IDS

Ein Intrusion Detection System (IDS) dient dazu, Anomalien und bekannte Attack-Signaturen in Echtzeit zu erkennen und Alarmmeldungen auszugeben, sobald ein potenzieller Sicherheitsvorfall erkannt wird. Es existieren verschiedene Typen: Hostbasierte IDS (HIDS) arbeiten auf dem Endgerät und prüfen Logdateien, Systemaufrufe oder Dateiänderungen, während netzwerkbasierte IDS (NIDS) den Datenverkehr auf Netzwerksegmenten analysieren, um ungewöhnliche Paketmuster oder Schwachstellenausnutzung zu identifizieren. IDS können nach signaturbasiertem Ansatz (Vergleich mit bekannten Angriffssignaturen) oder nach Verhaltensanalysen (Speichern eines Baseline-Profils und Erkennen von Abweichungen) arbeiten. Ein effektives IDS ist Teil einer umfassenden Security-Architektur und wird oft mit einem Security Information and Event Management (SIEM) verknüpft, um Geschehnisse zu korrelieren, Protokolle zentral auszuwerten und Incident-Response-Prozesse anzustoßen. Entscheidend ist, False Positives möglichst gering zu halten und sichere Eskalationspfade für erkannte Vorfälle zu definieren.