Einbruch ins Netzwerk: Intrusion Detection Systeme sind die Alarmanlagen der IT
Keine IT-Sicherheitsmaßnahme ist perfekt. Doch vielfach sind eingesetzte Systeme nicht in der Lage, neuartige Bedrohungen zu erkennen. Auf diese Weise haben es Hacker leicht, an sensible Informationen von Unternehmen zu gelangen. Dagegen braucht es Abhilfe! Moderne Intrusion Detection Systeme sind deswegen auf den Plan getreten, um dieses Risiko mittels Machine Learning zu minimieren. Wie funktionieren diese Systeme und was gilt es dabei zu beachten?
Intrusion Detection Systeme (IDS) erkennen Angriffe, die auf Computer, Server oder Netzwerke gerichtet sind und benachrichtigen die IT-Abteilung darüber. Sie basieren auf künstlicher Intelligenz und können dank Algorithmen des maschinellen Lernens nicht nur bekannte Gefährdungsmuster erkennen, sondern auch neuartige Bedrohungen. Dafür analysiert ein IDS alle Datenströme – erkennt es untypische Prozesse, schlägt es Alarm.
Verschiedene Betriebsarten mit Vor- und Nachteilen
Das IDS kann entweder als Softwarekomponente eines bestehenden Systems oder als eigenständige Überwachungshardware im Netzwerk installiert werden: Dementsprechend muss die Entscheidung für ein Host-basiertes IDS, ein Netzwerk-basiertes IDS oder eine Hybridversion getroffen werden. Während die Basis auf dem Host dafür sorgt, dass alle Daten unverfälscht direkt aus den jeweiligen Logs, dem Kernel und der Registry gelesen werden können, wird dieses System durch eine DoS-Attacke ebenfalls außer Gefecht gesetzt. Ist das IDS netzwerkbasiert, können im Gegenzug alle im Netzwerk befindlichen Pakete gelesen und untersucht werden. Steigt die Bandbreite jedoch an, hat manches IDS Probleme, eine vollständige Überwachung allen Datenverkehrs zu gewährleisten. Für umfassenden Schutz setzen daher immer mehr Unternehmen auf eine Verbindung beider Optionen in einem hybriden IDS.
Um sicherzustellen, dass Hacker keinen Angriff auf das Unternehmen starten und gleichzeitig das IDS mit simulierten Daten außer Kraft setzen, ist es zudem essentiell, dass das System Daten entweder selbst erheben kann oder die Quellen absolut verfälschungssicher sind. Andernfalls wird der Nutzen des IDS stark eingeschränkt.
Manche IDS legen Köder für Hacker aus
Um unbekannte Gefährdungen besser zu erkennen, setzen einige IDS auf sog. Honeypots. Dabei präsentiert das IDS einen besonderen Service oder simuliert einen Computer im Netzwerk, der Angreifer provozieren soll. Funktioniert der Köder, kann das IDS zum einen wertvolle Informationen über die Beschaffenheit des Angriffs sammeln. Zum anderen ist der Honeypot vom restlichen System isoliert, d.h. es besteht zu keiner Zeit eine Netzwerk-Gefährdung.
Damit bietet ein IDS fortschrittliche Netzwerküberwachung – allerdings nicht ganz ohne Fehl und Tadel: Im Gegensatz zu Intrusion Prevention Systemen (IPS) werden IDS nicht selbstständig bei Aufdeckung einer Gefahr tätig. Dafür erfordert es immer noch manuelles Eingreifen. Zudem warnen IDS immer dann, wenn sie mit ungewöhnlichem oder unbekanntem Traffic konfrontiert werden – also auch dann, wenn z.B. neue Prozesse gestartet werden. Diese Fehlalarme können die Aufmerksamkeit entscheidend verringern.
Entsprechend sollte ein Intrusion Detection System immer sorgfältig eingerichtet werden und nur als eine Komponente eines umfangreichen Abwehrplans fungieren. Dann bietet das IDS jedoch entscheidende Vorteile.
