Unter „Intrusion Detection“ versteht man die automatisierte Erkennung und Analyse verdächtiger oder unbefugter Aktivitäten in IT-Systemen, Netzwerken oder Anwendungen. Ziel ist es, Angriffe, Missbrauch oder Sicherheitsverletzungen möglichst frühzeitig zu identifizieren, um Schäden zu begrenzen, Compliance-Anforderungen zu erfüllen und die Sicherheit der IT-Infrastruktur zu erhöhen. Technisch wird dies meist durch Intrusion-Detection-Systeme (IDS) umgesetzt, die Netzwerkverkehr, Systemereignisse und Protokolle überwachen.
Echtzeit-Überwachung: Laufende Analyse von Netzwerkverkehr, Systemaufrufen, Logdateien und Benutzeraktivitäten zur frühzeitigen Erkennung von Auffälligkeiten.
Signaturbasierte Angriffserkennung: Vergleich von Ereignissen und Datenpaketen mit bekannten Angriffsmustern (Signaturen), z. B. für Malware, Exploits oder Port-Scans.
Anomalie- und verhaltensbasierte Erkennung: Identifikation ungewöhnlicher Muster im Verhalten von Nutzern, Endgeräten oder Anwendungen, z. B. auffällige Login-Versuche oder Datenmengen.
Log- und Ereignisanalyse: Zentralisierte Sammlung und Auswertung von System-, Netzwerk- und Applikationslogs zur Erkennung von sicherheitsrelevanten Ereignissen.
Alarmierung und Benachrichtigung: Automatisches Auslösen von Warnmeldungen per E-Mail, Dashboard, Ticket-System oder SIEM bei erkannten Angriffen oder Abweichungen.
Korrelations- und Regel-Engine: Verknüpfung mehrerer Ereignisse (z. B. viele fehlgeschlagene Logins, gefolgt von einem erfolgreichen Zugriff) zu einem Gesamtbild, um komplexe Angriffe zu erkennen.
Forensik- und Detailanalyse: Bereitstellung detaillierter Informationen zu Vorfällen, inklusive Paketmitschnitten, Zeitstempeln und betroffenen Systemen für eine spätere Untersuchung.
Integration mit Sicherheitslösungen: Anbindung an Firewalls, Endpoint-Security, SIEM- und SOAR-Plattformen zur automatisierten Weiterverarbeitung und Reaktion.
Policy- und Regelverwaltung: Zentrale Definition, Anpassung und Versionierung von Erkennungsregeln, Schwellenwerten und Richtlinien.
Dashboards & Reporting: Übersichts- und Detailberichte zu Vorfällen, Trends, Angriffstypen und betroffenen Systemen für Security-Teams und Management.
Ein Unternehmen setzt ein Network Intrusion Detection System (NIDS) ein, das Port-Scans, DDoS-Versuche und bekannte Exploits im Netzwerkverkehr erkennt und meldet.
Ein Host Intrusion Detection System (HIDS) überwacht kritische Server auf verdächtige Änderungen an Systemdateien, Konfigurationen und Registrierungsdatenbanken.
Ein Cloud-Anbieter analysiert Anmeldeversuche und API-Aufrufe, um ungewöhnliche Zugriffe aus unbekannten Regionen oder mit atypischen Nutzungsprofilen zu erkennen.
Eine Bank korreliert IDS-Alerts mit einem SIEM-System, um mehrstufige Angriffe (z. B. Phishing, kompromittierte Konten, Datenabflussversuche) umfassend zu erkennen.
Ein Industrieunternehmen überwacht seine OT-/ICS-Netzwerke mit einem spezialisierten IDS, um unautorisierte Zugriffe auf Steuerungen und Produktionsanlagen zu identifizieren.