Der Begriff „Intrusion Prevention“ bezeichnet Sicherheitsmechanismen und -systeme, die Angriffe auf IT-Systeme, Anwendungen und Netzwerke in Echtzeit erkennen und automatisch blockieren oder einschränken. Im Unterschied zur reinen „Intrusion Detection“ (IDS) reagiert „Intrusion Prevention“ (IPS) aktiv, indem es verdächtigen Datenverkehr stoppt, Verbindungen trennt oder betroffene Systeme schützt. Intrusion-Prevention-Funktionen sind häufig Bestandteil von Next-Generation-Firewalls, Endpoint-Security-Lösungen, Web-Application-Firewalls oder Cloud-Sicherheitsplattformen.
Echtzeit-Erkennung und Blockierung von Angriffen: Identifikation von Angriffsmustern (z. B. Malware, Exploits, Port-Scans) und automatisches Blockieren des entsprechenden Datenverkehrs.
Signatur- und verhaltensbasierte Analyse: Nutzung bekannter Angriffssignaturen sowie Heuristiken und Verhaltensanalysen, um sowohl bekannte als auch neue (Zero-Day-)Angriffe zu erkennen.
Deep Packet Inspection: Analyse des Inhalts und der Header von Netzwerkpaketen auf Protokollebene (z. B. HTTP, DNS, SMTP), um schädliche oder ungewöhnliche Muster zu identifizieren.
Anomalieerkennung: Aufbau von „Normalprofilen“ für Systeme und Netzwerke (Baseline) und Erkennung von Abweichungen, etwa ungewöhnlichem Datenvolumen, unerwarteten Protokollen oder Verbindungen.
Exploit- und Schwachstellenabschirmung (Virtual Patching): Schutz verwundbarer Systeme durch Regeln, die bekannte Angriffsmethoden auf ungepatchte Software blockieren, ohne dass sofort ein Software-Patch eingespielt werden muss.
Richtlinienbasierte Zugriffskontrolle: Definition und Durchsetzung von Regeln, welche Dienste, Ports, Protokolle oder Anwendungen erlaubt beziehungsweise blockiert werden.
Automatisierte Reaktionen: Maßnahmen wie Verbindungsabbruch, Sperrung von IP-Adressen, Blockierung bestimmter Benutzerkonten oder automatische Quarantäne von Endgeräten.
Integration von Threat Intelligence: Nutzung externer und interner Bedrohungsdaten (z. B. Indicators of Compromise), um neue Angriffskampagnen schneller erkennen und abwehren zu können.
Protokollierung, Alarmierung und Reporting: Detaillierte Aufzeichnung sicherheitsrelevanter Ereignisse, Echtzeit-Alarme für Administratoren sowie Berichte für Audits und Compliance-Anforderungen.
Integration mit SIEM- und SOC-Systemen: Weitergabe von Ereignisdaten an Security-Information-and-Event-Management-Lösungen (SIEM) und Security Operations Center (SOC) zur zentralen Auswertung und Korrelation.
Ein Finanzdienstleister setzt ein Netzwerk-IPS vor seine Online-Banking-Plattform, das SQL-Injection- und Cross-Site-Scripting-Angriffe automatisch blockiert.
Ein Produktionsunternehmen schützt seine OT- und SCADA-Netzwerke durch eine Intrusion-Prevention-Lösung, die unzulässige Protokolle und verdächtige Fernzugriffe unterbindet.
Ein mittelständisches Unternehmen nutzt eine Endpoint-Security-Suite mit Intrusion-Prevention-Funktionen, die verdächtige Prozesse und Speicherzugriffe auf Clients blockiert.
Ein Cloud-Service-Provider verwendet die Intrusion-Prevention-Funktionen seiner Next-Generation-Firewalls, um laterale Bewegungen von Angreifern zwischen Mandantenumgebungen zu verhindern.
Ein SaaS-Anbieter setzt Intrusion-Prevention-Regeln ein, um Brute-Force- und Credential-Stuffing-Angriffe auf Benutzerkonten zu erkennen und durch Sperr- und Rate-Limiting-Mechanismen zu begrenzen.
