IDS / IPS – Intrusion Detection System und Intrusion Prevention System #

1. Überblick #

IDS und IPS gehören zu den zentralen Sicherheitsmechanismen moderner Netzwerke und IT-Infrastrukturen. Sie dienen dazu, verdächtige, unerwünschte oder eindeutig schädliche Aktivitäten zu erkennen – und im Fall eines IPS unter bestimmten Bedingungen auch aktiv zu unterbinden. Während Firewalls primär steuern, welcher Verkehr grundsätzlich erlaubt ist, betrachten IDS und IPS stärker die Frage, ob dieser Verkehr inhaltlich oder verhaltensbezogen gefährlich ist.

Genau darin liegt ihre Bedeutung: Nicht jeder Angriff nutzt „verbotene“ Ports oder unzulässige Verbindungen. Viele Angriffe laufen über völlig legitime Kommunikationspfade, etwa über HTTP, HTTPS, DNS, SMB oder E-Mail. Ein Webserver muss Port 443 offen haben, ein Mailserver Port 25 oder 587, ein Domain Controller spricht viele interne Protokolle. Innerhalb dieser an sich erlaubten Kommunikation können jedoch Angriffe stattfinden – beispielsweise Exploit-Versuche, Command-and-Control-Verkehr, Portscans, Protokollanomalien, Brute-Force-Muster oder der Versuch, Schadcode zu übertragen.

Ein IDS oder IPS versucht genau solche Muster sichtbar zu machen. Je nach Ausprägung geschieht das durch Signaturen, Protokollanalyse, Zustandsverfolgung, statistische Verfahren, Anomalieerkennung oder eine Kombination dieser Methoden.

Wichtig ist dabei die Unterscheidung:

• IDS erkennt und meldet verdächtige Aktivitäten.
• IPS erkennt verdächtige Aktivitäten und kann zusätzlich aktiv eingreifen, etwa durch Blockieren, Verwerfen oder Zurücksetzen von Verbindungen.

In der Praxis sind IDS/IPS-Systeme kein Ersatz für Firewalls, Endpoint-Schutz, Hardening oder Patch-Management. Sie sind ein ergänzender Kontroll- und Erkennungsmechanismus. Richtig eingesetzt liefern sie wertvolle Sichtbarkeit, verbessern Reaktionsfähigkeit bei Angriffen und helfen, Sicherheitsvorfälle frühzeitig zu erkennen oder automatisch zu stoppen.

2. Definition und Zweck #

Ein Intrusion Detection System (IDS) ist ein System zur Erkennung von Sicherheitsverletzungen, Angriffen oder verdächtigen Aktivitäten in Netzwerken, Hosts oder Anwendungen.

Ein Intrusion Prevention System (IPS) ist ein verwandtes System, das nicht nur erkennt, sondern auch aktiv Maßnahmen zur Verhinderung oder Abschwächung solcher Aktivitäten ergreifen kann.

Warum gibt es IDS und IPS? #

Der Grundgedanke ist einfach: Nicht jede Bedrohung lässt sich durch reine Zugriffskontrolle verhindern. Viele Angriffe nutzen erlaubte Wege.

Beispiele:

• Ein Webserver muss von außen erreichbar sein. Angreifer können über diesen legitimen Dienst Exploit-Versuche starten.
• Ein interner Benutzer kann legitime Zugriffsrechte haben, sich aber verdächtig verhalten.
• Malware kann ausgehende Verbindungen über erlaubte Protokolle wie HTTPS aufbauen.
• Laterale Bewegung im Netzwerk findet oft über intern erlaubte Kommunikation statt.

Genau hier setzen IDS und IPS an. Sie betrachten nicht nur, ob eine Verbindung stattfindet, sondern wie sie aussieht und ob ihr Muster zu bekannten oder verdächtigen Angriffen passt.

Der Zweck im Kern #

IDS/IPS sollen helfen,

• Angriffe und Missbrauch sichtbar zu machen,
• bekannte Bedrohungsmuster zu erkennen,
• verdächtiges Verhalten frühzeitig zu melden,
• Reaktionszeiten bei Sicherheitsvorfällen zu verkürzen,
• und in bestimmten Szenarien Angriffe direkt zu blockieren.

Was ist mit „Intrusion“ gemeint? #

„Intrusion“ bedeutet wörtlich so viel wie Eindringen oder unbefugtes Eindringen. Im Sicherheitskontext ist damit nicht nur ein erfolgreicher Einbruch gemeint, sondern oft schon der Versuch oder das erkennbare Muster eines Angriffs.

Ein IDS/IPS erkennt also nicht nur bereits erfolgreiche Kompromittierungen, sondern häufig auch:

• Vorbereitungsphasen
• Scan-Aktivitäten
• Exploit-Versuche
• ungewöhnliche Protokollverwendungen
• verdächtige Kommunikationsmuster

3. Grundprinzip #

Das Grundprinzip eines IDS/IPS lässt sich einfach beschreiben:

1. Das System beobachtet Verkehr oder Ereignisse.
2. Es analysiert diese anhand definierter Regeln, Muster oder Verhaltensmodelle.
3. Es bewertet, ob die Beobachtung normal, verdächtig oder schädlich ist.
4. Es erzeugt einen Alarm oder blockiert den Vorgang.

Vereinfachtes Denkmodell #

Man kann sich ein IDS/IPS wie einen spezialisierten Sicherheitsprüfer vorstellen:

• Die Firewall ist der Türsteher, der entscheidet, wer grundsätzlich durch die Tür darf.
• Das IDS ist die Überwachung im Gebäude, die auffälliges Verhalten erkennt und meldet.
• Das IPS ist die Überwachung mit Eingriffsrecht, die verdächtige Vorgänge notfalls sofort stoppt.

IDS: erkennen und melden #

Ein IDS sitzt typischerweise passiv im Datenpfad oder wertet Protokolle aus. Es nimmt selbst normalerweise keinen Verkehr an und verändert ihn nicht. Seine Aufgabe ist Beobachtung und Alarmierung.

IPS: erkennen und eingreifen #

Ein IPS sitzt entweder direkt im Verkehrsfluss oder ist so in die Infrastruktur integriert, dass es Pakete aktiv verwerfen, Verbindungen blockieren oder Sessions zurücksetzen kann.

Warum ist diese Unterscheidung wichtig? #

Weil sie direkte Auswirkungen auf Betrieb, Risiko und Fehlerfolgen hat:

• Ein IDS kann keinen legitimen Verkehr versehentlich blockieren, weil es nur meldet.
• Ein IPS kann Angriffe stoppen, aber auch durch Fehlklassifikation legitimen Verkehr beeinträchtigen.

Diese Balance zwischen Sichtbarkeit und aktiver Kontrolle ist einer der wichtigsten Punkte beim praktischen Einsatz.

4. Technische Funktionsweise im Detail (Schritt für Schritt) #

4.1 Grundlegende Arbeitsweise eines netzwerkbasierten IDS/IPS #

Ein klassisches Netzwerk-IDS oder Netzwerk-IPS verarbeitet Pakete oder Datenströme in mehreren Schritten.

Schritt 1: Verkehr erfassen #

Zunächst muss das System den Verkehr sehen. Das kann auf verschiedene Arten geschehen:

• über einen SPAN-/Mirror-Port am Switch
• über Network Taps
• inline zwischen zwei Netzsegmenten
• integriert in eine Firewall oder NGFW
• auf virtuellen Interfaces in Cloud- oder Hypervisor-Umgebungen

Bei einem IDS ist die Erfassung oft passiv.
Bei einem IPS ist die Erfassung oft inline, weil das System eingreifen können muss.

Schritt 2: Pakete dekodieren #

Das System liest die Rohpakete und zerlegt sie in ihre Bestandteile:

• Ethernet-Header
• IP-Header
• TCP-/UDP-Header
• Anwendungsprotokoll-Daten

Es prüft also nicht nur „da ist Verkehr“, sondern versucht zu verstehen:

• von wo nach wo kommuniziert wird,
• welches Protokoll verwendet wird,
• welche Flags, Längen und Zustände vorliegen,
• und welche Nutzdaten transportiert werden.

Schritt 3: Stream- und Session-Rekonstruktion #

Viele Angriffe erkennt man nicht an einem einzelnen Paket. Deshalb rekonstruieren moderne IDS/IPS-Systeme oft ganze Sitzungen oder Datenströme.

Beispiel TCP:

• SYN
• SYN/ACK
• ACK
• mehrere Datensegmente
• eventuelle Retransmits
• Session-Ende

Ein gutes IDS/IPS analysiert daher nicht nur Einzelpakete, sondern setzt sie logisch zu Verbindungen zusammen.

Schritt 4: Normalisierung und Vorverarbeitung #

Angreifer versuchen oft, Erkennung zu umgehen, etwa durch:

• Fragmentierung
• seltsame Header-Werte
• ungewöhnliche Segmentierung
• kodierte oder mehrfach kodierte Payloads
• manipulierte Protokollfelder

Darum normalisieren viele Systeme Verkehr, soweit möglich, oder interpretieren ihn in einer Form, die Umgehungsversuche reduziert.

Schritt 5: Regel- oder Verhaltensanalyse #

Nun kommt der eigentliche Analyseprozess. Das System prüft beispielsweise:

• passt die Kommunikation zu einer bekannten Angriffssignatur?
• gibt es Protokollanomalien?
• ist das Verhalten statistisch ungewöhnlich?
• gibt es IOC-Muster (Indicators of Compromise)?
• sieht die Kommunikation wie Scan-, Exploit- oder C2-Verkehr aus?

Schritt 6: Ereignisbewertung #

Wird eine Regel ausgelöst oder eine Anomalie erkannt, erzeugt das System eine Bewertung, oft mit:

• Priorität/Severity
• Klassifikation
• Quelle und Ziel
• Zeitstempel
• Regel-ID oder Signaturname
• Metadaten über Protokoll und Session

Schritt 7: Aktion #

Abhängig vom Modus geschieht dann:

• IDS: Logging, Alert, Weiterleitung an SIEM/SOC
• IPS: Drop, Reject, Reset, Blocklist-Aktion, Shunning, Policy-Trigger

4.2 Signaturbasierte Erkennung #

Die signaturbasierte Erkennung ist eines der klassischen und wichtigsten IDS/IPS-Verfahren.

Grundidee #

Eine Signatur beschreibt ein bekanntes Muster, das auf einen Angriff oder verdächtigen Vorgang hinweist.

Beispiele:

• bestimmte Bytefolgen in HTTP-Requests
• bekannte Exploit-Strings
• Shellcode-Muster
• Anfragen an bekannte bösartige URI-Strukturen
• bestimmte Kombinationen aus Header-Feldern und Payload-Inhalten

Schritt-für-Schritt #

1. Das System sieht einen Datenstrom.
2. Es extrahiert relevante Protokoll- und Payload-Daten.
3. Es vergleicht diese mit einer Signaturdatenbank.
4. Wenn ein Match gefunden wird, wird ein Alarm ausgelöst oder der Verkehr blockiert.

Stärken #

• sehr wirksam gegen bekannte Angriffe
• klar nachvollziehbar
• oft präzise, wenn die Signatur hochwertig ist

Schwächen #

• erkennt unbekannte oder stark veränderte Angriffe schlechter
• benötigt laufende Regelpflege
• kann bei schlechter Signaturqualität viele False Positives erzeugen

4.3 Anomaliebasierte Erkennung #

Bei der Anomalieerkennung wird nicht nur nach bekannten Mustern gesucht, sondern nach Abweichungen vom erwarteten Verhalten.

Grundidee #

Das System kennt oder lernt ein Modell von „normalem Verhalten“. Alles, was davon auffällig abweicht, wird als potenziell verdächtig markiert.

Beispiele:

• ein Client baut plötzlich Hunderte Verbindungen zu vielen Hosts auf
• ein Server kommuniziert erstmals mit einem ungewöhnlichen externen Ziel
• DNS-Anfragen zeigen stark veränderte Muster
• ein Benutzer oder Host erzeugt untypische Protokollkombinationen

Stärken #

• kann auch neue oder unbekannte Angriffe sichtbar machen
• erkennt ungewöhnliche Muster jenseits fester Signaturen

Schwächen #

• „normal“ ist schwer exakt zu definieren
• in dynamischen Umgebungen viele False Positives möglich
• hoher Tuning-Aufwand

4.4 Protokollanalyse #

Viele IDS/IPS-Systeme analysieren Protokolle semantisch, also nicht nur auf Byte-Ebene, sondern auf inhaltlicher Protokollebene.

Beispiel: HTTP #

Ein System kann erkennen:

• ungewöhnliche Methoden
• verdächtige Header-Kombinationen
• Exploit-Versuche in URL oder Body
• fehlerhafte oder absichtlich manipulierte Requests

Beispiel: DNS #

Ein System kann erkennen:

• ungewöhnlich lange Query-Namen
• DGA-ähnliche Muster
• verdächtige TXT-Records
• Tunneling-Anzeichen

Beispiel: SMB #

Ein System kann erkennen:

• verdächtige SMB-Kommandofolgen
• bekannte Exploit-Muster
• ungewöhnliche Dateioperationen

Warum ist das wichtig? #

Weil reine Paketfilterung oder rohe Byte-Suche viele Angriffe nicht ausreichend versteht. Protokollanalyse bringt Kontext.

4.5 Stateful Inspection und Session Tracking #

Viele Netzwerk-IDS/IPS arbeiten zustandsbehaftet. Das bedeutet, sie verfolgen Verbindungszustände ähnlich wie stateful Firewalls.

Warum? #

Weil Angriffe oft erst im Kontext einer Sitzung erkennbar werden.
Ein einzelnes Paket kann harmlos wirken, die Kombination mehrerer Pakete aber nicht.

Beispiel #

Ein TCP-Strom wird rekonstruiert:

• Connection Setup
• mehrere Payload-Segmente
• Session-Ende

Erst aus dem gesamten rekonstruierten Stream lässt sich erkennen, ob darin eine bestimmte Signatur vorkommt oder ob die Protokollnutzung verdächtig ist.

4.6 Inline-IPS versus passives IDS #

Passives IDS #

Netzverkehr ----> Switch ----> Zielsystem
                     |
                     +---- Mirror/SPAN ----> IDS

Das IDS sieht den Verkehr, ist aber nicht im eigentlichen Datenpfad.

Vorteile #

• kein zusätzliches Ausfallrisiko im Traffic-Pfad
• keine direkte Blockade legitimer Pakete
• einfacher Einstieg

Nachteile #

• keine unmittelbare Verhinderung
• unter Umständen sieht das IDS nicht immer exakt denselben Verkehrszustand wie das Ziel
• begrenzte Reaktionsmöglichkeiten

Inline-IPS #

Quelle ----> IPS ----> Ziel

Das IPS sitzt direkt im Datenpfad.

Vorteile #

• kann blockieren
• kann Sessions aktiv beenden
• direkte Schutzwirkung

Nachteile #

• Risiko von Fehlblockaden
• Performance- und Latenzthema
• potenzieller Single Point of Failure, wenn nicht redundant ausgelegt

4.7 Host-basiertes IDS/IPS #

Neben Netzwerk-IDS/IPS gibt es host-basierte Systeme.

Was überwachen HIDS/HIPS? #

• Logdateien
• Prozesse
• Dateiintegrität
• Registry-Änderungen
• Systemaufrufe
• Benutzeraktivitäten
• lokale Netzwerkverbindungen

Beispielhafte Arbeitsweise #

Ein Host-basiertes IDS erkennt etwa:

• Änderungen an kritischen Systemdateien
• unerwartete neue Dienste
• verdächtige Prozessketten
• Manipulationen an Konfigurationen

Warum sind host-basierte Systeme wichtig? #

Weil Netzwerkverkehr allein nicht alles zeigt. Gerade bei verschlüsselter Kommunikation oder lokalem Missbrauch liefert Host-Telemetrie oft entscheidende Hinweise.

4.8 Ablaufdiagramm eines Netzwerk-IPS #

[Netzwerkverkehr]
       |
       v
+----------------------+
| Paket-/Stream-Erfassung |
+----------------------+
       |
       v
+----------------------+
| Dekodierung / Reassembly |
+----------------------+
       |
       v
+----------------------+
| Protokollanalyse        |
+----------------------+
       |
       v
+----------------------+
| Regel / Anomalieprüfung |
+----------------------+
       |
       +--------------------+
       | Treffer?            |
       +--------------------+
          | Ja                    | Nein
          v                       v
+----------------------+   +----------------------+
| Alert / Drop / Reset |   | Verkehr freigeben    |
+----------------------+   +----------------------+

5. Wichtige Bestandteile / Mechanismen / Konzepte #

5.1 NIDS, NIPS, HIDS, HIPS #

Diese Begriffe werden oft vermischt.

NIDS – Network Intrusion Detection System #

Erkennt Angriffe im Netzwerkverkehr, meist passiv.

NIPS – Network Intrusion Prevention System #

Erkennt und blockiert Angriffe im Netzwerkverkehr, meist inline.

HIDS – Host Intrusion Detection System #

Erkennt verdächtige Vorgänge auf dem Endsystem selbst.

HIPS – Host Intrusion Prevention System #

Kann lokal auf dem Endsystem auch aktiv eingreifen.

Warum ist die Unterscheidung wichtig? #

Weil jedes Modell andere Sichtbarkeit und andere Grenzen hat:

• Netzwerkbasiert sieht den Verkehr, aber nicht alles auf dem Host.
• Host-basiert sieht lokale Änderungen, aber nicht zwingend das gesamte Netzgeschehen.

5.2 Signaturen und Regeln #

Signaturen sind die Wissensbasis vieler IDS/IPS-Systeme. Eine Regel kann sich beziehen auf:

• Quell- und Ziel-IP
• Protokoll
• Ports
• Flow-Richtung
• Flags
• Payload-Inhalte
• Protokollfelder
• Statusbedingungen
• Metadaten wie Classtype oder Priority

Beispielhaftes Denkmodell #

Eine Regel könnte semantisch sagen:

Wenn ein externer Host einen HTTP-Request an einen Webserver sendet und die URI ein bekanntes Exploit-Muster enthält, löse Alarm aus.

Warum ist Signaturqualität so wichtig? #

Eine schlechte Signatur ist entweder:

• zu unscharf und erzeugt viele Fehlalarme
• zu eng und verpasst reale Angriffe

5.3 False Positives und False Negatives #

Das sind zwei zentrale Qualitätsbegriffe.

False Positive #

Ein legitimer Vorgang wird fälschlich als Angriff erkannt.

Beispiel:
Eine legitime Anwendung erzeugt ungewöhnliche HTTP-Parameter, die wie ein SQL-Injection-Muster wirken.

False Negative #

Ein echter Angriff wird nicht erkannt.

Beispiel:
Ein neuer Exploit passt auf keine vorhandene Signatur.

Warum ist das praktisch so wichtig? #

Weil beide Fehler teuer sind:

• Zu viele False Positives überlasten Security-Teams und führen zu Alarmmüdigkeit.
• False Negatives lassen echte Angriffe unbemerkt durch.

5.4 Tuning #

IDS/IPS-Systeme liefern nicht automatisch perfekte Ergebnisse. Sie müssen an die Umgebung angepasst werden.

Tuning bedeutet typischerweise: #

• irrelevante Regeln deaktivieren
• Rauschquellen unterdrücken
• lokale Ausnahmen definieren
• Schwellenwerte anpassen
• Netzsegmente gezielt priorisieren
• Regelgruppen passend zur Infrastruktur auswählen

Warum ist Tuning essenziell? #

Weil eine Standardregelbasis auf viele unterschiedliche Umgebungen treffen muss. Ohne Anpassung entstehen oft zu viele oder zu wenige relevante Treffer.

5.5 Threat Intelligence und IOC-Erkennung #

Viele Systeme nutzen zusätzlich externe oder interne Bedrohungsinformationen.

Beispiele: #

• bekannte bösartige IP-Adressen
• bekannte schädliche Domains
• Hashes
• Command-and-Control-Indikatoren
• bekannte Exploit-Strings
• Kampagnenbezogene Muster

Bedeutung #

Threat Intelligence kann Erkennung verbessern, muss aber gepflegt und kontextualisiert werden. Nicht jede IOC-Liste ist automatisch hilfreich oder aktuell.

5.6 Deep Packet Inspection (DPI) #

DPI bedeutet, dass nicht nur Header, sondern auch Nutzdaten analysiert werden.

Warum relevant? #

Viele Angriffsmuster stecken nicht im IP- oder TCP-Header, sondern im Inhalt:

• HTTP-Parameter
• Datei-Uploads
• DNS-Namen
• SMB-Kommandos
• Mail-Inhalte oder Protokollbefehle

Grenze #

Bei verschlüsseltem Verkehr ist DPI nur eingeschränkt möglich, wenn keine Entschlüsselung stattfindet.

5.7 SSL/TLS-Inspektion und ihre Grenzen #

Ein wachsender Anteil des Netzverkehrs ist verschlüsselt. Das erschwert netzwerkbasierte Erkennung.

Problem #

Ein NIDS sieht bei HTTPS ohne Entschlüsselung nur:

• Quell- und Zielinformationen
• Zertifikats- oder Handshake-Metadaten
• teilweise SNI, je nach Kontext
• Volumen und Timing

Aber nicht den eigentlichen HTTP-Inhalt.

Mögliche Antwort #

Manche Umgebungen setzen TLS-Inspection oder TLS-Offloading ein, damit IDS/IPS auch den entschlüsselten Verkehr sehen kann.

Risiken und Nebenwirkungen #

• Datenschutz- und Compliance-Fragen
• technische Komplexität
• Zertifikatsmanagement
• mögliche Störung sensibler Anwendungen

5.8 Inline-Aktionen eines IPS #

Ein IPS kann unterschiedlich eingreifen:

• Paket verwerfen
• Verbindung resetten
• Flow blockieren
• Quell-IP temporär sperren
• Event an Firewall/SIEM/SOAR senden
• dynamische Gegenmaßnahmen auslösen

Warum nicht immer einfach „alles blockieren“? #

Weil Fehlklassifikationen produktiven Verkehr stören können. Deshalb werden viele Systeme zunächst im Detection-Only oder Alert-Mode betrieben und erst nach Tuning schrittweise in den Blockiermodus überführt.

6. Einsatzgebiete in der Praxis #

IDS und IPS werden in vielen Umgebungen eingesetzt, aber die Platzierung und Zielsetzung unterscheiden sich stark.

Perimeter-Schutz #

Am Netzrand zwischen Internet und interner Infrastruktur kann ein IDS/IPS:

• Portscans erkennen
• bekannte Exploit-Versuche erkennen
• ungewöhnliche eingehende Muster identifizieren
• C2-Verkehr oder verdächtige Ausleitungen sichtbar machen

DMZ und öffentlich erreichbare Dienste #

Vor oder hinter Webservern, Mailservern, VPN-Gateways oder Reverse Proxys helfen IDS/IPS bei:

• Erkennung von Webangriffen
• Identifikation verdächtiger Requests
• Erkennung von Brute-Force- oder Enumeration-Verhalten

Interne Segmentierung #

Ein besonders wichtiger Einsatzort, weil viele Angriffe sich nach einer ersten Kompromittierung intern weiterbewegen.

Hier kann ein IDS/IPS helfen bei:

• Erkennung lateraler Bewegung
• SMB-/RDP-/LDAP-Missbrauch
• Scan-Aktivitäten zwischen Segmenten
• verdächtigem Ost-West-Verkehr

Rechenzentrum und Servernetze #

Servernetze sind kritische Zonen. IDS/IPS helfen dort bei:

• Erkennung von Server-zu-Server-Angriffen
• Kontrolle untypischer Service-Kommunikation
• Beobachtung sensibler Anwendungen

Cloud- und virtuelle Umgebungen #

In virtuellen Umgebungen oder Cloud-Netzen können IDS/IPS als:

• virtuelle Appliances
• Sensoren an virtuellen Taps
• integrierte Security-Funktionen

eingesetzt werden.

OT / Industrie #

In industriellen Netzen sind IDS besonders wichtig, weil man dort oft nicht beliebig patchen oder aktiv blockieren möchte.

Typische Ziele:

• Sichtbarkeit in ICS-/SCADA-Kommunikation
• Erkennung ungewöhnlicher Steuerkommandos
• Alarmierung bei Abweichungen von normalen Prozessmustern

7. Mehrere ausführliche Praxisbeispiele #

Praxisbeispiel 1: Webserver in der DMZ unter Exploit-Beschuss #

Ausgangssituation #

Ein Unternehmen betreibt einen öffentlich erreichbaren Webserver in einer DMZ. Die Firewall erlaubt eingehenden HTTPS-Verkehr, weil der Dienst öffentlich verfügbar sein muss. Es gibt also bewusst einen legitimen Kommunikationspfad vom Internet zum Server.

Problem #

Die Firewall kann zwar andere Ports blockieren, aber nicht automatisch beurteilen, ob die HTTP-Requests auf Port 443 harmlos oder bösartig sind. Angreifer senden nun Anfragen mit bekannten Mustern für Directory Traversal und Remote Code Execution.

Ablauf #

1. Der Verkehr erreicht den Webserver-Pfad.
2. Ein IDS/IPS analysiert den HTTP-Stream.
3. Es dekodiert URI, Header und Payload.
4. Eine Signatur erkennt ein bekanntes Angriffsmuster, etwa einen verdächtigen Pfad oder eine spezifische Exploit-Struktur.
5. Das System löst Alarm aus oder blockiert die Verbindung.

Bedeutung #

Dieses Beispiel zeigt sehr gut, warum IDS/IPS nötig sind: Die Kommunikation läuft über einen legitimen, notwendigen Dienst, aber ihr Inhalt ist bösartig.

Lernpunkt #

Eine Firewall allein kann solche Angriffe oft nicht ausreichend erkennen. IDS/IPS ergänzen deshalb klassische Paket- und Portfilterung um inhalts- und verhaltensbasierte Erkennung.

Praxisbeispiel 2: Interne laterale Bewegung nach Erstkompromittierung #

Ausgangssituation #

Ein Client im Büronetz wurde durch Phishing kompromittiert. Der Angreifer hat nun Codeausführung auf dem System und beginnt, das interne Netz zu erkunden.

Beobachtbares Verhalten #

• Verbindungsaufbau zu vielen Hosts
• Portscans auf RDP, SMB, WinRM
• ungewöhnliche Authentifizierungsversuche
• SMB- oder RPC-bezogene Seitwärtsbewegung

Ablauf #

1. Das kompromittierte System erzeugt in kurzer Zeit ungewöhnlich viele interne Verbindungen.
2. Das IDS im internen Segment erkennt:
   • Scan-Muster
   • verdächtige SMB-/RDP-Sequenzen
   • möglicherweise bekannte Exploit-Signaturen
3. Es meldet das Verhalten an das SOC.
4. Ein IPS könnte im gleichen Szenario sogar aktiv die Verbindungen blockieren oder den Host temporär isolieren.

Bedeutung #

Viele Unternehmen konzentrieren sich nur auf den Internet-Perimeter. Dieses Beispiel zeigt, dass interne Sichtbarkeit oft noch wertvoller ist, weil moderne Angriffe nach dem initialen Eindringen typischerweise lateral weitergehen.

Lernpunkt #

IDS/IPS im Ost-West-Verkehr können ein entscheidender Baustein sein, um Angriffe früh in ihrer internen Ausbreitung zu erkennen.

Praxisbeispiel 3: DNS-Tunneling oder verdächtige DNS-Kommunikation #

Ausgangssituation #

Ein kompromittiertes System versucht, Daten über DNS-Anfragen aus dem Netzwerk herauszuschleusen oder C2-Kommunikation über DNS aufzubauen.

Problem #

DNS ist oft breit erlaubt und wirkt auf den ersten Blick harmlos. Gerade deshalb eignet es sich für Missbrauch.

Ablauf #

1. Das System sendet DNS-Anfragen mit ungewöhnlich langen oder entropiereichen Namen.
2. Das IDS analysiert DNS-Verkehr semantisch.
3. Es erkennt Anomalien, etwa:
   • sehr lange Labels
   • ungewöhnlich viele TXT-Anfragen
   • hohe Frequenz zu verdächtigen Domains
   • Muster, die typisch für Tunneling oder DGA sind
4. Ein Alarm wird erzeugt oder ein IPS blockiert Anfragen an verdächtige Ziele.

Bedeutung #

Der Angreifer nutzt keinen exotischen Port, sondern ein Kernprotokoll des Alltagsbetriebs. Gerade solche Fälle zeigen die Stärke von Protokollanalyse und Anomalieerkennung.

Lernpunkt #

„Erlaubt“ bedeutet nicht „ungefährlich“. IDS/IPS helfen, Missbrauch legitimer Infrastrukturprotokolle sichtbar zu machen.

Praxisbeispiel 4: Brute-Force auf SSH oder RDP #

Ausgangssituation #

Ein Server ist für administrative Zwecke erreichbar. Angreifer versuchen massenhaft Logins mit unterschiedlichen Benutzer-/Passwort-Kombinationen.

Ablauf #

1. Das IDS erkennt eine hohe Anzahl fehlgeschlagener oder häufiger Verbindungsversuche.
2. Es korreliert:
   • gleiche Quelle
   • viele Ziele oder wiederholte Versuche auf ein Ziel
   • kurze Zeitabstände
3. Ein Alarm mit Klassifikation „Brute Force“ oder „Credential Attack“ wird erzeugt.
4. Ein IPS oder angrenzendes Schutzsystem könnte die Quelle temporär blockieren.

Bedeutung #

Nicht jeder Angriff ist ein Exploit. Auch systematische Anmeldeversuche sind ein typischer Anwendungsfall für IDS/IPS.

Lernpunkt #

IDS/IPS können nicht nur Payload-Muster erkennen, sondern auch verhaltensbezogene Angriffsformen.

Praxisbeispiel 5: Datei- oder Malware-Transport über erlaubten Verkehr #

Ausgangssituation #

Ein Benutzer lädt über einen legitimen Web- oder Mail-Kanal eine Datei, die schädlich oder verdächtig ist.

Ablauf #

1. Der Verkehr läuft über erlaubte Kommunikationspfade.
2. Das IDS/IPS analysiert Datei-Metadaten, Dateitypen, Header oder bekannte Signaturen.
3. Es erkennt:
   • bekannte Malware-Muster
   • verdächtige Dateiformate
   • Exploit-Kits
   • Payload-Indikatoren
4. Das System löst Alarm aus oder blockiert den Transfer.

Bedeutung #

Hier wird deutlich, dass ein IDS/IPS nicht nur „Netzwerkmuster“ erkennt, sondern teilweise auch anwendungsnahe oder dateibezogene Inhalte bewertet.

Lernpunkt #

Die Trennlinie zwischen Netzwerksicherheit und Inhaltsanalyse ist in modernen Systemen oft fließend.

8. Typische Probleme, Fehler und Missverständnisse #

8.1 „IDS/IPS ersetzt eine Firewall“ #

Das ist falsch. Eine Firewall kontrolliert, welcher Verkehr grundsätzlich erlaubt ist. Ein IDS/IPS analysiert, ob erlaubter oder beobachteter Verkehr verdächtig ist. Beides ergänzt sich, ersetzt sich aber nicht.

8.2 „Ein IPS blockiert alles Böse automatisch“ #

Auch das ist ein Missverständnis. Ein IPS kann nur auf Grundlage seiner Erkennungsmethoden reagieren. Unbekannte oder gut verschleierte Angriffe können durchgehen. Falsch abgestimmte Regeln können legitimen Verkehr blockieren.

8.3 Zu viele False Positives #

Ein klassischer Betriebsfehler ist, ein IDS/IPS mit Standardregeln einzuführen und die Flut an Meldungen nicht zu strukturieren. Das führt zu:

• Alarmmüdigkeit
• sinkender Akzeptanz
• ignorierten echten Vorfällen

Ein IDS/IPS ohne Tuning wird schnell zum Rauschgenerator.

8.4 Falsche Platzierung #

Ein IDS/IPS ist nur so gut wie seine Sichtbarkeit. Wenn es falsch platziert ist, sieht es entweder:

• zu wenig relevanten Verkehr
• nur verschlüsselten Verkehr ohne Kontext
• oder nur Teilsegmente, aber nicht die kritischen Kommunikationspfade

8.5 Verschlüsselter Verkehr bleibt blind #

Viele erwarten, dass ein NIDS alles sehen kann. In der Realität ist HTTPS-, TLS- und sonstiger verschlüsselter Verkehr ein großes Problem für reine Inhaltsanalyse.

Ohne Entschlüsselung sieht das System häufig nur Metadaten.

8.6 IPS inline ohne Vorlauf aktivieren #

Ein weiterer häufiger Fehler: Ein IPS wird direkt im Blockiermodus aktiviert, ohne die Umgebung zu verstehen.

Mögliche Folgen:

• Produktionsstörungen
• blockierte Geschäftsanwendungen
• schwer erklärbare Verbindungsfehler
• Vertrauensverlust gegenüber dem Sicherheitsteam

Sinnvoller ist meist:

1. Detection Mode
2. Analyse und Tuning
3. selektive Blockierung
4. kontrollierte Ausweitung

8.7 Regelbasis nicht pflegen #

Alte Regeln, irrelevante Signaturen oder veraltete IOC-Listen verschlechtern die Qualität. Ein IDS/IPS ist kein „einmal aufsetzen und vergessen“-System.

8.8 Keine Kontextanreicherung #

Ein Alarm allein ist oft zu wenig. Ohne Kontext wie:

• Asset-Kritikalität
• Rollen des Zielsystems
• bekannte Wartungsfenster
• Schwachstellenlage
• Benutzerkontext

lässt sich die Relevanz oft schlecht beurteilen.

8.9 Verwechslung mit SIEM, EDR oder WAF #

IDS/IPS ist nicht dasselbe wie:

• SIEM: zentrale Sammlung/Korrelation vieler Logs
• EDR: Endpoint Detection and Response
• WAF: Schutz speziell für Webanwendungen
• Firewall: grundlegende Kommunikationskontrolle

IDS/IPS ist ein Baustein in einem größeren Sicherheitsökosystem.

9. Sicherheit / Risiken #

9.1 Sicherheitsnutzen von IDS/IPS #

Richtig eingesetzt liefern IDS/IPS mehrere konkrete Sicherheitsvorteile:

• frühere Erkennung von Angriffen
• bessere Sichtbarkeit in Netzwerk- und Host-Verhalten
• Erkennung bekannter Angriffe trotz erlaubter Ports
• Unterstützung bei Incident Response
• mögliche automatische Blockade klarer Angriffe
• zusätzliche Verteidigungsschicht im Sinne von Defense in Depth

9.2 Risiken bei IPS-Betrieb #

Ein IPS kann selbst zum Betriebsrisiko werden, wenn es falsch konfiguriert ist.

Typische Risiken #

• False Positives blockieren legitime Anwendungen
• Inline-Komponente wird zum Performance-Engpass
• bei Ausfall droht Traffic-Unterbrechung, wenn keine Bypass-/HA-Strategie existiert
• unsaubere TLS-Inspection kann Anwendungen stören

9.3 Umgehungstechniken #

Angreifer können versuchen, Erkennung zu umgehen, z. B. durch:

• Fragmentierung
• Encoding/Obfuscation
• Timing-Veränderungen
• Protokollmissbrauch
• ungewöhnliche Segmentierung
• Nutzung erlaubter Cloud-Dienste oder CDNs
• Nutzung verschlüsselter Kanäle

Deshalb ist IDS/IPS nie absolut, sondern immer Teil eines mehrschichtigen Sicherheitskonzepts.

9.4 Ressourcenbedarf und Skalierung #

Vor allem bei DPI, Reassembly und Protokollanalyse benötigen IDS/IPS:

• CPU
• RAM
• I/O-Leistung
• gute Architektur für Hochlast

Wenn die Umgebung wächst, muss das System mitwachsen. Sonst drohen Paketverluste, Aussetzer oder blinde Flecken.

9.5 Best Practices #

Für die Einführung #

• zuerst Schutz- und Sichtbarkeitsziele definieren
• kritische Segmente priorisieren
• Detection Mode vor Blockiermodus
• Regeln passend zur Umgebung auswählen

Für den Betrieb #

• Alerts regelmäßig prüfen
• Regelbasis aktuell halten
• Tuning als laufenden Prozess etablieren
• Integrationen mit SIEM/SOAR/IR-Prozessen nutzen
• Asset-Kontext und Risikobewertung einbeziehen

Für IPS speziell #

• nur reife, gut getestete Regeln blockieren
• Ausnahmeprozesse definieren
• Hochverfügbarkeit und Failover planen
• Performance testen

10. Vergleich mit ähnlichen Technologien #

IDS/IPS vs. Firewall #

Firewall:

• entscheidet primär, welcher Verkehr grundsätzlich erlaubt ist
• basiert meist auf IP, Port, Protokoll, Zustand, teils Anwendung

IDS/IPS:

• analysiert, ob Verkehr oder Verhalten gefährlich erscheint
• fokussiert auf Erkennung von Angriffsmustern und Missbrauch

Eine Firewall sagt eher:

„HTTPS ist grundsätzlich erlaubt.“

Ein IDS/IPS sagt:

„Dieser HTTPS-Request sieht wie ein Exploit-Versuch aus.“

IDS/IPS vs. WAF #

Eine WAF schützt speziell Webanwendungen auf HTTP/HTTPS-Ebene.

• WAF: stark auf Weblogik und typische Webangriffe fokussiert
• IDS/IPS: breiter, protokoll- und netzwerkorientierter

Eine WAF ist kein Ersatz für ein IDS/IPS, aber in Web-lastigen Umgebungen oft eine sinnvolle Ergänzung.

IDS/IPS vs. EDR #

EDR arbeitet auf dem Endpunkt und beobachtet:

• Prozesse
• Speicher
• Benutzeraktionen
• Systemaufrufe
• lokale Artefakte

IDS/IPS arbeitet eher im Netzwerk oder als Host-IDS mit anderem Fokus.

EDR sieht häufig tiefer auf dem Host, IDS/IPS sieht häufig besser netzwerkbezogene Angriffsbewegungen.

IDS/IPS vs. SIEM #

Ein SIEM sammelt und korreliert Logs und Events aus vielen Quellen.
Ein IDS/IPS ist selbst eine Quelle solcher Events.

Ein SIEM kann IDS/IPS-Alarme anreichern, korrelieren und priorisieren, ersetzt aber die eigentliche Netz- oder Host-Erkennung nicht.

Signaturbasiert vs. anomaliert #

IDS vs. IPS im direkten Vergleich #

11. Praxis-Teil (Befehle, Tools, reale Anwendungsszenarien) #

Im Alltag begegnet man IDS/IPS häufig über Werkzeuge wie Snort, Suricata, Zeek oder hostbasierte Lösungen wie Wazuh/OSSEC. Nicht alle sind identisch: Manche sind eher klassische IDS/IPS-Engines, andere eher Netzwerkanalyse- oder Host-Monitoring-Systeme. Für das Praxisverständnis sind sie dennoch sehr relevant.

11.1 Snort und Suricata – typische Netzwerk-Engines #

Snort und Suricata sind weit verbreitete Systeme für signaturbasierte und protokollbewusste Netzwerkerkennung. Sie können je nach Einsatzmodell als IDS oder IPS betrieben werden.

Typische Betriebsarten #

• passiv auf Mirror-Port
• inline im NFQUEUE-/AF_PACKET-/Netmap-/DPDK-/Appliance-Modus
• Integration in Firewalls oder Security-Plattformen

11.2 Beispiel: Suricata im Testmodus #

Ein typischer Schritt ist, eine Konfiguration oder Regelbasis zunächst zu validieren.

Beispielhaft:

suricata -T -c /etc/suricata/suricata.yaml

Bedeutung #

• -T steht für einen Testlauf der Konfiguration
• die YAML-Datei enthält Interfaces, Rule Paths und weitere Engine-Parameter

Praxisnutzen #

Sehr wichtig, um Syntax- oder Regelprobleme vor dem Start zu erkennen.

11.3 Beispiel: Suricata auf Interface starten #

suricata -i eth0 -c /etc/suricata/suricata.yaml

Bedeutung #

Suricata lauscht auf eth0, dekodiert den Verkehr und wendet die konfigurierten Regeln an.

Wichtiger Hinweis #

In einer produktiven Umgebung hängt der korrekte Betrieb stark davon ab,

• ob eth0 wirklich den relevanten Verkehr sieht,
• ob Offloading-Features sauber berücksichtigt werden,
• und ob genug Systemressourcen zur Verfügung stehen.

11.4 Beispielhafte Snort-/Suricata-Regel #

Eine stark vereinfachte Regel könnte so aussehen:

alert tcp any any -> 192.0.2.10 80 (msg:"Verdächtiger Zugriff auf Webserver"; content:"/admin"; sid:1000001; rev:1;)

Erklärung #

• alert → bei Treffer Alarm
• tcp any any -> 192.0.2.10 80 → TCP-Verkehr auf Webserver-Port 80
• content:"/admin" → suche diesen String in den Daten
• sid → Signatur-ID
• rev → Revisionsstand der Regel

Bedeutung #

Die Regel ist didaktisch simpel, aber sie zeigt das Prinzip: Verkehr wird anhand eines definierten Musters geprüft.

Praxis-Hinweis #

Reale Regeln sind deutlich komplexer und berücksichtigen oft Protokollkontext, Flow-Richtung, Buffer-Typen, PCREs, Metadaten und weitere Optionen.

11.5 Zeek als Netzwerksichtbarkeitswerkzeug #

Zeek ist kein klassisches IPS im engeren Sinne, sondern eher ein leistungsfähiges Netzwerk-Monitoring- und Analyseframework.

Wofür ist es nützlich? #

• Protokollanalyse
• Verbindungs-Logs
• DNS-/HTTP-/SSL-/SMB-Logs
• Verhaltenssichtbarkeit
• Erkennung durch Skripte und Korrelation

Typische Stärke #

Zeek liefert sehr gute Kontextdaten für Incident Response und Netzwerkanalyse, oft ergänzend zu klassischen Signatur-Engines.

11.6 Praktische Analyse von Alerts #

Ein Alarm allein reicht nicht. In der Praxis prüft man:

1. Was wurde erkannt?
   Signaturname, Regel-ID, Klassifikation
2. Welche Quelle und welches Ziel?
   Internet ↔ DMZ? Intern ↔ Intern?
3. Welches Asset ist betroffen?
   Kritischer Server? Testsystem? Drucker?
4. Ist die Aktivität plausibel oder verdächtig?
5. Gibt es korrespondierende Logs?
   Firewall, Proxy, EDR, Auth-Logs, Server-Logs
6. Ist es ein Einzelfall oder ein Muster?

Diese Einordnung entscheidet darüber, ob ein Alert nur Rauschen oder ein echter Incident ist.

11.7 Beispiel: Mirror-Port und Sensorplatzierung #

Ein klassisches NIDS-Setup:

[Internet] ---- [Firewall] ---- [Core Switch] ---- [DMZ/LAN]
                                   |
                                   +---- SPAN Port ----> [IDS-Sensor]

Bedeutung #

Der Sensor sieht den gespiegelten Verkehr des Switches.

Praxisrelevante Fragen #

• Wird wirklich der gesamte relevante Verkehr gespiegelt?
• Gibt es Oversubscription?
• Gehen Pakete verloren?
• Sieht der Sensor Ost-West-Verkehr oder nur Nord-Süd-Verkehr?

11.8 Beispiel: IPS inline vor einer Serverfarm #

[Firewall] ---- [IPS] ---- [Load Balancer / Serverfarm]

Bedeutung #

Hier kann das IPS aktiv eingreifen, bevor Verkehr die Server erreicht.

Praxisrelevante Anforderungen #

• Hochverfügbarkeit
• geringer Latenzeinfluss
• sauberes Regel-Tuning
• klarer Fail-Open-/Fail-Closed-Ansatz

11.9 Typische Betriebsstrategie bei IPS-Einführung #

Ein professioneller Einführungsweg sieht oft so aus:

Phase 1: Sichtbarkeit #

• Sensor aufsetzen
• Logging und Baseline aufbauen
• Regelbasis verstehen

Phase 2: Tuning #

• False Positives reduzieren
• irrelevante Regelgruppen deaktivieren
• besonders kritische Signaturen priorisieren

Phase 3: Selektive Prävention #

• nur sehr zuverlässige Regeln in Blockmodus
• enge Überwachung der Auswirkungen

Phase 4: Ausbau #

• weitere Segmente
• zusätzliche Protokolle
• Integration mit Response-Prozessen

Warum diese Reihenfolge? #

Weil ein IPS, das ungesteuert blockiert, im schlimmsten Fall selbst zum Betriebsproblem wird.

11.10 Nützliche Praxisfragen bei der Fehlersuche #

Wenn ein IDS/IPS „nicht richtig funktioniert“, sollte man nacheinander prüfen:

1. Sieht das System überhaupt den relevanten Verkehr? #

• stimmt das Interface?
• funktioniert SPAN/Mirror korrekt?
• laufen Pakete am Sensor vorbei?

2. Werden Regeln geladen? #

• Konfiguration fehlerfrei?
• Regelpfade korrekt?
• passende Regelgruppen aktiviert?

3. Sind Performance und Paketverluste im Rahmen? #

• Dropped Packets?
• CPU-Engpass?
• zu wenig Buffer?

4. Ist der Verkehr verschlüsselt? #

• sieht das System nur TLS-Metadaten?
• wäre Entschlüsselung nötig?

5. Sind die Alerts sinnvoll? #

• zu viele False Positives?
• kritische Regeln überhaupt aktiv?
• fehlender Kontext?

11.11 ASCII-Darstellung: IDS versus IPS #

Passives IDS #

           +------------------+
           | IDS Sensor       |
           | nur beobachtend  |
           +------------------+
                    ^
                    |
Quelle ---> Switch ---> Ziel
            |
            +---- Mirror/SPAN

Inline-IPS #

Quelle ---> IPS ---> Ziel
           |
           +-- kann blockieren / droppen / resetten

11.12 Reale Anwendungsszenarien #

Szenario A: IDS in einer mittelständischen Umgebung #

Ein Unternehmen mit wenig Security-Personal startet zunächst mit passivem IDS an den wichtigsten Übergängen:

• Internet ↔ DMZ
• LAN ↔ Servernetz

Ziel:

• Sichtbarkeit
• Alarmierung bei klaren Angriffsmustern
• keine Produktionsrisiken durch Blockierung

Szenario B: IPS vor kritischer Webplattform #

Eine öffentliche Plattform wird häufig angegriffen. Nach Tuning und Tests werden ausgewählte hochzuverlässige Regeln inline blockierend aktiviert.

Ziel:

• bekannte Angriffe direkt abweisen
• SOC entlasten
• Webserver schützen

Szenario C: HIDS auf kritischen Servern #

Auf Domain Controllern, Datenbankservern und Bastion Hosts werden Host-IDS-Funktionen aktiviert:

• File Integrity Monitoring
• Prozessüberwachung
• Konfigurationsänderungen
• verdächtige Logeinträge

Ziel:

• Tiefensicht auf besonders kritische Systeme

12. Fazit #

IDS und IPS sind zentrale Bausteine moderner Sicherheitsarchitekturen, weil sie eine Lücke schließen, die reine Zugriffskontrollsysteme offenlassen: die Erkennung und Bewertung verdächtiger Aktivitäten innerhalb erlaubter oder beobachtbarer Kommunikation.

Der wesentliche Unterschied ist einfach, aber betrieblich sehr relevant:

• IDS beobachtet und meldet.
• IPS beobachtet, bewertet und kann aktiv eingreifen.

Ihre Stärke liegt vor allem in folgenden Bereichen:

• Erkennung bekannter Angriffsmuster
• Sichtbarkeit bei verdächtigem Verhalten
• Unterstützung bei Incident Response
• zusätzliche Schutzschicht in einer Defense-in-Depth-Strategie
• mögliche direkte Blockierung klar erkennbarer Angriffe

Gleichzeitig sind IDS/IPS keine Wundermittel. Sie ersetzen weder Firewalls noch EDR, SIEM, WAF, Patch-Management oder saubere Segmentierung. Ohne gutes Tuning, sinnvolle Platzierung, Regelpflege und organisatorische Reaktionsprozesse bleibt ihr Nutzen begrenzt.

Wer IDS/IPS professionell einsetzen will, sollte deshalb nicht nur die Technik verstehen, sondern auch die Betriebsrealität:

• Wo sehe ich relevanten Verkehr?
• Welche Angriffe will ich erkennen?
• Welche Fehlalarme sind tolerierbar?
• Welche Regeln sind blockierungsreif?
• Wie integriere ich Alerts in Incident-Response-Prozesse?

Richtig aufgebaut liefern IDS und IPS nicht nur Alarme, sondern echte Sicherheitswirkung: mehr Sichtbarkeit, frühere Erkennung und – im Fall eines IPS – die Möglichkeit, Angriffe zu stoppen, bevor sie Schaden anrichten.