IDS vs IPS: Was ist der Unterschied?

Read in English (Auf Englisch lessen)

Der Einsatz von mehrschichtigen Verteidigungssystemen, wie z. B. einem Intrusion Detection System (IDS) und einem Intrusion Prevention System (IPS), ist eine Möglichkeit, die Anfälligkeit von Unternehmen für Cyberangriffe zu verringern.

Bei einer Umfrage zum Thema Datenschutzverletzung gaben acht Prozent der deutschen Unternehmen an, dass ihre folgenschwerste Datenschutzverletzung das Unternehmen mehr als 10 Millionen US-Dollar gekostet hat [1]. Der Anstieg von Cyberkriminalität und die damit verbundenen Kosten sind auch im „Bundeslagebild Cyberkriminalität“ dokumentiert, das einen detaillierten Überblick über die Auswirkungen und Schäden durch Cyberangriffe in Deutschland bietet. Diese Berichte zeigen, dass Unternehmen verstärkt in Cybersicherheitsmaßnahmen investieren müssen, um sich gegen die wachsenden Bedrohungen zu schützen [2].

Lesen Sie weiter, um mehr über die Funktionsweise von IDS und IPS zu erfahren, einschließlich der Unterschiede zwischen den beiden Systemen.

Was ist ein IDS? 

Ein Intrusion Detection System (IDS) arbeitet passiv und hält ständig Ausschau nach Cybersecurity-Bedrohungen innerhalb einer Organisation. Wenn ein IDS ein potenzielles Eindringen in das Netzwerk feststellt, löst es Warnungen aus und veranlasst die internen Sicherheitsteams, Nachforschungen anzustellen und die Situation zu beheben.

Arten von IDS 

Jede Art von IDS ist auf bestimmte Aspekte der Netzwerksicherheit ausgerichtet. Die folgende Liste enthält verschiedene Arten von IDS, die sich nach dem Einsatzort richten: 

• Netzwerkbasierte IDS (NIDS): Strategisch an wichtigen Knotenpunkten innerhalb eines Netzwerks positioniert, überwacht ein NIDS den ein- und ausgehenden Datenverkehr aller mit dem Netzwerk verbundenen Geräte.

• Hostbasiertes IDS (HIDS): Installiert auf allen Endgeräten mit Internet- und internem Netzwerkzugang, kann ein HIDS ungewöhnliche interne Netzwerkpakete erkennen und bösartigen Datenverkehr identifizieren, der von einem NIDS möglicherweise übersehen wird.

• Signaturbasiertes IDS (SIDS): Diese Erkennung greift auf eine vorprogrammierte Liste bekannter Bedrohungen zu und nutzt diese Informationen, um verdächtiges Verhalten zu erkennen.

• Anomaliebasiertes IDS (AIDS): Dieser Typ verwendet in der Regel maschinelles Lernen, um eine Baseline zu erstellen, mit der abnormales Verhalten verglichen werden kann, z. B. die Anmeldung an einem neuen Gerät, der Anschluss eines unbekannten USB-Geräts oder die Verwendung eines anderen Netzwerks.

Was ist ein IPS?

Ein Intrusion Prevention System (IPS) geht bei der Cybersicherheitsverteidigung noch einen Schritt weiter. Genauso wie ein IDS überwacht es proaktiv den Netzwerkverkehr und das Host-Verhalten, um Anomalien oder potenzielle Bedrohungen zu erkennen. Das Besondere an einem IPS ist jedoch sein aktiver Abwehrmechanismus. Sobald eine potenzielle Bedrohung erkannt wird, löst ein IPS nicht nur eine Warnung aus, sondern ergreift auch sofort Maßnahmen, um die Bedrohung zu blockieren oder zu entschärfen.

Arten von IPS 

Je nach Einsatzort kann ein IPS in die folgenden Kategorien eingeteilt werden: 

• Netzwerkbasiertes IPS (NIPS): Überwacht den gesamten Netzwerkverkehr eines Unternehmens, um Anzeichen für verdächtige Aktivitäten zu erkennen.

• Hostbasiertes IPS (HIPS): HIPS ist auf einem Endpunkt wie einem Laptop positioniert und konzentriert sich ausschließlich auf den ein- und ausgehenden Datenverkehr, der von einem bestimmten Gerät erzeugt wird.

• Drahtloses IPS (WIPS): Ein WIPS erkennt und behebt unbefugte Zugriffsversuche auf WLAN-Netzwerke.

• Netzwerk-Verhaltensanalyse (NBA): Diese Art von IPS untersucht den Netzwerkverkehr, um atypische Verkehrsmuster zu erkennen, die mit DDoS-Angriffen (Distributed Denial of Service) verbunden sind.

Scannen von Bedrohungen: Funktionsweise von IDS vs IPS 

Ein IDS und IPS kann eine der folgenden Erkennungsmethoden verwenden, um Cyber-Bedrohungen abzuwehren: 

• Signaturbasierte Erkennung: Hierbei werden Netzwerkpakete überwacht und mit einer Datenbank bekannter Angriffssignaturen verglichen.

• Anomaliebasierte Erkennung: Umfasst das Scannen des Netzwerkverkehrs und den Vergleich mit einer vordefinierten "normalen" Basislinie, um Anomalien, einschließlich neuartiger Bedrohungen, zu erkennen

• Zustandsabhängige protokollbasierte Erkennung: Hilft Unternehmen bei der Identifizierung von Protokollabweichungen, indem beobachtete Ereignisse mit vordefinierten Aktivitätsprofilen verglichen werden, die das Standardverhalten beschreiben

IDS vs IPS: Gemeinsamkeiten und Unterschiede

IDS und IPS weisen bemerkenswerte Ähnlichkeiten und Unterschiede auf. 

Nachfolgend finden Sie eine Liste der Eigenschaften, die IPS und IDS gemeinsam haben und welche sie unterscheiden.

Gemeinsamkeiten

Beide Systeme spielen eine entscheidende Rolle in der Netzwerksicherheit. Sie bieten umfassende Überwachungsfunktionen und helfen dabei, potenzielle Bedrohungen frühzeitig zu erkennen. Konkrete Gemeinsamkeiten sind:

• Überwachen: Beide Lösungen überwachen Netzwerke, Internetverkehr und Aktivitäten über mehrere Geräte und Server hinweg.

• Benachrichtigungen: Beide Lösungen alarmieren Sie über potenzielle Bedrohungen oder verdächtige Aktivitäten.

• Kontinuierliches Lernen: Je nach verwendetem Erkennungssystem und maschinellem Lernen sind sowohl IPS als auch IDS in der Lage, Anomalien zu erkennen und Fehlalarme zu reduzieren.

• Routinemäßige Protokollierung: Beide Systeme protokollieren die überwachten Aktivitäten und durchgeführten Aktionen, damit Sie einen Angriff von Anfang bis Ende verfolgen können.

Unterschiede

Im Folgenden finden Sie eine Aufschlüsselung der Unterschiede zwischen IDS und IPS:

• Betrieb: Ein IDS hält bei der Erkennung an und lässt Ihnen die Möglichkeit, nach eigenem Ermessen zu handeln. Im Gegensatz dazu erkennt ein IPS Bedrohungen und ergreift Maßnahmen auf der Grundlage konfigurierter Einstellungen und Richtlinien, um sie einzudämmen. 

• Ausfallzeit: Da IDS nur Warnungen ausgibt, gibt es keine Ausfallzeiten, auch nicht bei einer falsch-positiven Bedrohung. Ein IPS kann jedoch automatische Gegenmaßnahmen einleiten, wenn falsch positive Ergebnisse auftreten. Dies kann zu Unterbrechungen der Netzwerkkonnektivität oder zu einem erschwerten Zugang zu bestimmten Ressourcen führen.

Können IDS und IPS zusammenarbeiten?

IPS und IDS können sich gegenseitig ergänzen und einen umfassenden Sicherheitsansatz für Ihr Unternehmen bieten. IPS überwacht aktiv den Live-Datenverkehr, um die Netzwerksicherheit zu gewährleisten, während IDS Einblicke in die Muster des Netzwerkverkehrs bietet. Darüber hinaus protokollieren beide Technologien Angriffs- und Reaktionsdaten, wodurch Sie Ihre Cyber-Abwehrstrategien verfeinern und verstärken können. 

Es gibt auch Sicherheitslösungen, die Firewalls mit IDS- und IPS-Funktionen kombinieren, allgemein bekannt als Next-Generation Firewall (NGFW) oder Unified Threat Management (UTM).

NGFWs beschränken den Netzwerkzugang und verhindern das Eindringen in das Netzwerk. Sie sind jedoch nicht besonders effektiv, wenn es darum geht, Angriffe zu verhindern, die von innerhalb eines Netzwerks ausgehen. IDS und IPS schlagen bei erkannten Eindringlingen Alarm und bleiben auch bei internen Netzwerkangriffen wachsam, was die Fähigkeiten von NGFWs erweitert. Neben IDS und IPS kann eine NGFW auch herkömmliche Firewall-Technologie in Verbindung mit Deep Packet Inspection enthalten.

IDS vs IPS: Vor- und Nachteile

Gehen wir nun auf die einzelnen Vor- und Nachteile der Implementierung eines IDS oder IPS ein. 

Mehr lernen mit Coursera

Erfahren Sie mehr über das Lösen von Problemen durch automatisierte Lösungen mit dem Google IT Automation With Python Professional-Zertifikat auf Coursera. Sie haben die Möglichkeit, sich gefragte Fähigkeiten wie Python, Git und IT-Automatisierung anzueignen und ein Professional Certificate zu erwerben, das Sie Ihrem Lebenslauf hinzufügen können.

Erforschen Sie die Feinheiten der Cyberverteidigung mit dem Kurs Grundlagen der Cybersecurity von Google auf Coursera. Dieser Kurs, der sich auch an Anfänger richtet, führt Sie in das Cybersecurity Framework (CSF) der NIST, die Ethik in der Cybersicherheit, die von Sicherheitsanalysten verwendeten Tools und vieles mehr ein.