IDS vs. IPS: Welche Unterschiede und Gemeinsamkeiten haben die Sicherheitssysteme?

Der beste Weg, ein Netzwerk oder ein einzelnes Computersystem zu schützen, besteht darin, Angriffe frühzeitig zu erkennen und abzuwehren, noch bevor diese Schaden verursachen können. Eine sinnvolle Ergänzung zur Firewall sind Intrusion-Detection- sowie Intrusion-Prevention-Systeme. Wir erklären, was IDS vs. IPS verbindet und trennt.

Bevor wir näher auf IDS vs. IPS eingehen, stellen wir Ihnen die beiden Systeme kurz vor. IDS steht für Intrusion-Detection-System, also ein System, das Angriffe auf einen Client oder ein Netzwerk möglichst frühzeitig erkennt. Stößt das IDS bei seiner Analyse auf ungewöhnlichen Datenverkehr, sendet es eine Warnung an den Administrator oder die Administratorin. Bei IDS unterscheidet man zwischen hostbasierten und netzwerkbasierten Angriffserkennungsmethoden. IPS bedeutet Intrusion-Prevention-System und bezeichnet ein System, das potenzielle Angriffe nicht nur erkennt und meldet, sondern diesen auch mit aktiven Gegenmaßnahmen begegnet. IPS greift ebenso auf host- und netzwerkbasierte Sensoren zurück, um Systemdaten und Netzwerkpakete zu beurteilen.

IDS vs. IPS: Welche Gemeinsamkeiten gibt es?

Durch diese kurze Einführung wird bereits klar, dass IDS vs. IPS keine kompletten Gegensätze sind. Es gibt durchaus einige Faktoren, die die beiden Systeme miteinander verbinden. Folgende Gemeinsamkeiten weisen Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme auf:

Analyse

Die Analysemethoden, die beide Systeme nutzen, sind in vielen Fällen fast oder komplett deckungsgleich. IPS und IDS setzen beide Sensoren auf dem Host, im Netzwerk oder an beiden Punkten ein, um Systemdaten und Datenpakete im Netzwerk zu überprüfen und auf Gefahren hin zu durchleuchten. Sie verwenden dafür festgelegte Parameter, sodass sie Abweichungen zwar erkennen, harmlose Anomalien aber häufig auch als solche identifizieren. Die Analyse erfolgt – je nach System – über die Misuse Detection oder die Anomaly Detection. Dadurch ähneln sich auch die potenziellen Schwachstellen: Bei der Misuse Detection können unbekannte Bedrohungen übersehen werden, die Anomaly Detection meldet häufiger ungefährliche Datenpakete.

Datenbank

Für die Gefahrenerkennung setzen beide Systeme auf eine Datenbank, die dazu dient, Bedrohungen schneller und exakter zu identifizieren. Je umfangreicher diese Bibliothek ausgestattet ist, desto höher ist auch die Trefferquote der beiden Systeme. Aus diesem Grund sind IDS und IPS auch nicht als statische Einrichtung zu verstehen, sondern als wandelbare und lernfähige Systeme, die durch Aktualisierungen besser werden.

Einsatz von KI

Ein Faktor, der für IDS vs. IPS eine große Rolle spielt, ist die Künstliche Intelligenz. Durch maschinelles Lernen verbessern moderne Systeme ihre Gefahrenerkennung und erweitern ihre Datenbanken. So verstehen sie neue Angriffsmuster besser, erkennen sie früher und melden gleichzeitig seltener unbedenkliche Pakete.

Einstellungsoptionen

Beide Systeme lassen sich individualisieren und an die Bedürfnisse eines Netzwerks oder eines Computersystems anpassen. Diese Konfiguration sorgt dafür, dass Abläufe nicht gestört werden und alle Komponenten trotz der Überwachung reibungslos funktionieren. Da IDS und IPS beide in Echtzeit scannen und analysieren, ist dies ebenfalls ein wichtiger Faktor.

Automatisierung

IDS und IPS arbeiten beide automatisiert und autark. Einmal konfiguriert, benötigen sie keine Aufsicht durch das Sicherheitspersonal, sondern führen ihre Aufgaben wie gewünscht aus. Rückmeldungen gibt es nur, wenn eine Gefahrensituation vorliegt.

Gefahrenerkennung und Warnung

Zwar gibt es einige Faktoren, die IDS vs. IPS voneinander abgrenzen, eine Grundfunktion teilen sie sich allerdings: Beide Systeme erkennen Bedrohungen nicht nur, sondern warnen den Administrator oder die Administratorin auch umgehend. Diese Warnung kann per E-Mail, als Benachrichtigung auf einem mobilen Device oder direkt als Systemalarm erfolgen. Die Verantwortlichen haben so die Möglichkeit, über das weitere Vorgehen zu entscheiden.

Protokollfunktion

Sowohl IDS als auch IPS verfügen über eine wichtige Protokollfunktion. Das ermöglicht ihnen, Bedrohungen nicht nur zu melden (oder zu bekämpfen), sondern diese auch der eigenen Datenbank hinzuzufügen. So wird diese noch stärker und potenzielle Schwachstellen werden identifiziert und idealerweise geschlossen.

Zusammenarbeit mit einer Firewall

Auch wenn es einige Unterschiede zwischen IDS vs. IPS gibt, sind beide als Ergänzung zu einer Firewall zu verstehen. Sämtliche Sicherheitsmechanismen sollten aufeinander abgestimmt sein, um das System bestmöglich vor Angriffen zu schützen. Setzen Sie lediglich ein Intrusion-Detection-System oder ein Intrusion-Prevention-System ein, sind Ihr Netzwerk oder Ihr Computer nicht ausreichend gesichert.

IDS vs. IPS: Was unterscheidet die beiden Ansätze?

Es gibt also einige Gemeinsamkeiten zwischen den beiden Systemen. Insgesamt finden sich allerdings auch mehrere Unterschiede, wenn man IDS vs. IPS vergleicht. Dies sind die wichtigsten:

Gefahrenabwehr

Wie bereits weiter oben erwähnt, überwachen IDS und IPS beide das jeweilige System, melden Gefahren und protokollieren diese. Während das Aufgabengebiet eine Intrusion-Detection-Systems an dieser Stelle allerdings erschöpft ist, geht das Intrusion-Prevention-System noch deutlich weiter. Bei IPS handelt es sich um ein aktives Sicherheitssystem, das Bedrohungen selbstständig abwehrt. Dafür unterbricht es bei Bedarf Verbindungen oder stoppt und verwirft Datenpakete, falls diese Auffälligkeiten aufweisen. Ein IDS ist hingegen als passives System zu sehen, welches lediglich die Überwachung übernimmt und mögliche Gefahren meldet.

Positionierung

Auch die möglichen Positionierungen von IDS vs. IPS unterscheiden sich: Das IDS wird entweder auf einem Rechner oder am Rande eines Netzwerks platziert. Dort ist die Kontrolle der ein- und ausgehenden Datenpakete am einfachsten. Das IPS wird hingegen hinter der Firewall positioniert. Hier kann es nicht nur Bedrohungen melden, sondern diese auch bestmöglich aufhalten.

Arten

Während beide Lösungen hostbasiert (HIPS) oder netzwerkbasiert (NIPS) arbeiten, gibt es auch IPS-Lösungen, die in einem WLAN platziert werden. Diese Ausführung nennt man WIPS.

Unabhängigkeit

IPS arbeiten weitestgehend eigenständig und finden in der Regel Lösungen für unterschiedliche Bedrohungsszenarien. IDS überwachen Datenpakete zwar ebenfalls ohne fremdes Zutun, entdecken sie allerdings eine verdächtige Übertragung, können sie nicht selbst handeln. Wenn die Warnung ausgesendet wurde, müssen der Administrator oder die Administratorin die nötigen Gegenmaßnahmen selbst einleiten.

Konfiguration von IDS vs. IPS

IDS arbeitet in der Regel inline und hat daher keine negativen Auswirkungen auf die Netzwerkleistung. Trotzdem muss diese Arbeitsweise auch bei der Konfiguration berücksichtigt werden. So ist es möglich, dass das IDS eine erkannte Bedrohung direkt an den Router oder die Firewall weiterleitet und dazu den Administrator oder die Administratorin in Kenntnis setzt. Ein IPS kann negative Auswirkungen auf die Netzwerkleistung haben. Daher ist es auch umso wichtiger, dass das System passgenau konfiguriert wird. Lässt es gefährliche Datenpakete passieren, ist der Schutz nicht mehr gewährleistet. Blockiert es allerdings an sich harmlose Übertragungen, wird dadurch das gesamte Netzwerk beeinträchtigt.