Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

IDS vs. IPS : Was ist der Unterschied ?

Intrusion Detection Systems (IDS) analysieren den Netzwerkverkehr im Hinblick auf Signaturen, die mit bekannten Cyber-Angriffen übereinstimmen. Intrusion Prevention Systems (IPS) führen auch eine Paketanalyse durch, können aber je nach erkanntem...
Michael Buckbee
3 minute gelesen
Veröffentlicht 4. März 2019
Letzte aktualisierung 27. Juni 2023

Intrusion Detection Systems (IDS) analysieren den Netzwerkverkehr im Hinblick auf Signaturen, die mit bekannten Cyber-Angriffen übereinstimmen. Intrusion Prevention Systems (IPS) führen auch eine Paketanalyse durch, können aber je nach erkanntem Angriffstyp auch die Auslieferung des Pakets verhindern – und so den Angriff stoppen.

Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

Die Funktionsweise von Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS)

Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) sind beides Bestandteile der Netzwerkinfrastruktur. IDS/IPS vergleichen Netzwerkpakete mit einer Cyber-Angriffsdatenbank, die Signaturen bekannter Cyber-Angriffe enthält – und übereinstimmende Pakete kennzeichnet.

Der wichtigsten Unterschied zwischen ihnen ist, dass das IDS ein Überwachungs- und das IPS ein Kontrollsystem ist.

Ein IDS nimmt keinerlei Änderungen an Netzwerkpaketen vor, während das IPS die Auslieferung von Paketen je nach Inhalt des Pakets verhindert, so wie ein Firewall den Traffic in Abhängigkeit der IP-Adresse unterbindet.

  • Intrusion Detection Systems (IDS) analysieren und überwachen den Netzwerkverkehr auf Anzeichen dafür, dass Angreifer eine bekannte Cyber-Bedrohung zur Infiltration oder zum Diebstahl von Daten aus Ihrem Netzwerk nutzen. IDS-Systeme vergleichen die laufende Netzwerkaktivität mit einer Datenbank bekannter Bedrohungen, um mehrere Verhaltensweisen wie Verstöße gegen Sicherheitsrichtlinien, Malware und Port-Scanner zu erkennen.
  • Intrusion Prevention Systems (IPS): Sind im selben Bereich des Netzwerks wie eine Firewall beheimatet, zwischen der Außenwelt und dem internen Netzwerk. Ein IPS kann Netzwerkverkehr auf der Grundlage eines Sicherheitsprofils aktiv ablehnen, wenn das Paket eine bekannte Gefahr darstellt.

Viele IDS/IPS-Anbieter haben neuere IPS-Systeme in Firewalls integriert, um eine Unified Threat Management- (UTM) Technologie zu schaffen, bei der die Funktionen dieser beiden ähnlichen Systeme in einer einzigen Einheit kombiniert sind. Einige Systeme bieten die Funktionen von sowohl IDS als auch IPS in einer Einheit.

Unterschiede zwischen IDS und IPS

venn diagram on ids vs ips

Sowohl IDS als auch IPS lesen Netzwerkpakete und vergleichen deren Inhalt mit einer Datenbank bekannter Gefahren. Der Hauptunterschied besteht darin, was danach passiert. IDS sind Erkennungs- und Überwachungstools, die keine eigenständigen Handlungen vornehmen. IPS sind Kontrollsysteme, die Pakete anhand ihres Regelsatzes annehmen oder zurückweisen.

Bei einem IDS muss ein Mensch oder ein anderes System die Ergebnisse beurteilen und bestimmen, welche Aktionen eingeleitet werden sollen. Das könnte je nach dem täglich anfallenden Netzwerkverkehrsvolumen ein Vollzeitjob sein. IDS eignen sich besser als forensisches Werkzeug für den CSIRT bei der Untersuchung von Sicherheitsverletzungen.

Der Zweck des IPS ist hingegen, gefährliche Pakete abzufangen und auszufiltern, bevor sie an ihr Ziel gelangen. Es ist passiver als ein IDS. Nur die Datenbank muss regelmäßig mit neuen Bedrohungsdaten aktualisiert werden.

* Nota bene: Die Effektivität von IDS/IPS hängt von der Qualität ihrer Cyberangriffsdatenbank ab. Sie müssen sie auf dem aktuellen Stand halten und bereit sein, manuelle Anpassungen vorzunehmen, wenn ein neuer Angriff im Umlauf ist und/oder die Angriffssignatur nicht Bestandteil der Datenbank ist.

Warum IDS und IPS für Cybersicherheit unverzichtbar sind

what ids and ips cover

Sicherheitsteams sind mit einer immer weiter wachsenden Gefahr von Datenschutzverletzungen und Compliance-Bußgeldern konfrontiert, wobei sie gleichzeitig mit Budgetbeschränkungen und Unternehmensrichtlinien zu kämpfen haben. IDS/IPS-Technologie deckt bestimmte und wichtige Aufgaben in einer Cybersicherheitsstrategie ab:

  • Automatisierung: IDS/IPS-Systeme bedürfen kaum manuelle Interventionen, weshalb sie die perfekten Kandidaten für den Einsatz im aktuellen Sicherheitsstack sind. Ein IPS verschafft Ihnen das gute Gefühl, dass das Netzwerk mit begrenzten Ressourcenanforderungen gegen bekannte Gefahren geschützt ist.
  • Compliance: Im Rahmen der Compliance müssen Sie häufig nachweisen, dass Sie in Technologien und Systeme für den Datenschutz investiert haben. Die Implementierung einer IDS/IPS-Lösung hakt ein Kästchen auf dem Compliance-Formular ab und geht auf eine Reihe der CIS-Sicherheitskontrollen ein. Noch wichtiger ist, dass die Audit-Daten einen wichtigen Teil der Compliance-Untersuchungen bilden.
  • Richtliniendurchsetzung: IDS/IPS können so konfiguriert werden, dass bei der Durchsetzung interner Sicherheitsrichtlinien auf Netzwerkebene helfen. Wenn Sie zum Beispiel nur ein VPN unterstützen, können Sie das IPS allen sonstigen VPN-Verkehr blockieren.

Varonis DatAlert als Ergänzung von IDS/IPS: Netzwerksicherheit ist ein kritischer Bestandteil des Schutzes gegen Datenschutzverletzungen – und IDS/IPS-Lösungen erfüllen diese Rolle perfekt. Varonis hingegen überwacht die Datenaktivität in Echtzeit, was eine entscheidende Ebene einer jeden Cybersicherheitsstrategie ist.

Bei Ausbruch eines neuen Ransomware-Angriffs verfügt das IDS/IPS möglicherweise nicht über die Signaturen, um den Angriff auf Netzwerkebene zu verhindern. Varonis andererseits beinhaltet nicht nur signaturbasierte Ransomware-Erkennung, sondern erkennt die Eigenschaften und das Verhalten eines Ransomware-Angriffs – wie zum Beispiel die Änderung zahlreicher Dateien innerhalb eines kurzen Zeitraums – und löst automatisch eine Benachrichtigung aus, um den Angriff zu stoppen, bevor er sich verbreiten kann.

Möchten Sie erfahren, wie das funktioniert? Lassen Sie sich bei einer 1:1-Demo zeigen, wie Varonis Ihr IDS/IPS ergänzt, um Ihre Cybersicherheitsstrategie zu stärken.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?