{"id":8419,"date":"2021-04-23T10:49:28","date_gmt":"2021-04-23T08:49:28","guid":{"rendered":"https:\/\/enginsight.com\/?p=8419"},"modified":"2023-09-18T13:31:54","modified_gmt":"2023-09-18T11:31:54","slug":"intrusion-prevention-system-ips-fuer-unternehmen-aller-groessen","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/intrusion-prevention-system-ips-fuer-unternehmen-aller-groessen\/","title":{"rendered":"Intrusion Prevention System (IPS) f\u00fcr Unternehmen aller Gr\u00f6\u00dfen"},"content":{"rendered":"

Mit einem Intrusion Prevention System (IPS) blockieren Sie Cyberangriffe, damit Hacker nicht in sensible Bereiche der IT-Umgebung vordringen. Warum Angst vor einem ausufernden Administrationsaufwand nicht gerechtfertigt ist – egal wie groß Unternehmen und deren IT-Abteilung sind – erfahren Sie in diesem Use Case zu einem Intrusion Prevention System<\/strong>.<\/p>\n\n\n\n

Was ist ein Intrusion Prevention System (IPS)?<\/h2>\n\n\n\n

Ein Intrusion Prevention System (IPS) ermöglicht eine schnelle Reaktion auf potenzielle Gefahren. Es unterbricht Cyberattacken, bevor sie erfolgreich sind oder verhindert, dass sich Angriffe in der IT-Umgebung ausbreiten. <\/p>\n\n\n\n

Ein IPS ergreift automatische Abwehrmaßnahmen<\/strong>, wenn ein IT-System von einem Hacker ins Visier genommen wird. Dazu blockiert es Datenpakete oder unterbricht Verbindungen mit der angreifenden IP-Adresse.<\/p>\n\n\n\n

Durch eine permanente Überwachung des Netzwerkverkehrs werden vorbeugende Maßnahmen eingeleitet, um im Fall eines Cyberangriffs automatisiert reagieren zu können. <\/p>\n\n\n\n

IDS und IPS: Das sind die Unterschiede<\/h3>\n\n\n\n

Verwandt mit IPS – Intrusion Prevention Systemen sind IDS – Intrusion Detection Systeme. Während ein IDS jedoch als passives Tool lediglich Angriffe erkennt<\/strong> und darüber informiert, handelt es sich bei einem IPS um ein aktives Tool, das Maßnahmen zur Verteidigung gegen einen Angriff ergreift. <\/p>\n\n\n\n

Grundlage eines IPS sind in der Regel die Analysedaten des IDS, dessen Fähigkeiten das IPS erweitert. IDS und IPS stellen so die technische Basis von Threat Detection and Response (TDR)<\/strong>. Sie sind Mittel der Wahl, um Cybergefahren zu erkennen und abzuwehren.<\/p>\n\n\n\n

Das Intrusion Detection System (IDS) überwacht den Netzwerkverkehr und erkennt verdächtige Aktivitäten oder Verstöße gegen die Sicherheitsrichtlinien.<\/strong><\/p>\n\n\n\n

Es analysiert den eingehenden und ausgehenden Verkehr und vergleicht ihn mit bekannten Angriffsmustern, den sogenannten Signaturen, oder sucht nach abnormalen Aktivitäten, die auf einen Angriff hindeuten könnten. <\/p>\n\n\n\n

Sobald ein potenzieller Angriff erkannt wird, sendet das IDS eine Benachrichtigung an den Systemadministrator oder das Sicherheitsteam. Das IDS führt keine aktiven Maßnahmen zur Verhinderung oder Blockierung eines Angriffs durch. Die Hauptaufgabe besteht darin, Angriffe zu erkennen und zu melden.
<\/p>\n\n\n\n

Weiterführendes Wissen: Dezentrales Intrusion Detection System (IDS) konfigurieren <\/strong><\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n

Netzwerk- und hostbasiertes IPS<\/h3>\n\n\n\n

Bei dem Intrusion Prevention System unterscheiden wir technisch zwei Ansätze:
hostbasierte (HIPS) und netzwerkbasierte (NIPS) Systeme<\/strong>. <\/p>\n\n\n\n

NIPS werden auf einer eigenen Hardware installiert. Bei dem hostbasierten IPS läuft das Blocking und die Analyse von Netzwerkpaketen auf den bestehenden Systemen<\/strong>. Dazu wird ein Agent auf den IT-Systemen im Unternehmen ausgerollt.<\/p>\n\n\n\n

Daraus resultieren unterschiedliche Konzeptionen: Ein HIDS ist sehr viel dezentraler implementiert als ein NIPS. Während ein NIPS hinter der Firewall und gegebenenfalls zwischen Netzwerksegmenten aktiv werden kann, blockiert ein hostbasiertes IPS auch zwischen Assets innerhalb des gleichen Subnetzes.<\/p>\n\n\n\n

Seine Stärke kann ein HIPS ausspielen, wenn ein Angreifer bereits in der Infrastruktur Fuß gefasst hat. Ist beispielsweise der Client eines Mitarbeiters durch einen E-Mail-Anhang infiziert worden, lassen sich dessen Attacken auf andere Systeme unmittelbar blockieren<\/strong>. Das infizierte System ist isoliert und der Angreifer kann sich nicht weiter ausbreiten.<\/p>\n\n\n\n

<\/div>\n\n\n\n
\"Cyberangriff<\/a>
Einen Angriff von außerhalb des Netzwerks (z.B. Internet) oder Netzwerksegments können netzwerkbasierte (NIPS) <\/strong>ebenso wie hostbasierte (HIPS) <\/strong>Intrusion Prevention Systeme blocken. <\/em><\/figcaption><\/figure>\n\n\n\n
\"Cybernangriff<\/a>
Ein Angriff aus dem internen Netzwerk bzw. Netzwerksegment kann allerdings nur ein hostbasiertes (HIPS) Intrusion Prevention System blocken.<\/em><\/figcaption><\/figure>\n\n\n\n

In dynamischen IT-Umgebungen profitiert ein HIDS zudem von seiner Flexibilität. Wächst die Infrastruktur, muss nicht in neue Hardware der NIPS-Appliance investiert werden. Die Performance des HIDS skaliert im Gegenteil automatisch mit. <\/p>\n\n\n\n

Verlassen IT-Assets das Unternehmensnetzwerk (z.B. ins Homeoffice) oder befinden sich dauerhaft außerhalb des Firmennetzes (z.B. in einem Datacenter), bleibt ein hostbasiertes System zudem aktiv.<\/p>\n\n\n\n

IPS und Firewall: Was ist der Unterschied?<\/h2>\n\n\n\n

Ein Intrusion Prevention System (IPS) hat zweifellos ein Verwandtschaftsverhältnis mit Firewall-Lösungen. Beide Produkte haben die Aufgabe, Netzwerkverkehr zu regeln und unberechtigte Zugriffe zu unterbinden. <\/p>\n\n\n\n

Während sich jedoch Firewalls nach Regeln richten, die definieren, das Paket durchzulassen, orientiert sich ein IPS an Regeln, Pakete aufzuhalten. Dazu untersucht ein IPS im Gegensatz zu klassischen Firewalls den Inhalt der Netzwerkpakete auf Auffälligkeiten<\/strong>. Eine Firewall hingegen prüft nur, ob der Absender die nötigen Rechte besitzt, die Verbindung aufzubauen, unabhängig vom konkreten Inhalt der Pakete.<\/p>\n\n\n\n

Aufgrund der Verwandtschaft zueinander sind viele Firewall-Hersteller dazu übergegangen ein IPS in ihr Produkt zu integrieren. Der Vorteil integrierter Lösungen liegt auf der Hand: Die Unternehmen brauchen nicht in eine zweite Lösung zu investieren und der Verwaltungsaufwand lässt sich reduzieren. <\/p>\n\n\n\n

Integrierte Firewall-IPS-Lösungen sind immer netzwerkbasierte Systeme (NIDS). Aber auch hostbasierte IPS-Lösungen (HIPS) lassen sich in umfassende Security-Software integrieren, sodass Administrations- und Lizenzkosten gesenkt werden können.<\/p>\n\n\n\n

Braucht Ihr Unternehmen ein IPS?<\/h2>\n\n\n\n

Mit einem Intrusion Prevention System (IPS)<\/a> reduzieren Sie die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs signifikant.<\/p>\n\n\n\n

Die Ziele von Hackern lassen sich prototypisch in drei Kategorien aufteilen:<\/p>\n\n\n\n

    \n
  1. Datendiebstahl:<\/strong> Die Täter haben es auf Daten abgesehen. Das können ebenso Kundendaten sein wie (technisches) Know-How. Der Hacker spioniert Ihr Unternehmen aus und möchte nicht erkannt werden.<\/li>\n\n\n\n
  2. Erpressung:<\/strong> Die Cyberkriminellen wollen eine Lösegeldzahlung fordern. Dazu setzen sie sich in der IT-Infrastruktur fest und verschlüsseln die Systeme (Ransomware). Nach der erfolgreichen Attacke meldet sich der Hacker.<\/li>\n\n\n\n
  3. Einnisten:<\/strong> Ziel sind weniger die angegriffenen Systeme und ihre Daten. Die Systeme sollen stattdessen für andere Aktivitäten missbraucht werden (z.B. Schadsoftware verbreiten, DDoS, Crypto Mining). Der Hacker möchte nicht erkannt werden.<\/li>\n<\/ol>\n\n\n\n

    Angesichts der zunehmenden Bedrohung<\/a> und den vielfältigen Zielen von Cyberattacken sollten sich Firmen aller Größen und Branchen mit der Implementierung eines IPS beschäftigen. Von Bedeutung ist ein IPS auch bei der Einhaltung von Compliance und bei Zertifizierungen. Die internationale Norm ISO\/IEC 27001<\/a> fordert beispielsweise Netzwerksteuerungsmaßnahmen, um die Ausbreitung von Cyberattacken zu verhindern. Die Einhaltung der Vorgabe lässt sich mit einem IPS maßgeblich unterstützen.<\/p>\n\n\n\n

    Intrusion Prevention mit Enginsight<\/h2>\n\n\n\n

    Das hostbasierte IPS – Intrusion Prevention System von Enginsight ist wichtiger Bestandteil der umfassenden Security-Software. Dank minimalem Konfigurationsaufwand und großer Flexibilität ist es in wenigen Schritten in allen IT-Umgebungen ausgerollt. Verzichten können Unternehmen dank Enginsight auf eine weitere Spezialsoftware. <\/p>\n\n\n\n

    Stattdessen haben sie mit Enginsight das IPS in die Schaltzentrale Ihres IT-Security-Managements integriert<\/strong>. <\/p>\n\n\n\n

    \n