Bewegungen innerhalb des Netzes bleiben dann unsichtbar.

Signaturbasierte vs. anomaliebasierte Erkennung

Die beiden grundlegenden Erkennungsphilosophien unterscheiden sich erheblich in Stärken und Schwächen:

Ansatz Funktionsweise Stärken Schwächen
Signaturbasiert Abgleich mit bekannten Angriffsmustern Schnell, präzise, wenige False Positives Keine Erkennung neuartiger Angriffe oder Zero-Days
Anomaliebasiert Verhaltensmodellierung, Abweichungserkennung Erkennt unbekannte Angriffstechniken Mehr False Positives, benötigt Tuning und Baseline

Moderne Systeme kombinieren beide Verfahren und reichern sie mit Reputationsdaten und Threat Intelligence an. Reine Signaturansätze stoßen bei polymorpher Malware und gezielten Angriffen schnell an Grenzen, während rein anomaliebasierte Erkennung ohne saubere Baseline ein SOC mit Lärm überflutet.

Konsolidierung in NGFW, EDR und XDR

Standalone-Appliances für IDS/IPS verlieren als Produktkategorie zunehmend an Bedeutung. Die Funktionen wandern in Next-Generation Firewalls (NGFW) ein, wo sie als integrierte Module neben Application Control, URL-Filtering und TLS-Inspektion laufen. Parallel dazu absorbieren EDR- und XDR-Plattformen die hostbasierte Erkennung und korrelieren Endpoint-Signale mit Netzwerktelemetrie. In der Praxis bedeutet das: Wer heute eine neue Sicherheitsarchitektur plant, kauft selten noch ein dediziertes IDS — sondern aktiviert die entsprechenden Funktionen in vorhandenen NGFW- und EDR-Lizenzen.

Open-Source-Werkzeuge

Im Open-Source-Bereich haben sich drei Projekte etabliert: Suricata als modernes Multi-Threading-IDS/IPS mit Unterstützung für Lua-Scripting und Protokollanalyse, Snort als langjähriger Standard mit umfangreichem Regelsatz und Zeek (vormals Bro) als verhaltensorientierter Netzwerk-Analyzer, der weniger blockiert und mehr Kontext liefert. Zeek wird gerne mit Suricata kombiniert: Suricata für signaturbasierte Detektion, Zeek für die forensische Tiefe der Verkehrsanalyse. Die generierten Logs fließen typischerweise in ein SIEM zur Korrelation.

Cloud-native Pendants

In Cloud-Umgebungen treten die klassischen Sensoren in den Hintergrund und werden durch Managed Services ersetzt. AWS GuardDuty wertet VPC Flow Logs, DNS-Logs und CloudTrail aus. Microsoft Defender for Cloud kombiniert Workload-Schutz mit Cloud Security Posture Management. Google Cloud IDS spiegelt Traffic per Packet Mirroring an eine verwaltete Threat-Detection-Engine von Palo Alto Networks. Diese Dienste sparen Betriebsaufwand, sind aber an die jeweilige Cloud gebunden — Multi-Cloud-Strategien benötigen entweder eine cloudübergreifende Plattform oder die Akzeptanz heterogener Toolchains.

TLS-Verschlüsselung als Herausforderung

Die größte praktische Einschränkung moderner Netzwerkdetektion ist die nahezu flächendeckende TLS-Verschlüsselung. Signaturbasierte Inhaltsinspektion funktioniert nur nach TLS-Interception — und die ist betrieblich aufwendig, rechtlich heikel (Mitbestimmung, Datenschutz) und mit Zertifikats-Pinning vieler Anwendungen nicht mehr durchgängig möglich. Als Alternativen haben sich Fingerprinting-Verfahren etabliert: JA3 und das neuere JA4 erstellen Hashes über TLS-Client-Handshakes und erlauben so die Wiedererkennung bekannter Malware-Familien oder C2-Clients ohne Entschlüsselung. Auch TLS-Metadaten — SNI, Zertifikatsmuster, Verbindungsdauer, Paketgrößenverteilung — liefern wertvolle Erkennungssignale.

Integration mit SIEM und SOAR

Ein IDS/IPS ist nur so wirksam wie der Prozess, der seine Alerts verarbeitet. Ohne Anbindung an ein SIEM verschwinden Erkennungen in lokalen Logs, ohne SOAR bleibt jeder Alert manuelle Arbeit für das SOC. In der Praxis sehen wir den größten Mehrwert dort, wo IDS-Signale mit Endpoint-Telemetrie, Identitätskontext und Threat Intelligence korreliert werden — und wo Playbooks automatisch isolieren, blockieren oder Tickets erzeugen. Die Zuordnung erkannter Techniken zum MITRE-ATT&CK-Framework hilft, Alerts in einen Angriffslebenszyklus einzuordnen und gezielte Detection-Lücken zu schließen.

Relevanz für KMUs

Für den Mittelstand ist ein eigenständiges IDS/IPS-Projekt selten der richtige Einstieg. Sinnvoller ist es, die in der vorhandenen NGFW bereits enthaltenen IPS-Funktionen tatsächlich zu aktivieren und zu tunen — wir finden in Assessments regelmäßig Geräte, deren IPS-Engine im reinen Monitor-Modus läuft oder mit Standardregeln ohne jede Anpassung. Cloud-Workloads profitieren von den Managed-Diensten der jeweiligen Hyperscaler, da Lizenz und Sensorik im Betriebsmodell enthalten sind. Wer keine eigene 24/7-Auswertung leisten kann, sollte die Alerts an einen Managed-SOC-Partner ausleiten — eine Erkennung, die niemand liest, schützt nicht. Der größte Hebel liegt fast immer in der Integration: Endpoint-, Netzwerk- und Cloud-Signale in einer Plattform, ergänzt um automatisierte Reaktionen für die häufigsten Szenarien.