IDS vs. IPS : Was ist der Unterschied ?

Intrusion Detection Systems (IDS) analysieren den Netzwerkverkehr im Hinblick auf Signaturen, die mit bekannten Cyber-Angriffen übereinstimmen. Intrusion Prevention Systems (IPS) führen auch eine Paketanalyse durch, können aber je nach erkanntem...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 27. Juni 2023

Intrusion Detection Systems (IDS) analysieren den Netzwerkverkehr im Hinblick auf Signaturen, die mit bekannten Cyber-Angriffen übereinstimmen. Intrusion Prevention Systems (IPS) führen auch eine Paketanalyse durch, können aber je nach erkanntem Angriffstyp auch die Auslieferung des Pakets verhindern – und so den Angriff stoppen.

Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

Die Funktionsweise von Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS)

Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) sind beides Bestandteile der Netzwerkinfrastruktur. IDS/IPS vergleichen Netzwerkpakete mit einer Cyber-Angriffsdatenbank, die Signaturen bekannter Cyber-Angriffe enthält – und übereinstimmende Pakete kennzeichnet.

Der wichtigsten Unterschied zwischen ihnen ist, dass das IDS ein Überwachungs- und das IPS ein Kontrollsystem ist.

Ein IDS nimmt keinerlei Änderungen an Netzwerkpaketen vor, während das IPS die Auslieferung von Paketen je nach Inhalt des Pakets verhindert, so wie ein Firewall den Traffic in Abhängigkeit der IP-Adresse unterbindet.

  • Intrusion Detection Systems (IDS) analysieren und überwachen den Netzwerkverkehr auf Anzeichen dafür, dass Angreifer eine bekannte Cyber-Bedrohung zur Infiltration oder zum Diebstahl von Daten aus Ihrem Netzwerk nutzen. IDS-Systeme vergleichen die laufende Netzwerkaktivität mit einer Datenbank bekannter Bedrohungen, um mehrere Verhaltensweisen wie Verstöße gegen Sicherheitsrichtlinien, Malware und Port-Scanner zu erkennen.
  • Intrusion Prevention Systems (IPS): Sind im selben Bereich des Netzwerks wie eine Firewall beheimatet, zwischen der Außenwelt und dem internen Netzwerk. Ein IPS kann Netzwerkverkehr auf der Grundlage eines Sicherheitsprofils aktiv ablehnen, wenn das Paket eine bekannte Gefahr darstellt.

Viele IDS/IPS-Anbieter haben neuere IPS-Systeme in Firewalls integriert, um eine Unified Threat Management- (UTM) Technologie zu schaffen, bei der die Funktionen dieser beiden ähnlichen Systeme in einer einzigen Einheit kombiniert sind. Einige Systeme bieten die Funktionen von sowohl IDS als auch IPS in einer Einheit.

Unterschiede zwischen IDS und IPS

venn diagram on ids vs ips

Sowohl IDS als auch IPS lesen Netzwerkpakete und vergleichen deren Inhalt mit einer Datenbank bekannter Gefahren. Der Hauptunterschied besteht darin, was danach passiert. IDS sind Erkennungs- und Überwachungstools, die keine eigenständigen Handlungen vornehmen. IPS sind Kontrollsysteme, die Pakete anhand ihres Regelsatzes annehmen oder zurückweisen.

Bei einem IDS muss ein Mensch oder ein anderes System die Ergebnisse beurteilen und bestimmen, welche Aktionen eingeleitet werden sollen. Das könnte je nach dem täglich anfallenden Netzwerkverkehrsvolumen ein Vollzeitjob sein. IDS eignen sich besser als forensisches Werkzeug für den CSIRT bei der Untersuchung von Sicherheitsverletzungen.

Der Zweck des IPS ist hingegen, gefährliche Pakete abzufangen und auszufiltern, bevor sie an ihr Ziel gelangen. Es ist passiver als ein IDS. Nur die Datenbank muss regelmäßig mit neuen Bedrohungsdaten aktualisiert werden.

* Nota bene: Die Effektivität von IDS/IPS hängt von der Qualität ihrer Cyberangriffsdatenbank ab. Sie müssen sie auf dem aktuellen Stand halten und bereit sein, manuelle Anpassungen vorzunehmen, wenn ein neuer Angriff im Umlauf ist und/oder die Angriffssignatur nicht Bestandteil der Datenbank ist.

Warum IDS und IPS für Cybersicherheit unverzichtbar sind

what ids and ips cover

Sicherheitsteams sind mit einer immer weiter wachsenden Gefahr von Datenschutzverletzungen und Compliance-Bußgeldern konfrontiert, wobei sie gleichzeitig mit Budgetbeschränkungen und Unternehmensrichtlinien zu kämpfen haben. IDS/IPS-Technologie deckt bestimmte und wichtige Aufgaben in einer Cybersicherheitsstrategie ab:

  • Automatisierung: IDS/IPS-Systeme bedürfen kaum manuelle Interventionen, weshalb sie die perfekten Kandidaten für den Einsatz im aktuellen Sicherheitsstack sind. Ein IPS verschafft Ihnen das gute Gefühl, dass das Netzwerk mit begrenzten Ressourcenanforderungen gegen bekannte Gefahren geschützt ist.
  • Compliance: Im Rahmen der Compliance müssen Sie häufig nachweisen, dass Sie in Technologien und Systeme für den Datenschutz investiert haben. Die Implementierung einer IDS/IPS-Lösung hakt ein Kästchen auf dem Compliance-Formular ab und geht auf eine Reihe der CIS-Sicherheitskontrollen ein. Noch wichtiger ist, dass die Audit-Daten einen wichtigen Teil der Compliance-Untersuchungen bilden.
  • Richtliniendurchsetzung: IDS/IPS können so konfiguriert werden, dass bei der Durchsetzung interner Sicherheitsrichtlinien auf Netzwerkebene helfen. Wenn Sie zum Beispiel nur ein VPN unterstützen, können Sie das IPS allen sonstigen VPN-Verkehr blockieren.

Varonis DatAlert als Ergänzung von IDS/IPS: Netzwerksicherheit ist ein kritischer Bestandteil des Schutzes gegen Datenschutzverletzungen – und IDS/IPS-Lösungen erfüllen diese Rolle perfekt. Varonis hingegen überwacht die Datenaktivität in Echtzeit, was eine entscheidende Ebene einer jeden Cybersicherheitsstrategie ist.

Bei Ausbruch eines neuen Ransomware-Angriffs verfügt das IDS/IPS möglicherweise nicht über die Signaturen, um den Angriff auf Netzwerkebene zu verhindern. Varonis andererseits beinhaltet nicht nur signaturbasierte Ransomware-Erkennung, sondern erkennt die Eigenschaften und das Verhalten eines Ransomware-Angriffs – wie zum Beispiel die Änderung zahlreicher Dateien innerhalb eines kurzen Zeitraums – und löst automatisch eine Benachrichtigung aus, um den Angriff zu stoppen, bevor er sich verbreiten kann.

Möchten Sie erfahren, wie das funktioniert? Lassen Sie sich bei einer 1:1-Demo zeigen, wie Varonis Ihr IDS/IPS ergänzt, um Ihre Cybersicherheitsstrategie zu stärken.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

(ddos)-–-was-ist-ein-distributed-denial-of-service-angriff?
(DDoS) – Was ist ein Distributed Denial of Service Angriff?
Als Distributed Denial of Service (DDoS)-Angriff wird der Versuch bezeichnet, einen Webserver oder ein Online-System durch Überlastung mit Daten zum Absturz zu bringen. DDoS-Angriffe können böswillige Streiche, Racheakte oder politische...
arp-poisoning:-was-arp-poisoning-ist-und-wie-man-arp-spoofing-angriffe-verhindert
ARP-Poisoning: Was ARP-Poisoning ist und wie man ARP-Spoofing-Angriffe verhindert
In diesem Artikel zu ARP-Poisoning befassen wir uns mit wichtigen Definitionen, der Funktionsweise, den verschiedenen Arten von ARP-Poisoning-Angriffen, mit Präventionstipps und mit vielem mehr.
was-dns-ist,-wie-es-funktioniert-und-schwachstellen
Was DNS ist, wie es funktioniert und Schwachstellen
Das Domain Name System (DNS) ist die Internetversion der Gelben Seiten. In der guten alten Zeit hat man Geschäftsadressen, die man brauchte, in den Gelben Seiten nachgeschlagen. Das DNS ist...
warum-man-im-cybersecurity-bereich-immer-von-einem-erfolgreichen-angriff-ausgehen-sollte
Warum man im Cybersecurity-Bereich immer von einem erfolgreichen Angriff ausgehen sollte
Jedes System, jedes Konto und jede Person kann jederzeit zu einem potenziellen Angriffsvektor werden. Bei einer so großen Angriffsfläche müssen Sie davon ausgehen, dass Angreifer mindestens einen Vektor durchbrechen können.