Detaillierte Erklärung:
Intrusion Detection Systeme überwachen den Datenverkehr und Systemaktivitäten in Echtzeit. Sie vergleichen das Verhalten mit bekannten Angriffsmustern oder analysieren ungewöhnliche Aktivitäten. Wird etwas Verdächtiges entdeckt, informiert das IDS Administrator:innen, damit diese reagieren können.
Wichtig: Ein IDS stoppt den Angriff selbst nicht, sondern liefert die nötigen Informationen für eine schnelle Reaktion.
Arten von IDS:
- NIDS (Network-based IDS): Überwacht kompletten Netzwerkverkehr, erkennt z. B. Denial-of-Service-Angriffe.
- HIDS (Host-based IDS): Läuft direkt auf einem Endsystem (Server, PC) und überwacht dort Logdateien, Prozesse oder Systemaufrufe.
Vorteile eines IDS:
- Frühzeitige Erkennung von Angriffen.
- Protokollierung verdächtiger Aktivitäten für spätere Analysen.
- Erhöhung der Transparenz über Sicherheitsvorfälle.
Einschränkungen:
- IDS meldet, greift aber nicht aktiv ein. Für automatische Gegenmaßnahmen braucht man ein IPS (Intrusion Prevention System).
- Viele Alarme = Gefahr von Fehlalarmen, die Mitarbeiter:innen belasten können.
Praxisbeispiel:
Ein IDS registriert, dass ein Angreifer innerhalb kurzer Zeit hunderte von Login-Versuchen mit unterschiedlichen Passwörtern unternimmt. Das System schlägt Alarm, sodass der Administrator sofort Gegenmaßnahmen einleiten kann.