Virenscanner, Firewall, Verschlüsselung und Benutzerrechte, IT-Sicherheit hat viele bekannte Facetten. Doch Unternehmen können noch wesentlich mehr tun, etwa Intrusion Detection Systeme an den Start bringen. Die erkennen IT-Angriffe automatisch und eröffnen Administratoren dadurch Handlungsspielräume.

“100-prozentigen Schutz gibt es nicht”

Zwar kriegen Laien ein mulmiges Gefühl in der Magengegend, wenn sich IT-Sicherheitsexperten so äußern, jedoch ist das eine sehr präzise Beschreibung der Sicherheitslage. IT-Systeme, vor allem in Unternehmen, sind heute so komplex, dass sich Sicherheitsvorfälle nie komplett ausschließen lassen und das zu tun, wäre unseriös. Entscheidend ist aber, dass Unternehmen schnell mitkriegen, wenn es Angriffe auf die eigenen Computer, Server oder Netzwerke gibt und schnell Gegenmaßnahmen einläuten. Ein Intrusion Detection System (IDS) hilft dabei.

Was ist ein Intrusion Detection System (IDS)?

Intrusion Detection Systeme werden im Deutschen als Angriffserkennungssysteme bezeichnet. Diese Übersetzung trifft den Nagel auf dem Kopf, bei einem IDS handelt es sich um ein aktives Überwachungssystem, das Angriffe gegen Client-Computer, Server oder Netzwerke in einem ersten Schritt automatisch erkennt und die Erkenntnisse in einem zweiten Schritt geeignet dokumentiert, zum Beispiel als Einträge in Logdateien oder Datenbanken. Da der Begriff “System” etwas schwammig ist, hilft es, einen Blick auf konkrete Lösungen zu werfen. Ein IDS kann rein software-basiert arbeiten, also Cloud-Dienst genutzt werden oder auch als eigene Hardware-Komponente in ein Firmennetzwerk integriert werden.

Ziele von IDS

Ein IDS ist weder Allheilmittel für Sicherheitsvorfälle noch die einzige Schutzkomponente, die Unternehmen einsetzen sollten. Vielmehr zeigt Intrusion Detection, dass verschiedene Module Hand in Hand für Sicherheit sorgen müssen. Dementsprechend oft setzen Unternehmen ein IDS als Ergänzung zu einer bestehenden Firewall ein, die als Abwehrbollwerk arbeitet. Ein IDS verfolgt verschiedene Ziele:

• Erkennung von Vorfällen: Das Hauptziel ist sicher die automatische Erkennung von Sicherheitsvorfällen. Dazu zapft das IDS je nach Machart verschiedene Informationsquellen an, etwa Systemdaten von Betriebssystemen oder analysiert den Netzwerkverkehr. Aus den dort aufgezeichneten Ereignissen muss das IDS Sicherheitsverletzungen herausfiltern. Vorfälle, die sich per IDS erkennen lassen, sind zum Beispiel Denial-of-Service-Attacken.
• Dokumentation: Nach der Erkennung von Sicherheitsvorfällen ist es wichtig, dass für das Eingreifen die nötigen Informationen bereitstehen. Das IDS muss also seine Erkenntnisse geeignet dokumentieren, was zum Beispiel ganz einfach über Logdateien funktionieren kann oder etwas aufwändiger über mitgelieferte Datenbankschnittstellen. Dabei gilt die Devise, je mehr Informationen, desto besser. In der Praxis ist dann aber die Herausforderung, dass Administratoren diese Daten auch schnell auswerten können.

Effizienz bei der Überwachung

Man kennt das bei Einlasskontrollen zu Konzerten oder Sportveranstaltungen: Taschenkontrollen verzögern den Zutritt und die Eingänge werden zum Nadelöhr. Das ist eine Situation, die man sich für ein IDS im Netzwerk oder auf einem Computer nicht wünscht. Intrusion Detection muss effizient ablaufen und darf den Betrieb nicht aufhalten.

Wie funktioniert ein IDS? Welche Methoden zur Angriffserkennung werden genutzt?

Ein Intrution Detection System bedient sich mehrerer Methoden zur Angriffserkennung.

• Mustererkennung: Nicht jeder Angriff ist individuell, darauf setzt die Mustererkennung auf Basis von Signaturen. Das Konzept kennt man auch von Virenscannern. Wird eine Datei als Virus klassifiziert, entwickeln Sicherheitsanbieter eine Signatur. Über dieses Muster lässt sich Malware schnell wie über einen Fingerabdruck erkennen. Auch im IDS sind Signaturen eine wichtige Methode zur Angriffserkennung. Eine Signatur kann einfach aufgebaut sein und Angriffe über Zeichenketten identifizieren. Experten sprechen dann von “Pattern Matching”. Es können aber auch kompliziertere Verhaltensmuster erkannt werden, zum Beispiel mehrere fehlerhafte Anmeldeversuche in kurzer Zeit. Die Reaktion ist bei der Mustererkennung einfach: Das IDS schlägt Alarm, wenn es eines der definierten Muster erkannt hat. Die Muster lassen sich in der Regel durch Administratoren recht einfach anpassen oder neu erstellen. Der große Vorteil der Mustererkennung ist die Einfachheit des Konzepts. Der Aufwand für die Signaturpflege kann aber hoch werden, schließlich muss für jeden Angriff ein entsprechendes Muster vorliegen.
• Anomalieerkennung: Alles was nicht normal ist, wird gemeldet. Nach dieser Maxime arbeitet die Anomalieerkennung in einem IDS. Voraussetzung dafür ist, dass es eine Definition von “normal” gibt. Bei der Protokollanalyse wird der Netzwerkverkehr untersucht. Basis dafür sind die Protokollspezifikationen. Im Vergleich zur Signaturprüfung arbeitet die Protokollanalyse sehr schnell, ihr Problem sind aber Unschärfen oder Fehler in den Spezifikationen. Führt man die Anomalieerkennung auf Basis von statistischen Daten durch, gibt es nicht immer Schwarz und Weiß. Vielmehr legt man für Nutzer, Dateien oder Anwendungen statistische Kennwerte an. Weicht ein System zu stark von diesen Kennwerten ab, wird Alarm geschlagen. Diese Methode gilt als arbeitsintensiv und fehleranfällig und ist eher ein ergänzendes Mittel. Auch KI wird als Helfer zur Anomalieerkennung immer besser und dient auch als Hilfswerkzeug für die manuelle Analyse.
• Korrelation von Ereignisdaten: Angriffe lassen sich oft nicht durch eine Aktion entlarven, sondern kombinieren mehrere Ereignisse. Für ein IDS ist es deshalb nützlich, Daten von verschiedenen Sensoren auszuwerten, etwa von Netzwerk- oder Hostsensoren. Berücksichtigt die Auswertungslogik die Ereignisse verschiedener Sensoren, spricht man von einer Korrelation. Neben der sensorübergreifenden Auswertung lassen sich auch Ereignisse langfristig auswerten und so unter Umständen auch von langer Hand geplante Angriffe aufspüren. Manche IDS bieten eine automatische Korrelation, andere dagegen stellen diese über Filter für die manuelle Analyse bereit.

Honeypots als Hilfsmittel

Die spannende Frage lautet, woher man die für ein IDS passenden Muster oder Anomalien kriegt, schließlich passen Angreifer ihr Verhalten sehr dynamisch an. Honeypots sind hier ein prima Hilfsmittel. Einen Honeypot kann man sich wie einen Honigtopf vorstellen, der in diesem Fall aber keine Fliegen, sondern Hacker anlocken soll. Honeypots sind keine produktiven System, vielmehr werden sie als Opfersysteme installiert und dienen dem Zweck, Angriffe unter kontrollierten Bedingungen aufzuzeichnen und auszuwerten. Honeypots können einzelne Server sein oder komplette Netzwerke, ihr Ziel ist aber immer gleich, sie täuschen nur vor, ein produktives System zu sein, oft sogar ein besonders sicherheitskritisches, um Angreifer anzuziehen. Da es kaum normale Zugriff auf den Honeypot gibt, lassen sich dort Anomalien besonders gut verfolgen. Die Erkenntnisse einer Honeypot-Analyse können wiederum für die Absicherung der produktiven Systeme genutzt werden.

Intrusion Detection System vs. Intrusion Prevention System (IPS)

Oft werden IDS und IPS verwechselt, kein Wunder, die Abkürzungen klingen auch zu ähnlich und es besteht tatsächlich eine enge Verwandtschaft. Bei einem IPS handelt es sich um ein Intrustion Prevention System, es geht also um Angriffsverhinderung. Das ist auch der große Unterschied zum IDS, das sich rein um Erkennung und Dokumentation von Sicherheitsvorfällen kümmert. Das IPS hingegen ist nicht nur Beobachter, sondern greift aktiv ein, versucht also darüberhinaus entdeckte Angriffe abzuwehren. Damit es im Notfall aktiv eingreifen kann, arbeitet ein IPS inline, es ist in den Übertragungsweg geschaltet. Dabei kann die Schutzfunktion Firewall-Regeln aktiv verändern. Auch bei IPS unterscheidet man host- und netzwerkbasierte Ansätze.

Unterschiedliche Arten von IDS

Intrusion Detection Systeme sind in verschiedenen Spielarten auf dem Markt zu finden:

• Netzwerk: Network Intrusion Detection System bzw. einfach Netzwerk-basierte IDS (NIDS) setzen im IT-Netzwerk ihren Hebel an und versuchen dort sämtliche Aktivitäten zu erfassen. In diesem Zusammenhang werden auch immer wieder Netzsensoren genannt, das sind die Überwachungskomponenten des IDS im Netzwerk. Sie lassen sich auf ein oder mehrere Rechner ansetzen, in der Praxis werden meist Teilnetzwerke überwacht. Das bedeutet, das IDS liest sämtliche Datenpakete mit und durchleuchtet den Netzwerkverkehr auf verdächtige Muster. Da das IDS selbst nicht eingreift, muss es nicht inline im Nutzdatenverkehr geschaltet sein. Es reicht, wenn man über einen Switch die Datenpakete spiegelt. Eine weitere Option ist, das IDS auf speziellen Schnittstellen, den sogenannten Taps, lauschen zu lassen. Immerhin ist das IDS so vom restlichen Netzwerk isoliert, was Vorteile hat, wenn es zum Beispiel selbst Schwachstellen aufweist.
• Host: Host-basierte Intrusion Detection Systems (HIDS) sind die ursprünglichste Art der Angriffserkennung und stammen noch aus Zeiten der Großrechner. Es wird direkt auf den zu überwachenden Systemen installiert und kann sich dort an den vom Betriebssystem gesammelten Informationen bedienen, etwa Kernel-Logs oder Registrierung. Experten sprechen dann von host-basierten Sensoren für die Überwachung. Ein HIDS schlägt an, wenn in den überwachten Daten Annomalien gefunden werden. Die einfachste Machart besteht daran, Systemdateien einfach anhand von Checksummen zu überpürfen. Diese System Verifier können aber nur feststellen, dass es Veränderungen gab, nicht aber die Art der Veränderung. Der Vorteil des host-basierten Ansatzes ist, dass man Systeme sehr umfangreich und spezifisch überwachen kann. Haben Angreifer jedoch den Host außer Gefecht gesetzt, ist auch das IDS ausgehebelt.
• Hybrid: Hybride IDS kombinieren den host- und netzwerkbasierten Ansatz. Es gibt also eine Überwachung des Netzwerks sowie Hostsensoren, die beide entsprechenden Input über Angriffe liefern. Eine Management-Komponente bündelt die gesammelten Daten. Ziel der Übung ist es, eine höhere Abdeckung bei der Erkennung von Angriffen zu erreichen.

Vorteile eines IDS

Die Entscheidung sollte nicht lauten Firewall oder IDS. Vielmehr ergänzen sich Firewall und Intrusion Detection sehr gut. Trotzdem kann man beide Schutzkonzepte vergleichen und einige Vorteile eines IDS herausarbeiten. Die Security bei der Einlasskontrolle stellen die Firewalls da. Wer kein Ticket hat oder Waffen reinschmuggeln will, wird blockiert. Bei der Firewall für ein IP-Netzwerk werden entsprechend unerwünschte Datenpakete verworfen und Ports blockiert. Sobald ein Besucher die Einlasskontrolle passiert hat, ist die Firewall aber machtlos. Hier kommt dann das IDS ins Spiel, man könnte sie mit Wachmännern vergleichen, die im Gebäude patroullieren. Ein host-basiertes IDS kann ein System sehr genau überwachen und auch feststellen, ob Angriffe erfolgreich waren oder nicht. Netzwerk-basierte IDS können mit wenig Aufwand den Datenverkehr in großen Netzen überwachen und laufen unabhängig von Zielsystemen. So oder so kommt man mit einem IDS Angriffen auf die Spur und kann die Dokumentation zur Beweissicherung nutzen.

Nachteile eines IDS

Ein Nachteil des IDS ist es, dass im Optimalfall Angriffe nur erkannt, aber nicht verhindert werden. Wer das will, muss zu einem IPS greifen. Als aktive Komponente kann ein IDS auch grundsätzlich selbst zum Angriffsziel werden. Rein signaturbasierte IDS erkennen nur schon bekannte Angriffsmuster, neuartige Angriffe übersehen sie. Host-basierte IDS gehen mit dem Host unter, lassen sich zum Beispiel durch Denial-of-Service-Angriffe ausschalten. Bei NIDS kann es zu Lücken in der Überwachung durch Überlastung kommen, außerdem lässt sich verschlüsselter Netzwerkverkehr nicht durchleuchten.

Auswahl & Einführung eines IDS

Braucht jedes Unternehmen ein IDS? In der Regel ja, denn, wenn man sich die IT-Bedrohungslage ansieht, dann stehen dort Datendiebstähle und Ransomware ganz oben, zwei Dinge gegen die man sich per IDS oder IPS wappnen kann. Auch für Compliance-Anforderungen oder Zertifizierungen werden oft entsprechende Werkzeuge vorausgesetzt, beispielsweise fordert ISO 27001 geeignete Netzwerksteuerungsmaßnahmen. Grundsätzlich sollte man sich vorher im Klaren darüber sein, ob man zu einem IDS oder nicht doch zu einem IPS greifen will. Der Firewall-Anbieter ist eine prima Anlaufstelle. Sicher gibt es Erfahrungswerte, sodass IDS und Firewall perfekt zusammenarbeiten. Sinnvoll erscheint es für viele Firmen, den hybriden Ansatz zu wählen und host-basiertes IDS mit netzwerk-basiertem IDS zu kombinieren. Doch auch hier kann es natürlich andere Anforderungen geben, die für HIDS oder NIDS sprechen. IDS kriegt man heute in verschiedensten Ausführungen, etwa als dedizierte Hardware oder virtuelle Appliance, integriert in andere Sicherheitslösungen oder auch als Cloud-Service. Unabdingbar ist es, einen Anforderungskatalog für die Lösung zu definieren und auch eine Budgetplanung zu machen. Systeme, die in der engeren Auswahl sind, sollten ausgiebig getestet werden, etwa was die Performance im Netzwerk angeht. Wichtige Aspekte für die Auswahl können sein:

• 24/7-Überwachung in Echtzeit
• schnelle Update-Verteilung auf alle Geräte
• übersichtliches Dashboard mit filterbaren Informationen
• einfache Blockiermöglichkeiten für Bedrohungen
• spezielle Forensik-Module

Nachfolgende Maßnahmen – was kommt nach dem IDS-Alarm?

Angenommen das IDS schlägt Alarm und hat tatsächlich einen Angriff entdeckt, wie geht es dann weiter? Eine Möglichkeit ist, ein IDS mit einem IPS zu kombinieren und so neben der automatischen Erkennung auch eine automatische Verhinderung loszutreten. Weit häufiger ist aber eine manuelle Reaktion durch Administratoren, sprich das IT-Personal wird durch einen Alarm auf den Angriff aufmerksam gemacht, analysiert die Lage und reagiert dann entsprechend. Es könnten dann zum Beispiel betroffene Systeme offline genommen oder Ports in der Firewall gesperrt werden. Wichtig ist, dass ein IDS im Notfall schnell Alarm schlagen kann und die relevanten Informationen parat hat. Das kann per Mail an die Administratoren passieren oder via Handy- oder Bildschirmalarm. Dashboards mit aufbereiteten Informationen helfen dabei, die Reaktionszeit zu verkürzen und Gegenmaßnahmen einzuleiten. Stehen diese mit wenig Aufwand bereit, umso besser.

Kennen Sie schon IBM Cloud Pak for Security?

Das Cloud Pak for Security der IBM erweitert Ihr Security-Portfolio, da das erkannte Problem auch eliminiert wird. Alle Security-Tools laufen so über eine zentrale Plattform. Somit müssen Sie Ihre Unternehmensdaten nicht verschieben, sie bleiben wo sie sind. Über lokale Systeme, aber auch über private und öffentliche Clouds werden Ihre Applikationen und Daten geschützt.

Explore IBM Cloud Pak for Security

Sie wollen ein Intrusion Detection System als Wettbewerbsvorteil für Ihr Unternehmen nutzen oder haben noch Fragen zu unseren Produkten? Dann wenden Sie sich für eine umfassende Beratung an einen unserer Experten. Wir freuen uns auf Sie.

JETZT EXPERTEN FRAGEN