Ein Intrusion Detection System (IDS) ist ein Sicherheitssystem, das den Netzwerkverkehr oder die Aktivität eines Computersystems auf verdächtige Verhaltensweisen überwacht. Ziel ist es, dadurch unerlaubte Zugriffsversuche, Angriffe oder sicherheitsrelevante Anomalien zu erkennen. Im Gegensatz zu Firewalls, die den Datenverkehr aktiv filtern und blockieren, dient ein IDS primär der Erkennung und Meldung von sicherheitskritischen Vorfällen, ohne dabei selbst aktiv in den Datenverkehr einzugreifen – es verhält sich also rein passiv. Das System beobachtet, analysiert und alarmiert in Echtzeit, wenn es im ein- oder ausgehenden Datenverkehr Auffälligkeiten oder verdächtige Muster in den Protokolldateien findet – beides könnten nämlich Anzeichen für einen Angriff sein.

Zum Einsatz kommen dabei zwei Hauptmethoden zum: die so genannte signaturbasierte Erkennung, bei der bereits bekannte Angriffsmuster identifiziert werden, sowie die anomaliebasierte Erkennung, die auf Abweichungen vom üblichen Netzwerkverhalten reagiert. Die signaturbasierte Erkennung funktioniert übrigens ähnlich wie ein Virenschutzprogramm. Dazu greift das IDS auf eine Datenbank mit bekannten Angriffsmustern, den sogenannten Signaturen, zurück. Stimmt der Netzwerkverkehr oder die Systemaktivität mit einer dieser Signaturen überein, löst das System sofort Alarm aus.

Für die anomaliebasierte Erkennung erstellt das IDS wiederum ein Profil des normalen, unbedenklichen Verhaltens im Netzwerk oder auf dem Host. Dazu beobachtet es über einen bestimmten Zeitraum hinweg den Datenverkehr und die Systemaktivitäten. In der Folge wird dann jede Abweichung von diesem Normalprofil als potenzielle Bedrohung angesehen und gemeldet. Der anomaliebasierte Ansatz ist besonders für die Erkennung von Zero-Day-Angriffen, also Angriffe, die neu sind und für die es noch keine bekannten Signaturen gibt, nützlich.

Je nach Standort und Überwachungsfokus werden Intrusion Detection Systeme zudem in zwei Hauptkategorien unterteilt:

• Network Intrusion Detection System (NIDS): Ein NIDS überwacht den gesamten Netzwerkverkehr, indem es an strategischen Punkten im Netzwerk platziert wird. Ein NIDS kann Angriffe wie Port-Scans, Denial-of-Service-Attacken oder Malware aufspüren, die sich im Netzwerk ausbreitet.
• Host Intrusion Detection System (HIDS): Ein HIDS ist auf einem spezifischen Host- oder Serversystem installiert und soll Endgeräte bzw. Server schützen. Es überwacht die internen Aktivitäten dieser Systeme, wie zum Beispiel Dateiänderungen, Systemprotokolle, und aufgerufene Programme. Ein HIDS kann unter Umständen erkennen, ob ein Angreifer bereits in das System eingedrungen ist und gerade versucht, seine Rechte zu erweitern oder vertrauliche Daten zu stehlen.

Für ein Unternehmen ist ein IDS eigentlich eine unverzichtbare Ergänzung zur bestehenden Sicherheitsinfrastruktur, die typischerweise aus Firewalls, Antivirenprogrammen und anderen Schutzmechanismen besteht. Besonders im Kontext gesetzlicher Anforderungen wie der Datenschutz-Grundverordnung (DSGVO) oder branchenspezifischer Sicherheitsstandards spielt ein IDS eine wichtige Rolle in der IT-Sicherheitsstrategie. Unternehmen nutzen. Intrusion Detection Systeme sind aber kein Ersatz für andere Schutzmaßnahmen wie Firewalls oder Antivirensoftware, sondern ergänzen diese als Teil eines mehrschichtigen Sicherheitskonzepts.