Ein IDS steht für Intrusion Detection System – also ein System zur Erkennung von Einbruchs- und Angriffsversuchen in IT-Umgebungen. Wichtig: Ein IDS ist in erster Linie ein Alarmgeber. Es erkennt verdächtige Aktivitäten und meldet sie – es blockiert nicht automatisch (das wäre eher Aufgabe eines IPS).
Was macht ein IDS konkret?
Ein IDS überwacht Daten und Ereignisse, zum Beispiel:
Netzwerkverkehr (wer spricht mit wem, welche Ports/Protokolle, welche Muster)
Systemaktivitäten auf Servern/Clients (Logins, Prozesse, Dateiänderungen)
Protokolle/Logs (Firewall, Webserver, AD/Entra, Anwendungen)
Wenn etwas nach Angriff aussieht – etwa Portscans, verdächtige Payloads, ungewöhnliche Login-Muster – erzeugt das IDS Alerts.
IDS-Typen: Wo wird überwacht?
1) NIDS – Network-based IDS
Ein Network IDS hängt im Netzwerk (z. B. per SPAN/Mirror-Port oder TAP) und analysiert den Traffic.
Stärken
Sieht Angriffe auf Netzwerkebene (Scans, Exploits, C2-Kommunikation)
Deckt viele Systeme gleichzeitig ab
Schwächen
Verschlüsselung (TLS) macht Inhalt oft unsichtbar
Sieht nicht, was auf dem Host passiert
2) HIDS – Host-based IDS
Ein Host IDS läuft direkt auf dem System (Server/Client) und überwacht lokale Ereignisse.
Stärken
Sieht Prozesse, Dateiänderungen, Logins – sehr nah am Geschehen
Funktioniert auch bei verschlüsseltem Traffic (weil es am Endpunkt ist)
Schwächen
Muss auf jedem Host betrieben und gepflegt werden
Kann je nach Konfiguration Ressourcen kosten
Wie erkennt ein IDS Angriffe?
Signaturbasiert
Vergleicht Aktivitäten mit bekannten „Fingerabdrücken“ von Angriffen (Signaturen).
Pro: Sehr präzise bei bekannten Angriffen
Contra: Erkennt Neues/Abgewandeltes schlechter
Anomaliebasiert (Verhaltensbasiert)
Sucht Abweichungen vom Normalzustand (z. B. ungewöhnliche Logins, Datenabfluss).
Pro: Kann neue Angriffe entdecken
Contra: Neigt zu Fehlalarmen, braucht gutes Tuning
In der Praxis nutzen viele Systeme eine Mischung.
IDS vs. IPS – der entscheidende Unterschied
IDS (Detection): erkennt und meldet
IPS (Prevention): erkennt und blockiert (inline im Datenpfad)
Merksatz: IDS = Alarmanlage, IPS = Alarmanlage + Türsteher.
Warum ist ein IDS trotzdem sinnvoll, wenn man schon Firewall/EDR hat?
Weil ein IDS oft Dinge sieht, die andere Tools nicht gut abdecken – je nach Setup:
laterale Bewegung im Netzwerk (Ost-West-Verkehr)
ungewöhnliche Protokollnutzung oder Scans
Angriffe auf Services, die „eigentlich“ niemand im Blick hat
zentrale Sicht auf Netzwerksegmente, in denen kein EDR läuft (OT/IoT, alte Systeme)
Aber: Ein IDS ist nur so gut wie die Reaktion darauf. Wenn Alerts im Nirvana landen, ist es nur „Security-Theater“.
Typische Stolpersteine (ehrlich)
Zu viele Alerts am Anfang → ohne Tuning wird’s unbrauchbar
Keine klaren Prozesse: Wer reagiert wann wie?
TLS-Verschlüsselung: NIDS sieht oft nur Metadaten
Schlechte Platzierung: Wenn du am falschen Netzpunkt mitschneidest, siehst du nichts Relevantes
Best Practices für ein IDS, das wirklich hilft
Ziele definieren: Was willst du erkennen? (z. B. Ransomware-Lateral Movement, Exfiltration, Scans)
Richtige Sensor-Position: Internet Edge ≠ internes Servernetz ≠ DMZ
Baseline + Tuning: Erst lernen, dann scharf schalten
Priorisierung: Kritische Systeme und High-Confidence-Regeln zuerst
Integration: Alerts in Ticketing/SIEM/XDR – sonst geht’s unter
Regelpflege: Signaturen/Rules aktuell halten
Fazit
Ein IDS ist ein System zur Angriffserkennung – es analysiert Netzwerk- oder Host-Ereignisse und schlägt Alarm, wenn etwas verdächtig ist. Es ist kein Blocker, sondern ein Sensor. Richtig eingesetzt liefert es wertvolle Sichtbarkeit – falsch eingesetzt produziert es vor allem Lärm.