Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

IDS

Was ist ein Intrusion Detection System?

Ein Intrusion Detection System (IDS) ist eine sicherheitskritische Komponente zur Überwachung und Analyse von IT-Systemen und Netzwerken mit dem Ziel, Angriffe, Policy-Verletzungen oder Anomalien frühzeitig zu erkennen. Im Gegensatz zu Firewalls, die den Datenverkehr blockieren, agiert ein IDS primär beobachtend: Es erkennt verdächtige Aktivitäten anhand von Signaturen, Heuristiken oder Verhaltensanalysen und informiert das Sicherheitsteam über potenzielle Vorfälle. IDS-Systeme sind elementarer Bestandteil moderner Security-Architekturen, vor allem in Unternehmen mit erhöhtem Schutzbedarf, regulatorischen Anforderungen oder kritischer Infrastruktur.

Technischer Aufbau & Varianten

IDS-Typen:

  • HIDS (Host-based IDS): Installiert direkt auf Endpunkten, überwacht Systemlogs, Dateiänderungen, Systemaufrufe

  • NIDS (Network-based IDS): Analysiert Netzwerkverkehr passiv auf einem Switch-Port oder per Mirror-Port

Erkennungsmethoden:

  • Signaturbasiert: Vergleich mit bekannten Angriffsmustern (z. B. Snort-Regeln)

  • Verhaltensbasiert: Baseline-Normalverhalten wird etabliert; Abweichungen lösen Alarme aus

  • Anomaliebasiert: Kombination aus Heuristik, Machine Learning und Schwellenwerten

Technische Komponenten:

  • Sensoren (zur Datenerfassung)

  • Analyse-Engine (zur Bewertung)

  • Alerting-System (Benachrichtigung bei Vorfällen)

  • Management-Konsole (Regeldefinition, Reporting)

Relevanz in der Praxis

Ein IDS ist essenziell für:

  • Früherkennung von Angriffen (z. B. Port-Scans, Brute-Force, Command Injection)

  • Regelkonforme IT-Überwachung (z. B. ISO 27001, KRITIS-Anforderungen)

  • Forensische Auswertung bei Incidents

  • Schutz vor internen Bedrohungen (Insider Threats)

In Kombination mit SIEM-Systemen wird ein IDS noch wirksamer, da Ereignisse zentral aggregiert und korreliert werden.

Standards & regulatorische Anforderungen

  • ISO/IEC 27001 / ISO/IEC 27002 – Kontrollmechanismen zur Angriffserkennung

  • BSI IT-Grundschutz (DE) – Baustein OPS.1.1.5: Einsatz von IDS

  • NIS-2 & DORA – verpflichtende Angriffserkennung für kritische Infrastrukturbetreiber

  • PCI DSS – Anforderung 11: Überwachung von Netzwerkressourcen auf unautorisierte Änderungen

Verwandte Begriffe

  • Intrusion Prevention System

  • Network Monitoring

  • SIEM

  • Detection & Response

  • Endpoint Security

  • Anomaly Detection

Beispiel aus der Praxis

Ein Krankenhaus betreibt mehrere netzwerkbasierte IDS-Sensoren, um Angriffe auf medizinische Systeme wie Röntgengeräte und Patientenverwaltung frühzeitig zu identifizieren. Während einer verdächtigen Verbindungswelle von einem infizierten Gerät wurden Alerts ausgelöst. Das Sicherheitsteam isolierte das betroffene System, analysierte Logdaten forensisch und aktualisierte Regeln, um ähnliche Vorfälle künftig schneller zu blockieren.

zum Glossar