Angriffserkennungssysteme

Die Sicherheit von IT-Systemen und Netzwerken ist ein zentraler Aspekt für Unternehmen und Organisationen, um ihre Daten und Systeme vor Angriffen zu schützen. Eine Möglichkeit, dies zu erreichen, ist durch den Einsatz von Angriffserkennungssystemen.

Aber was sind Angriffserkennungssysteme und wie funktionieren sie? Welche Arten von Angriffserkennungssystemen gibt es?

simpleclub gibt dir einen Überblick über das Konzept und die Funktionsweise von Angriffserkennungssystemen.

Angriffserkennungssysteme einfach erklärt

Angriffserkennungssysteme (englisch: Intrusion Detection Systems, IDS) sind Sicherheitswerkzeuge, die darauf ausgelegt sind, unerlaubte Zugriffe auf ein Computersystem oder Netzwerk zu erkennen und zu melden. Ein IDS analysiert den Datenverkehr innerhalb des Netzwerks oder auf einem Computer und löst einen Alarm aus, wenn verdächtige Aktivitäten erkannt werden.

Im Gegensatz zu einer Firewall, die den Zugang von außen kontrolliert, überwacht ein IDS den Datenverkehr innerhalb des Netzwerks und bietet einen besseren Schutz, da es Angriffe auch nach einem Durchbruch durch die Firewall erkennen kann. Wenn ein Angriff erkannt wird, werden die Informationen über den Angriff in Log-Dateien protokolliert, die von Administratoren oder Sicherheitsexperten zur Identifizierung von Schwachstellen im System verwendet werden können.

Es ist jedoch wichtig zu beachten, dass ein IDS nicht in der Lage ist, Angriffe zu stoppen oder zu blockieren, sondern lediglich als Warnsystem dient, um auf mögliche Bedrohungen hinzuweisen.

Angriffserkennungssystem Definition

Angriffserkennungssysteme (IDS) sind Systeme, die dazu dienen, unerlaubte Zugriffe auf ein Computersystem oder Netzwerk zu erkennen, indem sie den Datenverkehr auf auffällige Aktivitäten hin analysieren.


Angriffserkennungssysteme Erklärung

Arten von Angriffserkennungssysteme

Host-basiert (HIDS)

Ein Host-basiertes IDS (HIDS) ist ein Angriffserkennungssystem, das auf einem einzelnen Host (z. B. einem Computer oder Server) installiert wird, um mögliche Angriffe auf diesem Host zu erkennen. Hierbei unterstützt ein HIDS das Betriebssystem, auf dem es installiert ist, indem es unter anderem Informationen aus Kernel-Daten und Log-Dateien nutzt, um verdächtige Aktivitäten und Verhaltensmuster aufzudecken.

Netzwerk-basiert (NIDS)

Ein Netzwerk-basiertes IDS (NIDS) ist ein Angriffserkennungssystem, das auf der Ebene des Netzwerkverkehrs arbeitet. Es überwacht den Datenverkehr im Netzwerk auf verdächtige Aktivitäten und Anomalien, die auf einen möglichen Angriff oder eine Bedrohung hinweisen könnten. Ein NIDS analysiert Pakete, die über das Netzwerk übertragen werden, um Anomalien zu erkennen, und löst bei Bedarf einen Alarm aus.

Hybride IDS

Ein hybrides IDS ist eine Kombination aus Host-basierten und Netzwerk-basierten IDS-Systemen, die gemeinsam ein umfassenderes Sicherheitsnetzwerk bilden. Diese Art von IDS kann die Vorteile beider Systeme nutzen, um eine größere Anzahl von Bedrohungen zu erkennen. Ein hybrides IDS kann sowohl den Datenverkehr im Netzwerk als auch die Aktivitäten auf einzelnen Hosts überwachen und analysieren, um Angriffe und Bedrohungen schnell zu identifizieren und darauf zu reagieren.

Der Hauptunterschied zwischen Host-basiertem Intrusion Detection System (HIDS) und Netzwerk-basiertem Intrusion Detection System (NIDS) liegt in ihrem jeweiligen Fokus. Während HIDS sich auf die Überwachung von Aktivitäten auf einem einzelnen Host-System konzentrieren, überwacht NIDS den Netzwerkverkehr auf verdächtige Aktivitäten.

Funktionsweise von Angriffserkennungssystemen

Bei der Funktionsweise von Angriffserkennungssystemen wird hauptsächlich zwischen signaturbasierten und anomaliebasierten IDS unterschieden.

\triangleright\triangleright Signaturbasierte IDS

Ein signaturbasiertes IDS ist eine Technologie zur Erkennung von Angriffen, die nach bekannten Angriffsmustern sucht, auch bekannt als Signaturen. Diese Signaturen können durch verschiedene Methoden gefunden werden, wie z.B. durch Analyse von Netzwerkdatenverkehr, Dateien oder Systemaktivitäten.

Ein bekannter Angriff ist zum Beispiel eine SQL-Injection. Hierbei schleust ein Angreifer bösartigen SQL-Code in eine Anwendung ein, um Zugriff auf die Datenbank dahinter zu erlangen.

Obwohl das signaturbasierte IDS sehr effektiv bei der Erkennung bekannter Angriffsmuster ist und schnell Alarm schlägt, hat es Schwierigkeiten bei der Erkennung neuer Bedrohungen, die noch nicht in der Signatur-Datenbank erfasst wurden. Neue Bedrohungen können sich sehr gut tarnen und Signaturen können schnell geändert werden, um das IDS zu umgehen.

Ein IDS, das auf Signaturen basiert, sucht gezielt nach bekannten Angriffsmustern, auch als Signaturen bezeichnet, um Angriffe zu erkennen. Signaturen können auf verschiedene Arten gefunden werden, beispielsweise durch die Analyse von Netzwerkverkehr, Dateien oder Systemaktivitäten.

\triangleright\triangleright Anomaliebasierte IDS

Anomaliebasierte IDS basieren auf der Idee, dass normales Verhalten in einem System bekannt ist und Abweichungen davon Anomalien darstellen können, die auf potenzielle Angriffe hinweisen.

Diese Art von IDS sammelt Daten über das Verhalten des Systems und seiner Benutzer, einschließlich der Netzwerkkommunikation, der Anwendungsaktivität und der Systemprotokolle. Diese Daten werden dann analysiert und mit einem vordefinierten Verhaltensprofil verglichen, das als Referenz dient, um Anomalien zu identifizieren.

Das Erkennen von Anomalien kann auf verschiedene Weise erfolgen, einschließlich statistischer Analysen, Machine-Learning-Techniken oder Expertensystemen. Einige anomaliebasierte IDS verwenden auch eine Kombination dieser Techniken, um eine höhere Genauigkeit zu erreichen.

Anomaliebasierte IDS unterscheiden sich von signaturbasierten IDS darin, dass sie nicht nach bestimmten Angriffsmustern suchen, sondern nach Abweichungen vom normalen Verhalten des Systems. Im Gegensatz dazu suchen signaturbasierte IDS nach spezifischen Angriffsmustern, die in einer Signaturdatenbank gespeichert sind.

IDS vs. IPS

Bisher haben wir nur über Intrusion Detection Systems (IDS) gesprochen, die ein System überwachen und auf ungewöhnliche Aktivitäten oder Anomalien hinweisen.

Ein Intrusion Prevention System (IPS) hingegen geht einen Schritt weiter und blockiert tatsächlich den potenziell schädlichen Netzwerkverkehr oder die Aktivitäten, bevor sie das System oder das Netzwerk beeinträchtigen können. Das IPS kann zum Beispiel bestimmte Anwendungen oder den Traffic von verdächtigen IP-Adressen blockieren.

Während ein IDS nur Warnmeldungen generiert und es den Administratoren überlässt, angemessene Maßnahmen zu ergreifen, automatisiert ein IPS den Prozess und blockiert verdächtige Aktivitäten direkt, um den Schaden zu minimieren.

Du fragst dich jetzt sicher: Warum sollte man sich überhaupt noch für IDS entscheiden, wenn es doch IPS gibt?

\rarr\rarr Hierfür ist es wichtig zu beachten, dass beide Systeme anfällig für Fehler sind. Somit kann es vorkommen, dass ein IPS fälschlicherweise harmlose Aktivitäten blockiert. In solchen Fällen muss abgewogen werden, welche Konsequenzen dies hat. Wenn es sehr gravierend ist, kann es sinnvoller sein, ein IDS zu verwenden und die potenziell verdächtige Aktivität manuell zu überprüfen, um sicherzustellen, dass es sich tatsächlich um eine reale Bedrohung handelt.

IDS
IPS

Angriffserkennungssysteme Beispiel

Honeypot

Im Kontext von IDS ist ein Honeypot eine Art von Falle, die eingerichtet wird, um Angreifer anzulocken und ihre Aktivitäten zu überwachen oder zu studieren. Ein Honeypot ist ein künstlich erstelltes System oder Netzwerk, das so aussieht, als wäre es ein legitimes Ziel für Angriffe.

Ein IDS-Honeypot kann dazu beitragen, neue Angriffsmuster oder -methoden zu entdecken, die sonst möglicherweise unentdeckt bleiben würden. Es kann auch helfen, die Effektivität bestehender Sicherheitsmaßnahmen zu überwachen und Schwachstellen im System zu identifizieren.

Ein Honeypot ist eine spezielle Art von IT-System, das dazu verwendet wird, potenzielle Angreifer anzulocken und ihre Aktivitäten zu überwachen. Im Kontext von Intrusion Detection Systems (IDS) wird ein Honeypot oft als eine Art von Lockvogel-System eingesetzt, um Angreifer zu identifizieren und ihre Taktiken, Techniken und Verfahren zu studieren.

Es ist jedoch wichtig zu beachten, dass Honeypots ein gewisses Risiko darstellen können, da sie das Ziel eines realen Angriffs werden können, der möglicherweise außer Kontrolle gerät und andere Systeme im Netzwerk beeinträchtigt. Daher sollten Honeypots sorgfältig eingerichtet und überwacht werden, um sicherzustellen, dass sie sicher und effektiv sind.

Angriffserkennungssysteme Zusammenfassung

Fassen wir nochmal das Wichtigste zusammen:

  • Angriffserkennungssysteme (IDS) sind Systeme, die dazu dienen, unerlaubte Zugriffe auf ein Computersystem oder Netzwerk zu erkennen, indem sie den Datenverkehr auf auffällige Aktivitäten hin analysieren.

  • Es gibt drei Arten von Angriffserkennungssystemen: Host-basierte IDS (HIDS), Netzwerk-basierte IDS (NIDS) und hybride IDS.

  • Bei der Funktionsweise von Angriffserkennungssystemen wird zwischen signaturbasierten IDS und anomaliebasierten IDS unterschieden.

  • Im Gegensatz zum IDS blockiert ein IPS verdächtige Aktivitäten direkt und automatisch.

  • Ein Honeypot ist eine Falle, die absichtlich aufgestellt wird, um Angreifer zu locken und ihre Aktivitäten zu überwachen oder zu analysieren.

No items found.

simpleclub ist am besten in der App.

Mit unserer App hast du immer und überall Zugriff auf: Lernvideos, Erklärungen mit interaktiven Animationen, Übungsaufgaben, Karteikarten, individuelle Lernpläne uvm.

Jetzt simpleclub Azubi holen!

Mit simpleclub Azubi bekommst du Vollzugang zur App: Wir bereiten dich in deiner Ausbildung optimal auf deine Prüfungen in der Berufsschule vor. Von Ausbilder*innen empfohlen.

Jetzt simpleclub Azubi holen