Mönchengladbach & Stadland +49 2166 998809-0
★★★★★ 4,7 Google Schnellhilfe
Sicherheit

IDS

IT-Lexikon · IT-Sicherheit

Kurz erklärt

Ein Intrusion Detection System überwacht den Netzwerkverkehr und meldet verdächtige Aktivitäten. Es erkennt Angriffe, greift aber selbst nicht ein.

Wie funktioniert ein IDS?

Ein Intrusion Detection System (IDS) überwacht den Netzwerkverkehr oder einzelne Systeme und meldet verdächtige Aktivitäten. Es erkennt mögliche Angriffe, greift aber selbst nicht ein.

Zur Erkennung nutzt es zwei Ansätze: den Abgleich mit bekannten Angriffsmustern (signaturbasiert) und das Auffinden von Abweichungen vom Normalzustand (anomaliebasiert). Beide Ergebnisse landen als Alarm bei den Verantwortlichen.

IDS vs. IPS — was ist der Unterschied?

Der entscheidende Unterschied liegt im Handeln. Ein IDS meldet nur, ein IPS blockiert aktiv.

  • IDS: erkennt und alarmiert, lässt den Verkehr aber durch
  • IPS: erkennt und blockiert verdächtigen Verkehr in Echtzeit

Ein IDS arbeitet meist beobachtend neben dem Verkehr, ein IPS sitzt direkt im Datenstrom. Beide ergänzen sich je nach Schutzbedarf.

Warum reicht ein IDS allein nicht?

Ein IDS erzeugt Alarme, doch ohne Auswertung bleiben diese folgenlos. Eine Flut unbewerteter Meldungen nützt niemandem.

Deshalb gehört ein IDS in einen größeren Zusammenhang: Seine Meldungen fließen in ein SIEM und werden idealerweise von einem SOC bewertet, das auf echte Vorfälle reagiert.

FAQ

Häufige Fragen

Kurz und konkret beantwortet.

Was bedeutet signaturbasierte und anomaliebasierte Erkennung?+

Signaturbasiert heißt, das IDS erkennt Angriffe anhand bekannter Muster, ähnlich einem Virenscanner. Anomaliebasiert bedeutet, es lernt den Normalzustand und schlägt bei Abweichungen Alarm. Signaturen erkennen Bekanntes zuverlässig, die Anomalie-Erkennung findet auch Neues, erzeugt aber mehr Fehlalarme.

Ersetzt ein IDS eine Firewall?+

Nein. Eine Firewall entscheidet, welcher Verkehr überhaupt erlaubt ist, und blockiert den Rest. Ein IDS beobachtet den durchgelassenen Verkehr und meldet Auffälligkeiten. Beide arbeiten auf unterschiedlichen Ebenen und ergänzen sich: Die Firewall filtert, das IDS überwacht das, was durchkommt.

Was ist ein Fehlalarm beim IDS?+

Ein Fehlalarm (False Positive) ist eine Meldung über harmlosen Verkehr, der fälschlich als Angriff eingestuft wird. Zu viele Fehlalarme führen dazu, dass echte Warnungen übersehen werden. Deshalb müssen die Erkennungsregeln laufend angepasst und Alarme von Fachleuten bewertet werden.

Verwandte Begriffe

FirewallNext-Generation FirewallEDRXDRSIEM

Noch Fragen?

Sprechen wir über Ihre IT.

Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.

Kontakt aufnehmen