Logo o2 Business Compass

Intrusion Detection System (IDS) einfach erklärt

07.01.2026

Ein IT-Systemadministrator mit Headset sitzt in einem Raum. Er ist umgeben von Bildschirmen, die verschiedene Daten zeigen.

Cyberangriffe sind eine ständige Bedrohung für Unternehmen jeder Größe. Um Ihre sensiblen Daten zu schützen, ist eine robuste Cybersecurity-Strategie unerlässlich. Ein zentraler Baustein ist dabei das Intrusion Detection System (IDS): Ein Warnsystem zur Erkennung und Meldung von Bedrohungen im Netzwerk.

Was ist ein IDS? 

Ein Intrusion Detection System (IDS) (zu Deutsch: Einbruchserkennungssystem) überwacht den Netzwerkverkehr und Systemaktivitäten auf Anzeichen für …

  • Sicherheitsverletzungen,
  • böswillige Absichten,
  • ungewöhnliches Verhalten.

Ein IDS kann die Netzwerksicherheit steigern, indem es Aktivitäten erkennt, die auf Cyberangriffe oder eine Kompromittierung des Netzwerks hindeuten. Bei Auffälligkeiten warnt es Administratoren. Es reagiert jedoch nicht auf Bedrohungen, sondern meldet und protokolliert diese lediglich. Systeme, die Bedrohungen erkennen und aktiv blockieren, nennt man Intrusion Prevention Systems (IPS).

Sie können IDS-Tools als Software oder Hardwaregerät in Ihr Netzwerk implementieren. Zudem gibt es cloudbasierte IDS-Anwendungen. Ein IDS ist in der Regel keine alleinstehende Lösung, sondern meist in größere Sicherheitssysteme eingebunden. 

Abbildung: Zwei Männer in lockerer Kleidung auf Schreibtisch abgestützt schauen zusammen in Laptop

O2 Business CTAP

Erhalten Sie einen Überblick über aktuelle Sicherheitsrisiken in Ihrem Netzwerk mit dem Cyber Threat Assessment Program (CTAP) in Kooperation mit Fortinet.

Zu O2 Business CTAP

Wie funktioniert ein Intrusion Detection System?

Ein Intrusion Detection System erkennt typische Angriffsmuster und auffällige Aktivitäten im System, das es überwacht. Dabei gibt es unterschiedliche Methoden, nach denen ein IDS den Datenverkehr untersucht.

Signaturbasierte Erkennung

Ein signaturbasiertes IDS vergleicht den Datenverkehr und die Systemereignisse mit bekannten Angriffsmustern, auch Signaturen genannt. Der Ansatz ähnelt vielen Virenschutzprogrammen. Bei der Erkennung bekannter Bedrohungen ist dieser Ansatz in der Regel sehr effektiv.

Die Angriffssignaturen sind in Datenbanken gespeichert. Die Sicherheit eines IDS hängt somit von der Qualität der Datenbank des Anbieters ab und wie häufig diese aktualisiert wird. Bedrohungen, deren Signaturen noch nicht in der Datenbank hinterlegt sind, kann die signaturbasierte Erkennung nicht melden.

Anomaliebasierte Erkennung

Anomaliebasierte Erkennungssysteme erstellen ein statistisches Basisprofil des normalen Netzwerkverkehrs. Diese Basislinie kann durch Machine Learning stetig verfeinert werden. Aktivitäten, die signifikant vom definierten Normalzustand abweichen (Anomalien), markiert das IDS als potenzielle Bedrohung. Das können etwa unbekannte Geräte oder eine erhöhte Bandbreite sein. 

Dadurch können sie auch neuartige oder bisher unbekannte Angriffe („Zero-Day-Exploits“) identifizieren. Gleichzeitig ist diese Variante eines IDS auch anfälliger für Fehlalarme. Beispielsweise könnte ein neuer Nutzer bei erstmaligem Zugriff auf Netzwerkressourcen eine Meldung auslösen.

Heuristische Ansätze

Ein heuristisches IDS nutzt Algorithmen, um verdächtige Eigenschaften oder Verhaltensweisen zu identifizieren. Ein solches System kombiniert häufig vordefinierte Regeln und Wissen über bekannte Angriffe, um die Wahrscheinlichkeit eines Cyberangriffs zu berechnen. Dadurch kann es auch neuartige und polymorphe Bedrohungen erkennen. 

Beispiel: Ein Prozess greift auf sensible Daten zu und versucht gleichzeitig, eine Netzwerkverbindung zu einer unbekannten IP-Adresse in einem fremden Land aufzubauen. Jede Aktion allein wäre unauffällig (keine Anomalie, keine Signatur). Aber die Kombination (die Heuristik) bewertet das Verhalten als hochriskant.

O2 Business Security Service Edge

Die Sicherheitslösung für Ihr komplettes Unternehmensfeld: Büros, Remote-Arbeitsplätze und die genutzten Cloud-Anwendungen.

Zu O2 Business Security Service Edge

Verschiedene Arten von IDS 

Es gibt verschiedene Ansätze, nach denen ein IDS funktioniert. Je nach Art platzieren Sie das System an strategischen Punkten im Netzwerk (NIDS) oder auf den verbundenen Endgeräten (HIDS).

Network IDS (NIDS) – Netzwerküberwachung

Ein netzwerkbasiertes Intrusion Detection System überwacht den eingehenden und ausgehenden Datenverkehr im Netzwerk. Optimalerweise platzieren Sie das System an strategischen Punkten – etwa direkt hinter einer Firewall oder an Routern. So kann ein NIDS ein ganzes Netzwerk überwachen. 

Host IDS (HIDS) – Systemüberwachung

Im Gegensatz dazu überwacht ein hostbasiertes IDS einzelne Systeme (Hosts) – z. B. einen spezifischen Server, PC oder Laptop. Ein HIDS analysiert interne Systemereignisse, wie Dateizugriffe, Änderungen an Konfigurationen, Systemprotokolle und laufende Prozesse. Es kann Manipulationen direkt am Endpunkt erkennen.

Hybride IDS

Moderne Ansätze kombinieren NIDS und HIDS. Ein hybrides IDS analysiert folglich Daten von verschiedenen Punkten im Netzwerk und von den verbundenen Geräten. Damit kann es Ihnen ein umfassenderes Bild der Sicherheitslage liefern. Das ermöglicht eine tiefere Korrelationsanalyse und reduziert Fehlalarme.

O2 Business SD-WAN

Vernetzung von Firmenstandorten intelligent, flexibel, sicher und kostengünstig steuern.

IDS vs. IPS: Der entscheidende Unterschied 

IPS steht für Intrusion Prevention System. Der maßgebliche Unterschied: Während ein IDS Auffälligkeiten nur meldet, kann ein IPS auch Maßnahmen gegen Bedrohungen ergreifen. Beispielsweise kann es Sicherheitsrisiken blockieren, indem es …

  • Datenpakete verwirft,
  • Daten ändert,
  • die Verbindung unterbricht,
  • weitere Sicherheitstools aktiviert.

Separate oder integrierte IDS/IPS-Lösungen?

IDS und IPS sind als integrierte Lösung erhältlich. Diese nennt man IDS/IPS oder IDPS (Intrusion Detection and Prevention System). Ob für Ihr Firmennetzwerk eine Verbundlösung oder separate IDS und IPS besser geeignet sind, hängt von vielen individuellen Faktoren ab. In der Regel sind Unternehmen mit kleineren IT-Abteilungen mit einer integrierten Lösung besser beraten.

Warum ist ein IDS wichtig?

Intrusion Detection Systeme sind wesentlicher Bestandteil einer effizienten IT-Sicherheitsstrategie. Sie fungieren als Frühwarnsysteme, indem sie Cyberbedrohungen erkennen und melden. Da ein IDS ein passives System ist, sollten Sie es mit aktiven Tools wie IPS oder Firewalls kombinieren. 

Ein IDS trägt dazu bei, die Datensicherheit Ihres Unternehmens zu erhöhen und Datenschutzvorgaben einzuhalten. Zudem protokollieren sie sicherheitsrelevante Vorfälle. Die Protokolle dienen dazu, Angriffsverläufe nachzuvollziehen, Ursachen zu ermitteln und zukünftige Attacken zu verhindern.

Cybersicherheit

Steigern Sie die Datensicherheit Ihres Unternehmens auf höchstes Niveau und schützen Sie sich so vor Sabotage oder Datendiebstahl.

Zu Cybersicherheit

Intrusion Detection System im Überblick

Ein Intrusion Detection System (IDS) …

  • fungiert als passives Frühwarnsystem, das den Netzwerkverkehr und Systemaktivitäten kontinuierlich auf Sicherheitsverletzungen, Malware und Anomalien überwacht.
  • nutzt signaturbasierte Vergleiche (Datenbanken), anomaliebasierte Verfahren oder heuristische Analysen, um Angriffe zu erkennen.
  • kann als Network IDS (NIDS), Host IDS (HIDS) oder als hybride Lösung eingesetzt werden.
  • unterscheidet sich von IPS (Intrusion Prevention System), da es Vorfälle lediglich protokolliert und meldet, aber nicht aktiv blockiert.
  • ist ein wesentlicher Baustein einer umfassenden IT-Sicherheitsstrategie.

Häufig gestellte Fragen

Die Funktion eines IDS besteht darin, den Datenverkehr in einem Netzwerk zu analysieren und Alarm zu schlagen, wenn es eine Bedrohung entdeckt. Dafür gibt es verschiedene Ansätze: Signaturbasierte Erkennung, anomaliebasierte Erkennung und den heuristischen Ansatz.

Intrusionserkennung (engl. Intrusion Detection) bezeichnet den Prozess des Überwachens, Identifizierens und Meldens von unerlaubten Zugriffen, Missbrauch, Kompromittierungen oder böswilligen Aktivitäten innerhalb eines Computersystems oder Netzwerks.

Ziel der Intrusionserkennung ist es, Sicherheitsverletzungen so früh wie möglich zu erkennen, damit Administratoren schnell reagieren und den Schaden minimieren können. Intrusion Detection Systeme führen den Prozess automatisiert durch.

Intrusion Detection Systeme (IDS) und Firewalls unterscheiden sich in ihrer grundlegenden Funktion, ihrem Ansatz zur Sicherheit und ihrer Positionierung im Netzwerk: 

  • Eine Firewall ist ein präventives System, das den Netzwerkverkehr aktiv kontrolliert und unerwünschten Verkehr basierend auf vordefinierten Regeln blockiert. Sie fungiert als Torwächter.
  • Ein Intrusion Detection System (IDS) ist ein passives System, das den Verkehr überwacht, um verdächtige Aktivitäten zu erkennen. Es alarmiert Administratoren, stoppt aber verdächtigen Datenverkehr nicht selbst. Es fungiert als Überwachungskamera mit Alarmfunktion.

Passend zum Thema

SSE: künstlerisch-grafische Darstellung einer abgesicherten Cloud

Security Service Edge (SSE): Cloudbasierte Sicherheit

SSE ist eine cloudbasierte Sicherheitslösung, die sich besonders für Unternehmen eignet. Technologie, Bestandteile und praktische Anwendungsfällen erklärt.

Artikel lesen
Zwei IT-Techniker (männlich und weiblich) arbeiten in einem Serverraum mit einem Laptop

SD-WAN: Die Netzwerktechnologie einfach erklärt

SD-WAN ist eine Schlüsseltechnologie für optimale Konnektivität in der Standortvernetzung. Lesen Sie hier, was Sie dazu wissen müssen.

Artikel lesen
Ein Mitarbeiter telefoniert aufgebracht im Technikraum

DDoS: So schützen Sie sich zuverlässig

Was macht Cyberattacken mit DDoS so gefährlich? Wie „Distributed Denial-of-Service“ funktioniert und wie Sie Ihr Unternehmen davor schützen können.

Artikel lesen