computerwoche.de

Archiv

Versprechen der Anbieter bleiben unerfüllt

Gartner: Intrusion-Detection-Systeme taugen nichts

27.06.2003
MÜNCHEN (CW) - Einem Bericht des Beratungshauses Gartner zufolge sind Intrusion-Detection-Systeme (IDS) ihr Geld nicht wert. Die Lösungen zum Aufspüren von Hacker-Attacken produzierten zu viele Fehlalarme und seien zu komplex in der Handhabung. Hersteller wehren sich mit dem Hinweis, sie hätten die genannten Schwachpunkte inzwischen beseitigt.

Dem Gartner-Bericht zufolge erfordern IDS-Produkte eine ständige Überwachung der von ihnen gemeldeten Ereignisse. Zudem lösten sie viele Fehlalarme aus und seien in Netzen mit Datenübertragungsraten über 600 Mbit/s unzuverlässig. "Bis zum Jahr 2005 wird IDS Schnee von gestern sein", schlussfolgert Richard Stiennon, Vice President Research und Sicherheitsexperte bei Gartner.

Intrusion-Detection-Systeme suchen in einem Firmennetz nach verdächtigen Aktivitäten, die sich aus dem Netzverkehr ergeben. Anwender schaffen diese Lösungen als Ergänzung zu Firewalls und Antivirenprodukten an.

Einige Anwender stimmen dem Bericht in Teilen zu, ohne sich dem vernichtenden Urteil Gartners komplett anzuschließen. So hatte ein Unternehmen vor drei Jahren ein IDS gekauft. Um dessen zahlreiche Meldungen in Zusammenhang zu bringen, investierte die Firma zusätzlich in eine Lösung, mit der sich Alarme korrelieren lassen. Erst damit sei es möglich gewesen, dem IDS-Produkt sinnvolle Informationen zu entlocken. Auch Toralv Dirro, Sicherheitsspezialist bei Network Associates aus Hamburg, bestätigt Probleme mit IDS.

Hersteller wehren sich

Anbieter wie Sourcefire aus Columbia im Bundesstaat Maryland halten die Kritik für überholt. "Neue Korrelationsfunktionen sowie Filtertechnik reduzieren die Alarmmeldungen und bieten dem Anwender gezielte Informationen", wirbt Martin Roesch, Cheftechnologe bei Sourcefire. Fortschritte sieht auch Michael Rasmussen, Analyst bei Forrester Research in Cambridge, Massachusetts. "Die führenden Anbieter im Sicherheitssegment haben die Schwachstellen der früheren IDS-Produkte erkannt und ihre Systeme entsprechend ausgebaut."

Gartner-Mann Stiennon hat andere Erfahrungen gemacht. "Die IDS-Anbieter sind mit uns einer Meinung, dass die Technik viele Schwachstellen hat, und sie geloben, bessere Produkte auf den Markt zu bringen." Doch dies löse nicht die fundamentalen Probleme der IDS-Verfahren, die letztlich nur in der Lage seien, den Anwender über eine Attacke zu informieren, nachdem sie stattgefunden hat. Daher, so Stiennen, sollten Firmen in Intrusion-Prevention investieren.

Viele IT-Sicherheitsanbieter konzentrieren sich inzwischen auf Intrusion-Prevention-Lösungen. Network Associates etwa hat im April dieses Jahres mit Intruvert und Entercept Security zwei einschlägige Anbieter übernommen. Zu den Intrusion-Prevention-Herstellern zählen sich unter anderen Top Layer, Internet Security Systems (ISS), Onesecure, Tippingpoint Technologies und Netscreen. Die Produkte weisen Datenpakete von einem identifizierten Angreifer automatisch zurück. Ferner schirmen solche Präventions-Tools die zu schützenden Computer ab, indem sie zum Beispiel verhindern, dass Hacker Systemdateien auf Servern verändern können. Allerdings warnt Dirro von Network Associates vor Blendern: "Einige Anbieter nennen ihre Produkte nun zwar Intrusion-Prevention-Systeme, haben aber nicht wirklich etwas Neues entwickelt." (fn)