Intrusion-Detection-System
Ein Intrusion-Detection-System (IDS) überwacht Netzwerkverkehr oder Systemaktivitäten, erkennt Angriffe sowie Anomalien anhand von Signaturen oder Verhaltensmustern und meldet verdächtige Vorgänge, ohne sie selbst aktiv zu blockieren.
Ein Intrusion-Detection-System (IDS) ist eine Sicherheitskomponente, die den Datenverkehr in einem Netzwerk oder die Aktivitäten auf einzelnen Systemen kontinuierlich überwacht, um Angriffe, Missbrauch und Anomalien zu erkennen. Man unterscheidet netzwerkbasierte Systeme (NIDS), die den Verkehr an zentralen Punkten analysieren, und hostbasierte Systeme (HIDS), die Logdateien, Dateiintegrität und Prozesse auf einem konkreten System auswerten. Im Gegensatz zu einem Intrusion-Prevention-System (IPS), das erkannte Angriffe aktiv abwehrt, ist ein klassisches IDS rein detektierend und alarmierend.
Zur Erkennung kommen typischerweise zwei Ansätze zum Einsatz. Die signaturbasierte Erkennung vergleicht beobachtete Ereignisse mit bekannten Angriffsmustern und ist sehr treffsicher bei bereits bekannten Bedrohungen, versagt aber bei neuartigen Angriffen. Die anomaliebasierte Erkennung lernt das normale Verhalten von Systemen und Nutzern und schlägt bei Abweichungen Alarm; sie kann auch unbekannte Angriffe aufdecken, neigt jedoch eher zu Fehlalarmen. In der Praxis werden IDS-Meldungen häufig in ein SIEM und ein Security Operations Center (SOC) eingespeist, um sie zu korrelieren, zu priorisieren und in einen strukturierten Incident-Response-Prozess zu überführen.
Aus Compliance-Sicht ist die Angriffserkennung kein optionales Extra, sondern zunehmend rechtlich gefordert. Die NIS2-Richtlinie und das deutsche Umsetzungsrecht verlangen von betroffenen Einrichtungen risikoangemessene technische Maßnahmen, zu denen ausdrücklich Konzepte und Verfahren zur Erkennung von Sicherheitsvorfällen gehören. Betreiber Kritischer Infrastrukturen sind nach § 8a Abs. 1a BSIG bereits seit Mai 2023 verpflichtet, Systeme zur Angriffserkennung einzusetzen. Auch der BSI IT-Grundschutz (Baustein DER.1 "Detektion von sicherheitsrelevanten Ereignissen") und ISO/IEC 27001 mit ihren Maßnahmen zur Protokollierung und Überwachung adressieren diese Anforderung. Ein IDS ist damit ein zentraler Baustein, um die geforderte Detektionsfähigkeit nachweisbar herzustellen.
Rechtliche Grundlage
Art. 21 Abs. 2 lit. b NIS2-Richtlinie (EU) 2022/2555; § 8a Abs. 1a BSIG; BSI IT-Grundschutz Baustein DER.1; ISO/IEC 27001 Anhang A (A.8.15, A.8.16)
Praxisbeispiel
Ein mittelständischer Maschinenbauer fällt als wichtige Einrichtung unter NIS2 und muss seine Detektionsfähigkeit nachweisen. Der Informationssicherheitsbeauftragte führt ein netzwerkbasiertes IDS an den Übergängen zwischen Büro- und Produktionsnetz ein und ergänzt es um hostbasierte Sensoren auf den kritischen Servern. Die Alarme laufen in das bestehende SIEM, wo das SOC sie korreliert und nach Schweregrad priorisiert. Als das IDS einen ungewöhnlichen nächtlichen Datenabfluss zu einer unbekannten IP-Adresse meldet, wird automatisch ein Ticket im Incident-Response-Prozess erzeugt, der Vorfall innerhalb der NIS2-Fristen bewertet und die Anbindung dokumentiert für das nächste Audit nachvollziehbar belegt.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren